Core_Dump for Linux and Windows

Linux ：     序崩溃时，内核有可能把该程序当前内存映射到 core 文件里，方便程序员找到程序出现问题的地方。最常出现的，几乎所有 C 程序员都出现过的错误就是 “ 段错误 ” 了。也是最难查出问题原因的一个错误。下面我们就针对 “ 段错误 ” 来分析 core 文件的产生、以及我们如何利用 core 文件找到出现崩溃的地方。 何谓 core 文件         当一个程序崩溃时，在进程当前工作目录的 core 文件中复制了该进程的存储图像。 core 文件仅仅是一个内存映象 ( 同时加上调试信息 ) ，主要是用来调试的。 当程序接收到以下 UNIX 信号会产生 core 文件：     在系统默认动作列， “ 终止 w/core” 表示在进程当前工作目录的 core 文件中复制了该进程的存储图像（该文件名为 core ，由此可以看出这种功能很久之前就是 UNIX 功能的一部分）。大多数 UNIX 调试程序都使用 core 文件以检查进程在终止时的状态。         core 文件的产生不是 POSIX.1 所属部分 , 而是很多 UNIX 版本的实现特征。 UNIX 第 6 版没有检查条件 (a) 和 (b) ，并且其源代码中包含如下说明： “ 如果你正在找寻保护信号，那么当设置 - 用户 -ID 命令执行时，将可能产生大量的这种信号 ” 。 4.3 + BSD 产生名为 core.prog 的文件，其中 prog 是被执行的程序名的前 1 6 个字符。它对 core 文件给予了某种标识，所以是一种改进特征。        表中 “ 硬件故障 ” 对应于实现定义的硬件故障。这些名字中有很多取自 UNIX 早先在 DP-11 上的实现。请查看你所使用的系统的手册，以确切地确定这些信号对应于哪些错误类型。 下面比较详细地说明这些信号。 SIGABRT 调用 abort 函数时产生此信号。进程异常终止。 SIGBUS  指示一个实现定义的硬件故障。 SIGEMT  指示一个实现定义的硬件故障。 EMT 这一名字来自 PDP-11 的 emulator trap 指令。 SIGFPE  此信号表示一个算术运算异常，例如除以 0 ，浮点溢出等。 SIGILL  此信号指示进程已执行一条非法硬件指令。 BSD 由 abort 函数产生此信号。 SIGABRT 现在被用于此。 SIGIOT  这指示一个实现定义的硬件故障。 IOT 这个名字来自于 PDP-11 对于输入／输出 TRAP(input/output TRAP) 指令的缩写。系统 V 的早期版本，由 abort 函数产生此信号。 SIGABRT 现在被用于此。 SIGQUIT 当用户在终端上按退出键（一般采用 Ctrl-/ ）时，产生此信号，并送至前台进 程组中的所有进程。此信号不仅终止前台进程组（如 SIGINT 所做的那样），同时产生一个 core 文件。 SIGSEGV 指示进程进行了一次无效的存储访问。 名字 SEGV 表示 “ 段违例（ segmentation violation ） ” 。 SIGSYS  指示一个无效的系统调用。由于某种未知原因，进程执行了一条系统调用指令， 但其指示系统调用类型的参数却是无效的。 SIGTRAP 指示一个实现定义的硬件故障。 此信号名来自于 PDP-11 的 TRAP 指令。 SIGXCPU SVR4 和 4.3+BSD 支持资源限制的概念。如果进程超过了其软 C P U 时间限制，则产生此信号。 SIGXFSZ 如果进程超过了其软文件长度限制，则 SVR4 和 4.3+BSD 产生此信号。                                                                            摘自《 UNIX 环境高级编程》第 10 章 信号 使用 core 文件调试程序 看下面的例子： /*core_dump_test.c*/ 1 #include <stdio.h> 2 3 const char *str = "test"; 4 5 void core_test() 6 { 7     str[1] = 'T'; 8 } 9 10 int main() 11 { 12     core_test(); 13 14     return 0; 15 } 编译： [zhanghua@localhost core_dump]$ gcc –g core_dump_test.c -o core_dump_test 如果需要调试程序的话，使用 gcc 编译时加上 -g 选项，这样调试 core 文件的时候比较容易找到错误的地方。 执行： [zhanghua@localhost core_dump]$ ./core_dump_test 段错误 运行 core_dump_test 程序出现了 “ 段错误 ” ，但没有产生 core 文件。这是因为系统默认 core 文件的大小为 0 ，所以没有创建。可以用 ulimit 命令查看和修改 core 文件的大小。 [zhanghua@localhost core_dump]$ ulimit -c 0 [zhanghua@localhost core_dump]$ ulimit -c 1000 [zhanghua@localhost core_dump]$ ulimit -c 1000 -c 指定修改 core 文件的大小， 1000 指定了 core 文件大小。也可以对 core 文件的大小不做限制，如： [zhanghua@localhost daemon]# ulimit -c unlimited [zhanghua@localhost daemon]# ulimit -c unlimited 如果想让修改永久生效，则需要修改配置文件，如 .bash_profile 、 /etc/profile 或 /etc/security/limits.conf 。 再次执行： [zhanghua@localhost core_dump]$ ./core_dump_test 段错误 (core dumped) [zhanghua@localhost core_dump]$ ls core.* core.6133 可以看到已经创建了一个 core.6133 的文件 .6133 是 core_dump_test 程序运行的进程 ID 。 调式 core 文件 core 文件是个二进制文件，需要用相应的工具来分析程序崩溃时的内存映像。 [zhanghua@localhost core_dump]$ file core.6133 core.6133: ELF 32-bit LSB core file Intel 80386, version 1 (SYSV), SVR4-style, from 'core_dump_test' 在 Linux 下可以用 GDB 来调试 core 文件。          GDB 中键入 where ，就会看到程序崩溃时堆栈信息（当前函数之前的所有已调用函数的列表（包括当前函数）， gdb 只显示最近几个），我们很容易找到我们的程序在最后崩溃的时候调用了 core_dump_test.c 第 7 行的代码，导致程序崩溃。注意：在编译程序的时候要加入选项 -g 。您也可以试试其他命令，　如　 fram 、 list 等。更详细的用法，请查阅 GDB 文档。 core 文件创建在什么位置         在进程当前工作目录的下创建。通常与程序在相同的路径下。但如果程序中调用了 chdir 函数，则有可能改变了当前工作目录。这时 core 文件创建在 chdir 指定的路径下。有好多程序崩溃了，我们却找不到 core 文件放在什么位置。和 chdir 函数就有关系。当然程序崩溃了不一定都产生 core 文件。 什么时候不产生 core 文件 在下列条件下不产生 core 文件： ( a ) 进程是设置 - 用户 -ID ，而且当前用户并非程序文件的所有者； ( b ) 进程是设置 - 组 -ID ，而且当前用户并非该程序文件的组所有者； ( c ) 用户没有写当前工作目录的许可权； ( d ) 文件太大。 core 文件的许可权 ( 假定该文件在此之前并不存在 ) 通常是用户读 / 写，组读和其他读。 Windows: Windows下的CoreDump分析和Linux下的基本差不多 1、打开CoreDump功能 使用InstallDriver:/ WINDOWS /System32/drwtsn32.exe进行配置，设置相关的参数。参数的提示都比较清楚就不说明了，在出现CoreDump一般产生两个文件drwtsn32.log和user.dmp。 2、drwtsn32.log 是系统输出的一个文本 文件，会指出出错的指令的地址和当时的堆栈情况。此文件是递增的，每次出现CoreDump的日志会添加在文件的最后。可以使用连接参数/MAP生 成.map文件，根据drwtsn32.log提供的出错信息，在map文件中查找出错的代码，确定出问题的代码。这样做比较麻烦，得自己一点点分析。 3、user.dmp 是个二进制文件。是最 后一次发生CoreDump时的内存影响文件，可以直接在.NET开发环境中直接打开。如故在连接时指出生成调试信息(/DEBUG)可以定位出错的指 令，线程信息，堆栈信息等。使用(/DEBUG)此时输出的文件会大些，没有连接优化了。同时会生成.PDB文件，供调试时使用。注意在打开.dmp文件 的时候，开发环境会验证user.dmp与.pdb文件的一致性，如果不一致将无法装入调试信息。      通过以上两种方法基本可以确定产生CoreDump的原因。对于 Windows 上产生CoreDump的原因大多是由于一个没有捕获的异常造成。出现这种情况的时候并不一定是由于执行发生异常的那条指令造成的。很可能是由于其他地方的堆的非法访问或者越界的操作操作，影响到了这里。此时查找问题就比较困难了。