迷途指針

計算機編程領域中,迷途指針(英語:Dangling pointers),或稱懸空指針,跟野指針Wild pointers),皆是一種不指向任何合法的對象的指針。在更一般化形式中,迷途參照dangling references)與野參照wild references)是指無法解析出合法所在的參照

迷途指針(Dangling pointer)

當所指向的對象被釋放或者收回,但是對該指針沒有作任何的修改,以至於該指針仍舊指向已經回收的內存地址,此情況下該指針便稱迷途指針。若操作系統將這部分已經釋放的內存重新分配給另外一個進程,而原來的程序重新引用現在的迷途指針,則將產生無法預料的後果。因為此時迷途指針所指向的內存現在包含的已經完全是不同的數據。通常來說,若原來的程序繼續往迷途指針所指向的內存地址寫入數據,這些和原來程序不相關的數據將被損壞,進而導致不可預料的程序錯誤。這種類型的程序錯誤,不容易找到問題的原因,通常會導致記憶體區段錯誤(Linux系統中)和一般保護錯誤(Windows系統中)。如果操作系統的內存分配器將已經被覆蓋的數據區域再分配,就可能會影響系統的穩定性。

某些編程語言允許未初始化的指針的存在,而這類指針即為野指針。野指針所導致的錯誤和迷途指針非常相似,但野指針的問題更容易被發現。

迷途指針的成因

在很多編程語言中(如C語言)從內存中刪除一個對象或者返回時刪除棧幀後,並不會改變相關的指針的值。該指針仍然指向原來的內存地址,即使引用已經刪除,現在也可能已經被其它進程使用了。

一個直接的例子,如下所示:

{
   char *cp = NULL;
   /* ... */
   {
       char c;
       cp = &c;
   } /* c falls out of scope */          
     /* cp is now a dangling pointer */
}

上述問題的解決方法是在該部分程序退出之前立即給CP賦0值(NULL)。另一個辦法是保證CP在沒有初始化之前,將不再被使用。

迷途指針經常出現在混雜使用malloc()free() 庫調用: 當指針指向的內存釋放了,這時該指針就是迷途的。和前面的例子一樣,一個避免這個錯誤的方法是在釋放它的引用後將該指針的值重置為NULL,如下所示:

#include <stdlib.h>
{
    char *cp = malloc ( A_CONST );
    /* ... */
    free ( cp );      /* cp now becomes a dangling pointer */
    cp = NULL;        /* cp is no longer dangling */
    /* ... */
}

有個常見的錯誤是當返回一個基於棧分配的局部變量的地址時,一旦調用的函數返回,分配給這些變量的空間將被回收,此時它們擁有的是"垃圾值"。

int * func ( void )
{
    int num = 1234;
    /* ... */
    return &num;
}

在調用func之後一段時間,嘗試從該指針中讀取num的值,可能仍然能夠返回正確的值(1234),但是任何接下來的函數調用會覆蓋原來的棧為num分配的空間。這時,再從該指針讀取num的值就不正確了。如果要使一個指向num的指針都返回正確的num值,則需要將該變量聲明為static

野指針的產生

野指針指的是還沒有初始化的指針。嚴格地說,編程語言中每個指針在初始化前都是野指針。

一般於未初始化時便使用指針就會產生問題。大多數的編譯器都能檢測到這一問題並警告用戶。

int f(int i)
{
    char* cp;    //cp is a wild pointer
    static char* scp;  //scp is not a wild pointer: static variables are initialized to 0
                       //at start and retain their values from the last call afterwards.
                       //Using this feature may be considered bad style if not commented
}

迷途指針導致的安全漏洞

如同緩存溢出錯誤,迷途指針/野指針這類錯誤經常會導致安全漏洞。 例如,如果一個指針用來調用一個虛函數,由於vtable英語vtable指針被覆蓋了,因此可能會訪問一個不同的地址(指向被利用的代碼)。或者,如果該指針用來寫入內存,其它的數據結構就有可能損壞了。一旦該指針成為迷途指針,即使這段內存是只讀的,仍然會導致信息的泄露(如果感興趣的數據放在下一個數據結構裡面,恰好分配在這段內存之中)或者訪問權限的增加(如果現在不可使用的內存恰恰被用來安全檢測)。

避免迷途指針的錯誤

避免迷途指針,有一種受歡迎的方法——即使用智能指針Smart pointer)。智能指針使用引用計數來回收對象。一些其它的技術包括tombstone英語Tombstone (programming)法和locks-and-keys英語locks-and-keys法。

另外,可以使用 DieHard 內存分配器[1],它虛擬消除了類似其它內存錯誤(不合法或者兩次釋放內存)的迷途指針錯誤。

還有一種辦法是貝姆垃圾收集器,一種保守的垃圾回收方法,能夠替代C和C++中標準內存分配函數。這種方法完全消除了迷途指針的錯誤,通過去除內存釋放的函數代之以垃圾回收器完成對象的回收。

像Java語言,迷途指針這樣的錯誤是不會發生的,因為Java中沒有明確地重新分配內存的機制。而且垃圾回收器只會在對象的引用數為零時重新分配內存。

迷途指針的檢測

為了能發現迷途指針,一種普遍的編程技術——一旦指針指向的內存空間被釋放,就立即把該指針置為空指針或者為一個非法的地址。當空指針被重新引用時,此時程序將會立即停止,這將避免數據損壞或者某些無法預料的後果。這將使接下來的編程過程產生的錯誤變得容易發現和解決了。這種技術在該指針有多個複製時就無法起到應有的作用了。

一些調試器會自動地用特定的模式來覆蓋已經釋放的數據,如0xDEADBEEF英語0xDEADBEEF (Microsoft's Visual C/C++ 調試器,例如,根據哪種類型被釋放採用 0xCC0xCD 或者 0xDD[2])。這種方法通過將數據無用化,來防止已經釋放的數據重新被使用。這種方法的作用是非常顯著的(該模式可以幫助程序來區分哪些內存是剛剛釋放的)。

名字 描述
0xCD Clean Memory Allocated memory via malloc or new but never written by the application.
0xDD Dead Memory Memory that has been released with delete or free. Used to detect writing through dangling pointers.
0xFD Fence Memory Also known as "no mans land." This is used to wrap the allocated memory (surrounding it with a fence) and is used to detect indexing arrays out of bounds or other accesses (especially writes) past the end (or start) of an allocated block.
0xCC When the code is compiled with the /GZ option, uninitialized variables are automatically assigned to this value (at byte level).
0xAB Memory allocated by LocalAlloc().
0xBAADF00D Bad Food Memory allocated by LocalAlloc() with LMEM_FIXED,but not yet written to.
0xFEEEFEEE OS fill heap memory, which was marked for usage, but wasn't allocated by HeapAlloc() or LocalAlloc(). Or that memory just has been freed by HeapFree().

某些工具,如Valgrind, Mudflap[3] 或者 LLVM[4] 可以用來檢測迷途指針的使用。

相關條目

外部連結

參考文獻