GLibc内存管理机制深入解析<\/h1>

1. 分配区概念<\/h2>

1.1 主分配区(main arena)与非主分配区(no main arena)<\/h3>

主分配区<\/strong>：<\/p>

系统中仅存在一个主分配区<\/li>
内存分配时需加锁确保线程安全<\/li>
可通过sbrk<\/code>和mmap<\/code>两种方式向操作系统申请虚拟内存<\/li> <\/ul> <\/li>
非主分配区<\/strong>：<\/p> 只能通过mmap<\/code>映射得到内存区域<\/li> 每次申请内存默认大小为"HEAP MAX SIZE"<\/li> 系统仅在必要时使用mmap<\/code>申请内存<\/li> <\/ul> <\/li> <\/ul> 2. Chunk结构<\/h2> 2.1 使用中的chunk结构<\/h3> 标志位： - P (PREV_INUSE): 0表示前一个chunk空闲，1表示使用中 - M (IS_MMAPPED): 1表示通过mmap分配，0表示不是 - A (NON_MAIN_ARENA): 1表示主分配区，0表示非主分配区 <\/code><\/pre> 内存布局示例：<\/p> char<\/span> *<\/span>name =<\/span> malloc(8<\/span>); \/\/ name指向Mem指针 <\/span><\/span><\/span>\/\/ name-2就是Chunk指针指向的地方 <\/span><\/span><\/span><\/code><\/pre>2.2 空闲中的chunk结构<\/h3> 标志位与使用中chunk相同(无M标志位)<\/li> fd<\/code>指向下一个空闲chunk<\/li> bk<\/code>指向前一个空闲chunk<\/li> fd_nextsize<\/code>和bk_nextsize<\/code>仅出现在large bin中<\/li> <\/ul> 2.3 chunk的空间复用<\/h3> 为避免空间浪费，ptmalloc采用空间复用技术<\/li> 32位系统中最小chunk为16字节： prev_size: 4字节<\/li> size: 4字节<\/li> fd: 4字节<\/li> bk: 4字节<\/li> <\/ul> <\/li> 64位系统同理(最小chunk为32字节)<\/li> <\/ul> 3. 空闲chunk容器<\/h2> 3.1 容器分类<\/h3> #define NBINS 128 <\/span>\/\/ 总bin数量 <\/span><\/span><\/span><\/span>#define NSMALLBINS 64 <\/span>\/\/ small bin数量 <\/span><\/span><\/span><\/span>#define SMALLBIN_WIDTH MALLOC_ALIGNMENT <\/span><\/span><\/span>#define MIN_LARGE_SIZE (NSMALLBINS * SMALLBIN_WIDTH) <\/span><\/span><\/span><\/code><\/pre>3.2 索引计算<\/h3> \/\/ 判断是否在small bin范围内 <\/span><\/span><\/span><\/span>#define in_smallbin_range(sz) \ <\/span><\/span><\/span> ((unsigned long)(sz) < (unsigned long)MIN_LARGE_SIZE) <\/span><\/span><\/span><\/span> <\/span><\/span>\/\/ small bin索引计算 <\/span><\/span><\/span><\/span>#define smallbin_index(sz) \ <\/span><\/span><\/span> (SMALLBIN_WIDTH == 16 ? (((unsigned)(sz)) >> 4) : (((unsigned)(sz)) >> 3)) <\/span><\/span><\/span><\/span> <\/span><\/span>\/\/ large bin索引计算(32位) <\/span><\/span><\/span><\/span>#define largebin_index_32(sz) \ <\/span><\/span><\/span> (((((unsigned long)(sz)) >> 6) <= 38) ? 56 + (((unsigned long)(sz)) >> 6) : \ <\/span><\/span><\/span> ((((unsigned long)(sz)) >> 9) <= 20) ? 91 + (((unsigned long)(sz)) >> 9) : \ <\/span><\/span><\/span> <\/span>\/* 其他情况省略... *\/<\/span>) <\/span><\/span><\/span><\/span> <\/span><\/span>\/\/ large bin索引计算(64位) <\/span><\/span><\/span><\/span>#define largebin_index_64(sz) \ <\/span><\/span><\/span> (((((unsigned long)(sz)) >> 6) <= 48) ? 48 + (((unsigned long)(sz)) >> 6) : \ <\/span><\/span><\/span> ((((unsigned long)(sz)) >> 9) <= 20) ? 91 + (((unsigned long)(sz)) >> 9) : \ <\/span><\/span><\/span> <\/span>\/* 其他情况省略... *\/<\/span>) <\/span><\/span><\/span><\/span> <\/span><\/span>\/\/ 通用bin索引计算 <\/span><\/span><\/span><\/span>#define bin_index(sz) \ <\/span><\/span><\/span> ((in_smallbin_range(sz)) ? smallbin_index(sz) : largebin_index(sz)) <\/span><\/span><\/span><\/code><\/pre>3.3 bins的作用<\/h3> 作为内存管理的缓存机制，减少系统调用<\/li> 存储不同大小的空闲内存块(chunks)<\/li> 共维护128个bin，使用数组存储<\/li> 大小相近的chunk通过双向链表链接<\/li> <\/ul> 4. 特殊容器<\/h2> 4.1 fastbin<\/h3> 用于快速分配小内存块(32位中<0x80)<\/li> 不改变chunk的P标志位，避免合并<\/li> 分配时优先查找fastbin<\/li> 特定时机会合并fastbin中的chunk到unsorted bin<\/li> <\/ul> 4.2 unsorted bin<\/h3> 释放的大于max_fast的chunk首先放入此处<\/li> fastbin合并后的chunk也会放入此处<\/li> malloc时若fastbin不满足，会先查找此处<\/li> 可看作bins的缓冲区，加速分配<\/li> <\/ul> 4.3 small bin<\/h3> 管理较小的空闲chunk(32位:16B-504B，64位:32B-1008B)<\/li> 每个bin维护双向环形链表<\/li> 链表中的chunk大小相同<\/li> 62个small bin(索引1-62)<\/li> <\/ul> 4.4 large bin<\/h3> 管理较大的空闲chunk<\/li> 每个bin中的chunk大小不等<\/li> 使用fd_nextsize<\/code>和bk_nextsize<\/code>指针管理不同大小的chunk<\/li> <\/ul> 5. 特殊chunk<\/h2> 5.1 top chunk<\/h3> 位于arena最顶部(最高内存地址处)<\/li> 不属于任何bin<\/li> 当所有free chunk都无法满足请求时使用<\/li> 分配规则：若大小足够，分割为用户chunk和新top chunk<\/li> 否则扩展heap(主分配区用sbrk，非主分配区用mmap)<\/li> <\/ul> <\/li> <\/ul> 5.2 mmaped chunk<\/h3> 当top chunk也不满足时，直接使用mmap映射<\/li> free时直接解除映射<\/li> <\/ul> 5.3 last remainder<\/h3> 当从bins中分割chunk时，剩余部分成为last remainder<\/li> 记录在arena的malloc_state.last_remainder<\/code>中<\/li> <\/ul> 6. 内存分配与回收<\/h2> 6.1 分配步骤<\/h3> 获取分配区锁(线程安全)<\/li> 检查请求大小：若<max_fast，查找fastbin<\/li> 若在small bin范围，查找smallbin<\/li> 否则处理largebin<\/li> <\/ul> <\/li> 若fastbin\/smallbin无合适chunk：合并fastbin到unsortedbin<\/li> 检查unsortedbin<\/li> <\/ul> <\/li> 若仍无合适chunk：查找largebin<\/li> 尝试使用top chunk<\/li> <\/ul> <\/li> 若top chunk不足：主分配区：sbrk扩展<\/li> 非主分配区：mmap新heap<\/li> <\/ul> <\/li> 若请求大小>mmap阈值，直接mmap映射<\/li> <\/ol> 6.2 回收步骤<\/h3> 获取分配区锁<\/li> 检查指针有效性<\/li> 判断是否为mmap分配：是：直接munmap<\/li> 否：若<max_fast且不在堆顶：放入fastbin<\/li> 否则：检查前一个chunk是否空闲，若空闲则合并<\/li> 检查是否与top chunk相邻，若相邻则合并到top<\/li> 否则放入unsortedbin<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ul> <\/li> 若合并后chunk超过FASTBIN_CONSOLIDATION_THRESHOLD：合并fastbin到unsortedbin<\/li> <\/ul> <\/li> 检查top chunk大小：若超过mmap收缩阈值：主分配区：部分返回系统(初始堆不返回)<\/li> 非主分配区：收缩sub-heap<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 7. 版本差异<\/h2> 2.23及之前版本<\/strong>：无tcache机制<\/li> 2.26+版本<\/strong>：引入tcache(优先级高于fastbin，安全性低)<\/li> 2.29+版本<\/strong>：加固tcache安全性<\/li> <\/ul> 8. 关键参数<\/h2> max_fast<\/strong>：32位系统通常为0x80<\/li> mmap阈值<\/strong>：32位系统通常为128KB<\/li> small bin范围<\/strong>： 32位：16B-504B(8B递增)<\/li> 64位：32B-1008B(16B递增)<\/li> <\/ul> <\/li> <\/ul> 9. 系统调用<\/h2> sbrk<\/strong>：主分配区扩展heap<\/li> mmap<\/strong>：非主分配区分配sub-heap<\/li> 大内存直接分配<\/li> 主分配区在sbrk失败时使用<\/li> <\/ul> <\/li> <\/ul> 10. 安全考虑<\/h2> 分配区锁确保线程安全<\/li> 空间复用减少内存浪费<\/li> 分箱机制提高分配效率<\/li> tcache在速度与安全间权衡<\/li> <\/ul> 本文档涵盖了glibc 2.23及之前版本的内存管理核心机制，重点包括分配区、chunk结构、各类bin的管理策略，以及内存分配与回收的具体流程。对于理解ptmalloc的工作原理和进行内存相关漏洞分析具有重要意义。<\/p>