当前位置：首页 > article >正文

GlibC 在线程里引发use-after-free退出时才崩溃原因与分析

article 2026/5/8 10:01:37

背景最近在做开发时遇到了一个错误tcache_thread_shutdown(): unaligned tcache chunk detected这个错误是发生在多线程情况下没有做好互斥时发生一个指针被free之后再次使用也就是比较经典的use-after-free的错误触发了Abort虽然不是什么大问题很容易修复但是这引发了我一个比较好奇的事情就是为什么会这样为什么free之后继续使用没报错但是线程退出时导致崩溃了原理我使用的是GCC编译器标准库是Glibc对于Glibc而言每次malloc的内存都要比预期申请的要大一点因为里面要放入一些malloc的元数据基本上malloc的内存布局是这样的[malloc chunk header][用户区64bytes]^|pp是返回给我们使用的user地址每次当我们释放时Glibc并不会把它归还给系统而是自己维护一个内存chunk把这次的Malloc内存放入一个tcache链表维护起来这样后续在使用可以从这里拿内存提高分配效率这里就有一个点就是如果没有归还给系统的话页表的映射还在当前进程上面也就是说你free之后依然可以随意访问这块地址并不会发生什么非法地址访问的情况下面是一个示例#includestdio.h#includestdlib.hintmain(void){char*pmalloc(64);if(!p){return1;}free(p);p[0]0x01;p[1]0x02;printf(hello world!\n);return0;}此时hello world会正常打印并且也不会出现任何问题这种做法与我们平时接触到的C语言教学背道而驰平常教科书上的教学是针对C语言这门语言特性而Glibc是C语言的标准实现库它有自己的行为并且在不同系统上也有不同区别但是这里我们换一种方式用线程来执行#includepthread.h#includestdio.h#includestdlib.h#includestring.h#includeunistd.hstaticvoid*worker(void*arg){char*amalloc(64);printf([worker] a%p\n,a);free(a);memset(a,0x55,64);printf([worker] corrupted freed chunk, now return\n);returnNULL;}intmain(void){pthread_ttid;if(pthread_create(tid,NULL,worker,NULL)!0){perror(pthread_create);return1;}pthread_join(tid,NULL);printf([main] worker joined\n);return0;}运行结果[worker]a0x79d9f0000b70[worker]corrupted freed chunk, nowreturntcache_thread_shutdown(): unaligned tcache chunk detected[1]29787IOT instruction(core dumped)./a.out可以看到被异常结束了是Glibc主动调用了Abort函数发送SIGABRT异常信号结束当前进程并且打印了tcache_thread_shutdown()这个原因是C语言的线程检查行为对于Main而言它虽然也是一个线程但是Glibc对它行为是它是主线程结束时Glibc调用exit来回收它与普通线程行为不同Main的链路是_start- __libc_start_main(…)- 调用main(argc, argv, envp)- main return- exit(main_return_value)- 执行 atexit/on_exit 回调- flush/close stdio- glibc 内部清理- _exit(status)- exit_group 系统调用- 内核销毁整个进程普通线程行为调用的是pthread_create()- glibc clone创建线程- 新线程从glibc 的 start_thread入口开始- start_thread 调用你的 thread_func(arg)- thread_func return- glibc 执行 pthread_exit 收尾逻辑- 清理当前线程资源- 当前线程结束注意这里调用的是pthread_exit而不是系统的exit这里它会去调用tcache_thread_shutdown来检查chunk有没有被破坏这点你可以在它的源码里面找到这里我找的是2.xmalloc/malloc.c的源码staticvoidtcache_thread_shutdown(void){……for(i0;iTCACHE_MAX_BINS;i){while(tcache_tmp-entries[i]){tcache_entry*etcache_tmp-entries[i];if(__glibc_unlikely(!aligned_OK(e)))malloc_printerr(tcache_thread_shutdown(): unaligned tcache chunk detected);tcache_tmp-entries[i]REVEAL_PTR(e-next);__libc_free(e);}}……}可以看到它在循环调用aligned_OK来检查tcache里面的指针是否被破坏的也就是判断是不是Malloc合法边界这个是看当前CPU位数64位是16字节32位是8字节用MALLOC_ALIGNMENT宏表示在不同平台位数上它的内存颗粒不同它会多分配一些字节一部分用于维护Malloc元数据一部分给用户使用在64位上即使你分配没有16个字节它仍然会将你的分配按16字节对齐如果tcache记录的地址里面有一块不是按16字节对齐的那么就会立马出错它认为当前线程破坏了tcache导致内存模型出现了问题可能引发异常错误就会直接abort在malloc_printerr里面会调用abort。因此当我们平时调试的时候不要总是依靠C语言的标准答案而是去参考具体平台和标准实现细节例如对着Glibc库源码分析原因。Main之所以没有做这层检查是因为Main结束整个应用都要结束了因此没必要在做这些事情了直接调用exit让系统一并将这个task全部清理掉因为它所有的内存数据这些都在task_struct里被记录着内核一并释放掉就可以了。

GlibC 在线程里引发use-after-free退出时才崩溃原因与分析

相关文章：

GlibC 在线程里引发use-after-free退出时才崩溃原因与分析

软件测试核心知识点梳理（包括黑盒测试，白盒测试，抽卡，通行证测试用例等）

5分钟快速上手：wxappUnpacker微信小程序逆向工程完整指南 [特殊字符]

ThinkPad风扇控制终极指南：用TPFanCtrl2实现智能散热与静音平衡

RAG 系列（九）：效果不好怎么定位——用 RAGAS 做根因诊断

CANoe/CAPL实战：模拟ECU端，完整响应UDS刷写（34/36/37服务）的保姆级脚本教程

从五角星到雷达图：用CocosCreator Graphics组件封装一个可复用的自定义图表库

连续变量量子密钥分发技术及其距离自适应策略

别再死磕ImageNet了！用CLIP的Zero-Shot能力，5分钟搞定你的自定义图像分类任务

Arm Cortex-X2处理器错误分析与规避方案

告别TypeError：用f-string和format()优雅地拼接字符串与变量（Python 3.6+实战）

华为OD机试真题新系统 2026-04-29 C++ 实现【操作历史管理器的撤销/重做能力】

手把手教你用CH340X给STM32做一键下载电路（附自动复位/BOOT控制原理详解）

手把手教你用BERT实战电信诈骗文本分类：从数据脱敏到模型融合的完整流程

import os

毕业设计：Python+MySQL+Django学生信息管理系统（源码）

告别CAN总线焦虑：手把手教你用低成本LIN总线搞定车窗、雨刷等车身控制

终极指南：如何用imewlconverter解决20+输入法词库迁移难题

测试02测试02测试02测试02测4测试02测试02测试02测试02测4

YOLO+Pytorch基于深度学习的水果蔬菜检测系统（源码）

终极一站式游戏模组管理解决方案：XXMI启动器完全指南

避坑指南：在RT-Thread上玩转DHT11和MQTT时，我遇到的5个常见问题及解决方法

智慧树学习助手：3步实现自动化高效学习，节省90%课程时间

GB28181语音对讲实战：从SIP信令到PCMA音频流的完整抓包分析（附C++代码示例）

别让MPU6050数据坑了你：STM32H5上部署CNN人体活动识别的传感器校准与数据对齐实战

别再只盯着准确率了！用sklearn的roc_curve函数，5分钟搞定模型好坏诊断

3个微信聊天记录备份痛点与开源解决方案：WeChatExporter完全指南

终极MP4视频修复指南：用Untrunc拯救你的损坏视频文件

Selenium菜鸟教程学习笔记

5分钟上手LosslessCut：零基础掌握无损视频剪辑神器