kdump使用实例一:内存越界

最新推荐文章于 2022-05-12 21:06:24 发布
最新推荐文章于 2022-05-12 21:06:24 发布
阅读量553 收藏 4
点赞数
分类专栏: Linux系统
原文链接:https://blog.csdn.net/fishermandong/article/details/12112381
版权

Kernel Panic (Kdump) 解析实例之一
原创Red-White-Blue 最后发布于2013-09-27 23:02:29 阅读数 4256  收藏

网络上已经有一些介绍如何配置kexec已产生kdump的文章。这里不重复介绍配置方法,而是介绍如何进行kdump文件解析。

下面介绍的都是Linux内核产生的kdump,利用crash这一工具解析。关于crash这个工具支持哪些命令,请参考crash命令自带的help。

1) 用crash命令打开vmcore
刚打开文件后,会输出一些关于软件本身以及vmcore文件的信息,基本用处不大。
[root@node-8 log]# crash vmlinux  vmcore

     gdb本身的版本等信息,省略。

2) 用bt命令查看导致panic的函数调用栈及当时的寄存器内容
注意,我们只需要看到[exception RIP...]以及其调用者即可。比如,下面的例子中,[exception RIP]对应#5,那么#0至#4只是系统在执行到引起panic的代码后的例行操作,本身对于解panic问题没有帮助。

RIP是当前要执行的指令的地址。

从这里我们可以看到的是:系统在执行scst_do_job_active这个函数调用的list_del()时发生了panic。具体地址是list_del+27。

crash> bt
PID: 60146  TASK: ffff880175c80ab0  CPU: 2   COMMAND: "abd"
 #0 [ffff8801759a3ba0] machine_kexec at ffffffff810368e9
 #1 [ffff8801759a3c00] crash_kexec at ffffffff810b8ad8
 #2 [ffff8801759a3cd0] oops_end at ffffffff814b9c60
 #3 [ffff8801759a3d00] die at ffffffff8101732b
 #4 [ffff8801759a3d30] do_general_protection at ffffffff814b97d2
 #5 [ffff8801759a3d60] general_protection at ffffffff814b8fa5
    [exception RIP: list_del+27]
    RIP: ffffffff812680eb  RSP: ffff8801759a3e10  RFLAGS: 00010046
    RAX: dead000000100100  RBX: ffff880093ec5950  RCX: 0000000000000030
    RDX: 000000000000c78b  RSI: 0000000000000000  RDI: ffff880093ec5950
    RBP: ffff8801759a3e20   R8: ffff880093ec5950   R9: 0000000000000080
    R10: 0000000000000000  R11: 0000000000000010  R12: 0000000000000000
    R13: ffff880177076bd0  R14: ffff880177076bc8  R15: 0000000000000000
    ORIG_RAX: ffffffffffffffff  CS: 0010  SS: 0018
 #6 [ffff8801759a3e28] scst_do_job_active at ffffffffa0422516 [scst]
 #7 [ffff8801759a3e68] scst_cmd_thread at ffffffffa042282a [scst]
 #8 [ffff8801759a3ee8] kthread at ffffffff810916c6
 #9 [ffff8801759a3f48] kernel_thread at ffffffff810141ca
 


3) 反汇编确定哪个寄存器是入口参数
从bt命令的结果可以看出,导致panic的指令是list_del+27。 list_del的源代码如下(kernel 2.6.32):

 44 void list_del(struct list_head *entry)
 45 {
 46         WARN(entry->prev->next != entry,
 47                 "list_del corruption. prev->next should be %p, "
 48                 "but was %p\n", entry, entry->prev->next);
 49         WARN(entry->next->prev != entry,
 50                 "list_del corruption. next->prev should be %p, "
 51                 "but was %p\n", entry, entry->next->prev);
 52         __list_del(entry->prev, entry->next);
 53         entry->next = LIST_POISON1;
 54         entry->prev = LIST_POISON2;
 55 }


我们用dis(disassemble)命令对list_del这个内核函数进行反汇编(绿色为注释,==>代表赋值。):

crash> dis list_del

0xffffffff812680d0 <list_del>:  push   %rbp

0xffffffff812680d1 <list_del+1>:        mov    %rsp,%rbp  ;前两句是标准的函数入口操作
0xffffffff812680d4 <list_del+4>:        push   %rbx            ;%rbx是 callee-save register,使用前先压栈保存.
0xffffffff812680d5 <list_del+5>:        mov    %rdi,%rbx  ;%rdi ==> %rbx; 因为%rdi不是 callee-save register。%rdi的对应如可参数entry
0xffffffff812680d8 <list_del+8>:        sub    $0x8,%rsp    ;栈顶减8,给WARN使用的局部变量预留空间
0xffffffff812680dc <list_del+12>:       mov    0x8(%rdi),%rax  ;entry->prev ==> %rax
0xffffffff812680e0 <list_del+16>:       mov    (%rax),%r8   ;entry->prev->next ==> %r8
0xffffffff812680e3 <list_del+19>:       cmp    %r8,%rdi      ;比较 entry->prev->next 和 entry
0xffffffff812680e6 <list_del+22>:       jne    0xffffffff81268121 <list_del+81> ; 如果二者不相等,则跳转,对应WARN(entry->prev->next != entry,...);
0xffffffff812680e8 <list_del+24>:       mov    (%rbx),%rax  ;entry->next ==> %rax。注意,<list_del+5>这一行已经把entry赋值给%rbx。使用%rbx而不是%rdi,因为可能从别的地方跳转到这一行,%rdi已经失效。
0xffffffff812680eb <list_del+27>:       mov    0x8(%rax),%r8; entry->next->prev ==> %r8,由于RIP显示就panic在这一句,而这一句对应了WARN(entry->next->prev != entry,...); 说明entry->next不是合法的指针。

根据上面的汇编分析,入口参数(entry)在rbx里面保存了。rbx的值为ffff880093ec5950。我们看看entry的内容,从而就能知道entry->next是什么。

crash> kmem ffff880093ec5950  ; 获取%rbx对应地址的内存分配信息,是一个scst_cmd结构体,与上面的bt信息吻合
CACHE            NAME                 OBJSIZE  ALLOCATED     TOTAL  SLABS  SSIZE
ffff880195443240 scst_cmd                 528        586      1155    165     4k
SLAB              MEMORY            TOTAL  ALLOCATED  FREE
ffff880093ec50c0  ffff880093ec5110      7          3     4
FREE / [ALLOCATED]
   ffff880093ec5950  (cpu 4 cache)


      PAGE        PHYSICAL      MAPPING       INDEX CNT FLAGS
ffffea00024fb140  93ec5000                0        0  1 20000000000080


由于 scst_cmd的第一个成员就是list_head,直接把ffff880093ec5950作为list_head显示


crash> struct list_head ffff880093ec5950
struct list_head {
  next = 0xdead000000100100, 
  prev = 0xffff880177076bd0
}


参见内核中的注释,#define LIST_POISON1  ((void *) 0x00100100 + POISON_POINTER_DELTA)
LIST_POISON1 即为 0xdead000000100100


从上面的内容可以看出,该list_head的内容是有问题的,其next表明它已经被从list上删除,但是其prev表明它还在list上。因此,可以认为程序没有保障list_head操作的原子性导致的。

猜测是list插入与删除并发引起的问题。具体的原因是由于锁的使用问题,就不在这里讨论了。
 

lit_wei
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【linux】kdump 简介 & 配置、触发等
IWTG 专栏
03-17 1万+
0、Kdump 的概念出现在 2005 左右,是迄今为止最可靠的内核转存机制,已经被主要的 linux™ 厂商选用         LKCD(Linux Kernel Crash Dump),netdump,diskdump 已被纳入 LDPs(Linux Documen-tation Project) 内核。SUSE 和 RedHat 都对 kdump 有技术支持。     1、kdu
C语言内存越界的小例子
不凋零的树叶
04-08 844
今天网上看到了一个有关C语言越界的问题。代码如下:请问输出的是什么? #include <stdio.h> #include <string.h> int main(void){ char s[]="abcdefghijklmnopqrstuvwxyz"; char d[]="123"; strcpy(d,s); //printf("s:%p d...
内存越界汇总
pro_houjibofa的博客
10-13 2052
[转载] 内存越界 2011-01-26 14:45  zhenjing  阅读(20153)  评论(3)  编辑  收藏  举报 讨论Linux下,常见的内存问题: 1.内存重复释放,出现double free时,通常是由于这种情况所致。 2.内存泄露,分配的内存忘了释放。 3.内存越界使用使用了不该使用内存。 4.使用了无效指针。 5.空指针,对一...
Kdump配置及使用(详细)总结(二)
Luckiers的博客
05-05 8523
本文主要介绍如何打开Kdump并对其相关文件进行配置。Kdump调试机理总结(一)crash工具分析vmcore文件常用命令总结(三)1、kdumpkdump 是一种先进的基于 kexec 的内核崩溃转储机制,用来捕获kernel crash(内核崩溃)的时候产生的crash dump。当内核产生错误时,kdump会将内存导出为vmcore保存到磁盘。2、 kdump流程当系统崩溃时,kdump 使用 kexec 启动到第二个内核。第二个内核通常叫做捕获内核,以很小内存启动以捕获转储镜像。
汇编指令看指针,数据越界,函数调用轨迹
qq_43594926的博客
05-12 584
指针变量 指针变量也是变量,读写操作和普通变量完全一致 普通变量的值–读写运算; 指针变量的值—定位内存可以是变量、常量,cpu寄存器,受保护的值, 指针变量做加减运算也是在做地址偏移 域名:百度,ip:202.108.22.5(数据包的导航方式); 域名是ip的别名 变量是内存地址的别名 第一句:定义一个int变量a并都把1赋值给a;即把1 写入到地址为0x1234的内存里面, 第二句:定义一个指针变量p,并且赋值为变量a的地址,即把0x1234写入到 地址为:0x1238的内存里面 第三句:对P进行
kdump:一个配置kdump的Ansible角色
03-04
一个配置kdump的ansible角色。 警告 该角色将替换托管主机的kdump配置。 即使角色变量中未指定,以前的设置也会丢失。 当前,这至少包括替换以下配置文件: /etc/sysconfig/kdump /etc/kdump.conf 角色变量 kdump...
kdumptools:一组脚本,以帮助使用Linux Kdump
05-02
kdumptools kdumptools是一组脚本,可帮助您使用内核转储。 当您的系统无响应时,最好总是了解导致挂起的原因。 让它成为人为错误,内核故障,内存泄漏或硬件问题。 不要重新启动并丢失所有线索,而是使用kdump(在...
kdump和crash使用与内核故障分析
07-25
关于kdump和crash使用的详细资料,里面有使用例程的介绍
Linux-crash-book_kdump.7z
08-19
kdump是Linux内核的一项功能,它允许在系统发生致命错误或蓝屏时捕获内核内存转储,以便后续分析和调试。下面将深入探讨kdump的实现原理、配置方法以及其在Linux系统维护中的重要性。 一、kdump实现原理 1. 内核...
计系二实验三,bomb_64反汇编实验
CodeReaper的博客
04-17 1286
目录bomb_64反汇编实验一、实验介绍 bomb_64反汇编实验 一、实验介绍 本实验设计为一个黑客拆解二进制炸弹的游戏。我们仅给黑客(同学)提供一个二进制可执行文件bomb_64和主函数所在的源程序bomb.c,不提供每个关卡的源代码。程序运行中有6个关卡(6个phase),每个关卡需要用户输入正确的字符串或数字才能通关,否则会引爆炸弹(打印出一条错误信息,并导致评分下降)! 要求同学运用GDB调试工具和objdump反汇编工具,通过分析汇编代码,找到在每个phase程序段中,引导程序跳转到“explo
linux内核崩溃分析方法-1:分析vmcore文件
yonghengv1的博客
01-13 3657
这里写自定义目录标题linux内核崩溃分析方法-1:分析vmcore文件启动kdump服务查找vmcore文件所在位置查找vmcore文件所在位置功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 linux内核崩溃分析方法-1:分析
Kernel Panic (Kdump) 解析实例之二:内存溢出
03-04 761
关于怎么打开core文件,参见上一篇,这里不罗嗦了。 1) 首先,这个panic跟内存使用越界有关。先来看看导致panic的call trace和寄存器。 RIP: 0010:[<ffffffff81237e71>] [<ffffffff81237e71>] elv_rqhash_add+0x81/0xa0 RSP: 0018:ffff880142c7da68...
《深入理解计算机系统》(原书第三版)家庭作业第三章(3.69)解答
5mins
08-30 2928
根据c代码和对应生成的汇编代码推断: A.CNT的值。 B.结构a_struct的完整声明,假设这个结构只有字段idx和x,并且都为有符号值。 typedef struct{ int first; //0+4 a_struct a[CNT]; //8+280 int last; //288+4 }b_struct void test(long i,b_struct *bp){
计算机系统_炸弹(boom)实验/逆向工程实验(phase_6)+ 隐藏关
Xindolia_Ring的博客
06-02 5883
(6)第六关 我们先看一下第六关以及里面调用的函数的代码00000000004010d9 &lt;phase_6&gt;:  4010d9:   48 83 ec 08             sub    $0x8, %rsp  4010dd:   ba 0a 00 00 00          mov    $0xa, %edx  4010e2:   be 00 00 00 00       ...
记一次LIO驱动corrutpion的解决方法
weixin_34323858的博客
11-22 293
记一次LIO驱动corruption的解决方法 0. 运行环境 最近在工作中,碰到了一个折磨我们半个多月的一个问题。我们存储服务器端运行centos 7, Linux内核版本为3.10.0-229.el7.x86_64,通过qlogic FC HBA卡对外提供块存储服务,存储服务器同时提供快照服务,快照周期是15秒钟每次。在Initiator端还对有快照...
linux双向链表分析之list_del中的技巧
专治各种不服
04-28 8012
linux内核的双向链表是比较经典的东西,网上分析链表的同志基本分析了99%,就差了1%。那就是list_del函数。先给出函数原型:static inline void list_del(struct list_head *entry){ __list_del(entry->prev, entry->next); entry->next = LIST_POISON1; entry->prev = LIST_POISON2;}集中体现在 entry->next = LIST_POISON1;entry->p
高通平台稳定性分析-panic:list_del corruption
thonmin的专栏
12-30 1148
这类list_del corruption的问题比较常见,这种list的问题通常有两种原因: 1、踩内存 2、并发访问 举栗子: [ 720.453550](4)[I/bq25970] [ic:0]adc_enable [14]=0x0 [ 720.453813](4)nfc_i2c_dev_suspend: pinlev=0x1 [ 720.457681](4)pn547_i2c_read : retry = 0, ret = 256, count = 256 > 6F2E08000
内核调试工具 — kdump & crash
需要学习的,有很多。
02-07 1412
kdump简介kdump是系统崩溃的时候,用来转储运行内存的一个工具。 系统一旦崩溃,内核就没法正常工作了,这个时候将由kdump提供一个用于捕获当前运行信息的内核, 该内核会将此时内存中的所有运行状态和数据信息收集到一个dump core文件中以便之后分析崩溃原因。 一旦内存信息收集完成,可以让系统将自动重启。 kdump是RHEL5之后才支持的,2006被主线接收为内核的一部分。它的原理
kdump预留内存
最新发布
05-31
在 Linux 系统上,如果要使用 kdump 进行内存转储,需要为 kdump 预留一部分内存空间,以便在系统崩溃时使用。而预留内存的大小需要根据实际情况来确定。 以下是预留内存的步骤: 1. 打开 /etc/default/grub 文件,并找到 GRUB_CMDLINE_LINUX 配置项。 2. 在 GRUB_CMDLINE_LINUX 配置项中添加以下内容: ``` crashkernel=auto ``` 这将自动为 kdump 分配一个合适的内存空间。 3. 保存并关闭文件。 4. 运行以下命令更新 GRUB 配置: ``` grub2-mkconfig -o /boot/grub2/grub.cfg ``` 5. 重新启动系统以使更改生效。 在重启后,可以通过以下命令检查 kdump 预留内存的大小: ``` cat /proc/cmdline ``` 预留内存的大小将显示在输出结果中的 crashkernel= 参数后面。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值