本文主要是介绍《0day安全》堆操作,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
堆的调试
#include "stdafx.h"
#include <windows.h>
int main()
{HLOCAL h1,h2,h3,h4,h5,h6;HANDLE hp;hp = HeapCreate(0,0x1000,0x10000);__asm int 3h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,3);h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,5);h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,6);h4 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);h5 = HeapAlloc(hp,HEAP_ZERO_MEMORY,19);h6 = HeapAlloc(hp,HEAP_ZERO_MEMORY,24);//free block and prevent coalesesHeapFree(hp,0,h1); //free to freelist[2] HeapFree(hp,0,h3); //free to freelist[2] HeapFree(hp,0,h5); //free to freelist[4]HeapFree(hp,0,h4); //coalese h3,h4,h5,link the large block to freelist[8]return 0;
}| 环境 | 备注 | |
|---|---|---|
| 操作系统 | Windows2000 | 分配策略堆操作系统敏感 |
| 编译器 | vc++6.0 | |
| 编译选项 | 默认 | VS2003、VS2005的GS编译选项会使实验失败 |
| build | release版本 | debug版本会失败 |
调试堆与调试栈不同,不能直接使用od、windbg等来加载程序,因为对管理函数会检测到调试状态而采用调试堆管理策略。
调试堆&常态堆不同:(类似于debug版本的PE和release版本的PE)
1.调试堆不适应快表,只使用空表分配。
2.所有的堆块被加上了多余的16字节尾部来防止溢出(防止程序溢出而不是堆溢出),包括8个字节的0xAB和8个字节的0x00。
3.块首的标志位不同。
所以在创建堆之后加一个人工断点:_asm int 3 。然后让程序单独执行,当程序堆初始化完后,断点会中断程序,这时再用od attach进程,就能看到真实的堆了。
首先将od设置成实时调试器,然后直接运行,程序会中断下来。
不要管提示,点击确定,停在了int3。
去内存模块看看,发现进程空间中存在多个堆。
认识堆表
程序在初始化时,malloc使用的堆和进程堆都已经经过了若干次分配和释放,里面的堆比较”凌乱“。
因此通过HeapCreate()函数创建一个新的堆来学习了解堆管理策略。
直接跳到0x520000处,查看堆结构。
堆表从0x520000处开始,堆表的信息依次是段表索引、虚表索引、空表使用标识和空表索引(偏移0x178处)。
0x178偏移是空表索引区,其余跟堆溢出利用关系不大,先不学。去看看空表索引。
去看看唯一的块。
尾块目前的大小为 0x0130,计算单位是 8 个字节,也就是 0x980 字节。
当前块的大小,是块首的前两个字节,0x130,但是单位是8个字节,就是0x980字节(堆的大小包含块首在内)。
快表据说在0x584,这里为NULL,因为我们这样创建的堆没扩展性,HeapCreate(0,0,0)就可以使用快表。
堆块的分配
注意分配时8字节对齐的,不足的就给足8字节,还有块首还有8字节,所以申请2字节,最终分配16字节。
这个地方是个天坑,得用原版od,不然就gg!!!
看下第一次分配
可以看到前四个都是分配16字节。
继续
堆块的释放
由于前三次释放的堆块在内存中不连续,因此不会发生合并。按照其大小, h1 和 h3 所指向的堆块应该被链入 freelist[2]的空表, h5 则被链入 freelist[4]。
三次释放运行完毕后
再去 0x00520178 处看看空表索引区现在的情况,现在已经产生了三条空闲链表了。
堆块的合并
当第 4 次释放操作结束后, h3、 h4、 h5 这 3 个空闲块彼此相邻,这时会发生堆块合并操作。
首先这 3 个空闲块都将从空表中摘下,然后重新计算合并后新堆块的大小,最后按照合并后的大小把新块链入空表。
在这里, h3、 h4 的大小都是 2 个堆单位(8 字节), h5 是 4 个堆单位,合并后的新块为 8个堆单位,将被链入 freelist[8]。
可以看到,合并只修改了块首的数据,原块的块身基本没有发生变化。注意合并后的新块大小已经被修改为 0x0008,其空表指针指向 0x005201B8,也就是 freelist[8]。
这时,在空表索引区观察一下。
可以看到:
1.在 0x00520188 处的 freelist[2],原来标识的空表中有两个空闲块 h1 和 h3,而现在只剩下 h1,因为 h3 在合并时被摘下了。
2.在 0x00520198 处的 freelist[4],原来标识的空表中有一个空闲块 h5,现在被改为指向自身,因为 h5 在合并时被摘下了。
快表的使用
#include "stdafx.h"
#include <stdio.h>
#include <windows.h>
void main()
{HLOCAL h1,h2,h3,h4;HANDLE hp;hp = HeapCreate(0,0,0);__asm int 3h1 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,8);h3 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);h4 = HeapAlloc(hp,HEAP_ZERO_MEMORY,24);HeapFree(hp,0,h1);HeapFree(hp,0,h2);HeapFree(hp,0,h3);HeapFree(hp,0,h4);h2 = HeapAlloc(hp,HEAP_ZERO_MEMORY,16);HeapFree(hp,0,h2);
}停在了int 3,去内存模块看看,看不到书本那里的HeapCreate创建的堆。
我们看看前面的返回值,得到堆。
需要注意的是程序在使用快表之后堆结构也会发生一些变化,其中最为主要的变化是“尾块”不在位于堆 0x0688 偏移处了,这个位置被快表霸占。
现在我们到偏移 0x0688(本次实验为 0x00360688)处来看快表长什么样。
可以看到堆刚初始化后快表是空的,这也是为什么代码中我们要反复的申请释放空间。首先我们从 FreeList[0]中依次申请 8、 16、 24 个字节的空间,然后再通过 HeapFree 操作将其释放到快表中(快表未满时优先释放到快表中)。根据三个堆块的大小我们可以知道 8 字节的会被插入到Lookaside[1]中、16 字节的会被插入到 Lookaside[2]中、24 字节的会被插入到 Lokkaside[3]中。执行完四次释放操作后快表区状态如图。
我们再到 0x00361EA0 附近观察一下堆块的状态,大家可以发现快表中的堆块与空表中的堆块有着两个明显的区别。
1.块首中的标识位为 0x01,也就是这个堆块是 Busy 状态,这也是为什么快表中的堆块不进行合并操作的原因。
2.块首只存指向下一堆块的指针,不存在指向前一堆块的指针。
经过前面的释放操作后,快表已经非空了,此时如果我们再申请 8、 16 或 24 字节大小空间的时系统会从快表中给我们分配,所以程序中接下来申请 16 个字节空间时,系统会从Lookaside[2]中卸载一个堆块分配给程序,同时修改 Lookaside[2]表头。
接下来的释放指令又会将 16 字节的堆块插入到 Lookaside[2]中。
而且申请的返回值就是之前块表储存的地址。
注意
1.堆块中的前向指针是下一步要走的指针,指向下一个地址(向前行进的指针)。后向指针类似。——20200825
这篇关于《0day安全》堆操作的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
