Address Sanitizer定位内存问题_addresssanitizer: heap-use-after-free 定位问题-程序员宅基地

Address Sanitizer(ASan)是一个快速的内存错误检测工具。这里说明它的用法。

参考资料

AddressSanitizer
https://github.com/google/sanitizers/wiki/AddressSanitizer

1. 简介

Address Sanitizer(ASan)是一个快速的内存错误检测工具。它非常快,只拖慢程序两倍左右(比起Valgrind快多了)。它包括一个编译器instrumentation模块和一个提供malloc()/free()替代项的运行时库。

从gcc 4.8开始,AddressSanitizer成为gcc的一部分。当然,要获得更好的体验,最好使用4.9及以上版本,因为gcc 4.8的AddressSanitizer还不完善,最大的缺点是没有符号信息。

2. 使用步骤

  • 用-fsanitize=address选项编译和链接你的程序。
  • 用-fno-omit-frame-pointer编译,以得到更容易理解stack trace。
  • 可选择-O1或者更高的优化级别编译
gcc -fsanitize=address -fno-omit-frame-pointer -O1 -g use-after-free.c -o use-after-free

运行use-after-fee。如果发现了错误,就会打印出类似下面的信息:

==9901==ERROR: AddressSanitizer: heap-use-after-free on address 0x60700000dfb5 
  at pc 0x45917b bp 0x7fff4490c700 sp 0x7fff4490c6f8
READ of size 1 at 0x60700000dfb5 thread T0
    #0 0x45917a in main use-after-free.c:5
    #1 0x7fce9f25e76c in __libc_start_main /build/buildd/eglibc-2.15/csu/libc-start.c:226
    #2 0x459074 in _start (a.out+0x459074)
0x60700000dfb5 is located 5 bytes inside of 80-byte region [0x60700000dfb0,0x60700000e000)
freed by thread T0 here:
    #0 0x4441ee in __interceptor_free projects/compiler-rt/lib/asan/asan_malloc_linux.cc:64
    #1 0x45914a in main use-after-free.c:4
    #2 0x7fce9f25e76c in __libc_start_main /build/buildd/eglibc-2.15/csu/libc-start.c:226
previously allocated by thread T0 here:
    #0 0x44436e in __interceptor_malloc projects/compiler-rt/lib/asan/asan_malloc_linux.cc:74
    #1 0x45913f in main use-after-free.c:3
    #2 0x7fce9f25e76c in __libc_start_main /build/buildd/eglibc-2.15/csu/libc-start.c:226
SUMMARY: AddressSanitizer: heap-use-after-free use-after-free.c:5 main
  • 第一部分(ERROR)指出错误类型是heap-use-after-free;
  • 第二部分(READ), 指出线程名thread T0,操作为READ,发生的位置是use-after-free.c:5。
    • 该heapk块之前已经在use-after-free.c:4被释放了;
    • 该heap块是在use-fater-free.c:3分配
  • 第三部分 (SUMMARY) 前面输出的概要说明。

3. 错误类型

3.1 (heap) use after free 释放后使用

下面的代码中,分配array数组并释放,然后返回它的一个元素。

  5 int main (int argc, char** argv)
  6 {
  7     int* array = new int[100];
  8     delete []array;
  9     return array[1];
 10 }

下面的错误信息与前面的“使用步骤”一节中的类似。

==3189==ERROR: AddressSanitizer: heap-use-after-free on address 0x61400000fe44 
at pc 0x0000004008f1 bp 0x7ffc9b6e2630 sp 0x7ffc9b6e2620
READ of size 4 at 0x61400000fe44 thread T0
    #0 0x4008f0 in main /home/ron/dev/as/use_after_free.cpp:9
    #1 0x7f3763aa882f in __libc_start_main (/lib/x86_64-linux-gnu/libc.so.6+0x2082f)
    #2 0x4007b8 in _start (/home/ron/dev/as/build/use_after_free+0x4007b8)

0x61400000fe44 is located 4 bytes inside of 400-byte region [0x61400000fe40,0x61400000ffd0)
freed by thread T0 here:
    #0 0x7f3763ef1caa in operator delete[](void*) (/usr/lib/x86_64-linux-gnu/libasan.so.2+0x99caa)
    #1 0x4008b5 in main /home/ron/dev/as/use_after_free.cpp:8
    #2 0x7f3763aa882f in __libc_start_main (/lib/x86_64-linux-gnu/libc.so.6+0x2082f)

previously allocated by thread T0 here:
    #0 0x7f3763ef16b2 in operator new[](unsigned long) (/usr/lib/x86_64-linux-gnu/libasan.so.2+0x996b2)
    #1 0x40089e in main /home/ron/dev/as/use_after_free.cpp:7
    #2 0x7f3763aa882f in __libc_start_main (/lib/x86_64-linux-gnu/libc.so.6+0x2082f)

SUMMARY: AddressSanitizer: heap-use-after-free /home/ron/dev/as/use_after_free.cpp:9 main

3.2 heap buffer overflow 堆缓存访问溢出

如下代码中,访问的位置超出堆上数组array的边界。

  2 int main (int argc, char** argv)
  3 {
  4     int* array = new int[100];
  5     int res = array[100];
  6     delete [] array;
  7     return res;
  8 } 

下面的错误信息指出:

  • 错误类型是heap-buffer-overflow
  • 不合法操作READ发生在线程T0, heap_buf_overflow.cpp:5
  • heap块分配发生在heap_buf_overflow.cpp
==3322==ERROR: AddressSanitizer: heap-buffer-overflow on address 0x61400000ffd0 
at pc 0x0000004008e0 bp 0x7ffeddce53a0 sp 0x7ffeddce5390
READ of size 4 at 0x61400000ffd0 thread T0
    #0 0x4008df in main /home/ron/dev/as/heap_buf_overflow.cpp:5
    #1 0x7f3b83d0882f in __libc_start_main (/lib/x86_64-linux-gnu/libc.so.6+0x2082f)
    #2 0x4007b8 in _start (/home/ron/dev/as/build/heap_buf_overflow+0x4007b8)

0x61400000ffd0 is located 0 bytes to the right of 400-byte region [0x61400000fe40,0x61400000ffd0)
allocated by thread T0 here:
    #0 0x7f3b841516b2 in operator new[](unsigned long) (/usr/lib/x86_64-linux-gnu/libasan.so.2+0x996b2)
    #1 0x40089e in main /home/ron/dev/as/heap_buf_overflow.cpp:4
    #2 0x7f3b83d0882f in __libc_start_main (/lib/x86_64-linux-gnu/libc.so.6+0x2082f)

SUMMARY: AddressSanitizer: heap-buffer-overflow /home/ron/dev/as/heap_buf_overflow.cpp:5 main

3.2 stack buffer overflow 栈缓存访问溢出

如下代码中,访问的位置超出栈上数组array的边界。

  2 int main (int argc, char** argv)
  3 {
  4     int array[100];
  5     return array[100];
  6 }

下面的错误信息指出:

  • 错误类型是stack-buffer-overflow
  • 不合法操作READ发生在线程T0, stack_buf_overflow.cpp:5
  • 栈块在线程T0的栈上432偏移位置上。
==3389==ERROR: AddressSanitizer: stack-buffer-overflow on address 0x7ffd061fa4a0 
at pc 0x0000004009ff bp 0x7ffd061fa2d0 sp 0x7ffd061fa2c0
READ of size 4 at 0x7ffd061fa4a0 thread T0
    #0 0x4009fe in main /home/ron/dev/as/stack_buf_overflow.cpp:5
    #1 0x7fbade4e882f in __libc_start_main (/lib/x86_64-linux-gnu/libc.so.6+0x2082f)
    #2 0x400858 in _start (/home/ron/dev/as/build/stack_buf_overflow+0x400858)

Address 0x7ffd061fa4a0 is located in stack of thread T0 at offset 432 in frame
    #0 0x400935 in main /home/ron/dev/as/stack_buf_overflow.cpp:3

  This frame has 1 object(s):
    [32, 432) 'array' <== Memory access at offset 432 overflows this variable
HINT: this may be a false positive if your program uses some custom stack unwind mechanism or swapcontext
      (longjmp and C++ exceptions *are* supported)
SUMMARY: AddressSanitizer: stack-buffer-overflow /home/ron/dev/as/stack_buf_overflow.cpp:5 main

3.3 global buffer overflow 全局缓冲访问溢出

如下代码中,访问的位置超出全局数组array的边界。

  2 int array[100];
  3 
  4 int main (int argc, char** argv)
  5 {
  6     return array[100];
  7 }

下面的错误信息指出:

  • 错误类型是global-buffer-overflow
  • 不合法操作READ发生在线程T0, global_buf_overflow.cpp:6
  • 缓存块在global_buf_overflow.cpp:2 定义。
==3499==ERROR: AddressSanitizer: global-buffer-overflow on address 0x000000601270 
at pc 0x000000400915 bp 0x7ffd8e80c020 sp 0x7ffd8e80c010
READ of size 4 at 0x000000601270 thread T0
    #0 0x400914 in main /home/ron/dev/as/global_buf_overflow.cpp:6
    #1 0x7f613c1c882f in __libc_start_main (/lib/x86_64-linux-gnu/libc.so.6+0x2082f)
    #2 0x400808 in _start (/home/ron/dev/as/build/global_buf_overflow+0x400808)

0x000000601270 is located 0 bytes to the right of global variable 'array' defined in 
'/home/ron/dev/as/global_buf_overflow.cpp:2:5' (0x6010e0) of size 400
SUMMARY: AddressSanitizer: global-buffer-overflow /home/ron/dev/as/global_buf_overflow.cpp:6 main

3.4 use after return

3.5 use after scope

3.6 initializations order bugs

3.7 memory leaks 内存泄露

检测内存的LeakSanitizer是集成在AddressSanitizer中的一个相对独立的工具,它工作在检查过程的最后阶段。

下面代码中,p指向的内存没有释放。

  4 void* p;
  5 
  6 int main ()
  7 {
  8     p = malloc (7);
  9     p = 0;
 10     return 0;
 11 }

下面的错误信息指出 detected memory leaks

  • 内存在mem_leak.cpp:8分配
  • 缓存块在global_buf_overflow.cpp:2 定义。
==4088==ERROR: LeakSanitizer: detected memory leaks

Direct leak of 7 byte(s) in 1 object(s) allocated from:
    #0 0x7ff9ae510602 in malloc (/usr/lib/x86_64-linux-gnu/libasan.so.2+0x98602)
    #1 0x4008d3 in main /home/ron/dev/as/mem_leak.cpp:8
    #2 0x7ff9ae0c882f in __libc_start_main (/lib/x86_64-linux-gnu/libc.so.6+0x2082f)

SUMMARY: AddressSanitizer: 7 byte(s) leaked in 1 allocation(s).

目前,并不是所有的平台都默认检测内存泄露,可以指定ASAN_OPTIONS开启如下:

ASAN_OPTIONS=detect_leaks=1 yourapp

而且不是所有的平台支持检测内存泄露,比如ARM,就会得到这样的提示:

==1901==AddressSanitizer: detect_leaks is not supported on this platform.

4. 工作原理

4.1 概要说明

AddressSanitizer的运行时库替换malloc()/free()。分配缓存前后的空间标记为poisoned,已经被释放的缓存也被标记为poisoned。内存访问的代码都被编译器替换如下:

替换之前:

*address = ...;

替换之后:

if (IsPoisoned(address))
{
    ReportError(address, kAccessSize, kIsWrite);
}
*address = ...;

访问之前检查访问地址是否poisoned,如果是,报告错误。

4.2 memory mapping 和 instrumentation

进程的虚拟地址空间划分为两个不相连的部分:

  • main application memory (Mem)。这是程序自身代码使用的内存;
  • Shadow memory (Shadow)。这里放的是shadow value(meta data)。从Mem到Shadow之间有映射关系。将Mem的一个字节标记为poisoned,其实就是在对应的Shadow内存中写入指定值。

伪代码如下。它先从Mem中地址计算对应的Shadow地址。

shadow_address = MemToShadow (address);
if (ShadowIsPoisoned(shadow_address))
{
    ReportError (address, kAccessSize, kIsWrite);
}

4.3 mapping

Mem中的8字节映射到Shadow memory中是1字节。
这个字节可能有9种不同的值:

  • 所有8字节都是unpoisoned的,则值为0;
  • 所有8字节都是poisoned的,则值为负;
  • 前k字节为unpoisoned,后面8-k字节为poisoned, 则值为k。
    • malloc()分配的内存总是8字节的倍数,如果要分配的缓存不是8字节的倍数,则尾部的8个字节poisoned状态不同。比如分配13字节,会得到两个8字节。前1个全是unpoisoned,后一个只有前5个字节是unpoisoned,后3个字节是poisoned。

4.4 栈的处理

为了捕捉栈的访问溢出,AddressSanitizer在缓存前后加上保护区。这里可以看到设置对应Shadow memory的代码。

改编之前为:

void foo() 
{
  char a[8];
  ...
  return;
}

改编之后为:

void foo() 
{
  char redzone1[32];  // 32-byte aligned
  char a[8];          // 32-byte aligned
  char redzone2[24];
  char redzone3[32];  // 32-byte aligned
  int  *shadow_base = MemToShadow(redzone1);
  shadow_base[0] = 0xffffffff;  // poison redzone1
  shadow_base[1] = 0xffffff00;  // poison redzone2, unpoison 'a'
  shadow_base[2] = 0xffffffff;  // poison redzone3
  ...
  shadow_base[0] = shadow_base[1] = shadow_base[2] = 0; // unpoison all
  return;
}

4.5 malloc()/free()的处理

运行时库用自己的函数替换malloc() / free()。

  • malloc()在缓存前后分配保护区。缓存本身标记为unpoisoned,保护区标记为poisoned。
  • free() 将整个区域,包括缓存和保护区,都标记为poisoned,并将该区域放入一个特别的队列中,以保证malloc()在相当长的时间内不会再次使用它)。

上述都是直接就显示了代码的行数,实际很多时候都是库文件,需要通过addr2line命令工具来定位具体代码行数

addr2line -a -C -e libstagefright_omx.so  -f 00023808

addr2line -e libWebSocketProtocolWrapper.so 0x65679

地址内容就是asan输出信息的中的库+地址,这个libWebSocketProtocolWrapper.so+06679这个串中的地址

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/momo459548255/article/details/97008654

智能推荐

大学生课程设计 ------ 安卓Android软件设计(中国象棋)_基于安卓的象棋开发课设-程序员宅基地

文章浏览阅读1k次,点赞7次,收藏19次。大学生课程设计 ------ 安卓Android软件设计(中国象棋)Android嵌入式软件设计课程(代码+课程报告)基本效果如下(所有相关文件在文末链接给出):---------------------------------------------------我是分割线------------------------------------------------------------------------请到百度网盘下载全部文件(代码+论文)链接:https://pan.baidu._基于安卓的象棋开发课设

ENGINE=InnoDB时无法编辑表字段_enging=innobd报错-程序员宅基地

文章浏览阅读309次。ENGINE=InnoDB时在navicat里面编辑表数据,如果字段为default null,会出现输入后被清空的情况(输入不了)改为ENGINE=MyISAM可解决_enging=innobd报错

私人工具集7——webapi中的Token时效性验证_webapi验证token-程序员宅基地

私人工具集7——webapi中的Token时效性验证。通过生成随机字符串作为key保证token的随机性,并进行时效性验证。详情请见github链接。

Linux 与 Windows 的设备驱动模型对比:架构、API 和开发环境比较_linux hal api-程序员宅基地

文章浏览阅读1k次。Linux 与 Windows 的设备驱动模型对比_linux hal api

Linux中iostat命令参数详解_iostat util参数-程序员宅基地

文章浏览阅读5.9k次。iostat主要用于监控系统设备的IO负载情况,iostat首次运行时显示自系统启动开始的各项统计信息,之后运行iostat将显示自上次运行该命令以后的统计信息。用户可以根据需求指定相应的次数和时间。一、使用iostat 1命令:各参数含义 Device:部分 参数 释义 Device 监控的设备的名称,对应不同的分区 tps 该设备每秒的传输次数(Indicate the_iostat util参数

模型违约概率到信用评分的转化_lr评分卡概率转评分-程序员宅基地

文章浏览阅读3.2k次,点赞2次,收藏12次。模型违约概率到信用评分的转化定义坏好比odds=p/(1-p)P是LR计算的违约概率(即坏人的概率),1-p即好人的概率。评分卡设定的分值刻度可以通过将分值表示为比率对数的线性表达式scores=A-B*ln⁡(p/(1-p))注意:B前面是负号,坏好比越大,评分值越小。若是好坏比,B前面是正号。A、B值通过将两个已知或假设的分值带入计算得到。通常情况下,需要设定两个假设:(1)给..._lr评分卡概率转评分

随便推点

Go语言死锁、活锁和解锁概述_go sleep前解锁-程序员宅基地

文章浏览阅读676次。本节我们来介绍一下死锁、活锁和解锁这三个概念死锁死锁是指两个或者两个以上的进程(或线程)在执行过程中,因争夺资源而造成的一种互相等待的现象,若无外力作用,他们讲无法推进下去。此时称系统处于死锁状态或者产生死锁,这些永远在互相等待的进程死锁进程。死锁发生的条件有如下几种:1)互斥条件线程对资源的访问是排他性的,如果一个线程对占用某个资源,那么其他线程处于等待状态,直到该资源..._go sleep前解锁

如何实现微信公众号本地调试-程序员宅基地

文章浏览阅读7.8k次。我们开发微信公众号,微信官方规定,公众号请求必须配置已备案的域名,并且只支持80和443端口。以往的做法是每次写完代码发布到映射了域名的服务器上,通过打印日志来调试,这种做法很麻烦,也不利于调试,还有就是利用花生壳这类内网穿透软件,在自己的电脑上啊映射花生壳域名,但是现在大多数内网穿透软件都要收费,而且还比较昂贵,免费的要么不稳定,要么域名经常变。那么,我们还有什么办法可以实现公众号的本地化调试呢..._微信公众号 域名可以配置本地地址吗

C++计算函数执行时间的两种方法_c++ builder 函数执行时间-程序员宅基地

文章浏览阅读5.2k次,点赞2次,收藏3次。一、调用Windows系统API函数 GetTickCount()GetTickCount指的是获得操作系统启动到现在经过的时间数所以计算函数执行时间就很好办了函数启动前调用GetTickCount启动后再次获取GetTickCount相减则得到中间执行的时间二、用Clock()方法Clock也是获取时间但是唯一不同的是GetTickCount获取的最低单位..._c++ builder 函数执行时间

matlab 带入函数,matlab怎么把变量带入函数-程序员宅基地

文章浏览阅读1w次。matlab 画图l函数的变量问题将程序改成下面的就行了!fori=1:8t0=0:0.1:10;u=ut(1,:);u=subs(u,t,t0);figure(i);plot(t0,u);xlabel('时间t');ylabel(smatlab中怎么用将矩阵当成自变量带入函数运算?我建议把FUN函数的参数改为9个,如x1到x9,FunF(x1,x2.,x9)运算时令前三个为F,即F=[x1,x2..._matlab将变量代入函数

是德科技KEYSIGHT N6950A直流电源-程序员宅基地

文章浏览阅读35次。在设计高性能 ATE 系统时,您需要对测试系统的性能指标作出权衡,以达到“在预算范围内快速集成和测试”目标。Keysight N6900 系列直流电源凭借其小巧、灵活、速度领先的特性,帮助您解决这一难题。借助 VersaPower 体系结构,您可以调整 N6900 电源,以实现最佳的测试覆盖、质量和时间平衡。N6900 可以优化 ATE 测试,通用性正以前所未有的速度向前发展。

第四周-猴子选大王_#143. 猴子选大王-程序员宅基地

文章浏览阅读360次。【项目 - 猴子选大王】   一群猴子,编号是1,2,3 …m,这群猴子(m个)按照1-m的顺序围坐一圈。从第1只开始数,每数到第n个,该猴子就要离开此圈,这样依次下来,直到圈中只剩下最后一只猴子,则该猴子为大王。输入m和n,输出为大王的猴子是几号。#include using namespace std;struct Monkey{ int num; //猴子的编_#143. 猴子选大王