使用GFlags检测内存越界访问

GFlags是Windows debug tools 工具包下的一个工具,在Windows 2000的Resource Kit中也可以找得到。用来设置一些调试属性&＃xff0c;总体上分为3个级别System&＃xff0c;Kernel和Image File。我们设置好Path环境变量,将其指向Debug tools工具的目录下。

下载安装 gflags:

http://www.microsoft.com/whdc/devtools/debugging/installx86.mspx

http://www.ithov.com/Soft/system/systest/38210.shtml

GFlags 

- 老牌的PageHeap配置工具&＃xff0c;有命令行和GUI两种操作方式&＃xff0c;功能比较全&＃xff0c;包含在Windbg调试器安装包内。同样在Windows 2000 Professional SP2 以上可用。

一些使用GFlags命令行的例子&＃xff1a;

配置正常页堆&＃xff1a;

"C:/Program Files/Debugging Tools for Windows (x86)/gflags.exe" /p /enable qq.exe

配置完全页堆&＃xff1a;

"C:/Program Files/Debugging Tools for Windows (x86)/gflags.exe" /p /enable qq.exe /full

列出当前启动了页堆的进程列表&＃xff1a;

"C:/Program Files/Debugging Tools for Windows (x86)/gflags.exe" /p

取消页堆设置&＃xff1a;

"C:/Program Files/Debugging Tools for Windows (x86)/gflags.exe" /p /disable qq.exe

一些特殊选项解释&＃xff1a;

/unaligned

这个选项只能用于完全页堆。当我们从普通堆管理器分配一块内存时&＃xff0c;内存总是8字节对齐的&＃xff0c;页堆默认情况下也会使用这个对齐规则&＃xff0c;但是这会导致分配的内存块的结尾不能跟页边界精确对齐&＃xff0c;可能存在0-7个字节的间隙&＃xff0c;显然&＃xff0c;对位于间隙范围内的访问是不会被立即发现。更准确的说&＃xff0c;读操作将永远不能被发现&＃xff0c;写操作则要等到内存块释放时校验间隙空间内的填充信息时才发现。/unaligned用于修正这个缺陷&＃xff0c;它指定页堆管理器不必遵守8字节对齐规则&＃xff0c;保证内存块尾部精确对齐页边界。

需要注意的是&＃xff0c;一些程序启用这个选项可能出现异常&＃xff0c;例如IE和QQ就不支持。

/backwards

这个选项只能用于完全页堆。这个选项使得分配的内存块头部与页边界对齐&＃xff08;而不是尾部与边界对齐&＃xff09;&＃xff0c;通过这个选项来检查头部的访问越界。

/debug

指定一启动进程即Attach到调试器&＃xff0c;对于那些不能自动生成dump的程序&＃xff0c;是比较有用的选项。

完全页堆&＃xff1a;

    当分配一块内存时&＃xff0c;通过调整内存块的分配位置&＃xff0c;使其结尾恰好与系统分页边界对齐&＃xff0c;然后在边界处再多分配一个不可访问的页作为保护区域。这样&＃xff0c;一旦出现内存读/写越界时&＃xff0c;进程就会Crash&＃xff0c;从而帮助及时检查内存越界。

因为每次分配的内存都要以这种形式布局&＃xff0c;尤其对于小片的内存分配&＃xff0c;即使分配一个字节&＃xff0c;也要分配一个内存页&＃xff0c;和一个保留的虚拟内存页&＃xff08;注意在目前的实现中&＃xff0c;这个用作边界保护区域的页从来不会被提交&＃xff09;。这就需要大量的内存&＃xff0c;到底一个进程需要多少内存&＃xff0c;很难估算&＃xff0c;因此在使用Page Heap前&＃xff0c;至少保证你的机器至少设置了1G虚拟内存以上。

正常页堆

    正常页堆原理与CRT调试内存分配函数类似&＃xff0c;通过分配少量的填充信息&＃xff0c;在释放内存块时检查填充区域。来检测内存是否被损坏&＃xff0c;此方法的优点是极大的减少了内存耗用量。缺点是只能在释放块时检测&＃xff0c;不太好跟踪出错的代码位置。

页堆能处理的错误类型&＃xff1a;

错误类型                    正常页堆               整页堆 

堆句柄无效                     立即发现                 立即发现 

堆内存块指针无效               立即发现                 立即发现 

多线程访问堆不同步             立即发现                 立即发现 

假设重新分配返回相同地址(realloc)  90% 内存释放后发现   90% 立即发现 

内存块重复释放                 90% 立即发现             90% 立即发现 

访问已释放的内存块             90% 在实际释放后发现     90% 立即发现 

访问块结尾之后的内容           在释放后发现             立即发现 

访问块开始之前的内容           在释放后发现             立即发现 

以下是举例&＃xff1a;

前期工作&＃xff1a; 将gflags&＃xff08;默认安装在C:/Program Files/Debugging Tools for Windows (x86)&＃xff09;加入到path

案例1&＃xff1a;
int _tmain(int argc, _TCHAR* argv[])
{
     char *p &＃61; new char[8];
     p[8] &＃61; 10;

     delete[] p;
     return 0;
}
程序本身是有问题的。数组已经越界&＃xff0c;但是debug模式下并不报错&＃xff0c;release模式下也很大可能是不crash的。

在命令提示符下运行&＃xff1a;

>gflags /p /enable test.exe /full

在release模式运行test.exe。exception将直接定位到 p[8] &＃61; 10; 这一行

案例2&＃xff1a;
int _tmain(int argc, _TCHAR* argv[])
{
     char *p &＃61; new char[9];
     p[9] &＃61; 10;

     delete[] p;
     return 0;
}
以上代码和案例1仅有一点不同&＃xff0c;就是数组大小。但是如果运行
gflags /p /enable test.exe /full

在release模式下并不会出现exception并定位到 p[9] &＃61; 10;
原因是没有设置 /unaligned 参数&＃xff0c;具体看说明。案例2中&＃xff0c;数组有9字节大小&＃xff0c;按内存8字节对齐的说法&＃xff0c;这块内存应该是

16字节&＃xff0c;后面还有7字节的空间&＃xff0c;所以 p[9] &＃61; 10; 并不会产生exception。设置 /unaligned 参数&＃xff0c;禁止8字节对齐&＃xff0c;就

可以跟踪到 p[9] &＃61; 10; 这个exception

>gflags /p /enable test.exe /full /unaligned

案例3&＃xff1a;
class A
{
public:
 int a;
 void del(){
  delete this;
  a &＃61; 10;
 }
};
int _tmain(int argc, _TCHAR* argv[])
{
 A* a &＃61; new A();
 a->del();
 return 0;
}

在debug模式下可能产生exception:
HEAP:   Free   Heap   block   xxxxxxxx modified   at   xxxxxxxx  after   it   was   freed
在release模式下运行并不报错&＃xff0c;但是程序本身是有问题的&＃xff0c;delete this; 之后&＃xff0c;又给成员变量 a&＃61;10;

这显然是不对的。

>gflags /p /enable test.exe /full
此时在debug下运行程序&＃xff0c;会产生exception&＃xff0c;并定位到   a &＃61; 10;