Memcpy越界操作导致free崩溃分析

问题现象

在使用一个开源播放器的时候，每次在音频即将播放完毕的时候，会崩溃，经过排查分析发现是由于memcpy拷贝越界问题。然后编写示例代码确实会出现类型现象，示例代码如下：

 1#include "stdafx.h" 
 2#include <stdio.h>
 3#include <stdlib.h>
 4#include <string.h>
 5
 6int _tmain(int argc, _TCHAR* argv[])
 7{
 8
 9    char* dst = (char*)malloc(100);
10    char src[200] = "aba";
11    src[201] ='a';
12
13    printf("start memcpy!\n");
14    *(dst + 101) = 'a';
15    *(dst + 101) = '1';
16    memcpy(dst, src, 200);
17    printf("end memcpy!\n");
18    free(dst); //该行会崩溃。
19    printf("free ok !\n");
20
21    return 0;
22}

导致崩溃代码

• 首先让我们看上面示例代码找错误的时候，大家在不使用编译器进行调试的时候，我想大家查找的错误点有以下几个地方：
  1. 第11行src [201] ='a'; 会导致崩溃。
  2. 第16行memcpy(dst, src, 200); 会导致崩溃。

• 但是真正使用vs2015编译调试发现真正崩溃的地方只有一处，如下：
  1. 第18行free(dst); //该行会崩溃。

分析崩溃原因

1. 首先为什么第11行没有崩溃呢，其实这个跟第16行是一样的，这个我们在操作这块内存的时候，该块内存不是系统暂用的内存区域，它就是一块内存区域，我们可以任意写数据，但是他确实会影响内存中的数据，当该函数退出是否堆栈的时候就会出现如下问题，我想这个问题大家还是经常遇到的：
   
2. 有了上面的依据我们就可以简单知道为什么memcpy越界后会导致free的时候会出现崩溃了，那我们还需要了解memcpy的实现原理，其实memcpy是没有对目的地址进行内存检查的直接，将count大小的数据拷贝到dest中去，所以就存在跟上面数组越界在函数退出的时候会出现崩溃一样，如下：
   

    1void *memcpy(void *dest, const void *src, size_t count)
    2{
    3 char *tmp = dest;
    4 const char *s = src;
    5
    6 while (count--)
    7  *tmp++ = *s++;
    8 return dest;
    9}
   
   

了解molloc和free能够更好的理解该崩溃原因

• 首先我们想一个问题，我们molloc一块内存，在free的时候只需要传递指针首地址操作系统(或者说C语言)就可以对内存进行释放，那么它是怎么知道应该释放多大的内存呢，查阅资料发现其实C语言是维护了一个数据结构类似如下的结构，这个结构中主要有两个数据：一个是当前内存块的大小，另外一个是指向下一个空闲内存块：

typedef struct Header {
        union header *ptr; /*next block if on free list*/
        unsigned size; /*size of this block*/
    } header;

1. 如上其实我们在molloc(10)一块内存的时候，真正申请的不止是10个字节大小的内存，而是要加上一个struct Header结构体的大小，molloc返回给我们的内存想当于是p+sizeof(Header)的指针，而在free的时候，则C语言只需要将p-sizeof(Header)就能找到header结构，从而知道内存块大小。
2. 我们了解了如上的结构就大概知道为什么会在free的时候出错了，这是因为我们其实在memcpy的时候，已经破坏了相应的内存结构，这个会导致我们free的时候，操作内存的时候出现错误。

总结

该观点也是借助其他高人，自己总结的可能有所不正确，欢迎指正共同研究，参考文章： http://www.cnblogs.com/wuyuegb2312/archive/2013/05/03/3056309.html