应用 Valgrind 发现 Linux 程序的内存问题

Valgrind 概述

体系结构

Valgrind是一套Linux下，开放源代码（GPL V2）的仿真调试工具的集合。Valgrind由内核（core）以及基于内核的其余调试工具组成。内核相似于一个框架（framework），它模拟了一个CPU环境，并提供服务给其余工具；而其余工具则相似于插件 (plug-in)，利用内核提供的服务完成各类特定的内存调试任务。Valgrind的体系结构以下图所示：

图 1 Valgrind 体系结构
 

Valgrind包括以下一些工具：

1. Memcheck。这是valgrind应用最普遍的工具，一个重量级的内存检查器，可以发现开发中绝大多数内存错误使用状况，好比：使用未初始化的内存，使用已经释放了的内存，内存访问越界等。这也是本文将重点介绍的部分。
2. Callgrind。它主要用来检查程序中函数调用过程当中出现的问题。
3. Cachegrind。它主要用来检查程序中缓存使用出现的问题。
4. Helgrind。它主要用来检查多线程程序中出现的竞争问题。
5. Massif。它主要用来检查程序中堆栈使用中出现的问题。
6. Extension。能够利用core提供的功能，本身编写特定的内存调试工具。

Linux 程序内存空间布局

要发现Linux下的内存问题，首先必定要知道在Linux下，内存是如何被分配的？下图展现了一个典型的Linux C程序内存空间布局：

图 2： 典型内存空间布局
 

一个典型的Linux C程序内存空间由以下几部分组成：

• 代码段（.text）。这里存放的是CPU要执行的指令。代码段是可共享的，相同的代码在内存中只会有一个拷贝，同时这个段是只读的，防止程序因为错误而修改自身的指令。
• 初始化数据段（.data）。这里存放的是程序中须要明确赋初始值的变量，例如位于全部函数以外的全局变量：int val=100。须要强调的是，以上两段都是位于程序的可执行文件中，内核在调用exec函数启动该程序时从源程序文件中读入。
• 未初始化数据段（.bss）。位于这一段中的数据，内核在执行该程序前，将其初始化为0或者null。例如出如今任何函数以外的全局变量：int sum;
• 堆（Heap）。这个段用于在程序中进行动态内存申请，例如常常用到的malloc，new系列函数就是从这个段中申请内存。
• 栈（Stack）。函数中的局部变量以及在函数调用过程当中产生的临时变量都保存在此段中。

内存检查原理

Memcheck检测内存问题的原理以下图所示：

图 3 内存检查原理
 

Memcheck 可以检测出内存问题，关键在于其创建了两个全局表。

1. Valid-Value 表：

对于进程的整个地址空间中的每个字节(byte)，都有与之对应的 8 个 bits；对于 CPU 的每一个寄存器，也有一个与之对应的 bit 向量。这些 bits 负责记录该字节或者寄存器值是否具备有效的、已初始化的值。

1. Valid-Address 表

对于进程整个地址空间中的每个字节(byte)，还有与之对应的 1 个 bit，负责记录该地址是否可以被读写。

检测原理：

• 当要读写内存中某个字节时，首先检查这个字节对应的 A bit。若是该A bit显示该位置是无效位置，memcheck 则报告读写错误。
• 内核（core）相似于一个虚拟的 CPU 环境，这样当内存中的某个字节被加载到真实的 CPU 中时，该字节对应的 V bit 也被加载到虚拟的 CPU 环境中。一旦寄存器中的值，被用来产生内存地址，或者该值可以影响程序输出，则 memcheck 会检查对应的V bits，若是该值还没有初始化，则会报告使用未初始化内存错误。

回页首

Valgrind 使用

第一步：准备好程序

为了使valgrind发现的错误更精确，如可以定位到源代码行，建议在编译时加上-g参数，编译优化选项请选择O0，虽然这会下降程序的执行效率。

这里用到的示例程序文件名为：sample.c（以下所示）,选用的编译器为gcc。

生成可执行程序 gcc –g –O0 sample.c –o sample

清单 1
 

第二步：在valgrind下，运行可执行程序。

利用valgrind调试内存问题，不须要从新编译源程序，它的输入就是二进制的可执行程序。调用Valgrind的通用格式是：valgrind [valgrind-options] your-prog [your-prog-options]

Valgrind 的参数分为两类，一类是 core 的参数，它对全部的工具都适用；另一类就是具体某个工具如 memcheck 的参数。Valgrind 默认的工具就是 memcheck，也能够经过“--tool=tool name”指定其余的工具。Valgrind 提供了大量的参数知足你特定的调试需求，具体可参考其用户手册。

这个例子将使用 memcheck，因而能够输入命令入下：valgrind <Path>/sample.

第三步：分析 valgrind 的输出信息。

如下是运行上述命令后的输出。

清单 2
 

• 左边显示相似行号的数字（32372）表示的是 Process ID。
• 最上面的红色方框表示的是 valgrind 的版本信息。
• 中间的红色方框表示 valgrind 经过运行被测试程序，发现的内存问题。经过阅读这些信息，能够发现：
  1. 这是一个对内存的非法写操做，非法写操做的内存是4 bytes。
  2. 发生错误时的函数堆栈，以及具体的源代码行号。
  3. 非法写操做的具体地址空间。
• 最下面的红色方框是对发现的内存问题和内存泄露问题的总结。内存泄露的大小（40 bytes）也可以被检测出来。

示例程序显然有两个问题，一是fun函数中动态申请的堆内存没有释放；二是对堆内存的访问越界。这两个问题均被valgrind发现。

回页首

利用Memcheck发现常见的内存问题

在Linux平台开发应用程序时，最常碰见的问题就是错误的使用内存，咱们总结了常见了内存错误使用状况，并说明了如何用valgrind将其检测出来。

使用未初始化的内存

问题分析：

对于位于程序中不一样段的变量，其初始值是不一样的，全局变量和静态变量初始值为0，而局部变量和动态申请的变量，其初始值为随机值。若是程序使用了为随机值的变量，那么程序的行为就变得不可预期。

下面的程序就是一种常见的，使用了未初始化的变量的状况。数组a是局部变量，其初始值为随机值，而在初始化时并无给其全部数组成员初始化，如此在接下来使用这个数组时就潜在有内存问题。

清单 3
 

结果分析：

假设这个文件名为：badloop.c，生成的可执行程序为badloop。用memcheck对其进行测试，输出以下。

清单 4
 

输出结果显示，在该程序第11行中，程序的跳转依赖于一个未初始化的变量。准确的发现了上述程序中存在的问题。

内存读写越界

问题分析：

这种状况是指：访问了你不该该/没有权限访问的内存地址空间，好比访问数组时越界；对动态内存访问时超出了申请的内存大小范围。下面的程序就是一个典型的数组越界问题。pt是一个局部数组变量，其大小为4，p初始指向pt数组的起始地址，但在对p循环叠加后，p超出了pt数组的范围，若是此时再对p进行写操做，那么后果将不可预期。

清单 5
 

结果分析：

假设这个文件名为badacc.cpp，生成的可执行程序为badacc，用memcheck对其进行测试，输出以下。

清单 6
 

输出结果显示，在该程序的第15行，进行了非法的写操做；在第16行，进行了非法读操做。准确地发现了上述问题。

内存覆盖

问题分析：

C 语言的强大和可怕之处在于其能够直接操做内存，C 标准库中提供了大量这样的函数，好比 strcpy, strncpy, memcpy, strcat 等，这些函数有一个共同的特色就是须要设置源地址 (src)，和目标地址(dst)，src 和 dst 指向的地址不能发生重叠，不然结果将不可预期。

下面就是一个 src 和 dst 发生重叠的例子。在 15 与 17 行中，src 和 dst 所指向的地址相差 20，但指定的拷贝长度倒是 21，这样就会把以前的拷贝值覆盖。第 24 行程序相似，src(x+20) 与 dst(x) 所指向的地址相差 20，但 dst 的长度却为 21，这样也会发生内存覆盖。

清单 7
 

结果分析：

假设这个文件名为 badlap.cpp，生成的可执行程序为 badlap，用 memcheck 对其进行测试，输出以下。

清单 8
 

输出结果显示上述程序中第15，17，24行，源地址和目标地址设置出现重叠。准确的发现了上述问题。

动态内存管理错误

问题分析：

常见的内存分配方式分三种：静态存储，栈上分配，堆上分配。全局变量属于静态存储，它们是在编译时就被分配了存储空间，函数内的局部变量属于栈上分配，而最灵活的内存使用方式当属堆上分配，也叫作内存动态分配了。经常使用的内存动态分配函数包括：malloc, alloc, realloc, new等，动态释放函数包括free, delete。

一旦成功申请了动态内存，咱们就须要本身对其进行内存管理，而这又是最容易犯错误的。下面的一段程序，就包括了内存动态管理中常见的错误。

清单 9
 

常见的内存动态管理错误包括：

• 申请和释放不一致

因为 C++ 兼容 C，而 C 与 C++ 的内存申请和释放函数是不一样的，所以在 C++ 程序中，就有两套动态内存管理函数。一条不变的规则就是采用 C 方式申请的内存就用 C 方式释放；用 C++ 方式申请的内存，用 C++ 方式释放。也就是用 malloc/alloc/realloc 方式申请的内存，用 free 释放；用 new 方式申请的内存用 delete 释放。在上述程序中，用 malloc 方式申请了内存却用 delete 来释放，虽然这在不少状况下不会有问题，但这绝对是潜在的问题。

• 申请和释放不匹配

申请了多少内存，在使用完成后就要释放多少。若是没有释放，或者少释放了就是内存泄露；多释放了也会产生问题。上述程序中，指针p和pt指向的是同一块内存，却被前后释放两次。

• 释放后仍然读写

本质上说，系统会在堆上维护一个动态内存链表，若是被释放，就意味着该块内存能够继续被分配给其余部分，若是内存被释放后再访问，就可能覆盖其余部分的信息，这是一种严重的错误，上述程序第16行中就在释放后仍然写这块内存。

结果分析：

假设这个文件名为badmac.cpp，生成的可执行程序为badmac，用memcheck对其进行测试，输出以下。

清单 10
 

输出结果显示，第14行分配和释放函数不一致；第16行发生非法写操做，也就是往释放后的内存地址写值；第17行释放内存函数无效。准确地发现了上述三个问题。

内存泄露

问题描述：

内存泄露（Memory leak）指的是，在程序中动态申请的内存，在使用完后既没有释放，又没法被程序的其余部分访问。内存泄露是在开发大型程序中最使人头疼的问题，以致于有人说，内存泄露是没法避免的。其实否则，防止内存泄露要从良好的编程习惯作起，另外重要的一点就是要增强单元测试（Unit Test），而memcheck就是这样一款优秀的工具。

下面是一个比较典型的内存泄露案例。main函数调用了mk函数生成树结点，但是在调用完成以后，却没有相应的函数：nodefr释放内存，这样内存中的这个树结构就没法被其余部分访问，形成了内存泄露。

在一个单独的函数中，每一个人的内存泄露意识都是比较强的。但不少状况下，咱们都会对malloc/free 或new/delete作一些包装，以符合咱们特定的须要，没法作到在一个函数中既使用又释放。这个例子也说明了内存泄露最容易发生的地方：即两个部分的接口部分，一个函数申请内存，一个函数释放内存。而且这些函数由不一样的人开发、使用，这样形成内存泄露的可能性就比较大了。这须要养成良好的单元测试习惯，将内存泄露消灭在初始阶段。

清单 11
 

清单 11.2
 

清单 11.3
 

结果分析：

假设上述文件名位tree.h, tree.cpp, badleak.cpp，生成的可执行程序为badleak，用memcheck对其进行测试，输出以下。

清单 12
 

该示例程序是生成一棵树的过程，每一个树节点的大小为12（考虑内存对齐），共8个节点。从上述输出能够看出，全部的内存泄露都被发现。Memcheck将内存泄露分为两种，一种是可能的内存泄露（Possibly lost），另一种是肯定的内存泄露（Definitely lost）。Possibly lost 是指仍然存在某个指针可以访问某块内存，但该指针指向的已经不是该内存首地址。Definitely lost 是指已经不可以访问这块内存。而Definitely lost又分为两种：直接的（direct）和间接的（indirect）。直接和间接的区别就是，直接是没有任何指针指向该内存，间接是指指向该内存的指针都位于内存泄露处。在上述的例子中，根节点是directly lost，而其余节点是indirectly lost。

回页首

总结

本文介绍了valgrind的体系结构，并重点介绍了其应用最普遍的工具：memcheck。阐述了memcheck发现内存问题的基本原理，基本使用方法，以及利用memcheck如何发现目前开发中最普遍的五大类内存问题。在项目中尽早的发现内存问题，可以极大地提升开发效率，valgrind就是可以帮助你实现这一目标的出色工具。

参考资料

• Valgrind官方网站：http://www.valgrind.org/
  
  
• 内存调试技巧: http://www.ibm.com/developerworks/cn/aix/library/au-memorytechniques.html
  
  
• 如何在 linux 下检测内存泄漏: http://www.ibm.com/developerworks/cn/linux/l-mleak/