Windows堆的分析

最新推荐文章于 2022-06-10 15:29:27 发布
最新推荐文章于 2022-06-10 15:29:27 发布
阅读量205 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41645130/article/details/101474527
版权

又把0day安全翻了一下收获了很多,还是关于堆的知识
源代码:

#include <windows.h>
main()
{
    HLOCAL h1,h2,h3,h4,h5,h6;
    HANDLE hp;
    hp = HeapCreate(0,0x1000,0x10000);
    __asm int 3

    h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,3);
    h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,5);
    h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,6);
    h4 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);
    h5 = HeapAlloc(hp,HEAP_ZERO_MEMORY,19);
    h6 = HeapAlloc(hp,HEAP_ZERO_MEMORY,24);
    
    //free block and prevent coaleses
    HeapFree(hp,0,h1); //free to freelist[2] 
    HeapFree(hp,0,h3); //free to freelist[2] 
    HeapFree(hp,0,h5); //free to freelist[4]
    
    HeapFree(hp,0,h4); //coalese h3,h4,h5,link the large block to freelist[8]

    
    return 0;
}

堆的起始地址为3a0000
偏移3a0178处为freelist
可以看到这里有好多指针


10651191-fcaea6c10721944d.png

3a0688处的这一个堆块是最大的,后续的分配从这里开始


10651191-0670c61f8e769d74.png

第一次分配16字节:返回的句柄为3a0688,但是实际上在之前还有16个字节的块首
02代表分配的是16字节,


10651191-0d18398e2920c663.png

此时的freelist指向了3a0698


10651191-1151b855fe00e10a.png

再分配16字节

10651191-ff1c78a95687fe34.png

然后freelist的指针继续修改


10651191-4da2ac4137e48949.png

继续分配:
此时已经分配了4个16个字节


10651191-1a3c3cad374d0b75.png

接下来分配两次32字节的
这是所有分配出去的


10651191-b5b4eaf7bfc615a3.png

此时freelist0指向了3a0708,这应该很明显了吧

接下来开始释放,释放掉h1和h3,它们都是16个字节的,所以由freelist2来管理它们

第一次释放掉h1


10651191-ddba5b07958d0aaa.png

3a0188就是freelist2
freelist2也指向了h1


10651191-ab4f8a7461ab6af7.png

继续释放掉h3
此时
freelist2的flink指向,h1的flink指向h3,h3的flink指向freelist2
就是一个单链表的指向关系


10651191-26221c44c597e58d.png

释放掉h5, h5是32个字节,链接到freelist4

10651191-067c747dabdf42b6.png

然后释放掉h4
触发合并操作

这是合并之后的堆块
3a01b8恰好就是freelist8

10651191-97108f2ebe578137.png

Q&A
堆中的数据存放在哪里?
一定要对堆的结构很清楚,占用态的堆是由程序员来管理,空闲态的堆是由空表或者快表管理的,所以空闲态的堆块需要用链表链接起来,而对于占用态的堆块的管理这个锅就丢给了程序员。占用态的堆块是没有前向指针和后向指针的,而返回给程序员的句柄只是指向了块身,所以堆块最小也是16个字节(8+8个字节的块首),数据就会存放在块身处

萍水间人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HeapProfiler:Windows 分析器前端
06-09
分析器 这是用于 Windows 的 Microsoft 调试工具中包含的 UMDH 和 GFlags 工具的图形前端,用 C# 编写。 它自动为正在运行的应用程序捕获分配快照的过程,并提供用于分析这些快照的查看和过滤工具。 用法 您将...
windows 分析
蚁景网安学院
09-02 706
windows和linux管理机制虽然呈现给用户的效果是一样的,大体思路也是差不太多,但是底层实现逻辑大相径庭,很多地方和glibc的ptmalloc差别很大。网上资料零零散散,而且都是...
Windows
南宫封清的博客
10-20 943
(HEAP)的分配,使用,回收都是通过微软的API来管理的,最常见的API是malloc和new。在往底层走一点呢,这两个函数都会调 用HeapAlloc(RtlAllocateHeap)。同样的相关函数还有HeapFree用来释放,HeapCreate用来创建自己的私有。 下面是这些函数的调用链: HeapCreate->RtlCreateHeap->ZwAllocateVirtualMemory (这里会直接申请一大片内存,至于申请多大内存,由进程PEB结构中的字段觉得,HeapSe
windows10下的结构及unlink分析
whl0071的专栏
06-10 499
最近调试windows的cve的时候发现对windows下的管理理解不够,对javascript分配和利用基础不够,由于windows下没有源码可以看,只能通过网上的博客和调试器自己学习。windows管理在不断更新,博客内容会有所偏差,接下来的笔记是windows10上的结构。函数声明等来源为百度百科。HeapCreate这个函数创建一个只有调用进程才能访问的私有。进程从虚拟地址空间里保留出一个连续的块,并且为这个块特定的初始部分分配物理空间。HANDLE HeapCreate(DWORD
Windows 10 段结构(一)
qq_44728033的博客
04-14 1310
前置知识 每个进程至少有一个:默认进程。默认是在进程启动时创建的,并且在进程的生存期内不会被删除。它的默认大小为1 MB。应用程序可以通过调用GetProcessHeap函数来查询默认进程。进程还可以使用HeapCreate函数创建其他私有。当进程不再需要私有时,它可以通过调用HeapDestroy来恢复虚拟地址空间。个进程中都维护一个包含所有的数组,线程可以使用GetProce...
win7下管理结构分析
马大叔的工作日记
10-10 3857
win7下管理结构主要包括HEAP HEAP_SEGMENT HEAP_ENTRY 这几个结构。
Windows Process Analysis Tools (Windows程序分析工具源码)
11-27
主要功能:查看进程,线程,模块,内存,窗口,挂起线程,结束线程,卸载模块,CPU使用率,内存使用率,附加pe文件解析,支持查看导入表,导出表,重定位表,资源表,TLS表,延迟加载等.. 附加功能:dll注入(win32/x64),无模块Pe...
Windows 内核情景分析--采用开源代码ReactOS (上册) part01
03-28
Windows内核情景分析(上册).part01.rar 基本信息 作者: 毛德操 出版社:电子工业出版社 ISBN:9787121081149 上架时间:2009-5-25 出版日期:2009 年5月 开本:16开 页码:1465 版次:1-1 所属分类:计算机 > ...
精通Windows.API-函数、接口、编程实例.pdf
01-27
1.1.4 start.c代码分析 2 1.2 编译代码 3 1.2.1 安装Visual Studio 3 1.2.2 安装Microsoft Platform SDK 4 1.2.3 集成Microsoft Platform SDK与Visual C++速成版 5 1.2.4 Vista SDK与Visual Studio 2008...
精通WindowsAPI.pdf
09-22
1.1.4 start.c代码分析...................................................................................................17 1.2 编译代码....................................................................
windows溢出原理
03-02
本来写的一个笔记,经过上机实践,详细介绍了在windows上如何实现溢出
Windows和栈的区别
08-25
和栈的区别.txt和栈的区别.txt和栈的区别.txt和栈的区别.txt和栈的区别.txt
原来Windows也有
朱远翔的技术专栏
03-13 128
一直都在Java中管理,觉得Windows一切都负责处理好了,最近总碰到JVM宕机事件,才发现原来Windows也有要调整的地方。下面的注册表地址就可以调整的大小,特别是在Windows上运行的系统级软件,如果出现突然消失的情况,又发现可能会有内存的影响,就需要调整里面的参数。(具体内容请上网查询,以后学习懂了,会整理成文章)HKEY_LOCAL_MACHINE\System\CurrentC...
溢出(一)结构
Reshahar 的博客
03-09 6597
0x000 环境 虚拟机 VirtualBox 5.0.20 系统 windows 2000 工具 VC++6.0 OllyDbg 1.10 汉化版 0x001 中的数据结构 堆块 1) 堆块分为块首和块身 2) 块首大小为(8字节) 注:flag 01 表示堆块占用 3) 空闲堆块在块首后有两个指针 表(空表和快表) 1) 空表:双
第5章 溢出利用_快表结构分析
yellow的博客
05-12 503
块表结构分析
windows内存的数据结构
Miibotree
10-16 7516
还是紧接着昨天的问题,很想明白到底在内存中的数据结构到底是怎么样的?究竟是不是别人回答的红黑树的结构? 在网上搜索了一番好像也鲜有答案。后来在《0day 安全 软件漏洞分析技术》一书里面找到了这个问题的部分答案。 不同平台操作系统对内存的管理机制是不一样的。 上面这本书里面主要讲了对windows2000 - windows xp1 平台的管理策略。 对于基本的操作系统中的一些特征,
转载:谈一谈Windows中的
lizfs_csdn的博客
05-07 268
文章目录 Windows Heap概述 的内存分配策略 前端分配器之旁视列表 前端分配器之低碎片 后端分配器 Windbg查看进程中的 进程信息查看 查看Segment 查看申请的内存地址 Windows 自建的使用建议 保护组件 更有效的内存管理 进行本地访问 减少线程同步的开销 迅速释放栈 总结和参考 参考 如果在Windows中编程应该了解一些Windows的内存管理,而 ( Heap)也属于内存管理的一部分。这篇文章对你理解Windows内存分配的基本原理和调试内存问题或许会有所帮助
windows 进程结构梳理
lixiangminghate的专栏
09-13 2289
为了写这篇博文,得借用张银奎所著的一书中第23章HiHeap.c作为demo程序。(我的环境是xp sp3+vc++6.0) #include "stdafx.h" #define _WIN32_WINNT 0x0501 #include #include #include #include #include //#include //#include //HeapAllo
windows 管理
Masimaro的专栏
07-21 2349
windows管理是建立在虚拟内存管理的基础之上的,每个进程都有独立的4GB的虚拟地址空间,其中有2GB的属于用户区,保存的是用户程序的数据和代码,而系统在装载程序时会将这部分内存划分为4个段从低地址到高地址依次为静存储区,代码段,段和栈段,其中的生长方向是从低地址到高地址,而栈的生长方向是从高地址到低地址。 程序申请内存时,系统会在虚拟内存的基础上分配一段内存,然后记录下来这块的大小和
jmap dump可以分析外内存吗
最新发布
06-01
jmap dump 命令只能分析 Java 内存的使用情况,无法分析外内存的使用情况。...要分析外内存的使用情况,可以使用操作系统提供的工具,例如 Linux 上的 pmap 命令、Windows 上的 Process Explorer 工具等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值