在没有核心文件的情况下分析分段错误
假设我的二进制文件在我无法core dump使用ulimit -c. 工程师如何segmentation faults在如此真实的场景中调试?是否有任何其他方法可以在不core dumps生成的情况下调试或识别崩溃。
回答
过去,我不得不多次处理这种限制。必须调查分段错误或更一般的异常进程终止,但要注意核心转储不可用。
对于本演练选择的 Linux 平台,有以下几个原因:
- 完全禁用核心转储生成(使用
limits.conf或ulimit) /proc/sys/kernel/core_pattern由于文件系统权限或 SELinux ,目标目录(当前工作目录或 中的目录)不存在或不可访问- 目标文件系统磁盘空间不足导致部分转储
对于所有这些,最终结果是相同的:没有(有效的)核心转储可用于分析。幸运的是,存在一种事后调试的变通方法,可以挽救这一天,但鉴于它的固有限制,您的里程可能因情况而异。
识别错误指令
下面的示例包含一个经典的 use-after-free 内存错误:
#include <iostream>
struct Test
{
const std::string &m_value;
Test(const std::string &value):
m_value(value)
{
}
void print()
{
std::cout << m_value << std::endl;
}
};
int main()
{
std::string *value = new std::string("this is a test");
Test test(*value);
delete value;
test.print();
return 0;
}
之后delete value,std::string引用Test::m_value指向不可访问的内存。因此,运行它会导致分段错误:
$ ./a.out
Segmentation fault
当进程因访问冲突而终止时,Linux 内核会创建一个日志条目,该条目可通过dmesg系统日志(通常为/var/log/messages)访问,具体取决于系统配置。该示例(使用 编译-O0)创建以下条目:
$ dmesg | grep segfault
[80440.957955] a.out[7098]: segfault at ffffffffffffffe8 ip 00007f9f2c2b56a3 sp 00007ffc3e75bc48 error 5 in libstdc++.so.6.0.19[7f9f2c220000+e9000]
对应的 Linux 内核源码来自arch/x86/mm/fault.c:
printk("%s%s[%d]: segfault at %lx ip %px sp %px error %lx",
loglvl, tsk->comm, task_pid_nr(tsk), address,
(void *)regs->ip, (void *)regs->sp, error_code);
错误 ( error_code) 揭示了触发器是什么。这是一个特定于 CPU 的位集 ( x86 )。在我们的例子中,值5(101二进制)表示错误地址0xffffffffffffffe8所代表的页面被映射但由于页面保护而无法访问,并且尝试了读取。
日志消息标识了执行故障指令的模块:libstdc++.so.6.0.1。该示例未经优化编译,因此std::basic_ostream<char, std::char_traits<char> >& std::operator<< <char, std::char_traits<char>, std::allocator<char> >(std::basic_ostream<char, std::char_traits<char> >&, std::basic_string<char, std::char_traits<char>, std::allocator<char> > const&)未内联对 的调用:
400bef: e8 4c fd ff ff callq 400940 <_ZStlsIcSt11char_traitsIcESaIcEERSt13basic_ostreamIT_T0_ES7_RK
SbIS4_S5_T1_E@plt>
STL 执行读访问。了解了这些基础知识,我们如何才能准确地确定分段错误发生的位置?日志条目具有我们这样做所需的两个基本地址:
ip 00007f9f2c2b56a3 [...] error 5 in
^^^^^^^^^^^^^^^^
libstdc++.so.6.0.19[7f9f2c220000+e9000]
^^^^^^^^^^^^
第一个是rip访问冲突时的指令指针 ( ),第二个是.text库的部分映射到的地址。通过从 中减去.text基地址rip,我们得到库中指令的相对地址,并且可以使用反汇编实现objdump(您可以简单地搜索偏移量):
0x7f9f2c2b56a3-0x7f9f2c220000=0x956a3
$ objdump --demangle -d /usr/lib64/libstdc++.so.6
[...]
00000000000956a0 <std::basic_ostream<char, std::char_traits<char> >& std::operator<< <char, std::char_traits<char>, s
td::allocator<char> >(std::basic_ostream<char, std::char_traits<char> >&, std::basic_string<char, std::char_traits<ch
ar>, std::allocator<char> > const&)@@GLIBCXX_3.4>:
956a0: 48 8b 36 mov (%rsi),%rsi
956a3: 48 8b 56 e8 mov -0x18(%rsi),%rdx
^^^^^
956a7: e9 24 4e fc ff jmpq 5a4d0 <std::basic_ostream<char, std::char_traits<char> >& std::__ostream_insert<char, std::char_traits<char> >(std::basic_ostream<char, std::char_traits<char> >&, char const*, long)@plt>
956ac: 0f 1f 40 00 nopl 0x0(%rax)
[...]
这是正确的指令吗?我们可以咨询 GDB 来确认我们的分析:
Program received signal SIGSEGV, Segmentation fault.
0x00007ffff7b686a3 in std::basic_ostream<char, std::char_traits<char> >& std::operator<< <char, std::char_traits<char>, std::allocator<char> >(std::basic_ostream<char, std::char_traits<char> >&, std::basic_string<char, std::char_traits<char>, std::allocator<char> > const&) () from /lib64/libstdc++.so.6
Missing separate debuginfos, use: debuginfo-install glibc-2.17-323.el7_9.x86_64 libgcc-4.8.5-44.el7.x86_64 libstdc++-4.8.5-44.el7.x86_64
(gdb) disass
Dump of assembler code for function _ZStlsIcSt11char_traitsIcESaIcEERSt13basic_ostreamIT_T0_ES7_RKSbIS4_S5_T1_E:
0x00007ffff7b686a0 <+0>: mov (%rsi),%rsi
=> 0x00007ffff7b686a3 <+3>: mov -0x18(%rsi),%rdx
0x00007ffff7b686a7 <+7>: jmpq 0x7ffff7b2d4d0 <_ZSt16__ostream_insertIcSt11char_traitsIcEERSt13basic_ostreamIT_T0_ES6_PKS3_l@plt>
End of assembler dump.
GDB 显示了完全相同的指令。我们还可以使用调试会话来验证读取地址:
(gdb) print /x $rsi-0x18
$2 = 0xffffffffffffffe8
该值与日志条目中的读取地址相匹配。
识别来电者
因此,尽管没有核心转储,但内核输出使我们能够识别分段错误的确切位置。但是,在许多情况下,这还远远不够。一方面,我们错过了让我们达到这一点的调用列表 - 调用堆栈或堆栈跟踪。
如果背包中没有转储,您有两种选择来控制调用者:您可以使用catchsegv(一个 glibc 实用程序)启动您的进程,或者您可以实现您自己的信号处理程序。
catchsegv 充当包装器,生成堆栈跟踪,并转储寄存器值和内存映射:
$ catchsegv ./a.out
*** Segmentation fault
Register dump:
RAX: 0000000002158040 RBX: 0000000002158040 RCX: 0000000002158000
[...]
Backtrace:
/lib64/libstdc++.so.6(_ZStlsIcSt11char_traitsIcESaIcEERSt13basic_ostreamIT_T0_ES7_RKSbIS4_S5_T1_E+0x3)[0x7f1794fd36a3]
??:?(_ZN4Test5printEv)[0x400bf4]
??:?(main)[0x400b2d]
/lib64/libc.so.6(__libc_start_main+0xf5)[0x7f179467a555]
??:?(_start)[0x4009e9]
Memory map:
00400000-00401000 r-xp 00000000 08:02 50331747 /home/user/a.out
[...]
7f1794f3e000-7f1795027000 r-xp 00000000 08:02 33600977 /usr/lib64/libstdc++.so.6.0.19
7f1795027000-7f1795227000 ---p 000e9000 08:02 33600977 /usr/lib64/libstdc++.so.6.0.19
7f1795227000-7f179522f000 r--p 000e9000 08:02 33600977 /usr/lib64/libstdc++.so.6.0.19
7f179522f000-7f1795231000 rw-p 000f1000 08:02 33600977 /usr/lib64/libstdc++.so.6.0.19
[...]
如何catchsegv工作?它本质上使用LD_PRELOAD和库注入了一个信号处理程序libSegFault.so。如果您的应用程序已经为 安装了信号处理程序SIGSEGV并且您打算利用libSegFault.so,则您的信号处理程序需要将信号转发到原始处理程序(由 返回sigaction(SIGSEGV, NULL))。
第二种选择是使用自定义信号处理程序和backtrace(). 这允许您自定义输出位置和输出本身。
基于这些信息,我们基本上可以做我们之前做的事情 ( 0x7f1794fd36a3-0x7f1794f3e000=0x956a3)。这一次,我们可以回到调用者那里进行更深入的挖掘。第二帧由以下行表示:
??:?(_ZN4Test5printEv)[0x400bf4]
0x400bf4是被调用者在之后返回的地址Test::print(),它位于可执行文件中。我们可以将呼叫站点可视化如下:
$ objdump --demangle -d ./a.out
[...]
400bea: bf a0 20 60 00 mov $0x6020a0,%edi
400bef: e8 4c fd ff ff callq 400940 <std::basic_ostream<char, std::char_traits<char> >& std::operator<< <char, std:
:char_traits<char>, std::allocator<char> >(std::basic_ostream<char, std::char_traits<char> >&, std::basic_string<char, std::char_trai
ts<char>, std::allocator<char> > const&)@plt>
400bf4: be 70 09 40 00 mov $0x400970,%esi
^^^^^^
400bf9: 48 89 c7 mov %rax,%rdi
400bfc: e8 5f fd ff ff callq 400960 <std::ostream::operator<<(std::ostream& (*)(std::ostream&))@plt>
[...]
请注意,objdump 的输出与此实例中的地址匹配,因为我们针对可执行文件运行它,该可执行文件的默认基地址为0x400000on x86_64 - objdump 考虑到了这一点。在启用地址空间布局随机化 (ASLR) 的情况下(使用 编译-fpie,使用 链接-pie),必须如前所述考虑基地址。
进一步返回涉及相同的步骤:
??:?(main)[0x400b2d]
$ objdump --demangle -d ./a.out
[...]
400b1c: e8 af fd ff ff callq 4008d0 <operator delete(void*)@plt>
400b21: 48 8d 45 d0 lea -0x30(%rbp),%rax
400b25: 48 89 c7 mov %rax,%rdi
400b28: e8 a7 00 00 00 callq 400bd4 <Test::print()>
400b2d: b8 00 00 00 00 mov $0x0,%eax
^^^^^^
400b32: eb 2a jmp 400b5e <main+0xb1>
[...]
到目前为止,我们一直在手动将绝对地址转换为相对地址。相反,模块的基地址可以通过 .objdump 传递给 objdump --adjust-vma=<base-address>。这样,rip可以直接使用 或 调用者地址的值。
添加调试符号
我们已经走了很长一段路,没有垃圾场。然而,为了使调试有效,还缺少另一个关键的难题:调试符号。没有它们,可能很难将程序集映射到相应的源代码。使用-O3和不使用调试信息编译示例说明了问题:
[98161.650474] a.out[13185]: segfault at ffffffffffffffe8 ip 0000000000400a4b sp 00007ffc9e738270 error 5 in a.out[400000+1000]
作为内联的结果,日志条目现在指向我们的可执行文件作为触发器。使用 objdump 可以让我们了解以下内容:
400a3e: e8 dd fe ff ff callq 400920 <operator delete(void*)@plt>
400a43: 48 8b 33 mov (%rbx),%rsi
400a46: bf a0 20 60 00 mov $0x6020a0,%edi
400a4b: 48 8b 56 e8 mov -0x18(%rsi),%rdx
^^^^^^
400a4f: e8 4c ff ff ff callq 4009a0 <std::basic_ostream<char, std::char_traits<char> >& std::__ostream_insert<char, std::char_traits<char> >(std::basic_ostream<char, std::char_traits<char> >&, char const*, long)@plt>
400a54: 48 89 c5 mov %rax,%rbp
400a57: 48 8b 00 mov (%rax),%rax
流实现的一部分是内联的,这使得识别相关的源代码变得更加困难。如果没有符号,你必须使用导出符号,电话(像operator delete(void*))和周围的说明(mov $0x6020a0负载的地址std::cout:00000000006020a0 <std::cout@@GLIBCXX_3.4>)用于定向的目的。
使用调试符号 ( -g),通过调用objdumpwith可以获得更多上下文--source:
400a43: 48 8b 33 mov (%rbx),%rsi
operator<<(basic_ostream<_CharT, _Traits>& __os,
const basic_string<_CharT, _Traits, _Alloc>& __str)
{
// _GLIBCXX_RESOLVE_LIB_DEFECTS
// 586. string inserter not a formatted function
return __ostream_insert(__os, __str.data(), __str.size());
400a46: bf a0 20 60 00 mov $0x6020a0,%edi
400a4b: 48 8b 56 e8 mov -0x18(%rsi),%rdx
^^^^^^
400a4f: e8 4c ff ff ff callq 4009a0 <std::basic_ostream<char, std::char_traits<char> >& std::__ostream_insert<char, std::char_traits<char> >(std::basic_ostream<char, std::char_traits<char> >&, char const*, long)@plt>
400a54: 48 89 c5 mov %rax,%rbp
这按预期工作。在现实世界中,调试符号没有嵌入到二进制文件中——它们在单独的 debuginfo 包中进行管理。在这些情况下,objdump即使安装了调试符号,也会忽略它们。为了解决这个限制,必须将符号重新添加到受影响的二进制文件中。以下过程创建分离的符号并使用eu-unstripfrom重新添加它们,elfutils以利用 objdump:
# compile with debug info
g++ segv.cxx -O3 -g
# create detached debug info
objcopy --only-keep-debug a.out a.out.debug
# remove debug info from executable
strip -g a.out
# re-add debug info to executable
eu-unstrip ./a.out ./a.out.debug -o ./a.out-debuginfo
# objdump with executable containing debug info
objdump --demangle -d ./a.out-debuginfo --source
使用 GDB 代替 objdump
到目前为止,我们一直在使用 objdump,因为它通常可用,即使在生产系统上也是如此。我们可以只使用 GDB 吗?是的,通过执行gdb感兴趣的模块。我0x0x400a4b在之前的 objdump 调用中使用:
$ gdb ./a.out
[...]
(gdb) disass 0x400a4b
Dump of assembler code for function main():
[...]
0x0000000000400a43 <+67>: mov (%rbx),%rsi
0x0000000000400a46 <+70>: mov $0x6020a0,%edi
0x0000000000400a4b <+75>: mov -0x18(%rsi),%rdx
0x0000000000400a4f <+79>: callq 0x4009a0 <_ZSt16__ostream_insertIcSt11char_traitsIcEERSt13basic_ostreamIT_T0_ES6_PKS3_l@plt>
0x0000000000400a54 <+84>: mov %rax,%rbp
与 objdump 相比,GDB 可以毫不费力地处理外部符号信息。disass /m对应于objdump --source:
(gdb) disass /m 0x400a4b
Dump of assembler code for function main():
[...]
21 Test test(*value);
22 delete value;
0x0000000000400a25 <+37>: test %rbx,%rbx
0x0000000000400a28 <+40>: je 0x400a43 <main()+67>
0x0000000000400a3b <+59>: mov %rbx,%rdi
0x0000000000400a3e <+62>: callq 0x400920 <_ZdlPv@plt>
23 test.print();
24 return 0;
25 }
0x0000000000400a88 <+136>: add $0x18,%rsp
[...]
End of assembler dump.
对于优化的二进制文件,如果源代码无法明确映射,GDB 可能会跳过此模式下的指令。我们的指令0x400a4b未列出。objdump 永远不会跳过指令,而是可能会跳过源上下文——这是我更喜欢在这个级别进行调试的一种方法。这并不意味着 GDB 对这项任务没有用,只是需要注意。
最后的想法
终止原因、寄存器、内存映射和堆栈跟踪。这一切都在那里,甚至没有任何核心转储的痕迹。虽然绝对有用(我以这种方式修复了很多崩溃),但您必须记住,走这条路线仍然会丢失有价值的信息,最明显的是堆栈和堆以及每线程数据(线程元数据,寄存器、堆栈)。
因此,无论情况如何,您都应该认真考虑启用核心转储生成功能,并确保在紧急情况下可以成功生成转储。调试本身已经足够复杂,在没有技术上可能拥有的信息的情况下进行调试会不必要地增加复杂性和周转时间,更重要的是,显着降低了及时发现和解决根本原因的可能性。