《coredump问题原理探究》Linux x86版6.5节虚函数的coredump例子

在大型项目中,很容易出现版本不匹配的问题,其中导致的虚函数飘移的问题比较难解决。

 

在这里,用一个例子来说明如何解决这种问题。

建立三个源文件:testso.h,testso.cpp,xuzhina_dump_c6_s3_ex.cpp。

testso.h的代码如下:

  1	 #ifndef __TESTSO_H__
  2	 #define __TESTSO_H__
  3 
  4	 class xuzhina_dump_c6_s3_ex
  5	 {
  6	     public:
  7	         virtual char* encode( char* str );
  8	 };      
  9 
 10	 #endif


testso.cpp的代码如下:

  1	 #include <string.h>
  2	 #include "testso.h"
  3 
  4	 char* xuzhina_dump_c6_s3_ex::encode( char* str )
  5	 {
  6	     return str;
  7	 }
  8

xuzhina_dump_c6_s3_ex.cpp的代码如下:

  1	 #include <stdio.h>
  2	 #include "testso.h"
  3	 
  4	 int main()
  5	 {
  6	     char* hello = (char*)"hello";
  7	     xuzhina_dump_c6_s3_ex* test = new xuzhina_dump_c6_s3_ex;
  8	 
  9	     char* p = test->encode( hello );
 10 
 11	     printf( "the second char:%c\n", p[1] );
 12 
 13	     return 0;
 14	 }


编译代码:

[buckxu@xuzhina 3_ex]$ g++ -o libtestso.so -shared -fpic testso.cpp
[buckxu@xuzhina 3_ex]$ g++ -o xuzhina_dump_c6_s3_ex xuzhina_dump_c6_s3_ex.cpp -L. -ltestso

运行xuzhina_dump_c6_s3_ex可以得到这样的结果:

[buckxu@xuzhina 3_ex]$ export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:.;./xuzhina_dump_c6_s3_ex 
the second char:e

现在在testso.h的类新增一个虚函数(注意虚函数声明的顺序):

  1	 #ifndef __TESTSO_H__
  2	 #define __TESTSO_H__
  3 
  4	 class xuzhina_dump_c6_s3_ex
  5	 {
  6	     public:
  7	         virtual char* parseVal( char* str );
  8	         virtual char* encode( char* str );
  9	 };
 10 
 11	 #endif

在testso.cpp新增它的实现代码:

  1	 #include <string.h>
  2	 #include "testso.h"
  3 
  4	 char* xuzhina_dump_c6_s3_ex::encode( char* str )
  5	 {
  6	     return str;
  7	 }
  8 
  9	 char* xuzhina_dump_c6_s3_ex::parseVal( char* str )
 10	 {
 11	     char* p = strstr( str, "=" );
 12	     if ( p != NULL )
 13	     {
 14	         return p+1;
 15	     }
 16	     return NULL;
 17	 }

重新生成so文件,但不重新生成xuzhina_dump_c6_s3_ex(为什么?这是模拟几个部门协作的产品开发过程,往往有些版本制作人为了省事,没有清除重新编译)

[buckxu@xuzhina 3_ex]$ g++ -o libtestso.so -shared -fpic testso.cpp

运行xuzhina_dump_c6_s3_ex,它coredump了。

[buckxu@xuzhina 3_ex]$ export LD_LIBRARY_PATH=$LD_LIBRARY_PATH:.;./xuzhina_dump_c6_s3_ex 
./xuzhina_dump_c6_s3_ex: Symbol `_ZTV21xuzhina_dump_c6_s3_ex' has different size in shared object, consider re-linking
Segmentation fault (core dumped)


打开coredump文件,可以见到如下堆栈:

(gdb) bt
#0  0x08048630 in main ()

看一下main函数的汇编:

(gdb) disassemble main
Dump of assembler code for function main:
   0x080485e0 <+0>:     push   %ebp
   0x080485e1 <+1>:     mov    %esp,%ebp
   0x080485e3 <+3>:     push   %ebx
   0x080485e4 <+4>:     and    $0xfffffff0,%esp
   0x080485e7 <+7>:     sub    $0x20,%esp
   0x080485ea <+10>:    movl   $0x80486f4,0x1c(%esp)
   0x080485f2 <+18>:    movl   $0x4,(%esp)
   0x080485f9 <+25>:    call   0x80484d0 <_Znwj@plt>
   0x080485fe <+30>:    mov    %eax,%ebx
   0x08048600 <+32>:    mov    %ebx,(%esp)
   0x08048603 <+35>:    call   0x8048650 <_ZN21xuzhina_dump_c6_s3_exC2Ev>
   0x08048608 <+40>:    mov    %ebx,0x18(%esp)
   0x0804860c <+44>:    mov    0x18(%esp),%eax
   0x08048610 <+48>:    mov    (%eax),%eax
   0x08048612 <+50>:    mov    (%eax),%eax
   0x08048614 <+52>:    mov    0x1c(%esp),%edx
   0x08048618 <+56>:    mov    %edx,0x4(%esp)
   0x0804861c <+60>:    mov    0x18(%esp),%edx
   0x08048620 <+64>:    mov    %edx,(%esp)
   0x08048623 <+67>:    call   *%eax
   0x08048625 <+69>:    mov    %eax,0x14(%esp)
   0x08048629 <+73>:    mov    0x14(%esp),%eax
   0x0804862d <+77>:    add    $0x1,%eax
=> 0x08048630 <+80>:    movzbl (%eax),%eax
   0x08048633 <+83>:    movsbl %al,%eax
   0x08048636 <+86>:    mov    %eax,0x4(%esp)
   0x0804863a <+90>:    movl   $0x80486fa,(%esp)
   0x08048641 <+97>:    call   0x80484c0 <printf@plt>
   0x08048646 <+102>:   mov    $0x0,%eax
   0x0804864b <+107>:   mov    -0x4(%ebp),%ebx
   0x0804864e <+110>:   leave  
   0x0804864f <+111>:   ret    
End of assembler dump.

看一下寄存器eax的值

(gdb) i r eax
eax            0x1      1

可见,是由于eax的值为1而导致的。而eax由

   0x08048623 <+67>:    call   *%eax
   0x08048625 <+69>:    mov    %eax,0x14(%esp)
   0x08048629 <+73>:    mov    0x14(%esp),%eax
   0x0804862d <+77>:    add    $0x1,%eax

可知是

   0x08048623 <+67>:    call   *%eax

的返回值。

那么,eax所存放的函数指针又是从哪里来的?

   0x0804860c <+44>:    mov    0x18(%esp),%eax
   0x08048610 <+48>:    mov    (%eax),%eax
   0x08048612 <+50>:    mov    (%eax),%eax
   0x08048614 <+52>:    mov    0x1c(%esp),%edx
   0x08048618 <+56>:    mov    %edx,0x4(%esp)
   0x0804861c <+60>:    mov    0x18(%esp),%edx
   0x08048620 <+64>:    mov    %edx,(%esp)
   0x08048623 <+67>:    call   *%eax

显然,最终是从esp+0x18所指向单元取来的,而由

   0x08048600 <+32>:    mov    %ebx,(%esp)
   0x08048603 <+35>:    call   0x8048650 <_ZN21xuzhina_dump_c6_s3_exC2Ev>
   0x08048608 <+40>:    mov    %ebx,0x18(%esp)

可知,esp+0x18存放着类xuzhina_dump_c6_s3_ex(shell c++filt _ZN21xuzhina_dump_c6_s3_exC2Ev)对象的this指针。

那么,

   0x0804860c <+44>:    mov    0x18(%esp),%eax
   0x08048610 <+48>:    mov    (%eax),%eax
   0x08048612 <+50>:    mov    (%eax),%eax

就是从this指针中取出虚函数的操作了。看一下类xuzhina_dump_c6_s3_ex的虚函数表:

(gdb) x $esp+0x18
0xbfc0fee8:     0x08c07008
(gdb) x /x 0x08c07008
0x8c07008:      0x08049958
(gdb) x /4x 0x08049958
0x8049958 <_ZTV21xuzhina_dump_c6_s3_ex+8>:      0xb77b16c8      0x00000000      0x00000000      0x00000000
(gdb) info symbol 0xb77b16c8
xuzhina_dump_c6_s3_ex::parseVal(char*) in section .text of libtestso.so


非常奇怪.按照代码逻辑,应该是xuzhina_dump_c6_s3_ex::encode(char *)才对的。

好了,定位到这个地步,就可以知道类xuzhina_dump_c6_s3_ex所在的头文件已经修改了,但没有进行重新编译,而且是在成员虚函数encode的前面增加了虚函数。为什么不是后面呢?有兴趣的读者可以试一下这种情况。

已经知道新版本的头文件被修改,剩下的工作用比较工具,如diff之类就可以找出修改处了。

 

当然还有另外一个方法来看增加了多少虚函数。

由上面的分析,可以知道0x08049958是类xuzhina_dump_c6_s3_ex的虚函数表地址。

(gdb) x /4x 0x08049958                          
0x8049958 <_ZTV21xuzhina_dump_c6_s3_ex+8>:      0xb77b16c8      0x00000000      0x00000000      0x00000000

可以看到,它是偏移_ZTV21xuzhina_dump_c6_s3_ex,而_ZTV21xuzhina_dump_c6_s3_ex是
(gdb) shell c++filt _ZTV21xuzhina_dump_c6_s3_ex
vtable for xuzhina_dump_c6_s3_ex

那么,_ZTV21xuzhina_dump_c6_s3_ex的地址是0x08049950。看一下它的内容

(gdb) x /4x 0x08049950                         
0x8049950 <_ZTV21xuzhina_dump_c6_s3_ex>:        0x00000000      0xb77b2808      0xb77b16c8      0x00000000
(gdb) info symbol 0xb77b2808
typeinfo for xuzhina_dump_c6_s3_ex in section .data.rel.ro of libtestso.so
(gdb) info symbol 0xb77b16c8
xuzhina_dump_c6_s3_ex::parseVal(char*) in section .text of libtestso.so

也就是说,类xuzhina_dump_c6_s3_ex后面紧接着虚函数表。有兴趣可以试一下其它的类,也是如此。

 

那么,看一下类xuzhina_dump_c6_s3_ex所在so文件libtestso.so,通过objdump来看。

[buckxu@xuzhina 3_ex]$ objdump -R libtestso.so 

libtestso.so:     file format elf32-i386

DYNAMIC RELOCATION RECORDS
OFFSET   TYPE              VALUE 
000017e4 R_386_RELATIVE    *ABS*
000017e8 R_386_RELATIVE    *ABS*
000017f0 R_386_RELATIVE    *ABS*
000017fc R_386_32          _ZTI21xuzhina_dump_c6_s3_ex
00001800 R_386_32          _ZN21xuzhina_dump_c6_s3_ex8parseValEPc
00001804 R_386_32          _ZN21xuzhina_dump_c6_s3_ex6encodeEPc
00001808 R_386_32          _ZTVN10__cxxabiv117__class_type_infoE
0000180c R_386_32          _ZTS21xuzhina_dump_c6_s3_ex
00001908 R_386_GLOB_DAT    __gmon_start__
0000190c R_386_GLOB_DAT    _Jv_RegisterClasses
00001910 R_386_GLOB_DAT    _ITM_deregisterTMCloneTable
00001914 R_386_GLOB_DAT    _ITM_registerTMCloneTable
00001918 R_386_GLOB_DAT    __cxa_finalize
00001928 R_386_JUMP_SLOT   __gmon_start__
0000192c R_386_JUMP_SLOT   strstr
00001930 R_386_JUMP_SLOT   __cxa_finalize

[buckxu@xuzhina 3_ex]$ c++filt _ZTI21xuzhina_dump_c6_s3_ex
typeinfo for xuzhina_dump_c6_s3_ex
[buckxu@xuzhina 3_ex]$ c++filt _ZN21xuzhina_dump_c6_s3_ex8parseValEPc
xuzhina_dump_c6_s3_ex::parseVal(char*)
[buckxu@xuzhina 3_ex]$ c++filt _ZN21xuzhina_dump_c6_s3_ex6encodeEPc
xuzhina_dump_c6_s3_ex::encode(char*)

可以看到类xuzhina_dump_c6_s3_ex有两个虚函数parseVal和encode,parseVal在encode前面。也就是说,在encode前面只是增加了一个虚函数。如果增加多个,可以从这里的顺序数出来的。



郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。