新华社武汉2月12日电（记者方政军）湖北省公安厅12日宣布，根据统一部署，湖北网监在浙江、山东、广西、天津、广东、四川、江西、云南、新疆、河南等地公安机关的配合下，一举侦破了制作传播“熊猫烧香”病毒案，抓获李俊（男，25岁，武汉新洲区人）、雷磊（男，25岁，武汉新洲区人）等8名犯罪嫌疑人。这是我国破获的国内首例制作计算机病毒的大案。

　　据介绍，2006年底，我国互联网上大规模爆发“熊猫烧香”病毒及其变种，该病毒通过多种方式进行传播，并将感染的所有程序文件改成熊猫举着三根香的模样，同时该病毒还具有盗取用户游戏账号、ｑｑ账号等功能。该病毒传播速度快，危害范围广，截至案发为止，已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏，引起社会各界高度关注。《瑞星2006安全报告》将其列为十大病毒之首，在《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》的十大病毒排行中一举成为“毒王”。

　　今年1月中旬，湖北省网监部门根据公安部公共信息网络安全监察局的部署，对“熊猫烧香”病毒的制作者开展调查。经查，熊猫烧香病毒的制作者为湖北省武汉市李俊，据李俊交代，其于2006年10月16日编写了“熊猫烧香”病毒并在网上广泛传播，并且还以自己出售和由他人代卖的方式，在网络上将该病毒销售给120余人，非法获利10万余元。经病毒购买者进一步传播，导致该病毒的各种变种在网上大面积传播，对互联网用户计算机安全造成了严重破坏。李俊还于2003年编写了“武汉男生”病毒、2005年编写了“武汉男生2005”病毒及“ｑｑ尾巴”病毒。另外，本案另有几个重要犯罪嫌疑人雷磊（男，25岁，武汉新洲区人）、王磊（男，22岁，山东威海人）、叶培新（男，21岁，浙江温州人）、张顺（男，23岁，浙江丽水人）、王哲（男，24岁，湖北仙桃人）通过改写、传播“熊猫烧香”等病毒，构建“僵尸网络”，通过盗窃各种游戏和ｑｑ账号等方式非法牟利。

　　目前，李俊、雷磊等8名犯罪嫌疑人已被刑事拘留。

C++内存分配与释放均由用户代码自行控制，灵活的机制有如潘多拉之盒，即让程序员有了更广的发挥

空间，也产生了代代相传的内存泄漏问题。对于新手来说，最常犯的错误就是new出一个对象而忘记释放，对于一般小应用程序来说，一点内存空间不算什么。但是当内存泄漏问题出现在需要24小时运行的平台类程序上的时候，将会使系统可用内存飞速减少，最后耗尽系统资源，导致系统崩溃。

所以学会如何防止并检查内存泄漏，是一个合格的c++程序员必须具备的能力。但是由于内存泄漏是程序运行并满足一定条件时才会发生，直接从代码中查出泄漏原因的难度较大，而且一旦内存泄漏发生在多线程程序中，从大量的代码中要靠人工找出泄漏原因，无论对新人还是老手都是一场噩梦

本文介绍一种在VS2003中检查内存泄漏的方法，供各位新人老手参考，在VC6中实现需要做一些变动，详情可自行参照相关资料。

检查策略分析

首先，假定我们需要检测一个24小时运行的平台程序的内存泄漏情况，我们无法确定具体的内存泄漏速度，但是我们可以确定该程序在一定时间内（如10分钟）泄漏的内存量是接近的，设为L(eak)。

考虑在10分钟的运行时间内程序新申请到的内存A(lloc)，这部分内存其实包含了程序运行正常申请，并会在后续运行中进行释放的普通内存块N(ormal)和泄漏的内存L，即：A = N + L

在后续的运行中，由于N部分不断的申请和释放，所以这部分的总量基本上是不变的，而L部分由于只申请而不释放，占用的内存总量将会越来越大。

将这个结果放到运行时间轴上，现在我们观察程序运行中的20分钟，我们假定内存泄漏速度为dL/10分钟，时间轴如下：

----------------|--------------------|-------------------|----------------------------
            Tn-2 Tn-1 Tn

三点间隔均为10分钟，则我们有如下结论：

Tn点总的内存分配量 An = N + dL * n，N为正常分配内存，dL*n为内存泄漏量的总和，而Tn-1点的内存总量则为 An-1 = N + dL*(n-1)。注意，我们这里不考虑释放的内存量，仅考虑增加的内存量。因此很明显单位时间内的内存泄漏量 dL = An - An-1。

生成内存Dump文件的代码实现

要完成如上的策略，我们首先需要能跟踪内存块的分配与释放情况，并且在运行时将分配情况保存到文件中，以便进行比较分析，所幸m$已经为我们提供了一整套手段，可以方便地进行内存追踪。具体实现步骤如下：

包含内存追踪所需库

在StdAfx.h中添加如下代码，注意必须定义宏_CRTDBG_MAP_ALLOC，否则后续dump文件将缺少内存块的代码位置。

#ifdef _DEBUG
            //for memory leak check
            #define _CRTDBG_MAP_ALLOC //使生成的内存dump包含内存块分配的具体代码为止
            #include
            #include
            #endif

启动内存追踪

上述步骤完成后，则可以在应用程序启动处添加如下代码，启动内存追踪，启动后程序将自动检测内存的分配与释放情况，并允许将结果输出。

//enable leak check
            _CrtSetDbgFlag( _CRTDBG_REPORT_FLAG);

将结果输出指向dump文件

由于默认情况下，内存泄漏的dump内容是输出到vs的debug输出窗口，但是对于服务类程序肯定没法开着vs的debug模式来追踪内存泄漏，所以必须将dump内容的输出转到dump文件中。在程序中添加如下部分：

HANDLE hLogFile;//声明日志文件句柄
            hLogFile = CreateFile("./log/memleak.log", GENERIC_WRITE, FILE_SHARE_WRITE|FILE_SHARE_READ,
            NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);//创建日志文件
            _CrtSetReportMode(_CRT_WARN, _CRTDBG_MODE_FILE);//将warn级别的内容都输出到文件（注意dump的
            报告级别即为warning）
            _CrtSetReportFile(_CRT_WARN, hLogFile);//将日志文件设置为告警的输出文件

保存内存Dump

完成了以上的设置，我们就可以在程序中添加如下代码，输出内存dump到指定的dump文件中：

_CrtMemState s1, s2, s3;//定义3个临时内存状态
            ......
            _CrtDumpMemoryLeaks();//Dump从程序开始运行到该时刻点，已分配而未释放的内存，即前述An
            //以下部分非必要，仅为方便后续分析增加信息
            _CrtMemCheckpoint( &s2 );
            if ( _CrtMemDifference( &s3, &s1, &s2) )
            {
            _CrtMemDumpStatistics( &s3 );//dump相邻时间点间的内存块变化
            //for next compare
            _CrtMemCheckpoint( &s1 );
            }
            time_t now = time(0);
            struct tm *nowTime = localtime(&now);
            _RPT4(_CRT_WARN,"%02d %02d:%02d:%02d snapshot dump.\n",
            nowTime->tm_mday, nowTime->tm_hour,nowTime->tm_min,nowTime->tm_sec);//输出该次dump时间

以上代码最好放在一个函数中由定时器定期触发，或者手动snapshot生成相等时间段的内存dump。

dump文件内容示例如下：

Detected memory leaks!
            Dumping objects ->
            {20575884} normal block at 0x05C4C490, 87 bytes long.
            Data: 02 00 1D 90 84 9F A6 89 00 00 00 00 00 00 00 00
            ...
            d:\xxxxx\xxxworker.cpp(903) : {20575705} normal block at 0x05D3EF90, 256 bytes long.
            Data: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
            ...
            Object dump complete.
            0 bytes in 0 Free Blocks.
            215968 bytes in 876 Normal Blocks.
            0 bytes in 0 CRT Blocks.
            0 bytes in 0 Ignore Blocks.
            0 bytes in 0 Client Blocks.
            Largest number used: 220044 bytes.
            Total allocations: 7838322 bytes.
            10 16:29:14 snapshot dump.

上面红色部分即为用户代码中分配而未释放的内存块位置。

解析Dump文件

前面我们已经通过dump文件获取到各时刻点的内存dump，根据前面的分析策略，我们只需要将第n次dump的内存块分配情况An，与第n-1次dump内存块分配情况An-1作比较，即可定位到发生内存泄漏的位置。由于dump文件一般容量巨大，*人工进行对比几乎不可能，所以仅介绍比较的思路，各位需要自行制作小工具进行处理。

1、提取两个相邻时间点的dump文件D1和D2，设D1是D2之前的dump

2、各自提取dump文件中用户代码分配的内存块（即有明确代码位置，而且为normal block的内存块），分别根据内存块ID（如“d:\xxxxx\xxxworker.cpp(903) : {20575705}”红色部分）保存在列表L1和L2

3、遍历列表L2，记录内存块ID没有在L1中出现过的内存块，这些内存块即为可能泄漏的内存

4、根据3的结果，按照内存的分配代码位置，统计各处代码泄漏的内存块个数，降序排列，分配次数越多的代码，内存泄漏可能性越大。