[解決済み】malloc()とfree()はどのように動作するのですか？

質問

を知りたい。 malloc と free の作業を行います。

int main() {
    unsigned char *p = (unsigned char*)malloc(4*sizeof(unsigned char));
    memset(p,0,4);
    strcpy((char*)p,"abcdabcd"); // **deliberately storing 8bytes**
    cout << p;
    free(p); // Obvious Crash, but I need how it works and why crash.
    cout << p;
    return 0;
}

可能であれば、メモリレベルで深く掘り下げて回答していただけると、本当にありがたいです。

どのように解決するのですか？

mallocについては、すでにいくつかの回答が投稿されているので、OKです。

もっと興味深いのは フリーの仕組み (この方向で、mallocもよりよく理解することができます）。

malloc/freeの実装の多くでは、freeは通常OSにメモリを返しません（少なくとも稀なケースです）。その理由は、ヒープに隙間ができてしまうからで、2GBや4GBの仮想メモリを隙間だらけのまま終わらせてしまうことがあります。これは避けるべきです。仮想メモリを使い切ったとたんに、大きな問題が発生するからです。もうひとつは、OSが特定のサイズとアライメントを持つメモリチャンクしか扱えないことです。具体的に言うと 通常、OSは仮想メモリ・マネージャが扱えるブロック（多くの場合、512バイトの倍数、例えば4KB）しか扱えません。

だから、40ByteをOSに返しても、うまくいかない。では、freeはどうするのか？

Freeはメモリブロックを自分の空きブロックリストに入れます。通常は、アドレス空間内の隣接するブロックを結合することも試みます。フリーブロックリストとは、単なるメモリチャンクの循環リストであり、その先頭には何らかの管理データが含まれています。これは、標準のmalloc/freeで非常に小さなメモリ要素を管理するのが効率的でない理由でもあります。すべてのメモリチャンクは追加データを必要とし、サイズが小さいほど断片化が進みます。

また、フリーリストは、新しいメモリチャンクが必要になったときに、mallocが最初に見る場所でもあります。OSから新しいメモリを要求する前にスキャンされるのです。必要なメモリより大きなチャンクが見つかると、それは2つの部分に分割されます。1つは呼び出し元に返され、もう1つは空きリストに戻されます。

この標準的な動作には、さまざまな最適化があります（たとえば、メモリの小さなチャンクの場合など）。しかし、mallocとfreeは非常に普遍的でなければならないので、代替案が使えない場合は常に標準的な動作がフォールバックされます。例えば、チャンクをサイズ順に並べたリストに格納するなど、free-listの処理にも最適化があります。しかし、すべての最適化にはそれなりの限界があります。

なぜあなたのコードはクラッシュするのですか。

その理由は、4 文字分のサイズの領域に 9 文字（末尾のヌルバイトを忘れないでください）を書き込むと、おそらくあなたのデータチャンクの後ろに存在する別のメモリチャンクの管理データを上書きしてしまうからです（このデータはほとんどの場合、メモリチャンクの前に"格納されるからです）。free があなたのチャンクを空きリストに入れようとすると、この管理用データに触れてしまい、上書きされたポインターにつまずく可能性があります。これはシステムをクラッシュさせます。

これは、むしろ優雅な動作です。また、どこかで暴走したポインタがメモリ解放リストのデータを上書きしてしまい、システムがすぐにはクラッシュせず、いくつかのサブルーチンが後にクラッシュした状況も見たことがあります。中程度の複雑さのシステムであっても、このような問題はデバッグが本当に大変です。私が関わったケースでは、クラッシュの原因がメモリダンプで示された場所とはまったく異なる場所にあったため、その原因を見つけるのに数日かかりました（より多くの開発者のグループが）。時限爆弾のようなものです。次の "free" や "malloc" がクラッシュするのは分かっていても、その理由が分からないのですから。

これらはC/C++の最悪の問題であり、ポインタが問題になる理由の1つでもあります。