C 中的字符串溢出检测

Question

我们使用 DevPartnersboundchecker 来检测内存泄漏问题。它做得非常出色，尽管它没有发现像下面的

char szTest [1] = "";

for (i = 0; i < 100; i ++) {

    strcat (szTest, "hi");
}

问题 1 那样的字符串溢出：我可以让 BoundsChecker 检测到这一点吗？

问题 2：还有其他工具可以检测此类问题吗？

Answer 1

一种选择是简单地禁止使用没有目标缓冲区信息的字符串函数。通用包含的标头中的一组宏（如下所示）可能会有所帮助：

#define strcpy  strcpy_is_banned_use_strlcpy
#define strcat  strcat_is_banned_use_strlcat
#define strncpy strncpy_is_banned_use_strlcpy
#define strncat strncat_is_banned_use_strlcat
#define sprintf sprintf_is_banned_use_snprintf

因此，任何尝试使用“禁止”例程的行为都将导致链接器错误，该错误还会告诉您应该使用什么。 MSVC 做了类似的事情，可以使用 _CRT_SECURE_NO_DEPRECATE 等宏进行控制。

这种技术的缺点是，如果您有大量现有代码，那么将代码转移到使用新的、更安全的例程可能会是一项艰巨的任务。它会让你发疯，直到你摆脱那些被认为是危险的功能。

Answer 2

valgrind 将检测过去动态分配的数据的写入，但我认为它不能像您的示例中那样对于自动数组执行此操作。如果您使用 strcat、strcpy 等，则必须确保目标足够大。

编辑：我关于 valgrind 的看法是正确的 ，但还是有一些希望：

不幸的是，Memcheck 不对静态或堆栈数组进行边界检查。我们很愿意，但不可能以符合 Memcheck 工作方式的合理方式来实现。抱歉。

然而，实验工具Ptrcheck可以检测到这样的错误。使用 --tool=exp-ptrcheck 选项运行 Valgrind 进行尝试，但要注意它不如 Memcheck 强大。

我没有使用过 Ptrcheck。

Answer 3

您可能会发现您的编译器可以提供帮助。例如，在 Visual Studio 2008 中，检查项目属性 - C/C++ - 代码生成页面。有一个“缓冲区安全检查”选项。

我的猜测是它保留了一些额外的内存并在其中写入了一个已知的序列。如果该序列被修改，则假定缓冲区溢出。但我不确定 - 我记得在某处读过这篇文章，但我不确定它是否是关于 VC++ 的。

Answer 4

既然您已经标记了这个 C++，为什么还要使用指向 char 的指针呢？

std::stringstream test;
std::fill_n(std::ostream_iterator<std::string>(test), 100, "hi");

Answer 5

如果启用/RTCs 编译器开关，可能有助于发现问题像这样。启用此开关后，测试仅运行一次 strcat 就会导致访问冲突。

另一个有用的实用程序可以帮助解决此类问题（比堆栈更面向堆，但非常有用）是 应用程序验证器。它是免费的，可以捕获很多与堆溢出相关的问题。

Answer 6

另一种选择：我们的内存安全检查器。
我认为它会处理这个案子。

Answer 7

问题是，默认情况下，API 验证子系统未启用，并且您感兴趣的消息来自那里。

我不能代表旧版本的 BoundsChecker，但 10.5 版在这个测试中没有特别的问题。它报告正确的结果，并且 BoundsChecker 本身不会崩溃。然而，测试应用程序确实如此，因为这个特定的测试用例完全破坏了导致测试代码所在函数的调用堆栈，并且一旦该函数终止，应用程序也会这样做。

结果：100 条关于局部变量写入溢出的消息，99 条关于目标字符串不是 null 终止的消息。从技术上讲，第二条消息是不正确的，但 BoundsChecker 仅在目标字符串本身的范围内搜索空终止符，并且在第一个 strcat 调用之后，它在其范围内不再包含零字节。

免责声明：我在 MicroFocus 担任 BoundsChecker 开发人员。

Answer 8

我在我的 devpartner (msvc6.6) (devpartner 7.2.0.372) 中尝试过，

我确认了您观察到的行为。
在循环大约 63 次之后，我遇到了访问冲突。

compuware对此问题有什么看法？

CppCheck 将检测到此问题。