使用 Windbg 目录下的 UMDH 分析内存泄漏

转载已于 2023-11-25 11:56:20 修改 · 2.3k 阅读

4 ·

CC 4.0 BY-SA版权

原文链接：https://blog.youkuaiyun.com/CJF_iceKing/article/details/111103212

文章标签：

#Memory Leak #内存泄露 #Windbg #UDMH

于 2023-11-25 11:11:49 首次发布

C++内存泄漏排查专栏收录该内容

10 篇文章

订阅专栏

本文介绍了如何通过任务管理器检测内存增长疑似内存泄漏，并着重讲解了C++堆内存泄露的识别，推荐了两个与C++异常排查和基础知识相关的专栏，展示了使用UMDH工具分析内存泄漏的步骤，包括设置gflags、symbol文件管理和内存快照对比。

发现线上的程序通过任务管理器发现内存不断的增长，怀疑是不是内存泄漏呢？用户态内存泄漏可能是句柄泄漏，堆内存泄露，Socket, GDI对象等等。而对于C++程序员来说，碰到最多的无疑是堆内存泄露：也就是通过malloc或者new从堆上申请的内存，使用完成后，并没有释放，导致程序使用的内存越来越多。

在这里，给大家重点推荐一下我的几个热门畅销专栏：

专栏1：（该专栏订阅量接近350个，有很强的实战参考价值，广受好评！）

C++软件异常排查从入门到精通系列教程（专栏文章列表，欢迎订阅，持续更新...）https://blog.youkuaiyun.com/chenlycly/article/details/125529931

本专栏根据近几年C++软件异常排查的项目实践，系统地总结了引发C++软件异常的常见原因以及排查C++软件异常的常用思路与方法，详细讲述了C++软件的调试方法与手段，以图文并茂的方式给出具体的实战问题分析实例，带领大家逐步掌握C++软件调试与异常排查的相关技术，适合基础进阶和想做技术提升的相关C++开发人员！

专栏中的文章都是通过项目实战总结出来的，有很强的实战参考价值！专栏文章还在持续更新中，预计文章篇数能更新到200篇以上！

专栏2：

C/C++基础与进阶（专栏文章，持续更新中...）https://blog.youkuaiyun.com/chenlycly/category_11931267.html

以多年的开发实战为基础，总结并讲解一些的C/C++基础与进阶内容，以图文并茂的方式对相关知识点进行详细地展开与阐述！专栏涉及了C/C++领域的多个方面的内容，同时给出C/C++及网络方面的常见笔试面试题，并详细讲述Visual Studio常用调试手段与技巧！

找到了一个分析利器UMDH: 这也是Windbg工具集中的其中一个利器，它可以在一个时间点记录程序的当前程序使用的堆内存申请的信息，过一段时间后再记录一次程序使用的堆内存申请的信息，然后比较两次的结果来找到这段时间内增加的堆内存及其关联的函数调用栈，从而查找内存泄露。为了分析问题，小木先尝试着写了以下测试程序, 熟悉下工具的使用。程序每隔十秒钟调用一次MemorLeakFunction ，在函数中每次会从堆上申请一段内存空间，并且没有释放。

#include <iostream>
#include <chrono>
#include <thread>

void MemoryLeakFunction()
{
    const int STR_SIZE = 100;
    char * pStr = new char [STR_SIZE];
    strcpy_s(pStr, STR_SIZE, "Memory Leak Sample");
    std::cout << pStr << std::endl;
}

int main()
{
    while (true)
    {
        MemoryLeakFunction();
        std::this_thread::sleep_for(std::chrono::seconds(10));
    }
    return 0;
}

第一步，先使用gflag(这个也是Windbg工具集中的一个重要工具，主要用于修改系统的配置来达到调试的目的)。以下命令可以对MemoryLeak.exe程序申请堆上内存的时候记录其函数调用栈。
"C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\gflags" -i MemoryLeak.exe +ust。直接运行gflags图形化界面打开如下图, 开启Create user mode stack trace database

在这里插入图片描述

第二步，运行测试程序MemoryLeak.exe

第三步，将你程序的symbol文件MemoryLeak.pdb拷贝到mysymbols目录下。运行命令配置Symbol：Set _NT_SYMBOL_PATH=C:\mysymbols;SRV*C:\symbols*http://msdl.microsoft.com/download/symbols

第四步，保存当前程序申请内存的记录，相当于做一个堆内存申请的Snapshot，并且将结果导入到C:\umdhlog\begin.log。运行命令(需要一些时间，请耐心等待哦)"C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\umdh" -pn:MemoryLeak.exe -f:C:\umdhlog\begin.log

第五步，等程序运行一段时间后。这个等待的时间根据程序内存泄露的快慢来自行决定，要有足够的时间，来表现出程序使用堆上内存的差异。假设这里等待5分钟左右，再次运行如下命令,将结果导入到C:\undhlog\end.log中: "C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\umdh" -pn:MemoryLeak.exe -f:C:\umdhlog\end.log

第六步，最后一步来比较end.log和begin.log内存申请的差异，来找到这段时间内增加的堆内存请求调用栈,并且导入到c:\umdhlog\diff.log。运行命令(有时候运行比较长，可以利用这段时间思考下人生吧):"C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\umdh" C:\umdhlog\begin.log C:\umdhlog\end.log -f:c:\umdhlog\diff.log

最后一步 diff.log中可以看到增加的内存申请的函数调用栈，比如这段

+ 1194 ( 157c - 3e8) 37 allocs   BackTrace1
+ 2d ( 37 - a)   BackTrace1   allocations

   ntdll!RtlpAllocateHeap+2122
   ntdll!RtlpAllocateHeapInternal+5E5
   ucrtbase!_malloc_base+36
   MemoryLeak!operator new+1F (d:\agent\_work\2\s\src\vctools\crt\vcstartup\src\heap\new_scalar.cpp, 35)
   MemoryLeak!main+2D (c:\personal\git\beyourbest\cpp\windbgsample\memoryleak\memoryleaksample.cpp, 17)
   MemoryLeak!__scrt_common_main_seh+10C (d:\agent\_work\2\s\src\vctools\crt\vcstartup\src\startup\exe_common.inl, 288)
   KERNEL32!BaseThreadInitThunk+14
   ntdll!RtlUserThreadStart+21

注意里面默认采用的是16进制表示的数量，比如0x1194表示在umdh比较的两个时间段之间，这段函数调用栈申请了4500个字节的堆空间，0x2d表示这之间调用了45次。最关键的部分就是函数调用栈了,里面指明了在memoryleaksample.cpp文件的第17行进行了内存申请。这个时候我们一般对这段代码进行审查，都能够找出内存泄露的原因，比如这里的例子，使用后未释放内存。

在熟悉了UMDH的使用后，对线上出现的实际问题进行分析，也很快找到了内存泄露原因。