如果删除对象会发生什么? (gcc)(当双删除崩溃?)

时间:2010-07-31 15:38:27

标签: c++ gcc probability delete-operator postmortem-debugging

请注意,我不想解决任何问题 - 我正在考虑事情发生的可能性,因此对此感到疑惑:

如果删除对象并使用gcc作为编译器会发生什么?

上周我正在调查一次撞车事故,其中一场竞赛条件导致双重删除一个物体。

调用对象的虚析构函数时发生崩溃,因为已经覆盖了指向虚函数表的指针。

虚拟函数指针是否被第一次删除?

覆盖

如果没有,那么第二次删除是否安全,只要在此期间没有进行新的内存分配?

我想知道为什么以前没有识别出我遇到的问题,唯一的例外是虚拟功能表在第一次删除时立即被覆盖,或者第二次删除不会崩溃。

(第一个意味着如果发生“竞争”,崩溃总是发生在同一个位置 - 第二个,通常在竞赛发生时没有发生 - 并且只有当第三个线程覆盖了删除对象时与此同时,问题就出现了。)


修改/更新

我做了一个测试,下面的代码崩溃了一个段错误(gcc 4.4,i686和amd64):

class M
{
private:
  int* ptr;
public:
  M() {
  ptr = new int[1];
  }
  virtual ~M() {delete ptr;}
};

int main(int argc, char** argv)
{
  M* ptr = new M();
  delete ptr;
  delete ptr;
}

如果我从dtor中删除'virtual',程序将被glibc中止,因为它检测到双重释放。 使用'virtual'时,在对析构函数执行间接函数调用时会发生崩溃,因为指向虚函数表的指针无效。

在amd64和i686上,指针指向一个有效的内存区域(堆),但是那里的值是无效的(一个计数器?它非常低,例如0x11或0x21)所以'call'(或'jmp')当编译器执行返回优化时)跳转到无效区域。

  

编程接收信号SIGSEGV,

     

分段错误。   0x0000000000000021

     

在? ()(gdb)

     

# 0 0x0000000000000021 in ?? ()

     

# 1 0x000000000040083e in main()

因此,在上述条件下,指向虚函数表的指针总是被第一次删除覆盖,因此如果该类具有虚拟析构函数,则下一次删除将跳转到必杀技。

3 个答案:

答案 0 :(得分:6)

删除两次的东西是未定义的行为 - 你不需要任何进一步的解释,并且寻找一个通常是徒劳的。它可能会导致程序崩溃,但可能不会,但这样做总是一件坏事,程序在完成之后将始终处于未知状态。

答案 1 :(得分:6)

它非常依赖于内存分配器本身的实现,更不用说任何依赖于应用程序的故障都会覆盖某些对象的v-table。有许多内存分配器方案,它们的功能和对double free()的阻力都不同但是所有这些都共享一个共同属性:你的应用程序将在第二个free()之后的某个时间崩溃。

崩溃的原因通常是内存分配器在每个分配的内存块之前(标题)和之后(页脚)专用少量内存来存储某些特定于实现的细节。标头通常定义块的大小和下一个块的地址。页脚通常指向块的标题。删除两次通常至少涉及检查相邻的块是否空闲。因此,如果出现以下情况,程序将崩溃:

1)指向下一个块的指针已被覆盖,第二个free()在尝试访问下一个块时导致segfault。

2)上一个块的页脚已被修改,并且访问上一个块的标题会导致段错误。

如果应用程序存活,则意味着free()在各个位置都有损坏的内存,或者会添加与已经空闲的块之一重叠的空闲块,导致将来数据损坏。最终,您的程序将在以下free()或malloc()之一中涉及损坏的内存区域进行段错误。

答案 2 :(得分:1)

执行delete两次(甚至free),内存可能已经被重新分配,再次执行delete可能会导致内存损坏。分配的内存块的大小通常在内存块本身之前保存。

如果您有派生类,请不要在派生类(子)上调用delete。如果未声明为虚拟,则仅调用~BaseClass()析构函数,使DerivedClass中的任何已分配内存保持不变并泄漏。这假设DerivedClass分配的额外内存超出了必须释放的BaseClass的内存。

BaseClass* obj_ptr = new DerivedClass;  // Allowed due to polymorphism.
...
delete obj_ptr;  // this will call the destructor ~Parent() and NOT ~Child()