前言
前段时间,百度某产品线的一个模块在重启的时候出了core,本文尝试将这个core,
以及core引发的技术上的思索,完整的勾勒出来。
充分挖掘core文件
core文件时第一“犯罪现场”,它会告诉你很多很多事情。一个优秀的侦探是不会放过core中的任何蛛丝马迹的。那么从core文件开始:
(gdb) bt
#0 0x000000302af70b9a in memcmp () from /lib64/tls/libc.so.6
#1 0x000000000042bc64 in product::KeyMutex::UnlockKey (this=0x7fbfffec98,
key=@0x41e001f8) at KeyMutex.h:171
#2 0x000000000042a457 in ~Locker (this=0x41e001f0) at KeyMutex.h:198
#3 0x0000000000426298 in product::Someauthority::ItemDel (this=0x7fbfff5c50, key=@0x41e00350) at Someauthority.cpp:789
#4 0x000000000043032b in product::Someprocessor::Someupd (this=0x7fbfff4a40, pReqPack=0x2a9b6b5f90, luCmStamp=1281691520)
at Someprocessor.cpp:462
#5 0x000000000042f38b in product::Someprocessor::Proc (this=0x7fbfff4a40) at Someprocessor.cpp:264
#6 0x000000000041d8a7 in product::Processor::Process (this=0x7fbfff4a40) at Processor.cpp:75
#7 0x000000000041dd21 in product::Processor::Somecallback () at Processor.cpp:111
#8 0x0000000000455004 in eppool_consume (pool=0xaf41f0, data=0xa5cea0) at eppool.cpp:455
#9 0x0000000000454e60 in _eppool_workers (param=0xa5cea0) at eppool.cpp:410
#10 0x000000302b80610a in start_thread () from /lib64/tls/libpthread.so.0
#11 0x000000302afc6003 in clone () from /lib64/tls/libc.so.6
#12 0x0000000000000000 in ?? ()
看来core在了memcmp这个函数中了。 可惜的是memcmp函数在libc中,由于libc没有-g编译,看不到足够的debug信息。
(gdb) f 0
#0 0x000000302af70b9a in memcmp () from /lib64/tls/libc.so.6
(gdb) inf f
Stack level 0, frame at 0x41dffc20:
rip = 0x302af70b9a in memcmp; saved rip 0x42bc64
called by frame at 0x41dffce0
Arglist at 0x41dffba8, args:
Locals at 0x41dffba8, Previous frame's sp is 0x41dffc20
Saved registers:
rbx at 0x41dffbe8, rbp at 0x41dffbf0, r12 at 0x41dffbf8, r13 at 0x41dffc00, r14 at 0x41dffc08, r15 at 0x41dffc10,
rip at 0x41dffc18
我关心的是Previous frame's sp is 0x41dffc20, 因为我想看下调用memcmp函数的压栈的信息。
(gdb) x/10x 0x41dffc20
0x41dffc20: 0x41dffc70 0x00000000 0x0046f67a 0x00000000
0x41dffc30: 0x00000000 0x00000002 0x00a65b10 0x00000000
0x41dffc40: 0x00a65bc8 0x00000000
看了下栈的数据中没有全是0的,为何会core呢?
看下memcmp的原型:
int memcmp(const void *s1, const void *s2, size_t n);
3个参数压栈,如果参数都没有问题,core在了memcmp中,难道是memcmp的bug?
一般情况下,x86_64的函数调用的参数传递规则是:
参数小于6个的时候,通过寄存器传递参数,顺序是rdi,rsi,rdx,rcx,r8,r9,
参数个数大于6个时候,才使用堆栈传递参数
看一下frame1的函数的反汇编:
(gdb) disassemble product::KeyMutex::UnlockKey
我这里截取需要内容:
0x000000000042bc44 : mov 0xffffffffffffffe8(%rbp),%rdx
0x000000000042bc48: mov 0xffffffffffffffc4(%rbp),%eax
0x000000000042bc4b: shl $0x4,%rax
0x000000000042bc4f : mov %rax,%rsi
0x000000000042bc52 : add 0x70(%rdx),%rsi
0x000000000042bc56 : mov 0xffffffffffffffe0(%rbp),%rdi
0x000000000042bc5a: mov $0x10,%edx
0x000000000042bc5f: callq 0x410c38
这个0x410c38就是memcmp的函数地址,可以通过objdump查到。
那么接着看下寄存器的内容:
(gdb) p /x $rdx
$1 = 0x2
(gdb) p /x $rsi
$2 = 0x0
(gdb) p /x $rdi
$3 = 0x41e001f8
可以清楚的看到第2个参数的内容是0x0. 根据memcmp的原型,第二个参数传入的就是null指针了。
这个就基本定位问题了。 是因为memcmp第二个参数填写0导致的core。
在我们不了解一个模块具体结构的情况下,core信息基本足够我们分析到什么原因,什么地方导致的core。
我们要充分利用core信息。
逻辑上的原因
这里简单分析下逻辑上的原因:
core在了这个地方:
if( 0 == memcmp(&key, &this->_pSlots[i], sizeof(key)))
根据我们之前的分析,第2个参数为null导致的core。
整体的流程是这样的:main退出,导致Someauthority析构,导致KeyMutex析构,导致_pSlots 被写0.导致另一个线程在读的时候core了。
对于为何main退出了线程还没有结束,先简单说下,程序在运行时的入口函数一般不是main。举个例子:
我写了一个很简单的d.cpp(程序我在后面描述),我们看下d编译后的一些信息:
readelf -h d
ELF Header:
Magic: 7f 45 4c 46 02 01 01 00 00 00 00 00 00 00 00 00
Entry point address: 0x4003b0
这个Entry point时实际的入口地址。 这个地址的函数时:
00000000004003b0 <_start>:
因此main函数退出的时候,thread并没有被清理掉。
这方面的更详细的分析我后面再给出。
线程的终结
继续分析线程的终结的问题。 在程序正常退出的情况下,线程是如何退出的。
为了证实线程和main的关系问题,我写了个小程序:就是上面说到的d.cpp:
#include
#include "stdio.h"
#include "stdlib.h"
#include "unistd.h"
#include "pthread.h"
class MyC{
public:
MyC();
~MyC();
};
MyC::MyC(void){
return;
}
MyC::~MyC(void){
while(1) sleep(1);
return;
}
void *server_thread(void* nu){
while(1){
sleep(1);
fprintf(stderr,".");
}
}
int main(){
MyC myc;
pthread_t ServerThread;
int pid = pthread_create(&ServerThread, NULL, server_thread, NULL);
return 0;
}
程序是为了证实,main函数结束后,线程仍然会在运行。我们在析构函数中无限sleep,让程序在退出main后暂停。
如果线程继续运行,会不断有屏幕打印。 编译后运行,证实了这个说法。
./d
...........
我们后面的分析也基于这个函数,因为其足够简单。
仍然从头开始:
readelf -l d
Elf file type is EXEC (Executable file)
Entry point 0x4005b0
我们得到了程序的入口地址,这个地址是不会变的。然后我们gdb一下d,run起来后停下来。
(gdb) disassemble 0x4005b0
Dump of assembler code for function _start:
0x00000000004005b0 <_start+0>: xor %rbp,%rbp
0x00000000004005b3 <_start+3>: mov %rdx,%r9
0x00000000004005b6 <_start+6>: pop %rsi
0x00000000004005b7 <_start+7>: mov %rsp,%rdx
0x00000000004005ba <_start+10>: and $0xfffffffffffffff0,%rsp
0x00000000004005be <_start+14>: push %rax
0x00000000004005bf <_start+15>: push %rsp
0x00000000004005c0 <_start+16>: mov $0x400780,%r8
0x00000000004005c7 <_start+23>: mov $0x400720,%rcx
0x00000000004005ce <_start+30>: mov $0x4006da,%rdi
0x00000000004005d5 <_start+37>: callq 0x400560
0x00000000004005da <_start+42>: hlt
0x00000000004005db <_start+43>: nop
End of assembler dump.
可以看到,程序的入口是_start,这个是和编译器相关的。
在进行了一坨寄存器处理后,调用了一个函数。 继续看一下0x400560是啥函数:
(gdb) x/i 0x400560
0x400560: jmpq *1050242(%rip) # 0x500be8 <_GLOBAL_OFFSET_TABLE_+24>
函数的第一句话就是跳转到一个地址。 后面的注释也说明了是got表中的一项。got表中存放的一般都是地址信息。
那么这个地方存放的应该是需要跳转的下一个函数的地址。继续看一下地址0x500be8放的是什么内容:
(gdb) x/2x 0x500be8
0x500be8 <_GLOBAL_OFFSET_TABLE_+24>: 0x8a21c3e0 0x0000003b
地址一下子变的很大,这里使用的是64位系统。这个高的地址很可能是系统函数。看下这个地址是啥函数:
(gdb) x/i 0x0000003b8a21c3e0
0x3b8a21c3e0 <__libc_start_main>: push %r12
这个函数就是glibc中的著名的__libc_start_main, 这是一切程序的第一个main。
我们看下这个函数的内容:
(gdb) disassemble 0x0000003b8a21c3e0
我只截取关注的内容:
0x0000003b8a21c4aa <__libc_start_main+202>: mov 0x14(%rsp),%edi
0x0000003b8a21c4ae <__libc_start_main+206>: mov 0x8(%rsp),%rsi
0x0000003b8a21c4b3 <__libc_start_main+211>: mov 0x0(%rbp),%rdx
0x0000003b8a21c4b7 <__libc_start_main+215>: callq *0x18(%rsp)
0x0000003b8a21c4bb <__libc_start_main+219>: mov %eax,%edi
0x0000003b8a21c4bd <__libc_start_main+221>: callq 0x3b8a230c70
3个连续的mov显然是在准备参数,callq *0x18(%rsp) 这个地方才是真正的调用的main函数。
可以看到,在main函数返回后还远没有结束,
首先继续调用了exit来结束程序。 看下exit的内容:
(gdb) disassemble 0x3b8a230c70
Dump of assembler code for function exit:
0x0000003b8a230d26 : callq 0x3b8a28f070 <_exit>
在函数_exit中,看到了syscall,在这里交给了内核,内核负责完成进程结束的处理。所有的线程就在这里结束了。
后记
对于C和C++程序,在main结束后并不意味着程序运行的结束。
当然在main被运行前也并不意味着程序没有开始运行。
C++程序尤其要注意到这一点。
因此当你优雅的通过析构清理了所有内容的时候,很可能还有莫名的线程在等待着走向那非法的地址空间。
(全文完)