Shuffy

本文源自：http://www.shnenglu.com/kerlw/services/trackbacks/21700.aspx

        首先說(shuō)明一下什么是Heap Corruption。當(dāng)輸入超出了預(yù)分配的空間大小，就會(huì)覆蓋該空間之后的一段存儲(chǔ)區(qū)域，這就叫Heap Corruption。這通常也被用作黑客攻擊的一種手段，因?yàn)槿绻谠摽臻g之后的那段存儲(chǔ)區(qū)域如果是比較重要的數(shù)據(jù)，就可以利用Heap Corruption來(lái)把這些數(shù)據(jù)修改掉了，后果當(dāng)然可想而知了。

        在VC里面，用release模式編譯運(yùn)行程序的時(shí)候，堆分配（Heap allocation）的時(shí)候調(diào)用的是malloc，如果你要分配10byte的空間，那么就會(huì)只分配10byte空間，而用debug模式的時(shí)候，堆分配調(diào)用的是_malloc_dbg，如果你只要分配10byte的空間，那么它會(huì)分配出除了你要的10byte之外，還要多出約36byte空間，用于存儲(chǔ)一些薄記信息，debug堆分配出來(lái)之后就會(huì)按順序連成一個(gè)鏈。

        那么我們?cè)賮?lái)看看薄記信息中有些什么。還是上面10byte分配空間的例子，那么分配出的10byte空間的前面會(huì)有一個(gè)32byte的附加信息，存儲(chǔ)的是一個(gè)_CrtMemBlockHeader結(jié)構(gòu)，可以在DBGINT.H中找到該結(jié)構(gòu)的定義：

結(jié)構(gòu)中的_CrtMemBlockHeader結(jié)構(gòu)兩個(gè)指針就不用解釋是干嘛的了，szFileName是存儲(chǔ)的發(fā)起分配操作的那行代碼所在的文件的路徑和名稱，而nLine則是行號(hào)。nDataSize是請(qǐng)求分配的大小，我們的例子里當(dāng)然就是10了，nBlockUse是類型，而lRequest是請(qǐng)求號(hào)。最后一項(xiàng)gap，又稱NoMansLand，是4byte（nNoMansLandSize=4）大小的一段區(qū)域，注意看最后幾行注釋就明白了，在這個(gè)結(jié)構(gòu)后面跟的是用戶真正需要的10byte數(shù)據(jù)區(qū)域，而其后還跟了一個(gè)4byte的Gap，那么也就是說(shuō)用戶申請(qǐng)分配的區(qū)域是被一個(gè)頭結(jié)構(gòu)，和一個(gè)4byte的gap包起來(lái)的。在釋放這10byte空間的時(shí)候，會(huì)檢查這些信息。Gap被分配之后會(huì)被以0xFD填充。檢查中如果gap中的值變化了，就會(huì)以Assert fail的方式報(bào)錯(cuò)。不過(guò)vc6中提示的比較難懂，DAMAGE ：after Normal block（#dd） at 0xhhhhhhhh，而vs2005里面會(huì)提示Heap Corruption Detected!而如果你是release版本，那么這個(gè)錯(cuò)誤就會(huì)潛伏直到它的破壞力發(fā)生作用。也許其后的區(qū)域存儲(chǔ)著一個(gè)除數(shù)，而你的heap corruption把它改寫成了0，那么會(huì)怎么樣呢？