玩心未泯

        前兩天寫程序的時(shí)候，一不小心引發(fā)了Heap Corruption，但是只是找出了引起問題的代碼，并寫進(jìn)行了修正，沒有時(shí)間去深入的探索一番，在博客上寫了篇隨筆，有些朋友留了些評(píng)論，讓我頗感慚愧，這樣一個(gè)問題為何不去深入探索一番呢，不能讓它繼續(xù)作為一個(gè)模糊的概念存在我的腦子里了，故而今天研究了一下，有些收獲，拿出來分享。

        首先說明一下什么是Heap Corruption。當(dāng)輸入超出了預(yù)分配的空間大小，就會(huì)覆蓋該空間之后的一段存儲(chǔ)區(qū)域，這就叫Heap Corruption。這通常也被用作黑客攻擊的一種手段，因?yàn)槿绻谠摽臻g之后的那段存儲(chǔ)區(qū)域如果是比較重要的數(shù)據(jù)，就可以利用Heap Corruption來把這些數(shù)據(jù)修改掉了，后果當(dāng)然可想而知了。

        在VC里面，用release模式編譯運(yùn)行程序的時(shí)候，堆分配（Heap allocation）的時(shí)候調(diào)用的是malloc，如果你要分配10byte的空間，那么就會(huì)只分配10byte空間，而用debug模式的時(shí)候，堆分配調(diào)用的是_malloc_dbg，如果你只要分配10byte的空間，那么它會(huì)分配出除了你要的10byte之外，還要多出約36byte空間，用于存儲(chǔ)一些薄記信息，debug堆分配出來之后就會(huì)按順序連成一個(gè)鏈。

        那么我們?cè)賮砜纯幢∮浶畔⒅杏行┦裁础＿€是上面10byte分配空間的例子，那么分配出的10byte空間的前面會(huì)有一個(gè)32byte的附加信息，存儲(chǔ)的是一個(gè)_CrtMemBlockHeader結(jié)構(gòu)，可以在DBGINT.H中找到該結(jié)構(gòu)的定義：

結(jié)構(gòu)中的_CrtMemBlockHeader結(jié)構(gòu)兩個(gè)指針就不用解釋是干嘛的了，szFileName是存儲(chǔ)的發(fā)起分配操作的那行代碼所在的文件的路徑和名稱，而nLine則是行號(hào)。nDataSize是請(qǐng)求分配的大小，我們的例子里當(dāng)然就是10了，nBlockUse是類型，而lRequest是請(qǐng)求號(hào)。最后一項(xiàng)gap，又稱NoMansLand，是4byte（nNoMansLandSize=4）大小的一段區(qū)域，注意看最后幾行注釋就明白了，在這個(gè)結(jié)構(gòu)后面跟的是用戶真正需要的10byte數(shù)據(jù)區(qū)域，而其后還跟了一個(gè)4byte的Gap，那么也就是說用戶申請(qǐng)分配的區(qū)域是被一個(gè)頭結(jié)構(gòu)，和一個(gè)4byte的gap包起來的。在釋放這10byte空間的時(shí)候，會(huì)檢查這些信息。Gap被分配之后會(huì)被以0xFD填充。檢查中如果gap中的值變化了，就會(huì)以Assert fail的方式報(bào)錯(cuò)。不過vc6中提示的比較難懂，DAMAGE ：after Normal block（#dd） at 0xhhhhhhhh，而vs2005里面會(huì)提示Heap Corruption Detected!而如果你是release版本，那么這個(gè)錯(cuò)誤就會(huì)潛伏直到它的破壞力發(fā)生作用。也許其后的區(qū)域存儲(chǔ)著一個(gè)除數(shù)，而你的heap corruption把它改寫成了0，那么會(huì)怎么樣呢？ :P
        至于其他的C/C++編譯器中是否會(huì)有這樣的機(jī)制，我就不是很清楚了，或許知道的朋友可以給我做些補(bǔ)充。