使用windbg加载计算器,查看堆结构
1、windbg加载计算器;
2、堆栈操作;
1、查看peb结构,输入命令:dt _PEB;
2. 打印出所有堆,输入命令:!heap -h;
3、观察某一个堆的_HEAP结构,选择上图中的202ee610000,输入命令:dt ntdll!_HEAP 202ee610000;
4、观察其中的堆块结构,上图中堆的_HEAP结构中我们可以看到FirstEntry,表示第一个堆块的地址,因此地址为0x00000202ee610740。观察其中一个堆块,输入命令:dt _HEAP_ENTRY 0x00000202ee610740;
编译并调试实例代码:
1)找到堆的首地址
2)找到FreeList数组的首地址
3)在6个分配函数执行之后查看FreeList的变化
4)在执行完三个释放函数之后,查看FreeList的变化
5)再申请一个8字节的内存后观察FreeList的变化
1、编写代码如下:
#include <windows.h>
#include <stdio.h>
int main()
{
HLOCAL h1, h2, h3, h4, h5, h6;
HANDLE hp = NULL;
hp = HeapCreate(0, 0x1000, 0x1000);
getchar();
printf("OK\n");
h1 = HeapAlloc(hp, HEAP_ZERO_MEMORY, 8);
h2 = HeapAlloc(hp, HEAP_ZERO_MEMORY, 8);
h3 = HeapAlloc(hp, HEAP_ZERO_MEMORY, 8);
h4 = HeapAlloc(hp, HEAP_ZERO_MEMORY, 8);
h5 = HeapAlloc(hp, HEAP_ZERO_MEMORY, 8);
h6 = HeapAlloc(hp, HEAP_ZERO_MEMORY, 8);
HeapFree(hp, 0, h1);
HeapFree(hp, 0, h3);
HeapFree(hp, 0, h5);
h1 = HeapAlloc(hp, HEAP_ZERO_MEMORY, 8);
return 0;
}
2、分析过程
查看文本字串,找到OK双击跳转:
在printf下断点,F9运行到断点,往上可以看到有一个新生成的栈命令:HeapCreate
查看新生成的堆的首地址是0x00EC0000
Ctrl+G去找FreeList数组的首地址(偏移地址0xC0处)FreeList[0]:0x00EC00C0:
这里指针指向的是堆块的数据区,而在数据区之前,还有8字节的块首,其中前两字节是当前块的大小,紧跟着的两个字节是前一块的大小(粒度都是8字节),接着是堆的一些属性,然后是两个很关键的指针:前向指针和后项指针(空闲堆块是以双向链表的形式存在的,当申请一个内存时,堆管理器会从空闲链表中找到与所申请内存相匹配的块,然后将其从链表中卸下)。
查看0x00EC04B0处:
这里由于还没有对堆进行任何操作,也就是链表中只有一个空闲块,所以指针指向free[0], 0x00EC04B0处现在还没有数据。
F9单步,执行六个分配函数后,Ctrl+G可以看到偏移地址0xC0处发生了变化,这是因为0x00EC00C0被分配出去了,现在变成了0x00EC0510:
先查看0x00EC04B0处,可以看到在新的空闲块首之前,有6个堆块从链表中卸下,被分配出去了,指针指向自身:
F9执行3个释放函数后偏移地址0xC0处变成了0x00EC04F0:
由于释放了一号堆、三号堆、五号堆,可以看到这三个堆的前后指针之前是指向自身,现在指向别的地方,表示有空闲堆块添加到链表中:
一号堆的第一个指针指向结束处0x00EC0510,第二个指针指向下一个被删的堆块0x00EC04D0
三号堆的第一个指针指向上一处0x00EC04B0,第二个指针指向下一个被删的堆块0x00EC04F0
单步向下释放五号堆,五号堆的第一个指针指向上一处0x00EC04D0,第二个指针指向下一个被删的堆块0x00EC00C0。
再申请一个8字节的内存后偏移地址0xC0处变成了0x00EC04D0:
查看FreeList,可以看到五号堆的两个指针没有了,代表着这一块从空闲链表中出来了:
1821
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
