Windows内存泄漏分析：UMDH使用教程

小木通过任务管理器观察到线上程序的内存持续增长，怀疑是内存泄漏的问题。用户态内存泄漏可能包括句柄泄漏、堆内存泄漏、Socket、GDI对象等。对于C++程序员来说，最常见的无疑是堆内存泄漏，即通过malloc或new从堆上申请的内存使用完后未被释放，导致程序使用的内存不断增加。

为了分析这个问题，小木使用了UMDH，这是Windbg工具集中的一个强大工具，用于记录程序在不同时间点的堆内存申请信息，并通过比较两次记录来查找内存泄漏。小木首先编写了一个测试程序来熟悉工具的使用。该程序每隔十秒钟调用一次MemorLeakFunction，在函数中从堆上申请一段内存空间但未释放。

#include <iostream>
#include <chrono>
#include <thread>
void MemoryLeakFunction() {
const int STR_SIZE = 100;
char * pStr = new char [STR_SIZE];
strcpy_s(pStr, STR_SIZE, "Memory Leak Sample");
std::cout << "Memory allocated: " << pStr << std::endl;
}
int main() {
while (true) {
MemoryLeakFunction();
std::this_thread::sleep_for(std::chrono::seconds(10));
}
return 0;
}

小木使用以下步骤来分析内存泄漏：

1. 使用gflag工具：通过命令"C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\gflags" -i MemoryLeak.exe +ust来配置MemoryLeak.exe程序，使其在申请堆内存时记录函数调用栈。图形化界面中开启Create user mode stack trace database选项。

   

2. 运行测试程序MemoryLeak.exe。

3. 配置Symbol文件：将程序的symbol文件MemoryLeak.pdb拷贝到mysymbols目录下，并运行命令Set _NT_SYMBOL_PATH=C:\mysymbols;SRVC:\symbolshttp://msdl.microsoft.com/download/symbols来配置Symbol路径。

4. 保存初始内存记录：运行命令"C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\umdh" -pn:MemoryLeak.exe -f:C:\umdhlog\begin.log来保存程序当前的堆内存申请记录到C:\umdhlog\begin.log。

5. 等待一段时间后再次保存内存记录：假设等待5分钟后，运行命令"C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\umdh" -pn:MemoryLeak.exe -f:C:\umdhlog\end.log来保存新的堆内存申请记录到C:\umdhlog\end.log。

6. 比较两次内存记录：运行命令"C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\umdh" C:\umdhlog\begin.log C:\umdhlog\end.log -f:c:\umdhlog\diff.log来比较两次记录，找出增加的堆内存请求及其调用栈，并将结果导出到c:\umdhlog\diff.log。

在diff.log中，可以看到增加的内存申请的函数调用栈，例如：

+    1194 (  157c -   3e8)     37 allocs  BackTrace1
 2d (    37 -     a)  BackTrace1  allocations
ntdll!RtlpAllocateHeap+212
ntdll!RtlpAllocateHeapInternal+5E5
ucrtbase!_malloc_base+36
MemoryLeak!operator new+1F (d:\agent_work\2\s\src\vctools\crt\vcstartup\src\heap\new_scalar.cpp, 35)
MemoryLeak!main+2D (c:\personal\git\beyourbest\cpp\windbgsample\memoryleak\memoryleaksample.cpp, 17)
MemoryLeak!__scrt_common_main_seh+10C (d:\agent_work\2\s\src\vctools\crt\vcstartup\src\startup\exe_common.inl, 288)
KERNEL32!BaseThreadInitThunk+14
ntdll!RtlUserThreadStart+21

其中，0x1194表示在这段时间内申请了4500个字节的堆空间，0x2d表示调用了45次。函数调用栈显示在memoryleaksample.cpp文件的第17行进行了内存申请，通过审查这段代码，可以发现未释放内存导致的内存泄漏。

小木在熟悉了UMDH的使用后，对线上出现的实际问题进行分析，很快找到了内存泄漏的原因。