堆的调用流程、堆漏洞挖掘中的malloc_chunk结构体分析

最新推荐文章于 2023-05-26 12:17:31 发布
最新推荐文章于 2023-05-26 12:17:31 发布
阅读量2.5k 收藏 12
点赞数 7
分类专栏: 堆漏洞挖掘 文章标签: 堆漏洞挖掘 malloc_chunk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41453285/article/details/97135257
版权

一、堆的调用流程

第一步

  • 当应用程序“第一次”使用malloc函数申请动态内存时,glibc库会向内核申请一块非常大的动态内存,这块动态内存会比malloc申请的大小大很多。
  • brk/mmap系统调用:glibc库使用的是brk或者mmap系统调用来想内核申请内存空间的。至于两者有什么区别后面介绍。

第二步

  • glibc申请到这块大的内存之后,根据malloc需要的大小,然后切割相应的大小给应用程序malloc函数使用。

第三步

  • 当应用层free之后,会将刚才使用到的动态内存返回给glibc,但是返回的内存不是返回给top chunk,而是由bins链管理(后面会介绍bins链)。

第四步

  • 当程序再次malloc时,会从刚才申请的很大的动态内存去取,不会再去向内核申请内存。
  • 只有当第一次申请的动态内存使用完时,glibc才会再次通过brk/mmap系统调用向内核去要内存。

二、细节介绍

struct malloc_chunk结构体

  • 堆是由一系列struct malloc_chunk结构体组成的链表,申请和释放的堆都是malloc_chunk结构体。
  • 其他文章会详细介绍此结构体。

bin链

  • 当应用层malloc申请的内存使用完之后,通过free函数将堆内存(也就是struct malloc_chunk结构体)返回给glibc时,不返回给top chunk,而是由称为bin的链所管理。因此bin链也是由struct malloc_chunk组成的链表。
  • bins链分为:fastbin、smallbin、unsorted bin、large bin。
  • 其他文章会详细介绍bin链。

arena

  • 由于堆中存在许多的信息,例如各种bin链、chunk结构体等,这些东西需要管理,就是通过arena来管理的。
  • arena分为main_arena和thread_arena。
  • arena由struct malloc_state结构体实现。

三、一些相关概念

  • ①malloc是应用层的概念,malloc申请的内存实际上是由glibc通过brk和mmap系统调用向内核申请的。
  • ②第一次malloc申请的内存是一块非常大的内存,这块内存供程序后面多次调用malloc使用。只有当这块非常大的动态内存使用完之后,glibc才会再次通过brk/mmap系统调用向内核去要内存;否则,glibc不会再通过brk/mmap系统调用向内核要内存。
  • ③虽然第一次malloc,操作系统分配给程序一块很大的内存,但这块内存只是虚拟内存,只有当用户使用到相应的内存时,系统才会真正分配物理页面给用户使用。
  • ④第一次申请的大的动态内存称为“top chunk”。
  • ⑤free函数返回的堆内存不是返回给“top chunk”,而是由glibc中称为bin的链接收和管理。

四、struct malloc_chunk

struct malloc_chunk {

  INTERNAL_SIZE_T      mchunk_prev_size;
  INTERNAL_SIZE_T      mchunk_size;

  struct malloc_chunk* fd;
  struct malloc_chunk* bk;

  struct malloc_chunk* fd_nextsize; /* double links -- used only if free. */
  struct malloc_chunk* bk_nextsize;

};
  • 每个成员都是8字节(64位系统中),4字节(32位系统中)。

 mchunk_prev_size、mchunk_size

  • mchunk_prev_size:只有当该chunk的物理相邻的前一地址chunk是空闲的话,该字段在本chunk中才有用,用来记录前一个chunk 的大小 (包括chunk头)。否则,该字段为0是没有用的;但是当前一个chunk申请的大小大于前一个chunk的大小时,那么该字段可以用来给前一个chunk使用(这就是chunk的空间复用,后面文章介绍)。
  • mchunk_size:当前chunk的大小。

fd、bk

  • 当前chunk处于分配状态时:从fd字段开始的是用户的数据。
  • 当前chunk处于空闲时:
    • 因为chunk处于空闲时,会被放到bin链中,所以fd和bk用于指向自己所在bin链中前后的空闲chunk
    • fd:指向前一个(非物理相邻)空闲的 chunk的指针(头指针)。
    • bk:指向后一个(非物理相邻)空闲的 chunk的指针。
    • 通过fd和bk可以将空闲的chunk块加入到空闲的chunk块链表进行统一管理。

fd_nextsize、bk_nextsize

  • 也是只有chunk空闲的时候才使用,不过其用于较大的chunk(large chunk):
    • fd_nextsize:指向前一个与当前 chunk 大小不同的第一个空闲块,不包含bin的头指针。
    • bk_nextsize:指向后一个与当前 chunk 大小不同的第一个空闲块,不包含 bin 的头指针。
  • 一般空闲的 large chunk 在 fd 的遍历顺序中,按照由大到小的顺序排列。这样做可以避免在寻找合适 chunk 时挨个遍历。

五、结构体大小的对齐原则

  • 原则:struct malloc_chunk结构体的大小必须是2 * SIZE_SZ的整数倍。如果申请的内存大小不是2 * SIZE_SZ 的整数倍,会被转换满足大小的最小的2 * SIZE_SZ 的倍数(32位系统中,SIZE_SZ是4;64 位系统中,SIZE_SZ是8)。
  • 当前chunk结构体的大小用mchunk_size成员的值表示。
  • 我是小董,V公众点击"笔记白嫖"解锁更多【堆漏洞挖掘】资料内容。

董哥的黑板报
关注
专栏目录
基础----2 开始入微数据结构
For Geek
09-18 553
有三个极其重要的数据结构是用于的管理 heap_info(Heap Header的存在) 线程即thread arena可能有多个,虽然起初每个arena只有一个段,但是随着malloc等函数消耗完空间后,新的会通过mmap到这个arena,即受这个arena的管辖!!!,此时这就会有个新的段,一个段有一个heap_info的数据结构!!! main arena只有一个heap...
解析函数的调用过程
magic_world_wow的博客
06-17 823
关于函数的调用栈有如下几个问题: 函数调用函数的栈桢开辟及回退过程是什么? 主调函数在调用被调函数的间过程做了什么? 被调函数执行完成后是怎样回到主调函数的? 在回到主调函数后是怎么知道要运行哪一条代码(指令)? 要解决这些问题,我们就要从汇编的角度切入。通过汇编代码能够使我们更加清晰地掌握函数的调用。 汇编分为两种形式inter x86 (从右向左看) 和 AT&amp...
ptmalloc源码分析 - 内存组织单元malloc_chunk(03)
热门推荐
自娱自乐的代码人
11-06 3万+
上一章讲解了ptmalloc的内存的分配器状态机malloc_state的实现。分配器状态机主要管理内存分配过程的各种状态以及空闲内存的管理。 ptmalloc的最小内存组织单元是chunk的数据结构。通过chunk的数据结构,用于管理每次前端程序使用malloc函数调用所产生的在上分配的内存。 chunk的数据结构 先来看一下chunk的数据结构: mchunk_prev_size:该字段记录物理相邻的前一个chunk的大小(低地址chunk)。如果前一个chunk处于空闲,则该字段记录前一个
漏洞挖掘Chunk分类(allocated chunk、free chunk、top chunk、last remainder chunk)
董哥的黑板报
07-22 3756
此图是在上篇文章介绍arena时用到的,我们可以看到:块被分为不同的种类,下面我们将来介绍这些 chunk的分类 每一类就是一个malloc_chunk结构体,因为这些chunk同属于一个块,所以在一块连续的内存,只是通过区域特定位置的某些标识符加以区分 glibc给我们申请的块主要分为以下几类: allocated chunk free chunk top chunk ...
阅读glibcmalloc源码理解-chunk结构理解
qq_30528603的博客
05-26 324
拿32位程序来举例子,每个程序都有自己专属的4GB的虚拟空间,我们写的C代码在这个4GB空间是有明确分布的,详情可以参考我另外一篇博客32位内存布局。我们看到一个chunk的开始其实是chunk指针指向的位置,其实这个叫chunk头,我们使用malloc申请内存的时候,会返回一个指针给我们那个指针就是我图画的返回给用户的指针是指向用户数据。chunk头对用户来说是透明的,只有操作系统知道。接着是下一个chunk。学过操作系统的都知道,我们的内存是存在分页机制的,将内存划分为一个一个4kb的页框来管理。
【学习札记NO.00003】基于libc-2.23版本的malloc源码简易分析 - Part-I - 内存的基本组织形式 by arttnba3
arttnba3的博客
01-19 1163
【学习札记NO.00003】基于libc-2.23版本的malloc源码简易分析 - Part-I - 内存的基本组织形式 by arttnba30x00.内存的组织形式一、malloc_chunk[The \_\_alignof\_\_ operator](https://www.ibm.com/support/knowledgecenter/ssw_ibm_i_71/rzarg/sc09785202.htm?view=kc#ToC_180)二、chunk相关宏1.chunk size相关宏宏:off
漏洞挖掘实用知识库分享知识分享
最新发布
10-13
漏洞挖掘是安全领域的一个重要话题,主要涉及C语言编程的动态内存管理。在C语言,`malloc()`、`calloc()`、`realloc()`和`free()`等函数用于分配和释放内存,它们由运行时库如glibc实现。当程序在处理这些...
malloc底层工作原理——ptmalloc
Mr_H9527的博客
08-29 1765
概述 本文主要分析ptmalloc的对于每个内存块的管理方法:边界标志法和所有内存块的整体管理:分箱式内存管理。以及malloc()函数和free()函数的底层原理和工作步骤。 边界标志法 ptmalloc使用chunk实现内存管理,不管内存是在哪里被分配的,用什么方法分配,用户请求分配的空间在ptmalloc都使用一个chunk来表示。用户调用free()函数释放掉的内存也并不是立即归...
CentOS运行C++程序出现内存错误-munmap_chunk():invalid pointer
梦里水乡的专栏
04-10 5722
最近在CentOS用C++读数据,数据量挺大,而且是用的各种指针就出现了各种内存错误。调试的时候也是调试了很久,现将错误记录一下 出现munmap_chunk():invalid pointer的可能原因 一般来说,出现此类错误是在free的时候 (1)free的地址不是动态分配的地址 (2)动态分配的地址被修改过(对修改后的地址访问出问题) 我遇到的问题 描述:再分配
【逆向学习记录】分配chunk&bins
卦星的专栏
03-23 3354
1 概述 学习的过程,开始的时候,有个很难理解的东西,那个东西就是malloc,涉及到malloc就会涉及到chunk,实话说chunk这个东西的学习,确实经历了不少时间,总结一下,防止忘记 参考 Linux内存管理深入分析-上这篇文章详细将来chunk的进化过程,这里就不在深入查看了,深入浅出,是学习溢出基础的佳作 Linux内存管理深入分析-下这篇文章详细讲了bin的结构,并且被我大...
linux 块分配
inquisiter
12-31 1119
linux 块分配 关于fastbin 我们一般熟悉的都是双链表的chunk,但是对于大小为(16 Bytes~ 64 Bytes)的块来说则是使用fastbin来进行管理的。 fastbin的块结构与常规的chunk是完全一样,除了使用的是单链表。 fastbin ![在这里插入图片描述](https://img-blog.csdnimg.cn/20181231165514293.png...
pwn 基础
qq_41696518的博客
09-03 866
是用malloc函数申请使用的。假设我们通过void * ptr = malloc(0x10);系统会调用一些函数在内存开辟一大片空间作为的分配使用空间。malloc函数再从这篇的分配使用空间分配0x10大小的空间,将指向该空间的地址返回给ptr(余下的空间称之为topthunk)chunk:用户申请内存的单位,也是管理器管理内存的基本单位 malloc()返回的指针指向一个chunk的数据区域。
内存(1) - ptmalloc2分配器
qq_42584874的博客
03-11 711
ptmalloc2分配器 ptmalloc2 分配给用户的内存都以 chunk 来表示,可以理解为 chunk 为分配释放内存的载体。下面根据glibc2.31对ptmalloc进行了分析malloc_chunk malloc_chunk用于管理内存块,该结构体维护了一张已使用和未使用内存块的链表 struct malloc_chunk { INTERNAL_SIZE_T mchunk_prev_size; /* Size of previous chunk, if it is fre
Linux per-CPU变量分配与管理源码分析(未完)
gjq_1988的专栏
07-18 1851
什么是per-CPU变量? per-CPU变量主要用在多处理器系统,用来为系统的每个CPU生成一个变量副本,per-CPU变量对于每个处理器都有一个互相独立的副本。per-CPU变量分为静态分配与动态分配两种,静态分配是指在编译内核期间分配好的per-CPU变量,动态分配是指运行期间调用per-CPU memory allocator 分配的per-CPU变量。 Linux使用Ch
malloc用户态内存分配
生活需要深度
04-14 3377
学习完了用户进程地址空间,那么从本章开始学习下用户空间的内存分配。对于我们来说,对是进程用于动态分配变量和数据的内存区域,的管理对应用程序员来说是不可见的。因为它依赖于标准库提供的各种辅助函数(malloc)来分配任意长度的内存区。使用malloc,相对于栈空间而言,内存面临着更为复杂的情况。那么malloc上分配内存到底是如何实现的呢?主要内容包括如下: 的内存怎么从内核申请 怎么有效地进行内存管理 1. malloc简介 malloc函数使C/C++常用内存分配库函数,使用mallo
ptmalloc(一):chunk 内存块的基本组织单元
u010687240的专栏
03-18 2476
1. chunk 内存块的基本组织单元struct malloc_chunk { INTERNAL_SIZE_T mchunk_prev_size; /* Size of previous chunk (if free). */ INTERNAL_SIZE_T mchunk_size; /* Size in bytes, including overhe...
malloc_chunk边界标记法和空间复用
simple
09-18 4277
ptmalloc分配的空间统一用了malloc_chunk结构来管理,malloc_chunk的结构初看比较奇葩,看了注释,分析了一段时间的代码,发现这种边界标记的设计,在malloc_chunk虚拟地址都是彼此相邻的情况下,是十分高效的。 malloc_chunk结构: struct malloc_chunk { INTERNAL_SIZE_T prev_size; /
Linux内存管理深入分析(上)
AliMobileSecurity的博客
05-12 4701
近年来,漏洞挖掘越来越火,各种漏洞挖掘、利用的分析文章层出不穷。本系列文章主要从Linux系统内存管理机制出发,逐步介绍诸如基本溢出漏洞、基于unlink的溢出漏洞利用、double free、use-after-free等常见的溢出漏洞利用技术。
Heap块Chunk
分不清东西南北的Laffey
11-29 4279
&块0x01 基础知识——Chunk0x02 基础知识——Heap0x03 的基本操作0x04 相关的函数1>malloc2>free0x05 溢出0x06 溢出比较重要的几个步骤·寻找分配函数realloc malloc calloc·寻找危险函数·确定填充长度0x07 Fast bin0x08 Unsort bin注意点Fastbin attack--blin...
libhackrfhackrf_transfer结构体的buffer_length默认长度是多少,开发者如何手动设置buffer_length
06-06
在libhackrf,hackrf_transfer结构体的buffer_length默认长度是16k(即16 * 1024)。如果需要手动设置buffer_length,开发者可以通过修改hackrf_transfer结构体的buffer和buffer_length字段来实现。具体来说,可以按照以下步骤进行设置: 1. 定义一个hackrf_transfer结构体变量,如下所示: ```c hackrf_transfer transfer; ``` 2. 为transfer结构体的buffer字段分配内存空间,并将buffer_length字段设置为所需长度,如下所示: ```c transfer.buffer = (uint8_t*)malloc(buffer_length); transfer.buffer_length = buffer_length; ``` 其,buffer_length为需要设置的buffer长度。 3. 对transfer结构体的其他字段进行设置,如frequency、sample_rate等。 4. 调用hackrf_start_rx函数,启动接收过程,如下所示: ```c hackrf_start_rx(device, rx_callback, NULL); ``` 其,rx_callback为接收回调函数,用于处理接收到的数据。 5. 在rx_callback函数,对接收到的数据进行处理,并在处理完后释放buffer空间,如下所示: ```c void rx_callback(hackrf_transfer* transfer) { // 处理接收到的数据 ... // 释放buffer空间 free(transfer->buffer); } ``` 注意,当设置了buffer_length后,需要在rx_callback函数及时释放buffer空间,否则会导致内存泄漏。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

董哥的黑板报

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值