2018 年 10 月

进程退出的清理函数

2018-10-12 / Leave a Comment

有时候，我们期望在进程退出时做一些资源清理工作，比如释放共享内存、删除程序运行期间留下的一些临时文件等等。

一种方式是使用 __attribute__ 关键字将清理函数声明为 destructor 函数：

#include <stdio.h>

#include <stdlib.h>

__attribute__((destructor))

void cleanup() {

printf("%s\n", __func__);

}

int main() {

printf("%s\n", __func__);

return 0;

}

这样该清理函数就会在 main 函数结束后被执行。

$ ./a.out

main

cleanup

另外一种方式是使用 atexit 函数注册清理函数：

#include <stdio.h>

#include <stdlib.h>

__attribute__((constructor))

void func() {

printf("%s\n", __func__);

atexit([](){printf("global cleaner\n");});

}

int main() {

printf("%s\n", __func__);

atexit([]() {printf("main cleaner\n");});

return 0;

}

如上，在声明为 constructor 的 func 函数和 main 函数里面，通过 atexit 分别注册了两个匿名的清理函数，执行结果如下：

$ ./a.out

func

main

main cleanner

global cleanner

首先是 constructor 函数被执行，然后是 main 函数，接着是 main 函数注册的清理函数，最后是 constructor 函数注册的清理函数。这说明通过 atexit 注册的清理函数，其执行顺序是跟注册严格反序的，也就是最后注册的最先执行。

另外，值得注意的是，c++ 限制通过 atexit 最多可以注册 32 个清理函数。

重载 gcc 和 glibc 的内建函数

2018-10-11 / Leave a Comment

工作中常常遇到这样一种场景，出于调试需要，需要重载编译器或者运行库内建的一些函数，如 malloc、free 之类。

一、简单重载

最简单直接的方式就是重新定义：

void* malloc(size_t size) {

printf("my malloc");

return 0;

}

这样就会覆盖 glibc 内建的 malloc 函数。

二、符号别名

另外一种方式是使用 gcc 的 __attribute__ 关键字来为函数创建别名。

void* malloc(size_t) __attribute__((alias("my_malloc")));

void* my_malloc(size_t size) {

printf("%s\n", __func__);

return 0;

}

上述代码的含义是，为 my_malloc 函数创建了一个函数别名 malloc。这样一来，gcc 内建的 malloc 也就不再可用，所有调用到 malloc 的地方都将调用 my_malloc，也就达到了覆盖的目的。

三、LD_PRELOAD

LD_PRELOAD 是动态连接器支持的一个环境变量，可以指定共享库在程序运行时首先被装载，包括 C 语言运行库 glibc。

利用这个特性，如果在某个共享库里重载 glibc 内建的函数，然后使用 LD_PRELOAD 指定让其首先被装载，这样也能达到目的。

四、wrap 函数

以上几种方式的弊端在于，如果符号是对外可见的，那么所有模块的 malloc 函数都将被覆盖；如果符号不可见的话，只有模块内部才会使用重载的版本。如果我们期望某些模块使用重载的版本，而另一些模块使用编译器或者运行库内建的版本呢？

例如可执行程序 a.out 动态链接共享库 liba.so 和 libb.so，在 liba.so 里有对 gcc 编译器内建函数 malloc 的重载，我们期望 liba.so 和 a.out 都使用重载的 malloc，而 libb.so 使用 gcc 的版本。如果 liba.so 里面的 malloc 对外可见，那么 link 过程中，libb.so 和 a.out 都将使用重载的这一份；而如果不可见的话，a.out 将会使用 gcc 的这一份。

有人可能会想到，在每个需要重载的模块内都重载一遍 malloc，然后将其符号隐藏。这样确实可以达到目的，但是显得很笨拙，也会因重复的符号定义增大程序的体积。正确的方法是使用 ld 的 wrap 功能。

// malloc.c -> libmallo.so

#include <stdio.h>

void* __wrap_malloc(size_t size) {

printf("%s\n", __func__);

return NULL;

}

// liba.c -> liba.so

#include <stdio.h>

#include <stdlib.h>

void funcA() {

void* ptr1 = malloc(sizeof(int));

if (ptr1 == NULL) {

printf("%s malloc failed!\n", __func__);

} else {

printf("%s malloc success!\n", __func__);

}

// libb.c -> libb.so

#include <stdio.h>

#include <stdlib.h>

void funcB() {

void* ptr1 = malloc(sizeof(int));

if (ptr1 == NULL) {

printf("%s malloc failed!\n", __func__);

} else {

printf("%s malloc success!\n", __func__);

}

// test.c -> a.out

#include <stdio.h>

#include <stdlib.h>

extern void funcA();

extern void funcB();

int main(int argc, const char* argv[]) {

funcA();

funcB();

void* ptr1 = malloc(sizeof(int));

if (ptr1 == NULL) {

printf("%s malloc failed!\n", __func__);

} else {

printf("%s malloc success!\n", __func__);

}

return 0;

}

CC := gcc

CFLAGS := -g

libmalloc.so: malloc.c

$(CC) ${CFLAGS} -shared -fPIC $< -o $@ -fno-builtin-malloc -fvisibility=default -Wl,--wrap=malloc

liba.so: liba.c

$(CC) ${CFLAGS} -shared -fPIC $< -o $@ -Wl,--wrap=malloc

libb.so: libb.c

$(CC) ${CFLAGS} -shared -fPIC $< -o $@

a.out: test.c liba.so libb.so libmalloc.so

$(CC) ${CFLAGS} -pie -fPIE $< -o $@ -L./ -lb -la -lmalloc -Wl,--wrap=malloc

.PHONY: all clean rebuild

all: a.out

clean:

rm -rf *.o *.a *.so a.out core

rebuild: clean all

链接器会将 wrap 参数所指定的符号替换成重载的版本。这样可以对不同的共享库指定或者不指定 wrap 目标，来达成上述目的。

$ make all

gcc -g -shared -fPIC liba.c -o liba.so -Wl,--wrap=malloc

gcc -g -shared -fPIC libb.c -o libb.so

gcc -g -shared -fPIC malloc.c -o libmalloc.so -fno-builtin-malloc -fvisibility=default -Wl,--wrap=malloc

gcc -g -pie -fPIE test.c -o a.out -L./ -lb -la -lmalloc -Wl,--wrap=malloc

按照如上方式编译运行，结果如下：

$ ./a.out

__wrap_malloc

funcA malloc failed!

funcB malloc success!

__wrap_malloc

main malloc failed!

liba.so 和 a.out 都使用了重载的 malloc, 而 lib.so 使用的是 gcc 内置的版本。

巧用 gcc 和 glibc 调试内存问题

2018-10-09 / Leave a Comment

工程中，我们常常会遇到内存访问越界导致的问题。一般而言，如果被踩到的内存没有被释放或者用作他途（比如恰好记录着 heap 的数据结构），是不会发生问题的。但是一旦发生 core dump，定位起来就非常麻烦。

先来看这样一段危险代码：

//malloc_check.cc

#include <stdio.h>

#include <string.h>

void func() {

int* ptr = new int;

memset(ptr, 0, sizeof(int) * 128);

}

int main(int argc, const char* argv[]) {

func();

printf("hello world!\n");

return 0;

}

这里虽然发生了严重内存访问越界，但是运行时并没有什么异常：

$ g++ -g malloc_check.cc

$ ./a.out

hello world!

但如果被踩到的内存后续被释放的话，就会发生问题。

void func() {

int* ptr = new int;

memset(ptr, 0, sizeof(int) + 1);

delete ptr;

}

我们将先前申请的内存释放掉，然后编译运行：

$ g++ -g malloc_check.cc

$ ./a.out

*** Error in `./a.out': free(): invalid next size (fast): 0x0000000001c45010 ***

[1] 36756 unknown signal (core dumped) ./a.out

可以看到，在 free 的时候发生了问题。这里可以使用 gdb 找到发生内存访问越界的地方。但是如果遇到大型程序的话，类似方式往往很难定位到确切的位置。

这里提供两种方式，分别使用 C 运行库 glibc 和编译器 gcc 内置的功能，来帮忙调试类似的问题。

一、MALLOC_CHECK_

GNU 的 C 标准库（glibc）支持动态内存调试，需要通过环境变量 MALLOC_CHECK_ 来设定其行为，其取值有四个等级：

MALLOC_CHECK_=0 关闭所有检查
MALLOC_CHECK_=1 当有错误被探测到时，在标准错误输出（stderr）上打印错误信息
MALLOC_CHECK_=2 当有错误被探测到时，不显示错误信息，直接调用 abort 进行中断
MALLOC_CHECK_=3 当有错误被探测到是，同时执行 1 和 2

默认情况下，该环境变量是没有设定的，需要我们手工去设定：

1	$ export MALLOC_CHECK_=3

再次运行上述程序，glibc 就会调用 abort 中断程序，并给出丰富的提示信息：

$ ./a.out

*** Error in `./a.out': free(): invalid pointer: 0x00000000022c1010 ***

======= Backtrace: =========

/lib/x86_64-linux-gnu/libc.so.6(+0x7329f)[0x7f8360e5729f]

/lib/x86_64-linux-gnu/libc.so.6(+0x803fe)[0x7f8360e643fe]

./a.out[0x400715]

./a.out[0x40072b]

/lib/x86_64-linux-gnu/libc.so.6(__libc_start_main+0xf5)[0x7f8360e05f45]

./a.out[0x400619]

======= Memory map: ========

00400000-00401000 r-xp 00000000 08:02 82776200 /home/nerd/a.out

00600000-00601000 r--p 00000000 08:02 82776200 /home/nerd/a.out

00601000-00602000 rw-p 00001000 08:02 82776200 /home/nerd/a.out

022c1000-022e2000 rw-p 00000000 00:00 0 [heap]

7f83608c8000-7f83608de000 r-xp 00000000 08:02 82116801 /lib/x86_64-linux-gnu/libgcc_s.so.1

7f83608de000-7f8360add000 ---p 00016000 08:02 82116801 /lib/x86_64-linux-gnu/libgcc_s.so.1

7f8360add000-7f8360ade000 rw-p 00015000 08:02 82116801 /lib/x86_64-linux-gnu/libgcc_s.so.1

7f8360ade000-7f8360be3000 r-xp 00000000 08:02 82179404 /lib/x86_64-linux-gnu/libm-2.19.so

7f8360be3000-7f8360de2000 ---p 00105000 08:02 82179404 /lib/x86_64-linux-gnu/libm-2.19.so

7f8360de2000-7f8360de3000 r--p 00104000 08:02 82179404 /lib/x86_64-linux-gnu/libm-2.19.so

7f8360de3000-7f8360de4000 rw-p 00105000 08:02 82179404 /lib/x86_64-linux-gnu/libm-2.19.so

7f8360de4000-7f8360fa2000 r-xp 00000000 08:02 82179418 /lib/x86_64-linux-gnu/libc-2.19.so

7f8360fa2000-7f83611a2000 ---p 001be000 08:02 82179418 /lib/x86_64-linux-gnu/libc-2.19.so

7f83611a2000-7f83611a6000 r--p 001be000 08:02 82179418 /lib/x86_64-linux-gnu/libc-2.19.so

7f83611a6000-7f83611a8000 rw-p 001c2000 08:02 82179418 /lib/x86_64-linux-gnu/libc-2.19.so

7f83611a8000-7f83611ad000 rw-p 00000000 00:00 0

7f83611ad000-7f8361293000 r-xp 00000000 08:02 128451945 /usr/lib/x86_64-linux-gnu/libstdc++.so.6.0.19

7f8361293000-7f8361492000 ---p 000e6000 08:02 128451945 /usr/lib/x86_64-linux-gnu/libstdc++.so.6.0.19

7f8361492000-7f836149a000 r--p 000e5000 08:02 128451945 /usr/lib/x86_64-linux-gnu/libstdc++.so.6.0.19

7f836149a000-7f836149c000 rw-p 000ed000 08:02 128451945 /usr/lib/x86_64-linux-gnu/libstdc++.so.6.0.19

7f836149c000-7f83614b1000 rw-p 00000000 00:00 0

7f83614b1000-7f83614d4000 r-xp 00000000 08:02 82179407 /lib/x86_64-linux-gnu/ld-2.19.so

7f83616b8000-7f83616be000 rw-p 00000000 00:00 0

7f83616d2000-7f83616d3000 rw-p 00000000 00:00 0

7f83616d3000-7f83616d4000 r--p 00022000 08:02 82179407 /lib/x86_64-linux-gnu/ld-2.19.so

7f83616d4000-7f83616d5000 rw-p 00023000 08:02 82179407 /lib/x86_64-linux-gnu/ld-2.19.so

7f83616d5000-7f83616d6000 rw-p 00000000 00:00 0

7ffdeee83000-7ffdeeea5000 rw-p 00000000 00:00 0 [stack]

7ffdeef45000-7ffdeef47000 r-xp 00000000 00:00 0 [vdso]

7ffdeef47000-7ffdeef49000 r--p 00000000 00:00 0 [vvar]

ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0 [vsyscall]

[1] 36960 unknown signal (core dumped) ./a.out

二、AdressSanitizer

AddressSanitizer 是 Google 出品的一款开源的内存检测工具，可以用来检测内存损坏错误，例如缓冲区溢出或访问悬空指针等一系列问题。它首先被 clang 支持，继而又被 gcc 支持，gcc 4.8 及以后的版本直接可用。

1	$ g++ -g malloc_check.cc -fsanitize=address

再次运行该程序，可以看到 AddressSanitizer 提示 heap-buffer-overflow 并给出了相关内存地址的申请和读写操作的 backtrace，可以快速定位问题。

$ ./a.out

=================================================================

==37328== ERROR: AddressSanitizer: heap-buffer-overflow on address 0x60040000dff4 at pc 0x400957 bp 0x7fffa7c7e480 sp 0x7fffa7c7e478

WRITE of size 1 at 0x60040000dff4 thread T0

#0 0x400956 (/home/nerd/a.out+0x400956)

#1 0x400999 (/home/nerd/a.out+0x400999)

#2 0x7f19a8a9df44 (/lib/x86_64-linux-gnu/libc-2.19.so+0x21f44)

#3 0x400808 (/home/nerd/a.out+0x400808)

0x60040000dff4 is located 0 bytes to the right of 4-byte region [0x60040000dff0,0x60040000dff4)

allocated by thread T0 here:

#0 0x7f19a8e5681a (/usr/lib/x86_64-linux-gnu/libasan.so.0.0.0+0x1181a)

#1 0x4008de (/home/nerd/a.out+0x4008de)

#2 0x400999 (/home/nerd/a.out+0x400999)

#3 0x7f19a8a9df44 (/lib/x86_64-linux-gnu/libc-2.19.so+0x21f44)

Shadow bytes around the buggy address:

0x0c00ffff9ba0: fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa

0x0c00ffff9bb0: fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa

0x0c00ffff9bc0: fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa

0x0c00ffff9bd0: fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa

0x0c00ffff9be0: fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa

=>0x0c00ffff9bf0: fa fa fa fa fa fa fa fa fa fa fa fa fa fa[04]fa

0x0c00ffff9c00: fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa

0x0c00ffff9c10: fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa

0x0c00ffff9c20: fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa

0x0c00ffff9c30: fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa

0x0c00ffff9c40: fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa fa

Shadow byte legend (one shadow byte represents 8 application bytes):

Addressable: 00

Partially addressable: 01 02 03 04 05 06 07

Heap left redzone: fa

Heap righ redzone: fb

Freed Heap region: fd

Stack left redzone: f1

Stack mid redzone: f2

Stack right redzone: f3

Stack partial redzone: f4

Stack after return: f5

Stack use after scope: f8

Global redzone: f9

Global init order: f6

Poisoned by user: f7

ASan internal: fe

==37328== ABORTING

当然，这么强大的工具，也是有缺陷的。AddressSanitizer 编译的程序的堆、栈占用比原生程序的大，因此对于某些嵌入式设备可能并不太适用。

采蕨

码林野致

Month: 10 月 2018

进程退出的清理函数

重载 gcc 和 glibc 的内建函数

一、简单重载

二、符号别名

三、LD_PRELOAD

四、wrap 函数

巧用 gcc 和 glibc 调试内存问题

2018 年 10 月
一	二	三	四	五	六	日
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31