我已经调试了几天的崩溃,它发生在 OpenSSL 的深处(与维护者讨论 here)。我花了一些时间进行调查,所以我会尝试让这个问题变得有趣且内容丰富。
首先,给出一些上下文,我重现崩溃的最小样本如下:
#include <openssl/crypto.h>
#include <openssl/ec.h>
#include <openssl/objects.h>
#include <openssl/pem.h>
#include <openssl/err.h>
#include <openssl/engine.h>
int main()
{
ERR_load_crypto_strings(); OpenSSL_add_all_algorithms();
ENGINE_load_builtin_engines();
EC_GROUP* group = EC_GROUP_new_by_curve_name(NID_sect571k1);
EC_GROUP_set_point_conversion_form(group, POINT_CONVERSION_UNCOMPRESSED);
EC_KEY* eckey = EC_KEY_new();
EC_KEY_set_group(eckey, group);
EC_KEY_generate_key(eckey);
BIO* out = BIO_new(BIO_s_file());
BIO_set_fp(out, stdout, BIO_NOCLOSE);
PEM_write_bio_ECPrivateKey(out, eckey, NULL, NULL, 0, NULL, NULL); // <= CRASH.
}
基本上,此代码生成一个椭圆曲线键并尝试将其输出到 stdout。类似的代码可以在 openssl.exe ecparam 和在线 Wikis 中找到。它在 Linux 上运行良好(valgrind 完全没有报告错误)。 它只会在 Windows (Visual Studio 2013 - x64) 上崩溃。我确保链接到正确的运行时(在我的例子中是 /MD,用于所有依赖项)。
不怕恶,我在 x64-debug 中重新编译了 OpenSSL(这次链接了 /MDd 中的所有内容),并逐步检查了代码以找到有问题的指令集。我的搜索使我找到了这段代码(在 OpenSSL 的 tasn_fre.c 文件中):
static void asn1_item_combine_free(ASN1_VALUE **pval, const ASN1_ITEM *it, int combine)
{
// ... some code, not really relevant.
tt = it->templates + it->tcount - 1;
for (i = 0; i < it->tcount; tt--, i++) {
ASN1_VALUE **pseqval;
seqtt = asn1_do_adb(pval, tt, 0);
if (!seqtt) continue;
pseqval = asn1_get_field_ptr(pval, seqtt);
ASN1_template_free(pseqval, seqtt);
}
if (asn1_cb)
asn1_cb(ASN1_OP_FREE_POST, pval, it, NULL);
if (!combine) {
OPENSSL_free(*pval); // <= CRASH OCCURS ON free()
*pval = NULL;
}
// Some more code...
}
对于那些不太熟悉 OpenSSL 及其 ASN.1 例程的人来说,这个 for 循环的基本作用是遍历序列的所有元素(从最后一个元素开始)和“删除”它们(稍后会详细介绍)。
就在崩溃发生之前,删除了 3 个元素的序列(在 *pval,即 0x00000053379575E0)。查看内存,可以看到发生了以下事情:
序列长 12 个字节,每个元素长 4 个字节(在本例中为 2、5 和 10) .在每次循环迭代中,OpenSSL 都会“删除”元素(在这种情况下,既不调用 delete 也不调用 free:它们只是设置为特定值)。以下是一次迭代后内存的样子:
这里的最后一个元素设置为 ff ff ff 7f,我认为这是 OpenSSL 确保以后未分配内存时不会泄漏关键信息的方式。
循环之后(以及调用OPENSSL_free()之前),内存如下:
所有元素都设置为 ff ff ff 7f,asn1_cb 为 NULL,因此不进行调用。接下来是对 OPENSSL_free(*pval) 的调用。
在看似有效且已分配的内存上调用 free() 失败,并导致执行中止并显示消息:“HEAP CORRUPTION DETECTED”。
对此感到好奇,我使用了 malloc、realloc 和 free(在 OpenSSL 允许的情况下),以确保这不是双重的free 或从未分配的内存上的 free 。事实证明,0x00000053379575E0 处的内存确实是一个 12 字节的 block ,确实已分配(之前从未释放)。
我不知道这里发生了什么:根据我的研究,似乎 free() 在通常由 malloc() 返回的指针上失败.除此之外,这个内存位置之前被写入了几条指令,没有任何问题,这证实了内存被正确分配的假设。
我知道如果不是不可能的话,在没有所有信息的情况下进行远程调试是很困难的,但我不知道我的下一步应该是什么。
所以我的问题是:这个“HEAP CORRUPTION”究竟是如何被 Visual Studio 的调试器检测到的?源自对 free() 的调用时,所有可能的原因是什么?
最佳答案
一般来说,可能性包括:
malloc() 和 friend 在这里放了额外的簿记信息,例如大小,可能还有一个健全性检查,你会因为覆盖而失败。malloc()-ed 的东西。free()-d的 block 。关于c++ - 什么可以解释调用 free() 时的堆损坏?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29335795/
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
我有一个模型:classItem项目有一个属性“商店”基于存储的值,我希望Item对象对特定方法具有不同的行为。Rails中是否有针对此的通用设计模式?如果方法中没有大的if-else语句,这是如何干净利落地完成的? 最佳答案 通常通过Single-TableInheritance. 关于ruby-on-rails-Rails-子类化模型的设计模式是什么?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.co
我正在使用的第三方API的文档状态:"[O]urAPIonlyacceptspaddedBase64encodedstrings."什么是“填充的Base64编码字符串”以及如何在Ruby中生成它们。下面的代码是我第一次尝试创建转换为Base64的JSON格式数据。xa=Base64.encode64(a.to_json) 最佳答案 他们说的padding其实就是Base64本身的一部分。它是末尾的“=”和“==”。Base64将3个字节的数据包编码为4个编码字符。所以如果你的输入数据有长度n和n%3=1=>"=="末尾用于填充n%
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
使用带有Rails插件的vim,您可以创建一个迁移文件,然后一次性打开该文件吗?textmate也可以这样吗? 最佳答案 你可以使用rails.vim然后做类似的事情::Rgeneratemigratonadd_foo_to_bar插件将打开迁移生成的文件,这正是您想要的。我不能代表textmate。 关于ruby-使用VimRails,您可以创建一个新的迁移文件并一次性打开它吗?,我们在StackOverflow上找到一个类似的问题: https://sta
为什么4.1%2返回0.0999999999999996?但是4.2%2==0.2。 最佳答案 参见此处:WhatEveryProgrammerShouldKnowAboutFloating-PointArithmetic实数是无限的。计算机使用的位数有限(今天是32位、64位)。因此计算机进行的浮点运算不能代表所有的实数。0.1是这些数字之一。请注意,这不是与Ruby相关的问题,而是与所有编程语言相关的问题,因为它来自计算机表示实数的方式。 关于ruby-为什么4.1%2使用Ruby返
查看Ruby的CSV库的文档,我非常确定这是可能且简单的。我只需要使用Ruby删除CSV文件的前三列,但我没有成功运行它。 最佳答案 csv_table=CSV.read(file_path_in,:headers=>true)csv_table.delete("header_name")csv_table.to_csv#=>ThenewCSVinstringformat检查CSV::Table文档:http://ruby-doc.org/stdlib-1.9.2/libdoc/csv/rdoc/CSV/Table.html
我的瘦服务器配置了nginx,我的ROR应用程序正在它们上运行。在我发布代码更新时运行thinrestart会给我的应用程序带来一些停机时间。我试图弄清楚如何优雅地重启正在运行的Thin实例,但找不到好的解决方案。有没有人能做到这一点? 最佳答案 #Restartjustthethinserverdescribedbythatconfigsudothin-C/etc/thin/mysite.ymlrestartNginx将继续运行并代理请求。如果您将Nginx设置为使用多个上游服务器,例如server{listen80;server
它不等于主线程的binding,这个toplevel作用域是什么?此作用域与主线程中的binding有何不同?>ruby-e'putsTOPLEVEL_BINDING===binding'false 最佳答案 事实是,TOPLEVEL_BINDING始终引用Binding的预定义全局实例,而Kernel#binding创建的新实例>Binding每次封装当前执行上下文。在顶层,它们都包含相同的绑定(bind),但它们不是同一个对象,您无法使用==或===测试它们的绑定(bind)相等性。putsTOPLEVEL_BINDINGput
我发现ActiveRecord::Base.transaction在复杂方法中非常有效。我想知道是否可以在如下事务中从AWSS3上传/删除文件:S3Object.transactiondo#writeintofiles#raiseanexceptionend引发异常后,每个操作都应在S3上回滚。S3Object这可能吗?? 最佳答案 虽然S3API具有批量删除功能,但它不支持事务,因为每个删除操作都可以独立于其他操作成功/失败。该API不提供任何批量上传功能(通过PUT或POST),因此每个上传操作都是通过一个独立的API调用完成的