在《有趣的动态转换》这篇文章中，运行 测试代码3 会崩溃。本文试图揭示崩溃的原因。

在开始之前，需要更正《C++ 虚函数简介》中的一个错误。关于 CBase 和 CDerived 的虚表内容，析构函数的位置并不是直接存储了虚函数的地址，而是存储了一段编译器生成的函数，该函数内部会调用对应的析构函数。

所以正确的虚表应该是下面这样的：

注意：debug 版默认会引入另外一层间接层，而 release 版不会。

回顾一下 测试代码3 运行后的错误提示，如下图：

这是一个栈平衡被破坏的错误。在 vs 中单步调试可以知道是在执行 delete(pBaseA); 的时候导致的错误。奇怪的是，在崩溃之前，还输出了一个 NewB::PerfectFunctionName。光看源码，看不出什么问题了，需要查看反汇编代码了。

根据上图中的解释，执行 delete (pBaseA); 会输出 NewB::PerfectFunctionName 已经很清楚了。但是为什么会崩溃呢？不知道有没有小伙伴儿注意到那个奇怪的 push 1。函数 NewB::PerfectFunctionName() 是没有参数的，而这里的 push 1 却向栈上压入了一个参数，所以栈就不平衡了。

至此，执行 delete (pBaseA); 会输出 NewB::PerfectFunctionName 并且崩溃的来龙去脉应该已经清楚了。但是那个 push 1 到底是什么呢？

为了弄清这个 push 1 的来历与作用，我把 delete pBaseA 改成了 delete((BaseB*)pBaseA);，这样代码会按正常的逻辑执行。 也就是会执行到 NewB::'vector deleting destructor'。查看对应的反汇编代码，如下图：

从图中高亮的三句反汇编语句可知：NewB::vector deleting destructor 需要一个参数。该参数是一个标记，如果为 1，则调用 operator delete 释放内存，否则不释放内存。

从整个反汇编代码可知，NewB::vector deleting destructor 会先执行 NewB::~NewB()，然后根据外部传入的标记来决定是否调用 operator delete 释放内存。

至此，理清了 push 1 的用途，那什么时候会 push 0 呢？

不知道有没有小伙伴儿显式调用过析构函数，像下面这样。

如果查看 pBaseB->~BaseB() 的反汇编代码，一切都会真相大白。如下图：

相信有经验的 C++ 开发人员一定听过类似的忠告：带有多态性质的基类应该声明一个虚析构函数。如果类带有任何虚函数，它就该拥有一个虚析构函数。

如果析构函数不是虚函数呢？会有什么问题吗？稍微改动一下测试代码，如下：

运行结果如下图：

只有基类的析构函数被调用，子类的析构函数并没有被调用！为什么会这样呢？真相就在反汇编代码里：

从上图可知，如果要 delete 的类型的析构函数是非虚的，那么 vs 中带的编译器在生成汇编代码时，会直接调用对应类型的 scalar deleting destructor，不存在多态行为！这会导致子类的析构函数没有被调用！

如果一个类会被当成基类使用，请确保其析构函数是虚函数。

在生成 delete (pBaseA); 这条语句的汇编代码时，编译器是根据 pBaseA 的静态类型确定虚析构函数在虚表中的位置的。而不是根据 pBaseA 实际指向的类型。

vs 反汇编代码

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)