0x01:簡介
在堆中的記憶體申請和釋放中,為了減少使用系統呼叫函式對記憶體操作,malloc_state(分配區)結構中使用了fastbinsY陣列和bins陣列。當chunk被free後,bins鏈會將這些free chunk組織起來。當下次malloc時,會先對bins鏈中的free chunk進行遍歷,有適合的則使用,無合適的再進行下一步操作。
在申請和釋放操作時,一般是有一個arena(分配區,其為malloc_state結構型別)。通過巨集定義bin_at(m,i)即可獲得對相應bins鏈進行操作,m為分配區,i為索引,當i=1是為unsorted bin,i=2~63是small bin,i=64~126為large bin。
bin_at可以這樣使用: p = bin_at(m,1) //unsorted bin FD = p -> fd //FD指向該鏈的第一個free chunk BK = p -> bk //BK指向該鏈的最後一個free chunk
0x02:個人理解
該巨集定義為這樣子,主要是為了操作方便(可直接fd、bk指向)和在節省空間之間取平衡。既操作方便又不浪費空間。
bin_at(m,i)巨集定義原型:
#define bin_at(m, i) \
(mbinptr) (((char *) &((m)->bins[((i) - 1) * 2])) \
- offsetof (struct malloc_chunk, fd))
解釋:
1、&((m)->bins[((i)-1)*2]),該式子根據bin的索引i,i為1時,即最開始的bin(unsorted bin)。
獲得bins[0]的地址,乘於2主要是因為fd和bk是一對儲存的。
2、offsetof(struct malloc_chunk,fd):得到fd成員在malloc_chunk結構中的偏移量。在64位系統系統下為16。
把第一步得到地址(令其為pt)轉化為char*型,這樣子減偏移值: pt - offsetof = pt - offsetof*(sizeof(char))。
3、重點:
在第二步下,第一步得到的地址指向往後推移了兩個單元,比如圖中的bin_at(m,1)得到的是bins[0]前兩個單元所在的地址。
然後經過最後的(mbinptr)轉化為malloc_chunk*型別,這樣就可以有->fd、->bk操作。
相當於是糊弄了作業系統,讓作業系統誤以為是個chunk結構。
語言表達不夠,畫圖來湊~~
0x03:測試
1 測試程式碼: 2 #include<stdio.h> 3 #include<malloc.h> 4 5 int main() 6 { 7 void* p1 = malloc(0x100); 8 void* f1 = malloc(0x10); //防止合併 9 void* p2 = malloc(0x100); 10 void* f2 = malloc(0x10); 11 void* p3 = malloc(0x100); 12 void* f3 = malloc(0x10); 13 14 sleep(0); //方便下斷點 15 16 free(p1); 17 free(p2); 18 free(p3); 19 20 sleep(0); //下圖斷在了這裡 21 return 0; 22 }
可以看出unsorted bin的第一個單元是指向bin鏈的第一個free chunk,另外一個單元指向bin鏈的最後一個free chunk。圖中我已經標出了指向top chunk的那個單元,也有:bin_at(m,1)指向該單元 ,或者更本質一點:bin_at(m,1) = 0x7ffffdd1b78。
0x04:思考
在剛開始看這個巨集定義時,一臉懵逼,覺得這個巨集定義是有問題吧,減去16不是超出了範圍了麼?後來繼續分析原始碼時發現了->fd和->bk的操作,陷入了沉思。巧的是,群裡有師傅剛好提到這個問題,所以和該師傅交流了一下,最後得到了一個比較合理的解釋。
但是令我疑惑的是,為什麼在後面會留兩個空白單元嘞?留在前面不是更恰當麼?bin_at(m,1)指向了bins陣列外面的單元(存top chunk地址的單元),這樣會不會存有遺患呢?有想法的歡迎與我交流^_^,QQ:1623093551。
tolele 2022-03-16