這是我一直收藏的一篇文章，出處已經(jīng)無法知道。

根據(jù)自己實(shí)踐增加了部分說明，現(xiàn)在分享出來。

?

該方法只能定位 顯性 泄漏，定位到的Ｃ語句一定產(chǎn)生泄漏了，但可能這個位置是 “ 理論上 ” 不會出問題的代碼．那么這是由于同進(jìn)程內(nèi)其他代碼泄漏而影響了進(jìn)程的堆區(qū)或棧區(qū)（隱性泄漏，這個地方不會產(chǎn)生data?abort?exception），然后被定位出來的代碼才被動地顯性泄露 ， 產(chǎn)生data?abort 。

首先在DEBUG版本中定位DATA?ABORT的方法，地球人應(yīng)該都知道了吧，我就不廢話了。Platform ? Builder或VS2005、EVC這類IDE工具會在DEBUG模式下自動停在出錯的那句，情況就很顯然了。

RELEASE版本下的泄漏就要稍微麻煩一點(diǎn)，如何快速定位呢？

案例一：用EVC編譯的應(yīng)用程序泄漏

首先我做了一個內(nèi)存泄漏的程序MemoryLeakTest.exe，里面做了一個泄漏的函數(shù) ：

編譯的時候注意先在project?settings里的Link頁里勾選“Generate?mapfile”，會生成一個map文件。

另外，VS2005/VS2008也可以在工程屬性中找到類似的選項(xiàng)，然后指定 MAP 文件名即可。


把編譯出來的RELEASE版本可執(zhí)行文件放到CE5平臺下運(yùn)行。出錯的時候串口打印了一句

Data?Abort:?Thread=83ad1d38?Proc=820266d0?'MemoryLeakTest.exe'
AKY=00000021?PC=00011008(MemoryLeakTest.exe+0x00001008)?RA=00011030(MemoryLeakTest.exe+0x00001030)?BVA=81000000?FSR=0000000d

這句是系統(tǒng)自動輸出的。我們得到了一個關(guān)鍵的信息：PC指針。和PC指針在MemoryLeakTest.exe中的偏移量。然后打開編譯時生成的MemoryLeakTest.map文件，文件 內(nèi)容如下:

MemoryLeakTest

Timestamp?is?46fcbb17?(Fri?Sep?28?16:28:07?2007)

Preferred?load?address?is?00010000

Start?????????Length?????Name???????????????????Class
0001:00000000?00000258H?.text???????????????????CODE
0002:00000000?00000014H?.xdata??????????????????DATA
0002:00000014?00000014H?.idata$2????????????????DATA
0002:00000028?00000014H?.idata$3????????????????DATA
0002:0000003c?00000010H?.idata$4????????????????DATA
0002:0000004c?0000000cH?.idata$6????????????????DATA
0002:00000058?00000000H?.edata??????????????????DATA
0003:00000000?00000010H?.idata$5????????????????DATA
0003:00000010?00000004H?.CRT$XCA????????????????DATA
0003:00000014?00000004H?.CRT$XCZ????????????????DATA
0003:00000018?00000004H?.CRT$XIA????????????????DATA
0003:0000001c?00000004H?.CRT$XIZ????????????????DATA
0003:00000020?00000004H?.CRT$XPA????????????????DATA
0003:00000024?00000004H?.CRT$XPZ????????????????DATA
0003:00000028?00000004H?.CRT$XTA????????????????DATA
0003:0000002c?00000004H?.CRT$XTZ????????????????DATA
0003:00000030?00000009H?.bss????????????????????DATA
0004:00000000?00000038H?.pdata??????????????????DATA
0005:00000000?00000010H?.rsrc$01????????????????DATA
0005:00000010?00000000H?.rsrc$02????????????????DATA

??Address?????????Publics?by?Value??????????????Rva+Base?????Lib:Object

?0001:00000000????????MemoryLeak@@YAXXZ????????00011000?f???MemoryLeakTest.obj
0001:00000010???????WinMain????????????????????00011010?f???MemoryLeakTest.obj
0001:0000002c???????WinMainCRTStartup??????????0001102c?f???corelibc:pegwmain.obj
0001:000000a0???????_cinit?????????????????????000110a0?f???corelibc:crt0dat.obj
0001:00000210???????exit???????????????????????00011210?f???corelibc:crt0dat.obj
0001:00000228???????_XcptFilter????????????????00011228?f???coredll:COREDLL.dll
0001:00000238???????__C_specific_handler???????00011238?f???coredll:COREDLL.dll
0001:00000248???????LocalFree??????????????????00011248?f???coredll:COREDLL.dll
0002:00000014???????__IMPORT_DESCRIPTOR_COREDLL?00012014?????coredll:COREDLL.dll
0002:00000028???????__NULL_IMPORT_DESCRIPTOR???00012028?????coredll:COREDLL.dll
0003:00000000???????__imp___C_specific_handler?00013000?????coredll:COREDLL.dll
0003:00000004???????__imp_LocalFree????????????00013004?????coredll:COREDLL.dll
0003:00000008???????__imp__XcptFilter??????????00013008?????coredll:COREDLL.dll
0003:0000000c???????/177COREDLL_NULL_THUNK_DATA?0001300c?????coredll:COREDLL.dll
0003:00000010???????__xc_a?????????????????????00013010?????corelibc:crt0init.obj
0003:00000014???????__xc_z?????????????????????00013014?????corelibc:crt0init.obj
0003:00000018???????__xi_a?????????????????????00013018?????corelibc:crt0init.obj
0003:0000001c???????__xi_z?????????????????????0001301c?????corelibc:crt0init.obj
0003:00000020???????__xp_a?????????????????????00013020?????corelibc:crt0init.obj
0003:00000024???????__xp_z?????????????????????00013024?????corelibc:crt0init.obj
0003:00000028???????__xt_a?????????????????????00013028?????corelibc:crt0init.obj
0003:0000002c???????__xt_z?????????????????????0001302c?????corelibc:crt0init.obj
0003:00000030???????__onexitend????????????????00013030?????

?entry?point?at????????0001:0000002c

?Static?symbols

?0001:0000010c???????doexit?????????????????????0001110c?f???corelibc:crt0dat.obj

OK，首先，里面有一句“Preferred?load?address?is?00010000”，這意味著DATA?ABORT那句的PC=00011008(MemoryLeakTest.exe+0x00001008)?我們必須把括號里的0x1008加上這個load?address的偏移量，得到0x11008（注意不能直接用PC，一會兒再給個案例就知道了），然后我們在函數(shù)偏移列表里看Rva+Base這欄，找到0x11008落在了MemoryLeak函數(shù)的地址范圍里，所以是MemoryLeak函數(shù)泄漏了。

案例二：在OAL層做了一個泄漏的函數(shù)，用Platform?Builder進(jìn)行RELEASE版編譯并LINK到NK.exe里，然后應(yīng)用程序MemoryLeakPB.exe調(diào)用該函數(shù)導(dǎo)致泄漏

步驟類似，只是Platform?Builder默認(rèn)就會在RELEASE目錄下生成.map文件。應(yīng)用程序去調(diào)用泄漏的OAL函數(shù)時，出現(xiàn)

Data?Abort:?Thread=822fc000?Proc=820267c0?'MemoryLeakPB.exe'
AKY=00000041?PC=8023e3c8(NK.EXE+0x0003e3c8)?RA=8023e1d4(NK.EXE+0x0003e1d4)?
BVA=8e000000?FSR=00000005

注意我們這次是NK.EXE里制造泄漏，所以PC指針不是在0x00011008這樣的Slot?0低地址了，而是在0x80000000以上的KERNEL區(qū)域了。
nk.map很長，我選擇關(guān)鍵段落來貼

************************************************************
kern

?Timestamp?is?46fca696?(Fri?Sep?28?15:00:38?2007)

? Preferred?load?address?is?00010000

?...
0001:0003d2c8???????OALIoCtlHal_GetDeviceId????0004e2c8?f???oal_ioctl:deviceid.obj
0001:0003d398???????OALIoCtlHal_MemoryLeak???? 0004e398 ?f???oal_ioctl:leaktest.obj
0001:0003d438???????OALIoCtlHal_DdkCall????????0004e438?f???oal_io:ioctl.obj
...
************************************************************

所以?NK.EXE?+?0x0003e3c8?=?0x10000(Preferred?load?address)?+?0x0003e3c8?=?0x4e3c8,?落在了OALIoCtlHal_MemoryLeak函數(shù)里

結(jié)論：原理上很簡單，就是利用DATA?ABORT消息中的PC值，配合MAP文件可以快速定位到泄漏的函數(shù)。定位到之后，嘿嘿，誰LEAK誰請客咯。

?

用上文的方法，不但網(wǎng)友kevin沒有成功定位到泄漏的原因（見后面回帖，他定位到微軟USBFN的MDD層代碼)，我這項(xiàng)目組里的人也沒抓到原因(定位到PRIVATE下LoadLibrary函數(shù)相關(guān)的代碼)。昨晚我想了下，這個方法的確有漏洞，早上我做了個試驗(yàn)，建立個DialogBox,主處理函數(shù)如下



我運(yùn)行了幾次，每次該進(jìn)程的BaseAddr?=?0x1A000000,? 而 ?&gpTest?=?0x1A013860 ，在進(jìn)程的全局變量區(qū)； malloc 之后 gpTest?=?0x00030230 在進(jìn)程的堆區(qū)。所以我 ：
(1)?在 ID_LEAK 按鈕按下后，模擬一次內(nèi)存泄漏，直接對 &gpTest 地址上的數(shù)值改寫，把 malloc 后的 0x00030230 改成 0x00000000,? 注意雖然該處已經(jīng)泄漏了，但是并沒有產(chǎn)生 data?abort?exception.

(此處當(dāng)然不會出錯！如果出錯，那么給 gpTest 賦值為空時一樣會出錯)
(2)?然后在 ID_CLOSE 按鈕按下后，裝做不知道前面那處泄漏，代碼風(fēng)格嚴(yán)謹(jǐn)?shù)叵扰袛嘞轮羔樖欠駷榭?，然后試圖在 malloc 得到的堆區(qū)? 0x00030230 地址上寫個值，但是由于 gpTest 這個指針已經(jīng)被改寫為指向其他進(jìn)程空間了，所以在 *gpTest?=?1 這句產(chǎn)生 data?abort?exception 并停下來了。

（說明? gpTest ?的值被誤修改了，否則不會出錯）
(3)?所以，按照上文的方法，只能抓到 *gpTest?=?1 這句泄露，而實(shí)際上這句是無辜的，真正的元兇 *((int*)0x1A013860)?=?0x1C000000 這句卻沒有被抓出來。