dlmalloc 2.8.6 源码详解—[6]调试分析

本文通过调试器观察dlmalloc堆分配器的运行过程,详细介绍了堆内存的分配与释放机制,包括对齐规则、chunk结构及快表操作等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

分析堆溢出漏洞不能仅仅停留在了解dlmalloc堆分配器运行原理,还需要通过调试器观察其运行过程并在堆内存中识别堆的数据结构,这就像实习医生学习做手术一样,最终检验还是要在手术台上。

1 调试代码

#include<stdio.h>
#include<stdlib.h>
#include<string.h>
#include<malloc.h>
#include<unistd.h>

void func_malloc()
{
    int *p1 , *p2 , *p3 , *p4 , *p5;
    p1 = (int *)malloc(sizeof(int) * 3);
    p2 = (int *)malloc(sizeof(int) * 5);
    p3 = (int *)malloc(sizeof(int) * 6);
    p4 = (int *)malloc(sizeof(int) * 8);
    p5 = (int *)malloc(sizeof(int) * 24);

    free(p1);
    free(p2);
    free(p3);
    free(p4);
    free(p5);
}

int main(int argc,char *argv[])
{
    write(STDOUT_FILENO, "Hello, World\n", 13);
    char buf[256];
    read(STDIN_FILENO, buf, 128);
    func_malloc();
}

编译后推送到调试设备中就可以进行调试了,具体步骤可以参考搭建Android系统C程序调试环境

2 堆的分配

2.1 初始化

首先,dlmalloc在初始状态下,整个内存空间中没有任何可用的chunk,可以通过查看mspace验证:

这里写图片描述


可以看到smallbins、treebins、dv和top都未分配可用的chunk,故第一次分配时,dlmalloc需要调用sys_alloc向系统申请内存(在初始化状态下第一次申请大小为对齐后的申请大小+ SYS_ALLOC_PADDING)用于后续堆分配使用,新申请的内存大小保存在top中,这就像零售商第一次进货一样,比如烟是按条进货的,后面可以在出售时可以按盒进行零售。

这里看下第一次分配,

p1 = (int *)malloc(sizeof(int) * 3);

由于此时dlmalloc处于初始状态,dlmalloc的ensure_initialization()宏会初始化并第一次向系统申请可用的堆内存,所以当初始化完毕后,dlmalloc的mspace:

这里写图片描述

此时,smallbins、treebins和dv仍没有可用的chunk,只有top被分配了初始化时向系统申请的内存用于chunk申请。

2.2 对齐

dlmalloc会对用户申请的堆内存大小进行对齐,对齐的规则是:

申请大小 + 4(chunkhead),计算的结果向8的倍数对齐

例如,这里申请13个字节,则实际分配的堆大小为24(13+4对齐到24)字节。

第一次分配调用的对齐代码和结果:

这里写图片描述

2.3 分配

先来回顾一下small request(< 256字节)堆空间的流程:

这里写图片描述

第一次分配的逻辑很简单。由于此时只有top可以申请chunk,所以dlmalloc只是简单的从top中分割出对齐后大小的chunk,对应的代码逻辑如下:

这里写图片描述

可以通过查看top的size和返回给用户的堆地址进行验证:

这里写图片描述

topsize = 4032(初始化) – 16(对齐后的申请大小)

mem = 0x7d5018 + 8(head + 交叉检验项)

2.4 识别

dlmalloc已分配chunk的结构图如下:

这里写图片描述

所以,从第一次分配的堆内存中可以找到chunk结构,

这里写图片描述

其中黄色框是chunk的head,蓝色框就是分配给用户使用的堆内存空间。再看下head,

这里写图片描述

后两位是C位和P位,所以chunk的大小就是10000即16字节,符合预期。

2.5 小结

后续的几次分配和第一次分配逻辑基本一致,都是直接在top上进行分割。从上述的调试过程中,可以得到一些小的结论:

  1. 用户申请的堆空间大小和实际获得的大小可能并不相同,实际要按对其规则计算,计算规则:
实际大小 = 8的倍数对齐(申请大小 + 4) – 4

PS:超出部分尽量不要使用以免程序不可移植。

  1. 初始状态下,small bins、tree bins快表都未分配可用的chunk,申请空间请求并没有查询这两个快表,直接在top中进行分割。

3 堆的释放

同样先来回顾一下释放堆空间的流程:

这里写图片描述
这里写图片描述

3.1 释放

第一次dlfree和分配时一样很简单,由于是第一个chunk并且后一个chunk是已分配状态所以直接插入到快表中即可。来通过调试验证一下结果:

首先,根据传入的堆指针得到对应的chunk指针:

这里写图片描述

最终调用插入快表宏:

这里写图片描述

在执行插入快表前msapce的状态,

这里写图片描述

插入后mspace的状态,

这里写图片描述

其中smallmap是快表中可用chunk的位图结构,由于当前刚刚释放的chunk是16字节分箱中第一个记录,所以chunk的fd和bk都指向自身,至于为什么是索引6和7可以回顾下快表(分箱bins)的设计。

3.2 合并

再来看下第二次释放。此时前一个chunk是刚刚释放的chunk,所以会和前一个chunk进行合并,并从快表中unlink前一个chunk。

这里写图片描述

我们看到合并后新的chunk地址会前移指向前一个chunk的地址。对比第一次释放的mspace结构,来看下此时的mspace:

这里写图片描述

此时,由于前一个chunk已经从快表中unlink,所以快表中没有任何可用的chunk,smallmap的值变成0,而且索引6和7位置的fd、bk值并没有改变,说明快表的申请和删除完全由位图smallmap决定。

最后,把合并后的chunk link到快表中,

这里写图片描述

同样来看下mspace结构的变化:

这里写图片描述

后面第3、4次释放的过程和第2次相同,只有最后一次释放有些区别,因为最后一次释放时,下一个 chunk是free chunk并且是top,所以会和下一个chunk合并,并更新top为合并后的chunk指针地址,具体过程不再贴图,这里只看下最终的mspace结构变化:

这里写图片描述

最终mspace的结构应该和dlmalloc初始化(2.1小结)时是一致的,但我们还是能从快表中看到前4次释放的痕迹。

PS:之所以本文中最终的mspace和初始化时不一致,是因为分配和释放的调试分成两次进行的。

dlmalloc是目前一个十分流行的内存分配器,其由Doug Lea(主页为http://gee.cs.oswego.edu/)从1987年开始编写,到目前为止,最新版本为2.8.3(可以从ftp://g.oswego.edu/pub/misc/malloc.c获取),由于其高效率等特点被广泛的使用(比如一些linux系统等用的就是dlmalloc或其变形,比如ptmalloc,主页为http://www.malloc.de/en/index.html)和研究(各位可以搜索关键字“GCspy”)。 dlmalloc的实现只有一个源文件(还有一个头文件),大概5000行,其内注释占了大量篇幅,由于有这么多注释存在的情况下,表面上看上去很容易懂,的确如此,在不追求细节的情况,对其大致思想的确很容易了解(没错,就只是了解而已),但是dlmalloc作为一个高品质的佳作,实现上使用了非常多的技巧,在实现细节上不花费一定的精力是没有办法深入理解其为什么这么做,这么做的好处在哪,只有当真正读懂后回味起来才发现它是如此美妙。 lenky0401个人博客将陆续推出对dlmalloc的解析(针对Doug Lea Malloc的最新版Version 2.8.3,未做说明的情况下以32位平台,8字节对齐作为假定平台环境设置考虑),由于个人水平有限,因此也不能完全保证对dlmalloc的所有理解都准备无误, 但是所有内容均出自个人的理解而并非存心妄自揣测来愚人耳目,所以如果读者发现其中有什么错误,请勿见怪,如果可以则请来信告之,并欢迎来信讨论(lenky0401@163.com)。 这一系列文章是lenky0401在看完dlmalloc的大部分代码后的再总结,不能保证对dlmalloc的整体完全把握,贴出这些只是希望可以提前收到对此有研究的网友的指点,以便在最后对这一系列文章整理而形成的PDF文档中错误能少一些。至于对于现在贴出来的内容中包含的错误给大家造成的不便提前说声抱歉。:) 描述的内容不会包含dlmalloc全部代码,但会将这其中涉及到的一些技巧尽量讲出,我相信对dlmalloc源代码不感兴趣的朋友也可以学到这些独立的技巧而使用在自己的编程实践中。:) 最后,转载请保留本博客地址连接[http://lenky0401.cublog.cn],谢谢。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值