【发布时间】:2019-06-16 20:19:43
【问题描述】:
在我的代码中,我在堆指针int *shifts 上使用数组寻址来将值保存到这个数组中。当我使用memcpy() 在堆区之间复制数据时,数组shifts[y] 的内容发生了变化,即使我看不到缓冲区溢出的可能性。问题已经发生在for 循环的第一轮中,s->start 设置为568。
代码 sn-p 是 FFmpeg 库的一部分。
av_malloc() 和 av_log() 是 malloc() 和 printf() 的包装器。
我尝试输出内存地址,希望找出问题的原因。由于打印出代码来演示每个步骤后的值,请原谅可读性差。
typedef struct LineShiftContext {
const AVClass *class;
/* Command line options: */
int lines, start;
/* Internal: */
int nb_planes;
int planewidth[4];
int planeheight[4];
void *filler[4];
int *shifts;
void (*recoverlineshifts)(struct LineShiftContext *s, AVFrame *frame);
} LineShiftContext;
////////////////
for (int p = 0; p < s->nb_planes; p++) {
s->filler[p] = av_malloc(s->planewidth[p] * (depth <= 8 ? sizeof(uint8_t) : sizeof(uint16_t)));
av_log(NULL, AV_LOG_ERROR, "s->planewidth[%d]: %d, s->filler[%d]: %p\n", p, s->planewidth[p], p, s->filler[p]);
}
s->shifts = av_malloc(s->planeheight[0]);
av_log(NULL, AV_LOG_ERROR, "s->planeheight[0]: %d, s->shifts: %p\n", s->planeheight[0], s->shifts);
////////////////
static void recoverlineshifts(LineShiftContext *s, AVFrame *frame)
{
uint8_t *data = frame->data[0];
int16_t lz = frame->linesize[0];
int width = s->planewidth[0];
int height = s->planeheight[0];
int increment = s->lines >= 0 ? 1 : -1; // if negative, run upwards
uint8_t *temp = (uint8_t *)s->filler[0];
int *shifts = s->shifts;
memset(shifts, 0, height);
for (int y = s->start, shift_old = 0; y != s->start + s->lines; y += increment) {
shifts[y] = calculate_shift(s, data + (y - increment) * lz, shift_old, width, data + y * lz);
av_log(NULL, AV_LOG_ERROR, "temp: %p, line: %p, lineref: %p, lz: %d, y: %d, yref: %d, shifts: %p, shifts[y]: %d\n",
temp, data + y * lz, data + (y - increment) * lz, lz, y, y - increment, shifts, shifts[y]);
av_log(NULL, AV_LOG_ERROR, "temp++: %p, line++: %p, width: %d\n",
temp + FFMAX(0, -shifts[y]), data + y * lz + FFMAX(0, shifts[y]), width - abs(shifts[y]));
av_log(NULL, AV_LOG_ERROR, "shifts: %p, y: %d, shifts[y]: %d, -shifts[y]: %d, FFMAX(0, -shifts[y]): %d\n",
shifts, y, shifts[y], -shifts[y], FFMAX(0, -shifts[y]));
memcpy(temp + FFMAX(0, -shifts[y]), data + y * lz + FFMAX(0, shifts[y]), width - abs(shifts[y]));
av_log(NULL, AV_LOG_ERROR, "shifts: %p, y: %d, shifts[y]: %d, -shifts[y]: %d, FFMAX(0, -shifts[y]): %d\n",
shifts, y, shifts[y], -shifts[y], FFMAX(0, -shifts[y]));
////////////
}
}
////////////////
for (int p = 0; p < s->nb_planes; p++)
av_freep(&s->filler[p]);
av_freep(&s->shifts);
结果:
s->planewidth[0]: 704, s->filler[0]: 0x55f36e025940
s->planewidth[1]: 352, s->filler[1]: 0x55f36e025c80
s->planewidth[2]: 352, s->filler[2]: 0x55f36e024a80
s->planeheight[0]: 576, s->shifts: 0x55f36e0251c0
temp: 0x55f36e025940, line: 0x7f8f0e06aa40, lineref: 0x7f8f0e06a780, lz: 704, y: 568, yref: 567, shifts: 0x55f36e0251c0, shifts[y]: -12
temp++: 0x55f36e02594c, line++: 0x7f8f0e06aa40, width: 692
shifts: 0x55f36e0251c0, y: 568, shifts[y]: -12, -shifts[y]: 12, FFMAX(0, -shifts[y]): 12
shifts: 0x55f36e0251c0, y: 568, shifts[y]: 134678279, -shifts[y]: -134678279, FFMAX(0, -shifts[y]): 0
预期(最后一行):
shifts: 0x55f36e0251c0, y: 568, shifts[y]: -12, -shifts[y]: 12, FFMAX(0, -shifts[y]): 12
稍后在for 循环中我有:
av_log(NULL, AV_LOG_ERROR, "temp : %p, lineref: %p, width: %d\n", temp, data + (y - increment) * lz, FFMAX(0, -shifts[y]));
memcpy(temp, data + (y - increment) * lz,
FFMAX(0, -shifts[y])); // fill left gap from reference line
av_log(NULL, AV_LOG_ERROR, "temp++: %p, lineref++: %p, width: %d\n", temp + width - FFMAX(0, shifts[y]), data + (y - increment) * lz + width - FFMAX(0, shifts[y]), FFMAX(0, shifts[y]));
memcpy(temp + width - FFMAX(0, shifts[y]), data + (y - increment) * lz + width - FFMAX(0, shifts[y]),
FFMAX(0, shifts[y])); // fill right gap from reference line
av_log(NULL, AV_LOG_ERROR, "line: %p, temp: %p, width: %d\n", data + y * lz, temp, width);
memcpy(data + y * lz, temp, width);
连指针都超出范围的地方:
temp : 0x55f36e025940, lineref: 0x7f8f0e06a780, width: 0
temp++: 0x55f365fb54f9, lineref++: 0x7f8f05ffa339, width: 134678279
...最终导致内存访问错误。
【问题讨论】:
-
s->filler[p]如果p大于3,或者在FFMAX(0, -shifts[y])中相同,你就有问题了。我怀疑其中一个地方就是你的问题所在。 (除此之外,您可以放心,鉴于 "memcpy() 更改了不应触及的内存" 的命题——这不是memcpy的错误......) -
s->nb_planes设置在哪里? -
@DavidC.Rankin
s->nb_planes在读取图像文件时从 FFmpeg 程序中设置。在我的情况下,它设置为3,在我的代码中我只使用平面 0。 -
我没有认真研究过你的程序,所以我不知道,但请确保你没有使用 memcpy 来处理重叠范围。如果您的范围重叠,则需要改用 memmove。 memcpy 针对高速进行了优化,不做任何检查。
-
你确定当你是
av_mallocing 和memsetingshifts时不应该是planeheight[0] * sizeof(int)?