glibc-2.23 _int_malloc函数流程分析

已于 2022-05-08 20:56:08 修改
阅读量517 收藏 3
点赞数
分类专栏: pwn入门 C语言 文章标签: c语言 安全
于 2022-05-08 20:50:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34010404/article/details/124653547
版权

文章目录

_int_malloc流程分析

1.尝试在fastbin里面寻找

若needbytes 是小于fastbin最大chunk的大小,根据needbytes计算出idx,在对应的bin里面看一下有没有chunk。若对应的bin并不是空的,那么取出一个chunk 名为victim,检查一下victim的size是否与所在的bin对应,然后返回。否则往下执行
对应代码:

if ((unsigned long)(nb) <= (unsigned long)(get_max_fast()))
 {
   idx = fastbin_index(nb);
   mfastbinptr *fb = &fastbin(av, idx);
   mchunkptr pp = *fb;
   do
   {
     victim = pp;
     if (victim == NULL)
       break;
   } while ((pp = catomic_compare_and_exchange_val_acq(fb, victim->fd, victim)) != victim);
   //检测目标chunk的size是否正确.
   if (victim != 0)
   {
     if (__builtin_expect(fastbin_index(chunksize(victim)) != idx, 0))
     {
       errstr = "malloc(): memory corruption (fast)";
     errout:
       malloc_printerr(check_action, errstr, chunk2mem(victim), av);
       return NULL;
     }
     check_remalloced_chunk(av, victim, nb);
     void *p = chunk2mem(victim);
     alloc_perturb(p, bytes);
     return p;
   }
 }

2.尝试在small bin里面寻找

若needbytes是属于small bin范围,那么根据needbytes计算出idx,看一下对应的bin里面是否有chunk,若有的话,取出最后一个chunk,返回。否则往下执行。
对应代码:

if (in_smallbin_range(nb))
 {
   //0x20,0x30.......0x410
   idx = smallbin_index(nb);
   bin = bin_at(av, idx);
   if ((victim = last(bin)) != bin)
   {
     //一开始每一个Bin里面的地址都是0,得进行初始化.
     if (victim == 0) /* initialization check */
       malloc_consolidate(av);
     else
     {
       bck = victim->bk;
       if (__glibc_unlikely(bck->fd != victim))
       {
         errstr = "malloc(): smallbin double linked list corrupted";
         goto errout;
       }
       set_inuse_bit_at_offset(victim, nb);
       bin->bk = bck;
       bck->fd = bin;

       if (av != &main_arena)
         victim->size |= NON_MAIN_ARENA;
       check_malloced_chunk(av, victim, nb);
       void *p = chunk2mem(victim);
       alloc_perturb(p, bytes);
       return p;
     }
   }
 }

3.触发malloc_consolidate

若needbytes不属于small bin,那么会触发malloc_consolidate来合并fastbin里面的chunk。
由于fastbin里面的chunk始终被认为是inuse,所以fastbin里面的chunk除了malloc_consolidate函数能够将其合并之外,没有其他的机会。合并的原因就是(可能)提供所需的large chunk。
对应代码:

 else
 {
     idx = largebin_index(nb);
     //由于fastbin里面的chunk始终是被认为使用的,所以不会被合并,
     //但是现在需要large 的chunk,得合并fastbin里面的chunk,可能提供large chunk
     if (have_fastchunks(av))
       malloc_consolidate(av);
 }

4.for()循环:

  1. 从后往前遍历unsorted bin里面的chunk:
    • 若unsorted bin里面只有一个chunk,满足need bytes 是small bin范围内,这个chunk 是reminder,reminder除去needbytes之任能形成一个chunk,那么就从这个chunk上分割出需要的大小,剩余部分仍然保留在unsorted bin里面,reminder指向剩余的部分
if (in_smallbin_range(nb) &&bck == unsorted_chunks(av) &&victim == av->last_remainder &&
            (unsigned long)(size) > (unsigned long)(nb + MINSIZE))
          {
              /* split and reattach remainder */
              remainder_size = size - nb;
              remainder = chunk_at_offset(victim, nb);
              //剩余的部分继续放到unsorted bin里面
              unsorted_chunks(av)->bk = unsorted_chunks(av)->fd = remainder;
              av->last_remainder = remainder;
              remainder->bk = remainder->fd = unsorted_chunks(av);
              //
              if (!in_smallbin_range(remainder_size))
              {
                remainder->fd_nextsize = NULL;
                remainder->bk_nextsize = NULL;
              }

              set_head(victim, nb | PREV_INUSE |
                                  (av != &main_arena ? NON_MAIN_ARENA : 0));
              set_head(remainder, remainder_size | PREV_INUSE);
              set_foot(remainder, remainder_size);

              check_malloced_chunk(av, victim, nb);
              void *p = chunk2mem(victim);
              alloc_perturb(p, bytes);
              return p;
          }
    • 将chunk从unsorted bin里面摘除
 unsorted_chunks(av)->bk = bck;
 bck->fd = unsorted_chunks(av);
    • 若chunk size 和need bytes相等,返回这个chunk
 if (size == nb)
 {
   set_inuse_bit_at_offset(victim, size);
   if (av != &main_arena)
     victim->size |= NON_MAIN_ARENA;
   check_malloced_chunk(av, victim, nb);
   void *p = chunk2mem(victim);
   alloc_perturb(p, bytes);
   return p;
 }
    • 将该chunk 放到对应的normal bin里面,并标记bitmap
if (in_smallbin_range(size))
{
  victim_index = smallbin_index(size);

  //bck 指向的是数组
  //fwd 是next 
  bck = bin_at(av, victim_index);
  fwd = bck->fd;
}
else
{
  victim_index = largebin_index(size);
  bck = bin_at(av, victim_index);
  fwd = bck->fd;

  /* maintain large bins in sorted order */
  if (fwd != bck)
  {
    /* Or with inuse bit to speed comparisons */
    size |= PREV_INUSE;
    /* if smaller than smallest, bypass loop below */
    assert((bck->bk->size & NON_MAIN_ARENA) == 0);
    //新的chunk比最小的chun大小还要小,就把新的这个chunk放在large bin的末尾.
    if ((unsigned long)(size) < (unsigned long)(bck->bk->size))
    {
      fwd = bck;
      bck = bck->bk;
      //设置victim 的fd_nextsize和bk_nextsize
      victim->fd_nextsize = fwd->fd;
      victim->bk_nextsize = fwd->fd->bk_nextsize;
      //设置victim 下一个chunk (head->fd)的bk__nextsize和前一个chunk的fd_nextsize;
      fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim;
    }
    else
    {
      //否则找到合适的位置.
      assert((fwd->size & NON_MAIN_ARENA) == 0);
      while ((unsigned long)size < fwd->size)
      {
        fwd = fwd->fd_nextsize;
        assert((fwd->size & NON_MAIN_ARENA) == 0);
      }
      //victim 和fwd 一样大
      if ((unsigned long)size == (unsigned long)fwd->size)
        /* Always insert in the second position.  */
        fwd = fwd->fd;
      else
      {
        //victim 比fwd 更大.
        victim->fd_nextsize = fwd;
        victim->bk_nextsize = fwd->bk_nextsize;
        //
        //后一个nextsize chunk
        fwd->bk_nextsize = victim;
        //前一个nextsize chunk
        victim->bk_nextsize->fd_nextsize = victim;
      }
      bck = fwd->bk;
    }
  }
  else
    //对应的large bin是空的
    victim->fd_nextsize = victim->bk_nextsize = victim;
}
//在bitmap里面标记这个bin不是空的.
mark_bin(av, victim_index);

victim->bk = bck;
victim->fd = fwd;
fwd->bk = victim;
bck->fd = victim;
  1. 若need bytes不属于small bin范围,即在large chunk范围内:
    • 找到对应bin
    • 若对应的bin不为空,而且在这个bin里面最小的chunk(也就是最后一个chunk) 的chunk size >= needbytes,从后往前遍历,寻找到第一个>= needbytes的chunk,然后unlink,在这个操作中会避免取下每种size的第一个chunk(因为还得调整bk_nextsize和fd_nextsize)。取下之后在这个chunk上分割出需要的大小,并把剩余的部分插到unsorted bin的开头,返回
bin = bin_at(av, idx);
/* skip scan if empty or largest chunk is too small */
if ((victim = first(bin)) != bin &&
    (unsigned long)(victim->size) >= (unsigned long)(nb))
{
  victim = victim->bk_nextsize;
  //从后往前遍历..寻找第一个 >= nb的chunk
  while (((unsigned long)(size = chunksize(victim)) <(unsigned long)(nb)))
    victim = victim->bk_nextsize;

  /* Avoid removing the first entry for a size so that the skip
     list does not have to be rerouted.  */
  if (victim != last(bin) && victim->size == victim->fd->size)
    victim = victim->fd;

  remainder_size = size - nb;
  unlink(av, victim, bck, fwd);

  /* Exhaust */
  if (remainder_size < MINSIZE)
  {
    set_inuse_bit_at_offset(victim, size);
    if (av != &main_arena)
      victim->size |= NON_MAIN_ARENA;
  }
  /* Split */
  else
  {
    //把reminder 插入到unsorted bin的开头位置
    remainder = chunk_at_offset(victim, nb);
    /* We cannot assume the unsorted list is empty and therefore
       have to perform a complete insert here.  */
    bck = unsorted_chunks(av);
    fwd = bck->fd;
    if (__glibc_unlikely(fwd->bk != bck))
    {
      errstr = "malloc(): corrupted unsorted chunks";
      goto errout;
    }
    remainder->bk = bck;
    remainder->fd = fwd;

    bck->fd = remainder;
    fwd->bk = remainder;
    
    if (!in_smallbin_range(remainder_size))
    {
      remainder->fd_nextsize = NULL;
      remainder->bk_nextsize = NULL;
    }
    set_head(victim, nb | PREV_INUSE |
                         (av != &main_arena ? NON_MAIN_ARENA : 0));
    set_head(remainder, remainder_size | PREV_INUSE);
    set_foot(remainder, remainder_size);
  }
  check_malloced_chunk(av, victim, nb);
  void *p = chunk2mem(victim);
  alloc_perturb(p, bytes);
  return p;
}
  1. 扫描bins找到能提供needbytes的chunk
    开头有这样一段代码:
++idx;                        
bin = bin_at(av, idx);
block = idx2block(idx);     
map = av->binmap[block];
bit = idx2bit(idx);

如果能执行到这里,说明前面的代码在idx对应的bin里面没有找到能提供needbytes的chunk,这里idx++,接下来就从下一个bin开始寻找。
(这里是通过bitmap来遍历bin,没啥复杂的,详细的看代码就行)
for():

    • 从下一个bin开始,通过bitmap找到能提供need bytes的bin,若没有找到,执行use_top
 if (bit > map || bit == 0)
 {
   //先找到能满足需求的 binmap,
   do
   {
     if (++block >= BINMAPSIZE) /* out of bins */
       goto use_top;
   } while ((map = av->binmap[block]) == 0);

   //bin对应第一个
   bin = bin_at(av, (block << BINMAPSHIFT));
   bit = 1;
 }
 //执行到这里就一定有更大的chunk,
 //检查当前的block里面是否有大的bin
 /* Advance to bin with set bit. There must be one. */
 while ((bit & map) == 0)
 {
   bin = next_bin(bin);
   bit <<= 1;
   assert(bit != 0);
 }
    • 若bin为空,进行下一次循环
/* Inspect the bin. It is likely to be non-empty */
victim = last(bin);
/*  If a false alarm (empty bin), clear the bit. */
if (victim == bin)
{
  av->binmap[block] = map &= ~bit; /* Write through */
  bin = next_bin(bin);
  bit <<= 1;
}
    • 不为空的话,就在最后一个chunk (large bin里面这个是最小的chunk,但是足够了)划分出需要的内存,剩余的部分做出相应的处理
else
{
  size = chunksize(victim);
  /*  We know the first chunk in this bin is big enough to use. */
  assert((unsigned long)(size) >= (unsigned long)(nb));
  remainder_size = size - nb;
  /* unlink */
  unlink(av, victim, bck, fwd);
  /* Exhaust */
  if (remainder_size < MINSIZE)
  {
    set_inuse_bit_at_offset(victim, size);
    if (av != &main_arena)
      victim->size |= NON_MAIN_ARENA;
  }
  /* Split */
  else
  {
    remainder = chunk_at_offset(victim, nb);

    /* We cannot assume the unsorted list is empty and therefore
       have to perform a complete insert here.  */
    bck = unsorted_chunks(av);
    fwd = bck->fd;
    if (__glibc_unlikely(fwd->bk != bck))
    {
      errstr = "malloc(): corrupted unsorted chunks 2";
      goto errout;
    }
    remainder->bk = bck;
    remainder->fd = fwd;
    bck->fd = remainder;
    fwd->bk = remainder;

    /* advertise as last remainder */
    if (in_smallbin_range(nb))
      av->last_remainder = remainder;
    
    if (!in_smallbin_range(remainder_size))
    {
      remainder->fd_nextsize = NULL;
      remainder->bk_nextsize = NULL;
    }
    set_head(victim, nb | PREV_INUSE |(av != &main_arena ? NON_MAIN_ARENA : 0));
    set_head(remainder, remainder_size | PREV_INUSE);
    set_foot(remainder, remainder_size);
  }
  check_malloced_chunk(av, victim, nb);
  void *p = chunk2mem(victim);
  alloc_perturb(p, bytes);
  return p;
}

5 use top

  1. 若top chunk能提供所需的大小,从top chunk上分割出需要的内存,返回。
  2. 否则 若有fastbin的话,那么合并fastbin里面的chunk
  3. 若没有fastbin,通过sysmalloc 分配内存,返回

其他部分:

1.关于last_reminder

  /* The remainder from the most recent split of a small request */
  mchunkptr last_remainder;

这个指针指向的是“最近的某个 small request划分剩下的chunk”,然后大家应该就知道了前面的_int_malloc中什么时候划分之后需要把last_reminder指向剩下的chunk。

Suspend.
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
glibc-2.23.tar.gz
07-24
glibc-2.23.tar.gz 已验证可用,请放心下载。The Glibc package contains the main C library. This library provides the basic routines for allocating memory, searching directories, opening and closing ...
nginx内存池
ApeLife技术博客
11-01 3429
一、nginx内存池的使用 nginx对内存采用内存池对内存进行管理。即先开辟一个内存池空间,之后就从内存池中获取空间了,避免频繁的调用malloc/free操作。如何内存池空间不够,才会调用malloc 分配一个新的内存块,并加入到内存池中。 1、对于每一个客户端发起的http请求,nginx服务器都需要开辟空间来接收客户端的请求行,请求包头、以及请求的包体。这些都是从内存池中获取空间,并
malloc函数详解
热门推荐
xwdreamer的专栏
12-08 33万+
一、原型:extern void *malloc(unsigned int num_bytes);头文件:#include 或 #include (注意:alloc.h 与 malloc.h 的内容是完全一致的。)功能:分配长度为num_bytes字节的内存块说明:如果分配成功则返回指向被分配内存的指针,否则返回空指针NULL。当内存不再使用时,应使用free()函数将内存块释
记录每次调试的错误
ap105638的专栏
04-14 1324
一.段错误: 原因:1.每个函数没赋值 2.函数赋错值。 解决方法:用打印跟踪,检查函数的参数 printf("xxxx \n");如果不加\n有时候会不输出 二。个函数调用出错 1.首先查看这个函数实现的文件 2.再看这个函数的文件的头文件有没有申明这个函数 3.看函数的返回和参数类型是否相同   三.malloc出错 ptNew = malloc(sizeof(T_Vide
malloc Assertion错误
wzzushx的专栏
02-21 1万+
近日调试代码遇到了 malloc.c:3361: sYSMALLOc: Assertion `(old_top == (((mbinptr) (((char *) &((av)->bins[((1) - 1) * 2])) - __builtin_offsetof (struct malloc_chunk, fd)))) && old_size == 0) || ((unsigned long)
深入探究 Linux C中进程崩溃
刘森林l的博客
04-23 1463
目录 前言 栈内存异常以及案列分享 堆内存异常以及案列分享 Ptmalloc的内存管理 前言 LinuxC的内存管理融入了设计者很多高效的算法和思想,提供了用户直接可以操作的内存的“指针”,这也是其他语言不涉及的(除Go语言21世纪的C语言),但是对于指针这把双刃剑,开发者操作着进程的内存,难免造成意想不到的崩溃问题,其实踩内存情况应该把栈和堆(ptmalloc)分开,因为linux对这两块的管理...
glibc-ports-2.5.tar.gz_glibc_glibc-2.2.5_glibc-ports_glibc-ports
09-23
微处理器包括arm等的linux的接口文件源码!
gcc-4.0.2-glibc-2.3.5.rar_gcc glibc_gcc-4.0.2_glibc 4_glibc-2.3_
09-14
交叉编译工具,gcc-4.0.2-glibc-2.3.5,已经做好的,直接可以解压缩用的。
glibc_2.3.4-3.41_amd64.deb
08-17
Ubuntu 18.04.4安装Oracle11.2.0.4,检查依赖关系无法通过,缺少glibc_2.3.4-3.41包,。
glibc-2.29-5_C-C++_glibc2.29_glibc2.29源码_
10-01
官方C标准库,C语言源码,学习C语言可借鉴参考。
malloc.c:2369: sysmalloc: Assertion `(old_top == (((mbinptr) (((char *) &((av)->bins[((1) - 1) * 2]
wwyyxx26的专栏
10-23 1万+
今天跑一个程序,已启动就报如下错误,原因是一个cpp的文件,我用gcc来编译造成的,改为g++就可以了,记录一下 malloc.c:2369: sysmalloc: Assertion `(old_top == (((mbinptr) (((char *) &((av)->bins[((1) - 1) * 2])) - __builtin_offsetof (struct malloc_
glibc下malloc与free的实现原理(二):malloc函数的实现
weixin_44215692的博客
04-02 4462
讲解glibc下malloc的实现,为今后pwn的堆利用打好基础
ptmalloc源码分析 - _int_malloc函数之largebins和Top chunk(08)
最新发布
自娱自乐的代码人
09-12 1万+
下面我们将一下largebins的实现、扫描bins的方法和Top chunk的实现。top chunk相当于分配区的顶部空闲内存,当bins上都不能满足内存分配要求的时候,就会来top chunk上分配。如果上面都没有合适的chunk,则进行bin的扫描进行chunk的内存分配。chunk的大小也是从小到大排列的,所以往后搜索到的chunk的size都要大于分配内存的大小。如果top chunk的大小 大于分配的内存,则将该Top chunk内存切割后直接分配。三、从Top chunk上去分配一块内存。
运行错误malloc.c:3096
站在巨人的肩膀上
09-22 1万+
为使用malloc分配空间时报错,错误代码如下: malloc.c:3096: sYSMALLOc: Assertion `(old_top == (((mbinptr) (((char *) &((av)->bins[((1) - 1) * 2])) – __builtin_
c++ malloc能给string_分析 Glibc 中的malloc/free 实现
weixin_39657521的博客
11-28 457
本文使用 Zhihu On VSCode 创作并发布malloc 和 free 内部依赖的是GNU Allocator, 也叫Doug Lea的Allocator: http://gee.cs.oswego.edu/dl/html/malloc.html。这篇分析会主要注意Allocator是怎么管理内存的。它就像操作系统和用户中间的一层,扮演了一个内存池的角色。本篇源码分析主要基于github上...
malloc源码分析---2
conansonic的博客
12-05 7061
malloc源码分析_int_malloc 根据上一章的分析,malloc会调用__libc_malloc分配内存,__libc_malloc会调用malloc_hook_ini 进行初始化,然后回调__libc_malloc函数,这时候会执行_int_malloc开始分配内存,定义在malloc.c中,因为非常长,这里分段来看, _int_malloc第一部分 static void *
内存泄漏检测方案
youaremyalllove的博客
12-23 310
内存泄漏问题
Linux下堆溢出利用2-House of force基本原理
haibiandaxia的博客
08-31 1325
Linux下堆溢出利用 2-House of force基本原理1 前言2 基础知识2.1 Top Chunk的分割机制2.2 溢出top chunk的方法2.3 利用条件3 程序和调试环境准备3.1 实验环境3.2实验目标3.3演示程序3.4编译命令4 程序调试5 总结6 参考链接 1 前言 House of Force 是一种堆利用方法,可以实现任意内存地址的读写,个人认为难理解的点有两个: 如何通过溢出已经分配的chunk,准确覆盖top chunk中的size字段; 我们的目的是将top chun
Error running 'requirements_centos_libs_install patch autoconf automake bison gcc-c++ libffi-devel libtool patch readline-devel ruby sqlite-devel zlib-devel glibc-headers glibc-devel openssl-devel', please read /usr/local/rvm/log/1686235127/package_install_patch_autoconf_automake_bison_gcc-c++_libffi-devel_libtool_patch_readline-devel_ruby_sqlite-devel_zlib-devel_glibc-headers_glibc-devel_openssl-devel.log Requirements installation failed with status: 1.
06-09
错误提示中提到了一个日志文件 `/usr/local/rvm/log/1686235127/package_install_patch_autoconf_automake_bison_gcc-c++_libffi-devel_libtool_patch_readline-devel_ruby_sqlite-devel_zlib-devel_glibc-headers_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Suspend.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值