内存泄漏的定?
一般我们常说的内存泄漏是指堆内存的泄漏。堆内存是指E序从堆中分配的Q大Q意的Q内存块的大可以在E序q行期决定)Q用完后必LC释攄内存。应用程序一般用mallocQreallocQnew{函C堆中分配C块内存,使用完后Q程序必负责相应的调用free或delete释放该内存块Q否则,q块内存׃能被再次使用Q我们就说这块内存泄漏了。以下这D小E序演示了堆内存发生泄漏的情形:
| void MyFunction(int nSize) { char* p= new char[nSize]; if( !GetStringFrom( p, nSize ) ){ MessageBox(“Error”); return; } …//using the string pointed by p; delete p; } |
当函数GetStringFrom()q回零的时候,指针p指向的内存就不会被释放。这是一U常见的发生内存泄漏的情形。程序在入口处分配内存,在出口处释放内存Q但是c函数可以在Q何地斚w出,所以一旦有某个出口处没有释攑ֺ该释攄内存Q就会发生内存泄漏?
q义的说Q内存泄漏不仅仅包含堆内存的泄漏Q还包含pȝ资源的泄?resource leak)Q比如核心态HANDLEQGDI ObjectQSOCKETQInterface{,从根本上说这些由操作pȝ分配的对象也消耗内存,如果q些对象发生泄漏最l也会导致内存的泄漏。而且Q某些对象消耗的是核心态内存,q些对象严重泄漏时会D整个操作pȝ不稳定。所以相比之下,pȝ资源的泄漏比堆内存的泄漏更ؓ严重?
GDI Object的泄漏是一U常见的资源泄漏Q?
| void CMyView::OnPaint( CDC* pDC ) { CBitmap bmp; CBitmap* pOldBmp; bmp.LoadBitmap(IDB_MYBMP); pOldBmp = pDC->SelectObject( &bmp ); … if( Something() ){ return; } pDC->SelectObject( pOldBmp ); return; } |
当函数Something()q回非零的时候,E序在退出前没有把pOldBmp选回pDC中,q会DpOldBmp指向的HBITMAP对象发生泄漏。这个程序如果长旉的运行,可能会导致整个系l花屏。这U问题在Win9x下比较容易暴露出来,因ؓWin9x的GDI堆比Win2k或NT的要很多?
内存泄漏的发生方式:
以发生的方式来分c,内存泄漏可以分ؓ4c:
1. 常发性内存泄漏。发生内存泄漏的代码会被多次执行刎ͼ每次被执行的时候都会导致一块内存泄漏。比如例二,如果Something()函数一直返回TrueQ那么pOldBmp指向的HBITMAP对象L发生泄漏?
2. 偶发性内存泄漏。发生内存泄漏的代码只有在某些特定环境或操作q程下才会发生。比如例二,如果Something()函数只有在特定环境下才返回TrueQ那么pOldBmp指向的HBITMAP对象q不L发生泄漏。常发性和偶发性是相对的。对于特定的环境Q偶发性的也许变成了常发性的。所以测试环境和试ҎҎ内存泄漏至关重要?
3. 一ơ性内存泄漏。发生内存泄漏的代码只会被执行一ơ,或者由于算法上的缺PDM有一块仅且一块内存发生泄漏。比如,在类的构造函C分配内存Q在析构函数中却没有释放该内存,但是因ؓq个cL一个SingletonQ所以内存泄漏只会发生一ơ。另一个例子:
| char* g_lpszFileName = NULL; void SetFileName( const char* lpcszFileName ) { if( g_lpszFileName ){ free( g_lpszFileName ); } g_lpszFileName = strdup( lpcszFileName ); } |
如果E序在结束的时候没有释放g_lpszFileName指向的字W串Q那么,即多次调用SetFileName()QM有一块内存,而且仅有一块内存发生泄漏?
4. 隐式内存泄漏。程序在q行q程中不停的分配内存Q但是直到结束的时候才释放内存。严格的说这里ƈ没有发生内存泄漏Q因为最l程序释放了所有申L内存。但是对于一个服务器E序Q需要运行几天,几周甚至几个月,不及旉攑ֆ存也可能D最l耗尽pȝ的所有内存。所以,我们U这cd存泄漏ؓ隐式内存泄漏。D一个例子:
| class Connection { public: Connection( SOCKET s); ~Connection(); … private: SOCKET _socket; … }; class ConnectionManager { public: ConnectionManager(){ } ~ConnectionManager(){ list<Connection>::iterator it; for( it = _connlist.begin(); it != _connlist.end(); ++it ){ delete Q?itQ? } _connlist.clear(); } void OnClientConnected( SOCKET s ){ Connection* p = new Connection(s); _connlist.push_back(p); } void OnClientDisconnected( Connection* pconn ){ _connlist.remove( pconn ); delete pconn; } private: list<Connection*> _connlist; }; |
假设在Client从Server端断开后,Serverq没有呼叫OnClientDisconnected()函数Q那么代表那ơ连接的Connection对象׃会被及时的删除(在ServerE序退出的时候,所有Connection对象会在ConnectionManager的析构函数里被删除)。当不断的有q接建立、断开旉式内存泄漏就发生了?
从用户用程序的角度来看Q内存泄漏本w不会生什么危宻I作ؓ一般的用户Q根本感觉不到内存泄漏的存在。真正有危害的是内存泄漏的堆U,q会最l消耗尽pȝ所有的内存。从q个角度来说Q一ơ性内存泄漏ƈ没有什么危宻I因ؓ它不会堆U,而隐式内存泄漏危x则非常大,因ؓ较之于常发性和偶发性内存泄漏它更难被检到?/p>
内存泄漏:
内存泄漏的关键是要能截获住对分配内存和释放内存的函数的调用。截获住q两个函敎ͼ我们p跟踪每一块内存的生命周期Q比如,每当成功的分配一块内存后Q就把它的指针加入一个全局的list中;每当释放一块内存,再把它的指针从list中删除。这P当程序结束的时候,list中剩余的指针是指向那些没有被释攄内存。这里只是简单的描述了检内存泄漏的基本原理Q详l的法可以参见Steve Maguire?lt;<Writing Solid Code>>?
如果要检堆内存的泄漏,那么需要截获住malloc/realloc/free和new/delete可以了Q其实new/delete最l也是用malloc/free的,所以只要截获前面一l即可)。对于其他的泄漏Q可以采用类似的ҎQ截获住相应的分配和释放函数。比如,要检BSTR的泄漏,需要截获SysAllocString/SysFreeStringQ要HMENU的泄漏,需要截获CreateMenu/ DestroyMenu。(有的资源的分配函数有多个Q释攑և数只有一个,比如QSysAllocStringLen也可以用来分配BSTRQ这时就需要截获多个分配函敎ͼ
在Windowsq_下,内存泄漏的工具常用的一般有三种QMS C-Runtime Library内徏的检功能;外挂式的工P诸如QPurifyQBoundsChecker{;利用Windows NT自带的Performance Monitor。这三种工具各有优缺点,MS C-Runtime Library虽然功能上较之外挂式的工兯弱,但是它是免费的;Performance Monitor虽然无法标示出发生问题的代码Q但是它能检出隐式的内存泄漏的存在Q这是其他两cdh能ؓ力的地方?
以下我们详细讨论q三U检工P
VC下内存泄漏的方?
用MFC开发的应用E序Q在DEBUG版模式下~译后,都会自动加入内存泄漏的检代码。在E序l束后,如果发生了内存泄漏,在DebugH口中会昄出所有发生泄漏的内存块的信息Q以下两行显CZ一块被泄漏的内存块的信息:
E:\TestMemLeak\TestDlg.cpp(70) : {59} normal block at 0x00881710, 200 bytes long.
Data: <abcdefghijklmnop> 61 62 63 64 65 66 67 68 69 6A 6B 6C 6D 6E 6F 70
W一行显C内存块由TestDlg.cpp文gQ第70行代码分配,地址?x00881710Q大ؓ200字节Q{59}是指调用内存分配函数的Request OrderQ关于它的详l信息可以参见MSDN中_CrtSetBreakAlloc()的帮助。第二行昄该内存块?6个字节的内容Q尖括号内是以ASCII方式昄Q接着的是?6q制方式昄?
一般大安误以些内存泄漏的功能是由MFC提供的,其实不然。MFC只是装和利用了MS C-Runtime Library的Debug Function。非MFCE序也可以利用MS C-Runtime Library的Debug Function加入内存泄漏的检功能。MS C-Runtime Library在实现malloc/freeQstrdup{函数时已经内徏了内存泄漏的功能?
注意观察一下由MFC Application Wizard生成的项目,在每一个cpp文g的头部都有这样一D宏定义Q?
#ifdef _DEBUG
#define new DEBUG_NEW
#undef THIS_FILE
static char THIS_FILE[] = __FILE__;
#endif
有了q样的定义,在编译DEBUG版时Q出现在q个cpp文g中的所有new都被替换成DEBUG_NEW了。那么DEBUG_NEW是什么呢QDEBUG_NEW也是一个宏Q以下摘自afx.hQ?632?
#define DEBUG_NEW new(THIS_FILE, __LINE__)
所以如果有q样一行代码:
char* p = new char[200];
l过宏替换就变成了:
char* p = new( THIS_FILE, __LINE__)char[200];
ҎC++的标准,对于以上的new的用方法,~译器会Lq样定义的operator newQ?
void* operator new(size_t, LPCSTR, int)
我们在afxmem.cpp 63行找C一个这Loperator new 的实?/p>
| void* AFX_CDECL operator new(size_t nSize, LPCSTR lpszFileName, int nLine) { return ::operator new(nSize, _NORMAL_BLOCK, lpszFileName, nLine); } void* __cdecl operator new(size_t nSize, int nType, LPCSTR lpszFileName, int nLine) { … pResult = _malloc_dbg(nSize, nType, lpszFileName, nLine); if (pResult != NULL) return pResult; … } |
W二个operator new函数比较长,Z单期_我只摘录了部分。很昄最后的内存分配q是通过_malloc_dbg函数实现的,q个函数属于MS C-Runtime Library 的Debug Function。这个函C但要求传入内存的大小Q另外还有文件名和行号两个参数。文件名和行号就是用来记录此ơ分配是由哪一D代码造成的。如果这块内存在E序l束之前没有被释放,那么q些信息׃输出到DebugH口里?
q里Z提一下THIS_FILEQ__FILE和__LINE__。__FILE__和__LINE__都是~译器定义的宏。当到__FILE__Ӟ~译器会把__FILE__替换成一个字W串Q这个字W串是当前在编译的文g的\径名。当到__LINE__Ӟ~译器会把__LINE__替换成一个数字,q个数字是当前q行代码的行受在DEBUG_NEW的定义中没有直接使用__FILE__Q而是用了THIS_FILEQ其目的是ؓ了减目标文件的大小。假讑֜某个cpp文g中有100处用了newQ如果直接用__FILE__Q那~译器会产生100个常量字W串Q这100个字W串都是q个cpp文g的\径名Q显然十分冗余。如果用THIS_FILEQ编译器只会产生一个常量字W串Q那100处new的调用用的都是指向帔R字符串的指针?
再次观察一下由MFC Application Wizard生成的项目,我们会发现在cpp文g中只对new做了映射Q如果你在程序中直接使用malloc函数分配内存Q调用malloc的文件名和行h不会被记录下来的。如果这块内存发生了泄漏QMS C-Runtime Library仍然能检到Q但是当输出q块内存块的信息Q不会包含分配它的的文g名和行号?
要在非MFCE序中打开内存泄漏的检功能非常容易,你只要在E序的入口处加入以下几行代码Q?
| int tmpFlag = _CrtSetDbgFlag( _CRTDBG_REPORT_FLAG ); tmpFlag |= _CRTDBG_LEAK_CHECK_DF; _CrtSetDbgFlag( tmpFlag ); |
q样Q在E序l束的时候,也就是winmainQmain或dllmain函数q回之后Q如果还有内存块没有释放Q它们的信息会被打印到DebugH口里?
如果你试着创徏了一个非MFC应用E序Q而且在程序的入口处加入了以上代码Qƈ且故意在E序中不释放某些内存块,你会在DebugH口里看C下的信息Q?
{47} normal block at 0x00C91C90, 200 bytes long.
Data: < > 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F
内存泄漏的确到了,但是和上面MFCE序的例子相比,~少了文件名和行受对于一个比较大的程序,没有q些信息Q解决问题将变得十分困难?
Z能够知道泄漏的内存块是在哪里分配的,你需要实现类似MFC的映功能,把newQmaolloc{函数映到_malloc_dbg函数上。这里我不再赘述Q你可以参考MFC的源代码?
׃Debug Function实现在MS C-RuntimeLibrary中,所以它只能到堆内存的泄漏Q而且只限于mallocQrealloc或strdup{分配的内存Q而那些系l资源,比如HANDLEQGDI ObjectQ或是不通过C-Runtime Library分配的内存,比如VARIANTQBSTR的泄漏,它是无法到的,q是q种法的一个重大的局限性。另外,Z能记录内存块是在哪里分配的,源代码必ȝ应的配合Q这在调试一些老的E序非常ȝQ毕竟修Ҏ代码不是一件省心的事,q是q种法的另一个局限性?
对于开发一个大型的E序QMS C-Runtime Library提供的检功能是q远不够的。接下来我们q看外挂式的检工兗我用的比较多的是BoundsCheckerQ一则因为它的功能比较全面,更重要的是它的稳定性。这cd具如果不E_Q反而会忙里Mؕ。到底是鼎鼎大名的NuMegaQ我用下来基本上没有什么大问题?/p>
使用BoundsChecker内存泄漏:
BoundsChecker采用一U被UCؓCode Injection的技术,来截获对分配内存和释攑ֆ存的函数的调用。简单地_当你的程序开始运行时QBoundsChecker的DLL被自动蝲入进E的地址I间Q这可以通过system-level的Hook实现Q,然后它会修改q程中对内存分配和释攄函数调用Q让q些调用首先转入它的代码Q然后再执行原来的代码。BoundsChecker在做q些动作的时Q无M改被调试E序的源代码或工E配|文Ӟq得用它非常的简ѝ直接?
q里我们以malloc函数ZQ截获其他的函数Ҏ与此cM?
需要被截获的函数可能在DLL中,也可能在E序的代码里。比如,如果静态连lC-Runtime LibraryQ那么malloc函数的代码会被连l到E序里。ؓ了截获住对这cd数的调用QBoundsChecker会动态修改这些函数的指o?
以下两段汇编代码Q一D|有BoundsChecker介入Q另一D则有BoundsChecker的介入:
| 126: _CRTIMP void * __cdecl malloc ( 127: size_t nSize 128: ) 129: { 00403C10 push ebp 00403C11 mov ebp,esp 130: return _nh_malloc_dbg(nSize, _newmode, _NORMAL_BLOCK, NULL, 0); 00403C13 push 0 00403C15 push 0 00403C17 push 1 00403C19 mov eax,[__newmode (0042376c)] 00403C1E push eax 00403C1F mov ecx,dword ptr [nSize] 00403C22 push ecx 00403C23 call _nh_malloc_dbg (00403c80) 00403C28 add esp,14h 131: } |
以下q一D代码有BoundsChecker介入Q?/p>
| 126: _CRTIMP void * __cdecl malloc ( 127: size_t nSize 128: ) 129: { 00403C10 jmp 01F41EC8 00403C15 push 0 00403C17 push 1 00403C19 mov eax,[__newmode (0042376c)] 00403C1E push eax 00403C1F mov ecx,dword ptr [nSize] 00403C22 push ecx 00403C23 call _nh_malloc_dbg (00403c80) 00403C28 add esp,14h 131: } |
当BoundsChecker介入后,函数malloc的前三条汇编指o被替换成一条jmp指oQ原来的三条指o被搬到地址01F41EC8处了。当E序q入malloc后先jmp?1F41EC8Q执行原来的三条指oQ然后就是BoundsChecker的天下了。大致上它会先记录函数的q回地址Q函数的q回地址在stack上,所以很Ҏ修改Q,然后把返回地址指向属于BoundsChecker的代码,接着跛_malloc函数原来的指令,也就是在00403c15的地斏V当malloc函数l束的时候,׃q回地址被修改,它会q回到BoundsChecker的代码中Q此时BoundsChecker会记录由malloc分配的内存的指针Q然后再跌{到到原来的返回地址厅R?
如果内存分配/释放函数在DLL中,BoundsChecker则采用另一U方法来截获对这些函数的调用。BoundsChecker通过修改E序的DLL Import Table让table中的函数地址指向自己的地址Q以辑ֈ截获的目的。关于如何拦截Windows的系l函敎ͼ《程序员》杂?002q?期,《API钩子揭密Q下Q》,对修改导入地址表做了概要的描述。我׃再赘q?
截获住这些分配和释放函数QBoundsCheckerp记录被分配的内存或资源的生命周期。接下来的问题是如何与源代码相关Q也是说当BoundsChecker到内存泄漏Q它如何报告q块内存块是哪段代码分配的。答案是调试信息QDebug InformationQ。当我们~译一个Debug版的E序Ӟ~译器会把源代码和二q制代码之间的对应关p记录下来,攑ֈ一个单独的文g?.pdb)或者直接连l进目标E序中。有了这些信息,调试器才能完成断点设|,单步执行Q查看变量等功能。BoundsChecker支持多种调试信息格式Q它通过直接d调试信息p得到分配某块内存的源代码在哪个文Ӟ哪一行上。用Code Injection和Debug InformationQBoundsChecker不但能记录呼叫分配函数的源代码的位置Q而且q能记录分配时的Call StackQ以及Call Stack上的函数的源代码位置。这在用像MFCq样的类库时非常有用Q以下我用一个例子来说明Q?
| void ShowXItemMenu() { … CMenu menu; menu.CreatePopupMenu(); //add menu items. menu.TrackPropupMenu(); … } void ShowYItemMenu( ) { … CMenu menu; menu.CreatePopupMenu(); //add menu items. menu.TrackPropupMenu(); menu.Detach();//this will cause HMENU leak … } BOOL CMenu::CreatePopupMenu() { … hMenu = CreatePopupMenu(); … } |
当调用ShowYItemMenu()Ӟ我们故意造成HMENU的泄漏。但是,对于BoundsChecker来说被泄漏的HMENU是在class CMenu::CreatePopupMenu()中分配的。假讄你的E序有许多地方用了CMenu的CreatePopupMenu()函数Q如果只是告诉你泄漏是由CMenu::CreatePopupMenu()造成的,你依然无法确认问题的根结到底在哪里,在ShowXItemMenu()中还是在ShowYItemMenu()中,或者还有其它的地方也用了CreatePopupMenu()Q有了Call Stack的信息,问题容易了。BoundsChecker会如下报告泄漏的HMENU的信息:
|
Function CMenu::CreatePopupMenu ShowYItemMenu |
q里省略了其他的函数调用
如此Q我们很Ҏ扑ֈ发生问题的函数是ShowYItemMenu()。当使用MFC之类的类库编E时Q大部分的API调用都被装在类库的class里,有了Call Stack信息Q我们就可以非常Ҏ的追t到真正发生泄漏的代码?
记录Call Stack信息会ɽE序的运行变得非常慢Q因此默认情况下BoundsChecker不会记录Call Stack信息。可以按照以下的步骤打开记录Call Stack信息的选项开养I
1. 打开菜单QBoundsChecker|Setting…
2. 在Error Detection中Q在Error Detection Scheme的List中选择Custom
3. 在Category的Combox中选择Pointer and leak error check
4. 钩上Report Call Stack复选框
5. 点击Ok
ZCode InjectionQBoundsCheckerq提供了API Parameter的校验功能,memory over run{功能。这些功能对于程序的开发都非常有益。由于这些内容不属于本文的主题,所以不在此详述了?
管BoundsChecker的功能如此强大,但是面对隐式内存泄漏仍然昑־苍白无力。所以接下来我们看看如何用Performance Monitor内存泄漏?
使用Performance Monitor内存泄?/strong>
NT的内核在设计q程中已l加入了pȝ监视功能Q比如CPU的用率Q内存的使用情况QI/O操作的频J度{都作ؓ一个个CounterQ应用程序可以通过dq些Counter了解整个pȝ的或者某个进E的q行状况。Performance Monitor是q样一个应用程序?
Z内存泄漏,我们一般可以监视Process对象的Handle CountQVirutal Bytes 和Working Set三个Counter。Handle Count记录了进E当前打开的HANDLE的个敎ͼ监视q个Counter有助于我们发现程序是否有Handle泄漏QVirtual Bytes记录了该q程当前在虚地址I间上用的虚拟内存的大,NT的内存分配采用了两步走的ҎQ首先,在虚地址I间上保留一D늩_q时操作pȝq没有分配物理内存,只是保留了一D地址。然后,再提交这D늩_q时操作pȝ才会分配物理内存。所以,Virtual Bytes一般d于程序的Working Set。监视Virutal Bytes可以帮助我们发现一些系l底层的问题; Working Set记录了操作系lؓq程已提交的内存的总量Q这个值和E序甌的内存总量存在密切的关p,如果E序存在内存的泄漏这个g持箋增加Q但是Virtual Bytes却是跌式增加的?
监视q些Counter可以让我们了解进E用内存的情况Q如果发生了泄漏Q即使是隐式内存泄漏Q这些Counter的g会持l增加。但是,我们知道有问题却不知道哪里有问题Q所以一般用Performance Monitor来验证是否有内存泄漏Q而用BoundsChecker来找到和解决问题?
当Performance Monitor昄有内存泄漏,而BoundsChecker却无法检到Q这时有两种可能Q第一U,发生了偶发性内存泄漏。这时你要确保用Performance Monitor和用BoundsCheckerӞE序的运行环境和操作Ҏ是一致的。第二种Q发生了隐式的内存泄漏。这时你要重新审查程序的设计Q然后仔l研IPerformance Monitor记录的Counter的值的变化图,分析其中的变化和E序q行逻辑的关p,扑ֈ一些可能的原因。这是一个痛苦的q程Q充满了假设、猜惟뀁验证、失败,但这也是一个积累经验的l好Z?/p>
]]>