ptmalloc - malloc 终章

最新推荐文章于 2022-11-19 23:49:46 发布
最新推荐文章于 2022-11-19 23:49:46 发布
阅读量467 收藏
点赞数
分类专栏: ptmalloc 文章标签: malloc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/significant0/article/details/78228641
版权

ptmalloc - malloc 终章

是不是觉得我的文章名起得很不好,我也觉得,不过,反正我是程序员,只要变量名、函数名、类名和文件名起得好就行了,其他的,不管。

不过,实话实说,这是关于malloc函数的终章了,malloc其实就是包含了几个重要函数,__libc_malloc -> _int_malloc -> sysmalloc,__libc_malloc和sysmalloc已经全部说过了,_int_malloc也提到部分。这一章讲解的就是_int_malloc里面最后的一部分,也是最长的一部分,是不是感觉看这么多代码很累,是的,反正我复制粘贴我都觉得累。

目录

  • _int_malloc的结构
  • unknown
  • 总结

_int_malloc的结构

_int_malloc 里面的代码按照功能,其实可以分割为以下部分

  • 从fast中获取内存块 (ptmalloc - 小小内存的分配和申请)
  • 从regular bin (medium size) 中获取内存块 (ptmalloc - 小块内存管理初探)
  • code = unknown
  • 所有地方都匹配不到适合的,就sysmalloc (ptmalloc - 第一次申请小内存)

unknown就是我们这章要讨论的

诚实预告片,接近要看300+行的代码,没耐心请点关闭。

unknown

先看一下最外层的代码吧

static void *
_int_malloc(mstate av, size_t bytes)
{
   /* ... */

   /* unknown start */
   for (; ; ) {
       /* ... */
   }
}

别激动!正戏开始了。

unknown part1 - unsort

在释放一块内存的时候,free是不会内存块放进去regular bin里面的,而是会把内存块进入一个叫unsort的双链表里面,关于free的详解,以后会说到,现在先说说unsort。

        /* ... */

        /* 如果unsort里面的back指针不等于自身,说明有未排序的内存块在 */
        while ((victim = unsorted_chunks (av)->bk) != unsorted_chunks (av)) {
            bck = victim->bk;
            size = chunksize (victim);

           /* 如果申请的内存是小内存 */
            if (in_smallbin_range (nb) &&
                    /* 并且unsort里面也只剩下一块内存了 */
                    bck == unsorted_chunks (av) &&
                    /* 当前块在分配小内存时被分割过,具体设置下面有 */
                    victim == av->last_remainder &&
                    /* 从sort里面拿出来的那块内存大于申请的 */
                    (unsigned long) (size) > (unsigned long) (nb + MINSIZE)) {

                /* 将unsort中获取的那块分割成两半 */
                remainder_size = size - nb;
                remainder = chunk_at_offset (victim, nb);

                /* 将分隔剩下的那块取代就有的那块链回去unsort */
                unsorted_chunks (av)->bk = unsorted_chunks (av)->fd = remainder;
                av->last_remainder = remainder;
                remainder->bk = remainder->fd = unsorted_chunks (av);

                /* 与大块内存相关的指针设置 */
                if (!in_smallbin_range (remainder_size)) {
                    remainder->fd_nextsize = NULL;
                    remainder->bk_nextsize = NULL;
                }

                /* 设置获取到的内存块的头部参数 */
                set_head (victim, nb | PREV_INUSE |
                        (av != &main_arena ? NON_MAIN_ARENA : 0));

                /* 设置分割剩下的内存块的头部参数 */
                set_head (remainder, remainder_size | PREV_INUSE);
                set_foot (remainder, remainder_size);

                return chunk2mem (victim);
            }

            /* ... */
        }

        /* ... */

能碰到unsort里面只剩下一块内存的情况就是,要么是只放了一块,要么是跑了那么多个循环没碰到适合的,也只是剩下一块内存了,这两种情况下,好好的使用这块内存,分割下,另外的存起来也是无可厚非,你也可以当成一种垂死挣扎,快点脱离循环的一种渴望。

            /* 把victim从unsort中除名 */
            unsorted_chunks (av)->bk = bck;
            bck->fd = unsorted_chunks (av);

            /* 如果刚刚好victim的size等于申请的 */
            if (size == nb) {
                set_inuse_bit_at_offset (victim, size);
                return chunk2mem (victim);
            }

上上面的看看是否能够分割剩下的那块内存是垂死挣扎,那么到了这里才是步入正规

            if (in_smallbin_range (size)) {
                /* 小块内存就好办了,直接链上对应的bin */
                victim_index = smallbin_index (size);
                bck = bin_at (av, victim_index);
                fwd = bck->fd;

            } else {
                victim_index = largebin_index (size);
                bck = bin_at (av, victim_index);
                fwd = bck->fd;

                /* 当前链表是否为空 */
                if (fwd != bck) {
                    size |= PREV_INUSE;

                    /* large bin的是按照大小排序的,恰好,bck->bk就是size最小那一块 */
                    if ((unsigned long) (size)
                            < (unsigned long) chunksize_nomask (bck->bk)) {

                        fwd = bck;
                        bck = bck->bk;

                        /* 链上size链 */
                        victim->fd_nextsize = fwd->fd;
                        victim->bk_nextsize = fwd->fd->bk_nextsize;
                        fwd->fd->bk_nextsize = victim->bk_nextsize->fd_nextsize = victim;

                    } else {
                        /* 找最小 */
                        while ((unsigned long) size < chunksize_nomask (fwd)) {
                            fwd = fwd->fd_nextsize;
                        }

                        /* 
                            如果恰好相等,那我就不放上size链了,从当前代码来看
                            size只是大小的排序,有一个就好了
                        */
                        if ((unsigned long) size == (unsigned long) chunksize_nomask (fwd)) {
                            /* Always insert in the second position.  */
                            fwd = fwd->fd;

                        } else {
                            victim->fd_nextsize = fwd;
                            victim->bk_nextsize = fwd->bk_nextsize;
                            fwd->bk_nextsize = victim;
                            victim->bk_nextsize->fd_nextsize = victim;
                        }

                        bck = fwd->bk;
                    }

                } else {
                    /* 初始化当前large bin的size双链 */
                    victim->fd_nextsize = victim->bk_nextsize = victim;
                }
            }

            /* 标记当前bin已使用,具体下面章节会说到 */
            mark_bin (av, victim_index);

            /* 链上链表 */
            victim->bk = bck;
            victim->fd = fwd;
            fwd->bk = victim;
            bck->fd = victim;

#define MAX_ITERS   10000
            /* 如果处理了10000块unsort还是没有心仪的,那就走吧,不挽留了 */
            if (++iters >= MAX_ITERS)
                break;
        }

看了上面的代码,是不是觉得,好像还是挺容易理解的,心想,很快就可以完结malloc的代码了

hlt,想太多了

看过我之前文章的其实应该还记得,其实每个bin之间是16 byte差距,那么申请的时候,11 byte和12 byte是没差距的,它们最终都会被磨成32 byte。那其实是没差距啊,那为何上面还要排序呢?

unsort第一部分代码记不记得,分割。这就就造成了大块有可能被割裂。这当然是一种节省内存的做法,但另一方面却也增加了代码复杂度。借用以前写英文作文的套路句子。Every coin has two side。

另外,从size链和bin链的关系其实能想到一种数据结构,跳表,一个双层跳表。

unknown part2 - large request

        if (!in_smallbin_range (nb)) {
            bin = bin_at (av, idx);

#define first(bin) (bin)->fd

            /* bin->bk是size最小,fd就是size最大 */
            if ((victim = first (bin)) != bin &&
                (unsigned long) chunksize_nomask (victim) >= (unsigned long) (nb)) {

                victim = victim->bk_nextsize;

                /* 用size查找最适合 - best fit */
                while (((unsigned long) (size = chunksize (victim)) <
                            (unsigned long) (nb)))
                    victim = victim->bk_nextsize;

                /* 不挪走当前size的第一块是为了避免重新构造skip list */
                if (victim != last (bin) &&
                        chunksize_nomask (victim) == chunksize_nomask (victim->fd))
                    victim = victim->fd;

                remainder_size = size - nb;

                /* 从size链和bin链上取下来,并重新构建skip list */
                unlink (av, victim, bck, fwd);

                /* 不能再分割的情况 */
                if (remainder_size < MINSIZE) {
                    set_inuse_bit_at_offset (victim, size);
                }

                /* 大块分割 */
                else {
                    /* 以下这段代码,估计你看到过很多次了,我就懒得写注释了 */
                    remainder = chunk_at_offset (victim, nb);

                    bck = unsorted_chunks (av);
                    fwd = bck->fd;

                    remainder->bk = bck;
                    remainder->fd = fwd;
                    bck->fd = remainder;
                    fwd->bk = remainder;

                    if (!in_smallbin_range (remainder_size)) {
                        remainder->fd_nextsize = NULL;
                        remainder->bk_nextsize = NULL;
                    }

                    set_head (victim, nb | PREV_INUSE |
                            (av != &main_arena ? NON_MAIN_ARENA : 0));
                    set_head (remainder, remainder_size | PREV_INUSE);
                    set_foot (remainder, remainder_size);
                }

                return chunk2mem (victim);
            }
        }

unknown part3 - bit map

        /* 当前索引找不到,+1 */
        ++idx;
        bin = bin_at (av, idx);

        /* 具体这个bit map就是,每一个bin如果有内存块就把对应位设为1 */
        unsigned int block = idx2block (idx);
        unsigned int map = av->binmap[block];
        unsigned int bit = idx2bit (idx);

        for (;; ) {
            /* 如果当前bit的数值已经大于map,或者bit为0 */
            if (bit > map || bit == 0) {
                /* 一直搜索,直到某个map里面存在非空bin */
                do {
                    if (++block >= BINMAPSIZE) /* out of bins */
                        goto use_top;

                } while ((map = av->binmap[block]) == 0);

                bin = bin_at (av, (block << BINMAPSHIFT));
                bit = 1;
            }

            /* 找到被设置的bin的bit */
            while ((bit & map) == 0) {
                bin = next_bin (bin);
                bit <<= 1;
                assert (bit != 0);
            }

            victim = last (bin);

            /* 如果这个bin是空的,清掉bit位 */
            if (victim == bin) {
                av->binmap[block] = map &= ~bit;
                bin = next_bin (bin);
                bit <<= 1;

            } else {
                size = chunksize (victim);
                remainder_size = size - nb;

                /* 取下来 */
                unlink (av, victim, bck, fwd);

                /* 耗尽 */
                if (remainder_size < MINSIZE) {
                    set_inuse_bit_at_offset (victim, size);
                }

                /* 分割 */
                else {
                    remainder = chunk_at_offset (victim, nb);

                    /* 将分割后的块丢到unsort里面去 */
                    bck = unsorted_chunks (av);
                    fwd = bck->fd;

                    remainder->bk = bck;
                    remainder->fd = fwd;
                    bck->fd = remainder;
                    fwd->bk = remainder;

                    /* 如果请求是小块内存,把被分割设置成最后被分割块 */
                    if (in_smallbin_range (nb))
                        av->last_remainder = remainder;

                    if (!in_smallbin_range (remainder_size)){
                        remainder->fd_nextsize = NULL;
                        remainder->bk_nextsize = NULL;
                    }

                    set_head (victim, nb | PREV_INUSE |
                            (av != &main_arena ? NON_MAIN_ARENA : 0));
                    set_head (remainder, remainder_size | PREV_INUSE);
                    set_foot (remainder, remainder_size);
                }

                return  chunk2mem(victim);
            }
        }

到此,unknown部分已经完全讲解完毕。

总结

下回分解!

内存白痴
关注
专栏目录
Linux内存从0到1学习笔记(6.13 libc库对内存管理之ptmalloc)--- 更新中
从0到1,突破自己
05-15 3649
今天介绍的ptmalloc其实是指GNU libc中默认的内存分配器,目前普遍使用的ptmalloc实际上是基于早期malloc(dlmalloc)的基础上演进而来。相对于dlmallocptmalloc增加了动态分配去(dynamic arena)每一个分配区利用互斥锁(mutex)使线程对于该分配区的访问互斥。进程可以是单线程,也可以是多线程,因此每个就进程可以有一个主分配区和多个线程分配区。
glibc-2.23 _int_malloc函数流程分析
qq_34010404的博客
05-08 683
文章目录_int_malloc流程分析1.尝试在fastbin里面寻找2.尝试在small bin里面寻找3.触发malloc_consolidate4.for()循环:5 use top其他部分:1.关于last_reminder _int_malloc流程分析 1.尝试在fastbin里面寻找 若needbytes 是小于fastbin最大chunk的大小,根据needbytes计算出idx,在对应的bin里面看一下有没有chunk。若对应的bin并不是空的,那么取出一个chunk 名为victim,检
malloc Assertion错误
热门推荐
wzzushx的专栏
02-21 1万+
近日调试代码遇到了 malloc.c:3361: sYSMALLOc: Assertion `(old_top == (((mbinptr) (((char *) &((av)->bins[((1) - 1) * 2])) - __builtin_offsetof (struct malloc_chunk, fd)))) && old_size == 0) || ((unsigned long)
ptmalloc cheatsheet
有价值炮灰
07-17 854
几年前已经写过了一篇 ptmalloc与glibc堆漏洞利用,但是一来当时学习仓促,很多内容自己也只是一知半解;二来已经时过境迁,当时的glibc距今也更新了不少,而且当时理解的内容太久没有复习又全部还给老师了。因此,本文又重新将其整理一遍,当然不再介绍基础概念,只记录重点以备考试时快速查阅。...
运行错误malloc.c:3096
站在巨人的肩膀上
09-22 1万+
为使用malloc分配空间时报错,错误代码如下: malloc.c:3096: sYSMALLOc: Assertion `(old_top == (((mbinptr) (((char *) &((av)->bins[((1) - 1) * 2])) – __builtin_
understanding-glibc-malloc
09-27
glibc中的malloc实现实际上是基于ptmalloc2的,而ptmalloc2使用per-thread arena的概念,也就是为每个线程维护独立的堆段和空闲列表数据结构,从而在多线程环境下提供更好的性能。glibc malloc通过brk或mmap系统调用...
ptmalloc2-开源
08-06
ptmalloc2是一个著名的开源动态内存分配器,源自GNU glibc v2.3.3,专为提高性能和优化内存管理而设计。它在Linux和其他类Unix系统中广泛使用,但随着时间的推移,ptmalloc2逐渐被其他内存分配器如nedmalloc所取代,...
malloc底层工作原理——ptmalloc
Mr_H9527的博客
08-29 1754
概述 本文主要分析ptmalloc中的对于每个内存块的管理方法:边界标志法和所有内存块的整体管理:分箱式内存管理。以及malloc()函数和free()函数的底层原理和工作步骤。 边界标志法 ptmalloc使用chunk实现内存管理,不管内存是在哪里被分配的,用什么方法分配,用户请求分配的空间在ptmalloc中都使用一个chunk来表示。用户调用free()函数释放掉的内存也并不是立即归...
glibc内存管理ptmalloc源代码分析-高清PDF-pdf版
04-16
《glibc内存管理ptmalloc源代码分析》是一份深入探讨Linux系统中glibc库内存管理机制的专业资料。glibc,全称GNU C Library,是Linux操作系统下广泛使用的C语言标准库,其中ptmalloc是glibc中负责动态内存分配的核心...
堆内存(4)——向操作系统申请内存sysmalloc
qq_42584874的博客
03-11 1784
向操作系统申请内存sysmalloc sysmalloc流程图 尝试mmap分配try_mmap 如果空间用完 static void * sysmalloc(INTERNAL_SIZE_T nb, mstate av) { //声明结构体 ..... if (av == NULL || ((unsigned long) (nb) >= (unsigned long) (mp_.mmap_threshold) && (mp_
glibc-2.23学习笔记(一)—— malloc部分源码分析
qq_41988448的博客
11-30 2043
glibc-2.23学习笔记(一)—— malloc部分源码分析 搭建Glibc源码调试环境 1.下载并解压glibc源码 sudo apt-get install glibc-source cd /usr/src/glibc sudo tar xvf glibc-2.23.tar.xz 2.配置gdb 打开gdb配置文件 sudo vim ~/.gdbinit 在首行加入以下内容
为什么会报错 malloc(): invalid size (unsorted)?
最新发布
zhishifufei的博客
11-19 6509
我在https://github.com/JamesRead5737/webcrawler/blob/master/crawler.c有一个网络爬虫代码,它产生了一些我无法解释的奇怪错误。最常见的是它中止并出现错误。有可能某些应该以空值终止的数据不是,这可能导致部分溢出。谷歌搜索错误表明问题可能出现在代码中的任何位置,并且与所讨论的行完全无关。来格式化某些东西,并且它将分配的内存的末尾覆盖了 1 个字节,这足以杀死。如果有问题的线路很好,我怎么能找到真正的问题?的代码行,据我所知,这应该不会导致任何错误。
【PWN】Unsorted bin与Large bin的Attack
u014377094的博客
05-03 862
今天继续整理攻击方法,逆水行舟,不进则退。 Unsorted bin attack与Large bin attack两者我还是放在一起了,因为两者相近,都是通过修改bk(bk_nextsize)来实现对一块区域的修改,漏洞在于缺少*(bk)->fd的检测。 unsortedbin的利用点 /* remove from unsorted list */ if (__glibc_unlikely (bck->fd != victim))
堆内存(3)——分配函数_int_malloc
qq_42584874的博客
03-11 1672
_int_malloc __libc_malloc会调用malloc_hook_ini 进行初始化,然后回调__libc_malloc函数,这时候会执行_int_malloc开始分配内存 //堆内存分配入口函数 static void * _int_malloc (mstate av, size_t bytes) { ...... //将内存转换以块为单位,并判断内存大小是否合法 if (!checked_request2size (bytes, &nb)) {
glibc内存管理那些事儿
sunshineywz的博客
06-14 515
Linux内存空间简介 Linux提供了如下几个系统调用,用于内存分配: brk()/sbrk() // 通过移动Heap堆顶指针brk,达到增加内存目的 mmap()/munmap() // 通过文件影射的方式,把文件映射到mmap区 这两种方式分配的都是虚拟内存,没有分配物理内存。在第一次访问已分配的虚拟地址空间的时候,发生缺页中断,操作系统负责分配物理内存,然后建立虚拟内存和物理内存之间的映射关系。 那么,既然brk、mmap提供了内存分配的功能,直接使用brk、mmap进行内存管理不是更简单吗,为
large bin attack & house of strom
seaaseesa的博客
06-12 1176
large bin attack & house of strom large bin attack是一种堆利用手法,而house of strom则是在large bin attack的基础上借用unsorted bin来达到任意地址分配,首先我们从源码入手来分析large bin attack原理,然后再讲讲house of strom的原理,接着再看几个题目。 为例方便分析,以2.23为例,新版本有tcache的情况类似,只需填满tcache bin绕过tcache即可。 在free的时
深入解析glibc ptmalloc内存管理机制
malloc_state和Malloc_par是ptmalloc中的关键数据结构,前者维护了当前线程的内存状态,后者包含了ptmalloc的可配置参数。分配区的初始化过程确保了内存分配系统的正确设置。ptmalloc还提供了初始化功能,如ptmalloc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值