为什么 waveOutWrite() 会在调试堆中导致异常？

Question

在研究这个问题时，我在网上发现了多次提到以下场景，在编程论坛上总是作为未回答的问题。我希望在此处发布此内容至少可以记录我的发现。

首先，症状：在运行使用 waveOutWrite() 输出 PCM 音频的标准代码时，有时在调试器下运行时会出现此问题：

 ntdll.dll!_DbgBreakPoint@0()   
 ntdll.dll!_RtlpBreakPointHeap@4()  + 0x28 bytes    
 ntdll.dll!_RtlpValidateHeapEntry@12()  + 0x113 bytes   
 ntdll.dll!_RtlDebugGetUserInfoHeap@20()  + 0x96 bytes  
 ntdll.dll!_RtlGetUserInfoHeap@20()  + 0x32743 bytes    
 kernel32.dll!_GlobalHandle@4()  + 0x3a bytes   
 wdmaud.drv!_waveCompleteHeader@4()  + 0x40 bytes   
 wdmaud.drv!_waveThread@4()  + 0x9c bytes   
 kernel32.dll!_BaseThreadStart@8()  + 0x37 bytes    

虽然明显的嫌疑是代码中其他地方的堆损坏，但我发现情况并非如此。此外，我能够使用以下代码重现此问题（这是基于对话框的 MFC 应用程序的一部分：）

void CwaveoutDlg::OnBnClickedButton1()
{
    WAVEFORMATEX wfx;
    wfx.nSamplesPerSec = 44100; /* sample rate */
    wfx.wBitsPerSample = 16; /* sample size */
    wfx.nChannels = 2;
    wfx.cbSize = 0; /* size of _extra_ info */
    wfx.wFormatTag = WAVE_FORMAT_PCM;
    wfx.nBlockAlign = (wfx.wBitsPerSample >> 3) * wfx.nChannels;
    wfx.nAvgBytesPerSec = wfx.nBlockAlign * wfx.nSamplesPerSec;

    waveOutOpen(&hWaveOut, 
                WAVE_MAPPER, 
                &wfx,  
                (DWORD_PTR)m_hWnd, 
                0,
                CALLBACK_WINDOW );

    ZeroMemory(&header, sizeof(header));
    header.dwBufferLength = 4608;
    header.lpData = (LPSTR)GlobalLock(GlobalAlloc(GMEM_MOVEABLE | GMEM_SHARE | GMEM_ZEROINIT, 4608));

    waveOutPrepareHeader(hWaveOut, &header, sizeof(header));
    waveOutWrite(hWaveOut, &header, sizeof(header));
}

afx_msg LRESULT CwaveoutDlg::OnWOMDone(WPARAM wParam, LPARAM lParam)
{
    HWAVEOUT dev = (HWAVEOUT)wParam;
    WAVEHDR *hdr = (WAVEHDR*)lParam;
    waveOutUnprepareHeader(dev, hdr, sizeof(WAVEHDR));
    GlobalFree(GlobalHandle(hdr->lpData));
    ZeroMemory(hdr, sizeof(*hdr));
    hdr->dwBufferLength = 4608;
    hdr->lpData = (LPSTR)GlobalLock(GlobalAlloc(GMEM_MOVEABLE | GMEM_SHARE | GMEM_ZEROINIT, 4608));
    waveOutPrepareHeader(hWaveOut, &header, sizeof(WAVEHDR));
    waveOutWrite(hWaveOut, hdr, sizeof(WAVEHDR));
    return 0;
 }

在任何人对此之前，是的 - 示例代码播放未初始化的内存。请勿在扬声器完全打开的情况下尝试此操作。

一些调试揭示了以下信息：waveOutPrepareHeader() 用一个指针填充 header.reserved，该指针指向一个似乎包含至少两个指针作为其前两个成员的结构。第一个指针设置为 NULL。调用 waveOutWrite() 后，该指针被设置为分配在全局堆上的指针。在伪代码中，它看起来像这样：

struct Undocumented { void *p1, *p2; } /* This might have more members */

MMRESULT waveOutPrepareHeader( handle, LPWAVEHDR hdr, ...) {
    hdr->reserved = (Undocumented*)calloc(sizeof(Undocumented));
    /* Do more stuff... */
}

MMRESULT waveOutWrite( handle, LPWAVEHDR hdr, ...) {

    /* The following assignment fails rarely, causing the problem: */
    hdr->reserved->p1 = malloc( /* chunk of private data */ );
    /* Probably more code to initiate playback */
}

通常，标头由 wdmaud.dll 的内部函数 waveCompleteHeader() 返回给应用程序。 waveCompleteHeader() 尝试通过调用 GlobalHandle()/GlobalUnlock() 和朋友来释放由 waveOutWrite() 分配的指针。有时，GlobalHandle() 会爆炸，如上所示。

现在，GlobalHandle() 炸弹的原因并不是堆损坏，正如我一开始所怀疑的那样 - 这是因为 waveOutWrite() 返回时没有将内部结构中的第一个指针设置为有效指针。我怀疑它在返回之前释放了该指针指向的内存，但我还没有反汇编它。

这似乎只发生在波形播放系统的缓冲区不足时，这就是我使用单个标头来重现它的原因。

在这一点上，我有一个很好的理由来反对这是我的应用程序中的一个错误 - 毕竟，我的应用程序甚至没有运行。有人见过这个吗？

我在 Windows XP SP2 上看到了这个。声卡来自SigmaTel，驱动版本为5.10.0.4995。

注意事项：

为了防止将来出现混淆，我想指出，问题在于使用 malloc()/free() 来管理正在播放的缓冲区的答案是完全错误的。您会注意到我更改了上面的代码以反映建议，以防止更多人犯同样的错误——这没有什么区别。 waveCompleteHeader() 释放的缓冲区不是包含 PCM 数据的缓冲区，释放 PCM 缓冲区的责任在于应用程序，不需要以任何特定方式分配。

另外，我确保我使用的所有 waveOut API 调用都不会失败。

我目前假设这是 Windows 或音频驱动程序中的错误。反对意见总是受欢迎的。

Answer 1

现在，GlobalHandle() 的原因 炸弹不是由于堆损坏， 正如我一开始所怀疑的那样 - 这是因为 waveOutWrite() 没有返回 设置第一个指针 指向有效指针的内部结构。 我怀疑它释放了内存 之前由该指针指向 回来了，但我没有拆机 还没有。

我可以在我的系统上使用您的代码重现这一点。我看到了类似于 Johannes 报道的情况。在调用 WaveOutWrite 之后，hdr->reserved 通常保存一个指向已分配内存的指针（其中似乎包含 unicode 中的 wave out 设备名称等）。

但偶尔，在从 WaveOutWrite() 返回后，hdr->reserved 指向的字节被设置为 0。这通常是该指针的最低有效字节。 hdr->reserved 中的其余字节都可以，并且它通常指向的内存块仍被分配且未损坏。

它可能正在被另一个线程破坏 - 我可以在调用 WaveOutWrite() 后立即使用条件断点捕捉更改。并且系统调试断点发生在另一个线程中，而不是消息处理程序中。

但是，如果我使用回调函数而不是 Windows 消息泵，则无法导致系统调试断点发生。 （fdwOpen = CALLBACK_FUNCTION 在 WaveOutOpen() 中） 当我这样做时，我的 OnWOMDone 处理程序由不同的线程调用 - 可能是负责损坏的线程。

所以我认为在 Windows 或驱动程序中存在错误，但我认为您可以通过使用回调函数而不是 Windows 消息泵来处理 WOM_DONE 来解决问题。

Answer 2

您并不孤单： http://connect.microsoft.com/VisualStudio/feedback/ViewFeedback.aspx?FeedbackID=100589

Answer 3

我也遇到了同样的问题，自己也做了一些分析：

waveOutWrite() 分配（即 GlobalAlloc）一个指向 354 字节堆区域的指针，并将其正确存储在 header.reserved 指向的数据区域中。

但是当这个堆区域再次被释放时（根据你的分析，在 waveCompleteHeader() 中；我自己没有 wdmaud.drv 的符号），指针的最低有效字节已设置为零，从而使指针无效（而堆尚未损坏）。换句话说，发生的事情是这样的：

• (BYTE *) (header.reserved) = 0

所以我有一点不同意你的说法：waveOutWrite() 首先存储一个有效指针；指针只会在稍后从另一个线程中损坏。 可能是同一线程 (mxdmessage) 稍后尝试释放此堆区域，但我还没有找到存储零字节的点。

这种情况并不经常发生，并且之前已经成功分配和释放了相同的堆区域（相同的地址）。 我非常确信这是系统代码中的某个错误。

Answer 4

不确定这个特殊问题，但您是否考虑过使用更高级别的跨平台音频库？ Windows 音频编程有很多怪癖，这些库可以为您省去很多麻烦。

示例包括 PortAudio、RtAudio 和 SDL。

Answer 5

我要做的第一件事是检查 waveOutX 函数的返回值。如果其中任何一个失败了——考虑到你描述的场景，这并不是不合理的——并且你继续进行，那么事情开始出错也就不足为奇了。我的猜测是 waveOutWrite 会在某个时候返回 MMSYSERR_NOMEM。

Answer 6

使用 Application Verifier 找出发生了什么，如果您做了可疑的事情，它会更早地发现它。

Answer 7

查看source code for Wine 可能会有所帮助，尽管 Wine 可能已经修复了任何错误，而且 Wine 也可能存在其他错误。相关文件是 dlls/winmm/winmm.c、dlls/winmm/lolvldrv.c，可能还有其他文件。祝你好运！

Answer 8

不允许从回调中调用 winmm 函数这一事实如何？ MSDN 没有提到关于窗口消息的这种限制，但是窗口消息的使用类似于回调函数。可能在内部，它被实现为来自驱动程序的回调函数，并且该回调执行 SendMessage。 在内部，waveout 必须维护使用 waveOutWrite 编写的标题的链接列表；所以，我猜：

hdr->reserved = (Undocumented*)calloc(sizeof(Undocumented));

设置链表的上一个/下一个指针或类似的东西。如果你写更多的缓冲区，那么如果你检查指针并且如果它们中的任何一个指向另一个，那么我的猜测很可能是正确的。

网络上的多个来源提到您不需要重复地取消准备/准备相同的标题。如果您在原始示例中注释掉 Prepare/unprepare 标头，那么它似乎可以正常工作，没有任何问题。

Answer 9

我通过轮询声音播放和延迟解决了这个问题：

WAVEHDR header = { buffer, sizeof(buffer), 0, 0, 0, 0, 0, 0 };
waveOutPrepareHeader(hWaveOut, &header, sizeof(WAVEHDR));
waveOutWrite(hWaveOut, &header, sizeof(WAVEHDR));
/*
* wait a while for the block to play then start trying
* to unprepare the header. this will fail until the block has
* played.
*/
while (waveOutUnprepareHeader(hWaveOut,&header,sizeof(WAVEHDR)) == WAVERR_STILLPLAYING) 
Sleep(100);
waveOutClose(hWaveOut);

Playing Audio in Windows using waveOut Interface