2008-06-11 11:4712246人閱讀評論(2)收藏舉報
最近寫程序忽然發現了一些錯誤,運行總是報Heap corruption detected.
?
斷點單步發現總是在delete的時候出錯。
?
以前也出現過,不過沒啥注意,現在想留著是個大大的心病!于是上網查了相關資料:
?
下面是轉載資料:
?
http://www.shnenglu.com/kerlw/archive/2007/04/10/21604.aspx
?
今天寫程序的時候到一個問題,調試的時候總是報錯Heap corruption detected。一直沒碰到過這樣的問題,所以實在不知道如何下手。后來偶然一次注釋掉一個釋放語句,就沒報錯了Heap corruption detected了(但是報memory leak),才發現原來這個釋放有問題。我的一個函數調用中,開始的時候分配了一個char數組,結束的時候釋放這個數組空間,看起來完全是沒有問題的,居然會引發Heap corruption detected。代碼大體如下:
?
char* pCmd = new char[len+1];?? // len has got value before
memset( pCmd, 0, len+1);
.........
for(int i=0;i<len;i++) {
????? ........????? //獲取一個str內容形如:"1A", "0F"
????? sscanf(str, "%02X", &pCmd[i]);
}
.....
delete [] pCmd;
找到問題的所在,再分析代碼才發現了這其中一個很隱蔽的問題,就是那句sscanf,由于第二個參數用的是"%02X",那么對它而言,最后一個參數就是一個指向int類型的指針了,而我給的實際是一個char的指針。
如果上面的循環只進行到i<len-2,或者pCmd的size擴大到len+3,都可以避免heap corruption。
后來我干脆用了一個零時的int型變量來完成這個工作。
要分析這個問題,太理論化的我將不上來,應該是sscanf調用的過程中,由于pCmd分配到的空間不足,因此引發了新的分配,pCmd不再是像聲明的那樣一個len+1大小的char數組,因此直接調用delete [] pCmd就會引發heap corruption了。到底咋回事,也許還要高人來講講。
?
http://www.shnenglu.com/kerlw/archive/2007/04/12/21700.html
前兩天寫程序的時候,一不小心引發了Heap Corruption,但是只是找出了引起問題的代碼,并寫進行了修正,沒有時間去深入的探索一番,在博客上寫了篇隨筆,有些朋友留了些評論,讓我頗感慚愧,這樣一個問題為何不去深入探索一番呢,不能讓它繼續作為一個模糊的概念存在我的腦子里了,故而今天研究了一下,有些收獲,拿出來分享。
??????? 首先說明一下什么是Heap Corruption。當輸入超出了預分配的空間大小,就會覆蓋該空間之后的一段存儲區域,這就叫Heap Corruption。這通常也被用作黑客攻擊的一種手段,因為如果在該空間之后的那段存儲區域如果是比較重要的數據,就可以利用Heap Corruption來把這些數據修改掉了,后果當然可想而知了。
??????? 在VC里面,用release模式編譯運行程序的時候,堆分配(Heap allocation)的時候調用的是malloc,如果你要分配10byte的空間,那么就會只分配10byte空間,而用debug模式的時候,堆分配調用的是_malloc_dbg,如果你只要分配10byte的空間,那么它會分配出除了你要的10byte之外,還要多出約36byte空間,用于存儲一些薄記信息,debug堆分配出來之后就會按順序連成一個鏈。
??????? 那么我們再來看看薄記信息中有些什么。還是上面10byte分配空間的例子,那么分配出的10byte空間的前面會有一個32byte的附加信息,存儲的是一個_CrtMemBlockHeader結構,可以在DBGINT.H中找到該結構的定義:
?
typedef struct _CrtMemBlockHeader
{
// Pointer to the block allocated just before this one:
?? struct _CrtMemBlockHeader *pBlockHeaderNext;
// Pointer to the block allocated just after this one:
?? struct _CrtMemBlockHeader *pBlockHeaderPrev;
?? char *szFileName;??? // File name
?? int nLine;????????????????? // Line number
?? size_t nDataSize;????? // Size of user block
?? int nBlockUse;???????? // Type of block
?? long lRequest;????????? // Allocation number
// Buffer just before (lower than) the user's memory:
?? unsigned char gap[nNoMansLandSize];
} _CrtMemBlockHeader;
/* In an actual memory block in the debug heap,
?* this structure is followed by:
?*?? unsigned char data[nDataSize];
?*?? unsigned char anotherGap[nNoMansLandSize];
?*/
?
結構中的_CrtMemBlockHeader結構兩個指針就不用解釋是干嘛的了,szFileName是存儲的發起分配操作的那行代碼所在的文件的路徑和名稱,而nLine則是行號。nDataSize是請求分配的大小,我們的例子里當然就是10了,nBlockUse是類型,而lRequest是請求號。最后一項gap,又稱NoMansLand,是4byte(nNoMansLandSize=4)大小的一段區域,注意看最后幾行注釋就明白了,在這個結構后面跟的是用戶真正需要的10byte數據區域,而其后還跟了一個4byte的Gap,那么也就是說用戶申請分配的區域是被一個頭結構,和一個4byte的gap包起來的。在釋放這10byte空間的時候,會檢查這些信息。Gap被分配之后會被以0xFD填充。檢查中如果gap中的值變化了,就會以Assert fail的方式報錯。不過vc6中提示的比較難懂,DAMAGE :after Normal block(#dd) at 0xhhhhhhhh,而vs2005里面會提示Heap Corruption Detected!而如果你是release版本,那么這個錯誤就會潛伏直到它的破壞力發生作用。也許其后的區域存儲著一個除數,而你的heap corruption把它改寫成了0,那么會怎么樣呢? :P
??????? 至于其他的C/C++編譯器中是否會有這樣的機制,我就不是很清楚了,或許知道的朋友可以給我做些補充。
下面是我的見解:
我的出錯程序:
unsigned int tLength=strlen(inSrcString);
char* tString=new char[tLength];???? //注意這里!!!分配的數組大小應為tLength+1,因為最后還有一個'/0'
...
strcpy(tString,inSrcString);??????????? //也要小心!如果inSrcString的長度大于tString的長度,會越界,顯然Bug!本例先取inSrcString長度
/*附上strcpy大概實現,想然你會明白我的意思。
char* strcpy(char* pDest,const char* pSrc)
{
assert(pDest!=NULL&&pSrc!=NULL);
char* addr=pDest;
while((*pDest++=*pSrc++)!='/0');
retrun addr;
*/
...
delete[] tString;????????????????? //字符數組,所以用delete[],就是這里報錯!!!
我想C++的字符串操作,我是說像我這么原始的,而不是string類,一定要千萬小心!!!祝你好運!
好了,我想我已經說明白了。如果你還不明白,再仔細琢磨琢磨吧。
為防自己忘記,特記之。
?