分析没有核心文件的段错误

Analyzing segmentation fault without core file

假设我的二进制文件 运行 在我无法使用 ulimit -c 启用 core dump 生成的客户站点中。工程师如何在这种真实场景中调试 segmentation faults?是否有任何其他方法可以在不生成 core dumps 的情况下调试或识别崩溃。

过去,我曾多次遇到这种限制。必须调查分段错误,或者更一般地说,异常进程终止,但要注意核心转储不可用。

对于 Linux,我们为本演练选择的平台,我想到了几个原因:

  • 完全禁用核心转储生成(使用 limits.confulimit
  • 目标目录(当前工作目录或 /proc/sys/kernel/core_pattern 中的目录)不存在或由于文件系统权限或 SELinux
  • 而无法访问
  • 目标文件系统磁盘空间不足space导致部分转储

对于所有这些,最终结果是相同的:没有(有效的)核心转储可用于分析。幸运的是,post-mortem 调试存在一个解决方法,它有可能挽救局面,但鉴于它的固有局限性,您的里程可能因情况而异。

识别错误指令

以下示例包含典型的释放后使用内存错误:

#include <iostream>

struct Test
{
  const std::string &m_value;

  Test(const std::string &value):
    m_value(value)
  {
  }

  void print()
  {
    std::cout << m_value << std::endl;
  }
};

int main()
{
  std::string *value = new std::string("this is a test");
  Test test(*value);
  delete value;
  test.print();
  return 0;
}

delete value 之后,std::string 引用 Test::m_value 指向无法访问的内存。因此,运行宁它导致分段错误:

$ ./a.out
Segmentation fault

当进程因访问冲突而终止时,Linux 内核会创建一个可通过 dmesg 访问的日志条目,并且根据系统的配置,系统日志(通常是 /var/log/messages ).该示例(使用 -O0 编译)创建以下条目:

$ dmesg | grep segfault
[80440.957955] a.out[7098]: segfault at ffffffffffffffe8 ip 00007f9f2c2b56a3 sp 00007ffc3e75bc48 error 5 in libstdc++.so.6.0.19[7f9f2c220000+e9000]

对应的Linux内核源码来自arch/x86/mm/fault.c:

    printk("%s%s[%d]: segfault at %lx ip %px sp %px error %lx",
        loglvl, tsk->comm, task_pid_nr(tsk), address,
        (void *)regs->ip, (void *)regs->sp, error_code);

错误 (error_code) 揭示了触发器是什么。这是一个 CPU 特定的位集 (x86)。在我们的例子中,值 5(二进制中的 101)表示错误地址 0xffffffffffffffe8 表示的页面已被映射,但由于页面保护而无法访问,并且已尝试读取。

日志消息标识了执行错误指令的模块:libstdc++.so.6.0.1。该示例未经优化编译,因此未内联对 std::basic_ostream<char, std::char_traits<char> >& std::operator<< <char, std::char_traits<char>, std::allocator<char> >(std::basic_ostream<char, std::char_traits<char> >&, std::basic_string<char, std::char_traits<char>, std::allocator<char> > const&) 的调用:

  400bef:       e8 4c fd ff ff          callq  400940 <_ZStlsIcSt11char_traitsIcESaIcEERSt13basic_ostreamIT_T0_ES7_RK
SbIS4_S5_T1_E@plt>

STL 执行读取访问。了解了这些基础知识,我们如何才能准确地确定分段错误发生的位置?日志条目包含我们这样做所需的两个基本地址:

ip 00007f9f2c2b56a3 [...] error 5 in
   ^^^^^^^^^^^^^^^^ 
  libstdc++.so.6.0.19[7f9f2c220000+e9000]                                     
                      ^^^^^^^^^^^^

第一个是访问冲突时的指令指针 (rip),第二个是库的 .text 部分映射到的地址。通过从rip中减去.text基地址,我们得到库中指令的相对地址,并且可以使用objdump反汇编实现(您可以简单地搜索偏移量):

0x7f9f2c2b56a3-0x7f9f2c220000=0x956a3
$ objdump --demangle -d /usr/lib64/libstdc++.so.6
[...]
00000000000956a0 <std::basic_ostream<char, std::char_traits<char> >& std::operator<< <char, std::char_traits<char>, s
td::allocator<char> >(std::basic_ostream<char, std::char_traits<char> >&, std::basic_string<char, std::char_traits<ch
ar>, std::allocator<char> > const&)@@GLIBCXX_3.4>:
   956a0:       48 8b 36                mov    (%rsi),%rsi
   956a3:       48 8b 56 e8             mov    -0x18(%rsi),%rdx
   ^^^^^
   956a7:       e9 24 4e fc ff          jmpq   5a4d0 <std::basic_ostream<char, std::char_traits<char> >& std::__ostream_insert<char, std::char_traits<char> >(std::basic_ostream<char, std::char_traits<char> >&, char const*, long)@plt>
   956ac:       0f 1f 40 00             nopl   0x0(%rax)
[...]

这是正确的指示吗?我们可以咨询GDB来确认我们的分析:

Program received signal SIGSEGV, Segmentation fault.
0x00007ffff7b686a3 in std::basic_ostream<char, std::char_traits<char> >& std::operator<< <char, std::char_traits<char>, std::allocator<char> >(std::basic_ostream<char, std::char_traits<char> >&, std::basic_string<char, std::char_traits<char>, std::allocator<char> > const&) () from /lib64/libstdc++.so.6
Missing separate debuginfos, use: debuginfo-install glibc-2.17-323.el7_9.x86_64 libgcc-4.8.5-44.el7.x86_64 libstdc++-4.8.5-44.el7.x86_64
(gdb) disass
Dump of assembler code for function _ZStlsIcSt11char_traitsIcESaIcEERSt13basic_ostreamIT_T0_ES7_RKSbIS4_S5_T1_E:
   0x00007ffff7b686a0 <+0>: mov    (%rsi),%rsi
=> 0x00007ffff7b686a3 <+3>: mov    -0x18(%rsi),%rdx
   0x00007ffff7b686a7 <+7>: jmpq   0x7ffff7b2d4d0 <_ZSt16__ostream_insertIcSt11char_traitsIcEERSt13basic_ostreamIT_T0_ES6_PKS3_l@plt>
End of assembler dump.

GDB 显示了完全相同的指令。我们还可以使用调试会话来验证读取地址:

(gdb) print /x $rsi-0x18
 = 0xffffffffffffffe8

此值与日志条目中的读取地址匹配。

识别来电者

因此,尽管没有核心转储,但内核输出使我们能够确定分段错误的确切位置。但是,在许多情况下,这还远远不够。一方面,我们缺少使我们达到这一点的调用列表 - 调用堆栈或堆栈跟踪。

如果背包中没有转储,您有两种选择来控制调用者:您可以使用 catchsegv(一个 glibc 实用程序)启动您的进程,或者您可以实现自己的信号处理程序。

catchsegv 用作包装器,生成堆栈跟踪,还转储寄存器值和内存映射:

$ catchsegv ./a.out
*** Segmentation fault
Register dump:

 RAX: 0000000002158040   RBX: 0000000002158040   RCX: 0000000002158000
[...]
Backtrace:
/lib64/libstdc++.so.6(_ZStlsIcSt11char_traitsIcESaIcEERSt13basic_ostreamIT_T0_ES7_RKSbIS4_S5_T1_E+0x3)[0x7f1794fd36a3]
??:?(_ZN4Test5printEv)[0x400bf4]
??:?(main)[0x400b2d]
/lib64/libc.so.6(__libc_start_main+0xf5)[0x7f179467a555]
??:?(_start)[0x4009e9]

Memory map:

00400000-00401000 r-xp 00000000 08:02 50331747 /home/user/a.out
[...]
7f1794f3e000-7f1795027000 r-xp 00000000 08:02 33600977 /usr/lib64/libstdc++.so.6.0.19
7f1795027000-7f1795227000 ---p 000e9000 08:02 33600977 /usr/lib64/libstdc++.so.6.0.19
7f1795227000-7f179522f000 r--p 000e9000 08:02 33600977 /usr/lib64/libstdc++.so.6.0.19
7f179522f000-7f1795231000 rw-p 000f1000 08:02 33600977 /usr/lib64/libstdc++.so.6.0.19
[...]

catchsegv 是如何工作的?它本质上是使用 LD_PRELOAD 和库 libSegFault.so 注入信号处理程序。如果您的应用程序已经为 SIGSEGV 安装了信号处理程序并且您打算利用 libSegFault.so,您的信号处理程序需要将信号转发给原始处理程序(由 sigaction(SIGSEGV, NULL) 返回) ).

第二个选项是使用自定义信号处理程序和 backtrace() 自己实现堆栈跟踪功能。这允许您自定义输出位置和输出本身。

根据这些信息,我们基本上可以做与之前相同的事情 (0x7f1794fd36a3-0x7f1794f3e000=0x956a3)。这一次,我们可以回到来电者那里进行更深入的挖掘。第二帧由以下行表示:

??:?(_ZN4Test5printEv)[0x400bf4]

0x400bf4是被调用者returns到Test::print()之后的地址,它位于可执行文件中。我们可以将调用站点可视化如下:

$ objdump --demangle -d ./a.out
[...]
  400bea:       bf a0 20 60 00          mov    [=22=]x6020a0,%edi
  400bef:       e8 4c fd ff ff          callq  400940 <std::basic_ostream<char, std::char_traits<char> >& std::operator<< <char, std:
:char_traits<char>, std::allocator<char> >(std::basic_ostream<char, std::char_traits<char> >&, std::basic_string<char, std::char_trai
ts<char>, std::allocator<char> > const&)@plt>
  400bf4:       be 70 09 40 00          mov    [=22=]x400970,%esi
  ^^^^^^
  400bf9:       48 89 c7                mov    %rax,%rdi
  400bfc:       e8 5f fd ff ff          callq  400960 <std::ostream::operator<<(std::ostream& (*)(std::ostream&))@plt>
[...]

请注意,objdump 的输出与此实例中的地址相匹配,因为我们 运行 它针对可执行文件,它在 x86_64 上具有默认基地址 0x400000 - objdump 采用考虑到这一点。启用地址 space 布局随机化 (ASLR)(用 -fpie 编译,用 -pie 链接),必须按照前面所述考虑基地址。

进一步返回涉及相同的步骤:

??:?(main)[0x400b2d]
$ objdump --demangle -d ./a.out
[...]
  400b1c:       e8 af fd ff ff          callq  4008d0 <operator delete(void*)@plt>
  400b21:       48 8d 45 d0             lea    -0x30(%rbp),%rax
  400b25:       48 89 c7                mov    %rax,%rdi
  400b28:       e8 a7 00 00 00          callq  400bd4 <Test::print()>
  400b2d:       b8 00 00 00 00          mov    [=24=]x0,%eax
  ^^^^^^
  400b32:       eb 2a                   jmp    400b5e <main+0xb1>
[...]

到目前为止,我们一直在手动将绝对地址转换为相对地址。相反,模块的基地址可以通过 --adjust-vma=<base-address> 传递给 objdump。这样,rip的值或调用者的地址就可以直接使用了。

添加调试符号

我们已经走了很长一段路,没有垃圾场。然而,要使调试有效,还缺少另一个关键拼图:调试符号。没有它们,可能很难将程序集映射到相应的源代码。使用 -O3 且没有调试信息编译示例说明了问题:

[98161.650474] a.out[13185]: segfault at ffffffffffffffe8 ip 0000000000400a4b sp 00007ffc9e738270 error 5 in a.out[400000+1000]

作为内联的结果,日志条目现在指向我们的可执行文件作为触发器。使用 objdump 让我们得到以下结果:

  400a3e:       e8 dd fe ff ff          callq  400920 <operator delete(void*)@plt>
  400a43:       48 8b 33                mov    (%rbx),%rsi
  400a46:       bf a0 20 60 00          mov    [=26=]x6020a0,%edi
  400a4b:       48 8b 56 e8             mov    -0x18(%rsi),%rdx
  ^^^^^^
  400a4f:       e8 4c ff ff ff          callq  4009a0 <std::basic_ostream<char, std::char_traits<char> >& std::__ostream_insert<char, std::char_traits<char> >(std::basic_ostream<char, std::char_traits<char> >&, char const*, long)@plt>
  400a54:       48 89 c5                mov    %rax,%rbp
  400a57:       48 8b 00                mov    (%rax),%rax

部分流实现是内联的,因此更难识别相关的源代码。没有symbols,就得用export symbols,调用(like operator delete(void*))和周围的指令(mov [=71=]x6020a0加载std::cout的地址:00000000006020a0 <std::cout@@GLIBCXX_3.4>)来定位.

使用调试符号 (-g),通过使用 --source:

调用 objdump 可以获得更多上下文
  400a43:       48 8b 33                mov    (%rbx),%rsi
    operator<<(basic_ostream<_CharT, _Traits>& __os,
               const basic_string<_CharT, _Traits, _Alloc>& __str)
    {
      // _GLIBCXX_RESOLVE_LIB_DEFECTS
      // 586. string inserter not a formatted function
      return __ostream_insert(__os, __str.data(), __str.size());
  400a46:       bf a0 20 60 00          mov    [=27=]x6020a0,%edi
  400a4b:       48 8b 56 e8             mov    -0x18(%rsi),%rdx
  ^^^^^^
  400a4f:       e8 4c ff ff ff          callq  4009a0 <std::basic_ostream<char, std::char_traits<char> >& std::__ostream_insert<char, std::char_traits<char> >(std::basic_ostream<char, std::char_traits<char> >&, char const*, long)@plt>
  400a54:       48 89 c5                mov    %rax,%rbp

按预期工作。在现实世界中,调试符号并未嵌入二进制文件中——它们在单独的 debuginfo 包中进行管理。在那些情况下,objdump 会忽略调试符号,即使它们已安装。要解决此限制,必须将符号重新添加到受影响的二进制文件中。以下过程创建分离符号并使用 eu-unstripelfutils 重新添加它们,以便 objdump:

# compile with debug info
g++ segv.cxx -O3 -g
# create detached debug info
objcopy --only-keep-debug a.out a.out.debug
# remove debug info from executable
strip -g a.out
# re-add debug info to executable
eu-unstrip ./a.out ./a.out.debug -o ./a.out-debuginfo
# objdump with executable containing debug info
objdump --demangle -d ./a.out-debuginfo --source

使用 GDB 代替 objdump

到目前为止,我们一直在使用 objdump,因为它通常可用,甚至在生产系统上也是如此。我们可以只使用 GDB 吗?是的,通过对感兴趣的模块执行 gdb。我在之前的 objdump 调用中使用 0x0x400a4b

$ gdb ./a.out
[...]
(gdb) disass 0x400a4b
Dump of assembler code for function main():
[...]
   0x0000000000400a43 <+67>:    mov    (%rbx),%rsi
   0x0000000000400a46 <+70>:    mov    [=29=]x6020a0,%edi
   0x0000000000400a4b <+75>:    mov    -0x18(%rsi),%rdx
   0x0000000000400a4f <+79>:    callq  0x4009a0 <_ZSt16__ostream_insertIcSt11char_traitsIcEERSt13basic_ostreamIT_T0_ES6_PKS3_l@plt>
   0x0000000000400a54 <+84>:    mov    %rax,%rbp

与objdump相比,GDB可以毫不费力地处理外部符号信息。 disass /m 对应 objdump --source:

(gdb) disass /m 0x400a4b
Dump of assembler code for function main():
[...]
21    Test test(*value);
22    delete value;
   0x0000000000400a25 <+37>:    test   %rbx,%rbx
   0x0000000000400a28 <+40>:    je     0x400a43 <main()+67>
   0x0000000000400a3b <+59>:    mov    %rbx,%rdi
   0x0000000000400a3e <+62>:    callq  0x400920 <_ZdlPv@plt>

23    test.print();
24    return 0;
25  }
   0x0000000000400a88 <+136>:   add    [=30=]x18,%rsp
[...]
End of assembler dump.

在优化二进制文件的情况下,如果无法明确映射源代码,GDB 可能会跳过此模式下的指令。我们在 0x400a4b 的说明未列出。 objdump 从不跳过指令,而是可能会跳过源上下文——我更喜欢在这个级别进行调试的一种方法。这并不意味着 GDB 对这项任务没有用,它只是需要注意的地方。

最后的想法

终止原因、寄存器、内存映射和堆栈跟踪。一切都在那里,甚至没有核心转储的痕迹。虽然绝对有用(我用这种方式修复了很多崩溃),但您必须记住,通过这种方式您仍然会丢失有价值的信息,最显着的是堆栈和堆以及每线程数据(线程元数据,寄存器、堆栈)。

因此,无论是什么情况,您都应该认真考虑启用核心转储生成,并确保在关键时刻能够成功生成转储。调试本身就已经足够复杂了,没有您 技术上可能拥有的信息进行调试 会不必要地增加复杂性和周转时间,更重要的是,会显着降低找到根本原因并解决问题的可能性及时。