内存检测工具 内存问题检测就用它 - 华清远见

更新时间:2024-04-19 01:46:01 阅读量: 综合文库 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

内存检测工具 内存问题检测就用它

内存问题在C/C++等底层语言中,是非常难解决的问题。对于一个c/c++程序员来说,内存泄漏是一个常见的也是令人头疼的问题。已经有许多技术被研究出来以应对这个问题。平时写c++程序,内存泄漏问题都比较难以排查,一般都要等到程序出bug了,才能慢慢的检查出来。本篇文章就来给大家介绍一下内存检测工具,内存问题检测就用它吧。

一般内存问题检测,初学者最常用的是逐步打印log信息但其效率不是太高,也比较的繁琐,尤其是在运行成本高或重现概率低的情况下。另外,静态检查也是一类方法,有很多工具(lint, cppcheck, klockwork, splint, o, etc.)。但缺点是误报很多,不适合针对性问题。另外误报率低的一般还需要收费。最后,就是动态检查工具。下面介绍几个Linux平台下主要的运行时内存检查工具。绝大多数都是开源免费且支持x86和ARM平台的。

首先,比较常见的内存问题有下面几种: ? memory overrun:写内存越界 ? double free:同一块内存释放两次 ? use after free:内存释放后使用 ? wild free:释放内存的参数为非法值

? access uninitialized memory:访问未初始化内存

? read invalid memory:读取非法内存,本质上也属于内存越界 ? memory leak:内存泄露

? use after return:caller访问一个指针,该指针指向callee的栈内内存 ? stack overflow:栈溢出

针对上面的问题,主要有以下几种方法:

1. 为了检测内存非法使用,需要hook内存分配和操作函数。hook的方法可以是用C-preprocessor,也可以是在链接库中直接定义(因为Glibc中的malloc/free等函数都是weak symbol),或是用LD_PRELOAD。另外,通过hook strcpy(),memmove()等函数可以检测它们是否引起buffer overflow。

2. 为了检查内存的非法访问,需要对程序的内存进行bookkeeping,然后截获每次访存操作并检测是否合法。bookkeeping的方法大同小异,主要思想是用shadow memory来验证某块内存的合法性。至于instrumentation的方法各种各样。有run-time的,比如通过把程序运行在虚拟机中或是通过binary translator来运行;或是compile-time的,在编译时就在访存指令时就加入检查操作。另外也可以通过在分配内存前后加设为不可访问的guard page,这样可以利用硬件(MMU)来触发SIGSEGV,从而提高速度。

3. 为了检测栈的问题,一般在stack上设置canary,即在函数调用时在栈上写magic number或是随机值,然后在函数返回时检查是否被改写。另外可以通过mprotect()在stack的顶端设置guard page,这样栈溢出会导致SIGSEGV而不至于破坏数据。

以上方法有些强于功能,有些胜在性能,有些则十分方便易用,总之各有千秋。以下是几种常用工具在Linux x86_64平台的实验结果,注意其它平台可能结果有差异。

另外也可能由于版本过老,编译环境差异,总之各种原因造成遗漏,如有请谅解

Tool\\Problem memory overrun double free use after free wild free access uninited read invalid memory memory leak use after return stack overflow

Memory checking tools in Glibc Yes Yes Yes Yes(if use memcpy, strcpy, etc) TCMalloc(Gperftools) Yes

Valgrind Yes Yes Yes Yes Yes Yes Yes Yes Yes

Address Sanitizer(ASan) Yes Yes Yes Yes (Memory Sanitizer) Yes Yes Yes Yes Memwatch Yes Yes Yes

Dr.Memory Yes Yes Yes Yes Yes Yes Yes Yes Electric Fence Yes Yes Yes Yes Dmalloc Yes Yes Yes Yes Yes

下面简单介绍一下这些工具以及基本用法。更详细用法请参见各自manual。 Memory checking tools in Glibc

Glibc中自带了一些Heap consistency checking机制。 MALLOC_CHECK_

用mallopt()的M_CHECK_ACTION可以设置内存检测行为,设MALLOC_CHECK_环境变量效果也是一样的。从Glibc 2.3.4开始,默认为3。即打印出错信息,stack trace和memory mapping,再退出程序。设置LIBC_FATAL_STDERR_=1可以将这些信息输出到stderr。比如运行以下有double free的程序: $ MALLOC_CHECK_=3 ./bug 会打印如下信息然后退出:

*** Error in `./bug': free(): invalid pointer: 0x00000000010d6010 ***

======= Backtrace: =========

/lib/x86_64-linux-gnu/libc.so.6(+0x7338f)[0x7f367073238f] /lib/x86_64-linux-gnu/libc.so.6(+0x81fb6)[0x7f3670740fb6] ./bug[0x400845] ./bug[0x400c36]

/lib/x86_64-linux-gnu/libc.so.6(__libc_start_main+0xf5)[0x7f36706e0ec5] ./bug[0x400729]

======= Memory map: ========

00400000-00402000 r-xp 00000000 08:01 2893041 /home/jzj/code/bug 00601000-00602000 r--p 00001000 08:01 2893041 /home/jzj/code/bug 00602000-00603000 rw-p 00002000 08:01 2893041 /home/jzj/code/bug 010d6000-010f7000 rw-p 00000000 00:00 0 [heap]

7f36704a8000-7f36704be000 r-xp 00000000 08:01 4203676 /lib/x86_64-linux-gnu/libgcc_s.so.1 7f36704be000-7f36706bd000 ---p 00016000 08:01 4203676 /lib/x86_64-linux-gnu/libgcc_s.so.1 7f36706bd000-7f36706be000 r--p 00015000 08:01 4203676 /lib/x86_64-linux-gnu/libgcc_s.so.1 7f36706be000-7f36706bf000 rw-p 00016000 08:01 4203676 /lib/x86_64-linux-gnu/libgcc_s.so.1 …

Aborted (core dumped) mcheck

mcheck是Glibc中的堆内存一致性检查机制。使用时只要加上头文件: #include

再在要开始检查的地方加上: if (mcheck(NULL) != 0) {

fprintf(stderr, \

exit(EXIT_FAILURE); } …

编译时加-lmcheck然后运行即可:

$ g++ -Wall -g problem.cpp -o bug -lmcheck _FORTIFY_SOURCE

宏_FORTIFY_SOURCE提供轻量级的buffer overflow检测。设置后会调用Glibc里带_chk后缀的函数,做一些运行时检查。主要检查各种字符串缓冲区溢出和内存操作。比如memmove, memcpy, memset, strcpy, strcat, vsprintf等。注意一些平台上编译时要加-O1或以上优化。这样就可以检查出因为那些内存操作函数导致的缓冲溢出问题:

$ g++ -Wall -g -O2 -D_FORTIFY_SOURCE=2 problem.cpp -o bug *** buffer overflow detected ***: ./bug terminated ======= Backtrace: =========

/lib/x86_64-linux-gnu/libc.so.6(+0x7338f)[0x7f9976e1638f]

/lib/x86_64-linux-gnu/libc.so.6(__fortify_fail+0x5c)[0x7f9976eadc9c] /lib/x86_64-linux-gnu/libc.so.6(+0x109b60)[0x7f9976eacb60] mtrace

mtrace可以用于检查malloc/free是否正确配对。用时用mtrace()和muntrace()表示开始和结束内存分配trace(如果检测到结束结尾的话可以不用muntrace())。但这是简单地记录没有free对应的malloc,可能会有一些false alarm。 #include mtrace(); // … muntrace(); 然后编译:

$ g++ -Wall -g problem.cpp -o bug 运行时先设输出的log文件:

$ export MALLOC_TRACE=output.log 用mtrace命令将输出文件变得可读: $ mtrace ./bug $MALLOC_TRACE

就可以得到哪些地方的内存申请还没有被free掉。 Memory not freed:

Address Size Caller0x00000000008d4520 0x400 at /home/jzj/code/problem.cpp:73 Gperftools

Gperftools(Google Performance Tools)为一组工具集,包括了thread-caching malloc(TCMalloc)和CPU profiler等组件。TCMalloc和Glibc中的ptmalloc相比更快,并可以有效减少多线程之间的竞争,因为它会为每个线程单独分配线程本地的Cache。这里先只关注它的内存相关组件。通过tcmalloc可以做heap-checking和heap-profiling。 如果懒得build,Ubuntu可以如下安装:

$ sudo apt-get install libgoogle-perftool-dev google-perftools 然后编译时加-ltcmalloc,注意一定要放最后链接,如: $ g++ -Wall -g problem.cpp -g -o bug -ltcmalloc 编译时不链接的话就也可以用LD_PRELOAD:

$ export LD_PRELOAD=”/usr/lib/libtcmalloc.so” 运行的时候执行:

$ HEAPCHECK=normal ./bug 就可以报出内存泄露:

Have memory regions w/o callers: might report false leaks Leak check _main_ detected leaks of 1024 bytes in 1 objects The 1 largest leaks:

*** WARNING: Cannot convert addresses to symbols in output below. *** Reason: Cannot find 'pprof' (is PPROF_PATH set correctly?)

比如memory overrun和double free就可以得到如下结果: Electric Fence 2.2 Copyright (C) 1987-1999 Bruce Perens Segmentation fault (core dumped)

Electric Fence 2.2 Copyright (C) 1987-1999 Bruce Perens

ElectricFence Aborting: free(7fc1c17c8c00): address not from malloc(). Illegal instruction (core dumped)

它无法在log中打出详细信息,但如果运行前打开了coredump: $ ulimit -c unlimited

就可以gdb打开coredump来分析了: $ gdb ./bug -c core

注意因为多数平台在分配时遇到block size不是word size整数倍时会通过加padding byte进行word alignment。如果是在padded area中出现overrun则无法检测。这里可以通过在程序中设置EN_ALIGNMENT=1来防止byte padding,从而更容易检测off by one的问题。

DUMA(http://duma.sourceforge.net/)从Electric Fence中fork出来并加入一些其它特性,比如leak detection,Windows支持等。 Dmalloc

比较经典的内存检测工具,虽然N年没更新了。dmalloc通过在分配区域增加padding magic number的做法来检测非法访问,因此它能够检测到问题但不能检测出哪条指令出的错。Dmalloc只能检测越界写,但不能检测越界读。另外,Dmalloc只检测堆上用malloc系函数(而不是sbrk()或mmap())分配的内存,而无法对栈内存和静态内存进行检测。 本质上它也是通过hook malloc(), realloc(), calloc(),free()等内存管理函数,还有strcat(), strcpy()等内存操作函数,来检测内存问题。它支持x86, ARM平台,语言上支持C/C++,并且支持多线程。

使用时可以先从官网下载源码包(http://dmalloc.com/releases/),然后编译安装: $ tar zxvf dmalloc-5.5.2.tgz $ cd dmalloc-5.5.2 $ ./configure

$ make && make install

少量修改源代码。只需要加上下面的头文件: #ifdef DMALLOC#include \

然后编译时CFLAGS加上 -DDMALLOC -DDMALLOC_FUNC_CHECK,如:

$ g++ -Wall -g -DDMALLOC -DDMALLOC_FUNC_CHECK problem.cpp -o bug -ldmalloc dmalloc的配置选项可以通过设置环境变量DMALLOC_OPTIONS来实现,例如: $ export

DMALLOC_OPTIONS=log=logfile,check-fence,check-blank,check-shutdown,check-heap,check-funcs,log-stats,log-non-free,print-messages,log-nonfree-space 这些用法可参见:

http://dmalloc.com/docs/latest/online/dmalloc_26.html http://dmalloc.com/docs/latest/online/dmalloc_27.html

也可以用dmalloc这个命令来设置。直接dmalloc -v可用于查看当前设置。 发生错误时会给出类似以下输出:

1434270937: 2: error details: checking user pointer1434270937: 2: pointer '0x7fc235336808' from 'unknown' prev access 'problem.cpp:35'1434270937: 2: ERROR: _dmalloc_chunk_heap_check: free space has been overwritten (err 67)1434270937: 2: error details: checking pointer admin1434270937: 2: pointer '0x7fc235336808' from 'problem.cpp:37' prev access 'problem.cpp:35'1434270937: 2: ERROR: free: free space has been overwritten (err 67)

1434271030: 3: error details: finding address in heap1434271030: 3: pointer '0x7f0a7e29d808' from 'problem.cpp:27' prev access 'unknown'1434271030: 3: ERROR: free: tried to free previously freed pointer (err 61)

另外Dmalloc还提供一些函数,如dmalloc_mark(),dmalloc_log_changed()和dmalloc_log_unfreed()等来打印内存信息和分析内存变化:

http://dmalloc.com/docs/5.3.0/online/dmalloc_13.html Dr. Memory

重量级内存监测工具之一,用于检测如未初始化内存访问,越界访问,已释放内存访问,double free,memory leak以及Windows上的handle leak, GDI API usage error等。它支持Windows, Linux和Mac操作系统, IA-32和AMD64平台,和其它基于binary instrumentation的工具一样,它不需要改目标程序的binary。有个缺点是目前只针对x86上的32位程序。貌似目前正在往ARM上port。其优点是对程序的正常执行影响小,和Valgrind相比,性能更好。官网为http://www.drmemory.org/。Dr. Memory基于

DynamioRIO Binary Translator。原始代码不会直接运行,而是会经过translation后生成code cache,这些code cache会调用shared instrumentation来做内存检测。 Dr. Memory提供各平台的包下载。

https://github.com/DynamoRIO/drmemory/wiki/Downloads 下载后即可直接使用。首先编译要检测的测试程序:

$ g++ -m32 -g -Wall problem.cpp -o bug -fno-inline -fno-omit-frame-pointer (在64位host上编译32位程序需要安装libc6-dev-i386和g++-multilib) 然后把Dr.Memory的bin加入PATH,如:

$ export PATH=/home/jzj/tools/DrMemory-Linux-1.8.0-8/bin:$PATH 之后就可以使用Dr.Memory启动目标程序: \\$ drmemory – ./bug

更多用法参见 drmemory -help或http://drmemory.org/docs/page_options.html。 像遇到double-free和heap overflow问题的话就会给出类似下面结果: ~~Dr.M~~

~~Dr.M~~ Error #1: INVALID HEAP ARGUMENT to free 0x08ceb0e8

~~Dr.M~~ # 0 replace_free [/work/drmemory_package/common/alloc_replace.c:2503] ~~Dr.M~~ # 1 double_free [/home/jzj/code/problem.cpp:23] ~~Dr.M~~ # 2 main [/home/jzj/code/problem.cpp:157] ~~Dr.M~~ Note: @0:00:00.127 in thread 26159 ~~Dr.M~~ Note: memory was previously freed here:

~~Dr.M~~ Note: # 0 replace_free [/work/drmemory_package/common/alloc_replace.c:2503] ~~Dr.M~~ Note: # 1 double_free [/home/jzj/code/problem.cpp:22] ~~Dr.M~~ Note: # 2 main [/home/jzj/code/problem.cpp:157] ~~Dr.M~~

~~Dr.M~~ Error #1: UNADDRESSABLE ACCESS beyond heap bounds: writing 0x0988f508-0x0988f509 1 byte(s)

~~Dr.M~~ # 0 overrun [/home/jzj/code/problem.cpp:32] ~~Dr.M~~ # 1 main [/home/jzj/code/problem.cpp:154] ~~Dr.M~~ Note: @0:00:00.099 in thread 26191

~~Dr.M~~ Note: prev lower malloc: 0x0988f0e8-0x0988f4e8 ~~Dr.M~~ Note: instruction: mov $0x6a -> (êx) Stack protection

前面的工具大多用于堆内存检错,对于栈内存GCC本身提供了一些检错机制。加上-fstack-protector后,GCC会多加指令来检查buffer/stack overflow。原理是为函数加guard variable。在函数进入时初始化,函数退出时检查。相关的flag有-fstack-protector-strong -fstack-protector -fstack-protector-all等。使用例子:

$ g++ -Wall -O2 -U_FORTIFY_SOURCE -fstack-protector-all problem.cpp -o bug 运行时会检测到stack overflow:

*** stack smashing detected ***: ./bug terminated Aborted (core dumped)

对于线程的栈可以参考pthread_attr_setguardsize()。 Rational purify & Insure++

Rational purity是IBM的商业化产品,要收费,所以木有用过,精神上支持。和Valgrind很像,也基于binary instrumentation,适用于不同平台。另一个工具Insure++基于compile-time和binary instrumentation,可以检测use-after-free,out-of-bounds,wild free和memory leak等内存问题。但也是要收费的,也精神上支持。。。。。。

大体来说,遇到诡异的内存问题,先可以试下Glibc和GCC里自带的检测机制,因为enable起来方便。如果检测不出来,那如果toolchain版本较新且有编译环境,可以先尝试ASan,因为其功能强大,且效率高。接下来,如果程序是I/O bound或slowdown可以接受,可以用Valgrind和Dr.Memory。它们功能强大且无需重新编译,但速度较慢,且后者不支持64位程序和ARM平台。然后可以根据实际情况和具体需要考虑Memwatch,Dmalloc和Electric Fence等工具。

在实际的工作和项目开发的过程中,内存泄漏问题是个很危险的隐患,所以我们一定要养成很好的编程习惯,要学会用这些工具来检测自己的代码,从而快速的去解决关于内存的问题,提高自己的工作效率。

以上内容主要讲的就是内存检测工具,内存问题检测就用它了!更多学习资料可以在华清远见官网查看,华清远见提供免费教材供大家参考和学习。

本文来源:https://www.bwwdw.com/article/3cfp.html

Top