CTF-PWN: tcache bin

什么是tcache bin

tcachebin 是 glibc 中的 malloc 实现 ptmalloc2 在 2.26 版本引入的一个机制，旨在加速内存分配和释放操作。它是线程局部缓存（Thread-Local Cache, TCache）的一个组成部分，主要特性和功能如下：

线程局部性：每个线程都有自己的 tcache，这样可以减少线程间争用和锁竞争，提高内存分配和释放的效率。
快速路径：tcachebin 提供了一个快速路径用于小块内存的分配和回收。当需要分配内存时，首先检查 tcachebin，如果有合适的空闲块，就直接分配。释放内存时，先将内存块放回 tcachebin 中。
固定大小的缓存：tcachebin 按照不同大小类（size class）存储空闲内存块。每种大小类有一个对应的缓存列表。因此，tcachebin 中存放的内存块大小是固定的，不会混杂不同大小的内存块。
缓存数量限制：每个 tcachebin 的大小是有限制的，默认情况下，每个大小类的 tcachebin 可以缓存的内存块数量是有限的（例如 7 个）。当 tcachebin 满了之后，再次释放的内存块将会被释放到全局堆（heap）而不是 tcachebin。
减少锁开销：由于 tcachebin 是线程私有的，分配和释放操作不需要加锁，这大大减少了锁的开销，提升了性能。
减少碎片化：通过缓存小块内存，tcachebin 可以在一定程度上减少内存碎片化问题，因为小块内存很快被重新利用。
热缓存：tcachebin 适合那些频繁分配和释放小块内存的应用场景，因为它能有效地缓存和快速重用这些内存块。

分配内存：当一个线程请求分配内存时，malloc 会检查 tcachebin。如果 tcachebin 中有合适大小的空闲块，就直接返回这个块。这避免了访问全局堆带来的开销。
释放内存：当释放内存时，如果该内存块的大小属于 tcachebin 管理的范围，并且 tcachebin 中的缓存没有满，则该内存块会被放入 tcachebin。否则，内存块会被释放到全局堆。

总的来说，tcachebin 通过引入线程局部缓存机制，显著提高了小块内存分配和释放的效率，减少了内存管理的开销和锁争用，是 ptmalloc2 中的重要优化之一。

在 glibc 的 ptmalloc2 实现中，tcache bin 每个大小类（size class）能够缓存的空闲块的数量是有限的。具体来说，默认情况下，每个 tcache bin 中最多可以缓存 7 个 同大小的空闲块。

这个限制是为了防止 tcache 消耗过多的内存，同时确保有足够的缓存来提高性能。这个默认值是可以通过环境变量 MALLOC_TCACHE_MAX 来调整的。如果你需要改变这个数量，可以设置这个环境变量来指定每个 tcache bin 能够缓存的最大块数。

例如，通过设置环境变量来调整 tcache bin 的大小：

export MALLOC_TCACHE_MAX=10

这会将每个 tcache bin 的最大缓存块数量从默认的 7 个增加到 10 个。

总结来说，默认情况下，tcache bin 同大小的堆不会超过 7 个，但这个值可以通过环境变量进行调整。

相对于全局堆（heap）的管理，tcache bin 的安全检查相对较少。这主要是因为 tcache bin 设计的初衷是为了提高内存分配和释放的性能，通过减少锁争用和加速操作来实现。然而，这种性能优化也带来了一些安全检查上的妥协。

弱双重释放（Double Free）检查：
- 在全局堆管理中，释放已经释放过的内存块会触发错误检测机制，防止双重释放。
- 而在 tcache bin 中，双重释放的检查不如全局堆严格，因为 tcache 中主要是基于栈的 LIFO（Last In, First Out）结构进行管理，直接将释放的块推入栈中，容易被忽略。
弱悬挂指针（Dangling Pointer）问题：
- tcache bin 中的内存块在多次分配和释放过程中，未必能严格检测到悬挂指针的使用。
- 由于 tcache 的块在释放后可能很快被重新分配，这种指针错误可能会被掩盖，而不会被立即发现。
弱内存篡改（Memory Corruption）检测：
- 全局堆管理中通常有更多的元数据（metadata）用于检测内存篡改，比如堆块边界的检查和保护。
- tcache bin 为了减少开销，元数据较少，内存篡改的问题可能不容易被发现。
弱一致性检查：
- 全局堆在管理内存时，会进行更多的一致性检查，确保堆结构的完整性。
- tcache bin 则简化了这些检查，以换取性能提升。