Linux內(nèi)存泄漏檢測實現(xiàn)原理與實現(xiàn)

在使用沒有垃圾回收的語言時（如 C/C++），可能由于忘記釋放內(nèi)存而導致內(nèi)存被耗盡，這叫內(nèi)存泄漏。由于內(nèi)核也需要自己管理內(nèi)存，所以也可能出現(xiàn)內(nèi)存泄漏的情況。為了能夠找出導致內(nèi)存泄漏的地方，Linux 內(nèi)核開發(fā)者開發(fā)出 kmemleak 功能。

下面我們來詳細介紹一下 kmemleak 這個功能的原理與實現(xiàn)。

kmemleak 原理

首先來分析一下，什么情況會導致內(nèi)存泄漏。

1. 造成內(nèi)存泄漏的原因

內(nèi)存泄漏的根本原因是由于用戶沒有釋放不再使用的動態(tài)申請的內(nèi)存（在內(nèi)核中由memblock_alloc、kmalloc、vmalloc、kmem_cache_alloc等函數(shù)申請的內(nèi)存），那么哪些內(nèi)存是不再使用的呢？一般來說，沒有被指針引用（指向）的內(nèi)存都是不再使用的內(nèi)存。因為這些內(nèi)存已經(jīng)丟失了其地址信息，從而導致內(nèi)核不能再使用這些內(nèi)存。

我們來看看下圖的事例：

如上圖所示，指針A原來指向內(nèi)存塊A，但后來指向新申請的內(nèi)存塊B，從而導致內(nèi)存塊A的內(nèi)存地址信息丟失。如果此時用戶沒有及時釋放掉內(nèi)存塊A，就會導致內(nèi)存泄漏。

當然少量的內(nèi)存泄漏并不會造成很嚴重的效果，但如果是頻發(fā)性的內(nèi)存泄漏，將會造成系統(tǒng)內(nèi)存資源耗盡，從而導致系統(tǒng)崩潰。

2. 內(nèi)核中的指針

既然沒有指針引用的內(nèi)存屬于泄漏的內(nèi)存，那么只需要找出系統(tǒng)是否存在沒有指針引用的內(nèi)存，就可以判斷系統(tǒng)是否存在內(nèi)存泄漏。

那么，怎么找到內(nèi)核中的所有指針呢？我們知道，指針一般存放在內(nèi)核數(shù)據(jù)段、內(nèi)核棧和動態(tài)申請的內(nèi)存塊中。如下圖所示：

但內(nèi)核并沒有對指針進行記錄，也就是說內(nèi)核并不知道這些區(qū)域是否存在指針。那么內(nèi)核只能夠把這些區(qū)域當成是由指針組成的，也就是說把這些區(qū)域中的每個元素都當成是一個指針。如下圖所示：

當然，把所有元素都當成是指針是一個假設，所以會存在誤判的情況。不過這也沒關系，因為kmemleak這個功能只是為了找到內(nèi)核中疑似內(nèi)存泄漏的地方。

3. 記錄動態(tài)內(nèi)存塊

前面說過，kmemleak 機制用于分析由memblock_alloc、kmalloc、vmalloc、kmem_cache_alloc等函數(shù)申請的內(nèi)存是否存在泄漏。

分析的依據(jù)是：掃描內(nèi)核中所有的指針，然后判斷這些指針是否指向了由memblock_alloc、kmalloc、vmalloc、kmem_cache_alloc等函數(shù)申請的內(nèi)存塊。如果存在沒有指針引用的內(nèi)存塊，那么就表示可能存在內(nèi)存泄漏。

所以，當使用memblock_alloc、kmalloc、vmalloc、kmem_cache_alloc等函數(shù)申請內(nèi)存時，內(nèi)核會把申請到的內(nèi)存塊信息記錄下來，用于后續(xù)掃描時使用。內(nèi)核使用kmemleak_object對象來記錄這些內(nèi)存塊的信息，然后通過一棵紅黑樹把這些kmemleak_object對象組織起來（使用內(nèi)存塊的地址作為鍵），如下圖所示：

所以內(nèi)存泄漏檢測的原理是：

遍歷內(nèi)核中所有的指針，然后從紅黑樹中查找是否存在對應的內(nèi)存塊，如果存在就把內(nèi)存塊打上標記。

所有指針掃描完畢后，再遍歷紅黑樹中所有kmemleak_object對象。如果發(fā)現(xiàn)沒有打上標記的內(nèi)存塊，說明存在內(nèi)存泄漏（也就是說，存在沒有被指針引用的內(nèi)存塊），并且將對應的內(nèi)存塊信息記錄下來。

kmemleak 實現(xiàn)

了解了 kmemleak 機制的原理后，現(xiàn)在我們來分析其代碼實現(xiàn)。

1. kmemleak_object 對象

上面介紹過，內(nèi)核通過kmemleak_object對象來記錄動態(tài)內(nèi)存塊的信息，其定義如下：

structkmemleak_object{
spinlock_tlock;
unsignedlongflags;/*objectstatusflags*/
structlist_headobject_list;
structlist_headgray_list;
structrb_noderb_node;
...
atomic_tuse_count;
unsignedlongpointer;
size_tsize;
intmin_count;
intcount;
...
pid_tpid;/*pidofthecurrenttask*/
charcomm[TASK_COMM_LEN];/*executablename*/
};

kmemleak_object對象的成員字段比較多，現(xiàn)在我們重點關注rb_node、pointer和size這 3 個字段：

rb_node：此字段用于將kmemleak_object對象連接到紅黑樹中。

pointer：用于記錄內(nèi)存塊的起始地址。

size：用于記錄內(nèi)存塊的大小。

內(nèi)核就是通過這 3 個字段，把kmemleak_object對象連接到全局紅黑樹中。

例如利用kmalloc函數(shù)申請內(nèi)存時，最終會調(diào)用create_object來創(chuàng)建kmemleak_object對象，并且將其添加到全局紅黑樹中。我們來看看create_obiect函數(shù)的實現(xiàn)，如下：

...
//紅黑樹的根節(jié)點
staticstructrb_rootobject_tree_root=RB_ROOT;
...

staticstructkmemleak_object*
create_object(unsignedlongptr,size_tsize,intmin_count,gfp_tgfp)
{
unsignedlongflags;
structkmemleak_object*object,*parent;
structrb_node**link,*rb_parent;

//申請一個新的kmemleak_object對象
object=kmem_cache_alloc(object_cache,gfp_kmemleak_mask(gfp));
...
object->pointer=ptr;
object->size=size;

//將新申請的kmemleak_object對象添加到全局紅黑樹中
...
link=&object_tree_root.rb_node;//紅黑樹根節(jié)點
rb_parent=NULL;

//找到kmemleak_object對象插入的位置（參考平衡二叉樹的算法）
while(*link){
rb_parent=*link;
parent=rb_entry(rb_parent,structkmemleak_object,rb_node);
if(ptr+size<=?parent->pointer)
link=&parent->rb_node.rb_left;
elseif(parent->pointer+parent->size<=?ptr)
????????????link?=?&parent->rb_node.rb_right;
else{
...
gotoout;
}
}

//將kmemleak_object對象插入到紅黑樹中
rb_link_node(&object->rb_node,rb_parent,link);
rb_insert_color(&object->rb_node,&object_tree_root);

out:
...
returnobject;
}

雖然create_obiect函數(shù)的代碼比較長，但是邏輯卻很簡單，主要完成 2 件事情：

申請一個新的kmemleak_object對象，并且初始化其各個字段。

將新申請的kmemleak_object對象添加到全局紅黑樹中。

將kmemleak_object對象插入到全局紅黑樹的算法與數(shù)據(jù)結(jié)構(gòu)中的平衡二叉樹算法是一致的，所以不了解的同學可以查閱相關的資料。

2. 內(nèi)存泄漏檢測

當開啟內(nèi)存泄漏檢測時，內(nèi)核將會創(chuàng)建一個名為kmemleak的內(nèi)核線程來進行檢測。

在分析內(nèi)存檢測的實現(xiàn)之前，我們先來了解一下關于kmemleak_object對象的三個概念：

白色節(jié)點：表示此對象沒有被指針引用（count字段少于min_count字段）。

灰色節(jié)點：表示此對象被一個或多個指針引用（count字段大于或等于min_count字段）。

黑色節(jié)點：表示此對象不需要被掃描（min_count字段等于 -1）。

接著我們來看看kmemleak內(nèi)核線程的實現(xiàn)：

staticintkmemleak_scan_thread(void*arg)
{
...
while(!kthread_should_stop()){
...
kmemleak_scan();//進行內(nèi)存泄漏掃描
...
}
return0;
}

可以看出kmemleak內(nèi)核線程主要通過調(diào)用kmemleak_scan函數(shù)來進行內(nèi)存泄漏掃描。我們繼續(xù)來看看kmemleak_scan函數(shù)的實現(xiàn)：

staticvoidkmemleak_scan(void)
{
...
//1)將所有kmemleak_object對象的count字段置0，表示開始時全部是白色節(jié)點
list_for_each_entry_rcu(object,&object_list,object_list){
...
object->count=0;
...
}
...

//2)掃描數(shù)據(jù)段與未初始化數(shù)據(jù)段
scan_block(_sdata,_edata,NULL,1);
scan_block(__bss_start,__bss_stop,NULL,1);
...

//3)掃描所有內(nèi)存頁結(jié)構(gòu)，這是由于內(nèi)存頁結(jié)構(gòu)也可能引用其他內(nèi)存塊
for_each_online_node(i){
...
for(pfn=start_pfn;pfn

	

	由于kmemleak_scan函數(shù)的代碼比較長，所以我們對其進行精簡。精簡后可以看出，kmemleak_scan函數(shù)主要完成 5 件事情：

	將系統(tǒng)中所有kmemleak_object對象的count字段置 0，表示掃描開始時，所有節(jié)點都是白色節(jié)點。

	調(diào)用scan_block函數(shù)掃描數(shù)據(jù)段與未初始化數(shù)據(jù)段，因為這兩個區(qū)域可能存在指針。

	掃描所有內(nèi)存頁結(jié)構(gòu)，這是因為內(nèi)存頁結(jié)構(gòu)可能會引用其他內(nèi)存塊，所以也要對其進行掃描。

	掃描所有進程內(nèi)核棧，由于進程內(nèi)核棧可能存在指針，所以要對其進行掃描。

	掃描所有灰色節(jié)點，由于灰色節(jié)點也可能存在指針，所以要對其進行掃描。

	掃描主要通過scan_block函數(shù)進行，我們來看看scan_block函數(shù)的實現(xiàn)：

	
staticvoid
scan_block(void*_start,void*_end,structkmemleak_object*scanned,
intallow_resched)
{
unsignedlong*ptr;
unsignedlong*start=PTR_ALIGN(_start,BYTES_PER_POINTER);
unsignedlong*end=_end-(BYTES_PER_POINTER-1);

//對內(nèi)存區(qū)進行掃描
for(ptr=start;ptrcount++;

//判斷當前對象是否灰色節(jié)點，如果是將其添加到灰色節(jié)點鏈表中
if(color_gray(object)){
list_add_tail(&object->gray_list,&gray_list);
...
continue;
}
...
}
}


	

	scan_block函數(shù)主要完成以下幾個步驟：

	遍歷內(nèi)存區(qū)所有指針。

	查找指針所引用的內(nèi)存塊是否存在于紅黑樹中，如果不存在就跳過處理此對象。

	如果kmemleak_object對象不是白色，說明已經(jīng)有指針引用此內(nèi)存塊，跳過處理此對象。

	對kmemleak_object對象的count字段進行加一操作，表示有指針引用此內(nèi)存塊。

	判斷當前kmemleak_object對象是否是灰色節(jié)點（count字段大于或等于min_count字段），如果是將其添加到灰色節(jié)點鏈表中。

	掃描完畢后，所有白色的節(jié)點就是可能存在內(nèi)存泄漏的內(nèi)存塊。

	




	審核編輯：劉清