关于如何理解Glibc堆管理器(Ⅰ——堆结构)

本文主要是介绍关于如何理解Glibc堆管理器(Ⅰ——堆结构)，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

本篇实为个人笔记，可能存在些许错误；若各位师傅发现哪里存在错误，还望指正。感激不尽。

若有图片及文稿引用，将在本篇结尾处著名来源。

目录

什么是堆

实际操作

---

        首先从 什么是堆 开始讲起吧。

        在操作系统加载一个应用程序的时候，会为程序创建一个独立的进程，这个进程拥有着一套独立的内存结构。大致结构如下图：

         进程在运行之处会创建一块固定大小的堆空间，但当用户需要申请一块超出已有堆空间大小的内存时，操作系统就会调用sbrk函数(也有其他类似功能的函数)来延申这块空间

        但正如我们所见，这样的拓展大小的方式似乎还是有极限的。当即便用sbrk去拓展Heap，也不能够满足用户的需求的时候(至少堆不能覆盖到栈上去，对吧？)，操作系统就会使用mmap来为进程开辟额外的空间，这些空间可以被视为“虚拟内存”，它们不需要时刻都加载在内存中，因此能够大大提升堆的空间

        当然，如果即便如此也不能够满足用户所需要的空间，那这个申请空间的操作就会失败，例如malloc，它会返回一个NULL

        并且，上图还显示了堆在内存中的结构——一段连续的内存块，记住这个特点将对接下来的理解很有帮助

如下为一个堆的结构体申明：

struct malloc_chunk {INTERNAL_SIZE_T      mchunk_prev_size;  /* Size of previous chunk (if free).*/INTERNAL_SIZE_T      mchunk_size;       /* Size in bytes, including overhead.*/struct malloc_chunk* fd;   /* double links -- used only if free. */struct malloc_chunk* bk;/* Only used for large blocks: pointer to next larger size.  */struct malloc_chunk* fd_nextsize; /* double links -- used only if free. */struct malloc_chunk* bk_nextsize;};

        这可能会给人一种反直觉的印象，因为这个堆结构体似乎太小了，根本不能够像我们印象里的那样去存放数据

        因此这里需要介绍一下Glibc中堆的寻址方式——隐式链表

         尽管上图已经很详尽的介绍了堆的存放，但我仍然有必要多做些说明

        操作系统会将堆划分成多个chunk以分配给程序，也就是malloc请求到的实则是一个chunk

        而malloc返回的指针实则是指向chunk+16(在x86中则是+8)处的地址，究其原因就是因为结构体中的如下两项

  INTERNAL_SIZE_T      mchunk_prev_size;  /* Size of previous chunk (if free).*/INTERNAL_SIZE_T      mchunk_size;       /* Size in bytes, including overhead.*/

        只有这两个数据是常驻于结构体中的(这句话有些晦涩，现在看不懂也没关系)

        它们分别表示上一个chunk的大小和当前chunk的大小，那既然我们能够知道上一个chunk的大小，通过简单的加法就能够找到上一个chunk的位置了，这种方法就被称为隐式链表

        而在mchunk_size的下面就是用来储存用户需要的数据

        显然，如果从这个地方开始储存数据，上面给出的结构体就会被破坏了，因为另外四个成员无处安放了，但对于一个正被使用的chunk来说，这是无关紧要的，因此才说它们并不常驻(其中原因牵涉了其他，也将在下文叙述)

        (但请注意，chunk块的申请是要符合16字节(或8字节)对齐的，尽管用户申请的时候看起来相当随意，但操作系统仍然会返回对齐后的堆结构)

        同时，为了节省资源，mchunk_size的最后三位将用来储存额外的标志位，其意义这里不再赘述，但这里需要再一次强调的是，最后一位 P标记位 指示了上一个chunk是否处于被使用状态

        尽管它们被用作标记，但在计算chunk大小的时候，我们会默认它们为0以计算合理大小

        例如(二进制)1000101：Size=1000000，A=1，M=0,P=1

实际操作：

示范程序：

#include <unistd.h>
#include <stdlib.h>
#include <string.h>
#include <stdio.h>int main()
{unsigned long long *chunk1, *chunk2;chunk1=(unsigned long long)malloc(0x80);chunk2=(unsigned long long)malloc(0x80);printf("Chunk1:%p",chunk1);printf("Chunk2:%p",chunk2);return 0;
}

         通过如下命令去编译这个文件

gcc -g heap.c -o heap

        然后用gdb调试heap文件，我们将断点定在第11行，查看此时的堆

gdb-peda$ heap
0x602000 PREV_INUSE {prev_size = 0x0, size = 0x91, fd = 0x0, bk = 0x0, fd_nextsize = 0x0, bk_nextsize = 0x0
}
0x602090 PREV_INUSE {prev_size = 0x0, size = 0x91, fd = 0x0, bk = 0x0, fd_nextsize = 0x0, bk_nextsize = 0x0
}
0x602120 PREV_INUSE {prev_size = 0x0, size = 0x20ee1, fd = 0x0, bk = 0x0, fd_nextsize = 0x0, bk_nextsize = 0x0
}

        可以看出，我们申请的chunk大小为0x80，但实际返回的chunk却有0x90(最后的1为标志位)

        同时，它们是严格的按照堆的顺序往下开辟的，从0x602000到0x602090，没有其他空挡

        而0x602120是则是被称为“Top chunk”的堆结构，在当前的堆仍然充足的时候，操作系统通过分割Top Chunk来提供malloc的服务

gdb-peda$ p chunk1
$1 = (unsigned long long *) 0x602010
gdb-peda$ p chunk2
$2 = (unsigned long long *) 0x6020a0

        而查看chunk1的内容，发现它指向0x602010而不是0x602000

        这也作证了前面所说的内容，在这空挡的16字节中储存了常驻的那两个成员，而其他成员则被舍弃了

图片来源：https://azeria-labs.com/heap-exploitation-part-1-understanding-the-glibc-heap-implementation/

这篇关于关于如何理解Glibc堆管理器(Ⅰ——堆结构)的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---