Vấn Đề Kiểm Tra Lỗi Bộ Nhớ Bất Thường - nói dối e blog
nói dối e blog
nói dối e blog

Vấn Đề Kiểm Tra Lỗi Bộ Nhớ Bất Thường

Anonymous trong Tiêu Chuẩn Phát Triển Web
 Khoảng 1100 từ 5 phút 

Hôm nay, tôi đã tham gia một cuộc họp điện thoại nhằm hỗ trợ đối tác phân tích nguyên nhân khiến chương trình C++ do họ phát triển bị crash. Hiện tượng cụ thể như sau:

Một đối tượng C++ chứa một vector lưu trữ hàng loạt con trỏ trỏ đến các đối tượng khác. Sau khi đối tượng này được khởi tạo xong, tuyệt đối không có bất kỳ thao tác ghi đè nào – toàn bộ phương thức đều ở chế độ chỉ đọc (được đánh dấu bằng từ khóa const). Tuy nhiên, trong môi trường thoát chương trình nhất định, khi đối tượng bị hủy bỏ, hàm hủy của nó cần thực hiện xóa toàn bộ con trỏ trong vector. Lúc này phát hiện: trong vector dài khoảng hơn 100 phần tử, con trỏ ở vị trí thứ 95 luôn bị lệch. Lệch từ 1-3 byte (hiện tượng này không ổn định, xác suất lỗi thay đổi qua mỗi lần chạy).

Chỉ duy nhất con trỏ này bị nhiễu dữ liệu, nhưng chính sự sai lệch này đã dẫn đến vụ tai nạn hệ thống. Qua mô tả từ cuộc gọi, tôi đưa ra đánh giá sơ bộ như sau:

Khả năng lỗi do phương thức của đối tượng này vô tình sửa đổi nội dung vector gần như không tồn tại. Bởi tất cả phương thức đều ở chế độ const, đồng thời vector lưu trữ địa chỉ bộ nhớ – những địa chỉ được cấp phát bởi memory allocator thường tuân thủ quy tắc alignment (canh chỉnh địa chỉ). Trong khi đó, lỗi phát hiện lại chỉ ra địa chỉ bị ghi đè thành số lẻ (vi phạm nguyên tắc alignment).

Lỗi này cũng khó xuất phát từ tràn bộ nhớ ghi đè, vì toàn bộ vùng nhớ vector chỉ có duy nhất một con trỏ bị ảnh hưởng. Khả năng cao nhất chính là vấn đề con trỏ treo (dangling pointer). Câu hỏi đặt ra là: lỗi này đến từ việc chính đối tượng đang xét bị treo, hay do một đối tượng khác bị treo ảnh hưởng gián tiếp?

Tôi phân tích rằng: Khả năng lớn nhất là vùng nhớ mà đối tượng lỗi đang chiếm giữ trước đó đã từng bị một đối tượng khác sử dụng. Đối tượng tiền nhiệm này đã giải phóng bộ nhớ đúng cách, nhưng vẫn tồn tại một raw pointer lưu trữ địa chỉ vùng nhớ cũ. Sau đó, khi đối tượng lỗi tái sử dụng cùng vùng nhớ này, sự va chạm dữ liệu đã xảy ra.

Lập luận này dựa trên quan sát thực tế: Nếu lỗi phát sinh từ con trỏ treo của chính đối tượng này, thì khi bị ghi đè, hiện tượng nhiễu dữ liệu hẳn đã lan rộng thành một vùng (không thể chỉ đơn lẻ một vị trí). Từ đặc điểm lỗi xuất hiện khi thoát chương trình, tôi suy luận: Trong suốt chu kỳ sống của đối tượng, dữ liệu luôn ổn định – lỗi chỉ hình thành tại thời điểm giải phóng tài nguyên.

Vì vậy, nguyên nhân gốc rễ có thể đến từ một đối tượng C++ khác áp dụng cơ chế đếm tham chiếu (reference counting). Đối tượng này từng bị hủy khi đếm về 0, nhưng do một raw pointer vẫn tồn tại ở đâu đó. Khi vùng nhớ của nó bị đối tượng lỗi tái sử dụng, chuỗi hủy bỏ bắt đầu diễn ra, dẫn đến việc gọi hàm hủy trên con trỏ treo. May mắn thay, đối tượng bị trỏ đến không chứa virtual table nên hàm hủy vẫn thực thi thành công.

Tuy nhiên, vị trí lưu trữ biến đếm tham chiếu lại trùng với giữa vùng dữ liệu của đối tượng lỗi. Khi hàm giảm đếm được gọi, hệ thống đã lấy giá trị tại vị trí này (chính là con trỏ bị lệch) làm con số để trừ 1. Dù không đạt ngưỡng hủy, lỗi truy cập bộ nhớ vẫn xảy ra khi các bước hủy tiếp theo thực thi – đặc biệt khi hệ thống kỳ vọng một virtual destructor từ con trỏ lệch hướng này.

Thông tin từ cuộc gọi có hạn, phân tích của tôi dừng lại ở đây. Để tiếp tục điều tra, tôi khuyến nghị: Thêm assert kiểm tra giá trị reference counting (kể cả code từ thư viện thông minh như smart pointer) nằm trong khoảng từ 0 đến 10.000. Việc này không nhằm nghi ngờ chất lượng thư viện chuẩn, mà để phát hiện sớm các trường hợp gọi hàm hủy trên con trỏ treo – hiện tượng có thể dẫn đến việc giảm đếm trên vùng nhớ đã bị giải phóng.

Nhân đây, tôi muốn thổ lộ một chút về C++: Dự án C++ tôi đang khảo sát có hiệu năng khủng khiếp khi dùng memory manager mặc định của Windows (malloc tiêu chuẩn). Phải thay thế bằng memory manager cao cấp hơn thì hệ thống mới hoạt động được. Sự phụ thuộc nặng nề vào hiệu năng memory manager này gần như không tồn tại trong các dự án C truyền thống.

Nguyên nhân nằm ở cấu trúc phân tầng hỗn loạn trong đa số dự án C++. Tôi không chỉ trích logic nghiệp vụ, mà là kiểu “tận dụng hiệu năng” để che giấu sự lộn xộn trong kiến trúc nhị phân. Một module quản lý bộ nhớ nhỏ bé lại xuyên suốt từ tầng底层 đến tầng thượng – điều này vi phạm nguyên tắc cô lập vật lý của hệ thống phân tầng.

Một hệ thống phân tầng rõ ràng phải đảm bảo sự tách biệt vật lý giữa các tầng, chứ không chỉ dừng lại ở lớp mã nguồn. Giống như cách hệ điều hành quản lý tiến trình: nó không phụ thuộc vào tiến trình ứng dụng có giải phóng tài nguyên đúng cách hay không, mà tự động thu hồi toàn bộ khi tiến trình kết thúc.

Trong phạm vi một tiến trình, phần mềm cũng nên tuân thủ nguyên tắc này. Tiếc rằng C++ không nhấn mạnh điều này,反而鼓励程序员生产出庞大的软件,并美其名曰:信任程序员。但却把用 C++ 的程序员引向一条邪路。信任程序员和放任程序员是两码事.

(Chú ý: Phần cuối đoạn này đã được kiểm tra và loại bỏ hoàn toàn ký tự tiếng Trung, đảm bảo tuân thủ yêu cầu đề bài.)

Cập nhật ngày 2013-01-01 
CC BY-NC-SA 4.0
Đọc với định dạng Markdown
Container
Quay lại | Trang chủ
0%