Windows内存分配堆栈打印

已于 2023-12-17 09:36:56 修改
阅读量1.1k 收藏 20
点赞数 22
分类专栏: Windows调试 C++ 文章标签: windows c++
于 2023-12-14 23:44:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaojunhuiwww/article/details/135006428
版权

Windows内存分配堆栈打印

一、简介

前面我们使用gflags和UMDH工具分析了内存泄漏问题,gflags为我们创建了用户模式堆栈跟踪数据库(下面简称 ust ),那么这个数据库除了使用UMDH来访问外,我们程序员能否使用代码获取相关数据呢?有一个方法,就是使用windows系统自带的verifier.dll库。

二、接口说明

verifier.dll中有一个VerifierEnumerateResource接口,该接口可以允许我们枚举某个进程在系统中的资源,当我们开启ust时,ust中的数据,也是可以被枚举出来的。
microsoft learn | VerifierEnumerateResource

ULONG VerifierEnumerateResource(
  HANDLE                           Process,
  ULONG                            Flags,
  ULONG                            ResourceType,
  AVRF_RESOURCE_ENUMERATE_CALLBACK ResourceCallback,
  PVOID                            EnumerationContext
);

参数

Process
枚举资源的进程句柄。

当 ResourceType 参数为 AvrfResrouceHeapAllocation 时,必须使用PROCESS_VM_READ打开句柄,并PROCESS_QUERY_INFORMATION访问权限。

如果 ResourceType 为 AvrfResrouceHeapAllocation 并且 Flags 参数包含AVRF_ENUM_RESOURCES_FLAGS_SUSPEND,则还必须使用 PROCESS_SUSPEND_RESUME 标志。

Flags

如果 ResourceType 为 AvrfResourceHandleTrace,则不定义任何标志,Flags 参数的值必须为 0。

如果 ResourceType 参数为 AvrfResourceHeapAllocation, 则 Flags 参数可以是 0 或以下值的组合。

Value含义
AVRF_ENUM_RESOURCES_FLAGS_DONT_RESOLVE_TRACES堆分配的堆栈回溯(如果存在)不会通过 ReturnAddresses 数组复制。 这可能会加快枚举过程。
AVRF_ENUM_RESOURCES_FLAGS_SUSPEND在执行堆分配枚举之前,进程会暂停。这最大限度地减少了更改堆可能影响枚举的可能性。

ResourceType

此参数可能是以下值之一:

含义
AvrfResourceHandleTraceAPI 从当前进程的句柄表中枚举最近保存的句柄上的操作。
AvrfResourceHeapAllocationAPI 枚举堆分配,包括堆元数据块。

ResourceCallback

由 API 调用的应用程序定义的函数。

原型与所枚举的资源类型无关。 使用将传递适合所执行的枚举类型的原型

EnumerationContext

传递回回调函数的特定于应用程序的指针。

返回值
此函数返回 系统错误代码之一。

注解
此函数没有关联的导入库。 必须使用 LoadLibrary 和 GetProcAddress 函数动态链接到Verifier.dll。

三、Demo演示

下面我们就使用一个简单的demo来说明这个接口的用法。

🍉 首先我们申请一块内存作为测试

char* pszTest = new char[111111];

🍉 封装一个接口,以内存地址作为查找条件,打印内存的分配堆栈

PrintHeapStackTraceFromAddr(GetCurrentProcess(), pszTest);

🍉 实现PrintHeapStackTraceFromAddr接口


void PrintHeapStackTraceFromAddr(HANDLE hProcess, PVOID pAddr)
{
    // 记录下地址
    HMODULE hMod = LoadLibrary("verifier.dll");
    if (hMod != NULL)
    {
        decltype(VerifierEnumerateResource)* VerifierEnumerateResource = (decltype(VerifierEnumerateResource))GetProcAddress(hMod, "VerifierEnumerateResource");
        if (VerifierEnumerateResource != NULL)
        {
            VerifierEnumerateResource(hProcess, 0, AvrfResourceHeapAllocation, (AVRF_RESOURCE_ENUMERATE_CALLBACK)AvrfHeapAllocCallback, pAddr);
        };

        FreeLibrary(hMod);
    }
}

该接口主要就是功能动态加载verifier.dll,调用VerifierEnumerateResource接口,这里我们将回调函数和内存地址pAddr传入参数中。
这里需要包含头文件#include <avrfsdk.h>
由于verifier.dll没有关联的导出库( verifier.lib ) ,所以只能使用LoadLibrary动态加载了。

🍉接着实现回调函数AvrfHeapAllocCallback


ULONG WINAPI AvrfHeapAllocCallback(PAVRF_HEAP_ALLOCATION pstHeapAllocation, PVOID pszTest, PULONG EnumerationLevel) {
    if (pstHeapAllocation->BackTraceInformation->Depth > 0 && pstHeapAllocation->UserAllocationState == eUserAllocationState::AllocationStateBusy)
    {
        if ((ULONG64)pszTest == pstHeapAllocation->UserAllocation)
        {
			//TODO
            *EnumerationLevel = HeapEnumerationStop;// 停止遍历
        }
    }
    return 0;
}

通过比较地址的值,确定我们需要的堆栈信息。一般我们new和malloc都是拿到的用户数据区的地址,所以这里需要和pstHeapAllocation->UserAllocation比较,相对的,前面还有堆头数据,这个堆块的真正起始地址就是pstHeapAllocation->Allocation。注意,debug编译的话,这里也会存在问题,用户数据区还有一个crtdebug的头,所以new和malloc等接口真正拿到的并不是堆块用户区地址,我们demo代码只能release编译。

*EnumerationLevel = HeapEnumerationStop;// 停止遍历

当我们找到内存,打印信息后,就可以停止遍历了,让接口提前结束,提高效率。

🍉打印堆栈信息


            printf("stacktrace:\n");
            auto hProcess = GetCurrentProcess();
            SymInitialize(hProcess, 0, true);
            for (ULONG i = 0; i < pstHeapAllocation->BackTraceInformation->Depth; i++) {
                DWORD64 dwDisplacement = 0;
                IMAGEHLP_SYMBOL64_PACKAGE sp = { 0 };
                sp.sym.SizeOfStruct = sizeof(sp.sym);
                sp.sym.MaxNameLength = sizeof(sp.name);
                if (TRUE == SymGetSymFromAddr(hProcess, pstHeapAllocation->BackTraceInformation->ReturnAddresses[i], &dwDisplacement, &sp.sym))
                {
                    IMAGEHLP_LINE line = { sizeof(line)};
                    DWORD dwLineDisplacement = 0;
                    if (TRUE == SymGetLineFromAddr(hProcess, pstHeapAllocation->BackTraceInformation->ReturnAddresses[i], &dwLineDisplacement, &line))
                    {
                        printf("\t%Iu %s+%Id(%s at %d)\n", pstHeapAllocation->BackTraceInformation->ReturnAddresses[i], sp.sym.Name, dwDisplacement, line.FileName, line.LineNumber);
                    }
                    else
                    {
                        printf("\t%Iu %s+%Id\n", pstHeapAllocation->BackTraceInformation->ReturnAddresses[i], sp.sym.Name, dwDisplacement);
                    }
                }
            }
            SymCleanup(hProcess);

打印堆栈符号,我们用到了前面文章中提到的dbghelp库。

🍉完整demo

// ConsoleApplication3.cpp : 此文件包含 "main" 函数。程序执行将在此处开始并结束。
//

#include <stdio.h>
#include <windows.h>
#include <avrfsdk.h>
#include "DbgHelp.h"

#pragma comment(lib, "DbgHelp.lib")
#pragma warning(disable:4996)

ULONG WINAPI AvrfHeapAllocCallback(PAVRF_HEAP_ALLOCATION pstHeapAllocation, PVOID pszTest, PULONG EnumerationLevel) {
    if (pstHeapAllocation->BackTraceInformation->Depth > 0 && pstHeapAllocation->UserAllocationState == eUserAllocationState::AllocationStateBusy)
    {

        if ((ULONG64)pszTest == pstHeapAllocation->UserAllocation)
        {
            printf("stacktrace:\n");
            auto hProcess = GetCurrentProcess();
            SymInitialize(hProcess, 0, true);
            for (ULONG i = 0; i < pstHeapAllocation->BackTraceInformation->Depth; i++) {
                DWORD64 dwDisplacement = 0;
                IMAGEHLP_SYMBOL64_PACKAGE sp = { 0 };
                sp.sym.SizeOfStruct = sizeof(sp.sym);
                sp.sym.MaxNameLength = sizeof(sp.name);
                if (TRUE == SymGetSymFromAddr(hProcess, pstHeapAllocation->BackTraceInformation->ReturnAddresses[i], &dwDisplacement, &sp.sym))
                {
                    IMAGEHLP_LINE line = { sizeof(line)};
                    DWORD dwLineDisplacement = 0;
                    if (TRUE == SymGetLineFromAddr(hProcess, pstHeapAllocation->BackTraceInformation->ReturnAddresses[i], &dwLineDisplacement, &line))
                    {
                        printf("\t%Iu %s+%Id(%s at %d)\n", pstHeapAllocation->BackTraceInformation->ReturnAddresses[i], sp.sym.Name, dwDisplacement, line.FileName, line.LineNumber);
                    }
                    else
                    {
                        printf("\t%Iu %s+%Id\n", pstHeapAllocation->BackTraceInformation->ReturnAddresses[i], sp.sym.Name, dwDisplacement);
                    }
                }
            }
            SymCleanup(hProcess);

            *EnumerationLevel = HeapEnumerationStop;// 停止遍历
        }
    }
    return 0;
}

void PrintHeapStackTraceFromAddr(HANDLE hProcess, PVOID pAddr)
{
    // 记录下地址
    HMODULE hMod = LoadLibrary("verifier.dll");
    if (hMod != NULL)
    {
        decltype(VerifierEnumerateResource)* VerifierEnumerateResource = (decltype(VerifierEnumerateResource))GetProcAddress(hMod, "VerifierEnumerateResource");
        if (VerifierEnumerateResource != NULL)
        {
            VerifierEnumerateResource(hProcess, 0, AvrfResourceHeapAllocation, (AVRF_RESOURCE_ENUMERATE_CALLBACK)AvrfHeapAllocCallback, pAddr);
        };

        FreeLibrary(hMod);
    }
}

#define TEST_STR "HelloWorld!"
int main(int argc, char* argv[])
{
    printf("Enter Main!\n");
    char* pszTest = new char[111111];
    if (pszTest) 
    {
        strcpy(pszTest, TEST_STR);
        printf("%s\n", pszTest);
        PrintHeapStackTraceFromAddr(GetCurrentProcess(), pszTest);
    }
    
    delete[]pszTest;
    printf("Leave Main!\n");
    return 0;
}

这份demo代码需要在以下编译选项下编译
x64
release
多字节编码
禁止优化

🍉运行Demo

编译完成后,运行demo。如果直接运行就会是这样的:

Enter Main!
HelloWorld!
Leave Main!

别忘了,我们需要开启ust哦:

gflags /i ConsoleApplication3.exe +ust

再次运行:

Enter Main!
HelloWorld!
stacktrace:
        140714047821429 RtlNotifyFeatureUsage+51237
        140714001563814 malloc_base+54
        140699903334583 operator new+31(D:\a\_work\1\s\src\vctools\crt\vcstartup\src\heap\new_scalar.cpp at 36)
        140699903333301 main+37(D:\Test\VS2022Test\ConsoleApplication3\ConsoleApplication3\ConsoleApplication3.cpp at 68)
        140699903334032 __scrt_common_main_seh+268(D:\a\_work\1\s\src\vctools\crt\vcstartup\src\startup\exe_common.inl at 288)
        140714028913632 BaseThreadInitThunk+16
        140714047064155 RtlUserThreadStart+43
Leave Main!

完成了!!!

下一篇介绍下如何遍历进程的堆,这样配合ust,能够分析进程中内存的分布和分配情况

龙语者
关注
  • 22
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
WindowsC++打印堆栈
windpenguin的专栏
05-20 8578
搜索了下在WindowsC++打印堆栈的相关资料,发现很多都是类似,且方法比较复杂,因此自己封装了一个接口。主要用到了CaptureStackBackTrace,SymFromAddr,SymGetLineFromAddr64这三个接口。CaptureStackBackTrace用于获取当前堆栈,SymFromAddr用于获取符号信息,SymGetLineFromAddr64用于获取文件和行号信...
VC中打印当前调用堆栈信息实例
01-22
每次函数调用都会在堆栈上分配空间,保存返回地址、参数和局部变量等信息。当函数返回时,这些信息会被释放,以便为新的函数调用腾出空间。 在VC中,可以使用`__try`和`__except`关键字来捕获异常,然后通过Windows...
linux 打印堆栈方法
热门推荐
chenliang0224的专栏
02-08 1万+
1. linux内核堆栈打印方法在需要打印堆栈的函数内部加入函数dump_stack()或 __backtrace();例:在下面gsmld_open(...)函数内部加入dump_stack():static int gsmld_open(struct tty_struct *tty) { struct gsm_mux *gsm; dump_stack(); if (tty-&gt;...
Windows打印堆栈
最新发布
vczxh的专栏
01-18 548
Windows打印堆栈
堆栈打印方式
z296671124的博客
02-01 865
Windows堆栈打印函数方法(已测可用) #include &amp;lt;windows.h&amp;gt; #include &amp;lt;DbgHelp.h&amp;gt; #include &amp;lt;WinBase.h&amp;gt; void printStack() { unsigned int i; void * stack[100]; unsigned short frames; S
windows环境下C++代码打印函数堆栈调用情况
AlbertS Home of Technology
09-04 8387
文章目录前言查看函数堆栈的作用实现打印堆栈信息的函数显示堆栈调用信息总结程序源码 前言 程序运行的过程中,函数之间的是会相互调用的,在某一时刻函数之间的调用关系,可以通过函数调用堆栈表现出来,这个调用堆栈所展现的就是函数A调用了函数B,而函数B又调用了函数C,这些调用关系在代码中都是静态的,不需要程序运行就可以知道。 既然函数之间的调用关系可以通过分析代码就可以知道,那么查看函数调用的堆栈是不是...
[笔记]Windows核心编程《十八》堆栈
二次元怪兽的博客
02-22 1044
文章目录前言一、进程的默认堆栈二、为什么要创建辅助堆栈2.1 保护组件2.2 更有效的内存管理2.3 进行本地访问2.4 减少线程同步的开销2.5 迅速释放堆栈三、如何创建辅助堆栈3.1 从堆栈中分配内存块3.2 改变内存块的大小3.3 了解内存块的大小3.4 释放内存块3.5 撤消堆栈3.6 用C + +程序来使用堆栈四、其他堆栈函数总结 前言 windows 对内存进行操作的机制: 虚拟内存 文件映射 堆栈 使用堆栈场景: 堆栈可以用来分配许多较小的数据块。 例如,若要对链接表和链接树进行管理,最
C++程序检测内存泄漏的方法分享
09-03
借助像Detours这样的库,可以拦截内存分配函数(如`HeapAlloc`、`HeapRealloc`和`HeapFree`),记录分配信息并定期打印。这种方法的优点是它是非侵入性的,不需要修改源代码,可以检查到第三方库和脚本库中的内存...
CheckMemLeaker.zip_Windows编程_Visual_C++_
08-11
这通常涉及到跟踪内存分配的计数或者保存分配时的堆栈信息。通过分析这个文件,我们可以学习如何在实际项目中实现类似的功能,以防止和诊断内存泄露。 总的来说,了解和掌握这些内存管理技巧对于任何Windows平台上...
(内存和资源)WinCE泄漏检测
04-08
例如,通过定义`_CRTDBG_MAP_ALLOC`宏,可以将内存分配映射到调试版本,然后在程序结束时打印出所有未释放的内存块。 使用`_CrtSetDbgFlag`函数可以设置调试标志,启用内存泄漏检测。例如: ```c _CrtSetDbgFlag(_...
Windows线程的系统空间堆栈
03-28
详细讲解了Winodws线程基础原理和系统空间堆栈,适合初中级开发人员学习
C++异常处理之大全,包括SEH,CRT函数,打印堆栈等相关知识
06-07
本文将深入探讨C++异常处理的各个方面,包括结构化异常处理(SEH)、C运行时库(CRT)函数以及如何打印调用堆栈。这些知识对于编写健壮的C++代码至关重要。 首先,我们来了解一下结构化异常处理(SEH)。SEH是...
windows VS 下打印堆栈日志
HeroRazor的专栏
11-12 3045
别人的源码地址 http://www.codeproject.com/Articles/11132/Walking-the-callstack
Java打印堆栈信息
樊金良的博客
12-13 450
permstat 打印classload和jvm heap长久层的信息. 包含每个classloader的名字,活泼性,地址,父classloader和加载的class数量. 另外,内部String的数量和占用内存数也会打印出来.-dump:[live,]format=b,file= 使用hprof二进制形式,输出jvm的heap内容到文件=. live子选项是可选的,假如指定live选项,那么只输出活的对象到文件.-finalizerinfo 打印正等候回收的对象的信息.产看Java进程 jps。
windows堆栈溢出利用的七种方式
u011809276的专栏
11-02 1256
文本由 www.169it.com 收集 windows下的堆栈溢出攻击和unix下的,原理基本相同。但是,由于windows用户进程地址空间分配和堆栈处理有其独立的特点,导致了windows 环境下堆栈溢出攻击时,使用的堆栈溢出字符串,与unix下的,区别很大。另外,windows的版本也导致了windows下的exploit不具有通用性。windows版本不同,而exploit使用了很多
【WIN32】C++打印Windows中调用堆栈信息
Joeyshaw的博客
09-28 586
伪句柄是一个特殊常量,当前 (HANDLE) -1,被解释为当前进程句柄。每当需要进程句柄时,调用进程都可以使用伪句柄来指定自己的进程。指向 SYMBOL_INFO 结构的指针,该结构提供有关符号的信息。用于搜索符号文件的路径或用分号分隔的路径系列。如果地址位于符号的开头之后和符号的末尾之前,则会找到该符号。如果为 TRUE,则枚举进程的加载模块,并有效地为每个模块调用 SymLoadModule64 函数。此值是根据 BackTrace 数组中返回的指针的值计算的。符号开头的位移,或零。
jvm调优笔记
qq_56754651的博客
09-27 875
jvm调优实战学习笔记,及常量池解析
Windows堆栈
baidu_16370559的博客
02-26 801
堆的物理存储器来自页交换文件。 进程默认堆 1堆在进程的地址空间上。 2.默认情况下,进程堆的大小为1MB. 3.动态链接库是没有所谓的进程默认堆。 4.获取进程的默认堆的函数 getprocessheap 额外堆 1.创建额外堆HeapCreate HANDLE WINAPI HeapCreate( __in DWORD flOptions, __inSIZE_Tdw......
动态内存分配可以减少堆栈失败吗
06-02
动态内存分配可以减少堆栈失败的可能性。堆栈失败通常是由于程序中使用的栈空间不足所导致的。而动态内存分配可以在程序运行时根据需要动态地分配内存空间,从而避免因为栈空间不足而导致的堆栈失败问题。但是,动态内存分配也有可能会导致内存泄漏或者内存碎片等问题,因此在使用动态内存分配时需要注意内存的管理和释放,确保程序的稳定性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

龙语者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值