试定位一个coredump的例子来验证一下。
堆栈:
(gdb) bt
#0 0x43756109 in __memset_sse2 () from /lib/libc.so.6
#1 0x08048643 in main ()
汇编:
(gdb) frame 1
#1 0x08048643 in main ()
(gdb) disassemble
Dump of assembler code for function main:
0x080485c0 : push %ebp
0x080485c1 : mov %esp,%ebp
0x080485c3 : and $0xfffffff0,%esp
0x080485c6 : sub $0x30,%esp
0x080485c9 : movl $0x0,0x18(%esp)
0x080485d1 : movl $0x0,0x1c(%esp)
0x080485d9 : movl $0x0,0x20(%esp)
0x080485e1 : movl $0x0,0x24(%esp)
0x080485e9 : movl $0x0,0x2c(%esp)
0x080485f1 : jmp 0x804860e
0x080485f3 : movl $0x20,(%esp)
0x080485fa : call 0x8048490 <_znaj>
0x080485ff : mov %eax,%edx
0x08048601 : mov 0x2c(%esp),%eax
0x08048605 : mov %edx,0x18(%esp,%eax,4)
0x08048609 : addl $0x2,0x2c(%esp)
0x0804860e : cmpl $0x3,0x2c(%esp)
0x08048613 : setle %al
0x08048616 : test %al,%al
0x08048618 : jne 0x80485f3
0x0804861a : movb $0x0,0x2b(%esp)
0x0804861f : jmp 0x8048648
0x08048621 : movsbl 0x2b(%esp),%edx
0x08048626 : movsbl 0x2b(%esp),%eax
0x0804862b : mov 0x18(%esp,%eax,4),%eax
0x0804862f : movl $0x20,0x8(%esp)
0x08048637 : mov %edx,0x4(%esp)
0x0804863b : mov %eax,(%esp)
0x0804863e : call 0x8048470
=> 0x08048643 : addb $0x1,0x2b(%esp)
0x08048648 : cmpb $0x3,0x2b(%esp)
0x0804864d : setle %al
0x08048650 : test %al,%al
0x08048652 : jne 0x8048621
0x08048654 : mov $0x0,%eax
0x08048659 : jmp 0x8048663
0x0804865b : mov %eax,(%esp)
0x0804865e : call 0x80484b0 <_unwind_resume>
0x08048663 : leave
0x08048664 : ret
End of assembler dump.
由于coredump是在这一条指令下出错:
0x08048643 : addb $0x1,0x2b(%esp)
由memset的原型:
void *memset(void *s, int c, size_t n);
可知,会出现问题,要么,是第一个参数s非法,要么是n超出s的范围。
先看一下s是哪个,由
0x08048626 : movsbl 0x2b(%esp),%eax
0x0804862b : mov 0x18(%esp,%eax,4),%eax
和
0x0804863b : mov %eax,(%esp)
可知,
s的值存放在esp+0x18+eax*4。而eax的值是由esp+0x2b得来的。
由movsbl可知,esp+0x2b存放着一个char型,所以,
(gdb) x /c $esp+0x2b
0xbf88c15b: 1 '\001'
由
0x08048621 : movsbl 0x2b(%esp),%edx
0x08048626 : movsbl 0x2b(%esp),%eax
0x0804862b : mov 0x18(%esp,%eax,4),%eax
0x0804862f : movl $0x20,0x8(%esp)
0x08048637 : mov %edx,0x4(%esp)
0x0804863b : mov %eax,(%esp)
0x0804863e : call 0x8048470
=> 0x08048643 : addb $0x1,0x2b(%esp)
0x08048648 : cmpb $0x3,0x2b(%esp)
0x0804864d : setle %al
0x08048650 : test %al,%al
0x08048652 : jne 0x8048621
这个循环可知,esp+0x2b存放着索引值,也就是说,在崩溃的时候,它正指向数组第二个元素。而数组的基地址是esp+0x18。而且由于
0x0804862b : mov 0x18(%esp,%eax,4),%eax
可知,它的步长是4,那么,这个数组的元素类型有可能是int,long(32-bit),指针(32-bit)。其中上面没有浮点操作的指令,所以,float可以排除。
由于,这个数组的元素是用于memset的第一个参数,所以,它应该是指针类型,且是在32-bit机器上。
看一下这个数组的第二个元素的值:
(gdb) x /wx $esp+0x18+4
0xbf88c14c: 0x00000000
也就是说,第二个元素为空指针,所以才会在memset里coredump。
看一下这个coredump的源代码:
#include
#include
int main()
{
int* ptrArray[4] = { NULL, };
for ( int i = 0; i < 4; i += 2 )
{
ptrArray[i] = new int[8];
}
for ( char c = 0; c < 4; c++ )
{
memset( ptrArray[c], c, 8*sizeof(int) );
}
return 0;
}
就可以知道ptrArray[1]由于第一个循环,确实没有分配到内存,仍然为空。