glibc堆布局介绍

在程序运行过程中，堆可以提供动态分配的内存，允许程序申请大小未知的内存。堆其实就是程序虚拟地址空间的一块连续的线性区域，它由低地址向高地址方向增长。我们一般称管理堆的那部分程序为堆管理器。
堆在系统中的布局可以分成两大类，分别是main_arena主场地和non_main_aren辅场地。

main_arena主场地的布局如下图所示：

在main_arena中，当程序第一次动态分配内存的时候，堆会被分成两块，一块是分配区，另一块是Top Chunk，Top Chunk的起始地址亦是top指针所指向的位置；在之后动态分配内存的过程中，只要Top Chunk的位置还够用，分配区就会从Top Chunk中划分空间供自己使用，但是假如Top Chunk中的空间不够用了，那么就会通过brk机制扩展空间。
在main_arena中的top指针记录了分配区的结束位置的地址，top指针的上方为top chunk；而分配区的开始位置的地址，如下图所示。
non_main_aren辅场地布局如下图所示：

non_main_arena中如果分配内存数量不够大的话，那么分配区的开始位置的地址和结束位置的地址同main_arena中的情况是一样的；但是如果分配内存数量足够的大，那么在non_main_arena中的分配区会划分成1个又1个的子堆；不管non_main_arena是否划分了子堆，在主子堆中，分配区的开始位置永远是[bins指针+mchunk_size（去标志位；bins指针对应malloc_chunk中的mchunk_size）]，而其他子堆分配区的起始位置的地址为[heap info的地址+0x20]。
假如想要获取全部的子堆，就要遍历一下链表，不过这个链表并不是循环的，而且需要依靠perv指针找上一个），直到找到第1个为止。
注意：主子堆的heap info内的prev指针永远是空（主子堆一般排在链表的第一个），此链表并不是循环的
chunk的布局如下图所示：

无论是空闲chunk还是被分配的chunk，它们都是由malloc_chunk结构体进行描述，关于空闲的chunk并不会介绍太多，主要介绍一下被分配的chunk；在被分配的chunk中，假如上一个chunk尚未被释放，那么一般情况下prev size中不会记录任何东西（当然也有记录的时候，见下方），但是如果上一个chunk已经被释放了，那么perv size的大小就是上一个块的大小；而size中则会记录当前块的大小及当前块的属性，标志位的具体介绍见下方。

需要注意的是当前块的大小必是 2*SIZE_SZ 的整数倍；如果没有清除标志位，那么size的大小可能就不是2*SIZE_SZ的整数倍了。

比特0：记录当前块是否已经被分配；0表示不属于，1表示属于。

比特1：记录当前块是否是由mmap分配的；0表示不属于，1表示属于。

比特2：记录当前块是否不属于主线程；1表示不属于，0表示属于。

在malloc_chunk中的fd及bk字段，假如当前块处于被分配的状态，那么从fd开始就是数据；但是假如当前块是空闲的，那么fd及bk会分别指向下/上1个的空闲块。
fd_nextsize， bk_nextsize这两个指针指在块空闲的时候使用，指向下/上第1个大小与当前块不同的空闲块

arena命令的基本格式

!heap [-arena地址] [-显示选项]
显示选项说明见下面。

arena命令的演示

1. 首先先要和GDK8建立连接；关于建立连接的具体步骤可以参考下面的链接。
GDK8上手指南 - Powered by MinDoc
2. 输入.sympath+ c:\temp载入libc符号文件；如下图所示。

注意：如果还没有下载libc符号，可以通过`sudo apt install libc6-dbg`命令进行下载；完成下载以后，可以通过`sudo find /usr/lib/debug -name “libc-x.xx.so”`命令查找libc符号所在位置 [ 一般在/usr/lib/debug/lib目录下 ]；找到libc符号后，将其复制到主机的c:\temp目录下即可。
3. 设置断点，输入g后，等待断点命中；如下图所示。

4. 输入`x libc_so!main_arena`手动载入libc符号；如下图所示。

5. 输入.load ndx载入扩展命令。
6. !arena => 查看所有arena的基本信息，大致列出来了malloc_state的中的重要信息；如下图所示。

第1列： arena地址信息。
x为0，代表main_arena；其余数字代表non_main_arena。
第2列：标识了是否含有fast chunks。
第3列： flag标志位信息；bit0记录了分配区是否有fast bin chunk， bit1标识分配区是否能返回连续的虚拟地址空间。
bit0： F代表有，-代表没有； bit1： C代表连续，N代表不连续。
第4列：线程信息；是否含有子线程。
第5、6列：分配的内存大小信息。
7. !arena -地址 -d => 于列出对应地址arena的详细信息；如下图所示。

从图中我们可以看到，该arena是属于主线程的，并且可以看到他的地址，next指针指向的是下一个arena的地址；top指针指向top chunk的地址，我们仍可以看到top指针对应的malloc_chunk结构体内的详细信息；在往下是bins数组的信息；最后列出的是分配区的情况，从分配区中可以看到第一列是块对应的地址，第二列是块的属性，因为这是主线程，所以N全是0，假如是子线程的话N就是1，M为0代表不是内存映射，P代表这个块是被分配的，第三列prev size是上一个块的大小，由于上一个块未释放且未“越界”，因此看到的prev size就会是0，第四列size是当前块的大小。
8. !arena -地址 -h => 列出所有子堆的详细信息；如下图所示。

第2列：子堆对应的地址（很明显可以看到低位全是0，对应的是_ heap_ info 的典型地址类型）。
第3、4列：子堆分配区的大小。
9. !arena -地址 -s => 统计相同大小块的信息；如下图所示。