堆机制笔记

最新推荐文章于 2020-09-09 17:07:51 发布
最新推荐文章于 2020-09-09 17:07:51 发布
阅读量305 收藏
点赞数
分类专栏: PWN
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WateranFire/article/details/102786763
版权

本文是对https://ctf-wiki.github.io/ctf-wiki/pwn/linux/glibc-heap/heap_overview-zh/ 做的笔记。

malloc(size_t n)

当 n=0 时,返回当前系统允许的堆的最小内存块,16 bytes on most 32bit systems, and 24 or 32 bytes on 64bit systems.

无论是 malloc 函数还是 free 函数,我们动态申请和释放内存时,都经常会使用,但是它们并不是真正与系统交互的函数。这些函数背后的系统调用主要是 (s)brk 函数以及 mmap, munmap 函数。

                                                 

(s)brk

对于堆的操作,操作系统提供了 brk 函数,glibc 库提供了 sbrk 函数,我们可以通过增加 brk 的大小来向操作系统申请内存。

堆的起始地址 start_brk 以及堆的当前末尾 brk 指向同一地址。根据是否开启 ASLR,两者的具体位置会有所不同

  • 不开启 ASLR 保护时,start_brk 以及 brk 会指向 data/bss 段的结尾。
  • 开启 ASLR 保护时,start_brk 以及 brk 也会指向同一位置,只是这个位置是在 data/bss 段结尾后的随机偏移处。

sbrk(0) 给出当前程序中断位置
brk(addr) 设置程序中断位置
cat /proc/pid/maps 可以查看当前运行的pid进程的内存映射情况。

虽然程序可能只是向操作系统申请很小的内存,但是为了方便,操作系统会把很大的内存分配给程序。这样的话,就避免了多次内核态与用户态的切换,提高了程序的效率。我们称这一块连续的内存区域为 arena

当 arena 空间不足时,它可以通过增加 brk 的方式来增加堆的空间。类似地,arena 也可以通过减小 brk 来缩小自己的空间。

当用户请求的内存大于 128KB 时,并且没有任何 arena 有足够的空间时,那么系统就会执行 mmap 函数来分配相应的内存空间。这与这个请求来自于主线程还是从线程无关。

 

fastbin最多有10个bin,LIFO,32位数据空间为 8 字节到 80 字节;

smallbin有62个循环双向链表,FIFO,chunk_size = 2 * SIZE_SZ *index(32位SIZE_SZ 32位为4,64位为8,index从2到63,32位有16~504字节大小);

largebin有63个bin,每个bin中chunk的大小不一致,而是处于一定区间范围内:

unsorted bin 可以视为空闲 chunk 回归其所属 bin 之前的缓冲区,只有一个bin,下标为1,其中的空闲 chunk 处于乱序状态,FIFO。有两个来源:

  • 当一个较大的 chunk 被分割成两半后,如果剩下的部分大于 MINSIZE,就会被放到 unsorted bin 中。
  • 释放一个不属于 fast bin 的 chunk,并且该 chunk 不和 top chunk 紧邻时,该 chunk 会被首先放到 unsorted bin 中。

 程序第一次进行 malloc 的时候,heap 会被分为两块,一块给用户,剩下的那块就是 top chunk。 top chunk 处于当前堆的最高物理地址。top chunk 的 prev_inuse 比特位始终为 1,否则其前面的 chunk 就会被合并到 top chunk 中。初始情况下,可以将 unsorted chunk 作为 top chunk。

用户使用 malloc 请求分配内存时,ptmalloc2 找到的 chunk 可能并不和申请的内存大小一致,这时候就将分割之后的剩余部分称之为 last remainder chunk ,unsort bin 也会存这一块。top chunk 分割剩下的部分不会作为 last remainer。

进行unlink操作时,取出chunk的fd和bk没有被修改,可以通过这个泄露地址:

  • libc 地址
    • P 位于双向链表头部,bk 泄漏
    • P 位于双向链表尾部,fd 泄漏
    • 双向链表只包含一个空闲 chunk 时,P 位于双向链表中,fd 和 bk 均可以泄漏
  • 泄漏堆地址,双向链表包含多个空闲 chunk
    • P 位于双向链表头部,fd 泄漏
    • P 位于双向链表中,fd 和 bk 均可以泄漏
    • P 位于双向链表尾部,bk 泄漏

一般来说,我们利用堆溢出的策略是:

  1. 覆盖与其物理相邻的下一个 chunk 的内容。
    • prev_size
    • size,主要有三个比特位,以及该堆块真正的大小。
      • NON_MAIN_ARENA
      • IS_MAPPED
      • PREV_INUSE
      • the True chunk size
    • chunk content,从而改变程序固有的执行流。
  2. 利用堆中的机制(如 unlink 等 )来实现任意地址写入( Write-Anything-Anywhere)或控制堆块中的内容等效果,从而来控制程序的执行流。
WateranFire
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
垃圾回收机制学习笔记
09-18
### 垃圾回收机制详解 #### 一、引言 在现代软件开发过程中,内存管理是确保程序高效稳定运行的关键因素之一。垃圾回收(Garbage Collection,简称GC)作为自动内存管理的一部分,在Java等高级语言中扮演着至关...
黑马程序员Javase笔记
01-18
"黑马程序员Javase笔记"是一个自学者在学习黑马程序员提供的Java全套课程过程中整理的笔记,主要涵盖了Java Standard Edition (Javase) 的核心内容。下面将详细讨论其中的关键知识点。 首先,DOS命令是操作系统中的...
机制
dengdaiforever的专栏
09-03 1528
栈为什么是向下增长的呢? 这几天频频要处理关于栈的问题,就是为什么在x86中栈是向下方向增长呢?也就是说为什么PUSH后,栈顶的内存地址是减小了呢? 过去也想过这个问题,当时只是感性上模糊地觉得这种设计真是巧妙……呵呵,可是仔细想的时候却发现原来自己也说不出个为什么来,又总是忘记到底是减小还是增加:-) “这个问题与虚拟地址空间的分配规则有关,每一个可执行C程序,从低地址到
的原理及实现
木子皿--啥都不会的菜鸟
04-16 726
文章目录1 的原理2 的实现2.1 的创建 1 的原理 先看一下长什么样: 最大的特点: 每个结点最多可以有2个子结点。 根结点的键值是所有结点值中的最大者,且每个结点的值都比其孩子的值大。 除了根结点没有兄弟结点,最后一个左子结点可以没有兄弟结点,其他结点必须有兄弟结点。 看一下如下几个符不符合最大的定义: (A、B不是,C是最大。) 看一下的特点: 是你见过的最...
内存分代机制详解
zxy_go1的博客
09-03 450
1.jvm的内存模型包括以下几部分: 方法区:是各个线程共享的内存区域,它用于存储已被虚拟机加载的类信息、常量、静态变量、即时编译器编译后的代码等数据 Java用来存储几乎所有对象、数组等都在此分配内存,在jvm内存中占的比很大,也是GC垃圾回收的主要地点 Java栈:当jvm在执行方法时,会在此区域中创建一个栈帧来存放方法的信息,比如返回值,局部变量表和各种对象引用等,方法开始执行前就先创建栈帧入栈,执行完后就出栈 本地方法栈:与Java栈类似,Java栈为虚拟机执行Java 方法(也就是字节码)服
的结构原理以及排序的实现
YG爱木木
11-02 276
1.不多说了,我想直接上代码。 #pragma once #include<cstdio> #include<iostream> using namespace std; template<class T> class MinHeap { private: //申请空间 T *_minHeap = NULL; int CurSize, _maxSiz...
Windows下内存管理机制研究
清风道的专栏
11-19 1409
 1引言是用来存放动态数据的内存区域,通常是位于保留的虚拟地址空间中的一个区域。刚开始时,保留区域中的多数页面并没有提交到物理存储器。随着从中越来越多地进行内存分配,管理器逐渐把更多的物理存储器提交给的物理存储器从系统页文件中分配,在释放时有专门的管理器负责对已占用物理存储器的回收。应用程序可以使用系统提供的一系列函数来创建自己的并对中的内存进行管理,主要包括内存块的分配和
笔记_笔记_
09-30
- Java的自动内存管理,包括内存和栈内存的分配,以及垃圾回收机制的工作原理。 6. **字符串处理** - String类的常用方法,如concat(), substring(), equals()等,以及String对象的不可变性。 - StringBuilder...
ProgrammingNotes:一编程笔记
04-15
"ProgrammingNotes:一编程笔记"这个资源很可能包含了一个程序员在学习C语言过程中所记录的各种关键概念、技巧和问题解决方案。 1. **C语言基础**: - **变量与数据类型**:C语言中的基本数据类型包括整型(int)...
Java基础尚硅谷宋红康学习笔记
05-29
7. **JVM优化**:理解JVM内存模型(如、栈、方法区、本地方法栈等)、垃圾收集机制以及性能调优技巧。 8. **设计模式**:设计模式是解决软件设计中常见问题的通用解决方案,如工厂模式、单例模式、观察者模式、...
李兴华Java笔记
03-25
10. **Java虚拟机(JVM)**:理解JVM的工作原理,如内存管理(、栈、方法区等)、垃圾收集、类加载机制,对于优化Java应用程序性能和排查问题非常有帮助。 由于这份笔记并非针对Java 8,因此可能不包含Java 8的新...
java学习笔记
09-17
11. **Java虚拟机(JVM)**:理解JVM的工作原理,包括类加载、内存管理(、栈、方法区等)、垃圾回收等,对优化Java程序性能至关重要。 12. **Java标准库**:Java标准库(JDK)提供了大量预先定义的类和接口,如...
JVM学习笔记(一)——类的加载机制
12-20
同时,在区创建一个`java.lang.Class`对象,作为对方法区内数据结构的封装。 - **验证**:加载后的类数据需要经过一系列的检查,确保其符合Java语言规范,不会危害JVM的安全性。验证包括格式验证、语义验证和...
jvm视频及笔记
08-28
"jvm视频及笔记"这个资源显然是一份全面学习JVM的材料,结合了视频教程和书面笔记,帮助学习者深入理解JVM的工作原理及其在实际开发中的应用。 JVM的学习可以从以下几个重要的知识点开始: 1. **JVM架构**:JVM...
达内java培训笔记
08-10
理解Java虚拟机(JVM)的工作原理,包括类加载机制、内存区域(如、栈、方法区)以及垃圾收集机制,有助于优化程序性能和避免内存泄漏。 九、设计模式 设计模式是解决常见编程问题的经验总结,如单例模式、工厂...
Java内存分配机制
Dorma_Bin的博客
01-07 1157
Java内存分配机制在Java的内存区域中,程序计数器,虚拟机栈,本地方法栈3个区域随线程而生,随线程而灭;栈中的栈帧随着方法的进入和退出执行入栈和出栈。因此这几个内存区域的内存分配和划分都具有确定性。而Java不一样。由于其不确定性,JVM关注的内存分配与回收重点都在这。Java内存的分配整体可以概述为“自适应的,分代的,停止-复制,标记-清除”式的垃圾回收器。分代指Java将内存划分为年
机制--模拟实现原理
lu的博客
09-01 1275
机制--模拟实现原理 知识点简要介绍:     栈:限定在表头进行插入和删除操作的线性表,引申为仓库 一种数据结构,只能在一端进行插入和删除操作,后进先出(LIFO)原则存储数据,push入栈,pop出栈 允许插入和删除的一段为栈顶(低地址的一端),另一端为栈底 同队列一样没有数据类型的界限 算法: push入栈:     1.TOP++;     2.若Top
Dance In Heap(一):浅析的申请释放及相应保护机制
weixin_30636089的博客
10-27 91
0×00 前面的话 在内存中,是一个很有趣的地方,因为它可以由用户去直接的进行分配与销毁,所以也产生了一些很有趣、奇思妙想的漏洞,像unlink漏洞、House系列漏洞等等。但是在学习的过程中,我们很容易难以理解那些介绍的比较模糊的概念,比如 unsortedbin 在某些条件下会放回 smallbin 或 largebin 中,那到底是什么时候?也会对一些大佬构造的 payload 犯迷糊,...
的插入/删除算法
qq_40760291的博客
09-09 522
的插入:将新的远素插入到数的最后的叶子节点,之后就采用向上调整算法 的删除:将顶元素删除后,之后将二叉树的最后的元素的替换根节点,然后采取向下调整算法。 的表示,层序遍历。 ...
Java编程笔记3:与栈的区别与管理
Java编程笔记3深入探讨了Java内存模型中的两个关键部分:内存和栈内存。在Java中,内存被划分为这两部分是为了实现不同的功能和优化。 1. **内存(Heap)**: - 是Java用于存储所有由`new`关键字创建的对象...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值