范文健康探索娱乐情感热点
投稿投诉
热点动态
科技财经
情感日志
励志美文
娱乐时尚
游戏搞笑
探索旅游
历史星座
健康养生
美丽育儿
范文作文
教案论文
国学影视

幽灵般的无栈Crash修复记

  作者:rayhunterli,腾讯IEG游戏客户端开发工程师
  | 导语   本文主要对一例无栈Crash,在内网不能重现,外网没有内存dump和墓碑文件情况下;怎么通过残留寄存器值,深入结合C++汇编层面函数调用原理,根据蛛丝马迹,定位解决问题。本文应同事邀请,经审批公开,但部分图片与内容为了信息安全,会进行打码和信息脱敏,只保留技术讨论,可能有些生硬,望谅解! 一: 问题信息与初步分析1.1 后台上报与简要分析
  新版本上线后,进行Crash总结时,发现CrashSight后台有不少无栈上报。JAVA层栈可以忽略,Native层栈只有一行,前面文章也提过崩溃的信息栈很少, 通常来说越难查 。
  简要分析: 只有一行栈,且PC值是一个奇怪的值,不属于某个模块.text代码段范围; 但应该是程序执行时,执行到错误的地址了;该问题栈是无法回溯,连那个模块引发的都无法确认,这个才让难度几何级增大。
  补充:Crash基本知识可以参考我以前写的一篇总结文章:《C++中Crash定位原理与常见案例反汇编分析》
  针对无栈问题,前不久我已经解决过一例安全模块引发的,相对简单很多,但属内网链接就不再公开。
  少量同学对C++函数再汇编层面调用过程理解有疑问,可参考《人人都能学的会C++协程原理剖析与自我实现》, 里面有函数调用过程讨论 1.2 常规行动与分析1.观察栈信息:只有一条栈,大量查看上报的PC寄存器值,发现基本没有什么规律性,有的很大,有的看真起来还接近.text段合理值,我随意截些图,如下图所示。总之来说,乱七八糟,各种各样,没有得出什么规律。
  可能有人看到上报错误信号不同,但BUS_ADRALN与SEGV_MAPERR都是访问到非法内存,只是内存没有对齐,可能就报BUS_ADRALN,否则SEGV_MAPERR;由于出错值目前看有点随机,当然对不齐比能对齐的多,所以本例BUS_ADRALN多。2.观察日志:CrashSight后台上报通常都带有crash发生时部分logcat日志,往常复杂的案例,通过阅读大量案例的日志,总能找到蛛丝马迹。这次我也不知道读了多少条,并没有得到特别有效的结论,除了发现大都在战斗中时出问题,别的并没有收获。3.观察其它线程栈:
  以前的经验,有时看看其它线程调用栈,可能也发现蛛丝马迹,但这个问题,也是失败告终。4.观察硬件及状态维度信息:比如出问题机器型号,众多,和型号无关;32位还64位也没用;游戏出问题时间,有几分钟的,有几十分钟的,也有一两小时无果,说明不是启动;观察状态:比如前后台,是加载阶段,退出阶段等,有时这个信息也挺有用,结合状态日志,确定了是战斗内,只有开始标识,没有结束标识。
  总结: 经过上面的行动处理,发现都失败,接下来有几个行动可选:1.读源码:
  首先无栈问题,不能确定是那个模块引发的。在我们项目主要是"xxxxxx_A.so","xxxxxx_B.so","xxxxxx_C.so"三大模块(名称隐藏),再加上很多其他小模块及第三方模块。这次是大版本更新,改动非常多,去看代码基本不太可能。最核心的是就算看了,你也不一定能发现,这种基本排除。2.大量测试:
  本问题如果复现了,有墓碑文件,跳过第一层栈,手动解析,基本可以秒杀。不过本案例量也不算少,也不是严重的不行,内部与少量同学沟通,进行测试,没有复现问题;这个问题没有那么容易复现,同时感觉还不到全力投入人力进行大批量测试。3.底层深入分析:
  本问题比较乱,出现问题点比较多,只要案例多,肯定能把规律性提取出来。我相信再搞一搞,结合汇编函数调用规律,全面分析,就可能成功,实在不行,再说。4.启用CrashSight实验功能:CrashSight也提功类似内存dump功能,但我们版本只有1Mb内存上传,100条线程左右估计要3Mb。基本会截断,需要他们手动解析二进制片段,还不一定有这个栈内存,非常麻烦。再加上这个功能只有一个项目用,可能有其它影响,和CrashSight同学讨论,这个做我方案3不成功的备选。
  我先选择3,假如失败后,计划进行2,4。二:在寄存器与汇编指令中寻找蛛丝马迹
  在一所有失败后,仅有最有效的信息,就剩32个寄存器,我们要从这仅有的信息中,尝试揪出本问题,还是比较难。
  2.1 探寻FP,LR,PC三个关键寄存器
  对于我们这种情况,最核心关联的三个寄存器就是FP,LR,PC,我们项目主要模块,进行C++编译时,没有通过-fomit-frame-pointer参数强制禁用FP;(禁用时回溯栈麻烦,需要用dwarf结合EFL的.eh_frame段存放CFI信息);通过大量阅读这些寄存器,稍微并整理了一下,大致分为下面5类类型1:lr,pc相同,看起来不正常,但FP看起来也不正常 r29=0x051f0076a392d140 r30=0x058e045c05220520 pc=0x058e045c05220520 具体CrashSight链接:xxxxxxxx(公开版隐藏)   类型2:lr,pc相同,看起来不正常,但FP看起来接近合理值 r29=0x0000007ad6ef07e0 r30=07x048304504722a88 pc=0x0483047504722a88 具体CrashSight链接:xxxxxxxx(公开版隐藏)   类型3:lr,pc相同,看起来接近合理值,但FP看起来不正常 r29=0x0485048404838210 r30=0x0000006c04880487 pc=0x0000006c04880487 具体CrashSight链接:xxxxxxxx(公开版隐藏)   类型4:lr,pc相同,看起来接近合理值,但FP看起来也接近合理值 r29=0x00000078f61faaa0 r30=0x0000007804da04d2 pc=0x0000007804da04d2 具体CrashSight链接:xxxxxxxx(公开版隐藏)  类型5:lr,pc不相同,且三个都不正常 r29=0x045d007823bf5170 r30=0x045b0459045c051f pc=0x005b0459045c051f 具体CrashSight链接:xxxxxxxx(公开版隐藏)
  结论:各种情况都有,没有发现特别意义,真的吗???也不是完全没有意义,且看下一小节2.2 深入ARM分析跳转指令---得出重要推论1
  由常识可明确本例发生在指跳转指令。
  别看这么多跳转指令,由2.1的信息,我们很快就能锁定。1.条件跳转指令排除:
  不看条件,他们实质是offset跳转,跳转的实际为固定值,BranchTo = PC + offset,他们不可能跳转到变态大的PC值,且LR值通常不会变(先强写一下LR除外),基本排除了。2.B指令排除:
  由于我们现在用4字节指令,留给B指令,只有26bit的偏移,不可能跳转到变态大的PC值;且这里出错时,PC相对地址不变,排除;加上LR不变,更加排除。3.BL指令排除:
  同上,光变态大PC的数据排除,LR实际为跳转时PC+4;这点也能排除4.BLR指令排除:
  这个可以满足PC变态大,但必然有有通用寄存器Xn保存PC值,通过大量观察上报寄存器,找不到Xn,排除5.BR指令排除:
  这个有时也用在函数结束,由LR提前从栈弹出,可以满足PC变态大,但必然有有通用寄存器Xn保存PC值,通过大量观察上报寄存器,找不到Xn,排除6.就你了:ret指令:
  一般用在函数结束时,从栈内存中先弹出高位寄存器(X19----X30,根据函数需要,编译实际保存不同),如果栈内存被改写,那么LR,FP都可能是错误的值,这样就能造成符合我们要求的无栈crash。
  ARM平台的ret指令和x86/x64平台,还是有点区别的,这点需要注意下。
  总结:到现在,我们已经明确是在函数结束时,由于栈越界改写破坏了LR,或FP,或两者,ret指令跳转失败;这有用吗???有用,但只有一点点。因为到现在我们连那个所属那个模块都不知道,好像又陷入僵局。2.3 再看FP与SP寄存器--离真相更近一步
  有了2.2小结的结论,函数返回,ret指令失败,有2.1小节我们问题是多种多样的,我们还可以观察FP与SP。
  假设A函数调用B函数,B函数结束,ret指令失败,这时B函数的栈已经平衡了,这时我们可以推出一个重要结论:
  SP:寄存器实际为A函数的栈顶,且不会被破坏
  FP:寄存器如果没有被越界改写的情况下,就是A的函数的栈底
  两者相减,就是函数A的栈大小,而一个函数的栈大小是固定的
  于是我就挑了一些FP看似处于正常值的案例和SP相减,就得到下面的结果:r29=0x0000006f29ca5d40 r30=0x0483047504727a88 sp=0x0000006f29ca5b00 = 240H/576  r29=0x051f0076a392d140 r30=0x058e045c05220520 sp=0x00000076a392d110 pc=0x058e045c05220520 pstate=0x0000000080000000 = 30H/48 不少  r29=0x0485048404831170 r30=0x0000007d04880487 sp=0x0000007e11601140 pc=0x0000007d04880487 pstate=0x0000000020000000 = 30H/48 侵入  r29=0x051f007838a0dab0 r30=0x058e045d045c04bc sp=0x0000007838a0da80 pc=0x058e045d045c04bc pstate=0x0000000080000000 = 30H/48 侵入  r29=0x0000007ad6ef07e0 r30=0x0483047504722a88 sp=0x0000007ad6ef05a0 pc=0x0483047504722a88 pstate=0x0000000060000000 = 240H/576  r29=0x0000007e9816de60 r30=0x048304750472ca88 sp=0x0000007e9816dc20 pc=0x048304750472ca88 pstate=0x0000000060000000 = 240H/576  r29=0x000000756acd27d0 r30=0x048304750472ca88 sp=0x000000756acd2590 pc=0x048304750472ca88 pstate=0x0000000060001000 = 240H/576
  函数A栈大小,基本上固定为240H和30H两种(其中部分30H,感觉最高16位,好像被写入奇怪的值,后面48位,看起来是合理的栈内存地址;我这里抛出最高16位相减),说明可能至少两个函数出现这种情况。用IDA搜一个主要的模块,其实栈内存为240H并不太多,30H就一大堆。
  总结:出问题的调用者函数栈内存大小为240H,也就是576个字节,或者48字节两种;这时结合其他寄存器观察,已经感觉到越界可能2字节一组(这点还不能完全实锤);但…好像还是没用,我们还是不知道那个模块,怎么破???2.4 不要放弃,再深入观察寄存器--结果呼之欲出
  为什么不要放弃呢?因为我们这次无栈出现的寄存器杂乱,各式各样,各种组合,像幽灵一样,特征似乎不那么明显,反过来这也是好处,说明可以遍历多种出问题的情况。如果是越界,很大可能可能是一个跳跃性越界,而不是连续越界。就是这样,加上特征不明显,只要我看的多,就可能找到漏网之鱼。
  我重点观察高位寄存器,对于异常值不断观察,再结合汇编知识,我们可以得到下面结论或推论。1.越界起始不是必然值:
  如果从栈变量写越界栈寄存器,连续写的话,对于一个函数来说,当写到栈内存保留的寄存器时,必然是特定的,但本例不是。2.越界值似乎有点意思:
  大量观察,发现特征也是2字节一组,且范围基本就是0x04xx,0x05xx较多。3. 寄存存越界分析:
  C++编译器对FP开启模式,通常将FP,LR保存栈顶,如果有其它高位寄存器要保存,必然存在下面可能。* a:越界先写坏其它高位寄存器,还没写坏后面的FP,LR。这种情况,能栈回溯,但访问高位寄存器可能引发crash,那么版本必然存在常规crash!!!* b:越界写坏LR寄存器。这种情况发生时,就是我们要查的无栈Crash* c:越界写坏不是本层函数栈,更高层次的函数栈,那么可能导致更高层函数崩溃。4. 我们最想要的漏网之鱼:
  由了上述3条结论后,我们可以寻找漏网之鱼,就是只有最高16位写坏的那种。反正本次够幽灵,规律性难概括,只要坚持看,肯定能找到,果不其然。// 很快找到,像这样越界从FP寄存器最高16bit,后面48bit是有效的 r29  =  0x051f0076a392d140   r30 =  0x058e045c05220520
  我们只要继续再找,如果越界是LR最高16bit开始,那么我们就将秒杀这个bug
  // 很快找到,像这样越界从LR寄存器最高16bit,后面48bit是有效的 r29  =  0x00000073313ca1d0   r30 =  0x0457007302d9a190   sp =  0x00000073313ca1a0    10   pc =  0x0057007302d9a190   pstate =  0x0000000080001000   查看模块地址: 72fe7ad000 -  73058aa000 r -  xp  00000000    103  :  13    1902513   libxxxxxxx_A .  so 可以推出结论:从45ED190地址出问题,分析相应汇编,即将秒杀!!! 7302d9a190 -  72fe7ad000  =   45ED190
  再找到类似的r28=0x000000742d7fc698 r29=0x00000074505bd810 r30=0x045700742ab04bb8 sp=0x00000074505bd5d0 pc=0x005700742ab04bb8 pstate=0x0000000080000000 也还是libxxxxxxx_A.so模块,可以推出结论:从45EEBB8地址出问题,分析相应汇编,即将秒杀!! 0x0742ab04bb8-0x7426516000 = 45EEBB8
  总结:到现在我们充分利用对汇编的理解,结合大量的寄存器的观测,不停的寻找,才得到本文最重要的推论3,4,也找到两处函数调用地址;到这基本上这个问题就秒杀了,我们只需从CrashSight后台找相关常规崩溃去验证,我们的推论成立与否就可以了。搜索蛛丝马迹到此就结束了,下面转到常规分析。三:一步一步验证推论
  虽然知道2.4小节的结论,可能秒杀这个问题。这有点利用假设站上帝视角,还存在假设,也为了在讲述角度更好示范解常规crash,先不直接用推论,进行更加常规点分析(我自己已先看那两个推论地址与反查出的函数名,CrashSight后台果然是有对应上报的,且相同业务上报位居高位)。先看本版本新增最多相同函数名的业务有栈崩溃,这个崩溃函数段就覆盖其中45EEBB8地址,虽地址有一偏差,但感觉是同一个问题。虽然用推论可能更快,但还是先解决已明确的问题把。不过最开始统计时相关同学告诉我已经修复了,最初我没有去管。3.1 业务模块有栈新常规问题分析
  示意图已经被我严重打码了,就是普通业务代码,一层一层的调用关系,虽看不到函数名,但这不影响技术本身。
  首先看了一下相关同学的修改,好像C#代码并没有特别大的可能崩溃风险,那么可能修改没用,于是我打开IDA进行0x00000000045eec7c附近反汇编。
  0x00000000045eec7c此处汇编比较简单(已打码屏掉相关业务名称),x8应该是定值,不可能出错,只有X26寄存器可能出错,打开寄存器
  从图上可以看出X8刚好是0x21150,符合条件;X26为0x0537053605350534,一看就是诡异不对的值;且从x24到x28都是0x05xx,这不是前面我们2.4小节的一个推论,这是巧合吗?
  我再向上看看IDA:本函数X26在崩溃点前面有访问,且本函数汇编直接改动X26可能点比较少,我都排除了,说明前面是正常访问的;略加观察又发现三条推论符合2.4小节中:手动剔除某些案例LR寄存器最高16bit,得到0x0742ab04bb8-0x7426516000 = 45EEBB8,这个45EEBB8地址就是在本函数中,这两个基本就是一个问题2.2小节中:我们得出一个重要结论,无栈崩溃就是函数返回ret指令修改,结合本例有栈崩溃前面能正常访问X26,且自己不会直接修改,后面不能访问,也只能是函数调用返回发生,巧合吧,这点在下面会细说2.3小节中:函数栈内存为240H或30H,本函数栈内存大小就是240H,巧合吧
  总之多么巧合啊,嘿嘿!
  话又说回来,这个有栈的问题,只看C#业务代码,很难修的。我们继续分析那里改坏寄存器的。3.2 缩小汇编范围,加速分析分析汇编范围
  如上文所述,动用我们2.4推论得到il2cpp的地址,可以直接定位出问题函数(lr地址需要-4),再验证跳转函数真正内容就可以了,这样有点变态。我们看怎么常规修复这个x26问题,展开更多汇编。
  如上图所示,在红框标注的X26之间出了问题,这里面有很多行汇编指令。
  先说一下:本函数C#源码有250行,转成C++源码有976行,由C++生成的汇编有1738行指令,看起来会很痛苦,我们要多结合C++源码与BL这种跳转指令及调用关系链,不要全部反汇编,浪费时间,也没必要。
  就算这样,我们卡了两个X26之间汇编,确定它们是顺序调用的,但里面涉及函数还是太多,且存在函数嵌套调用其他函数,用人工一个一个排除太费劲,另外还有形如虚函数,BLR Xn调用,这种我们是不知道函数名称的,对应C++源码是这样的,是无法读出来的,都需要我们结合C++及C#代码一点点推断。
  缩小汇编范围
  由前面信息,我敢肯定,肯定有更早一点的崩溃,毕竟我们的是幽灵模式,各种情况都有,只要我们广泛搜CrashSight后台就可以了。
  在CrashSight后台,通过对栈关键字搜索(函数名称),以及对最最近上报的观察,处理一下,我得到下面的信息//XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_A实际为本函数函数名称,为了信息安全,我这里代替示意  pc 00000000045eec7c XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_A 具体CrashSight链接:xxxxxxxx(公开版隐藏)  pc 00000000045eecdc XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_A 具体CrashSight链接:xxxxxxxx(公开版隐藏)  pc 00000000045eec84 XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_A 具体CrashSight链接:xxxxxxxx(公开版隐藏)  pc 00000000045eebb8 XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_A 具体CrashSight链接:xxxxxxxx(公开版隐藏)  pc 00000000045eecf4 XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_A 具体CrashSight链接:xxxxxxxx(公开版隐藏)  lr 00000000045eecfc XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_A 具体CrashSight链接:xxxxxxxx(公开版隐藏)
  针对每个崩溃点,我都去IDA看一眼,就是不同对应越界不同的寄存器,越界值刚好是一个不可访问的,不再截图示意。找PC最小的,直接将范围缩小到了00000000045eebb8,这是非常重要的结论,直接命中我们2.4小节漏网之鱼推论:0x0742ab04bb8-0x7426516000 = 45EEBB8,即将秒杀,哈哈。
  对于最后一个lr 00000000045eecfc,多说一句,如果blr Xn,这个寄存器Xn刚好是0,CrashSight的回溯是这样,只显示下一条的LR值。
  打开IDA,跳转过去,
  再看看寄存器值,X9是0x1F90,X8是0,符合猜测
  在看的过程中,我还发现其他规律://XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_B实际为另一个函数函数名称,为了信息安全,我这里也是代替示意 //XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_C,XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_D,XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_E等都是不同的函数名称  pc 00000000045ed190 XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_B 具体CrashSight链接:xxxxxxxx(公开版隐藏)  pc 000000000085b41c XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_E // 实际为上面的变种,比XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_B多了一层栈,其具体栈如下 1 pc 000000000085b41c XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_E [arm64-v8a] 2 pc 00000000045ed1a8 XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_B [arm64-v8a] 3 libil2cpp.so pc 000000000463c1a0 XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_C 具体CrashSight链接:xxxxxxxx(公开版隐藏)  pc 000000000463c1b4 XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_C // 比XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_B少一层栈 具体CrashSight链接:xxxxxxxx(公开版隐藏)  pc 000000000463c1a4 XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_C // 比XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_B少一层栈 具体CrashSight链接:xxxxxxxx(公开版隐藏)  pc 0000000004ed9a20 XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_D // 比XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_B少二层栈 具体CrashSight链接:xxxxxxxx(公开版隐藏)
  用IDA看一下XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_B这个函数,崩溃点也和XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_A没有实质区别,都是高位寄存器坏了,只是这个函数短很多,访问高位寄存器地方少,所以排名不是那么高而已。我们又有下面推论:2.4小节中:手动剔除最高16bit,得到7302d9a190-72fe7ad000 = 45ED190,这个45ED190地址就是在XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_B中,这不巧了!!!同上面XXXXXXXXXXXXXXXXXXXXXXXXXXXXX_A函数,这些都是对应高寄存器非法,又是函数返回ret指令修改,无栈崩溃也是,这不巧了2.3小节中:函数栈内存为240H或30H,本函数栈内存大小就是30H,两个都得到验证,哈哈2.4小节中:越界写坏不是本层函数,更高层次的函数栈,那么可能导致更高层函数崩溃,这不巧了,刚好符合,还引申一个下层栈也可能因收到错误信息而崩溃
  总结:本小节基本上把我们的汇编级推论验证完了,如果我们用汇编级去秒杀,可以更快。到这里本案例基本上80%的内容被搞定了,也说明验证了至少发现了两个A,B函数。接下来从汇编角度来进一步分析,他们都是虚函数,我们只需分析出这个虚函数到底是谁即可。3.3 揪出真凶,分析幽灵一样的原因
  从45EEBB8看,实际这是LR值,需退一条汇编指令,就是红框,虚函数调用。
  结合汇编上下文,C++源码上下文,C#源码,很容易推出X9就是XXXXXXXXXXXXXXXX_M函数地址,在IDA我已经标注;再汇编跳转过去
  看到汇编开头我就笑了,基本就是他了,居然把高位寄存器保存了一遍,还有0x70字节大小栈对象,为可以越界埋下伏笔,这里汇编不用看了(当然我自己为了实锤,还是会看),只需要看高级语言就行了。
  我们直接看C#代码,由于业务比较长,也存在多处可能越界点情况,我略去很多没用的代码,作一段伪码:protected override void XXXXXXXXXXXXXXXX_M(bool bIn) {     AAAA AInfo = new AAAA();     AInfo.Count = 0;      for (int i = 0; i < TestCount; i++)     {         unsafe         {             AInfo.Data[AInfo.Count++] = OriginData[i];         }     } }
  C#代码虽然是new,但结构体AAAA对象AInfo是栈对象,并非在堆区,这里在C#生成的C++代码及汇编都可以确认,我就不在贴更低层次的代码。它是unsafe的,看了一下改动,由于逻辑改动,确实导致可能数组不足,存在越界。但这里看起来像是连续的写入,越界为什么那么幽灵呢???
  回答这个问题之前,还要看AAAA结构[StructLayout(LayoutKind.Explicit, Pack = 8, Size = 82)] unsafe public struct AAAA {     [FieldOffset(0)] public fixed ushort Data[40];     [FieldOffset(80)] public byte Count; }
  OH,OH,OH!!! 明白了
  原来AInfo.Count是在数组AInfo.Data后面哇,栈越界先覆写AInfo.Count自己;然后for循环再次推动越界时,由于是AInfo.Count是byte型,是否再次越界取决于写入的值。数组大小为40,如果写入的AInfo.Count为30,就不越界,反而覆盖了原来的值;如果为42,就越界,开始破坏x28,以此类推;如果为100,就可能破坏更加上层的函数栈。加上逻辑层本身for循环次数TestCount由业务决定,也是不定的,AInfo.Count写入值更是不定,多层不定折腾下,是否越界就变得很玄学。越界了从哪里开始越也很玄,越多少字节也很玄。只有明确越界覆写是ushort,也就是16位。
  到此所有问题得解,一切结束。四: 总结与反思
  我们现在站在事后诸葛亮角度去分析:C++这种函数栈越界很好处理,编译器开启函数栈保护,只需牺牲一点性能,就可以搞定,是否平时尝试开启一下?项目是否能接入更高级的内存诊断工具,Google ASan,anitation, fuzzing!能否开启CrashSight的简易内存dump墓碑文件能够推进Crash修复需要近乎完全确认才能声明修复了,否则可能误导
  本文较长,可能技术点有错误或者不全面,欢迎指出与讨论。如果大家有更好方法,一起交流讨论。相比Google平台,感谢CrashSight平台提供寄存器,模块地址,日志等信息供追查。

假如你有个内向的孩子昨晚,痒痒树先生要去朋友家接孩子回来。出发之前,我让他打个电话给NN,没想到打完之后,痒痒树先生很生气地说一点礼貌都没有,你教出这样的孩子来。说句实话,当时很想怼得他找不着北,孩子邓伦发布致歉信,声称愿意承担相关一切责任,未来还要积极工作3月15日,消费者权益晚会还没开始,娱乐圈就曝了个大瓜,90后男演员邓伦偷逃个税4765万,被处罚并追缴1。06亿,成为新生代男星偷逃税第一人。随后,邓伦发文道歉,称已深刻自省认识别再甩锅了,谁的基因决定了孩子的智商和外貌在婴儿出生前,母亲们会讨论婴儿是男性还是女性,以及长得像谁。你希望你的宝宝长什么样?你喜欢他的眼睛吗?身体像你,智商像他?谁的基因决定了这一切?现在,让我们了解一下。身高是遗传的,中煤平朔集团以智提质赋能发展精品能源内容,点击右上角加关注发展成就梦想,变革方能言胜。推进智能化矿山建设是企业转型创新发展的必然要求和战略抉择。中煤平朔集团深入践行四个革命,一个合作能源安全新战略,紧扣安全高动煤煤价产地继续下跌,港口弱势依旧1产地方面昨天矿区销售依然偏弱,整体变化不大,煤矿继续不跌,部分矿连续下跌后,销售转好,但整体依然延续周末两天态势。铁路运输方面变动不大,大秦呼局满发,呼局请批车依然劈叉,神华外购待四月花开之时来瓦屋山赴一场春日之约摄影尹霜林一声惊雷万蛰醒忽去温巢动离情摄影JOJO带你游世界崔宗喜春雨徐徐地来滋润着万物春雷阵阵回应着及时雨摄影JOJO带你游世界她踩着青石板的暖味唱起芽尖的梦呓游弋的五线谱揉醒了锦瑞食品统一酸菜包不存在使用土池菜的可能性北京商报讯(记者张君花)3月16日,针对央视315晚会曝光锦瑞食品酸菜生产不达标一事,锦瑞食品发布承诺函称我司承诺生产的统一酸菜包产品原料菜全部来源于厂内自由环氧树脂腌制池腌制原料钟乳石和石笋是如何形成的?洞穴里的钟乳石和石笋背后有一些复杂的化学物质。钟乳石和石笋装点着世界各地的洞穴。钟乳石从顶端垂下来,石笋从地面上升起。它们的生长速度令人难以置信地缓慢,有些非常古老,甚至早于现代人生猪跌到6元一斤,中央收储又来,会不跌了?民生调查局编者按这里是民生调查局,见人所未见,调查民生之变。关注你想关注的你没关注的,调查你想看的未看到的。中新财经3月16日电(记者谢艺观)6元一斤!当生猪价格跌至低位,养猪企业世界首台双测光模式的单反相机玛米亚1000DTL!日本1968年制造今天介绍一台日本玛米亚Mamiya公司在1968年开始生产的MamiyaDTL1000单反照相机,该机使用135胶卷,其最大的特点就是具备了平均测光和点测光两种测光模式。Mamiy如果我捡到一个直径10米的纯金陨石,该陨石属于我还是属于国家?综述中国对文物归属权在法律上做了明确界定,但是,从天而降的东西,一旦变得值钱且具备研究价值,是否就能在白纸黑字上找到归属权的依据呢?这个问题还得从地面上捡到一个直径10米的纯金陨石
为什么我感受不到1500元的手机比四五千的差?头条创作挑战赛感受不到就对了!我们看下决定手机使用体验的几大件,究竟差距有多大分别是处理器,屏幕,影像模组,续航,散热,做工颜值。首先处理器不论是今年最强的芯片骁龙8Gen1,天玑传奇3光通版手游,今天下午两点正式开区,还不快来看攻略?哈喽,大家好,说起传奇3,当年经典的神舰跑船画面,是不是又慢慢浮现在你的脑海里?想必不少玩家,当时在游戏里面也是占据了一席之地啊!那是我们的青春啊!今天呢,我先带你们简单了解一下这妲己皮肤特效不掀桌子改丢小动物了,可爱的暴躁女,你给几分大家好我是指尖,继滕王阁序皮肤曝光之后,紧接着王者官博就公布了下一个上线的皮肤,有些玩家很早就提到过这个爆料,那就是和安琪拉时之奇旅一个系列的皮肤,不愧为三姐妹,妲己安琪拉都有了皮男孩姓肖有诗意的名字名字的选择不仅要好听好记,更应该符合一个人的气运,而在名字的选择上,不管是字与字的组合还是声调的组合,都应该符合其五行八字的磁场,也对人的成长更为有利,俗话说,送子千金,不如送子一十月怀胎的烦恼,真正懂的人才懂之孕晚期熬过了初期的孕吐,大排畸的忐忑,还有迎接新生命的的恐慌孕晚期的烦恼,男人真的不会懂!例如,睡觉时作者see。k孕妇只能侧躺,时间长了,真的很怀念趴着睡啊!偶尔正着躺,很快就是喘不上2022虎年男孩明明如月众妙归来的男宝宝名字大全父母在为男宝宝取名字的时候,都会选择一些霸气带有男子气概的名字,这样的名字可以体现出男宝宝的阳刚之气,也代表着将来要成为家中的顶梁柱。取名字的时候还要注意宝宝名字的寓意,选择一些简产后才3个月,女子又有了2个月的身孕!网友调侃这有多忍不住呀如果不爱惜自己的身体,到时候受罪的还是自己,一个男人不知道心疼自己的老婆,嘴巴里面说的万分爱,也不可是空口白牙一句话而已。怀孕本来就是一件小心翼翼的事情,生孩子也是一种无法言说的疼潘建伟这届诺贝尔物理学奖背后,也有中国科学家的贡献科技日报记者陆成宽4日,瑞典皇家科学院宣布,将2022年诺贝尔物理学奖授予法国科学家阿兰阿斯佩美国科学家约翰克劳泽和奥地利科学家安东塞林格,以表彰他们为纠缠光子实验证明违反贝尔不等tplinkxdr5480无线mesh测评前几天刚入手的tplinkxdr5480,因为家里属于两层复式农村自建房,没有布置好网线,因此买了两台来进行无线mesh组网,下面我们来看看5480的组网性能如何。先简单说一下tp外围股市报复性反击大涨,节后A股怎么看?紧急给所有人一个提醒今天是国庆假期第四天,A股不开盘,但是其他股市已经开市,隔夜外围集体上涨,美股大涨,日经指数连续两天大涨,今天亚洲股市集体上涨,而目前欧洲股市大涨,美股盘前三大期指全线上涨,今晚大新能源汽车动力电池梯次利用认证新规向社会公开征求意见来源人民网原创稿人民网北京10月3日电(记者孙博洋)记者从市场监管总局了解到,近日,市场监管总局发布了关于开展新能源汽车动力电池梯次利用产品认证工作的公告(征求意见稿)(以下简称征