玩心未泯

卡尔斯希普拉斯

C++博客 首页 新随笔 联系 聚合 管理
  19 Posts :: 0 Stories :: 98 Comments :: 0 Trackbacks

        前两天写程序的时候,一不小心引发了Heap Corruption,但是只是找出了引起问题的代码,并写进行了修正,没有时间去深入的探索一番,在博客上写了篇随笔,有些朋友留了些评论,让我颇感惭愧,这样一个问题为何不去深入探索一番呢,不能让它继续作为一个模糊的概念存在我的脑子里了,故而今天研究了一下,有些收获,拿出来分享。

        首先说明一下什么是Heap Corruption。当输入超出了预分配的空间大小,就会覆盖该空间之后的一段存储区域,这就叫Heap Corruption。这通常也被用作黑客攻击的一种手段,因为如果在该空间之后的那段存储区域如果是比较重要的数据,就可以利用Heap Corruption来把这些数据修改掉了,后果当然可想而知了。

        在VC里面,用release模式编译运行程序的时候,堆分配(Heap allocation)的时候调用的是malloc,如果你要分配10byte的空间,那么就会只分配10byte空间,而用debug模式的时候,堆分配调用的是_malloc_dbg,如果你只要分配10byte的空间,那么它会分配出除了你要的10byte之外,还要多出约36byte空间,用于存储一些薄记信息,debug堆分配出来之后就会按顺序连成一个链。

        那么我们再来看看薄记信息中有些什么。还是上面10byte分配空间的例子,那么分配出的10byte空间的前面会有一个32byte的附加信息,存储的是一个_CrtMemBlockHeader结构,可以在DBGINT.H中找到该结构的定义:

typedef struct _CrtMemBlockHeader
{
// Pointer to the block allocated just before this one:
   struct _CrtMemBlockHeader *pBlockHeaderNext;
// Pointer to the block allocated just after this one:
   struct _CrtMemBlockHeader *pBlockHeaderPrev;
   char *szFileName;    // File name
   int nLine;                  // Line number
   size_t nDataSize;      // Size of user block
   int nBlockUse;         // Type of block
   long lRequest;          // Allocation number
// Buffer just before (lower than) the user's memory:
   unsigned char gap[nNoMansLandSize];
} _CrtMemBlockHeader;

/* In an actual memory block in the debug heap,
 * this structure is followed by:
 *   unsigned char data[nDataSize];
 *   unsigned char anotherGap[nNoMansLandSize];
 */

结构中的_CrtMemBlockHeader结构两个指针就不用解释是干嘛的了,szFileName是存储的发起分配操作的那行代码所在的文件的路径和名称,而nLine则是行号。nDataSize是请求分配的大小,我们的例子里当然就是10了,nBlockUse是类型,而lRequest是请求号。最后一项gap,又称NoMansLand,是4byte(nNoMansLandSize=4)大小的一段区域,注意看最后几行注释就明白了,在这个结构后面跟的是用户真正需要的10byte数据区域,而其后还跟了一个4byte的Gap,那么也就是说用户申请分配的区域是被一个头结构,和一个4byte的gap包起来的。在释放这10byte空间的时候,会检查这些信息。Gap被分配之后会被以0xFD填充。检查中如果gap中的值变化了,就会以Assert fail的方式报错。不过vc6中提示的比较难懂,DAMAGE :after Normal block(#dd) at 0xhhhhhhhh,而vs2005里面会提示Heap Corruption Detected!而如果你是release版本,那么这个错误就会潜伏直到它的破坏力发生作用。也许其后的区域存储着一个除数,而你的heap corruption把它改写成了0,那么会怎么样呢? :P
        至于其他的C/C++编译器中是否会有这样的机制,我就不是很清楚了,或许知道的朋友可以给我做些补充。
posted on 2007-04-12 11:44 SuperPlayeR 阅读(10982) 评论(5)  编辑 收藏 引用 所属分类: C/C++

评论

# re: 探索Heap Corruption 2007-08-02 18:54 学习者
看不太懂.
前面说“release模式分配10byte的空间,debug模式会多出约36byte空间”,而后来又说“而如果你是release版本,那么这个错误就会潜伏直到它的破坏力发生作用。”这句话什么意思?既然release模式没有那个头结构,也没有那个4byte的Gap,它怎么检查呢?那么你说的错误又指的是什么呢?  回复  更多评论
  

# re: 探索Heap Corruption 2007-08-02 19:52 SuperPlayeR
@学习者
呵呵~~这个错误就是内存溢出了。试想在Release版本下没有了这些信息,存放在内存中的都是有用的数据,一个10Byte数据可能是你的一个数组,其后跟着另外一个数据,而你写入超过10Byte的数据不就把后面的数据给覆盖掉了么?  回复  更多评论
  

# re: 探索Heap Corruption[未登录] 2009-02-28 18:27 cash
写的太好了,原因讲述的很清楚。我也遇到了同样的问题,release下看上去一切正常,但是debug下就会出错,现在终于找到原因了。  回复  更多评论
  

# re: 探索Heap Corruption 2009-06-10 14:57 mxbinfen
前面说“release模式分配10byte的空间,debug模式会多出约36byte空间”,而后来又说“而如果你是release版本,那么这个错误就会潜伏直到它的破坏力发生作用。”这句话什么意思?既然release模式没有那个头结构,也没有那个4byte的Gap,它怎么检查呢?那么你说的错误又指的是什么呢?

答复:
楼主在文章所说的是:在release下是没有办法检测的,因为在debug下包含检测机制,才可以检测出来;
“那么这个错误就会潜伏直到它的破坏力发生作用”,要看你的程序运行的情况,如果10byte后面跟着的内存已经被系统使用,而又保存重要的数据,严重的话,可以导致系统出错  回复  更多评论
  

# re: 探索Heap Corruption 2013-07-07 12:07 奔跑的春风
写的非常好,最近在delete一块内存的时候遇到了这个问题  回复  更多评论
  


只有注册用户登录后才能发表评论。
网站导航: 博客园   IT新闻   BlogJava   知识库   博问   管理