在做Asan的时候,遇到了False Positive的问题,对于应用程序,如果其malloc了一段空间,如:
void *ptr = malloc(3);
Asan会将ptr所对应的Shadow Memory 置为0x03,来标记该地址只有3Bytes可以被访问,加上RedZone的Shadow Memory。
如果我们将libc中的API也用Asan来监视是否有Memory overflow,那么便会造成Asan False Positive的问题。究其原因是由于在libc在实现malloc(size_t size)时,会对size进行对齐,并增加size的大小以维护所分配block的信息,而该信息块所对应的Memory正好被Asan标记为不可访问的。
顺便研究了下libc中在实现malloc(size_t size)时,对不同的size,所分配的总空间的大小。
对于malloc(size_t size),我们可以访问超过size空间的大小:
char *ptr = (char *)malloc(3);
ptr[5] = 'B';
这说明我们在调用malloc申请memory的时候,往往会得到一块比我们所申请的空间大的memory,那么大多少呢,这里涉及到libc中malloc的算法。实际上当我们使用malloc申请一段大小为size的Memory时,libc会对size的大小进行调整:
- 加上信息块大小。32bit系统中为4Byte,64bit系统中为8Byte。
orsize += 4;
size += 8;
- 对齐。
以MALLOC_ALIGNMENT进行对齐,在32bit系统中为8 Byte,在64 bit系统中多为16Byte。#define MALLOC_ALIGNMENT (2 * sizeof(size_t))
- 分配内存。
malloced_size = max(16, RoundUpTo(size + 4, 8)); // for 32 bit system
or
malloced_size = max(32, RoundUpTo(size + 8, 16)); // for 64 bit system
虽然我们能够读写超过我们所申请的size大小的内存,但是一旦我们改变了该block的信息块,我们将无法free所申请的内存空间,会造成内存泄露问题。