玩心未泯

        前兩天寫程序的時候，一不小心引發(fā)了Heap Corruption，但是只是找出了引起問題的代碼，并寫進(jìn)行了修正，沒有時間去深入的探索一番，在博客上寫了篇隨筆，有些朋友留了些評論，讓我頗感慚愧，這樣一個問題為何不去深入探索一番呢，不能讓它繼續(xù)作為一個模糊的概念存在我的腦子里了，故而今天研究了一下，有些收獲，拿出來分享。

        首先說明一下什么是Heap Corruption。當(dāng)輸入超出了預(yù)分配的空間大小，就會覆蓋該空間之后的一段存儲區(qū)域，這就叫Heap Corruption。這通常也被用作黑客攻擊的一種手段，因為如果在該空間之后的那段存儲區(qū)域如果是比較重要的數(shù)據(jù)，就可以利用Heap Corruption來把這些數(shù)據(jù)修改掉了，后果當(dāng)然可想而知了。

        在VC里面，用release模式編譯運行程序的時候，堆分配（Heap allocation）的時候調(diào)用的是malloc，如果你要分配10byte的空間，那么就會只分配10byte空間，而用debug模式的時候，堆分配調(diào)用的是_malloc_dbg，如果你只要分配10byte的空間，那么它會分配出除了你要的10byte之外，還要多出約36byte空間，用于存儲一些薄記信息，debug堆分配出來之后就會按順序連成一個鏈。

        那么我們再來看看薄記信息中有些什么。還是上面10byte分配空間的例子，那么分配出的10byte空間的前面會有一個32byte的附加信息，存儲的是一個_CrtMemBlockHeader結(jié)構(gòu)，可以在DBGINT.H中找到該結(jié)構(gòu)的定義：

結(jié)構(gòu)中的_CrtMemBlockHeader結(jié)構(gòu)兩個指針就不用解釋是干嘛的了，szFileName是存儲的發(fā)起分配操作的那行代碼所在的文件的路徑和名稱，而nLine則是行號。nDataSize是請求分配的大小，我們的例子里當(dāng)然就是10了，nBlockUse是類型，而lRequest是請求號。最后一項gap，又稱NoMansLand，是4byte（nNoMansLandSize=4）大小的一段區(qū)域，注意看最后幾行注釋就明白了，在這個結(jié)構(gòu)后面跟的是用戶真正需要的10byte數(shù)據(jù)區(qū)域，而其后還跟了一個4byte的Gap，那么也就是說用戶申請分配的區(qū)域是被一個頭結(jié)構(gòu)，和一個4byte的gap包起來的。在釋放這10byte空間的時候，會檢查這些信息。Gap被分配之后會被以0xFD填充。檢查中如果gap中的值變化了，就會以Assert fail的方式報錯。不過vc6中提示的比較難懂，DAMAGE ：after Normal block（#dd） at 0xhhhhhhhh，而vs2005里面會提示Heap Corruption Detected!而如果你是release版本，那么這個錯誤就會潛伏直到它的破壞力發(fā)生作用。也許其后的區(qū)域存儲著一個除數(shù)，而你的heap corruption把它改寫成了0，那么會怎么樣呢？ :P
        至于其他的C/C++編譯器中是否會有這樣的機(jī)制，我就不是很清楚了，或許知道的朋友可以給我做些補(bǔ)充。