Linux下利用backtrace追踪函数调用堆栈以及定位段错误

一．用途：
主要用于程序异常退出时寻找错误原因

二．功能：
回溯堆栈，简单的说就是可以列出当前函数调用关系

三．原理：

1． 通过对当前堆栈的分析，找到其上层函数在栈中的帧地址，再分析上层函数的堆栈，再找再上层的帧地址……一直找到最顶层为止，帧地址指的是一块：在栈上存放局部变量，上层返回地址，及寄存器值的空间。

2． 由于不同处理器堆栈方式不同，此功能的具体实现是编译器的内建函数__buildin_frame_address及__buildin_return_address中，它涉及工具glibc和gcc,如果编译器不支持此函数，也可自己实现此函数，举例中有arm上的实现

要介绍一下堆栈的格式： 

+---------------------------+ (高地址) 

+_参数1__________+ 

+---------------------------+ 

+_参数2__________+ 

+---------------------------+参数的顺序依赖于调用方式 

+_参数.__________+ 

+---------------------------+ 

+_参数N__________+ 

+---------------------------+ 

+_eip____________+ 返回本次调用后，下一条指令的地址 

+----------------------------+ 

+_ebp____________+ 这里保存的调用者的ebp 

+----------------------------+ 

(ebp 指向这里:相当于调用者和被调用者的分界线) 

+----------------------------+ 

+_临时变量1_______+ 

+----------------------------+ 

+_临时变量2_______+ 

+----------------------------+ 

+_临时变量.________+ 

+----------------------------+ 

+----------------------------+ 

+_临时变量N_______+ 

+----------------------------+(低地址) 

由于优化、调用方式、编译器的不同，上述布局部可能有所不同，但一般来说，第一个局部变量前是调用者的ebp，ebp前是返回后下一条指令的地址。

四．方法：
在程序中加入backtrace及相关函数调用

五．举例：

一般察看函数运行时堆栈的方法是使用GDB（bt命令）之类的外部调试器,但是,有些时候为了分析程序的BUG,(主要针对长时间运行程序的分析),在程序出错时打印出函数的调用堆栈是非常有用的。

在glibc头文件"execinfo.h"中声明了三个函数用于获取当前线程的函数调用堆栈。

int backtrace(void **buffer,int size) 

该函数用于获取当前线程的调用堆栈,获取的信息将会被存放在buffer中,它是一个指针列表。参数 size 用来指定buffer中可以保存多少个void* 元素。函数返回值是实际获取的指针个数,最大不超过size大小

在buffer中的指针实际是从堆栈中获取的返回地址,每一个堆栈框架有一个返回地址

注意:某些编译器的优化选项对获取正确的调用堆栈有干扰,另外内联函数没有堆栈框架;删除框架指针也会导致无法正确解析堆栈内容

char ** backtrace_symbols (void *const *buffer, int size) 

backtrace_symbols将从backtrace函数获取的信息转化为一个字符串数组. 参数buffer应该是从backtrace函数获取的指针数组,size是该数组中的元素个数(backtrace的返回值)

函数返回值是一个指向字符串数组的指针,它的大小同buffer相同.每个字符串包含了一个相对于buffer中对应元素的可打印信息.它包括函数名，函数的偏移地址,和实际的返回地址

现在,只有使用ELF二进制格式的程序才能获取函数名称和偏移地址.在其他系统,只有16进制的返回地址能被获取.另外,你可能需要传递相应的符号给链接器,以能支持函数名功能(比如,在使用GNU ld链接器的系统中,你需要传递(-rdynamic)， -rdynamic可用来通知链接器将所有符号添加到动态符号表中，如果你的链接器支持-rdynamic的话，建议将其加上！)

该函数的返回值是通过malloc函数申请的空间,因此调用者必须使用free函数来释放指针.

注意:如果不能为字符串获取足够的空间函数的返回值将会为NULL

void backtrace_symbols_fd (void *const *buffer, int size, int fd) 

backtrace_symbols_fd与backtrace_symbols 函数具有相同的功能,不同的是它不会给调用者返回字符串数组,而是将结果写入文件描述符为fd的文件中,每个函数对应一行.它不需要调用malloc函数,因此适用于有可能调用该函数会失败的情况
 
下面是glibc中的实例（稍有修改）：

#include <execinfo.h>
#include <stdio.h>
#include <stdlib.h>

/* Obtain a backtrace and print it to @code{stdout}. */
void print_trace (void)
{
 void *array[10];
 size_t size;
 char **strings;
　 size_t i;
　
 size = backtrace (array, 10);
 strings = backtrace_symbols (array, size);
 if (NULL == strings)
 {
　  perror("backtrace_synbols");
  Exit(EXIT_FAILURE);
 }

 printf ("Obtained %zd stack frames.\n", size);

 for (i = 0; i < size; i++)
  printf ("%s\n", strings[i]);

 free (strings);
　 strings = NULL;
}

/* A dummy function to make the backtrace more interesting. */
void dummy_function (void)
{
 print_trace ();
}

int main (int argc, char *argv[])
{
 dummy_function ();
 return 0;
}

输出如下：

Obtained 4 stack frames.
./execinfo() [0x80484dd]
./execinfo() [0x8048549]
./execinfo() [0x8048556]
/lib/i386-linux-gnu/libc.so.6(__libc_start_main+0xf3) [0x70a113]

我们还可以利用这backtrace来定位段错误位置。

知道了堆栈的格式结构，要获得上层调用的者指令地址就容易了，我们可以用如下代码模拟glibc提供的backtrace的功能： 

int backtrace (void **BUFFER, intSIZE) 

{ 

int n = 0; 

int *p = &n; 

int i = 0; 

int ebp = p[1]; 

int eip = p[2]; 

for(i = 0; i < SIZE;i++) 

{ 

BUFFER[i] = (void*)eip; 

p = (int*)ebp; 

ebp = p[0]; 

eip = p[1]; 

} 

return SIZE; 

} 

附： 

通过addr2line可以找到地址对应的文件名和行号，不用手动去查MAP文件了。同一个函数可以在代码中多个地方调用，如果我们只是知道函数，而不知道在哪里调用的，有时候还是不够方便。可以通过address2line命令来完成(address2line的-f选项可以打出函数名,-C选项也可以demangle)： 
addr2line -a 0x4008a7 -e test2 -f