2008-06-11 11:4712246人閱讀評(píng)論(2)收藏舉報(bào)
最近寫(xiě)程序忽然發(fā)現(xiàn)了一些錯(cuò)誤��,運(yùn)行總是報(bào)Heap corruption detected.
?
斷點(diǎn)單步發(fā)現(xiàn)總是在delete的時(shí)候出錯(cuò)��。
?
以前也出現(xiàn)過(guò)��,不過(guò)沒(méi)啥注意,現(xiàn)在想留著是個(gè)大大的心病!于是上網(wǎng)查了相關(guān)資料:
?
下面是轉(zhuǎn)載資料:
?
http://www.shnenglu.com/kerlw/archive/2007/04/10/21604.aspx
?
今天寫(xiě)程序的時(shí)候到一個(gè)問(wèn)題��,調(diào)試的時(shí)候總是報(bào)錯(cuò)Heap corruption detected��。一直沒(méi)碰到過(guò)這樣的問(wèn)題��,所以實(shí)在不知道如何下手。后來(lái)偶然一次注釋掉一個(gè)釋放語(yǔ)句��,就沒(méi)報(bào)錯(cuò)了Heap corruption detected了(但是報(bào)memory leak)��,才發(fā)現(xiàn)原來(lái)這個(gè)釋放有問(wèn)題��。我的一個(gè)函數(shù)調(diào)用中,開(kāi)始的時(shí)候分配了一個(gè)char數(shù)組��,結(jié)束的時(shí)候釋放這個(gè)數(shù)組空間��,看起來(lái)完全是沒(méi)有問(wèn)題的��,居然會(huì)引發(fā)Heap corruption detected��。代碼大體如下:
?
char* pCmd = new char[len+1];?? // len has got value before
memset( pCmd, 0, len+1);
.........
for(int i=0;i<len;i++) {
????? ........????? //獲取一個(gè)str內(nèi)容形如:"1A", "0F"
????? sscanf(str, "%02X", &pCmd[i]);
}
.....
delete [] pCmd;
找到問(wèn)題的所在��,再分析代碼才發(fā)現(xiàn)了這其中一個(gè)很隱蔽的問(wèn)題��,就是那句sscanf,由于第二個(gè)參數(shù)用的是"%02X"��,那么對(duì)它而言��,最后一個(gè)參數(shù)就是一個(gè)指向int類(lèi)型的指針了��,而我給的實(shí)際是一個(gè)char的指針。
如果上面的循環(huán)只進(jìn)行到i<len-2��,或者pCmd的size擴(kuò)大到len+3��,都可以避免heap corruption��。
后來(lái)我干脆用了一個(gè)零時(shí)的int型變量來(lái)完成這個(gè)工作。
要分析這個(gè)問(wèn)題��,太理論化的我將不上來(lái)��,應(yīng)該是sscanf調(diào)用的過(guò)程中��,由于pCmd分配到的空間不足,因此引發(fā)了新的分配��,pCmd不再是像聲明的那樣一個(gè)len+1大小的char數(shù)組��,因此直接調(diào)用delete [] pCmd就會(huì)引發(fā)heap corruption了��。到底咋回事,也許還要高人來(lái)講講。
?
http://www.shnenglu.com/kerlw/archive/2007/04/12/21700.html
前兩天寫(xiě)程序的時(shí)候��,一不小心引發(fā)了Heap Corruption��,但是只是找出了引起問(wèn)題的代碼��,并寫(xiě)進(jìn)行了修正,沒(méi)有時(shí)間去深入的探索一番��,在博客上寫(xiě)了篇隨筆��,有些朋友留了些評(píng)論,讓我頗感慚愧,這樣一個(gè)問(wèn)題為何不去深入探索一番呢��,不能讓它繼續(xù)作為一個(gè)模糊的概念存在我的腦子里了��,故而今天研究了一下��,有些收獲,拿出來(lái)分享。
??????? 首先說(shuō)明一下什么是Heap Corruption��。當(dāng)輸入超出了預(yù)分配的空間大小��,就會(huì)覆蓋該空間之后的一段存儲(chǔ)區(qū)域��,這就叫Heap Corruption。這通常也被用作黑客攻擊的一種手段,因?yàn)槿绻谠摽臻g之后的那段存儲(chǔ)區(qū)域如果是比較重要的數(shù)據(jù)��,就可以利用Heap Corruption來(lái)把這些數(shù)據(jù)修改掉了��,后果當(dāng)然可想而知了��。
??????? 在VC里面,用release模式編譯運(yùn)行程序的時(shí)候��,堆分配(Heap allocation)的時(shí)候調(diào)用的是malloc��,如果你要分配10byte的空間��,那么就會(huì)只分配10byte空間,而用debug模式的時(shí)候��,堆分配調(diào)用的是_malloc_dbg��,如果你只要分配10byte的空間��,那么它會(huì)分配出除了你要的10byte之外,還要多出約36byte空間,用于存儲(chǔ)一些薄記信息,debug堆分配出來(lái)之后就會(huì)按順序連成一個(gè)鏈。
??????? 那么我們?cè)賮?lái)看看薄記信息中有些什么��。還是上面10byte分配空間的例子��,那么分配出的10byte空間的前面會(huì)有一個(gè)32byte的附加信息��,存儲(chǔ)的是一個(gè)_CrtMemBlockHeader結(jié)構(gòu),可以在DBGINT.H中找到該結(jié)構(gòu)的定義:
?
typedef struct _CrtMemBlockHeader
{
// Pointer to the block allocated just before this one:
?? struct _CrtMemBlockHeader *pBlockHeaderNext;
// Pointer to the block allocated just after this one:
?? struct _CrtMemBlockHeader *pBlockHeaderPrev;
?? char *szFileName;??? // File name
?? int nLine;????????????????? // Line number
?? size_t nDataSize;????? // Size of user block
?? int nBlockUse;???????? // Type of block
?? long lRequest;????????? // Allocation number
// Buffer just before (lower than) the user's memory:
?? unsigned char gap[nNoMansLandSize];
} _CrtMemBlockHeader;
/* In an actual memory block in the debug heap,
?* this structure is followed by:
?*?? unsigned char data[nDataSize];
?*?? unsigned char anotherGap[nNoMansLandSize];
?*/
?
結(jié)構(gòu)中的_CrtMemBlockHeader結(jié)構(gòu)兩個(gè)指針就不用解釋是干嘛的了,szFileName是存儲(chǔ)的發(fā)起分配操作的那行代碼所在的文件的路徑和名稱(chēng),而nLine則是行號(hào)��。nDataSize是請(qǐng)求分配的大小��,我們的例子里當(dāng)然就是10了,nBlockUse是類(lèi)型��,而lRequest是請(qǐng)求號(hào)��。最后一項(xiàng)gap��,又稱(chēng)NoMansLand��,是4byte(nNoMansLandSize=4)大小的一段區(qū)域,注意看最后幾行注釋就明白了��,在這個(gè)結(jié)構(gòu)后面跟的是用戶(hù)真正需要的10byte數(shù)據(jù)區(qū)域��,而其后還跟了一個(gè)4byte的Gap��,那么也就是說(shuō)用戶(hù)申請(qǐng)分配的區(qū)域是被一個(gè)頭結(jié)構(gòu),和一個(gè)4byte的gap包起來(lái)的��。在釋放這10byte空間的時(shí)候��,會(huì)檢查這些信息��。Gap被分配之后會(huì)被以0xFD填充。檢查中如果gap中的值變化了��,就會(huì)以Assert fail的方式報(bào)錯(cuò)��。不過(guò)vc6中提示的比較難懂��,DAMAGE :after Normal block(#dd) at 0xhhhhhhhh,而vs2005里面會(huì)提示Heap Corruption Detected!而如果你是release版本,那么這個(gè)錯(cuò)誤就會(huì)潛伏直到它的破壞力發(fā)生作用��。也許其后的區(qū)域存儲(chǔ)著一個(gè)除數(shù)��,而你的heap corruption把它改寫(xiě)成了0��,那么會(huì)怎么樣呢? :P
??????? 至于其他的C/C++編譯器中是否會(huì)有這樣的機(jī)制��,我就不是很清楚了��,或許知道的朋友可以給我做些補(bǔ)充��。
下面是我的見(jiàn)解:
我的出錯(cuò)程序:
unsigned int tLength=strlen(inSrcString);
char* tString=new char[tLength];???? //注意這里!?�?�!分配的數(shù)組大小應(yīng)為tLength+1,因?yàn)樽詈筮€有一個(gè)'/0'
...
strcpy(tString,inSrcString);??????????? //也要小心!如果inSrcString的長(zhǎng)度大于tString的長(zhǎng)度��,會(huì)越界��,顯然Bug!本例先取inSrcString長(zhǎng)度
/*附上strcpy大概實(shí)現(xiàn)��,想然你會(huì)明白我的意思。
char* strcpy(char* pDest,const char* pSrc)
{
assert(pDest!=NULL&&pSrc!=NULL);
char* addr=pDest;
while((*pDest++=*pSrc++)!='/0');
retrun addr;
*/
...
delete[] tString;????????????????? //字符數(shù)組��,所以用delete[]��,就是這里報(bào)錯(cuò)?�。?�!
我想C++的字符串操作��,我是說(shuō)像我這么原始的��,而不是string類(lèi),一定要千萬(wàn)小心?�。��?�!祝你好運(yùn)!
好了��,我想我已經(jīng)說(shuō)明白了��。如果你還不明白��,再仔細(xì)琢磨琢磨吧。
為防自己忘記��,特記之��。
?