[crash分析]数组越界导致的导致的系统crash

最新推荐文章于 2022-02-10 10:33:38 发布
最新推荐文章于 2022-02-10 10:33:38 发布
阅读量997 收藏 2
点赞数
分类专栏: Linux Kernel Crash C 文章标签: linux crash 数组越界
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xqjcool/article/details/106932199
版权

公司设备在项目中遇到了crash问题,查看coredump,是最长前缀匹配的模块中处理异常导致。

现象1:查询异常

"general protection fault: 0000 [#1] SMP "

    [exception RIP: _test_ipset_seg_lpm_query+93]
    RIP: ffffffffa058ce9d  RSP: ffff88016951f578  RFLAGS: 00010207
    RAX: 80000010241c2865  RBX: ffff88102b96c008  RCX: 0000000000000008
    RDX: ffff88016951f6fc  RSI: 80000010241c2be9  RDI: 000000000000004b
    RBP: ffff88016951f598   R8: ffffffffa058ce40   R9: ffffffffa057fc7d
    R10: ffff88102d319a60  R11: ffffea004073fb80  R12: ffff88016951f6fc
    R13: 000000000a174bc0  R14: 0000000000000000  R15: ffff88102c2d2668
    ORIG_RAX: ffffffffffffffff  CS: 0010  SS: 0018
crash> dis _test_ipset_seg_lpm_query+93
0xffffffffa058ce9d <_test_ipset_seg_lpm_query+93>:      cmpb   $0x0,(%rsi)

经分析是seg指针地址异常,seg->seg_array_next 操作导致系统crash。这是query查询操作,起初以为是并发处理保护没有做好,seg指针在其他地方被释放导致。
查阅代码后,发现add/del/query 有对应的锁保护,没有发现错误。

随后出现问题现象2:提示地址访问异常。

BUG: unable to handle kernel paging request at 0000000000497ff0
    [exception RIP: _test_ipset_seg_lpm_del_rule+175]
    RIP: ffffffffa053801f  RSP: ffff880feb6bbc08  RFLAGS: 00010206
    RAX: ffff88102800c008  RBX: ffff881026f09808  RCX: 0000000000000000
    RDX: 00000000000000c8  RSI: 000000000ac80100  RDI: ffff881026f0980c
    RBP: ffff880feb6bbc50   R8: 00000000000ac801   R9: 00000000004973f0
    R10: 000000001f308101  R11: ffffea00407cc200  R12: ffff881028bdb008
    R13: 000000000000001d  R14: ffff881027411008  R15: 000000000ac80100
    ORIG_RAX: ffffffffffffffff  CS: 0010  SS: 0018
 
crash> dis _test_ipset_seg_lpm_del_rule+175
0xffffffffa053801f <_test_ipset_seg_lpm_del_rule+175>:   mov    0xc00(%r9),%rax

经分析是指针数组seg_array_next[200] = 中指针地址错误, 导致异常地址访问,系统crash。
这个是delete操作,怀疑方向转到了重复释放上,然而查阅代码,没找重复释放问题。

增加add/del相关log,并对内存的申请和释放增加了wrapper函数,打印对应地址。
查看相关log并没有发现问题地址的释放。

思路一度陷入僵局,随后增加了更多的log,crash后,查看log文件,发现一个诡异问题,在某个时刻,seg->seg_array_next指针发生了改变,并且只是第三个字节被置0。如

 //为了好理解 小端字节序 从小到大排列
 08 40 93 a8 00 88 ff ff 被改成
 08 40 00 a8 00 88 ff ff

这个很明显是地址被篡改,回过头看seg的格式,发现如果Ele数组越界,depth正好对应seg_array_next指针的第三个字节。于是推断是update Ele操作时,数组index为256,修改depth=0 导致的问题。

typedef struct _TEST_SET_LPM_DIR
{
    struct {
        u8  ref;
        u8  seg;
        u8  depth;	//注意这里
        u32 ipaddr;
        u32 data;
    }   Ele[256];
    TEST_SET_LPM_DIR   **seg_array_next;
} TEST_SET_LPM_DIR;

有了方向后,增加对应的log,重现问题。发现确实存在index=256的情况。仔细审视代码发现是一个手误,本来应该是index= var + i;结果写成了 index = var + 1;在代码中存在var=255的可能,于是导致了数组越界。

[  324.149807] [_test_ipset_seg_lpm_create:199] Seg:ffff880035820008 Seg->seg_array_next:ffff880035826008
...//省略无关
[  325.668351] [_test_ipset_seg_lpm_update:484] Seg:ffff880035820008 var:255 Seg->seg_array_next:ffff880035006008

修复后,验证通过,问题解决。

但这个问题确实比较隐蔽,只是修改了对应地址的一个字节,导致初期没有怀疑到数组越界,浪费了不少时间。

浮沉飘摇
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
浅析C语言编程中的数组越界问题
01-21
因为C语言不检查数组越界,而数组又是我们经常用的数据结构之一,所以程序中经常会遇到数组越界的情况,并且后果轻者读写数据不对,重者程序crash。下面我们来分析一下数组越界的情况: 1) 堆中的数组越界 因为堆是我们自己分配的,如果越界,那么会把堆中其他空间的数据给写掉,或读取了其他空间的数据,这样就会导致其他变量的数据变得不对,如果是一个指针的话,那么有可能会引起crash 2) 栈中的数组越界 因为栈是向下增长的,在进入一个函数之前,会先把参数和下一步要执行的指令地址(通过call实现)压栈,在函数的入口会把ebp压栈,并把esp赋值给ebp,在函数返回的时候,将ebp值赋给esp,pop先
Linux内核运行时错误:general protection fault
热门推荐
SweeNeil
03-12 1万+
最近帮师兄做内核实验,错误不断,由于是修改的内核代码,所以经常遇到错误排查起来都比较麻烦,刚解决了一个问题下一个问题就又出现了。 直接上新问题的描述:general protection fault 这是通过dmesg打印出的保存信息,具体报错内容如下: [ 133.160958] general protection fault: 0000 [#1] SMP PTI …… [ 133...
linux内核损坏的原因,Linux内核报错“General protection fault”原因
weixin_36127579的博客
05-01 3594
Linux系统中,偶尔遇到内核报告”General protection fault”或#GP Fault,然后panic,系统宕机。在Intel编程手册中指出,General protection fault中断号为13,表示内存访问或保护检查出现异常。14号中断就是我们所熟悉的页面异常。12#SSStack-Segment FaultFaultYesStack operations and ...
linux module crash分析
geshifei的博客
02-10 1226
# insmod khttp.ko [ 47.885272] blk_dequeue_request: 2 callbacks suppressed [ 47.961228] khttp sysfs init begin v4 [ 47.974411] khttp:khttp installed success [ 48.012894] khttp:Connecting to .. [ 48.094931] khttp:connect success [ 48.183118] up
[crash分析]slab内存重叠导致crash问题
08-31 1386
公司设备升级新版本后,出现了crash,描述"general protection fault: 0000 [#1] SMP ",初步看来是访问了异常地址。 异常栈如下: PID: 945 TASK: ffff880079231f60 CPU: 0 COMMAND: "config_t/0" #0 [ffff88001037f9d0] machine_kexec at ffffffff81059bab #1 [ffff88001037fa30] __crash_kexec at ffffff
RHEL6: Server panicked in 'redirfs' module
Vic的博客
08-20 805
环境 Red Hat Enterprise Linux 6 3rd party [redirfs] 问题 Actual panic message can vary significantly. One of the examples of panic message is: Raw kernel BUG at /build/DEEPSECURITY_DSA/9.5_SP1/rhel...
[crash分析]诡异的指针地址被改写
02-06 1211
最近遇到多次设备"general protection fault: 0000 [#1] SMP"错误。业务代码多个位置位置都出现过,甚至内核代码中都出现过,给定位带来很大难度,随着掌握的信息越来越多,最终将问题根源找到。前后大概折磨了一周多,直到最终定位才松了口气。 最初几次是crash在Diff函数中,下面是其中一个crash栈信息: //省略无关 #6 [ffff88008651fb30] general_protection at ffffffff8168f1a8 [exception R
使用qemu模拟调试内核和debian根文件系统
weixin_33824363的博客
12-02 389
  开发环境:Ubuntu 14.04.3 LTS  64bit sudo debootstrap jessie /mnt/jessie http://mirrors.163.com/debian 在/mnt/jessie目录下建立一个init文件,内容如下: james@james-OptiPlex-380:~$ sudo vi /mnt/jessie/init #!/bin/...
进程切换 之 switch_mm_irqs_off
平面到立体
06-04 633
switch_mm_irqs_off
kdump使用实例一:内存越界
03-04 523
Kernel Panic (Kdump) 解析实例之一 原创Red-White-Blue 最后发布于2013-09-27 23:02:29 阅读数 4256 收藏 网络上已经有一些介绍如何配置kexec已产生kdump的文章。这里不重复介绍配置方法,而是介绍如何进行kdump文件解析。 下面介绍的都是Linux内核产生的kdump,利用crash这一工具解析。关于crash这个工具支持哪些命令...
高通crash分析工具
03-02
qualcomm平台system dump分析工具,使用方法crash64 vmlinux DDRCS0.BIN@加载地址,DDRCS1.BIN@加载地址 --kaslr auto
iOS开发之WKWebViewJavascriptBridge Xcode9中导致crash的解决
10-19
大家都知道WebViewJavascriptBridge它主要帮助我们优雅的实现OC与JS的交互,下面这篇文章主要给大家介绍了关于iOS开发之WKWebViewJavascriptBridge Xcode9中导致crash的解决方法,需要的朋友可以参考借鉴,下面来一起...
iOS Crash文件分析方法汇总
08-28
今天跟大家一起聊聊iOSCrash文件的几种分析方法,都是平时比较常用的,有需要的小伙伴可以参考下
如何分析JAVA crash
11-16
如何分析JAVA crash 为什么程序会Crash? 什么是异常? 如何分析JAVA Crash 程序执行时发生了无法处理的异常 崩溃分为 Java Crash 和 Native Crash
[crash分析] Kernel panic - not syncing: Hard LOCKUP
11-18 3138
KERNEL: /usr/lib/debug/lib/modules/3.10.0-514.26.2.el7.x86_64/vmlinux DUMPFILE: vmcore [PARTIAL DUMP] CPUS: 2 DATE: Sun Nov 17 05:56:07 2019 UPTIME: 1 days, 00:22:05 ...
[crash分析]栈破坏分析总结
08-07 2626
栈破坏的两种表现 1. 栈帧被破坏 栈帧被破坏,从寄存器上可以看到栈帧寄存器rbp异常。因为返回地址正常,所以我们能够看到返回地址函数。 //栈帧被写坏后的栈表现 [New LWP 31418] Core was generated by `./test1'. Program terminated with signal 11, Segmentation fault. #0 0x000000000040053b in test1 () Missing separate debuginfos, use: d
[crash分析][mips]一个openwrt的patch引发的血案
04-24 2257
公司mips设备在运行中总是会莫名的crashcrash点不确定,有在驱动中,有在socket处理中,等等。 crash其一: //... <4>[ 158.547434] Process ksoftirqd/0 (pid: 3, threadinfo=8fc62000, task=8fc50b20, tls=00000000) <4>[ 158.555684] St...
[crash分析][mips]CPU 0 Unable to handle kernel paging request at virtual address
02-29 2063
系统平台是mips 32位架构,openwrt定制系统。产品模块加载到内核中工作。因为是低端产品,硬件配置简陋,所以系统异常crash后无法保存coredump,只有串口记录crash log供分析定位。 以下是最近遇到的一个crash: [ 293.152901] CPU 0 Unable to handle kernel paging request at virtual address ...
[crash分析]cascade错误,最终发现是内核BUG
08-08 1522
我们目前使用的是标准的CentOS 3.10.0-514.26.2版本。因为要做docker产品,为了测试设备可以支持多少个docker,我们使用脚本在设备上不断创建docker并运行我们的产品。 但是我们发现每次到了290多个docker后,很快系统crash了。 crash栈大体上有两种: [ 1076.347341] ------------[ cut here ]------------ [ 1076.361159] kernel BUG at kernel/timer.c:1105! [ 107
linux空指针导致crash例子
最新发布
05-17
Linux 中,当程序访问空指针时,会导致 segmentation fault(段错误),从而使程序崩溃。以下是一个简单的 C 语言程序示例,演示了如何使用空指针导致程序崩溃。 ```c #include int main() { int *ptr = NULL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

浮沉飘摇

码字不易,打赏随意。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值