前兩天寫程序的時候,一不小心引發了Heap Corruption,但是只是找出了引起問題的代碼,并寫進行了修正,沒有時間去深入的探索一番,在博客上寫了篇隨筆,有些朋友留了些評論,讓我頗感慚愧,這樣一個問題為何不去深入探索一番呢,不能讓它繼續作為一個模糊的概念存在我的腦子里了,故而今天研究了一下,有些收獲,拿出來分享。
首先說明一下什么是Heap Corruption。當輸入超出了預分配的空間大小,就會覆蓋該空間之后的一段存儲區域,這就叫Heap Corruption。這通常也被用作黑客攻擊的一種手段,因為如果在該空間之后的那段存儲區域如果是比較重要的數據,就可以利用Heap Corruption來把這些數據修改掉了,后果當然可想而知了。
在VC里面,用release模式編譯運行程序的時候,堆分配(Heap allocation)的時候調用的是malloc,如果你要分配10byte的空間,那么就會只分配10byte空間,而用debug模式的時候,堆分配調用的是_malloc_dbg,如果你只要分配10byte的空間,那么它會分配出除了你要的10byte之外,還要多出約36byte空間,用于存儲一些薄記信息,debug堆分配出來之后就會按順序連成一個鏈。
那么我們再來看看薄記信息中有些什么。還是上面10byte分配空間的例子,那么分配出的10byte空間的前面會有一個32byte的附加信息,存儲的是一個_CrtMemBlockHeader結構,可以在DBGINT.H中找到該結構的定義:
typedef struct _CrtMemBlockHeader
{
// Pointer to the block allocated just before this one:
struct _CrtMemBlockHeader *pBlockHeaderNext;
// Pointer to the block allocated just after this one:
struct _CrtMemBlockHeader *pBlockHeaderPrev;
char *szFileName; // File name
int nLine; // Line number
size_t nDataSize; // Size of user block
int nBlockUse; // Type of block
long lRequest; // Allocation number
// Buffer just before (lower than) the user's memory:
unsigned char gap[nNoMansLandSize];
} _CrtMemBlockHeader;
/* In an actual memory block in the debug heap,
* this structure is followed by:
* unsigned char data[nDataSize];
* unsigned char anotherGap[nNoMansLandSize];
*/
結構中的_CrtMemBlockHeader結構兩個指針就不用解釋是干嘛的了,szFileName是存儲的發起分配操作的那行代碼所在的文件的路徑和名稱,而nLine則是行號。nDataSize是請求分配的大小,我們的例子里當然就是10了,nBlockUse是類型,而lRequest是請求號。最后一項gap,又稱NoMansLand,是4byte(nNoMansLandSize=4)大小的一段區域,注意看最后幾行注釋就明白了,在這個結構后面跟的是用戶真正需要的10byte數據區域,而其后還跟了一個4byte的Gap,那么也就是說用戶申請分配的區域是被一個頭結構,和一個4byte的gap包起來的。在釋放這10byte空間的時候,會檢查這些信息。Gap被分配之后會被以0xFD填充。檢查中如果gap中的值變化了,就會以Assert fail的方式報錯。不過vc6中提示的比較難懂,DAMAGE :after Normal block(#dd) at 0xhhhhhhhh,而vs2005里面會提示Heap Corruption Detected!而如果你是release版本,那么這個錯誤就會潛伏直到它的破壞力發生作用。也許其后的區域存儲著一個除數,而你的heap corruption把它改寫成了0,那么會怎么樣呢? :P
至于其他的C/C++編譯器中是否會有這樣的機制,我就不是很清楚了,或許知道的朋友可以給我做些補充。