内存越界问题是项目开发中比较难解决的问题,下面就简单的描述下内存越界的种类、现象及引起的原因。
首先要明白进程地址空间的分配如下图:
如果进程是多线程的,则每个线程都会在用户的栈区开辟一个自己的栈。
了解的上述分布图,知道每个变量、每块内存在系统中的布局,很容易区分一个 地址是否为有效地址,一个变量或者内存的数据被破坏了可以大致判断出是那个变量或者内存使用越界了。
一:栈
1 :ESP寄存器始终指向栈的顶部
2:EBP寄存器指向函数的一个活动记录成为帧指针
3:C语言函数调用入栈的顺序是从右向左
4:如果函数返回一个大的结构体变量,调用该函数的函数要在栈中开辟一个同样大小的空间,然后把该空间的地址作为一个隐式参数传递给该函数,该函数将需要返回的内容拷贝到该地址,然后通过EAX寄存器返回该地址
下图是一个很常见的活动记录。
总结栈的基本模型如下:
参数N | ↓高地址 |
参数… | 函数参数入栈的顺序与具体的调用方式有关 |
参数 3 | |
参数 2 | |
参数 1 | |
EIP | 返回本次调用后,下一条指令的地址 |
EBP | 保存调用者的EBP,然后EBP指向此时的栈顶。 |
临时变量1 |
|
临时变量2 |
|
临时变量3 |
|
临时变量… |
|
临时变量5 | ↓低地址 |
二:堆
1:malloc 分配小块内存时是在小于0x4000 0000的内存中分配的,通过brk/sbrk不断向上扩展。分配大块内存是是通过mmap分配在大于0x4000 0000的文件映射区。
2:malloc分配的内存前面存放该内存的大小,后面是空闲内存块(可能会被malloc调用分配出去)
三:内存越界的种类
1:栈溢出:
主要现象:(1):某些全局变量被修改
(2):某些任务不能正常工作函数调用不正常
(3):某些局部变量被修改
主要原因:(1):线程堆栈开辟的太小
(2):定义的太大的局部变量
(3):函数调用太深
2:堆栈内部越界
主要现象:(1):某些局部变量被修改
(2):函数返回的时候死机
主要原因:(1):临时变量或者数组越界
3:全局变量或者动态分配的内存越界
主要现象:(1):全局变量被修改
(2):内存泄漏(如果动态分配的内存越界,有可能导致被越界的内存无法释放或者不能全部释放)
主要原因:全局或者动态分配的内存越界。
一些容易引起内存越界的操作:
1:注意strcpy sprintf memcpy 函数目的缓冲区的大小
2:strncpy strcpy 目的缓冲区的大小及源缓冲区是否以\0结尾
3:还要注意数组的大小、循环的次数
4:链表的头部和尾部在处理插入和删除节点时的操作
注:如果是全局变量被越界,可以用readelf工具读出可执行文件的符号表,看下该全局变量前面的变量是哪个,然后看下相关代码是否有越界的情况。