0x1 unsorted bin是什么
· free时,若chunk的大小能进tcache且tcache没满,则进tcache;若大小能进fastbin且tcache已满,则进fastbin;若既不进tcache又不进fastbin,则通常进unsorted bin。
· unsorted bin相当于一个临时中转站,很多free出来的chunk在进入各个bin之前会先进入这个中转站。之后的malloc会优先到unsorted bin中寻找合适的chunk,不合适的chunk会被分流到smallbin/largebin。
· 与tcache不同,unsorted bin使用双向链表。进入unsorted bin的chunk的user_data+0x00会写成fd,指向链表中的下一个chunk;user_data+0x08会写成bk,指向链表中的上一个chunk(以进入unsorted bin的先后顺序为前后顺序)。若前面或后面没有chunk,则fd/bk指向head。head在main_arena中,main_arena是libc中的malloc核心管理结构,所以head会是一个libc地址。
0x2 unsorted bin实例
· 使用如下实例:
#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <unistd.h> int main() { setbuf(stdin, NULL); setbuf(stdout, NULL); setbuf(stderr, NULL); char *a = malloc(0x420); char *b = malloc(0x420); char *c = malloc(0x420); char *d = malloc(0x20); free(a); free(b); free(c); return 0;
}
· 四次malloc后,先看一下四个chunk的user_date地址:
· 第一次free后:
可以看到chunk_a已进入unsorted bin,且链表中写入的是chunk_head而不是user_data地址。由于a是bin中唯一一个chunk,它的fd和bk就都指向head。
· 三次free后:
可以看到unsorted bin中仍然只有chunk_a,而chunk_b和chunk_c不知所踪,chunk_a的fd和bk仍然都指向head,chunk_b和chunk_c也没有写入fd/bk,为什么?
因为chunk_a,b,c是一段连续的内存区域的三个chunk,一个chunk被free进unsorted bin时,glibc会先后检查与他物理相邻的上一个与下一个chunk是否处与使用状态,若相邻chunk处于空闲状态则glibc会将两个chunk进行合并。所以由于chunk_b被free时chunk_a空闲、chunk_c使用中,chunk_a就被chunk_b向下合并,成为一块chunk。chunk_c被free时同理,导致三个chunk最终成为一个chunk,所以unsorted bin中只有chunk_a的地址。
注意:发生合并是相邻的两个chunk只需满足“都处于空闲状态”与“物理相邻”两个条件,不需要都位于unsorted bin链表中。合并过程中,若相邻chunk位于其他bin,则其会被从其原本bin中摘出来再与该chunk合并,合并后的结果一般会重新挂回unsorted bin,除非直接并进top。fastbin除外。
· 现在来看下面这个实例:
#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <unistd.h> int main() { setbuf(stdin, NULL); setbuf(stdout, NULL); setbuf(stderr, NULL); char *a = malloc(0x420); char *b = malloc(0x20); char *c = malloc(0x420); char *d = malloc(0x20); char *e = malloc(0x420); char *f = malloc(0x20); char *g = malloc(0x420); char *h = malloc(0x20); free(a); free(c); free(e); free(g); return 0;
}
· 四次free后:
可以看到这次被free的四个chunk都进入了unsorted bin链表,且按照进入bin的先后顺序使用fd/bk相互连接。