[crash分析]栈破坏分析总结

最新推荐文章于 2023-01-17 19:17:21 发布
最新推荐文章于 2023-01-17 19:17:21 发布
阅读量2.7k 收藏 22
点赞数 6
分类专栏: Linux Kernel Crash C语言 文章标签: linux crash 栈破坏
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xqjcool/article/details/107871116
版权

栈破坏的两种表现

1. 栈帧被破坏

栈帧被破坏,从寄存器上可以看到栈帧寄存器rbp异常。因为返回地址正常,所以我们能够看到返回地址函数。

//x86_64汇编
//栈帧被写坏后的栈表现
[New LWP 31418]
Core was generated by `./test1'.
Program terminated with signal 11, Segmentation fault.
#0  0x000000000040053b in test1 ()
Missing separate debuginfos, use: debuginfo-install glibc-2.17-260.el7_6.5.x86_64
(gdb) bt
Python Exception <class 'gdb.MemoryError'> Cannot access memory at address 0xd00000014: 
(gdb) info reg
rax            0xd      13
rbx            0x0      0
rcx            0x400560 4195680
rdx            0xd      13
rsi            0x7ffd1a1ea4d8   140725041669336
rdi            0x1      1
rbp            0xd0000000c      0xd0000000c		//rbp被写坏
rsp            0x7ffd1a1ea3c0   0x7ffd1a1ea3c0
r8             0x7fd04605be80   140532504706688
r9             0x0      0
r10            0x7ffd1a1e9f20   140725041667872
r11            0x7fd045cb62e0   140532500882144
r12            0x4003e0 4195296
r13            0x7ffd1a1ea4d0   140725041669328
r14            0x0      0
r15            0x0      0
rip            0x40053b 0x40053b <test1+27>
eflags         0x10202  [ IF RF ]
cs             0x33     51
ss             0x2b     43
ds             0x0      0
es             0x0      0
fs             0x0      0
gs             0x0      0

2. 栈帧和返回地址都被破坏

栈帧和返回地址都被写坏。这种情况下栈层级函数展示都是??。

//x86_64汇编
//栈帧和返回地址都被写坏的表现
[New LWP 31551]
Core was generated by `./test2'.
Program terminated with signal 11, Segmentation fault.
#0  0x0000000f0000000e in ?? ()
Missing separate debuginfos, use: debuginfo-install glibc-2.17-260.el7_6.5.x86_64
(gdb) bt
#0  0x0000000f0000000e in ?? ()
#1  0x0000000000000000 in ?? ()
(gdb) info reg
rax            0xf      15
rbx            0x0      0
rcx            0x400560 4195680
rdx            0xf      15
rsi            0x7fffd510d608   140736768038408
rdi            0x1      1
rbp            0xd0000000c      0xd0000000c		//栈帧被写坏
rsp            0x7fffd510d4f0   0x7fffd510d4f0
r8             0x7fe87dcc8e80   140636519698048
r9             0x0      0
r10            0x7fffd510d060   140736768036960
r11            0x7fe87d9232e0   140636515873504
r12            0x4003e0 4195296
r13            0x7fffd510d600   140736768038400
r14            0x0      0
r15            0x0      0
rip            0xf0000000e      0xf0000000e		//返回地址被写坏
eflags         0x10212  [ AF IF RF ]
cs             0x33     51
ss             0x2b     43
ds             0x0      0
es             0x0      0
fs             0x0      0
gs             0x0      0

3. 不破坏栈帧和返回地址,破坏栈上局部变量

即只是覆写了栈上部分局部变量,并没有破坏到栈帧和返回地址。也经常会出现各种不可预期的错误。

栈破坏的造成原因

1. 数组越界

这个大家相对容易理解,函数中的局部变量数组,因为写越界后会向上覆写栈空间。当覆写了保存栈帧和返回地址后,会导致函数返回后指令异常,从而造成程序或系统崩溃。

上面的coredump就是用数组越界写的。

//示例代码
#include <stdlib.h>
#include <string.h>
#include <stdio.h>

void test2(void)
{
    int a = 0;
    int b[8] = {0};
    int i = 0;

//i 循环14 则只覆写栈帧, 循环16则覆写栈帧和返回地址
    for (i = 0; i < 16; i++)
    {
        b[i] = i;
    }
}

void test1(void)
{
    int x = 0;
    int y = 0;

    test2();
}

int main(int argc, char *argv[])
{
    test1();
    return 0;
}

2. 错误的memset

//ARM 64汇编
#0  _TEST_StatReport (Fd=<error reading variable: Cannot access memory at address 0x2c>, Event=<error reading variable: Cannot access memory at address 0x2a>, 
    Arg=<error reading variable: Cannot access memory at address 0x20>) at testStat.c:2786
2786    testStat.c: No such file or directory.
[Current thread is 1 (LWP 4678)]
(gdb) info reg
x0             0x795398            7951256
x1             0x2                 2
x2             0x1                 1
x3             0x0                 0
x4             0x2                 2
x5             0x0                 0
x6             0xffffffbb          4294967227
x7             0x0                 0
x8             0x62                98
x9             0xffffffffffffb8aa  -18262
x10            0x6b9680            7050880
x11            0xc                 12
x12            0xffffffffffffffed  -19
x13            0xfffffffffffffe08  -504
x14            0x13                19
x15            0xffffffffffffffed  -19
x16            0x771608            7804424
x17            0xffff9310ee1c      281473149103644
x18            0x13                19
x19            0x478c44            4688964
x20            0x3                 3
x21            0xffff93134000      281473149255680
x22            0x412784            4269956
x23            0x0                 0
x24            0xffff92db2010      281473145577488
x25            0xffff9158c9e0      281473120258528
x26            0xffff93138318      281473149272856
x27            0x1000              4096
x28            0x801000            8392704
x29            0x0                 0		//栈帧被写坏
x30            0x4124b4            4269236
sp             0xffff9158c480      0xffff9158c480
pc             0x412750            0x412750 <_TEST_StatReport+852>
cpsr           0x60000000          [ EL=0 C Z ]
fpsr           0x10                16
fpcr           0x0                 0
(gdb)

对于栈帧被写坏,一般是子函数的临时变量操作越界,将保存栈帧的栈写坏导致。
我们需要排查 _TEST_StatReport 的子函数中,临时变量有没有操作不当导致越界的地方。

排查了数组越界可能后,继续查找存在错误memset的地方。

发现在子函数中存在这样一处错误。结构定义是TEST_CONF_WAN,但是memset时传入的却是sizeof(TEST_WanNode)。TEST_WanNode size被 TEST_CONF_WAN大了很多。导致将栈上局部变量和栈帧都覆写为0。在函数返回时栈帧弹出到x29栈帧寄存器中,因为栈帧异常,导致Segmentation fault。

bool TEST_Policy(int id)
{
    boll policy = false;
    TEST_CONF_WAN wan;
//...
    memset(&wan, 0, sizeof(TEST_WanNode));
//...
}

3. 本地变量地址作为入参,但变量类型不匹配

这个比较少见,之前公司mac客户端程序,调用curl库函数去下载网页,然后在释放curl的时候异常crash了。

//示例代码
int TEST_Download(const char *Url)
{
    int ret = 0;
    CURL *curl = NULL;
    int responseCode = 0;    

    curl = curl_easy_init();
    if (NULL == curl)
    {
        return -ENOMEM;
    }
    curl_easy_setopt(curl, CURLOPT_NOSIGNAL, 1L);
    curl_easy_setopt(curl, CURLOPT_URL, Url);
    curl_easy_setopt(curl, CURLOPT_WRITEFUNCTION, _LW_WriteJsonfunc);
    curl_easy_setopt(curl, CURLOPT_WRITEDATA, AccessUnitJsonStr);
    curl_easy_setopt(curl, CURLOPT_CONNECTTIMEOUT, 20L);
    curl_easy_setopt(curl, CURLOPT_TIMEOUT, 60L);
     if (strstr(Url, "https"))
    {
        curl_easy_setopt(curl, CURLOPT_SSL_VERIFYPEER, 0L);
        curl_easy_setopt(curl, CURLOPT_SSL_VERIFYHOST, 2L);
    }
    ret = curl_easy_perform(curl);
    curl_easy_getinfo(curl, CURLINFO_RESPONSE_CODE, &responseCode);
 
  curl_easy_cleanup(curl);
  //...省略
}

因为curl地址是通过库函数创建的,在使用过程中也是调用库函数,并且没有修改curl指针的地方。为何到释放的时候,就地址异常crash了呢?

当时用了笨办法,在函数的每一行都加了log,打印curl指针地址。结果发现
调用了 curl_easy_getinfo 后,curl地址变了。

再仔细看了curl_easy_getinfo 库函数定义和当前栈布局后才明白问题原因。

CURLcode curl_easy_getinfo(CURL *handle, CURLINFO_RESPONSE_CODE, long *codep);

curl_easy_getinfo 的第三个参数定义是long型指针,而我们传入的是整型变量responseCode的地址。这会导致 curl_easy_getinfo 会将栈上 responseCode上面的变量的前4个字节覆写。而这正好是curl指针的前4个字节。curl指针被写坏,从而释放时异常crash。

后记:
其实栈被写坏就是局部变量操作越界导致。但常见的主要是数组越界和memset越界。
局部变量作为入参,因为数据类型不一致被覆写,实际上和memset越界有点类似。只不过这种表现更隐蔽一些,更不容易定位。

一旦遇到栈被写坏的情况,就要条件反射的去寻找局部变量的数组和memset操作,大多数问题便可以快速的找到原因并解决。

浮沉飘摇
关注
  • 6
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
windows高级调试 第五章 内存破坏之一- 实例三:溢出 动手实践的过程
canmeng50401的专栏
03-04 2852
最近一段时间,在工作中一直在进行windows下面的软件调试。使用的调试工具是windbg。但是对这个工具不熟悉,很多命令都不会,只好靠多看书来补充了。看了以前买的一本书《Advanced Windows Debugging》,中文名是《Windows高级调试》。第五章是《内存破坏之一-》,其中有一个例子是演示堆破坏的,但是作者只是简单说了说步骤,没有把详细的操作命令写出来,我自己实践了一下(
iOS Crash文件分析方法汇总
08-28
今天,我们将总结iOS Crash文件的几种分析方法,这些方法都是平时比较常用的,有需要的小伙伴可以参考。 方法一:使用symbolicatecrash工具 symbolicatecrash是一个命令行工具,由Apple提供,用于解析iOS Crash...
破坏crash分析方法
河西无名式
02-13 2657
在众多的coredump中,有一类crash调试起来是最麻烦的,那就是“破坏”导致的函数调用回溯结构破坏引发的coredump。本文,主要讲讲这一类crash的成因、原理以及调试方法。 1. SMTC(show me the code) 首先,让我们来看一段代码 #include &amp;lt;stdio.h&amp;gt; #include &amp;lt;string.h&amp;gt; void fun(int n...
破坏分析
javon_hzw的专栏
11-12 1058
在函数的一层层调用过程中每个函数都会有自己的一段,一般把它叫做函数的帧。每个函数的帧都保存了自己的局部变量,自己帧底的值,返回地址以及上一次函数的参数
破坏
u013827488的博客
03-08 703
一、破坏案例 二、防止破坏 在编译时加上下面的编译选项,可以防止破坏 -fstack-protector -fstack-protector-all 如果加上上述两个选项后,仍然存在破坏的选项: 破坏,肯定是中的一个字符串在赋值或者copy时,越界了,所以破坏。 ...
破坏的方法
dps game
07-24 1013
对于破坏,对很多程序员来说是一种幽灵,它的产生的core文件的,每一次的不停变化,就像一个高手杀手一样,你破案的时候,前后的线索的都发生的了变化,每一次的觉得正常的,但是core了甚至发在在malloc 、free的地方。 这一有一道好的用的方法。 // [ranqd Add] 返回地址效验宏  #define CALL_CHECK_BEGIN(n)  \ unsigned long r
c语言损坏,C语言实现的进与出、输出顶元素、元素个数、销毁
weixin_42566108的博客
05-20 229
/********************************引入头文件**************************************************/#include#include#include/**********************************定义**************************************************...
如何分析JAVA crash
11-16
如何分析JAVA crash 为什么程序会Crash? 什么是异常? 如何分析JAVA Crash 程序执行时发生了无法处理的异常 崩溃分为 Java Crash 和 Native Crash
高通crash分析工具
03-02
qualcomm平台system dump分析工具,使用方法crash64 vmlinux DDRCS0.BIN@加载地址,DDRCS1.BIN@加载地址 --kaslr auto
Crash日志分析
03-20
应用崩溃日志分析,只要选择相应文件的路径,开始分析即可
【案例分析】如何分析linux下被破坏
12-16
需要了解的预备知识 有linux 空间的分布,部分汇编语言。 我写的很辛苦,有很多地方很难理解,比查内存泄露的问题要难。 估计大家看的时候也很辛苦,希望大家耐下心来看。 多看几遍,不懂的概念baidu下
HPUX 11.31 crash文件分析工具
08-10
使用该工具可分析hpux系统崩溃后遗留的crash文件夹,并生成可查看的的文档,以方便确定宕机的原因
破坏实例
bjzhaoxiao的专栏
04-24 454
#include &lt;stdio.h&gt;int main(){ char name[8]; printf("Please type your name: ");   //输入大于8个字符。    gets_s(name); int a = 4; printf("Hello, %s!", name); //scanf("%s", name); return 0;}...
Linux:GDB 调试一些函数被毁坏的问题
hhd1988的专栏
01-17 1917
Linux:GDB 调试一些函数被毁坏的问题
python程序异常崩溃时如何快速分析并解决问题
KWSY2008的专栏
08-02 4248
程序异常崩溃时会提供非常详细的错误信息,掌握正确的分析方法,就可以快速定位问题并解决问题,下面这段代码会引发异常导致程序终止 def func_tet(): func_sum('4', 3) def func_sum(a, b): value = a + b return value func_tet() 运行这段程序,异常信息如下 我将异常信息分为两部...
善用GDB 调试一些函数被毁坏的问题
Adam040606的博客
07-26 1157
转自:http://blog.csdn.net/ontheline/article/details/16963817 最近查一些问题,这些问题的现象一开始难以解释,函数的参数地址在函数内部被传递给另外的函数,然后发现地址发生了改变,这样的情况称之为函数的被毁坏,导致无法重入。 然后被调用的函数里面,访问了非法的地址导致了segment fault,产生core dump文件。问题
在堆损坏的情况下,如何查找问题之一
jc_liuworld的专栏
09-13 1946
很多的时候,由于数组越界导致,函数别损坏,导致无法查找bug,gcc提供了一个编译功能,  -finstrument-functions 在函数的进入跟出口出加入对 __cyg_profile_func_enter 及 __cyg_profile_func_exit 的调用。我们可以听过对这两个函数的调用,在堆中重建出一个,通过这个结构来查找问题的所在,下面是是示例代码 #includ
多线程中的溢出
qq_41252520的博客
03-08 1670
0x0 前置知识 我们都知道,在多线程下面修改一个全局变量会发生冲突的问题,而一般的解决方法就是给全局变量进行加锁。根据用途和策略,有读锁和写锁之分。这样子虽然解决了冲突的问题,但是不免过于麻烦。这就引入了一种叫做线程局部存储(ThreadLocalStorage)\textcolor{orange}{线程局部存储(Thread Local Storage)}线程局部存储(ThreadLocalStorage)的机制,即为每一个线程分配一个变量的实例,这种机制也可以避免上述的情况。该机制在不同的系统上面实现
coredump文件破坏
12-21 3055
分享两个GDB的小技巧: 1, GDB失效时手工得到stack; 2, GDB执行用户命令脚本; 调试内存型服务程序的有时会遇到core dump或死锁问题,且gdb或者pstack都无法显示调用(call stack)。这是因为线程的调用破坏了,而调用存放了函数的返回地址,gdb解析函数返回地址(根据地址查找符号表)失败,gdb也没有进行容错处理,只要有一处地址解析失败就无法展开调
crash分析工具?
最新发布
05-30
crash是一个在Linux和类Unix系统上用于分析内核转储文件的命令行工具。它可以用来查看进程状态、内存使用情况、打印内核堆跟踪等。在FreeBSD中,crash命令也可以用来分析内存转储文件。可以使用以下命令来安装crash: ``` pkg install crash ``` 安装完成后,可以使用以下命令来分析内存转储文件: ``` crash /var/crash/vmcore.0 ``` 上述命令将打开crash分析工具,并加载内存转储文件。之后,可以使用命令来查看进程、内存使用情况、内核堆跟踪等信息。crash分析工具需要一定的技术水平,对于一般用户来说,可能需要一些时间和学习才能使用它来进行内存转储分析

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

浮沉飘摇

码字不易,打赏随意。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值