dlmalloc 2.8.6 源码详解—[6]调试分析

最新推荐文章于 2020-04-18 11:39:09 发布
最新推荐文章于 2020-04-18 11:39:09 发布
阅读量1.1k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: Android 漏洞分析基础 文章标签: android dlmalloc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/txx_683/article/details/53458116
本文通过调试器观察dlmalloc堆分配器的运行过程,详细介绍了堆内存的分配与释放机制,包括对齐规则、chunk结构及快表操作等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

分析堆溢出漏洞不能仅仅停留在了解dlmalloc堆分配器运行原理,还需要通过调试器观察其运行过程并在堆内存中识别堆的数据结构,这就像实习医生学习做手术一样,最终检验还是要在手术台上。

1 调试代码

#include<stdio.h>
#include<stdlib.h>
#include<string.h>
#include<malloc.h>
#include<unistd.h>

void func_malloc()
{
    int *p1 , *p2 , *p3 , *p4 , *p5;
    p1 = (int *)malloc(sizeof(int) * 3);
    p2 = (int *)malloc(sizeof(int) * 5);
    p3 = (int *)malloc(sizeof(int) * 6);
    p4 = (int *)malloc(sizeof(int) * 8);
    p5 = (int *)malloc(sizeof(int) * 24);

    free(p1);
    free(p2);
    free(p3);
    free(p4);
    free(p5);
}

int main(int argc,char *argv[])
{
    write(STDOUT_FILENO, "Hello, World\n", 13);
    char buf[256];
    read(STDIN_FILENO, buf, 128);
    func_malloc();
}

编译后推送到调试设备中就可以进行调试了,具体步骤可以参考搭建Android系统C程序调试环境

2 堆的分配

2.1 初始化

首先,dlmalloc在初始状态下,整个内存空间中没有任何可用的chunk,可以通过查看mspace验证:

这里写图片描述

可以看到smallbins、treebins、dv和top都未分配可用的chunk,故第一次分配时,dlmalloc需要调用sys_alloc向系统申请内存(在初始化状态下第一次申请大小为对齐后的申请大小+ SYS_ALLOC_PADDING)用于后续堆分配使用,新申请的内存大小保存在top中,这就像零售商第一次进货一样,比如烟是按条进货的,后面可以在出售时可以按盒进行零售。

这里看下第一次分配,

p1 = (int *)malloc(sizeof(int) * 3);

由于此时dlmalloc处于初始状态,dlmalloc的ensure_initialization()宏会初始化并第一次向系统申请可用的堆内存,所以当初始化完毕后,dlmalloc的mspace:

这里写图片描述

此时,smallbins、treebins和dv仍没有可用的chunk,只有top被分配了初始化时向系统申请的内存用于chunk申请。

2.2 对齐

dlmalloc会对用户申请的堆内存大小进行对齐,对齐的规则是:

申请大小 + 4(chunkhead),计算的结果向8的倍数对齐

例如,这里申请13个字节,则实际分配的堆大小为24(13+4对齐到24)字节。

第一次分配调用的对齐代码和结果:

这里写图片描述

2.3 分配

先来回顾一下small request(< 256字节)堆空间的流程:

这里写图片描述

第一次分配的逻辑很简单。由于此时只有top可以申请chunk,所以dlmalloc只是简单的从top中分割出对齐后大小的chunk,对应的代码逻辑如下:

这里写图片描述

可以通过查看top的size和返回给用户的堆地址进行验证:

这里写图片描述

topsize = 4032(初始化) – 16(对齐后的申请大小)

mem = 0x7d5018 + 8(head + 交叉检验项)

2.4 识别

dlmalloc已分配chunk的结构图如下:

这里写图片描述

所以,从第一次分配的堆内存中可以找到chunk结构,

这里写图片描述

其中黄色框是chunk的head,蓝色框就是分配给用户使用的堆内存空间。再看下head,

这里写图片描述

后两位是C位和P位,所以chunk的大小就是10000即16字节,符合预期。

2.5 小结

后续的几次分配和第一次分配逻辑基本一致,都是直接在top上进行分割。从上述的调试过程中,可以得到一些小的结论:

  1. 用户申请的堆空间大小和实际获得的大小可能并不相同,实际要按对其规则计算,计算规则:
实际大小 = 8的倍数对齐(申请大小 + 4) – 4

PS:超出部分尽量不要使用以免程序不可移植。

  1. 初始状态下,small bins、tree bins快表都未分配可用的chunk,申请空间请求并没有查询这两个快表,直接在top中进行分割。

3 堆的释放

同样先来回顾一下释放堆空间的流程:

这里写图片描述
这里写图片描述

3.1 释放

第一次dlfree和分配时一样很简单,由于是第一个chunk并且后一个chunk是已分配状态所以直接插入到快表中即可。来通过调试验证一下结果:

首先,根据传入的堆指针得到对应的chunk指针:

这里写图片描述

最终调用插入快表宏:

这里写图片描述

在执行插入快表前msapce的状态,

这里写图片描述

插入后mspace的状态,

这里写图片描述

其中smallmap是快表中可用chunk的位图结构,由于当前刚刚释放的chunk是16字节分箱中第一个记录,所以chunk的fd和bk都指向自身,至于为什么是索引6和7可以回顾下快表(分箱bins)的设计。

3.2 合并

再来看下第二次释放。此时前一个chunk是刚刚释放的chunk,所以会和前一个chunk进行合并,并从快表中unlink前一个chunk。

这里写图片描述

我们看到合并后新的chunk地址会前移指向前一个chunk的地址。对比第一次释放的mspace结构,来看下此时的mspace:

这里写图片描述

此时,由于前一个chunk已经从快表中unlink,所以快表中没有任何可用的chunk,smallmap的值变成0,而且索引6和7位置的fd、bk值并没有改变,说明快表的申请和删除完全由位图smallmap决定。

最后,把合并后的chunk link到快表中,

这里写图片描述

同样来看下mspace结构的变化:

这里写图片描述

后面第3、4次释放的过程和第2次相同,只有最后一次释放有些区别,因为最后一次释放时,下一个 chunk是free chunk并且是top,所以会和下一个chunk合并,并更新top为合并后的chunk指针地址,具体过程不再贴图,这里只看下最终的mspace结构变化:

这里写图片描述

最终mspace的结构应该和dlmalloc初始化(2.1小结)时是一致的,但我们还是能从快表中看到前4次释放的痕迹。

PS:之所以本文中最终的mspace和初始化时不一致,是因为分配和释放的调试分成两次进行的。

dlmalloc源码解析
09-01
源码级别详细介绍dlmalloc内存管理思想,尤其针对算法和代码技巧角度剖析dlmalloc
zig-dlmalloc:将dlmalloc-2.8.6进行中的工作端口移植到Zig
05-16
《Zig语言与C语言结合:移植dlmalloc-2.8.6至Zig平台》 在编程领域,内存管理是至关重要的一个环节,而dlmalloc(Doug Lea's Malloc)是由著名计算机科学家Doug Lea编写的内存分配器,因其高效、灵活的特性,在...
《软件调试分析技术》学习笔记
weiyinchao88
02-14 265
《软件调试分析技术》学习笔记(一) 今天开始写写一些心得体验。 《软件调试分析技术》是好友Monster的处女作品。作为一直以的好伙伴,他是我看着长大的,(*^__^*) 嘻嘻……之所以有今天这样的成绩,是与他的努力和天赋脱不了关系的。他大方地给了我PDF版的,我也大方的给了我们全班。但我们班有同学说,“这是撒子呦,看不看不懂”。我决心写一些学习笔记,和我班的同学一起来多交流,让更多热爱次行业...
调试分析
weixin_34413357的博客
10-17 167
一、获取内核转储 大多数Linux发行版默认关闭内核转储功能,可使用 ulimit -c 查看,-c 表示内核转储文件的大小限制,如果为0,表示未开启。 1、可设置为 ulimit -c unlimited 表示无限制,或设置为其它数值,单位是字节,立即生效。 2、修改 /etc/security/limits.conf 文件,重启后生效。 开启该功能后,当程序异常终止时,会在当前目录下生...
dlmalloc 简析
aa168888的博客
07-23 495
本文基于android kitkat所用的dlmalloc版本进行分析。malloc/free work flow malloc/free是libc库提供的函数,主要是用户层的操作,而不是内核的系统调用。一般的heap管理是通过sbrk或者mmap函数来向系统获取大量的内存(只是虚拟的内存地址),然后由特定的heap管理算法来管理用户程序申请/释放内存(比如dlmalloc)。有一...
内存分配器dlmalloc 2.8.3源码浅析
larryliuqing的专栏-xxx
02-01 7303
目    录 1. 本文档介绍 1 2.边界标记法 2 3. 分箱式内存管理 6 4. 核心结构体malloc_state 13 5. 内存分配相关函数 16 5.1 函数dlmalloc 16 5.2 函数tmalloc_small 25 5.3 函数tmalloc_large 27 5.4 函数sys_alloc 32 5.5 函数mmap_alloc 39 6. 内存回
内存分配器dlmalloc 2.8.3源码浅析.pdf
02-01
### 内存分配器dlmalloc 2.8.3源码浅析 #### 1. 概述 ...通过对dlmalloc源码的深入分析,我们可以学习到许多关于内存管理的高级技巧和最佳实践,这对于理解和设计高性能的内存管理系统是非常有价值的。
内存分配器dlmalloc2.8.3源码浅析
06-18
### 内存分配器dlmalloc2.8.3源码浅析 #### 1. 边界标记法 dlmalloc采用边界标记法对内存进行高效管理。这种方法通过将可用内存分割成一系列固定大小的块(chunk),每个块都有特定的头部和尾部信息用于追踪其状态...
内存分配器dlmalloc 2.8.3源码浅析.doc
03-01
本文档旨在为读者提供一个理解dlmalloc工作原理的起点,通过分析源码,我们可以学习到如何设计和实现一个高效的内存管理系统。 2. **边界标记法** dlmalloc使用边界标记法来管理内存块。这种方法在每个分配的内存...
dlmalloc源码分析
06-08
dlmalloc源码分析,newlib中malloc函数的实现。
dlmalloc说明及代码
05-11
dlmalloc是目前一个十分流行的内存分配器,其由Doug Lea(主页为http://gee.cs.oswego.edu/)从1987年开始编写,到目前为止,最新版本为2.8.3(可以从ftp://g.oswego.edu/pub/misc/malloc.c获取),由于其高效率等特点被广泛的使用(比如一些linux系统等用的就是dlmalloc或其变形,比如ptmalloc,主页为http://www.malloc.de/en/index.html)和研究(各位可以搜索关键字“GCspy”)。 dlmalloc的实现只有一个源文件(还有一个头文件),大概5000行,其内注释占了大量篇幅,由于有这么多注释存在的情况下,表面上看上去很容易懂,的确如此,在不追求细节的情况,对其大致思想的确很容易了解(没错,就只是了解而已),但是dlmalloc作为一个高品质的佳作,实现上使用了非常多的技巧,在实现细节上不花费一定的精力是没有办法深入理解其为什么这么做,这么做的好处在哪,只有当真正读懂后回味起来才发现它是如此美妙。 lenky0401个人博客将陆续推出对dlmalloc的解析(针对Doug Lea Malloc的最新版Version 2.8.3,未做说明的情况下以32位平台,8字节对齐作为假定平台环境设置考虑),由于个人水平有限,因此也不能完全保证对dlmalloc的所有理解都准备无误, 但是所有内容均出自个人的理解而并非存心妄自揣测来愚人耳目,所以如果读者发现其中有什么错误,请勿见怪,如果可以则请来信告之,并欢迎来信讨论(lenky0401@163.com)。 这一系列文章是lenky0401在看完dlmalloc的大部分代码后的再总结,不能保证对dlmalloc的整体完全把握,贴出这些只是希望可以提前收到对此有研究的网友的指点,以便在最后对这一系列文章整理而形成的PDF文档中错误能少一些。至于对于现在贴出来的内容中包含的错误给大家造成的不便提前说声抱歉。:) 描述的内容不会包含dlmalloc全部代码,但会将这其中涉及到的一些技巧尽量讲出,我相信对dlmalloc源代码不感兴趣的朋友也可以学到这些独立的技巧而使用在自己的编程实践中。:) 最后,转载请保留本博客地址连接[http://lenky0401.cublog.cn],谢谢。
dlmalloc源码
hjs1122的专栏
07-21 2179
//头文件/** Default header file for malloc-2.8.x, written by Doug Lea and released to the public domain, as explained at http://creativec
代码调试分析
向小雅的博客
04-18 1480
Debug 设置断点 访问到达第一个断点,自动激活debug 调试按钮:【8个】下一步F6、进入方法内部(有限制,不会进入官方方法)F5、进入方法内部(无限制)、回退 服务按钮:【7个】重启、跳到下一个断点处、停止、断点详情 方法调用栈:显示了该线程调试所经过的所有方法 变量区Variables:查看当前断点之前的当前方法内的变量 基本用法 变量值查看:1.参数所在代码行 直接看;2...
dlmalloc源码剖析之:mALLOc
vt.buxiu技术文集
01-01 2064
dlmalloc源码剖析之:mALLOc版权声明: 本文章由vt.buxiu发布在www.vtzone.org,版权归vtzone研究小组所有,转载请保持此声明!!! @@内容摘要:这个函数应该是所有使用C/C++的人最熟悉的malloc调用的实现,c语言标准库提供的malloc函数.如果你使用linux, douglea malloc已经默认作为glibc的malloc,新的版本可能用
dlmalloc 2.8.6 源码详解—[2]分箱(bins)
杏林小轩
12-04 2251
转载自:vector032.2 分箱(bins)内存分配器设计中需要解决的两个重要问题就是空间和时间的矛盾.所谓空间矛盾是指要减少两方面的内存浪费,一是来自分配器本身overhead信息的占用,另外则来自分配的chunk由于对齐或碎片化造成的利用率降低.而时间矛盾是指在最短时间内,以最小的时间复杂度,计算出应该返回给用户的内存量以及内存地址. dlmalloc应对这两个矛盾使用的核心算法就是分箱机制
dlmalloc 2.8.6 源码详解—[3]核心数据结构malloc_state
杏林小轩
12-04 2792
转载自:vector032.3 区段(segment)在dlmalloc的内部结构中,除了基础的chunk外,还存在一种粒度更粗的结构,称为区段(segment).之所以需要额外引入这种数据结构是为了提升对非连续内存的管理能力. dlmalloc将连续内存划分到一个segment中管理,而段与段之间则是不连续的,所有的段都由一个mspace统一去管理.如果用户程序创建了多个mspace,这些mspa
调试分析
jimk1983的专栏
11-01 710
分析: 0: kd> kv            00 98803784 99d60f41 88e0fe00 98803814 98803810 DoubleCBFilter!PfpGetFullPathPreCreate (FPO: [Non-Fpo]) (CONV: stdcall) 01 98803890 99d61303 00000000 86f1d020 88e0fe00 Dou
dlmalloc 2.8.3源码解析:内存管理技术探秘
"内存分配器dlmalloc2.8.3源码浅析" 内存分配器 dlmalloc 是 Doug Lea 开发的一款高效、广泛使用的内存分配器。它以其高效的性能和灵活的设计被许多操作系统和应用程序所采用,如 Linux 系统中的 ptmalloc3。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值