问题的引出:在某型号的核心网络交换机设备中,为调试方便,实现了一个把内存内容从终端打印的功能,也就是dump memory,屏幕的左边显示十六进制,右边以ASCII形式显示,用过UltraEdit的十六进制编辑功能朋友应该都很了解。显示ASCII码部分的实现,是这样的:
printf (string_ascii); /* string_ascii指向待显示的内存段 */
结果,这个函数调用引起了一个致命的问题,原本用于调试的功能,居然造成了整机重启。
问题解决讨论:
1,问题出在对printf函数的细节理解上。大家都知道调用printf函数要include ,但是有谁看过stdio.h里面对printf函数的原型声明?
一句话,想成为职业C程序员,就必须多看源码,特别是对一些细节的推敲。找出答案的一个重要线索,就藏在stdio.h里面的printf函数原型里。
int __cdecl printf(const char *, ...);
2,printf 的参数应该是字符串,也就是从那个参数指针指向的第一个非零数据一直打印直到遇到0x00。大概是指向的内存段一直都没有0x00这个值吧。
3,没错,第一个参数是一个字符串,但它并非一般的字符串,而是格式化字符串。提醒一下,如果这个字符串里面不含有转义字符,如%d, %x这样的符号,那么会打印出字符串本身。但是如果含有这些符号但是后面没有参数来指明这个符号呢?如果这个符号代表指针呢?
比如:printf("%d,%s");后面根本没有参数来指明%d和%s。
4,应该说,如果是有%s,那么会在这个地方插入一个字串,该字串的起始地址是printf的下一个参数。如果没有这个参数,会读取一个随机的地址,这个地址很可能是非法的,从而导致系统的崩溃。
5,函数看到fmt这个字串里面的转义字符%,就去寻找下一个参数。如果调用函数的时候并没有传递这个参数,函数会取得一个随机值对应这个转义字符。问题是,这个随机值从哪里取出来的?
6,printf函数的实现,大致是这样的:
int printf(const char *fmt, ...)
{
char printf_buf[1024];
va_list args;
int printed;
va_start(args, fmt);//调用va_start后args将指向第一个可变参数
printed = vsprintf(printf_buf, fmt, args);//调用vsprintf将fmt字符串按照args指向的第一个可变参数开始格式化输出,并将由args替换fmt中的格式化字符串保存在printf_buf缓冲中。如printf("kevin %d,%f,%s",num,fnum,string),则printf_buf中保存的是kevin 44,3.450000,abc
va_end(args);
puts(printf_buf);
return printed;
}
我们可以看到,它是调用vsprintf函数,将第二个参数以后的参数,按格式化字串输出,然后在终端显示出来。如果格式化字串中有多余的%字符,而没有传递相应的参数,会获得一个随机数。
这里有两个问题:首先,如果这个多余的%转义字符是一个“%s”,后果是怎样的呢?后果就是访问了一个没有初始化的指针“野指针”。对于8051/ARM7这样没有内存处理单元(MMU)的处理器,会显示不可预料的内容。但对于MIPS/X86这样有MMU的处理器,CPU内部的硬件线路会判断这个指针是否合法。如果是一个非法指针,会引发系统抛出一个异常(Exception),从而导致进程崩溃(process crash),也就是Windows下常见的“该程序执行了非法操作”。而在操作系统内核中发生了这种错误,会引发内核panic,类似Windows的蓝屏死机的概念,系统彻底崩溃。前面提到的,出现这个问题的核心交换机上,就是由于出现内核panic而死机重启的。
那么,随机数是从哪里获得的呢?
这个问题和体系结构密切相关了。对于x86,我们知道,参数是通过堆栈传递的,那么也就是从没有初始化的堆栈存储区取得的。而对于MIPS/ARM这样的RISC处理器,系统会占用几个寄存器作为传递参数用,如果不够用再通过堆栈传递。因此,在RISC处理器上,错误的参数还有可能从寄存器传递过来。8051是CISC处理器中的一个异类,C51编译器的函数参数传递,使用了R4到R7的四个寄存器,和RISC类似,这点要注意。
最后,请大家吸取一个教训,printf的第一个参数char *fmt,指针指向的内容一定要可控,千万不要用计算机自动生成的内容。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
