Насколько опасен доступ к массиву за пределами?

Question

Насколько опасен доступ к массиву за пределами?

209

Насколько опасен доступ к массиву за пределами его границ (в C)? Иногда бывает, что я читаю из-за пределов массива (теперь я понимаю, что я потом обращаюсь к памяти, используемой некоторыми другими частями моей программы или даже за ее пределами), или я пытаюсь установить значение для индекса за пределами массива. Программа иногда вылетает, но иногда просто запускается, давая неожиданные результаты.

Теперь, что я хотел бы знать, насколько опасно это на самом деле? Если это наносит ущерб моей программе, это не так уж плохо. Если, с другой стороны, это нарушает что-то вне моей программы, потому что мне каким-то образом удалось получить доступ к какой-то совершенно несвязанной памяти, тогда я думаю, что это очень плохо. Я читал много "что-нибудь может случиться", "сегментация может быть наименее плохой проблемой", "ваш жесткий диск может стать розовым, а единороги могут петь под вашим окном", что все хорошо, но что на самом деле представляет опасность?

Мои вопросы:

Может ли считывание значений из-за пределов массива повреждать что-либо отдельно от моей программы? Я бы предположил, что просто смотреть на вещи ничего не меняет, или, например, изменит атрибут "последний раз открыт" файла, к которому я попал?
Можете ли выставлять значения вне вне массива, что-то кроме моей программы? Из этого вопроса о переполнении стека я понимаю, что можно получить доступ к любой ячейке памяти, что нет гарантии безопасности.
Теперь я запускаю свои небольшие программы из XCode. Оказывает ли это некоторую дополнительную защиту вокруг моей программы, где она не может выйти за пределы собственной памяти? Может ли это нанести вред XCode?
Любые рекомендации о том, как безопасно запускать свой код с ошибкой?

Я использую OSX 10.7, Xcode 4.6.

ChrisD 26 март 2013, в 21:40

Источник

0

В общем, ОС защитит себя и другие процессы от ваших злоумышленных действий. Это не то, на что вы обязательно хотите сильно полагаться.
Hot Licks 26 март 2013, в 20:48
6

Кроме того, вы никогда не «достигнете» файла на вашем жестком диске при доступе и индексировании массива за пределами (в вашем ОЗУ).
DrummerB 26 март 2013, в 20:49
1

Я полагаю, вы спрашиваете о массиве C, верно? так что это не имеет ничего общего с ObjC и не имеет отношения к какой-либо IDE.
Bryan Chen 26 март 2013, в 20:51
0

xlc: Я упомянул мой IDE XCode в своем вопросе, потому что я подозревал, что он может защитить мою систему от моих программ с ошибками, если я запустил их внутри XCode, и надеялся получить от вас, ребята, идею. Извините, что было неясно
ChrisD 26 март 2013, в 21:11
0

@DrummerB спасибо за комплимент, я немного нервничал из-за моего первого вопроса
ChrisD 26 март 2013, в 21:23
15

Вот мой любимый пример странных результатов (это касается стека, но я нашел его действительно поучительным ...).
phg 26 март 2013, в 22:34
11

xkcd.com/371
Dan Neely 27 март 2013, в 00:36
0

@phg, этот фрагмент действительно представляет опасность, о которой я говорю, но не только при доступе к памяти, которую использует моя собственная программа (как в видео из Стэнфорда), но и выходит за рамки этого.
ChrisD 27 март 2013, в 10:20
0

@phg отличный пример там :)
mr5 28 авг. 2013, в 13:37
0

@DrummerB: чтение из блока памяти может привести к тому, что операционная система переместит страницу в другую память, что приведет к узкому месту ввода-вывода. Это о худшем, что я могу думать для чтения, хотя.
Mooing Duck 22 июль 2014, в 23:13
0

Я вижу, вы не приняли ответ. (Я также вижу, что вы не были на сайте с прошлого года, так что вы, вероятно, этого не увидите.)
Keith Thompson 16 июль 2015, в 20:02

Показать ещё 9 комментариев

Теги:

arrays

c

memory

11 ответов

Ещё вопросы

В общем, ОС защитит себя и другие процессы от ваших злоумышленных действий. Это не то, на что вы обязательно хотите сильно полагаться.
Кроме того, вы никогда не «достигнете» файла на вашем жестком диске при доступе и индексировании массива за пределами (в вашем ОЗУ).
Я полагаю, вы спрашиваете о массиве C, верно? так что это не имеет ничего общего с ObjC и не имеет отношения к какой-либо IDE.
xlc: Я упомянул мой IDE XCode в своем вопросе, потому что я подозревал, что он может защитить мою систему от моих программ с ошибками, если я запустил их внутри XCode, и надеялся получить от вас, ребята, идею. Извините, что было неясно
@DrummerB спасибо за комплимент, я немного нервничал из-за моего первого вопроса
Вот мой любимый пример странных результатов (это касается стека, но я нашел его действительно поучительным ...).
@phg, этот фрагмент действительно представляет опасность, о которой я говорю, но не только при доступе к памяти, которую использует моя собственная программа (как в видео из Стэнфорда), но и выходит за рамки этого.
@DrummerB: чтение из блока памяти может привести к тому, что операционная система переместит страницу в другую память, что приведет к узкому месту ввода-вывода. Это о худшем, что я могу думать для чтения, хотя.
Я вижу, вы не приняли ответ. (Я также вижу, что вы не были на сайте с прошлого года, так что вы, вероятно, этого не увидите.)

Keith Thompson · Answer 1 · 2013-03-26T22-38-00.000Z

Что касается стандарта ISO C (официальное определение языка), доступ к массиву за пределами его границ имеет "поведение undefined". В буквальном смысле это:

при использовании непереносимой или ошибочной программы или ошибочных данных, для которых настоящий международный стандарт не налагает никаких требования

Ненормативная заметка расширяется по этому поводу:

Возможное поведение undefined варьируется от игнорирования ситуации полностью с непредсказуемыми результатами, вести себя во время перевода или выполнения программы документированным образом, характерным для (с выдачей диагностического сообщения или без него), чтобы прекращение перевода или исполнения (с выдачей диагностическое сообщение).

Итак, что теория. Какая реальность?

В "лучшем" случае вы получите доступ к некоторой части памяти, которая принадлежит вашей текущей программе (что может привести к неправильной работе вашей программы) или не принадлежащей вашей текущей программе (что, вероятно, вызовет ваша программа для сбоя с чем-то вроде сбоя сегментации). Или вы можете попытаться записать в память, что ваша программа владеет, но которая отмечена только для чтения; это, вероятно, также приведет к сбою вашей программы.

Это означает, что ваша программа работает под операционной системой, которая пытается защитить одновременно выполняющиеся процессы друг от друга. Если ваш код работает на "голом металле", скажем, если он является частью ядра ОС или встроенной системы, тогда такой защиты нет; ваш неправильный код - это то, что должно было обеспечить эту защиту. В этом случае возможности повреждения значительно больше, в том числе, в некоторых случаях, физический ущерб аппаратной части (или вещам или близким людям).

Даже в защищенной ОС, защита не всегда на 100%. Существуют ошибки операционной системы, которые позволяют непривилегированным программам получать root (административный) доступ, например. Даже с обычными привилегиями пользователя неисправная программа может потреблять чрезмерные ресурсы (процессор, память, диск), возможно, сбивая всю систему. Многие вредоносные программы (вирусы и т.д.) Используют переполнения буфера для получения несанкционированного доступа к системе.

(Один исторический пример: я слышал, что на некоторых старых системах с основной памятью, неоднократно обращался к одному месту памяти в узком цикле может в буквальном смысле привести к такому расходу памяти. Другие возможности включают в себя уничтожение экрана CRT и перемещение головки чтения/записи на диске с гармонической частотой шкафа привода, заставляя его ходить по столу и падать на пол.)

И всегда Skynet беспокоиться.

Суть в том, что если бы вы могли написать программу, чтобы сделать что-то плохое намеренно, это, по крайней мере, теоретически возможно, что багги-программа может сделать то же самое случайно.

На практике очень маловероятно, что ваша багги-программа, работающая в системе MacOS X, сделает что-нибудь более серьезное, чем авария. Но невозможно полностью предотвратить ошибочный код ошибки.

спасибо, я на самом деле полностью понимаю это. Но это сразу вызывает следующий вопрос: что может сделать начинающий программист, чтобы защитить свой компьютер от его / ее собственных, возможно, ужасных творений? После того, как я тщательно проверил программу, я могу использовать ее в мире. Но первый пробный запуск должен быть неправильной программой. Как вы, ребята, защищаете свои системы от себя?
@ChrisD: мы, как правило, везет. 8-)} Серьезно, защита на уровне ОС довольно хороша в наши дни. В худшем случае, если я напишу случайную вилочную бомбу , мне, возможно, придется перезагрузиться, чтобы восстановиться. Но реальный ущерб системе, вероятно, не стоит беспокоить, если ваша программа не пытается что-то сделать на грани опасности. Если вы действительно беспокоитесь, запуск программы на виртуальной машине может быть неплохой идеей.
С другой стороны, я видел много странных вещей, происходящих на компьютерах, которые я использовал (поврежденные файлы, неисправимые системные ошибки и т. Д.), И я не представляю, сколько из них могло быть вызвано тем, что некоторые программы на С демонстрировали страшное неопределенное поведение. (Пока что из моего носа не вылетели настоящие демоны.)
спасибо за то, что научили меня разламывать бомбы - я сделал что-то похожее, когда пытался понять рекурсию :)
@ChrisD: рекурсия внутри программы может привести к ограничению размера стека для вашего процесса. Вилочная бомба обходит этот предел, создавая несколько процессов, каждый из которых не занимает много места в стеке.
ах да конечно! У меня так много, чтобы учиться
Помимо редких дыр в безопасности, все угрозы в * nix относятся к типу отказа в обслуживании: загрузка ЦП, заполнение ОЗУ, заполнение жесткого диска, отправка сетевых запросов PING и т. Д. Вы можете установить ограничения для учетных записей пользователей, например, с помощью ulimit , как максимальное количество процессов или дисковая квота. Я думаю, что большинство систем не делают этого по умолчанию. Даже OpenBSD, который должен быть безопасным «из коробки», может быть свернут с помощью простой программы на C обычным пользователем.
ежедневно вы публикуете хороший ответ :)
В этом ответе не хватает чего-то важного: компилятору разрешено делать все, что ему нужно, в случае выполнения неопределенного поведения. Он может просто удалить функцию, например. (У многих других ответов такая же проблема, как я заметил сейчас).
@usr: Это подразумевается условием «не предъявляет никаких требований» в определении «неопределенного поведения» - но я, вероятно, обновлю этот ответ, чтобы прояснить ситуацию.
Scientificamerican.com/article/… так что огонь все еще возможен с современной электроникой.
Почему выполнение поиска по времени на дисках заставляет их работать плохо? Раньше у нас были гонки. , ,
Это историческое поведение, хотя и забавное, не имеет ничего общего с переполнением буфера.
@immibis: переполнение буфера может привести к выполнению произвольного кода. И, как я написал в своем ответе, если бы вы могли написать программу, которая делала бы что-то плохое намеренно , то, по крайней мере, теоретически возможно, что ошибочная программа могла бы сделать то же самое случайно . Таяние памяти ядра, по общему признанию, маловероятно в системах, в которых нет памяти ядра, но повреждение оборудования все еще возможно.
Мне было страшно, потому что я написал программу для случайного изменения битов. Теперь я чувствую себя в безопасности, потому что уверен, что Arch Linux предотвратил бы ущерб.
Разве стандарт не гарантирует, что доступ для 1 символа (типа символа u / s) за правой границей в порядке?
@AndyShevchenko: Нет. Указатель сразу за концом массива действителен, но попытка разыменования имеет неопределенное поведение.
@KeithThompson Да, это верно в C ++, но не в C, насколько я понял стандарт. В основном это гарантирует, что char s[4] = "abcd" будет работать.
@AndyShevchenko: Это совершенно отдельный вопрос. char s[4] = "abcd"; работает в C, но не в C ++, потому что в C есть специальное правило: литерал "abcd" всегда логически имеет длину 5 байт (включая завершающий char '\0' ), но его можно использовать для инициализации 4-элементного char массив, сбросив терминатор. Как в C, так и в C ++ вы можете легально вычислить указатель сразу после конца объекта массива, но попытка разыменовать его имеет неопределенное поведение.

trumpetlicks · Answer 2 · 2013-03-26T21-31-00.000Z

В общем, операционные системы сегодня (в любом случае, популярные) запускают все приложения в областях защищенной памяти, используя диспетчер виртуальной памяти. Оказывается, что не просто ЛЕГКО (per say) просто читать или записывать в место, существующее в REAL, за пределами региона (областей), которые были назначены/выделены для вашего процесса.

Прямые ответы:

1) Чтение почти никогда не приведет к прямому повреждению другого процесса, но может косвенно привести к повреждению процесса, если вы прочитали значение KEY, используемое для шифрования, дешифрования или проверки программы/процесса. Чтение за пределами может иметь несколько неблагоприятные/неожиданные последствия для вашего кода, если вы принимаете решения на основе данных, которые вы читаете.

2) Единственный способ, которым вы действительно могли УБЫТЬ что-то, путем записи в доступный по адресу памяти документ, - это тот адрес, который вы пишете, на самом деле является аппаратным регистром (место, которое на самом деле не для хранения данных, а для контролируя некоторые аппаратные средства), а не место RAM. Фактически, вы все равно обычно не наносите ущерб чему-либо, если не пишете какое-то программируемое время, которое не перезаписывается (или что-то в этом роде).

3) Обычно запуск изнутри отладчика запускает код в режиме отладки. Работа в режиме отладки TEND (но не всегда) останавливает ваш код быстрее, когда вы делаете что-то, что считается непрактичным или совершенно незаконным.

4) Никогда не используйте макросы, используйте структуры данных, которые уже имеют встроенную проверку индексов массива и т.д.

ДОПОЛНИТЕЛЬНОЕ Я должен добавить, что приведенная выше информация действительно предназначена только для систем, использующих операционную систему с окнами защиты памяти. Если вы пишете код для встроенной системы или даже системы, использующей операционную систему (в режиме реального времени или другого), которая не имеет окон защиты памяти (или виртуальных адресных окон), для которых нужно читать гораздо больше осторожности при чтении и записи в память. Также в этих случаях для предотвращения проблем с безопасностью следует всегда применять методы безопасности SAFE и SECURE.

Надежные и надежные методы кодирования всегда должны применяться.
Я бы посоветовал НЕ использовать try / catch для глючного кода, если вы не ловите очень специфические исключения и не знаете, как их исправить. Catch (...) - худшая вещь, которую вы можете добавить в код ошибки.
@NikBougalis - я полностью согласен, но ДАЖЕ БОЛЬШЕ ВАЖНО, если в ОС нет защиты памяти / виртуальных адресных пространств или не хватает ОС :-)
@ Евгений - я никогда не замечал, что это будет проблемой для меня, но я согласен с вами, я отредактировал это :-)
1) Вы имеете в виду ущерб, потому что я бы раскрыл что-то, что должно было остаться в секрете? 2) Я не уверен, что понял, что вы имеете в виду, но я полагаю, что я получаю доступ только к ОЗУ, пытаясь получить доступ к местоположениям за пределами границ массива?
@ChrisD, с виртуальной памятью, доступ к массиву в границах может привести к доступу к жесткому диску. Это под контролем ОС.

che · Answer 3 · 2013-03-27T13-18-00.000Z

Не проверять границы может привести к уродливым побочным эффектам, включая дыры в безопасности. Одним из уродливых является произвольное выполнение кода. В классическом примере: если у вас есть массив фиксированного размера и используйте strcpy() для ввода строки, предоставленной пользователем, пользователь может дать вам строку, которая переполняет буфер и перезаписывает другие ячейки памяти, включая адрес кода, где ЦП должен возвращаться когда ваша функция заканчивается.

Это означает, что ваш пользователь может отправить вам строку, которая заставит вашу программу по существу вызвать exec("/bin/sh"), которая превратит ее в оболочку, выполняя все, что он хочет в вашей системе, включая сбор всех ваших данных и превращение вашего компьютера в бот-сеть node.

Подробнее о том, как это можно сделать, см. Smashing The Stack For Fun and Profit.

Я знаю, что не должен обращаться к элементам массива за пределами границ, спасибо за усиление этой точки. Но вопрос заключается в том, что, помимо причинения всяческого вреда моей программе, могу ли я случайно выйти за пределы памяти моей программы? И я имею в виду OSX.
@ChrisD: OS X - современная операционная система, поэтому она обеспечит вам полную защиту памяти. Например, вы не должны ограничиваться тем, что разрешено делать вашей программе. Это не должно включать в себя взаимодействие с другими процессами (если вы не используете права root).
Я бы предпочел сказать под привилегией 0, а не root.
Более интересно то, что гиперсовременные компиляторы могут решить, что если код пытается прочитать foo[0] через foo[len-1] после того, как ранее использовал проверку len по длине массива для выполнения или пропуска части кода, компилятор может свободно запускать этот другой код безоговорочно, даже если приложению принадлежит хранилище за массивом, и результаты его чтения были бы безобидными, но эффект вызова другого кода не был бы.

Udo Klein · Answer 4 · 2013-03-26T22-26-00.000Z

Вы пишете:

Я читал много "что-нибудь может случиться", "сегментация может быть наименее плохая проблема", ваш жесткий диск может стать розовым, а единороги могут петь под окном ", что все хорошо, но что на самом деле опасность?

Давайте скажем так: заряжаем пистолет. Направьте его за окно без какой-либо конкретной цели и огня. В чем опасность?

Проблема в том, что вы не знаете. Если ваш код перезаписывает что-то, что приводит к сбою вашей программы, вы в порядке, потому что она остановит ее в определенном состоянии. Однако, если он не сбой, возникают проблемы. Какие ресурсы находятся под контролем вашей программы и что они могут сделать с ними? Какие ресурсы могут находиться под контролем вашей программы и что они могут сделать с ними? Я знаю, по крайней мере, одну серьезную проблему, вызванную таким переполнением. Проблема заключалась в кажущейся бессмысленной статистической функции, которая испортила некоторую несвязанную таблицу преобразования для производственной базы данных. Результатом стала некоторая очень дорогая очистка после этого. На самом деле это было бы намного дешевле и проще в обращении, если бы эта проблема отформатировала жесткие диски... другими словами: розовые единороги могут быть вашей наименее проблемой.

Идея, что ваша операционная система будет защищать вас, оптимистична. Если возможно, старайтесь избегать записи за пределы.

хорошо, это было именно то, чего я боялся. Я буду «стараться не писать без границ», но, видя, что я делал последние несколько месяцев, я, безусловно, буду делать это еще много. Как вы, ребята, так хорошо научились программировать без безопасного способа тренировки?
Кто сказал, что когда-либо было безопасно;)

mikyra · Answer 5 · 2013-03-26T21-54-00.000Z

Не запускать свою программу в качестве пользователя root или любого другого привилегированного пользователя, это не повредит какой-либо вашей системе, поэтому обычно это может быть хорошей идеей.

Записывая данные в какую-либо ячейку произвольной памяти, вы не будете непосредственно "повреждать" любую другую программу, запущенную на вашем компьютере, поскольку каждый процесс запускает в ней собственное пространство памяти.

Если вы попытаетесь получить доступ к любой памяти, не выделенной для вашего процесса, операционная система остановит вашу программу от выполнения с ошибкой сегментации.

Таким образом, прямо (без запуска от имени root и прямого доступа к файлам, таким как /dev/mem ) нет никакой опасности, что ваша программа будет мешать любой другой программе, запущенной в вашей операционной системе.

Тем не менее - и, возможно, это то, о чем вы слышали с точки зрения опасности, - слепо записывая случайные данные в случайные ячейки памяти случайно, вы можете повредить все, что можете нанести.

Например, ваша программа может захотеть удалить определенный файл, заданный именем файла, хранящимся где-то в вашей программе. Если случайно вы просто перезапишите место, где хранится имя файла, вы можете удалить совсем другой файл.

Если вы работаете в качестве корня (или какого - либо другого привилегированного пользователя), хотя, берегитесь. Переполнение буфера и массива - это обычная вредоносная программа.
фактически учетная запись, которую я использую для всех моих ежедневных вычислений, не является учетной записью администратора (я использую терминологию OSX, поскольку это моя система). Вы хотите сказать мне, что я не могу повредить что-либо, пытаясь установить ЛЮБУЮ область памяти? Это действительно хорошая новость!
Как уже упоминалось ранее, худший вред, который вы можете нанести случайно, это худший вред, который вы можете нанести как пользователь. Если вы хотите быть на 100% уверены, что не уничтожите свои данные, возможно, вы захотите добавить другую учетную запись на свой компьютер и поэкспериментировать с этим.
ну что насчет создания отдельного пользователя, я понимаю. Но остается вопрос: как я могу сделать это лучше, и даже тогда убедиться, что я не повреждаю вещи, кроме моей программы, которую я отлаживаю? Как вы, ребята, научились программировать, где ваша сеть безопасности не убивала ваш компьютер в процессе? ;)
Еще раз повторим: при работе с учетной записью пользователя нет никакого риска, что вы повредите любую часть системы, которую используете, поскольку у вас недостаточно привилегий для причинения серьезного вреда.
@mikyra: Это верно, только если защитные механизмы системы эффективны на 100%. Наличие вредоносного ПО говорит о том, что на это нельзя всегда полагаться. (Я не хочу предположить, что об этом обязательно стоит беспокоиться; возможно, но маловероятно, что программа может случайно использовать те же дыры в безопасности, которые используются вредоносными программами.)
@KeithThompson: Да, это правда. Но особенно в отношении вредоносных программ, у меня сложилось впечатление, что в 99 из 100 случаев пользователь скорее добровольно «приглашает» его, нарушая даже самые основные меры предосторожности и лишь очень низкий процент, когда механизмы защиты действительно не работают.
Список здесь включает: Запуск кода из ненадежных источников. Просто нажмите кнопку «ОК» в любом всплывающем окне брандмауэра, даже не читая о чем идет речь, или полностью отключите его, если не удается установить нужное сетевое соединение. Исправление бинарных файлов с помощью новейшего хака из сомнительных источников. Это не вина хранилища, если владелец добровольно пригласит любого грабителя с широко открытыми руками и очень сильными укрепленными дверями.

Aesin · Answer 6 · 2013-03-27T02-14-00.000Z

Вы можете попробовать использовать инструмент memcheck в Valgrind, когда вы проверяете свой код - он не будет отслеживать нарушения границ массива в кадре стека, но он должен улавливать многие другие проблемы с памятью, в том числе те, которые могут вызывать тонкие и более широкие проблемы, выходящие за рамки одной функции.

Из руководства:

Memcheck - это детектор ошибок памяти. Он может обнаруживать следующие проблемы, общие для программ C и С++.

Доступ к памяти не требуется, например. перекрытие и блокирование блоков кучи, превышение вершины стека и доступ к памяти после ее освобождения.

Использование значений undefined, то есть значений, которые не были инициализированы или были получены из других значений undefined.

Неправильное освобождение памяти кучи, например блокирование кучи двойной освобождения или несоответствие использования malloc/new/new [] по сравнению с бесплатным/удалением/удалением []

Перекрытие указателей src и dst в memcpy и связанных с ними функциях.

Утечки памяти.

ETA: Хотя, как говорит Каз, это не панацея и не всегда дает самый полезный результат, особенно когда вы используете интересные шаблоны доступа.

Я подозреваю, что Анализатор XCode найдет большую часть этого? и мой вопрос не столько в том, как найти эти ошибки, но если выполнение программы, в которой все еще есть эти ошибки, опасно для памяти, не выделенной для моей программы. Мне нужно будет выполнить программу, чтобы увидеть ошибки

jbgs · Answer 7 · 2013-03-26T22-03-00.000Z

3

Помимо вашей собственной программы, я не думаю, что вы что-то сломаете, в худшем случае вы попытаетесь прочитать или записать с адреса памяти, соответствующего странице, которую ядро не назначало вашим процессам, генерируя правильное исключение и убийство (я имею в виду, ваш процесс).

jbgs 26 март 2013, в 22:03

3

..Какие? Как насчет перезаписи памяти в вашем собственном процессе, который использовался для хранения некоторой переменной, использованной позже ... которая теперь таинственным образом изменила свое значение! Уверяю вас, эти ошибки очень интересны. Segfault будет лучшим результатом. -1
Ed S. 26 март 2013, в 20:59
2

Я имею в виду, что он не "сломает" другие процессы, кроме своей собственной программы;)
jbgs 26 март 2013, в 21:00
0

Мне действительно все равно, если я нарушу свою собственную программу. Я только учусь, программа в любом случае явно ошибается, если я получаю доступ к чему-либо вне границ моего массива. Я все больше и больше беспокоюсь о рисках, которые могут сломаться во время отладки моих творений
ChrisD 26 март 2013, в 21:09
0

Дело в том, могу ли я быть уверенным, что если я попытаюсь получить доступ к памяти, которая мне не назначена, мой процесс будет убит? (будучи на OSX)
ChrisD 26 март 2013, в 21:21
3

Несколько лет назад я был неуклюжим программистом на Си. Я обращался к массивам за их пределами сотни раз. Кроме того, что мой процесс был убит операционной системой, ничего не произошло.
jbgs 26 март 2013, в 21:22
0

Ах, хорошо, прости; Я не так тебя поняла. Downvote удален.
Ed S. 26 март 2013, в 21:23
0

@ChrisD: вы работаете в защищенном режиме. Ваше приложение находится в песочнице. Вы не собираетесь разрушить систему.
Ed S. 26 март 2013, в 21:24
0

@ChrisD Если бы вы могли изменить в ОС то, что ваш пользователь не может изменить, вы бы обнаружили дыру в безопасности в ОС.
potrzebie 26 март 2013, в 21:26
0

@EdS. Если я вас правильно понимаю, вы говорите, что моя программа действительно гарантированно будет уничтожена, когда она попытается получить доступ к ОЗУ, не выделенному для нее? (и я понимаю, что «гарантированный» означает «не принимая во внимание ошибки в операционной системе»)
ChrisD 26 март 2013, в 21:31
0

@ChrisD: нет, я никогда этого не говорил. Вы вызываете неопределенное поведение, т. Е. Поведение вашей программы теперь не определено. Однако это не новая проблема, и большинство операционных систем и процессоров защищают вас от вас самих. Есть конечно исключения; приложения реального режима, множество встроенных сред, приложения режима ядра (т. е. драйверы и сама ОС). Эти процессы могут мешать всему остальному, но вы не на этой площадке.
Ed S. 26 март 2013, в 21:32
0

@ EdS.Спасибо за разъяснения! Таким образом, вы имеете в виду, что моя программа могла бы делать самые странные вещи сама по себе, иметь действительно странные или нормальные результаты, или, возможно, быть убитой, но на другие процессы это не повлияет (надеюсь, что на этот раз я поняла это правильно :))
ChrisD 26 март 2013, в 21:34
0

@jbgs Ваш последний комментарий заставляет меня спать лучше, спасибо!
ChrisD 26 март 2013, в 21:35

Показать ещё 10 комментариев

Richard Brown · Answer 8 · 2013-03-26T20-56-00.000Z

NSArray в Objective-C назначается определенный блок памяти. Превышение границ массива означает, что вы будете получать доступ к памяти, которая не назначена массиву. Это означает:

Эта память может иметь любое значение. Нет никакого способа узнать, действительно ли данные действительны в зависимости от вашего типа данных.
Эта память может содержать конфиденциальную информацию, такую как закрытые ключи или другие учетные данные пользователя.
Адрес памяти может быть недействительным или защищенным.
Память может иметь изменяющееся значение, поскольку к ней обращается другая программа или поток.
В других вещах используется адресное пространство памяти, например порты с отображением памяти.
Запись данных на неизвестный адрес памяти может привести к сбою вашей программы, перезаписать пространство памяти ОС и вообще привести к взрыву солнца.

С точки зрения вашей программы вы всегда хотите знать, когда ваш код превышает границы массива. Это может привести к возврату неизвестных значений, что приведет к сбою приложения или предоставлению недействительных данных.

NSArrays имеют за пределами исключения. И этот вопрос, кажется, о массиве C.
Я действительно имел в виду C-массивы. Я знаю, что есть NSArray, но сейчас большинство моих упражнений в C

Dan Haynes · Answer 9 · 2013-04-04T01-57-00.000Z

Если вы когда-либо выполняете программирование на уровне системы или программируете встроенные системы, очень плохое может случиться, если вы пишете в случайные ячейки памяти. Старые системы и многие микроконтроллеры используют IO памяти с отображением памяти, поэтому запись в ячейку памяти, которая отображается в периферийном регистре, может привести к хаосу, особенно если она выполняется асинхронно.

Примером является программирование флэш-памяти. Режим программирования на микросхемах памяти активируется путем записи определенной последовательности значений в определенные местоположения внутри диапазона адресов чипа. Если другой процесс должен был записываться в любое другое место в чипе во время его продолжения, это приведет к сбою цикла программирования.

В некоторых случаях аппаратное обеспечение будет обертывать адреса (большинство значимых битов/байтов адреса игнорируются), поэтому запись на адрес за пределами физического адресного пространства фактически приведет к тому, что данные будут записываться прямо в середине вещей.

И, наконец, более старые процессоры, такие как MC68000, могут быть заблокированы до такой степени, что только аппаратное обеспечение reset может вернуть их снова. Не работали над ними в течение нескольких десятилетий, но я считаю, что когда он столкнулся с ошибкой шины (несуществующей памяти), пытаясь обработать исключение, он просто остановился, пока не будет заявлено аппаратное обеспечение reset.

Моя самая большая рекомендация - вопиющая пробная версия продукта, но у меня нет личного интереса к ней, и я никоим образом не связан с ними, но на основе нескольких десятилетий программирования C и встроенных систем, где надежность была критической, Gimpel PC Lint не только обнаружит подобные ошибки, но и сделает из вас лучшего программиста на C/С++, постоянно ухаживая за вами о вредных привычках.

Я бы также рекомендовал прочитать стандарт кодирования MISRA C, если вы можете уловить копию от кого-то. Я не видел последних, но в старые времена они дали хорошее объяснение, почему вы должны/не должны делать то, что они покрывают.

Не знаю о вас, но о 2-м или в 3-й раз я получаю coredump или зависание из любого приложения, мое мнение о том, какая компания произвела его, уменьшилась наполовину. 4-й или 5-й раз, и все, что пакет становится стеллажом, и я управляю деревянной ставкой через центр пакета/диска, в который он пришел, чтобы убедиться, что он никогда не возвращается, чтобы преследовать меня.

В зависимости от системы, чтения вне диапазона могут также вызывать непредсказуемое поведение или они могут быть доброкачественными, хотя доброкачественное поведение оборудования при нагрузках вне диапазона не подразумевает доброкачественного поведения компилятора.

Kaz · Answer 10 · 2013-03-27T01-00-00.000Z

Я работаю с компилятором для чипа DSP, который намеренно генерирует код, который обращается к одному из концов конца массива из кода C, который не работает!

Это связано с тем, что циклы структурированы так, что конец итерации предваряет некоторые данные для следующей итерации. Таким образом, базовая точка, запрограммированная в конце последней итерации, никогда не используется.

Написание кода C, подобного этому, вызывает поведение undefined, но это только формальность из документа стандартов, который относится к максимальной переносимости.

Чаще всего это не так, программа, которая выходит за пределы, не умно оптимистична. Это просто глючит. Код извлекает некоторое количество мусора и, в отличие от оптимизированных циклов вышеупомянутого компилятора, код затем использует значение в последующих вычислениях, тем самым искажая их.

Стоит поймать такие ошибки, и поэтому стоит повести поведение undefined даже для этой причины: так, чтобы время выполнения могло вызвать диагностическое сообщение типа "переполнение массива в строке 42 основного". с".

В системах с виртуальной памятью может быть выделен массив таким образом, чтобы следующий адрес находился в незанятой области виртуальной памяти. Затем доступ запустит программу.

Отметим, что в C нам разрешено создавать указатель, который находится за концом массива. И этот указатель должен сравнивать больше, чем любой указатель на внутренность массива. Это означает, что реализация C не может разместить массив в конце памяти, где один плюс адрес будет обертываться и выглядеть меньше, чем другие адреса в массиве.

Тем не менее, доступ к значениям неинициализированных или вне границ иногда является допустимым методом оптимизации, даже если он не является максимально переносимым. Это, например, почему инструмент Valgrind не сообщает о доступе к неинициализированным данным, когда эти обращения происходят, но только тогда, когда значение впоследствии используется каким-то образом, что может повлиять на результат программы. Вы получаете такую диагностику, как "условная ветвь в xxx: nnn зависит от неинициализированного значения", и иногда бывает трудно отследить, откуда она происходит. Если бы все такие обращения были немедленно захвачены, было бы много ложных срабатываний, возникающих из кода, оптимизированного компилятором, а также правильно оптимизированного вручную кода.

Говоря об этом, я работал с некоторым кодеком от поставщика, который выдавал эти ошибки при переносе в Linux и запускался под Valgrind. Но вендор убедил меня, что только несколько бит используемого значения действительно пришли из неинициализированной памяти, и эти биты были тщательно устранены логикой. Использовались только хорошие бит значения, и Valgrind не имеет возможности отслеживать отдельные бит. Неинициализированный материал приходил от чтения слова за конец бит потока закодированных данных, но код знает, сколько бит находится в потоке и не будет использовать больше бит, чем есть на самом деле. Поскольку доступ за пределами массива битового потока не наносит никакого ущерба архитектуре DSP (после массива нет виртуальной памяти, нет портов с отображением памяти и адрес не обертывается), это допустимая методика оптимизации.

"Undefined поведение" на самом деле мало значит, потому что согласно ISO C, просто включающий заголовок, который не определен в стандарте C, или вызов функции, которая не определена в самой программе или стандарте C, являются примерами поведения undefined. Поведение undefined не означает "не определено кем-либо на планете" просто "не определено стандартом ISO C". Но, конечно, иногда поведение undefined действительно абсолютно не определено кем-либо.

Кроме того, при условии, что существует по крайней мере одна программа, которую конкретная реализация обрабатывает правильно, даже если она номинально облагает налогом все ограничения реализации, указанные в Стандарте, эта реализация может вести себя произвольно при подаче любой другой программы, которая свободна от нарушений ограничений и все еще будет совместимый». Следовательно, 99,999% программ на C (что угодно, кроме «единой программы» платформы) полагаются на поведение, при котором Стандарт не предъявляет никаких требований.

UnClaimed · Answer 11 · 2018-06-08T09-44-00.000Z

Если это программа пользовательского пространства и работает на защищенной ОС, такой как linux, худшее, что вы увидите, это ошибка сегментации.