也谈栈和栈帧(五)——x86 Crash调查

1430阅读 0评论2015-06-15 lubing521
分类:LINUX

    程序发生Crash时,一般会coredump出转储文件core file。Crash调查的最直接目标是根据core file进行栈回溯或还原栈帧, 即find call trace。同时根据寄存器和出错处汇编代码,分析Crash的深层次原因,并提出解决方法。

 

1.  coredump设置
    要使coredump时产生合适的core file,需正确设置corefile format,这个在procfs中可以定制:
/proc/sys/kernel/core_pattern  
    core_pattern包含全路径,比如是/var/core/%e-%p-%t,则表示:/var/core/进程名-进程PID-CrashTime
    顺便关注一下内核源码中,core file及其名字的生成过程:
do_signal                            # arch/x86/kernel/signal.c
->  get_signal_to_deliver            # kernel/signal.c
->    do_coredump
->      format_corename              # fs/exec.c

    为了使生成的core file发挥更为直观的作用,要注意编译exec file(executed-file)时加上-g选项,这样通过gdb工具查找到的信息才更有价值。关于core file和exec file,有几个注意点。

 

2.  Crash调查
    如果做到了上面说的几点,发生coredump时能保留现场环境,那么正常情况下gdb的backtrace命令就能找到call trace。也就不用下面那么费劲。
    但总会出现一些不好处理的异常情况。比如在x86结构CPU的程序crash时,也许会出现一堆问号,如下所示:
(gdb) bt
#0  0xb5ff6106 in raise () from /lib/libc.so.6
#1  0xb6112ff4 in ?? () from /lib/libc.so.6
#2  0xb459f900 in ?? ()
#3  0xbfed551c in ?? ()
#4  0xb5ff7be1 in abort () from /lib/libc.so.6
#5  0x00000004 in ?? ()
Previous frame inner to this frame (corrupt stack?)

    出现异常的可能原因是exec file的symbol不存在或不匹配。根据之前对x86栈帧布局图的分析(http://blog.chinaunix.net/uid-16459552-id-3328601.html),bp-ra(即栈帧基址-返回地址)必定在栈帧顶端的固定位置,可以利用这个分布特点进行栈回溯。从当前的bp0开始,找到上一个bp1=*bp0,ra1=*(bp0 + 4),ra1就是调用函数的地址。继续回溯,bp2=*bp1,ra2=*(bp1 + 4),ra2应该是再上一级调用函数的地址。如此循环,同时用info symbol $ra* 打印出来每一级函数,就找到实际的call trace信息了。

 

3.  栈回溯示例
    获取pc(即eip)和bp(即ebp)的值,为回溯第一步作准备。执行gdb命令info register:
(gdb) i r
eax            0x0 0
ecx            0x3e4a 15946
edx            0x6 6
ebx            0x3e4a 15946
esp            0xbfed53f8     0xbfed53f8
ebp            0xbfed5400 0xbfed5400
esi            0xbfed54a0 -1074965344
edi            0xb6111ff4 -1240391692
eip            0xb5ff6206 0xb5ff6206
eflags         0x202 [ IF ]
cs             0x73 115
ss             0x7b 123
ds             0x7b 123
es             0x7b 123
fs             0x0 0
gs             0x33 51

    实现上述栈回溯的shell脚本代码关键部分如下:


echo "Call func is: "
info symbol $pc        #打印当前函数的符号(即名字)
x/4x $ebp              #显示上一个栈帧顶部4个内存地址中的值,首先是上一个栈帧的bp和调用函数ra。保存在文件calltrace.log中最后一行
#下面是循环迭代部分
bp_now=$(tail -l "calltrace.log" | awk -F: '{print$1}')     #当前栈帧基址
bp_up=$(tail -l "calltrace.log" | awk '{print$2}')          #上一个栈帧基址
func_up=$(tail -l "calltrace.log" | awk '{print$3}')        #上一个栈帧对应函数
if [ $bp_up = "Cannot" -o $bp_up = "can't" ]; then
    exit
else
    gdb -q "$exec_file" "$core_file" << EOF
    set loggint redirect on
    set prompt
    set logging file "calltrace.log"
    set height 0
    echo Call function in:
    print/x $func_up
    info symbol $func_up          #打印上一个栈帧对应函数的符号(即名字),形成call trace!
    echo Upper frame bp is:
    print/x $bp_up
    x/4x $bp_up                   #为下一次回溯作准备!
    quit
EOF
fi  


    一次回溯的打印结果如下所示:
Call func is:
raise + 70 in section .text    #当前函数
0xbfed54000xbfed552c  0xb5ff7bd1  0x00000006  0xbfed54a0

Call function in:$1 = 0xb5ff7bd1
abort + 257 in section .text   #上一个调用函数
Upper frame bp is:$2 = 0xbfed552c
0xbfed552c0xbfed5b78  0xb602f2ab  0x00000004  0xbfed5664

......

 

    x86的backtrace异常还有一种情况是只能回溯一二级栈帧,如下所示:

(gdb) bt
#0  0xb5ff6106 in raise () from /lib/libc.so.6
(gdb) x $ebp
0x0:  Cannot acess memory at adderss 0x0

    这种情况一般是因为栈溢出,最外层的部分栈帧被冲掉了,所以无法进行栈回溯。这时,还是可以利用bp-ra在固定位置的分布特点来调查,从当前sp开始找“栈地址-函数地址”对,找到后就开始按上面的方法回溯。

 

4.  PowerPC和ARM的栈回溯
    鉴于PowerPC和ARM结构的CPU也有类似的栈帧布局,也可以采用上面的方法解决backtrace异常的问题。PowerPC栈帧布局特点见http://blog.chinaunix.net/uid-16459552-id-3459993.html ,ARM栈帧布局特点见http://blog.chinaunix.net/uid-16459552-id-3364761.html 。由于暂时没有target环境,也未找到合适的虚拟硬件场景技术,所以无法为PowerPC和ARM类型的CPU程序Crash调查提供栈回溯例子,以后有机会补上。


 

 

上一篇:linux下网络编程常用头文件
下一篇:Compare-and-swap(cmpxchg)实现无锁多生产者