分类 技术志 下的文章

当数组访问越界后

下午到ChinaUnix C/C++版看了看,发现一个比较有意思的问题,一位兄弟在其帖子中问一段很简单的程序明显有数组越界访问之错误,可程序为什么运行起来却’安然无恙’,我看看了看,也给出了我自己的回复,晚上下班后又想想了这个问题,决定写一篇blog说说。

这位仁兄的程序(据他个人说来源自’GNU/Linux编程指南’)是这样的:

#define BIGNUM 50

void index_to_the_moon(int arr[]);

int main(void)
{
        int intary[10];
        index_to_the_moon(intary);

        exit(EXIT_SUCCESS);
}

void index_to_the_moon(int arr[])
{
        int i;
        for(i=0;i<bignum;i++)
        {
                arr[i]=i;
                printf("%d\n",arr[i]);
        }
}

正如这位楼主所说,这段代码很简单,相信学过2天C程序的人都能看得懂。按照楼主所说我在公司的环境(Solaris 9, Gcc 3.4)编译运行了这段代码,果然让楼主言中了,程序’安然无恙’的运行结束,没有任何异常。在那个帖子的回复中很多人说原因:’C不对数组下标越界进行检查,如果越界访问,其结果未定义’。这些回答其实也没有错,我在Windows XP, mingw Gcc 3.4.2下也试过编译运行该程序,结果是当打印输出到47,程序就中止了,也没有任何提示或者错误出现,估计是Windows OS中途将之Kill掉了。我们还是不说Windows上的东西比较好,我们还是主要以Unix平台为例,为什么Unix平台运行该程序一切OK呢?我们不妨分析一下:

明眼人都看得出来,该程序的确是越界访问数组了,但这只是表面想象或者说是违反了C语言的约束的做法,而更进一步说越界访问的结果是什么呢?Unix OS凭什么知道需要给出错误信息(Dump Core)呢?直截了当地说这个程序里面只是’污染’了用户进程地址空间中的一个叫’栈’的空间,我们回顾一下一个应用程序它的进程地址空间是一个什么样的布局(这个在’C专家编程’一书中有说明):

———— 0xFFFFFFFF(高地址)
栈  (stack bottom)

    (stack top)
————
  |
  |
 \|/
 空洞
 /|\
  |
————

————
数据段
————
文本段
———— 0×00000000(低地址)

按照上面的布局,我们来大致确定一下那个程序中各个变量的位置,当然我们主要聚焦在栈区了,我们要看看index_to_the_moon函数到底污染了栈上的哪些区域?在main函数中程序定义了一个局部数组变量intary,之后调用了函数index_to_the_moon,我们可以得到一个这样的栈布局:
—————————
stack bottom(high addess)
    |
   \|/
————–
main的返回地址
————–
saved %ebp
————–
intary[9]
————–

————–
intary[0]

————–
index_to_the_moon返回地址
….

    |
   \|/
stack top(low address)
————————–

从这个布局中我们可以看得出来,在栈上,intary中的各个元素的排列,通过打印出intary[0]和intary[1]的地址我们即可推导出其伸展方向,这样已经一目了然了,从intary[0]到intary[9]是从低地址到高地址分配的,这样我们可以推断如果有intary[10],其地址应该在intary[9]的高地址方向上,这样在index_to_the_moon中越界修改的栈数据就是沿着高地址方向的污染,而高地址方向存储的是什么呢,继续看图,沿着高地址方向依次是main的返回地址、以及调用main函数的_start函数的访问地址以及他们的参数列表和相关局部变量,当然_start函数究竟是什么样子的我们不得而知。但是污染了这些数据会不会导致core的出现呢?我觉得可能性不大,我想当main函数调用exit或者return后用户进程退出了,OS只是象征性的到栈上取一些返回值罢了,至于这些值是0还是796,意义已经不大。

那是不是这样越界下去就永远不会出问题了呢?当然不是。你把上面程序中的BIGNUM换成1000看看,起码在我的环境上,当printf访问到intary[654]的时候,出现了’段错误 ((主存储器)信息转储)’,这又是为什么呢?我们都知道我们现在的OS采用的都是虚拟存储管理,我们的进程地址空间也是虚拟地址,当我们无限制的沿着高低址方向试图访问数据时,所访问的虚拟地址值就会最终’进入内核空间’或者’溢出当前内存页所能表示的虚拟内存地址’而导致访问违例,当你访问违法的地址时出错就是必然的了。

也谈内存对齐(续)

关于内存对齐的话题,始终是敏感的。稍有不慎,必将闯下大祸!最近项目稍显轻闲,自己给自己安排一天反思和总结一下,突然想到以前写过的一篇'也谈内存对齐',那篇文章谈的是内存对齐的基本知识以及一些实验的数据,想必很多人看完后,会收获一些东西,但是对内存对齐的应用还是处于懵懂状态,其实大部分时间我们是不会显式的用到'内存对齐的',但是有些时候我们需要这样做。这里做了一个小例子,希望能给大家以启发。

例子是这样的:我们有一种二进制文件,其中存储了多条经过特定对齐的某种记录格式的数据,我们的任务就是解析出来这些数据,但是我们不知道也没有这种数据的记录格式结构的定义,但我们不是一无所有,我们有一个表,这个表描述了这个记录格式中有哪些域以及这些域的类型信息,我们还知道的是源数据的对齐系数。

叙述完问题后,我们来给出一些具体的东西:

二进制文件生成程序:
#pragma pack(1)
struct foo_t {
        int     a;
        char    b[25];
        int     c;
};
#pragma pack()

int main() {
        FILE            *fp     = NULL;
        struct foo_t    foo1    = {12457, "test foo1", 75421};
        struct foo_t    foo2    = {36098, "test foo2", 89063};

        fp = fopen("foo.dat", "wb+");
        if (fp == NULL) {
                printf("error in open foo.dat!\n");
        }

        fwrite(&foo1, sizeof(foo1), 1, fp);
        fwrite(&foo2, sizeof(foo2), 1, fp);

        fclose(fp);

        return 0;
}

生成的待解析文件:foo.dat,其中有两条记录。

好了,我们的任务已经很明确了,就是正确解析出这两条记录。如果解析程序知道有下面这样的结构体定义:
#pragma pack(1)
struct foo_t {
        int     a;
        char    b[25];
        int     c;
};
#pragma pack()
那这里也就不用说废话了,我们不知道这个结构定义,不过我们通过知道的一些信息可以整理出一个描述该结构定义的一个表:

#define X_CHAR          1
#define X_STRING        2
#define X_INT           3

typedef struct x_fld_info_t {
        char    name[MAX_FIELD_NAME_LEN];
        int     type;
        int     nitems;
        int     offset;
} x_fld_info_t;

x_fld_info_t    cpi_type_info_tab[3] = { /* cpi – composite */
        {"a", X_INT, 1, -1},
        {"b", X_STRING, 25, -1},
        {"c", X_INT, 1, -1}
};

想一想,我们能从文件foo.dat中读出来什么?仅仅是一块数据,每次读多大一块?如何在这块数据中找到相应的域呢?没错,我们需要通过cpi_type_info_tab这个表信息得出每条foo_t记录的大小,还要得到foo_t中每个域在这块数据中的偏移量,然后根据偏移量和域自身大小准确获取其内容。

好了终于要用到内存对齐的知识了,其实想想也知道foo.dat的文件生成程序和我们的解析程序可能不在一台机器上,而且完全可能在体系结构不同的机器上,这样不同体系结构的机器他们的默认对齐系数、字节序都可能不同(这里我们暂不考虑字节序的问题),我们在文件生成程序那边强制指定对齐系数有利于解析程序这边的解析。我们要做的就是根据已知的对齐系数和cpi_type_info_tab表中的信息计算出来该结构体在特定对齐系数下的总大小以及其各个域的偏移量。下面的宏X_ROUND_UP和函数align_cpi_type配合完成了这一工作:

int x_atom_type_size[4] = {
        -1,                 // 从下表1开始有意义
        sizeof(char),    // 对应X_CHAR的原子类型的size
        sizeof(char),    // 对应X_STRING的原子类型的size
        sizeof(int)       // 对应X_INT的原子类型的size
};

static int lg2(int k) { /* 求k以2为底的对数值,这里假设k一定为2的次方^_^ */
        int     i = 0;

        while ((k /= 2) != 0) {
                i++;
        }
        return i;
}

#define X_ROUND_UP(x, k, rv) do { \
                unsigned int t = (-1 << k); \
                (rv) = ((x – t – 1) & t); \
        } while(0)  /* 将x向上圆整到2的k次幂的倍数 */

static void align_cpi_type(x_fld_info_t *tab, int fld_cnt, int force_align_mod, int *size) {
        int     i       = 0;
        int     cur     = 0;
        int     rv      = 0;
        int     max_sz  = 0; /* 复合类型各个域中的最大原子类型的长度, 用于对齐整个结构 */
        int     atom_sz = 0; /* 域的原子类型 */
        int     ali_mod = 0; /* alignment modules */

        /*
         * 对齐各个域
         */
        for (i = 0; i < fld_cnt; i++) {
                atom_sz = x_atom_type_size[tab[i].type];
                if (max_sz < atom_sz) {
                        max_sz = atom_sz;
                }

                if (atom_sz < force_align_mod) {
                        ali_mod = atom_sz;
                } else {
                        ali_mod = force_align_mod;
                }

                X_ROUND_UP(cur, lg2(ali_mod), rv);
                tab[i].offset = rv;
                cur = tab[i].offset; /* 这一句代码还要感谢一位留名为"十年草木"的网友的提醒 */
                cur += (atom_sz * (tab[i].nitems));
        }

        /*
         * 对齐整个复合类型
         */
        if (max_sz < force_align_mod) {
                ali_mod = max_sz;
        } else {
                ali_mod = force_align_mod;
        }

        X_ROUND_UP(cur, lg2(ali_mod), rv);
        (*size) = rv;
}

如果对内存对齐还有疑惑的,可以去看看我的那篇'也谈内存对齐',再回到这来看align_cpi_type的实现,这里的X_ROUND_UP的算法借自于'Hacker's Delight'一书,很好的一本讨论'Computer Arithmetic'的书,里面的很多Knowledge & Tip很有价值。通过align_cpi_type函数我们既得到了结构的大小也得到了结构中各个域的偏移量。根据这些信息我们就可以输出文件foo.dat中的数据了。

static void output_cpi_mem(x_fld_info_t *tab, int fld_cnt, char *buf)
{
        int     i = 0;
        int     int_tmp = 0;
        char    str_tmp[50]; /* 这里仅是举例, 所以使用了一个固定大小的缓冲区, 实际上需要做一个可动态扩展的缓冲区 */

        for (i = 0; i < fld_cnt; i++) {
                if (tab[i].type == X_STRING) {
                        memset(str_tmp, 0, sizeof(str_tmp));
                        memcpy(str_tmp, (char*)(buf+(tab[i].offset)), x_atom_type_size[tab[i].type] * (tab[i].nitems));
                        printf("the value of field '%s' is [%s]\n”, tab[i].name, str_tmp);
                } else if (tab[i].type == X_INT) {
                        memcpy(&int_tmp, (char*)(buf+(tab[i].offset)), x_atom_type_size[tab[i].type] * (tab[i].nitems));
                        printf("the value of field '%s' is [%d]\n”, tab[i].name, int_tmp);
                }
        }
}

int main() {
        x_fld_info_t    cpi_type_info_tab[3] = { /* cpi – composite */
                {"a", X_INT, 1, -1},
                {"b", X_STRING, 25, -1},
                {"c", X_INT, 1, -1}
        };

        int     size = 0;
        int     i    = 0;

        align_cpi_type(cpi_type_info_tab, sizeof(cpi_type_info_tab)/sizeof(cpi_type_info_tab[0]), modules, &size);

        /*
         * 从文件foo.dat中读出所有记录
         * 并打印出来
         */
        FILE    *fp     = NULL;
        char    buf[50];

        fp = fopen("foo.dat", "r");
        if (fp == NULL) {
                printf("error in fopen!\n");
        }

        for (i = 0; i < 2; i++) { /* 这里偷了个懒儿,直接用2这个记录的个数了 */
                memset(buf, 0, sizeof(buf));
                fread(buf, size, 1, fp);

                /*
                 * 通过cpi_type_info_tab中的信息打印出
                 * 各个字段的值
                 */
                output_cpi_mem(cpi_type_info_tab, 3, buf);
        }

        fclose(fp);

        return 0;
}

执行输出:
the value of field 'a' is [12457]
the value of field 'b' is [test foo1]
the value of field 'c' is [75421]
the value of field 'a' is [36098]
the value of field 'b' is [test foo2]
the value of field 'c' is [89063]

看到这有些人可能还是很糊涂,到底为什么要这么做呢?提示一下:现在我们要解析一存储未知类型数据的文件的记录时,我们只需要这个纪录的一些描述信息即可了,而无需知道那个foo_t的具体定义了。能不能理解就看你自己了。

如发现本站页面被黑,比如:挂载广告、挖矿等恶意代码,请朋友们及时联系我。十分感谢! Go语言第一课 Go语言精进之路1 Go语言精进之路2 Go语言编程指南
商务合作请联系bigwhite.cn AT aliyun.com

欢迎使用邮件订阅我的博客

输入邮箱订阅本站,只要有新文章发布,就会第一时间发送邮件通知你哦!

这里是 Tony Bai的个人Blog,欢迎访问、订阅和留言! 订阅Feed请点击上面图片

如果您觉得这里的文章对您有帮助,请扫描上方二维码进行捐赠 ,加油后的Tony Bai将会为您呈现更多精彩的文章,谢谢!

如果您希望通过微信捐赠,请用微信客户端扫描下方赞赏码:

如果您希望通过比特币或以太币捐赠,可以扫描下方二维码:

比特币:

以太币:

如果您喜欢通过微信浏览本站内容,可以扫描下方二维码,订阅本站官方微信订阅号“iamtonybai”;点击二维码,可直达本人官方微博主页^_^:
本站Powered by Digital Ocean VPS。
选择Digital Ocean VPS主机,即可获得10美元现金充值,可 免费使用两个月哟! 著名主机提供商Linode 10$优惠码:linode10,在 这里注册即可免费获 得。阿里云推荐码: 1WFZ0V立享9折!


View Tony Bai's profile on LinkedIn
DigitalOcean Referral Badge

文章

评论

  • 正在加载...

分类

标签

归档



View My Stats