既然你正在看這篇文章，那么你就應該知道malloc函數是通過syscall調用從操作系統獲取內存的。 如下圖所示，malloc是通過調用brk或mmap這兩種syscall之一來獲取內存的。

1.brk方式

brk：brk是通過增設程序斷點來從內核獲取內存(非清零)的。最初堆段的起點(start_brk)和堆段終點(brk)是指向相同的位置的。當ASLR關閉時，start_brk和brk將指向data/bss段(end_data)的末尾。當ASLR打開時，start_brk和brk的值將等于data/bss段(end_data)的結尾加上一個隨機的brk偏移。

正如上面的“進程虛擬內存布局”圖展示的，start_brk是堆段的開始，brk(程序中斷)是堆段的結尾。

例程如下：

/* sbrk and brk example */ 
#include <stdio.h> 
#include <unistd.h> 
#include <sys/types.h> 
 
int main() 
{ 
        void *curr_brk, *tmp_brk = NULL; 
 
        printf("Welcome to sbrk example:%d\n", getpid()); 
 
        /* sbrk(0)返回此進程的斷點位置*/ 
        tmp_brk = curr_brk = sbrk(0); 
        printf("Program Break Location1:%p\n", curr_brk); 
        getchar(); 
 
        /* brk（addr）遞增/遞減程序的斷點位置*/ 
        brk(curr_brk+4096); 
 
        curr_brk = sbrk(0); 
        printf("Program break Location2:%p\n", curr_brk); 
        getchar(); 
 
        brk(tmp_brk); 
 
        curr_brk = sbrk(0); 
        printf("Program Break Location3:%p\n", curr_brk); 
        getchar(); 
 
        return 0; 
} 

輸出分析：在增設程序中斷之前，通過下面的輸出，我們可以看到并沒有堆段。

因此：• start_brk = brk = end_data = 0x804b000

sploitfun@sploitfun-VirtualBox:~/ptmalloc.ppt/syscalls$ ./sbrk  
Welcome to sbrk example:6141 
Program Break Location1:0x804b000 
... 
sploitfun@sploitfun-VirtualBox:~/ptmalloc.ppt/syscalls$ cat /proc/6141/maps 
... 
0804a000-0804b000 rw-p 00001000 08:01 539624     /home/sploitfun/ptmalloc.ppt/syscalls/sbrk 
b7e21000-b7e22000 rw-p 00000000 00:00 0  
... 
sploitfun@sploitfun-VirtualBox:~/ptmalloc.ppt/syscalls$ 

在增設了程序斷點后：在下面的輸出我們可以觀察到有堆段。

因此：• start_brk = end_data = 0x804b000• brk = 0x804c000

sploitfun@sploitfun-VirtualBox:~/ptmalloc.ppt/syscalls$ ./sbrk  
Welcome to sbrk example:6141 
Program Break Location1:0x804b000 
Program Break Location2:0x804c000 
... 
sploitfun@sploitfun-VirtualBox:~/ptmalloc.ppt/syscalls$ cat /proc/6141/maps 
... 
0804a000-0804b000 rw-p 00001000 08:01 539624     /home/sploitfun/ptmalloc.ppt/syscalls/sbrk 
0804b000-0804c000 rw-p 00000000 00:00 0          [heap] 
b7e21000-b7e22000 rw-p 00000000 00:00 0  
... 
sploitfun@sploitfun-VirtualBox:~/ptmalloc.ppt/syscalls$ 

其中0804b000-0804c000是此堆段的虛擬地址范圍

rw-p是Flags(可讀，可寫，不可執行，私有)

00000000是文件偏移 – 由于不存在文件映射，所以這里為零

00:00是主要/次要設備號 – 由于不存在文件映射，所以這里為零

0是Inode編號 – 由于不存在文件映射，所以這里為零

[heap]表示是堆段

2.mmap方式

mmap：malloc使用mmap去創建一個私有的匿名映射段。映射這個私有匿名段的主要目的是為了分配新的內存(已清零)，并且這個新的內存將被調用進程獨占使用。

例程：

/* Private anonymous mapping example using mmap syscall */ 
#include <stdio.h> 
#include <sys/mman.h> 
#include <sys/types.h> 
#include <sys/stat.h> 
#include <fcntl.h> 
#include <unistd.h> 
#include <stdlib.h> 
 
void static inline errExit(const char* msg) 
{ 
        printf("%s failed. Exiting the process\n", msg); 
        exit(-1); 
} 
 
int main() 
{ 
        int ret = -1; 
        printf("Welcome to private anonymous mapping example::PID:%d\n", getpid()); 
        printf("Before mmap\n"); 
        getchar(); 
        char* addr = NULL; 
        addr = mmap(NULL, (size_t)132*1024, PROT_READ|PROT_WRITE, MAP_PRIVATE | MAP_ANONYMOUS, -1, 0); 
        if (addr == MAP_FAILED) 
                errExit("mmap"); 
        printf("After mmap\n"); 
        getchar(); 
 
        /* Unmap mapped region. */ 
        ret = munmap(addr, (size_t)132*1024); 
        if(ret == -1) 
                errExit("munmap"); 
        printf("After munmap\n"); 
        getchar(); 
        return 0; 
} 

輸出分析：

mmap調用前：在下面的輸出中，我們只能看到屬于共享庫libc.so和ld-linux.so的內存映射段

sploitfun@sploitfun-VirtualBox:~/ptmalloc.ppt/syscalls$ cat /proc/6067/maps 
08048000-08049000 r-xp 00000000 08:01 539691     /home/sploitfun/ptmalloc.ppt/syscalls/mmap 
08049000-0804a000 r--p 00000000 08:01 539691     /home/sploitfun/ptmalloc.ppt/syscalls/mmap 
0804a000-0804b000 rw-p 00001000 08:01 539691     /home/sploitfun/ptmalloc.ppt/syscalls/mmap 
b7e21000-b7e22000 rw-p 00000000 00:00 0  
... 
sploitfun@sploitfun-VirtualBox:~/ptmalloc.ppt/syscalls$ 

mmap調用后：在下面的輸出中，我們可以看到我們的內存映射段(b7e00000 – b7e21000，大小為132KB)與已映射的內存映射段(b7e21000 – b7e22000)拼接在一起了。

sploitfun@sploitfun-VirtualBox:~/ptmalloc.ppt/syscalls$ cat /proc/6067/maps 
08048000-08049000 r-xp 00000000 08:01 539691     /home/sploitfun/ptmalloc.ppt/syscalls/mmap 
08049000-0804a000 r--p 00000000 08:01 539691     /home/sploitfun/ptmalloc.ppt/syscalls/mmap 
0804a000-0804b000 rw-p 00001000 08:01 539691     /home/sploitfun/ptmalloc.ppt/syscalls/mmap 
b7e00000-b7e22000 rw-p 00000000 00:00 0  
... 
sploitfun@sploitfun-VirtualBox:~/ptmalloc.ppt/syscalls$ 

其中b7e00000-b7e22000是此段的虛擬地址范圍

rw-p是Flags(可讀，可寫，不可執行，私有)

00000000是文件偏移 – 由于不存在文件映射，所以這里為零

00:00是主要/次要設備號 – 由于不存在文件映射，所以這里為零

0是Inode編號 – 由于不存在文件映射，所以這里為零

munmap調用后：在下面的輸出中，我們可以看到我們的內存映射段是未映射的，就是說其相應的內存已經釋放到操作系統了。

sploitfun@sploitfun-VirtualBox:~/ptmalloc.ppt/syscalls$ cat /proc/6067/maps 
08048000-08049000 r-xp 00000000 08:01 539691     /home/sploitfun/ptmalloc.ppt/syscalls/mmap 
08049000-0804a000 r--p 00000000 08:01 539691     /home/sploitfun/ptmalloc.ppt/syscalls/mmap 
0804a000-0804b000 rw-p 00001000 08:01 539691     /home/sploitfun/ptmalloc.ppt/syscalls/mmap 
b7e21000-b7e22000 rw-p 00000000 00:00 0  
... 
sploitfun@sploitfun-VirtualBox:~/ptmalloc.ppt/syscalls$ 

注意：在我們的示例程序中ASLR是關閉的。