做 Linux 開(kāi)發(fā)或運(yùn)維的朋友，大概率都踩過(guò)內(nèi)存問(wèn)題的坑：明明代碼邏輯看著沒(méi)問(wèn)題，系統(tǒng)卻時(shí)不時(shí)崩潰；日志里只飄著 “Segmentation fault”，排查半天找不到具體位置；甚至遇到隱性越界，數(shù)據(jù)悄悄被篡改卻毫無(wú)征兆 —— 這些 “幽靈般” 的內(nèi)存錯(cuò)誤，不僅拖慢開(kāi)發(fā)進(jìn)度，還可能埋下線上故障隱患。

你或許試過(guò)用 GDB 斷點(diǎn)調(diào)試，卻卡在復(fù)雜調(diào)用棧里繞不出來(lái)；也可能用 Valgrind 檢測(cè)，卻受限于性能無(wú)法在生產(chǎn)環(huán)境使用。其實(shí) Linux 內(nèi)核早就自帶一款 “內(nèi)存?zhèn)商健薄狵asan，能精準(zhǔn)揪出越界訪問(wèn)、使用已釋放內(nèi)存、內(nèi)存泄漏等常見(jiàn)問(wèn)題，甚至能定位到具體代碼行。但不少人對(duì) Kasan 停留在 “聽(tīng)說(shuō)過(guò)” 的階段：不知道怎么開(kāi)啟內(nèi)核配置，不清楚如何解讀檢測(cè)日志，更不了解實(shí)戰(zhàn)中如何結(jié)合場(chǎng)景使用。接下來(lái)這篇內(nèi)容，就從基礎(chǔ)配置講起，帶著你一步步實(shí)操 Kasan，教你用它快速定位內(nèi)存 bug，徹底擺脫 “內(nèi)存難題排查難” 的困境。

一、Linux 內(nèi)存管理回顧

在深入探討 Kasan 工具之前，先來(lái)了解一下 Linux 內(nèi)存管理的基本概念。想象一下，你的 Linux 系統(tǒng)就像是一個(gè)繁忙的大倉(cāng)庫(kù)，而內(nèi)存則是這個(gè)倉(cāng)庫(kù)中的存儲(chǔ)空間，各個(gè)進(jìn)程就如同在倉(cāng)庫(kù)中存放貨物的客戶(hù)。Linux 內(nèi)存管理的職責(zé)，便是高效地分配這些存儲(chǔ)空間，確保每個(gè)進(jìn)程都能獲得所需的內(nèi)存，同時(shí)避免內(nèi)存浪費(fèi)和沖突。

1.1Linux內(nèi)存管理概述

Linux 內(nèi)存管理采用了虛擬內(nèi)存技術(shù)，為每個(gè)進(jìn)程提供了獨(dú)立的地址空間。這就好比每個(gè)客戶(hù)都有自己獨(dú)立的存儲(chǔ)區(qū)域，互不干擾。在實(shí)際分配內(nèi)存時(shí)，Linux 使用了伙伴系統(tǒng)（Buddy System）和 Slab 分配器等機(jī)制?；锇橄到y(tǒng)主要負(fù)責(zé)大塊內(nèi)存的分配，它將內(nèi)存劃分為不同大小的塊，并且這些塊總是 2 的冪次大小，當(dāng)請(qǐng)求分配內(nèi)存時(shí)，伙伴系統(tǒng)會(huì)查找與請(qǐng)求大小最匹配的塊，并且如果需要，可以將較大的塊分割成兩個(gè)較小的塊；

當(dāng)內(nèi)存被釋放時(shí)，伙伴系統(tǒng)會(huì)檢查相鄰的伙伴塊是否也空閑，如果是的話則合并成一個(gè)較大的塊 ，這種方式能夠有效減少內(nèi)存碎片。而 Slab 分配器則專(zhuān)注于小塊內(nèi)存的分配，它針對(duì)內(nèi)核中頻繁使用的小對(duì)象（如進(jìn)程描述符、文件描述符等）進(jìn)行優(yōu)化，通過(guò)緩存這些小對(duì)象，提高了內(nèi)存分配的效率。

內(nèi)存管理對(duì) Linux 系統(tǒng)的穩(wěn)定和性能至關(guān)重要。如果內(nèi)存分配不合理，可能導(dǎo)致系統(tǒng)出現(xiàn)內(nèi)存泄漏，就像倉(cāng)庫(kù)中某些貨物存放混亂，找不到主人也無(wú)法清理，隨著時(shí)間的推移，可用內(nèi)存越來(lái)越少，最終導(dǎo)致系統(tǒng)運(yùn)行緩慢甚至崩潰；內(nèi)存碎片化問(wèn)題也不容忽視，這就好比倉(cāng)庫(kù)中的空間被零散地分割，雖然總的空間足夠，但卻無(wú)法存放大型貨物，使得系統(tǒng)在分配大塊內(nèi)存時(shí)變得困難重重。

1.2常見(jiàn)內(nèi)存問(wèn)題

在 Linux 系統(tǒng)中，內(nèi)存問(wèn)題可謂是 “隱藏的殺手”，它們常常在不經(jīng)意間給系統(tǒng)帶來(lái)各種麻煩。下面就來(lái)看看一些常見(jiàn)的內(nèi)存問(wèn)題及其危害。

①越界訪問(wèn)：內(nèi)存越界訪問(wèn)就像是在沒(méi)有交通規(guī)則的道路上 “越界駕駛”。當(dāng)程序訪問(wèn)了不屬于它的內(nèi)存區(qū)域時(shí)，就發(fā)生了內(nèi)存越界。這種情況通常發(fā)生在數(shù)組操作中，比如訪問(wèn)數(shù)組時(shí)使用了超出數(shù)組大小的索引。例如，定義一個(gè)數(shù)組int array[10];，正常情況下，數(shù)組的索引范圍是從 0 到 9，如果程序中不小心寫(xiě)成了array[10] = 100;，這就訪問(wèn)了數(shù)組邊界之外的內(nèi)存，如同汽車(chē)駛出了規(guī)定的車(chē)道，進(jìn)入了未知區(qū)域 。內(nèi)存越界訪問(wèn)的危害極大。

它可能導(dǎo)致程序修改了其他重要數(shù)據(jù)，就像一輛失控的汽車(chē)撞到了路邊的重要設(shè)施，使得系統(tǒng)出現(xiàn)莫名其妙的錯(cuò)誤，而且這種錯(cuò)誤很難調(diào)試，因?yàn)殄e(cuò)誤發(fā)生的位置可能與實(shí)際問(wèn)題代碼相距甚遠(yuǎn)，就像事故現(xiàn)場(chǎng)和肇事車(chē)輛起始點(diǎn)相隔很遠(yuǎn)，增加了排查問(wèn)題的難度。嚴(yán)重時(shí)，內(nèi)存越界訪問(wèn)會(huì)直接導(dǎo)致系統(tǒng)崩潰，使正在運(yùn)行的服務(wù)中斷，造成不可估量的損失。

#include <stdio.h>
#include <string.h>

void demonstrate_memory_corruption() {
    int array[10] = {0};
    int important_data = 100;

    printf("=== 內(nèi)存越界訪問(wèn)示例 ===\n");
    printf("初始狀態(tài):\n");
    printf("  important_data = %d\n", important_data);

    // 模擬正常訪問(wèn)
    printf("\n正常訪問(wèn) array[5] = 10:\n");
    array[5] = 10;
    printf("  array[5] = %d\n", array[5]);
    printf("  important_data = %d (未受影響)\n", important_data);

    // 模擬越界訪問(wèn) - 這會(huì)覆蓋 important_data
    printf("\n  越界訪問(wèn) array[10] = 200:\n");
    array[10] = 200;  // 這里發(fā)生了越界！
    printf("  array[10] = %d (看似成功)\n", array[10]);
    printf("  important_data = %d (被意外修改！)\n", important_data);

    // 更嚴(yán)重的越界
    printf("\n 嚴(yán)重越界訪問(wèn) array[20] = 999:\n");
    array[20] = 999;  // 這里訪問(wèn)了更遠(yuǎn)的內(nèi)存
    printf("  可能導(dǎo)致程序崩潰或不可預(yù)測(cè)的行為...\n");
}

void demonstrate_array_overflow() {
    char buffer[16];
    char user_input[] = "This is a very long input that will overflow the buffer";

    printf("\n=== 緩沖區(qū)溢出示例 ===\n");
    printf("緩沖區(qū)大小: 16 字節(jié)\n");
    printf("輸入大小: %zu 字節(jié)\n", strlen(user_input));

    printf("\n嘗試復(fù)制輸入到緩沖區(qū)...\n");
    strcpy(buffer, user_input);  // 危險(xiǎn)！沒(méi)有檢查邊界

    printf("緩沖區(qū)內(nèi)容: %s\n", buffer);
    printf("注意: 內(nèi)存已經(jīng)被破壞，但程序可能仍然運(yùn)行\(zhòng)n");
}

int main() {
    demonstrate_memory_corruption();
    demonstrate_array_overflow();

    return 0;
}

②使用已釋放內(nèi)存：使用已釋放的內(nèi)存，就好比拿著一張過(guò)期作廢的車(chē)票試圖再次乘車(chē)。當(dāng)程序釋放了一塊內(nèi)存后，這塊內(nèi)存就應(yīng)該被視為 “公共資源”，不再屬于原來(lái)的程序。然而，如果程序在釋放內(nèi)存后，又繼續(xù)訪問(wèn)這塊內(nèi)存，就會(huì)出現(xiàn)使用已釋放內(nèi)存的問(wèn)題。

例如，使用malloc分配內(nèi)存后，用free釋放了它，但后續(xù)代碼中又不小心使用了指向這塊已釋放內(nèi)存的指針 。這種錯(cuò)誤同樣會(huì)引發(fā)嚴(yán)重后果。由于已釋放的內(nèi)存可能被操作系統(tǒng)重新分配給其他程序使用，訪問(wèn)已釋放內(nèi)存可能導(dǎo)致讀取到錯(cuò)誤的數(shù)據(jù)，或者修改了其他程序正在使用的內(nèi)存，就像用過(guò)期車(chē)票乘車(chē)，可能會(huì)誤占他人座位，引發(fā)一系列混亂。這會(huì)導(dǎo)致程序出現(xiàn)不可預(yù)測(cè)的行為，從數(shù)據(jù)錯(cuò)誤到程序崩潰，嚴(yán)重影響系統(tǒng)的穩(wěn)定性。

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

void demonstrate_use_after_free() {
    printf("=== 使用已釋放內(nèi)存示例 ===\n");
    printf("就像拿著過(guò)期車(chē)票試圖再次乘車(chē)\n\n");

    // 分配內(nèi)存（購(gòu)買(mǎi)車(chē)票）
    int *ticket = (int *)malloc(sizeof(int));
    *ticket = 2025; // 車(chē)票有效期

    printf("1. 分配內(nèi)存 (購(gòu)買(mǎi)車(chē)票):\n");
    printf("   內(nèi)存地址: %p\n", ticket);
    printf("   車(chē)票有效期: %d\n\n", *ticket);

    // 釋放內(nèi)存（車(chē)票過(guò)期）
    free(ticket);
    printf("2. 釋放內(nèi)存 (車(chē)票過(guò)期作廢):\n");
    printf("   內(nèi)存已歸還給系統(tǒng)\n\n");

    // 錯(cuò)誤：使用已釋放的內(nèi)存（使用過(guò)期車(chē)票）
    printf("3.   錯(cuò)誤：嘗試使用已釋放的內(nèi)存 (使用過(guò)期車(chē)票):\n");
    printf("   訪問(wèn)已釋放內(nèi)存的地址: %p\n", ticket);

    // 這是危險(xiǎn)的操作！結(jié)果不可預(yù)測(cè)
    printf("   內(nèi)存中的垃圾值: %d (可能是隨機(jī)數(shù)據(jù))\n\n", *ticket);

    // 分配新內(nèi)存，可能會(huì)覆蓋之前釋放的內(nèi)存
    int *new_ticket = (int *)malloc(sizeof(int));
    *new_ticket = 2026;

    printf("4. 系統(tǒng)分配新內(nèi)存 (新乘客購(gòu)票):\n");
    printf("   新內(nèi)存地址: %p\n", new_ticket);
    printf("   新車(chē)票有效期: %d\n\n", *new_ticket);

    // 現(xiàn)在訪問(wèn)原來(lái)的指針可能會(huì)看到新的數(shù)據(jù)
    printf("5.   訪問(wèn)原指針現(xiàn)在可能指向新數(shù)據(jù):\n");
    printf("   原指針地址: %p\n", ticket);
    printf("   原指針現(xiàn)在的值: %d (可能是新數(shù)據(jù))\n", *ticket);

    free(new_ticket);
}

void demonstrate_dangling_pointer() {
    printf("\n=== 懸空指針示例 ===\n");

    char *username = (char *)malloc(20);
    strcpy(username, "Alice");

    printf("1. 分配字符串內(nèi)存:\n");
    printf("   用戶(hù)名: %s\n", username);

    free(username);
    printf("2. 釋放內(nèi)存后:\n");

    // 懸空指針：指向已釋放內(nèi)存的指針
    printf("   懸空指針仍然指向: %p\n", username);

    // 危險(xiǎn)：指針仍然存在，但指向的內(nèi)存已無(wú)效
    printf("   嘗試訪問(wèn): %s (可能顯示垃圾數(shù)據(jù))\n", username);

    // 正確做法：釋放后將指針置為NULL
    username = NULL;
    printf("3. 正確做法：釋放后將指針置為NULL:\n");
    printf("   指針現(xiàn)在: %p\n", username);

    // 現(xiàn)在訪問(wèn)會(huì)導(dǎo)致明顯的錯(cuò)誤，而不是隱藏的問(wèn)題
    // if (username != NULL) {
    //     printf("   安全訪問(wèn): %s\n", username);
    // }
}

int main() {
    demonstrate_use_after_free();
    demonstrate_dangling_pointer();

    return 0;
}

③內(nèi)存泄漏：內(nèi)存泄漏則像是一個(gè)看不見(jiàn)的漏洞，讓內(nèi)存資源無(wú)聲無(wú)息地流失。當(dāng)程序動(dòng)態(tài)分配了內(nèi)存，卻在不再需要時(shí)沒(méi)有釋放這些內(nèi)存，就會(huì)發(fā)生內(nèi)存泄漏。比如在 C 語(yǔ)言中，使用malloc分配了內(nèi)存，但沒(méi)有相應(yīng)的free操作；在 C++ 中，使用new分配內(nèi)存后，沒(méi)有使用delete釋放 。隨著內(nèi)存泄漏的不斷積累，系統(tǒng)的可用內(nèi)存會(huì)越來(lái)越少，就像一個(gè)水池，不斷有水流入，但排水口卻被堵住，水池里的水越來(lái)越少，無(wú)法滿(mǎn)足后續(xù)的需求。

這會(huì)導(dǎo)致系統(tǒng)性能逐漸下降，程序運(yùn)行變得緩慢，因?yàn)橄到y(tǒng)需要不斷地進(jìn)行內(nèi)存交換操作，從磁盤(pán)中讀取數(shù)據(jù)來(lái)補(bǔ)充內(nèi)存的不足。最終，當(dāng)內(nèi)存被耗盡時(shí)，程序可能會(huì)崩潰，服務(wù)中斷，給用戶(hù)帶來(lái)極差的體驗(yàn)，對(duì)于一些關(guān)鍵業(yè)務(wù)系統(tǒng)，甚至可能造成巨大的經(jīng)濟(jì)損失。

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

// 模擬內(nèi)存泄漏的函數(shù)
void leak_memory(int count) {
    printf("=== 內(nèi)存泄漏示例 ===\n");
    printf("就像一個(gè)看不見(jiàn)不見(jiàn)的漏洞，讓內(nèi)存資源無(wú)聲無(wú)息地流失\n\n");

    for (int i = 0; i < count; i++) {
        // 分配內(nèi)存但不釋放 - 內(nèi)存泄漏發(fā)生
        char *data = (char *)malloc(1024 * 1024); // 每次分配1MB

        if (data != NULL) {
            // 寫(xiě)入一些數(shù)據(jù)
            memset(data, 0xAA, 1024 * 1024);

            // 模擬一些處理...
            // 但忘記釋放內(nèi)存！

            printf("泄漏第 %d 次: 分配了 1MB 內(nèi)存\n", i + 1);
        } else {
            printf("內(nèi)存分配失??！系統(tǒng)可能已經(jīng)耗盡內(nèi)存\n");
            break;
        }
    }

    printf("\n  警告：已經(jīng)泄漏了 %d MB 內(nèi)存，并且沒(méi)有釋放！\n", count);
    printf("這些內(nèi)存將一直被占用，直到程序結(jié)束\n");
}

// 正確的內(nèi)存管理示例
void proper_memory_management(int count) {
    printf("\n=== 正確的內(nèi)存管理 ===\n");

    for (int i = 0; i < count; i++) {
        char *data = (char *)malloc(1024 * 1024);

        if (data != NULL) {
            // 使用內(nèi)存
            memset(data, 0xBB, 1024 * 1024);

            // 重要：使用完后釋放內(nèi)存
            free(data);

            printf("正確處理第 %d 次: 分配并釋放了 1MB 內(nèi)存\n", i + 1);
        } else {
            printf("內(nèi)存分配失?。n");
            break;
        }
    }

    printf("\n 正確：所有分配的內(nèi)存都已釋放\n");
}

// 更復(fù)雜的內(nèi)存泄漏場(chǎng)景
void complex_memory_leak() {
    printf("\n=== 復(fù)雜的內(nèi)存泄漏場(chǎng)景 ===\n");

    // 模擬一個(gè)函數(shù)，在某些條件下忘記釋放內(nèi)存
    for (int i = 0; i < 5; i++) {
        int *numbers = (int *)malloc(100 * sizeof(int));

        if (numbers != NULL) {
            // 初始化數(shù)據(jù)
            for (int j = 0; j < 100; j++) {
                numbers[j] = j;
            }

            // 模擬條件判斷，某些情況下忘記釋放
            if (i % 2 == 0) {
                // 偶數(shù)次不釋放 - 內(nèi)存泄漏
                printf("條件成立，忘記釋放內(nèi)存 (泄漏)\n");
            } else {
                // 奇數(shù)次釋放
                free(numbers);
                printf("條件不成立，正確釋放內(nèi)存\n");
            }
        }
    }

    printf("\n  這個(gè)函數(shù)泄漏了部分內(nèi)存\n");
}

int main() {
    // 演示內(nèi)存泄漏
    leak_memory(5); // 泄漏5MB內(nèi)存

    // 演示正確的內(nèi)存管理
    proper_memory_management(5);

    // 演示復(fù)雜的內(nèi)存泄漏場(chǎng)景
    complex_memory_leak();

    printf("\n=== 內(nèi)存泄漏的危害 ===\n");
    printf("1. 系統(tǒng)可用內(nèi)存逐漸減少\n");
    printf("2. 程序運(yùn)行越來(lái)越慢\n");
    printf("3. 可能導(dǎo)致系統(tǒng)崩潰\n");
    printf("4. 影響其他程序的正常運(yùn)行\(zhòng)n");

    return 0;
}

二、認(rèn)識(shí) Kasan 這位 “內(nèi)存?zhèn)商健?/span>

面對(duì)這些棘手的內(nèi)存問(wèn)題，有沒(méi)有一種有效的工具能夠幫助我們快速定位和解決問(wèn)題呢？答案就是 Kasan。

2.1 Kasan 是什么？

在探尋如何有效檢測(cè)內(nèi)存錯(cuò)誤的道路上，Kasan （全稱(chēng)為 Kernel Address Sanitizer）工具應(yīng)運(yùn)而生，它的出現(xiàn)為內(nèi)存錯(cuò)誤檢測(cè)領(lǐng)域帶來(lái)了新的曙光 。Kasan，全稱(chēng)為 Kernel Address Sanitizer，即內(nèi)核地址清理器，它是 AddressSanitizer 針對(duì) Linux 內(nèi)核的一個(gè)分支，最初由 Google 的工程師開(kāi)發(fā)，目的就是專(zhuān)門(mén)用于檢測(cè) Linux 內(nèi)核中的內(nèi)存錯(cuò)誤。

AddressSanitizer 是一個(gè)廣泛應(yīng)用于用戶(hù)空間程序內(nèi)存錯(cuò)誤檢測(cè)的工具，憑借在檢測(cè)堆緩沖區(qū)溢出、棧緩沖區(qū)溢出、使用已釋放內(nèi)存等方面的出色表現(xiàn)，深受開(kāi)發(fā)者喜愛(ài)。而 Kasan 則是借鑒了 AddressSanitizer 的設(shè)計(jì)思想和關(guān)鍵技術(shù)，將其應(yīng)用場(chǎng)景拓展到了 Linux 內(nèi)核領(lǐng)域。

Kasan 的發(fā)展歷程與 Linux 內(nèi)核的發(fā)展緊密相連。在早期的 Linux 內(nèi)核開(kāi)發(fā)中，內(nèi)存錯(cuò)誤的檢測(cè)和調(diào)試主要依賴(lài)于一些簡(jiǎn)單的工具和開(kāi)發(fā)者的經(jīng)驗(yàn)。隨著 Linux 內(nèi)核的不斷發(fā)展壯大，功能日益豐富，代碼量也急劇增加，傳統(tǒng)的內(nèi)存錯(cuò)誤檢測(cè)方法越來(lái)越難以滿(mǎn)足需求。那些隱藏在復(fù)雜內(nèi)核代碼深處的內(nèi)存錯(cuò)誤，就像潛藏在黑暗中的 “暗流”，難以被發(fā)現(xiàn)和處理，給系統(tǒng)的穩(wěn)定性和安全性帶來(lái)了極大的威脅。

Kasan 的出現(xiàn)，成功地填補(bǔ)了這一空白。自它被引入 Linux 內(nèi)核以來(lái)，就迅速成為內(nèi)核開(kāi)發(fā)者不可或缺的得力助手。它在 Linux 內(nèi)核版本演進(jìn)中不斷優(yōu)化和完善，功能也越來(lái)越強(qiáng)大。如今，Kasan 已經(jīng)成為 Linux 內(nèi)核開(kāi)發(fā)和維護(hù)過(guò)程中檢測(cè)內(nèi)存錯(cuò)誤的標(biāo)準(zhǔn)工具之一，為保障 Linux 系統(tǒng)的穩(wěn)定運(yùn)行發(fā)揮著重要作用。就像在 Linux 內(nèi)核這片廣闊的 “戰(zhàn)場(chǎng)” 上，Kasan 就是那把鋒利的 “寶劍”，幫助開(kāi)發(fā)者披荊斬棘，戰(zhàn)勝內(nèi)存錯(cuò)誤帶來(lái)的種種挑戰(zhàn)。

2.2 Kasan 工作原理與機(jī)制

Kasan 利用了一種巧妙的 “影子內(nèi)存”（shadow memory）技術(shù)來(lái)實(shí)現(xiàn)內(nèi)存錯(cuò)誤檢測(cè)。簡(jiǎn)單來(lái)說(shuō)，影子內(nèi)存是一塊與實(shí)際內(nèi)存相對(duì)應(yīng)的額外內(nèi)存區(qū)域，它就像是實(shí)際內(nèi)存的 “影子”，如影隨形。Kasan 為每 8 字節(jié)的實(shí)際內(nèi)存分配 1 字節(jié)的影子內(nèi)存 ，通過(guò)影子內(nèi)存中的標(biāo)記來(lái)記錄對(duì)應(yīng)實(shí)際內(nèi)存區(qū)域的訪問(wèn)權(quán)限和狀態(tài)。例如，當(dāng)一段內(nèi)存被分配且未被釋放時(shí)，其對(duì)應(yīng)的影子內(nèi)存標(biāo)記為可訪問(wèn)狀態(tài)；當(dāng)內(nèi)存被釋放后，影子內(nèi)存會(huì)被標(biāo)記為不可訪問(wèn)狀態(tài)。

當(dāng)程序嘗試訪問(wèn)內(nèi)存時(shí)，Kasan 會(huì)檢查對(duì)應(yīng)的影子內(nèi)存標(biāo)記。如果影子內(nèi)存標(biāo)記表明該訪問(wèn)是合法的，程序可以正常訪問(wèn)內(nèi)存；如果影子內(nèi)存標(biāo)記顯示該訪問(wèn)不合法，比如訪問(wèn)了已釋放內(nèi)存或越界訪問(wèn)，Kasan 就會(huì)立即捕獲到這個(gè)錯(cuò)誤，并輸出詳細(xì)的錯(cuò)誤信息，包括出錯(cuò)的地址、訪問(wèn)的大小以及相關(guān)的調(diào)用棧信息，就像偵探在犯罪現(xiàn)場(chǎng)收集線索一樣，幫助開(kāi)發(fā)者快速定位到問(wèn)題代碼所在。

（1）影子內(nèi)存：核心奧秘

Kasan 能夠高效檢測(cè)內(nèi)存錯(cuò)誤，其核心奧秘在于 “影子內(nèi)存”。簡(jiǎn)單來(lái)說(shuō)，影子內(nèi)存就像是實(shí)際內(nèi)存的 “孿生兄弟”，Kasan 會(huì)為每一塊實(shí)際使用的內(nèi)存分配一塊與之對(duì)應(yīng)的影子內(nèi)存區(qū)域，二者大小相同 。影子內(nèi)存的主要任務(wù)是存儲(chǔ)對(duì)應(yīng)實(shí)際內(nèi)存區(qū)域的狀態(tài)信息，這些信息就像是內(nèi)存的 “健康檔案”，詳細(xì)記錄著內(nèi)存的各種情況。

在實(shí)際運(yùn)行中，影子內(nèi)存通過(guò)特殊的編碼方式來(lái)標(biāo)記內(nèi)存的狀態(tài)。例如，當(dāng)影子內(nèi)存中的某個(gè)位置的值為 0 時(shí)，就表示對(duì)應(yīng)的實(shí)際內(nèi)存區(qū)域是完全可以正常訪問(wèn)的，就像一個(gè)暢通無(wú)阻的道路，程序可以自由地讀取和寫(xiě)入數(shù)據(jù)；而當(dāng)影子內(nèi)存的值為負(fù)數(shù)時(shí)，則代表對(duì)應(yīng)的內(nèi)存區(qū)域存在問(wèn)題，比如可能是已經(jīng)被釋放的內(nèi)存，或者是越界訪問(wèn)的區(qū)域，這就好比道路上設(shè)置了 “禁止通行” 的標(biāo)志，程序如果試圖訪問(wèn)，Kasan 就能立刻察覺(jué)并發(fā)出警報(bào)。

以一個(gè)簡(jiǎn)單的數(shù)組訪問(wèn)為例，假設(shè)我們定義了一個(gè)包含 10 個(gè)元素的整數(shù)數(shù)組int arr[10];，系統(tǒng)會(huì)為這個(gè)數(shù)組分配一塊連續(xù)的內(nèi)存空間來(lái)存儲(chǔ)這 10 個(gè)整數(shù)。與此同時(shí)，Kasan 會(huì)為這塊內(nèi)存分配對(duì)應(yīng)的影子內(nèi)存。當(dāng)程序執(zhí)行arr[5] = 10;這樣的操作時(shí)，Kasan 會(huì)先檢查影子內(nèi)存中對(duì)應(yīng)arr[5]的位置，確認(rèn)該位置標(biāo)記為可訪問(wèn)狀態(tài)（通常為 0），才會(huì)允許這次賦值操作順利進(jìn)行。但如果程序中出現(xiàn)了arr[15] = 20;這樣的越界訪問(wèn)，Kasan 檢查影子內(nèi)存時(shí)，會(huì)發(fā)現(xiàn)對(duì)應(yīng)arr[15]的位置標(biāo)記并非可訪問(wèn)狀態(tài)，于是馬上判定這是一次非法訪問(wèn)，并及時(shí)報(bào)告錯(cuò)誤，就像一個(gè)嚴(yán)格的交通警察，絕不允許任何違規(guī)的 “內(nèi)存通行” 行為。

C 語(yǔ)言代碼示例如下：

#include <stdio.h>
#include <stdlib.h>

// 簡(jiǎn)單模擬 Kasan 的影子內(nèi)存檢查
#define ARRAY_SIZE 10

// 模擬影子內(nèi)存 (每個(gè)字節(jié)對(duì)應(yīng) 8 個(gè)字節(jié)的應(yīng)用內(nèi)存)
unsigned char shadow_memory[ARRAY_SIZE / 8 + 1] = {0};

// 初始化影子內(nèi)存
void init_shadow() {
    // 標(biāo)記前 10 個(gè)整數(shù)（40 字節(jié)）為可訪問(wèn)
    for (int i = 0; i < 5; i++) {
        shadow_memory[i] = 0x00;  // 0 表示可訪問(wèn)
    }
    // 標(biāo)記其余部分為不可訪問(wèn)
    for (int i = 5; i < sizeof(shadow_memory); i++) {
        shadow_memory[i] = 0xff;  // 非 0 表示不可訪問(wèn)
    }
}

// 檢查內(nèi)存訪問(wèn)是否合法
int check_memory_access(void *ptr, size_t size) {
    size_t addr = (size_t)ptr;
    size_t base = (size_t)malloc(ARRAY_SIZE * sizeof(int));
    size_t offset = addr - base;

    // 計(jì)算影子內(nèi)存索引和位
    size_t shadow_index = offset / 8;
    size_t shadow_bit = offset % 8;

    // 檢查影子內(nèi)存
    if (shadow_index >= sizeof(shadow_memory)) {
        return 0;  // 越界
    }

    // 檢查對(duì)應(yīng)位是否為 0
    if ((shadow_memory[shadow_index] & (1 << shadow_bit)) != 0) {
        return 0;  // 不可訪問(wèn)
    }

    return 1;  // 合法訪問(wèn)
}

int main() {
    int *arr = (int *)malloc(ARRAY_SIZE * sizeof(int));
    init_shadow();

    printf("=== Kasan 內(nèi)存檢查示例 ===\n");

    // 合法訪問(wèn)
    printf("嘗試訪問(wèn) arr[5] = 10: ");
    if (check_memory_access(&arr[5], sizeof(int))) {
        arr[5] = 10;
        printf("訪問(wèn)成功\n");
    } else {
        printf("非法訪問(wèn)！\n");
    }

    // 越界訪問(wèn)
    printf("嘗試訪問(wèn) arr[15] = 20: ");
    if (check_memory_access(&arr[15], sizeof(int))) {
        arr[15] = 20;
        printf(" 訪問(wèn)成功\n");
    } else {
        printf(" 非法訪問(wèn)！\n");
    }

    free(arr);
    return 0;
}

• 影子內(nèi)存初始化：為數(shù)組分配對(duì)應(yīng)的影子內(nèi)存，并標(biāo)記可訪問(wèn)區(qū)域
• 內(nèi)存訪問(wèn)檢查：在每次內(nèi)存訪問(wèn)前檢查影子內(nèi)存
• 越界檢測(cè)：對(duì)于越界訪問(wèn)能夠及時(shí)發(fā)現(xiàn)并報(bào)告

編譯運(yùn)行后，你會(huì)看到：

=== Kasan 內(nèi)存檢查示例 ===
嘗試訪問(wèn) arr[5] = 10: 訪問(wèn)成功
嘗試訪問(wèn) arr[15] = 20: 非法訪問(wèn)！

這就是 Kasan 如何像交通警察一樣監(jiān)控內(nèi)存訪問(wèn)，防止越界等內(nèi)存錯(cuò)誤。

（2）編譯時(shí)插樁：關(guān)鍵環(huán)節(jié)

除了影子內(nèi)存這一核心技術(shù)，Kasan 還有一個(gè)關(guān)鍵的工作環(huán)節(jié)，那就是編譯時(shí)插樁。在 Linux 內(nèi)核編譯的過(guò)程中，Kasan 會(huì)巧妙地插入一些額外的檢查代碼，這些代碼就像是隱藏在程序中的 “小哨兵”，時(shí)刻監(jiān)視著內(nèi)存的訪問(wèn)情況。

這些檢查代碼會(huì)在內(nèi)存訪問(wèn)指令之前被插入，比如在進(jìn)行內(nèi)存讀?。╨oad）或者寫(xiě)入（store）操作前，檢查代碼會(huì)先執(zhí)行。它的主要職責(zé)是查詢(xún)影子內(nèi)存中對(duì)應(yīng)位置的狀態(tài)信息，以此來(lái)判斷即將進(jìn)行的內(nèi)存訪問(wèn)是否合法。例如，當(dāng)程序執(zhí)行一條從內(nèi)存中讀取數(shù)據(jù)的指令時(shí)，編譯時(shí)插入的檢查代碼會(huì)迅速查詢(xún)影子內(nèi)存，確認(rèn)該內(nèi)存區(qū)域是否允許被讀取。如果影子內(nèi)存標(biāo)記該區(qū)域可訪問(wèn)，那么讀取指令才能正常執(zhí)行；反之，如果影子內(nèi)存標(biāo)記該區(qū)域不可訪問(wèn)，檢查代碼就會(huì)立即觸發(fā)錯(cuò)誤報(bào)告機(jī)制。

Kasan 還會(huì)接管內(nèi)存管理函數(shù)，比如常見(jiàn)的內(nèi)存分配函數(shù)malloc和內(nèi)存釋放函數(shù)free。當(dāng)程序調(diào)用malloc分配內(nèi)存時(shí)，Kasan 會(huì)在背后記錄下分配的內(nèi)存地址、大小等關(guān)鍵信息，并相應(yīng)地在影子內(nèi)存中做好標(biāo)記；當(dāng)調(diào)用free釋放內(nèi)存時(shí)，Kasan 同樣會(huì)更新影子內(nèi)存，將對(duì)應(yīng)內(nèi)存區(qū)域標(biāo)記為已釋放狀態(tài)，禁止再次訪問(wèn)。這就好比一個(gè)圖書(shū)館管理員，對(duì)每一本書(shū)的借出（內(nèi)存分配）和歸還（內(nèi)存釋放）都了如指掌，并做好記錄，防止出現(xiàn)混亂。

一旦 Kasan 檢測(cè)到內(nèi)存訪問(wèn)錯(cuò)誤，它會(huì)迅速生成詳細(xì)的錯(cuò)誤報(bào)告。報(bào)告中會(huì)包含錯(cuò)誤的類(lèi)型，比如是越界訪問(wèn)還是使用已釋放內(nèi)存；還會(huì)明確指出錯(cuò)誤發(fā)生的具體內(nèi)存地址，以及相關(guān)的調(diào)用棧信息，這些信息就像是一張?jiān)敿?xì)的 “錯(cuò)誤地圖”，能夠幫助開(kāi)發(fā)者快速定位到問(wèn)題代碼所在，準(zhǔn)確找出內(nèi)存錯(cuò)誤的根源，從而高效地進(jìn)行修復(fù)。

2.3 Kasan 集成配置

將 Kasan 集成到 Linux 內(nèi)核中，是充分發(fā)揮其內(nèi)存錯(cuò)誤檢測(cè)能力的關(guān)鍵一步 ，這一過(guò)程雖然需要開(kāi)發(fā)者投入一定的精力，但卻能為后續(xù)的開(kāi)發(fā)和調(diào)試工作帶來(lái)極大的便利。以 Linux 內(nèi)核 5.10 版本為例，我們來(lái)詳細(xì)了解一下具體的集成步驟。

首先，確保開(kāi)發(fā)環(huán)境中安裝了 Linux 內(nèi)核 5.10 的源代碼。你可以從官方的 Linux 內(nèi)核鏡像站點(diǎn)下載對(duì)應(yīng)的源代碼壓縮包，下載完成后，使用解壓命令將其解壓到指定的目錄，例如/usr/src/linux-5.10。

接著，進(jìn)入解壓后的內(nèi)核源代碼目錄，使用make menuconfig命令打開(kāi)內(nèi)核配置界面。這就像是打開(kāi)了一個(gè)龐大的 “功能超市”，在這里你可以對(duì)內(nèi)核的各種功能進(jìn)行選擇和配置。在配置界面中，通過(guò)方向鍵和回車(chē)鍵，依次找到 “Kernel hacking” -> “Memory Debugging” 選項(xiàng)，然后在其中找到 “KASAN: runtime memory debugger” 選項(xiàng)，按下空格鍵將其選中，使其前面的括號(hào)內(nèi)顯示為 “*”，這表示啟用 Kasan 功能。

對(duì)于一些追求極致性能和個(gè)性化配置的開(kāi)發(fā)者來(lái)說(shuō)，還可以進(jìn)一步深入配置。比如，在 “KASAN: runtime memory debugger” 的子選項(xiàng)中，有 “KASAN: inline instrumentation (EXPERIMENTAL)” 選項(xiàng)。這個(gè)選項(xiàng)涉及到 Kasan 的檢測(cè)模式，內(nèi)聯(lián)模式（inline instrumentation）會(huì)在編譯時(shí)將檢查代碼直接插入到內(nèi)存訪問(wèn)代碼中，檢測(cè)更加精細(xì)，但可能會(huì)對(duì)性能產(chǎn)生一定影響；而輪詢(xún)模式（outline instrumentation）則是在運(yùn)行時(shí)進(jìn)行檢查，對(duì)性能影響相對(duì)較小。你可以根據(jù)自己的需求和對(duì)性能的考量來(lái)選擇合適的模式。

完成所有配置后，按下 “Esc” 鍵退出配置界面，并保存配置。接下來(lái)，就可以開(kāi)始編譯內(nèi)核了。在終端中執(zhí)行make -j$(nproc)命令，其中-j$(nproc)參數(shù)表示使用系統(tǒng)的所有 CPU 核心進(jìn)行并行編譯，這樣可以大大加快編譯速度。編譯過(guò)程可能會(huì)持續(xù)一段時(shí)間，具體時(shí)長(zhǎng)取決于你的硬件性能和內(nèi)核代碼的復(fù)雜程度，在這個(gè)過(guò)程中，你可以耐心等待，或者去做一些其他的事情。

編譯完成后，還需要安裝編譯好的內(nèi)核模塊和內(nèi)核。依次執(zhí)行make modules_install和make install命令，這兩個(gè)命令會(huì)將編譯好的內(nèi)核模塊安裝到系統(tǒng)的對(duì)應(yīng)目錄中，并更新系統(tǒng)的啟動(dòng)配置，使新的內(nèi)核能夠在下次啟動(dòng)時(shí)生效。最后，重啟系統(tǒng)，在啟動(dòng)過(guò)程中，選擇新安裝的帶有 Kasan 功能的內(nèi)核，至此，Kasan 就成功集成到 Linux 內(nèi)核中了。

Kasan 提供了一系列豐富的配置參數(shù)，這些參數(shù)就像是調(diào)節(jié)工具性能的 “旋鈕”，通過(guò)合理調(diào)整它們，能夠讓 Kasan 在不同的應(yīng)用場(chǎng)景中發(fā)揮出最佳的檢測(cè)效果 。先來(lái)說(shuō)說(shuō)CONFIG_KASAN_RECORD這個(gè)參數(shù)，當(dāng)它被啟用時(shí)，Kasan 會(huì)記錄更多關(guān)于內(nèi)存訪問(wèn)的詳細(xì)信息，包括內(nèi)存的分配和釋放歷史等。這對(duì)于調(diào)試一些復(fù)雜的內(nèi)存問(wèn)題非常有幫助，比如在追蹤一個(gè)難以捉摸的內(nèi)存泄漏問(wèn)題時(shí)，開(kāi)啟CONFIG_KASAN_RECORD，Kasan 記錄的信息就像是一份詳細(xì)的 “內(nèi)存使用日志”，開(kāi)發(fā)者可以從中清晰地看到內(nèi)存是在哪些函數(shù)中被分配和釋放的，從而更容易找到問(wèn)題的根源。但需要注意的是，啟用這個(gè)參數(shù)會(huì)增加一定的系統(tǒng)開(kāi)銷(xiāo)，因?yàn)橛涗涍@些信息需要占用額外的系統(tǒng)資源。

再看CONFIG_KASAN_HW_TAGS參數(shù)，它主要用于支持硬件標(biāo)簽的 Kasan 模式，這種模式僅在支持內(nèi)存標(biāo)記擴(kuò)展（MTE）的 arm64 CPU 上運(yùn)行 。在這種模式下，硬件會(huì)協(xié)助 Kasan 進(jìn)行內(nèi)存訪問(wèn)的檢測(cè)，大大提高檢測(cè)效率，并且內(nèi)存和性能開(kāi)銷(xiāo)都相對(duì)較低，因此非常適合在對(duì)性能要求較高的生產(chǎn)環(huán)境中使用。例如，在一些基于 arm64 架構(gòu)的服務(wù)器上，啟用CONFIG_KASAN_HW_TAGS，既能保障系統(tǒng)的穩(wěn)定運(yùn)行，又能及時(shí)檢測(cè)出潛在的內(nèi)存錯(cuò)誤。

對(duì)于一些對(duì)性能極為敏感的應(yīng)用場(chǎng)景，CONFIG_KASAN_LOW_OVERHEAD模式就派上用場(chǎng)了。啟用這個(gè)模式后，Kasan 會(huì)采用一些優(yōu)化策略來(lái)降低對(duì)系統(tǒng)性能的影響，雖然可能會(huì)犧牲掉一部分檢測(cè)的全面性，但在那些對(duì)性能要求苛刻，且內(nèi)存錯(cuò)誤風(fēng)險(xiǎn)相對(duì)較低的場(chǎng)景中，這是一個(gè)很好的平衡選擇。比如在一些實(shí)時(shí)性要求很高的多媒體處理應(yīng)用中，使用CONFIG_KASAN_LOW_OVERHEAD模式，既能保證應(yīng)用的流暢運(yùn)行，又能在一定程度上檢測(cè)內(nèi)存錯(cuò)誤。

還有CONFIG_KASAN_CONCURRENT參數(shù)，它主要用于支持并發(fā)環(huán)境下的內(nèi)存錯(cuò)誤檢測(cè)。在一些多線程、多進(jìn)程并發(fā)執(zhí)行的復(fù)雜應(yīng)用中，內(nèi)存訪問(wèn)的情況更加復(fù)雜，容易出現(xiàn)一些只有在并發(fā)環(huán)境下才會(huì)出現(xiàn)的內(nèi)存錯(cuò)誤。啟用CONFIG_KASAN_CONCURRENT，Kasan 就能更好地捕捉這些并發(fā)相關(guān)的內(nèi)存問(wèn)題，保障系統(tǒng)在并發(fā)場(chǎng)景下的穩(wěn)定性。

三、Kasan 實(shí)戰(zhàn)：揪出內(nèi)存問(wèn)題 “元兇”

理論知識(shí)儲(chǔ)備完成，接下來(lái)就進(jìn)入實(shí)戰(zhàn)環(huán)節(jié)，看看 Kasan 是如何在實(shí)際操作中發(fā)揮作用，揪出內(nèi)存問(wèn)題的 “元兇” 的。

3.1準(zhǔn)備工作

在使用 Kasan 之前，需要確保內(nèi)核已經(jīng)開(kāi)啟了相關(guān)的配置選項(xiàng)。首先，要保證 CONFIG_HAVE_ARCH_KASAN 和 CONFIG_KASAN 這兩個(gè)配置項(xiàng)被啟用。CONFIG_HAVE_ARCH_KASAN 表示當(dāng)前架構(gòu)是否支持 Kasan ，而 CONFIG_KASAN 則是開(kāi)啟 Kasan 功能的關(guān)鍵配置。

開(kāi)啟這些配置選項(xiàng)的方式通常是通過(guò)內(nèi)核配置工具，如 make menuconfig。在配置界面中，找到 “Kernel hacking” 選項(xiàng)，進(jìn)入后找到 “Memory Debugging” 相關(guān)子菜單，在其中可以找到 Kasan 的配置項(xiàng)，將 CONFIG_KASAN 設(shè)置為 “y”，表示啟用 Kasan 。如果希望獲得更詳細(xì)的調(diào)試信息，還可以開(kāi)啟 CONFIG_KASAN_EXTRA_INFO 等相關(guān)選項(xiàng)。

需要注意的是，開(kāi)啟 Kasan 可能會(huì)對(duì)系統(tǒng)性能產(chǎn)生一定的影響，因?yàn)樗枰~外的內(nèi)存和計(jì)算資源來(lái)維護(hù)影子內(nèi)存和進(jìn)行內(nèi)存訪問(wèn)檢查 。所以在生產(chǎn)環(huán)境中使用時(shí)，需要謹(jǐn)慎評(píng)估。同時(shí)，不同的內(nèi)核版本和架構(gòu)可能對(duì) Kasan 的支持和配置方式略有差異，在實(shí)際操作時(shí)要參考對(duì)應(yīng)的內(nèi)核文檔和資料。

3.2案例一：越界訪問(wèn)排查

我們來(lái)看一段簡(jiǎn)單的 C 語(yǔ)言代碼示例，這段代碼模擬了一個(gè)在 Linux 內(nèi)核模塊中可能出現(xiàn)的越界訪問(wèn)情況 。

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/slab.h>

static int __init kasan_demo_init(void) {
    char *buffer;
    size_t buffer_size = 10;

    buffer = kmalloc(buffer_size, GFP_KERNEL);
    if (!buffer) {
        printk(KERN_ERR "Memory allocation failed\n");
        return -ENOMEM;
    }

    // 故意越界訪問(wèn)，將數(shù)據(jù)寫(xiě)入超出分配內(nèi)存的位置
    buffer[buffer_size + 1] = 'A'; 

    kfree(buffer);
    printk(KERN_INFO "Module initialized successfully\n");
    return 0;
}

static void __exit kasan_demo_exit(void) {
    printk(KERN_INFO "Module exited successfully\n");
}

module_init(kasan_demo_init);
module_exit(kasan_demo_exit);
MODULE_LICENSE("GPL");

當(dāng)這段代碼在內(nèi)核中運(yùn)行并啟用 Kasan 后，Kasan 會(huì)迅速檢測(cè)到越界訪問(wèn)錯(cuò)誤，并生成詳細(xì)的錯(cuò)誤報(bào)告 。錯(cuò)誤報(bào)告大致如下：

==================================================================
BUG: KASAN: slab-out-of-bounds in kasan_demo_init+0x74/0x98 at addr ffffffff88888888
Write of size 1 by task <your_task_name>/<pid>
CPU: <cpu_number> PID: <pid> Comm: <your_task_name> Tainted: <taint_info> <kernel_version> #<build_number>
Hardware name: <your_hardware_name>
Call trace:
[<ffffffff81000000>] dump_backtrace+0x0/0x358
[<ffffffff81000014>] show_stack+0x14/0x20
[<ffffffff810000a8>] dump_stack+0xa8/0xd0
[<ffffffff810003c4>] kasan_object_err+0x24/0x80
[<ffffffff81000654>] kasan_report.part.1+0x1dc/0x498
[<ffffffff81000b98>] qlist_move_cache+0x0/0xc0
[<ffffffff81000fe4>] __asan_store1+0x4c/0x58
[<ffffffffc0000074>] kasan_demo_init+0x74/0x98 [your_module_name]
Object at ffffffff88888880, in cache kmalloc-<size> size: <allocated_size>
Allocated:
[<ffffffffc0000000>] kasan_demo_init+0x30/0x98 [your_module_name]

在這份錯(cuò)誤報(bào)告中，“BUG: KASAN: slab-out-of-bounds” 明確指出錯(cuò)誤類(lèi)型是越界訪問(wèn) ?！発asan_demo_init+0x74/0x98” 表示錯(cuò)誤發(fā)生在kasan_demo_init函數(shù)中，偏移地址為 0x74，函數(shù)總大小為 0x98，這就像是在一個(gè)房子里（函數(shù)），告訴你錯(cuò)誤發(fā)生在房子里的具體位置（偏移地址）?！癮t addr ffffffff88888888” 指出了越界訪問(wèn)的具體內(nèi)存地址，這是定位問(wèn)題的關(guān)鍵線索之一，就像給了你錯(cuò)誤發(fā)生的 “門(mén)牌號(hào)”?！癢rite of size 1” 說(shuō)明是一次寫(xiě)入操作，寫(xiě)入大小為 1 字節(jié)，讓你清楚了解錯(cuò)誤的操作類(lèi)型和數(shù)據(jù)量。

根據(jù)這份報(bào)告，我們可以迅速定位到代碼中buffer[buffer_size + 1] = 'A';這一行，這就是導(dǎo)致越界訪問(wèn)的罪魁禍?zhǔn)?。要修?fù)這個(gè)問(wèn)題，只需確保內(nèi)存訪問(wèn)不超出分配的范圍，比如修改為buffer[buffer_size - 1] = 'A';，這樣就保證了訪問(wèn)在合法的內(nèi)存區(qū)間內(nèi)。

3.3案例二：釋放后使用問(wèn)題解決

接下來(lái)看一個(gè)釋放后使用內(nèi)存的代碼示例 。

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/slab.h>

static int __init kasan_use_after_free_init(void) {
    char *buffer;
    size_t buffer_size = 10;

    buffer = kmalloc(buffer_size, GFP_KERNEL);
    if (!buffer) {
        printk(KERN_ERR "Memory allocation failed\n");
        return -ENOMEM;
    }

    kfree(buffer);
    // 嘗試訪問(wèn)已釋放的內(nèi)存
    buffer[5] = 'B'; 

    printk(KERN_INFO "Module initialized successfully\n");
    return 0;
}

static void __exit kasan_use_after_free_exit(void) {
    printk(KERN_INFO "Module exited successfully\n");
}

module_init(kasan_use_after_free_init);
module_exit(kasan_use_after_free_exit);
MODULE_LICENSE("GPL");

當(dāng)啟用 Kasan 運(yùn)行這段代碼時(shí)，Kasan 會(huì)檢測(cè)到釋放后使用內(nèi)存的錯(cuò)誤，并給出如下報(bào)告 ：

==================================================================
BUG: KASAN: use-after-free in kasan_use_after_free_init+0x6c/0x98 at addr ffffffff88888888
Write of size 1 by task <your_task_name>/<pid>
CPU: <cpu_number> PID: <pid> Comm: <your_task_name> Tainted: <taint_info> <kernel_version> #<build_number>
Hardware name: <your_hardware_name>
Call trace:
[<ffffffff81000000>] dump_backtrace+0x0/0x358
[<ffffffff81000014>] show_stack+0x14/0x20
[<ffffffff810000a8>] dump_stack+0xa8/0xd0
[<ffffffff810003c4>] kasan_object_err+0x24/0x80
[<ffffffff81000654>] kasan_report.part.1+0x1dc/0x498
[<ffffffff81000b98>] qlist_move_cache+0x0/0xc0
[<ffffffff81000fe4>] __asan_store1+0x4c/0x58
[<ffffffffc000006c>] kasan_use_after_free_init+0x6c/0x98 [your_module_name]
Freed by task <your_task_name>/<pid>; stack:
[<ffffffff81000000>] dump_backtrace+0x0/0x358
[<ffffffff81000014>] show_stack+0x14/0x20
[<ffffffff810000a8>] dump_stack+0xa8/0xd0
[<ffffffff810003c4>] kasan_object_err+0x24/0x80
[<ffffffff81000654>] kasan_report.part.1+0x1dc/0x498
[<ffffffff81000b98>] qlist_move_cache+0x0/0xc0
[<ffffffff81000fe4>] __asan_store1+0x4c/0x58
[<ffffffffc0000048>] kasan_use_after_free_init+0x48/0x98 [your_module_name]
Object at ffffffff88888880, in cache kmalloc-<size> size: <allocated_size>
Freed:
[<ffffffffc0000048>] kasan_use_after_free_init+0x48/0x98 [your_module_name]

從報(bào)告中 “BUG: KASAN: use-after-free” 可以得知這是一個(gè)釋放后使用內(nèi)存的錯(cuò)誤 ?！発asan_use_after_free_init+0x6c/0x98” 指出錯(cuò)誤發(fā)生在kasan_use_after_free_init函數(shù)的特定位置?！癮t addr ffffffff88888888” 給出了錯(cuò)誤發(fā)生的內(nèi)存地址。報(bào)告中還特別指出 “Freed by task <your_task_name>/”，并列出了內(nèi)存被釋放時(shí)的堆棧信息，這對(duì)于追蹤內(nèi)存釋放的源頭非常有幫助，就像為你提供了一條從錯(cuò)誤發(fā)生點(diǎn)回溯到內(nèi)存釋放點(diǎn)的 “線索鏈”。

根據(jù)這份報(bào)告，我們可以輕松定位到代碼中kfree(buffer);之后的buffer[5] = 'B';這一行，這就是問(wèn)題所在。要修復(fù)這個(gè)問(wèn)題，需要確保在內(nèi)存釋放后不再訪問(wèn)該內(nèi)存，比如可以將buffer指針設(shè)置為NULL，即kfree(buffer); buffer = NULL;，這樣后續(xù)如果不小心再次訪問(wèn)buffer，就會(huì)因?yàn)閎uffer為NULL而觸發(fā)空指針異常，從而更容易發(fā)現(xiàn)和解決問(wèn)題 。