2008-06-11 11:4712246人閱讀評論(2)收藏舉報
最近寫程序忽然發(fā)現(xiàn)了一些錯誤��,運行總是報Heap corruption detected.
?
斷點單步發(fā)現(xiàn)總是在delete的時候出錯�。
?
以前也出現(xiàn)過,不過沒啥注意���,現(xiàn)在想留著是個大大的心病!于是上網(wǎng)查了相關(guān)資料:
?
下面是轉(zhuǎn)載資料:
?
http://www.shnenglu.com/kerlw/archive/2007/04/10/21604.aspx
?
今天寫程序的時候到一個問題,調(diào)試的時候總是報錯Heap corruption detected�����。一直沒碰到過這樣的問題�,所以實在不知道如何下手。后來偶然一次注釋掉一個釋放語句��,就沒報錯了Heap corruption detected了(但是報memory leak)�,才發(fā)現(xiàn)原來這個釋放有問題。我的一個函數(shù)調(diào)用中���,開始的時候分配了一個char數(shù)組,結(jié)束的時候釋放這個數(shù)組空間���,看起來完全是沒有問題的,居然會引發(fā)Heap corruption detected�。代碼大體如下:
?
char* pCmd = new char[len+1];?? // len has got value before
memset( pCmd, 0, len+1);
.........
for(int i=0;i<len;i++) {
????? ........????? //獲取一個str內(nèi)容形如:"1A", "0F"
????? sscanf(str, "%02X", &pCmd[i]);
}
.....
delete [] pCmd;
找到問題的所在��,再分析代碼才發(fā)現(xiàn)了這其中一個很隱蔽的問題,就是那句sscanf��,由于第二個參數(shù)用的是"%02X"����,那么對它而言,最后一個參數(shù)就是一個指向int類型的指針了�����,而我給的實際是一個char的指針��。
如果上面的循環(huán)只進行到i<len-2���,或者pCmd的size擴大到len+3,都可以避免heap corruption。
后來我干脆用了一個零時的int型變量來完成這個工作�����。
要分析這個問題,太理論化的我將不上來����,應(yīng)該是sscanf調(diào)用的過程中����,由于pCmd分配到的空間不足��,因此引發(fā)了新的分配��,pCmd不再是像聲明的那樣一個len+1大小的char數(shù)組,因此直接調(diào)用delete [] pCmd就會引發(fā)heap corruption了��。到底咋回事����,也許還要高人來講講。
?
http://www.shnenglu.com/kerlw/archive/2007/04/12/21700.html
前兩天寫程序的時候�,一不小心引發(fā)了Heap Corruption�����,但是只是找出了引起問題的代碼,并寫進行了修正����,沒有時間去深入的探索一番�����,在博客上寫了篇隨筆�����,有些朋友留了些評論��,讓我頗感慚愧,這樣一個問題為何不去深入探索一番呢,不能讓它繼續(xù)作為一個模糊的概念存在我的腦子里了����,故而今天研究了一下�,有些收獲���,拿出來分享����。
??????? 首先說明一下什么是Heap Corruption。當輸入超出了預(yù)分配的空間大小,就會覆蓋該空間之后的一段存儲區(qū)域,這就叫Heap Corruption��。這通常也被用作黑客攻擊的一種手段����,因為如果在該空間之后的那段存儲區(qū)域如果是比較重要的數(shù)據(jù),就可以利用Heap Corruption來把這些數(shù)據(jù)修改掉了,后果當然可想而知了。
??????? 在VC里面�����,用release模式編譯運行程序的時候��,堆分配(Heap allocation)的時候調(diào)用的是malloc����,如果你要分配10byte的空間����,那么就會只分配10byte空間�,而用debug模式的時候,堆分配調(diào)用的是_malloc_dbg����,如果你只要分配10byte的空間�����,那么它會分配出除了你要的10byte之外���,還要多出約36byte空間��,用于存儲一些薄記信息,debug堆分配出來之后就會按順序連成一個鏈。
??????? 那么我們再來看看薄記信息中有些什么����。還是上面10byte分配空間的例子��,那么分配出的10byte空間的前面會有一個32byte的附加信息,存儲的是一個_CrtMemBlockHeader結(jié)構(gòu),可以在DBGINT.H中找到該結(jié)構(gòu)的定義:
?
typedef struct _CrtMemBlockHeader
{
// Pointer to the block allocated just before this one:
?? struct _CrtMemBlockHeader *pBlockHeaderNext;
// Pointer to the block allocated just after this one:
?? struct _CrtMemBlockHeader *pBlockHeaderPrev;
?? char *szFileName;??? // File name
?? int nLine;????????????????? // Line number
?? size_t nDataSize;????? // Size of user block
?? int nBlockUse;???????? // Type of block
?? long lRequest;????????? // Allocation number
// Buffer just before (lower than) the user's memory:
?? unsigned char gap[nNoMansLandSize];
} _CrtMemBlockHeader;
/* In an actual memory block in the debug heap,
?* this structure is followed by:
?*?? unsigned char data[nDataSize];
?*?? unsigned char anotherGap[nNoMansLandSize];
?*/
?
結(jié)構(gòu)中的_CrtMemBlockHeader結(jié)構(gòu)兩個指針就不用解釋是干嘛的了�,szFileName是存儲的發(fā)起分配操作的那行代碼所在的文件的路徑和名稱�,而nLine則是行號�。nDataSize是請求分配的大小,我們的例子里當然就是10了,nBlockUse是類型,而lRequest是請求號���。最后一項gap,又稱NoMansLand,是4byte(nNoMansLandSize=4)大小的一段區(qū)域��,注意看最后幾行注釋就明白了�,在這個結(jié)構(gòu)后面跟的是用戶真正需要的10byte數(shù)據(jù)區(qū)域,而其后還跟了一個4byte的Gap,那么也就是說用戶申請分配的區(qū)域是被一個頭結(jié)構(gòu),和一個4byte的gap包起來的。在釋放這10byte空間的時候,會檢查這些信息�。Gap被分配之后會被以0xFD填充����。檢查中如果gap中的值變化了��,就會以Assert fail的方式報錯��。不過vc6中提示的比較難懂����,DAMAGE :after Normal block(#dd) at 0xhhhhhhhh,而vs2005里面會提示Heap Corruption Detected!而如果你是release版本�,那么這個錯誤就會潛伏直到它的破壞力發(fā)生作用����。也許其后的區(qū)域存儲著一個除數(shù)��,而你的heap corruption把它改寫成了0��,那么會怎么樣呢? :P
??????? 至于其他的C/C++編譯器中是否會有這樣的機制�,我就不是很清楚了�,或許知道的朋友可以給我做些補充��。
下面是我的見解:
我的出錯程序:
unsigned int tLength=strlen(inSrcString);
char* tString=new char[tLength];???? //注意這里?���。����。》峙涞臄?shù)組大小應(yīng)為tLength+1,因為最后還有一個'/0'
...
strcpy(tString,inSrcString);??????????? //也要小心�!如果inSrcString的長度大于tString的長度���,會越界�����,顯然Bug!本例先取inSrcString長度
/*附上strcpy大概實現(xiàn),想然你會明白我的意思�����。
char* strcpy(char* pDest,const char* pSrc)
{
assert(pDest!=NULL&&pSrc!=NULL);
char* addr=pDest;
while((*pDest++=*pSrc++)!='/0');
retrun addr;
*/
...
delete[] tString;????????????????? //字符數(shù)組��,所以用delete[],就是這里報錯!!��!
我想C++的字符串操作�,我是說像我這么原始的,而不是string類�,一定要千萬小心?���。��?���!祝你好運���!
好了,我想我已經(jīng)說明白了���。如果你還不明白,再仔細琢磨琢磨吧���。
為防自己忘記,特記之����。
?