core文件分析
一、Core文件描述
Coredump在unix平台是非常容易出现的一种错误形式,直接表现形式为core文件, core文件产生于当前目录下,通常,象内存地址错误、非法指令、总线错误等会引起coredump,core文件的内容包含进程出现异常时的错误影像。如果错误进程为多线程并且core文件的大小受限于ulimit的系统限制,则系统只将数据区中错误线程的堆栈区复制到core文件中。
应当注意,从AIX 5L版本5.1开始core文件的命名格式可以通过环境变量CORE_NAMING设置,其格式为:
core.pid.ddhhmmss,分别代表为:
pid:进程标示符
dd:当前日期
hh:当前小时
mm:当前的分钟
ss:当前的秒
core文件的缺省格式为老版本的格式,coredump文件的内容按照以下的顺序组织:
1) core文件的头部信息
定义coredump的基本信息,及其他信息的地址偏移量
2) ldinfo结构信息
定义loader区的信息
3) mstsave结构信息
定义核心线程的状态信息,错误线程的mstsave结构信息直接存储在core文件的头部区,此区域只对多线程的程序有效,除错误线程外的其他线程的mstsave结构信息存与此区域。
4) 缺省的用户堆栈数据
存储coredump时的用户堆栈数据
5) 缺省的数据区域
存储用户数据区域信息
6) 内存映射数据
存储匿名的内存映射数据
7) vm_info结构信息
存储内存映射区域的地址偏移量和大小信息。缺省情况下,用户数据、匿名的内存区域和vm_info结构信息并不包含在core文件中,core文件值包含当前的进程堆栈、线程堆栈、线程mstsave结构、用户结构和错误时的寄存器信息,这些信息足够跟踪错误的产生。Core文件的大小也可以通过setrlimit函数设定。
二、Core文件分析
首先分析coredump的结构组成,core文件的头信息是由结构core_dump结构定义的,结构成员定义如下:
成员 类型 描述
c_signo char 引起错误的信号量
C_entries ushort Coredump的模块数
*c_tab Struct ld_info Core数据的地址偏移量
c_flag char 描述coredump的类型,类型为:
FULL_CORECore包含数据区域
CORE_VERSION_1生成 core文件的AIX的版本
MSTS_VALID包含mstsave的结构
CORE_BIGDATACore文件包含大数据
UBLOCK_VALIDCore文件包含u_block结构
USTACK_VALIDCore文件包含用户堆栈数据
LE_VALIDCore文件至少包含一个模块
CORE_TRUNCCore文件被截短
c_stack Caddr_t 用户堆栈的起始地址偏移量
C_size int 用户堆栈的大小
C_mst Struct mstsave 错误mst的拷贝
C_u Struct user 用户结构的拷贝
C_nmsts int Mstsave结构的数量
C_msts Struct mstsvae * 线程的mstsave结构的地址偏移量
C_datasize int 数据区域的大小
C_data Caddr_t 用户数据的地址偏移量
C_vmregions int 匿名地址映射的数量
C_vmm Struct vm_info * Vm_info数据表的起始地址偏移量
借助于下面提供的程序可以分析core文件的部分信息:
#include <stdio.h>
#include <sys/core.h>
void main(int argc, char *argv[])
{
FILE *corefile;
struct core_dumpx c_file;
char command[256];
if (argc != 2) {
fprintf(stderr, "Usage: %s <corefile>\n", *argv);
exit(1);
}
if ((corefile = fopen(argv[1], "r")) == NULL) {
perror(argv[1]);
exit(1);
}
fread(&c_file, sizeof(c_file), 1, corefile);
fclose(corefile);
sprintf(command, "lquerypv -h %s 6E0 64 | head -1 | awk '{print $6}'", argv[1]);
printf("Core created by: \n");
system(command);
printf("Signal number and cause of error number: %i\n", c_file.c_signo);
printf("Core file type: %i\n", c_file.c_flag);
printf("Number of core dump modules: %i\n", c_file.c_entries);
printf("Core file format number: %i\n", c_file.c_version);
printf("Thread identifier: %i\n", c_file.c_flt.th.ti_tid);
printf("Process identifier: %i\n", c_file.c_flt.th.ti_pid);
printf("Current effective priority: %i\n", c_file.c_flt.th.ti_pri);
printf("Processor Usage: %i\n", c_file.c_flt.th.ti_cpu);
printf("Processor bound to: cpu%i\n", c_file.c_flt.th.ti_cpuid);
/*
if (c_file.c_flt.th.ti_cpu > 1)
printf("Last Processor: cpu%i\n", c_file.c_flt.th.ti_affinity);
*/
exit(0);
}
把该程序编译成可执行程序:
gcc -o anacore anacore.c
(这里也可以用xlc编译器,但我的机器上只有gcc)
现在根据以下步骤编写测试程序并进行测试:
1) 通过下面的程序生成core文件
main() {
char *testadd;
strcpy(testadd, "Just a testing");
}
程序命名为core.c
2) 编译程序core.c
gcc -o pcore core.c
(这里也可以用xlc编译器,但我的机器上只有gcc)
3) 运行pcore产生core文件
./pcore
Segmentation fault (core dumped)
4) 运行anacore察看结果
./anacore core
5) 结果如下
-bash-3.00$ ./anacore core
Core created by:
|pcore...........|
Signal number and cause of error number: 11
Core file type: 115
Number of core dump modules: 0
Core file format number: 267312561
Thread identifier: 2113597
Process identifier: 1347756
Current effective priority: 60
Processor Usage: 0
Processor bound to: cpu-1
从上面的结果,我们可以简单的分析产生core文件的应用、信号量及进程等信息,如果要求一些更详细的信息,可以借助于dbx等调试工具进一步分析。