我有以下一段代码:
#include<stdio.h>
#include <string.h>
int main(void) {
char *src = "This is my string.";
char *dest, *ret;
//char dest[64], *ret;
ret = strncpy(dest, src, 5);
size_t s = strlen(ret);
printf("src: %sn", src);
printf("dst: %s|n", dest);
printf("ret: %s|n", ret);
printf("len: %dn", s);
//for (int i = 0; i < 5; i++) {
// printf("i: %dn", i);
//}
return 0;
}
for循环已禁用
$ gcc -g -o test test.c; ./test
src: This is my string.
dst: This |
ret: This |
len: 5
启用for循环
$ gcc -g -o test test.c; ./test
Segmentation fault (core dumped)
我想知道为什么只有在启用for循环时才失败。
这只是一个未定义的行为,因为我在dest参数中使用悬空指针还是有另一种解释?
通过查看gdb会话,它在尝试将值从ecx分配给rdi寄存器时崩溃了?
(gdb) bt
#0 0x00007ffff7f4a1a7 in __strncpy_avx2 () from /lib64/libc.so.6
#1 0x000000000040116e in main () at stack.c:8
(gdb) x/i 0x00007ffff7f4a1a7
=> 0x7ffff7f4a1a7 <__strncpy_avx2+1591>: mov DWORD PTR [rdi],ecx
(gdb) x/i $rdi
0x401060 <_start>: endbr64
(gdb) p $rdi
$7 = 4198496
(gdb) p $ecx
$8 = 1936287828
根据规范,您将从大多数人那里听到的答案是这样的: 程序崩溃,因为您通过写入未初始化的指针来调用 UB。在这一点上,崩溃是一种有效的行为,所以有时它会崩溃,有时它会做其他同样有效的事情(因为 UB)。
这是正确的,但它没有回答你的问题。你的问题是,"为什么它不会在所有情况下都崩溃?在您的情况下,只有当您更改程序的结构以包含似乎执行不相关行为的for循环时,您才实现了段错误。为此,我们需要对程序内存布局和段错误的性质进行基本介绍,我们将从段错误开始。
分段故障和虚拟内存
如果您不熟悉 CPU 架构,分段错误是一个有点复杂的野兽。它的目的很简单,如果执行进程尝试访问它不应该访问的内存,则应发出段错误。细节中的魔鬼是,什么定义了"过程不应该触及的记忆"?段错误应该如何传达给操作系统?
在现代操作系统和 CPU 体系结构上,进程的有效内存空间使用虚拟内存系统进行控制。虚拟内存的操作超出了您的问题范围,但足以说明操作系统和 CPU 本身都知道您的进程可以访问和无法访问哪些地址。如果进程超出其允许的内存空间范围,将发出段错误。
要"发出"段错误,CPU 将同步中断您的程序,并提醒操作系统您做了一件顽皮的事情。这些也被称为"异常"或"陷阱",但它们都只是"你的程序要求CPU做一些它不能或不会做的事情"的不同命名法。操作系统处理中断,然后向程序发出信号 (*Nix) 或异常 (Win32)。如果您的程序尚未为该信号/异常设置处理程序,操作系统会正常地使您崩溃。
关于虚拟内存的一个有趣的缺点是,它通常只以 2^12 个连续字节 (4KiB) 的包形式发布。因此,即使您的进程只需要 10 个字节,它也至少需要 4KiB。这种连续的字节分组称为"页面",因为它对内存的"行"进行分组。
程序存储器和堆栈
即使您的进程从未使用malloc或其同类请求内存,它也会被交给几页以实现所谓的堆栈(将其名称借给某些网站)。这是本地声明的变量(如src、dest、ret和s)所在的位置。它还用于在函数调用之间移动时溢出非易失性 CPU 寄存器,但这也超出了范围。
那么,如果dest只是堆栈上的一块内存,并且从未在您的程序中初始化,那么它指向什么?好吧,无论该内存地址中碰巧存在什么随机数据,现在都是您的指针。您的程序的操作现在取决于堆栈页面中的垃圾字节。
结论
如果堆栈空间中的垃圾恰好指向向进程发出的堆栈空间内存页之一内的某个位置,则进程将无法访问无效内存并将继续运行(或者它指向附近的某个地方,如果您在最后一个有效页面的一页内,Linux 可以自动增加堆栈)。但是,如果它指向其他任何位置,则会导致无效的内存访问,并且 CPU 会向相关机构发出警报。您的过程是犯罪行为,将得到相应的处理。
">但是镍宝,"你插话说,"这和for回路有什么关系?"没什么,for循环是一条红鲱鱼。在这种情况下,它恰好将堆栈分配偏向于垃圾碰巧导致段错误的地方。这可能与许多事情有关,可能是ASLR的结果,也可能只是随机的偶然事件。比我更了解虚拟内存实现的人可以阐明这一点。
勘误表
现在你的程序的结构也有一个(我认为)意外的错误,这加剧了问题。您可以使用以下命令执行初始字符串复制:
ret = strncpy(dest, src, 5);
这不会以空终止目标字符串,这意味着当您调用时:
size_t s = strlen(ret);
strlen将继续读取,直到达到空字节。因此,即使dest碰巧指向某个有效的地方,内存垃圾的运气不好也会导致strlen读取到无效内存中。