诚之和:如何理解Clang编译器优化触发的Crash

本篇内容主要讲解“如何理解Clang编译器优化触发的Crash”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“如何理解Clang编译器优化触发的Crash”吧!

如果有人告诉你,下面的 C++ 函数会导致程序 crash,你会想到哪些原因呢?

std::string b2s(bool b) {
    return b ? "true" : "false";
}

如果再多给一些描述,比如:

  • Crash 以一定的概率复现

  • Crash 原因是段错误(SIGSEGV)

  • 现场的 Backtrace 经常是不完整甚至完全丢失的。

  • 只有优化级别在 -O2 以上才会(更容易)复现

  • 仅在 Clang 下复现,GCC 复现不了

好了,一些老鸟可能已经有线索了,下面给出一个最小化的复现程序和步骤:

// file crash.cpp#include <iostream>#include <string>std::string __attribute__((noinline)) b2s(bool b) {
    return b ? "true" : "false";
}union {
    unsigned char c;
    bool b;
} volatile u;int main() {
    u.c = 0x80;
    std::cout << b2s(u.b) << std::endl;
    return 0;
}
$ clang++ -O2 crash.cpp$ ./a.outtruefalse,d$x4DdzRx

Segmentation fault (core dumped)$ gdb ./a.out core.3699Core was generated by `./a.out'.
Program terminated with signal SIGSEGV, Segmentation fault.#0  0x0000012cfffff0d4 in ?? ()(gdb) bt#0  0x0000012cfffff0d4 in ?? ()#1  0x00000064fffff0f4 in ?? ()#2  0x00000078fffff124 in ?? ()#3  0x000000b4fffff1e4 in ?? ()#4  0x000000fcfffff234 in ?? ()#5  0x00000144fffff2f4 in ?? ()#6  0x0000018cfffff364 in ?? ()#7  0x0000000000000014 in ?? ()#8  0x0110780100527a01 in ?? ()#9  0x0000019008070c1b in ?? ()#10 0x0000001c00000010 in ?? ()#11 0x0000002ffffff088 in ?? ()#12 0xe2ab001010074400 in ?? ()#13 0x0000000000000000 in ?? ()

因为 backtrace 信息不完整,说明程序并不是在第一时间 crash 的。面对这种情况,为了快速找出第一现场,我们可以试试 AddressSanitizer(ASan):

$ clang++ -g -O2 -fno-omit-frame-pointer -fsanitize=address crash.cpp
$ ./a.out=================================================================
==3699==ERROR: AddressSanitizer: global-buffer-overflow on address 0x000000552805 at pc 0x0000004ff83a bp 0x7ffd7610d240 sp 0x7ffd7610c9f0READ of size 133 at 0x000000552805 thread T0
    #0 0x4ff839 in __asan_memcpy (a.out+0x4ff839)    #1 0x5390a7 in b2s[abi:cxx11](bool) crash.cpp:6    #2 0x5391be in main crash.cpp:16:18    #3 0x7faed604df42 in __libc_start_main (/usr/lib64/libc.so.6+0x23f42)    #4 0x41c43d in _start (a.out+0x41c43d)0x000000552805 is located 59 bytes to the left of global variable '<string literal>' defined in 'crash.cpp:6:25' (0x552840) of size 6  '<string literal>' is ascii string 'false'0x000000552805 is located 0 bytes to the right of global variable '<string literal>' defined in 'crash.cpp:6:16' (0x552800) of size 5  '<string literal>' is ascii string 'true'SUMMARY: AddressSanitizer: global-buffer-overflow (/home/dutor.hou/Wdir/nebula-graph/build/bug/a.out+0x4ff839) in __asan_memcpy
Shadow bytes around the buggy address:
…
...

从 ASan 给出的信息,我们可以定位到是函数 b2s(bool) 在读取字符串常量 "true" 的时候,发生了“全局缓冲区溢出”。好了,我们再次以上帝视角审视一下问题函数和复现程序,“似乎”可以得出结论:因为 b2s 的布尔类型参数 b 没有初始化,所以 b 中存储的是一个 0 和 1 之外的值[1]。那么问题来了,为什么 b 的这种取值会导致“缓冲区溢出”呢?感兴趣的可以将 b 的类型由 bool 改成 char 或者 int,问题就可以得到修复。

想要解答这个问题,我们不得不看下 clang++ 为 b2s 生成了怎样的指令(之前我们提到 GCC 下没有出现 crash,所以问题可能和代码生成有关)。在此之前,我们应该了解:

  • 样例程序中,b2s 的返回值是一个临时的 std::string 对象,是保存在栈上的

  • C++ 11 之后,GCC 的 std::string 默认实现使用了 SBO(Small Buffer Optimization),其定义大致为 std::string{ char *ptr; size_t size; union{ char buf[16]; size_t capacity}; }。对于长度小于 16 的字符串,不需要额外申请内存。

OK,那我们现在来看一下 b2s 的反汇编并给出关键注解:

(gdb) disas b2s
Dump of assembler code for function b2s[abi:cxx11](bool):
   0x00401200 <+0>:     push   %r14
   0x00401202 <+2>:     push   %rbx
   0x00401203 <+3>:     push   %rax
   0x00401204 <+4>:     mov    %rdi,%r14         # 将返回值(string)的起始地址保存到 r14   0x00401207 <+7>:     mov    $0x402010,%ecx    # 将 "true" 的起始地址保存至 ecx   0x0040120c <+12>:    mov    $0x402015,%eax    # 将 "false" 的起始地址保存至 eax   0x00401211 <+17>:    test   %esi,%esi         # “测试” 参数 b 是否非零   0x00401213 <+19>:    cmovne %rcx,%rax         # 如果 b 非零,则将 "true" 地址保存至 rax   0x00401217 <+23>:    lea    0x10(%rdi),%rdi   # 将 string 中的 buf 起始地址保存至 rdi                                                 # (同时也是后面 memcpy 的第一个参数)   0x0040121b <+27>:    mov    %rdi,(%r14)       # 将 rdi 保存至 string 的 ptr 字段,即 SBO   0x0040121e <+30>:    mov    %esi,%ebx         # 将 b 的值保存至 ebx   0x00401220 <+32>:    xor    $0x5,%rbx         # 将 0x5 异或到 rbx(也即 ebx)                                                 # 注意,如果 rbx 非 0 即 1,那么 rbx 保存的就是 4 或 5,                                                 # 即 "true" 或 "false" 的长度    0x00401224 <+36>:    mov    %rax,%rsi         # 将字符串起始地址保存至 rsi,即 memcpy 的第二个参数   0x00401227 <+39>:    mov    %rbx,%rdx         # 将字符串的长度保存至 rdx,即 memcpy 的第三个参数   0x0040122a <+42>:    callq  <memcpy@plt>      # 调用 memcpy   0x0040122f <+47>:    mov    %rbx,0x8(%r14)    # 将字符串长度保存到 string::size   0x00401233 <+51>:    movb   $0x0,0x10(%r14,%rbx,1)  # 将 string 以 '\0' 结尾   0x00401239 <+57>:    mov    %r14,%rax         # 将 string 地址保存至 rax,即返回值   0x0040123c <+60>:    add    $0x8,%rsp
   0x00401240 <+64>:    pop    %rbx
   0x00401241 <+65>:    pop    %r14
   0x00401243 <+67>:    retq
End of assembler dump.

到这里,问题就无比清晰了:

  1. clang++ 假设了 bool 类型的值非 0 即 1

  2. 在编译期,”true” 和 ”false” 长度已知

  3. 使用异或指令( 0x5 ^ false == 50x5 ^ true == 4)计算要拷贝的字符串的长度

  4. 当 bool 类型不符合假设时,长度计算错误

  5. 因为 memcpy 目标地址在栈上(仅对本例而言),因此栈上的缓冲区也可能溢出,从而导致程序跑飞,backtrace 缺失。

注:

  1. C++ 标准要求 bool 类型至少_能够_表示两个状态: true 和 false ,但并没有规定 sizeof(bool) 的大小。但在几乎所有的编译器实现上, bool 都占用一个寻址单位,即字节。因此,从存储角度,取值范围为 0x00-0xFF,即 256 个状态。

(0)

相关推荐

  • 并发编程:乱序执行的那些事儿五分钟给你整明白

    什么是乱序执行 乱序执行 [1] ,简单说就是程序里面的代码的执行顺序,有可能会被编译器.CPU 根据某种策略调整顺序(俗称,"打乱")--虽然从单线程的角度看,乱序执行不影响执行 ...

  • 诚之和:如何理解MySQL用户中的百分号%是否包含localhost

    这篇文章主要介绍"如何理解MySQL用户中的百分号%是否包含localhost",在日常操作中,相信很多人在如何理解MySQL用户中的百分号%是否包含localhost问题上存在疑 ...

  • 诚之和:如何理解NacosRibbonClientConfiguration

    今天就跟大家聊聊有关如何理解NacosRibbonClientConfiguration,可能很多人都不太了解,为了让大家更加了解,小编给大家总结了以下内容,希望大家根据这篇文章可以有所收获. 序 本 ...

  • 诚之和:如何理解微服务架构下的高可用和高性能设计

    这篇文章主要讲解了"如何理解微服务架构下的高可用和高性能设计",文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习"如何理解微服务 ...

  • 诚之和:怎么理解php包装迭代器

    本篇内容介绍了"怎么理解php包装迭代器"的有关知识,在实际案例的操作过程中,不少人都会遇到这样的困境,接下来就让小编带领大家学习一下如何处理这些情况吧!希望大家仔细阅读,能够学有 ...

  • 诚之和:如何理解Java并发之同步器设计

    这篇文章主要讲解了"如何理解Java并发之同步器设计",文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习"如何理解Java并发之 ...

  • 诚之和:如何理解Java通过加密技术保护源代码的方法

    这篇文章主要讲解了"如何理解Java通过加密技术保护源代码的方法",文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习"如何理解J ...

  • 诚之和:如何理解Python基础中的for循环语句

    如何理解Python基础中的for循环语句,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题. Python for循环可以遍历任何序列的项目 ...

  • 诚之和:使用Java的数组和链表模拟栈的实现

    栈属于数据结构的一种,也是比较常用的一种数据结构.下面文章,将通过Java的数组和链表的形式模拟栈结构的实现,来帮助大家对于栈的理解. 一.何为栈? 栈(stack)又名堆栈,它是一种运算受限的线性表 ...

  • 诚之和:使用IDEA创建Web项目 详细步骤解析

    随着现在技术的进展,很多的东西都可以直接在线在网站.网页上直接进行操作,所以很多项目都是基于Web进行开发的.下面,为大家分享一篇关于使用IDEA创建一个JavaWeb的项目创建流程的文章. 一.Fi ...