Por que encontrar o inicializador de um tipo geraria uma NullReferenceException?

194

Isso me deixou perplexo. Eu estava tentando otimizar alguns testes para o Noda Time, onde temos algumas verificações de inicializador de tipo. Eu pensei em descobrir se um tipo tem um inicializador de tipo (construtor estático ou variáveis ​​estáticas com inicializadores) antes de carregar tudo em um novo AppDomain. Para minha surpresa, um pequeno teste disso foi lançado NullReferenceException- apesar de não haver valores nulos no meu código. Ele lança a exceção quando compilado sem informações de depuração.

Aqui está um programa curto, mas completo, para demonstrar o problema:

using System;

class Test
{
    static Test() {}

    static void Main()
    {
        var cctor = typeof(Test).TypeInitializer;
        Console.WriteLine("Got initializer? {0}", cctor != null);
    }    
}

E uma transcrição de compilação e saída:

c:\Users\Jon\Test>csc Test.cs
Microsoft (R) Visual C# Compiler version 4.0.30319.17626
for Microsoft (R) .NET Framework 4.5
Copyright (C) Microsoft Corporation. All rights reserved.


c:\Users\Jon\Test>test

Unhandled Exception: System.NullReferenceException: Object reference not set to
an instance of an object.
   at System.RuntimeType.GetConstructorImpl(BindingFlags bindingAttr, Binder bin
der, CallingConventions callConvention, Type[] types, ParameterModifier[] modifi
ers)
   at Test.Main()

c:\Users\Jon\Test>csc /debug+ Test.cs
Microsoft (R) Visual C# Compiler version 4.0.30319.17626
for Microsoft (R) .NET Framework 4.5
Copyright (C) Microsoft Corporation. All rights reserved.


c:\Users\Jon\Test>test
Got initializer? True

Agora você notará que estou usando o .NET 4.5 (o candidato a lançamento) - que pode ser relevante aqui. É um pouco complicado para mim testá-lo com as várias outras estruturas originais (em particular o "vanilla" .NET 4), mas se alguém tiver acesso fácil a máquinas com outras estruturas, eu estaria interessado nos resultados.

Outros detalhes:

  • Estou em uma máquina x64, mas esse problema ocorre com os conjuntos x86 e x64
  • É a "debug-ness" do código de chamada que faz a diferença - embora no caso de teste acima o esteja testando em seu próprio assembly, quando tentei no Noda Time, não precisei recompilar NodaTime.dllpara ver as diferenças - exatamente o Test.csque se refere a ele.
  • Executando o "quebrado" montagem em Mono 2.10.8 não jogar

Alguma ideia? Bug do framework?

EDIT: Mais curioso e mais curioso. Se você atender a Console.WriteLinechamada:

using System;

class Test
{
    static Test() {}

    static void Main()
    {
        var cctor = typeof(Test).TypeInitializer;
    }    
}

Agora falha quando compilado com csc /o- /debug-. Se você ativar as otimizações, ( /o+) funcionará. Mas se você incluir a Console.WriteLinechamada conforme o original, ambas as versões falharão.

.net reflection nullreferenceexception .net-4.5 typeinitializer Jon Skeet
fonte
92
Heh - "apesar de não haver valores nulos no meu código", essa pode ser a primeira vez na história do SO registrada que o cartão "o bug não está no meu código" foi reproduzido com êxito.
Marc Gravell
1
Retorna TRUE apenas multa sem Debug fazendo primeiro teste de cmdline com .NET Framework 4, Visual C # compilador 4.0.30319.1
Kerry
2
@MarcGravell: Sim, enquanto eu normalmente sou muito cético em dizer "Não há bug no meu código" neste caso, quando há uma única expressão em jogo, e a exceção é uma NullReferenceException(que sempre deve indicar um bug) realmente parece desonesto. I fortemente suspeito se este é um .NET 4.5 bug, eu perdi a janela para começá-lo fixo ...
Jon Skeet
15
@JonSkeet: SP1 Nós todos do MS saber é o RTM real; p
leppie
1
@leppie: Não, também csc /o+ /debug- Test.csfalha para mim, o que é estranho.
21712 Jon Skeet

Respostas:

284

com csc test.cs:

(196c.1874): Access violation - code c0000005 (first chance)
mscorlib_ni!System.RuntimeType.GetConstructorImpl(System.Reflection.BindingFlags, System.Reflection.Binder, System.Reflection.CallingConventions, System.Type[], System.Reflection.ParameterModifier[])+0xa3:
000007fe`e5735403 488b4608        mov     rax,qword ptr [rsi+8] ds:00000000`00000008=????????????????

Tentando carregar a partir de [rsi+8]quando @rsié NULL. Vamos inspecionar a função:

0:000> ln 000007fe`e5735403
(000007fe`e5735360)   mscorlib_ni!System.RuntimeType.GetConstructorImpl(System.Reflection.BindingFlags, System.Reflection.Binder, System.Reflection.CallingConventions, System.Type[], System.Reflection.ParameterModifier[])+0xa3
0:000> uf 000007fe`e5735360
Flow analysis was incomplete, some code may be missing
mscorlib_ni!System.RuntimeType.GetConstructorImpl(System.Reflection.BindingFlags, System.Reflection.Binder, System.Reflection.CallingConventions, System.Type[], System.Reflection.ParameterModifier[]):
000007fe`e5735360 53              push    rbx
000007fe`e5735361 55              push    rbp
000007fe`e5735362 56              push    rsi
000007fe`e5735363 57              push    rdi
000007fe`e5735364 4154            push    r12
000007fe`e5735366 4883ec30        sub     rsp,30h
000007fe`e573536a 498bf8          mov     rdi,r8
000007fe`e573536d 8bea            mov     ebp,edx
000007fe`e573536f 48c744242800000000 mov   qword ptr [rsp+28h],0
000007fe`e5735378 488bb42480000000 mov     rsi,qword ptr [rsp+80h]
000007fe`e5735380 4889742420      mov     qword ptr [rsp+20h],rsi
000007fe`e5735385 41b903000000    mov     r9d,3
...    
mscorlib_ni!System.RuntimeType.GetConstructorImpl(System.Reflection.BindingFlags, System.Reflection.Binder, System.Reflection.CallingConventions, System.Type[], System.Reflection.ParameterModifier[])+0x97:
000007fe`e57353f7 488b4b08        mov     rcx,qword ptr [rbx+8]
000007fe`e57353fb 85c9            test    ecx,ecx
000007fe`e57353fd 0f848e000000    je      mscorlib_ni!System.RuntimeType.GetConstructorImpl(System.Reflection.BindingFlags, System.Reflection.Binder, System.Reflection.CallingConventions, System.Type[], System.Reflection.ParameterModifier[])+0x131 (000007fe`e5735491)

mscorlib_ni!System.RuntimeType.GetConstructorImpl(System.Reflection.BindingFlags, System.Reflection.Binder, System.Reflection.CallingConventions, System.Type[], System.Reflection.ParameterModifier[])+0xa3:
000007fe`e5735403 488b4608        mov     rax,qword ptr [rsi+8]
000007fe`e5735407 85c0            test    eax,eax
000007fe`e5735409 7545            jne     mscorlib_ni!System.RuntimeType.GetConstructorImpl(System.Reflection.BindingFlags, System.Reflection.Binder, System.Reflection.CallingConventions, System.Type[], System.Reflection.ParameterModifier[])+0xf0 (000007fe`e5735450)
...

@rsié carregado no início a partir de [rsp+20h]então deve ser passado pelo chamador. Vamos olhar para o chamador:

0:000> k3
Child-SP          RetAddr           Call Site
00000000`001fec70 000007fe`8d450110 mscorlib_ni!System.RuntimeType.GetConstructorImpl(System.Reflection.BindingFlags, System.Reflection.Binder, System.Reflection.CallingConventions, System.Type[], System.Reflection.ParameterModifier[])+0xa3
00000000`001fecd0 000007fe`ecb6e073 image00000000_01120000!Test.Main()+0x60
00000000`001fed20 000007fe`ecb6dcb2 clr!CoUninitializeEE+0x7ae1f
0:000> ln 000007fe`8d450110
(000007fe`8d4500b0)   image00000000_01120000!Test.Main()+0x60
0:000> uf 000007fe`8d4500b0
image00000000_01120000!Test.Main():
000007fe`8d4500b0 53              push    rbx
000007fe`8d4500b1 4883ec40        sub     rsp,40h
000007fe`8d4500b5 e8a69ba658      call    mscorlib_ni!System.Console.get_In() (000007fe`e5eb9c60)
000007fe`8d4500ba 4c8bd8          mov     r11,rax
000007fe`8d4500bd 498b03          mov     rax,qword ptr [r11]
000007fe`8d4500c0 488b5048        mov     rdx,qword ptr [rax+48h]
000007fe`8d4500c4 498bcb          mov     rcx,r11
000007fe`8d4500c7 ff5238          call    qword ptr [rdx+38h]
000007fe`8d4500ca 488d0d7737eeff  lea     rcx,[000007fe`8d333848]
000007fe`8d4500d1 e88acb715f      call    clr!CoUninitializeEE+0x79a0c (000007fe`ecb6cc60)
000007fe`8d4500d6 4c8bd8          mov     r11,rax
000007fe`8d4500d9 48b92012531200000000 mov rcx,12531220h
000007fe`8d4500e3 488b09          mov     rcx,qword ptr [rcx]
000007fe`8d4500e6 498b03          mov     rax,qword ptr [r11]
000007fe`8d4500e9 4c8b5068        mov     r10,qword ptr [rax+68h]
000007fe`8d4500ed 48c744242800000000 mov   qword ptr [rsp+28h],0
000007fe`8d4500f6 48894c2420      mov     qword ptr [rsp+20h],rcx
000007fe`8d4500fb 41b903000000    mov     r9d,3
000007fe`8d450101 4533c0          xor     r8d,r8d
000007fe`8d450104 ba38000000      mov     edx,38h
000007fe`8d450109 498bcb          mov     rcx,r11
000007fe`8d45010c 41ff5228        call    qword ptr [r10+28h]
000007fe`8d450110 48bb1032531200000000 mov rbx,12533210h
000007fe`8d45011a 488b1b          mov     rbx,qword ptr [rbx]
000007fe`8d45011d 33d2            xor     edx,edx
000007fe`8d45011f 488bc8          mov     rcx,rax
000007fe`8d450122 e829452e58      call    mscorlib_ni!System.Reflection.ConstructorInfo.op_Equality(System.Reflection.ConstructorInfo, System.Reflection.ConstructorInfo) (000007fe`e5734650)
000007fe`8d450127 0fb6c8          movzx   ecx,al
000007fe`8d45012a 33c0            xor     eax,eax
000007fe`8d45012c 85c9            test    ecx,ecx
000007fe`8d45012e 0f94c0          sete    al
000007fe`8d450131 0fb6c8          movzx   ecx,al
000007fe`8d450134 894c2430        mov     dword ptr [rsp+30h],ecx
000007fe`8d450138 488d542430      lea     rdx,[rsp+30h]
000007fe`8d45013d 488d0d24224958  lea     rcx,[mscorlib_ni+0x682368 (000007fe`e58e2368)]
000007fe`8d450144 e807246a5f      call    clr+0x2550 (000007fe`ecaf2550)
000007fe`8d450149 488bd0          mov     rdx,rax
000007fe`8d45014c 488bcb          mov     rcx,rbx
000007fe`8d45014f e81cab2758      call    mscorlib_ni!System.Console.WriteLine(System.String, System.Object) (000007fe`e56cac70)
000007fe`8d450154 90              nop
000007fe`8d450155 4883c440        add     rsp,40h
000007fe`8d450159 5b              pop     rbx
000007fe`8d45015a c3              ret

(Minha desmontagem mostra System.Console.get_Inporque eu adicionei um Console.GetLine()no test.cs para ter a oportunidade de interromper o depurador. Eu validei que isso não muda o comportamento).

Estamos nesta chamada: 000007fe8d45010c 41ff5228 call qword ptr [r10+28h](nosso endereço de retificação de quadro AV é a instrução logo após isso call).

Vamos comparar isso com o que acontece quando compilamos csc /debug test.cs. Podemos configurar um bp 000007fee5735360, felizmente o módulo carrega no mesmo endereço. Na instrução que carrega @rsi:

0:000> r
rax=000007fee58e2f30 rbx=00000000027c6258 rcx=00000000027c6258
rdx=0000000000000038 rsi=00000000002debd8 rdi=0000000000000000
rip=000007fee5735378 rsp=00000000002de990 rbp=0000000000000038
 r8=0000000000000000  r9=0000000000000003 r10=000007fee58831c8
r11=00000000002de9c0 r12=0000000000000000 r13=00000000002dedc0
r14=00000000002dec58 r15=0000000000000004
iopl=0         nv up ei pl nz na po nc
cs=0033  ss=002b  ds=002b  es=002b  fs=0053  gs=002b             efl=00000206
mscorlib_ni!System.RuntimeType.GetConstructorImpl(System.Reflection.BindingFlags, System.Reflection.Binder, System.Reflection.CallingConventions, System.Type[], System.Reflection.ParameterModifier[])+0x18:
000007fe`e5735378 488bb42480000000 mov     rsi,qword ptr [rsp+80h] ss:00000000`002dea10=a0627c0200000000

Observe que @rsié 00000000002depg. Ao percorrer a função, é mostrado que esse é o endereço que será desreferenciado posteriormente no local em que o exe ruim bombardeia (ou seja @rsi, não muda). A pilha é muito interessante porque mostra um quadro extra :

0:000> k3
Child-SP          RetAddr           Call Site
00000000`002de990 000007fe`e5eddf68 mscorlib_ni!System.RuntimeType.GetConstructorImpl(System.Reflection.BindingFlags, System.Reflection.Binder, System.Reflection.CallingConventions, System.Type[], System.Reflection.ParameterModifier[])+0x18
00000000`002de9f0 000007fe`8d460119 mscorlib_ni!System.Type.get_TypeInitializer()+0x48
00000000`002dea30 000007fe`ecb6e073 good!Test.Main()+0x49*** WARNING: Unable to verify checksum for good.exe

0:000> ln 000007fe`e5eddf68
(000007fe`e5eddf20)   mscorlib_ni!System.Type.get_TypeInitializer()+0x48
0:000> uf 000007fe`e5eddf20
mscorlib_ni!System.Type.get_TypeInitializer():
000007fe`e5eddf20 53              push    rbx
000007fe`e5eddf21 4883ec30        sub     rsp,30h
000007fe`e5eddf25 488bd9          mov     rbx,rcx
000007fe`e5eddf28 ba22010000      mov     edx,122h
000007fe`e5eddf2d b901000000      mov     ecx,1
000007fe`e5eddf32 e8d1a075ff      call    CORINFO_HELP_GETSHARED_GCSTATIC_BASE (000007fe`e5638008)
000007fe`e5eddf37 488b88f0010000  mov     rcx,qword ptr [rax+1F0h]
000007fe`e5eddf3e 488b03          mov     rax,qword ptr [rbx]
000007fe`e5eddf41 4c8b5068        mov     r10,qword ptr [rax+68h]
000007fe`e5eddf45 48c744242800000000 mov   qword ptr [rsp+28h],0
000007fe`e5eddf4e 48894c2420      mov     qword ptr [rsp+20h],rcx
000007fe`e5eddf53 41b903000000    mov     r9d,3
000007fe`e5eddf59 4533c0          xor     r8d,r8d
000007fe`e5eddf5c ba38000000      mov     edx,38h
000007fe`e5eddf61 488bcb          mov     rcx,rbx
000007fe`e5eddf64 41ff5228        call    qword ptr [r10+28h]
000007fe`e5eddf68 90              nop
000007fe`e5eddf69 4883c430        add     rsp,30h
000007fe`e5eddf6d 5b              pop     rbx
000007fe`e5eddf6e c3              ret
0:000> ln 000007fe`8d460119

A chamada é a mesma call qword ptr [r10+28h]que vimos antes; portanto, no caso ruim, essa função provavelmente foi incorporada no Main(), portanto, o fato de haver um quadro extra é um arenque vermelho. Se olharmos para a preparação deste call qword ptr [r10+28h]notamos esta instrução: mov qword ptr [rsp+20h],rcx. É isso que carrega o endereço que é eventualmente desreferenciado como @rsi. No bom caso, é assim que @rcxé carregado:

000007fe`e5eddf32 e8d1a075ff      call    CORINFO_HELP_GETSHARED_GCSTATIC_BASE (000007fe`e5638008)
000007fe`e5eddf37 488b88f0010000  mov     rcx,qword ptr [rax+1F0h]

No caso ruim, parece muito diferente:

000007fe`8d4600d9 48b92012721200000000 mov rcx,12721220h
000007fe`8d4600e3 488b09          mov     rcx,qword ptr [rcx]

Isto é muito diferente. Diferentemente do bom caso que chama CORINFO_HELP_GETSHARED_GCSTATIC_BASE e lê o que acaba sendo o ponteiro crítico que causa o AV de algum membro em deslocamento 1F0em uma estrutura de retorno, o código otimizado o carrega de um endereço estático. E é claro que 12721220h contém NULL:

0:000> dp 12721220h L8
00000000`12721220  00000000`00000000 00000000`00000000
00000000`12721230  00000000`00000000 00000000`02722198
00000000`12721240  00000000`027221c8 00000000`027221f8
00000000`12721250  00000000`02722228 00000000`02722258

Infelizmente é tarde demais para eu aprofundar agora, a desmontagem CORINFO_HELP_GETSHARED_GCSTATIC_BASEestá longe de ser trivial. Estou postando isso na esperança de que alguém mais experiente em assuntos internos do CLR possa fazer sentido (como você pode ver, eu realmente considerei o problema apenas nas instruções nativas POV e ignorei completamente a IL).

Remus Rusanu
fonte
46
Você merece muito mais representantes do que isso por suas habilidades de depuração.
JSB #
23
Este é um bug do otimizador. CORINFO * é um ponteiro de função, que chama JIT_GetSharedGCStaticBase. Meu palpite é que ele disparou pelo novo recurso de jit 4.5 em segundo plano e acessou um campo antes de ser inicializado, esquecendo de jit na classe. Relate isso em connect.microsoft.com
Hans Passant
28
Não há necessidade. Nós já estamos olhando. Você está absolutamente certo, o que acontece é que, porque alocamos diretamente uma instância de RuntimeType, o cctor de Type nunca é chamado, portanto Type.EmptyTypes permanece nulo e é isso que é passado para GetConstructor.
Kirill Osenkov
3
Existe um livro que eu possa ler para obter essas habilidades de depuração? (De preferência, começando com "Guia para Idiotas" ou terminando com "para manequins")
Igby Largeman
1
@IgbyLargeman: A depuração avançada do Windows é muito boa.
Remus Rusanu 19/04
10

Como acredito ter encontrado algumas novas descobertas interessantes sobre o problema, decidi adicioná-las como uma resposta, reconhecendo ao mesmo tempo que elas não abordavam o "por que isso acontece" na pergunta original. Talvez alguém que saiba mais sobre o funcionamento interno dos tipos envolvidos possa postar uma resposta edificante com base também nas observações que estou postando.

Também consegui reproduzir o problema na minha máquina e rastreei uma conexão com a Interface System.Runtime.InteropServices._Type , implementada pela System.Typeclasse.

Inicialmente, encontrei pelo menos três abordagens alternativas para corrigir o problema:

  1. Simplesmente lançando o Typepara _Typedentro do Mainmétodo:

    var cctor = ((_Type)typeof(Test)).TypeInitializer;

  2. Ou verifique se a abordagem 1 foi usada anteriormente dentro do método:

    var warmUp = ((_Type)typeof(Test)).TypeInitializer; 
var cctor = ((Type)typeof(Test)).TypeInitializer;

  3. Ou adicionando um campo estático à Testclasse e inicializando-o (com conversão para _Type):

    static ConstructorInfo _dummy1 = (typeof(object) as _Type).TypeInitializer;

Mais tarde, descobri que, se não queremos envolver a System.Runtime.InteropServices._Typeinterface nas soluções alternativas, o problema também não ocorre:

  1. Adicionando um campo estático à Testclasse e inicializando-o (sem convertê-lo para _Type):

    static ConstructorInfo _dummy2 = typeof(object).TypeInitializer;

  2. Ou inicializando a cctorprópria variável como um campo estático da classe:

    static ConstructorInfo cctor = typeof(Test).TypeInitializer;

Estou ansioso pelo seu feedback.

Alex Filipovici
fonte