文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

10张图22段代码,万字长文带你搞懂虚拟内存模型和Malloc内部原理

2024-12-03 17:05

关注

本文转载自微信公众号「程序喵大人」,作者程序喵大人 。转载本文请联系程序喵大人公众号。

摊牌了,不装了,其实我是程序喵辛苦工作一天还要回家编辑公众号到大半夜的老婆,希望各位大哥能踊跃转发,完成我一千阅读量的KPI(梦想),谢谢!

咳咳,有点跑题,以下是程序喵的废话,麻烦给个面子划到最后点击在看或者赞,证明我比程序喵人气高,谢谢! 

通过/proc文件系统探究虚拟内存

我们会通过/proc文件系统找到正在运行的进程的字符串所在的虚拟内存地址,并通过更改此内存地址的内容来更改字符串内容,使你更深入了解虚拟内存这个概念!这之前先介绍下虚拟内存的定义!

虚拟内存

虚拟内存是一种实现在计算机软硬件之间的内存管理技术,它将程序使用到的内存地址(虚拟地址)映射到计算机内存中的物理地址,虚拟内存使得应用程序从繁琐的管理内存空间任务中解放出来,提高了内存隔离带来的安全性,虚拟内存地址通常是连续的地址空间,由操作系统的内存管理模块控制,在触发缺页中断时利用分页技术将实际的物理内存分配给虚拟内存,而且64位机器虚拟内存的空间大小远超出实际物理内存的大小,使得进程可以使用比物理内存大小更多的内存空间。

在深入研究虚拟内存前,有几个关键点:

 

virtual_memory.png

上图并不是特别详细的内存管理图,高地址其实还有内核空间等等,但这不是这篇文章的主题。从图中可以看到高地址存储着命令行参数和环境变量,之后是栈空间、堆空间和可执行程序,其中栈空间向下延申,堆空间向上增长,堆空间需要使用malloc分配,是动态分配的内存的一部分。

首先通过一个简单的C程序探究虚拟内存。

  1. #include  
  2. #include  
  3. #include  
  4.  
  5.  
  6. int main(void) 
  7.     char *s; 
  8.  
  9.     s = strdup("test_memory"); 
  10.     if (s == NULL
  11.     { 
  12.         fprintf(stderr, "Can't allocate mem with malloc\n"); 
  13.         return (EXIT_FAILURE); 
  14.     } 
  15.     printf("%p\n", (void *)s); 
  16.     return (EXIT_SUCCESS); 
  17.  
  18. 编译运行:gcc -Wall -Wextra -pedantic -Werror main.c -o test; ./test 
  19. 输出:0x88f010 

我的机器是64位机器,进程的虚拟内存高地址为0xffffffffffffffff, 低地址为0x0,而0x88f010远小于0xffffffffffffffff,因此大概可以推断出被复制的字符串的地址(堆地址)是在内存低地址附近,具体可以通过/proc文件系统验证.

ls /proc目录可以看到好多文件,这里主要关注/proc/[pid]/mem和/proc/[pid]/maps

mem & maps

  1. man proc 
  2.  
  3. /proc/[pid]/mem 
  4.     This file can be used to access the pages of a process's memory through open(2), read(2), and lseek(2). 
  5.  
  6. /proc/[pid]/maps 
  7.     A  file containing the currently mapped memory regions and their access permissions. 
  8.           See mmap(2) for some further information about memory mappings. 
  9.  
  10.               The format of the file is
  11.  
  12.        address           perms offset  dev   inode       pathname 
  13.        00400000-00452000 r-xp 00000000 08:02 173521      /usr/bin/dbus-daemon 
  14.        00651000-00652000 r--p 00051000 08:02 173521      /usr/bin/dbus-daemon 
  15.        00652000-00655000 rw-p 00052000 08:02 173521      /usr/bin/dbus-daemon 
  16.        00e03000-00e24000 rw-p 00000000 00:00 0           [heap] 
  17.        00e24000-011f7000 rw-p 00000000 00:00 0           [heap] 
  18.        ... 
  19.        35b1800000-35b1820000 r-xp 00000000 08:02 135522  /usr/lib64/ld-2.15.so 
  20.        35b1a1f000-35b1a20000 r--p 0001f000 08:02 135522  /usr/lib64/ld-2.15.so 
  21.        35b1a20000-35b1a21000 rw-p 00020000 08:02 135522  /usr/lib64/ld-2.15.so 
  22.        35b1a21000-35b1a22000 rw-p 00000000 00:00 0 
  23.        35b1c00000-35b1dac000 r-xp 00000000 08:02 135870  /usr/lib64/libc-2.15.so 
  24.        35b1dac000-35b1fac000 ---p 001ac000 08:02 135870  /usr/lib64/libc-2.15.so 
  25.        35b1fac000-35b1fb0000 r--p 001ac000 08:02 135870  /usr/lib64/libc-2.15.so 
  26.        35b1fb0000-35b1fb2000 rw-p 001b0000 08:02 135870  /usr/lib64/libc-2.15.so 
  27.        ... 
  28.        f2c6ff8c000-7f2c7078c000 rw-p 00000000 00:00 0    [stack:986] 
  29.        ... 
  30.        7fffb2c0d000-7fffb2c2e000 rw-p 00000000 00:00 0   [stack] 
  31.        7fffb2d48000-7fffb2d49000 r-xp 00000000 00:00 0   [vdso] 
  32.  
  33.               The address field is the address space in the process that the mapping occupies. 
  34.           The perms field is a set of permissions: 
  35.  
  36.                    r = read 
  37.                    w = write 
  38.                    x = execute 
  39.                    s = shared 
  40.                    p = private (copy on write) 
  41.  
  42.               The offset field is the offset into the file/whatever; 
  43.           dev is the device (major:minor); inode is the inode on that device.   0  indicates 
  44.               that no inode is associated with the memory region, 
  45.           as would be the case with BSS (uninitialized data). 
  46.  
  47.               The  pathname field will usually be the file that is backing the mapping. 
  48.           For ELF files, you can easily coordinate with the offset field 
  49.               by looking at the Offset field in the ELF program headers (readelf -l). 
  50.  
  51.               There are additional helpful pseudo-paths: 
  52.  
  53.                    [stack] 
  54.                           The initial process's (also known as the main thread's) stack. 
  55.  
  56.                    [stack:] (since Linux 3.4) 
  57.                           A thread's stack (where the  is a thread ID). 
  58.               It corresponds to the /proc/[pid]/task/[tid]/ path. 
  59.  
  60.                    [vdso] The virtual dynamically linked shared object. 
  61.  
  62.                    [heap] The process's heap. 
  63.  
  64.               If the pathname field is blank, this is an anonymous mapping as obtained via the mmap(2) function
  65.           There is no easy  way  to  coordinate 
  66.               this back to a process's source, short of running it through gdb(1), strace(1), or similar. 
  67.  
  68.               Under Linux 2.0 there is no field giving pathname. 

通过mem文件可以访问和修改整个进程的内存页,通过maps可以看到进程当前已映射的内存区域,有地址和访问权限偏移量等,从maps中可以看到堆空间是在低地址而栈空间是在高地址. 从maps中可以看到heap的访问权限是rw,即可写,所以可以通过堆地址找到上个示例程序中字符串的地址,并通过修改mem文件对应地址的内容,就可以修改字符串的内容啦,程序:

  1. #include  
  2. #include  
  3. #include  
  4. #include  
  5.  
  6.  
  7. int main(void) 
  8.      char *s; 
  9.      unsigned long int i; 
  10.  
  11.      s = strdup("test_memory"); 
  12.      if (s == NULL
  13.      { 
  14.           fprintf(stderr, "Can't allocate mem with malloc\n"); 
  15.           return (EXIT_FAILURE); 
  16.      } 
  17.      i = 0; 
  18.      while (s) 
  19.      { 
  20.           printf("[%lu] %s (%p)\n", i, s, (void *)s); 
  21.           sleep(1); 
  22.           i++; 
  23.      } 
  24.      return (EXIT_SUCCESS); 
  25. 编译运行:gcc -Wall -Wextra -pedantic -Werror main.c -o loop; ./loop 
  26. 输出: 
  27. [0] test_memory (0x21dc010) 
  28. [1] test_memory (0x21dc010) 
  29. [2] test_memory (0x21dc010) 
  30. [3] test_memory (0x21dc010) 
  31. [4] test_memory (0x21dc010) 
  32. [5] test_memory (0x21dc010) 
  33. [6] test_memory (0x21dc010) 
  34. ... 

这里可以写一个脚本通过/proc文件系统找到字符串所在位置并修改其内容,相应的输出也会更改。

首先找到进程的进程号

  1. ps aux | grep ./loop | grep -v grep 
  2. zjucad    2542  0.0  0.0   4352   636 pts/3    S+   12:28   0:00 ./loop 

2542即为loop程序的进程号,cat /proc/2542/maps得到

  1. 00400000-00401000 r-xp 00000000 08:01 811716                             /home/zjucad/wangzhiqiang/loop 
  2. 00600000-00601000 r--p 00000000 08:01 811716                             /home/zjucad/wangzhiqiang/loop 
  3. 00601000-00602000 rw-p 00001000 08:01 811716                             /home/zjucad/wangzhiqiang/loop 
  4. 021dc000-021fd000 rw-p 00000000 00:00 0                                  [heap] 
  5. 7f2adae2a000-7f2adafea000 r-xp 00000000 08:01 8661324                    /lib/x86_64-linux-gnu/libc-2.23.so 
  6. 7f2adafea000-7f2adb1ea000 ---p 001c0000 08:01 8661324                    /lib/x86_64-linux-gnu/libc-2.23.so 
  7. 7f2adb1ea000-7f2adb1ee000 r--p 001c0000 08:01 8661324                    /lib/x86_64-linux-gnu/libc-2.23.so 
  8. 7f2adb1ee000-7f2adb1f0000 rw-p 001c4000 08:01 8661324                    /lib/x86_64-linux-gnu/libc-2.23.so 
  9. 7f2adb1f0000-7f2adb1f4000 rw-p 00000000 00:00 0 
  10. 7f2adb1f4000-7f2adb21a000 r-xp 00000000 08:01 8661310                    /lib/x86_64-linux-gnu/ld-2.23.so 
  11. 7f2adb3fa000-7f2adb3fd000 rw-p 00000000 00:00 0 
  12. 7f2adb419000-7f2adb41a000 r--p 00025000 08:01 8661310                    /lib/x86_64-linux-gnu/ld-2.23.so 
  13. 7f2adb41a000-7f2adb41b000 rw-p 00026000 08:01 8661310                    /lib/x86_64-linux-gnu/ld-2.23.so 
  14. 7f2adb41b000-7f2adb41c000 rw-p 00000000 00:00 0 
  15. 7ffd51bb3000-7ffd51bd4000 rw-p 00000000 00:00 0                          [stack] 
  16. 7ffd51bdd000-7ffd51be0000 r--p 00000000 00:00 0                          [vvar] 
  17. 7ffd51be0000-7ffd51be2000 r-xp 00000000 00:00 0                          [vdso] 
  18. ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0                  [vsyscall] 

看见堆地址范围021dc000-021fd000,并且可读可写,而且021dc000<0x21dc010<021fd000,这就可以确认字符串的地址在堆中,在堆中的索引是0x10(至于为什么是0x10,后面会讲到),这时可以通过mem文件到0x21dc010地址修改内容,字符串输出的内容也会随之更改,这里通过python脚本实现此功能。

  1. #!/usr/bin/env python3 
  2. '''              
  3. Locates and replaces the first occurrence of a string in the heap 
  4. of a process     
  5.  
  6. Usage: ./read_write_heap.py PID search_string replace_by_string 
  7. Where:            
  8. - PID is the pid of the target process 
  9. - search_string is the ASCII string you are looking to overwrite 
  10. - replace_by_string is the ASCII string you want to replace 
  11.   search_string with 
  12. ''
  13.  
  14. import sys 
  15.  
  16. def print_usage_and_exit(): 
  17.     print('Usage: {} pid search write'.format(sys.argv[0])) 
  18.     sys.exit(1) 
  19.  
  20. check usage   
  21. if len(sys.argv) != 4: 
  22.     print_usage_and_exit() 
  23.  
  24. # get the pid from args 
  25. pid = int(sys.argv[1]) 
  26. if pid <= 0: 
  27.     print_usage_and_exit() 
  28. search_string = str(sys.argv[2]) 
  29. if search_string  == ""
  30.     print_usage_and_exit() 
  31. write_string = str(sys.argv[3]) 
  32. if search_string  == ""
  33.     print_usage_and_exit() 
  34.  
  35. open the maps and mem files of the process 
  36. maps_filename = "/proc/{}/maps".format(pid) 
  37. print("[*] maps: {}".format(maps_filename)) 
  38. mem_filename = "/proc/{}/mem".format(pid) 
  39. print("[*] mem: {}".format(mem_filename)) 
  40.  
  41. # try opening the maps file 
  42. try: 
  43.     maps_file = open('/proc/{}/maps'.format(pid), 'r'
  44. except IOError as e: 
  45.     print("[ERROR] Can not open file {}:".format(maps_filename)) 
  46.     print("        I/O error({}): {}".format(e.errno, e.strerror)) 
  47.     sys.exit(1) 
  48.  
  49. for line in maps_file: 
  50.     sline = line.split(' '
  51.     # check if we found the heap 
  52.     if sline[-1][:-1] != "[heap]"
  53.         continue 
  54.     print("[*] Found [heap]:"
  55.  
  56.     # parse line 
  57.     addr = sline[0] 
  58.     perm = sline[1] 
  59.     offset = sline[2] 
  60.     device = sline[3] 
  61.     inode = sline[4] 
  62.     pathname = sline[-1][:-1] 
  63.     print("\tpathname = {}".format(pathname)) 
  64.     print("\taddresses = {}".format(addr)) 
  65.     print("\tpermisions = {}".format(perm)) 
  66.     print("\toffset = {}".format(offset)) 
  67.     print("\tinode = {}".format(inode)) 
  68.  
  69.     # check if there is read and write permission 
  70.     if perm[0] != 'r' or perm[1] != 'w'
  71.         print("[*] {} does not have read/write permission".format(pathname)) 
  72.         maps_file.close() 
  73.         exit(0) 
  74.  
  75.     # get start and end of the heap in the virtual memory 
  76.     addr = addr.split("-"
  77.     if len(addr) != 2: # never trust anyone, not even your OS :) 
  78.         print("[*] Wrong addr format"
  79.         maps_file.close() 
  80.         exit(1) 
  81.     addr_start = int(addr[0], 16) 
  82.     addr_end = int(addr[1], 16) 
  83.     print("\tAddr start [{:x}] | end [{:x}]".format(addr_start, addr_end)) 
  84.  
  85.     # open and read mem 
  86.     try: 
  87.         mem_file = open(mem_filename, 'rb+'
  88.     except IOError as e: 
  89.         print("[ERROR] Can not open file {}:".format(mem_filename)) 
  90.         print("        I/O error({}): {}".format(e.errno, e.strerror)) 
  91.         maps_file.close() 
  92.         exit(1) 
  93.  
  94.     # read heap   
  95.     mem_file.seek(addr_start) 
  96.     heap = mem_file.read(addr_end - addr_start) 
  97.  
  98.     # find string 
  99.     try: 
  100.         i = heap.index(bytes(search_string, "ASCII")) 
  101.     except Exception: 
  102.         print("Can't find '{}'".format(search_string)) 
  103.         maps_file.close() 
  104.         mem_file.close() 
  105.         exit(0) 
  106.     print("[*] Found '{}' at {:x}".format(search_string, i)) 
  107.  
  108.     # write the new string 
  109.     print("[*] Writing '{}' at {:x}".format(write_string, addr_start + i)) 
  110.     mem_file.seek(addr_start + i) 
  111.     mem_file.write(bytes(write_string, "ASCII")) 
  112.  
  113.     # close files 
  114.     maps_file.close() 
  115.     mem_file.close() 
  116.  
  117.     # there is only one heap in our example 
  118.     break 

运行这个Python脚本

  1. zjucad@zjucad-ONDA-H110-MINI-V3-01:~/wangzhiqiang$ sudo ./loop.py 2542 test_memory test_hello 
  2. [*] maps: /proc/2542/maps 
  3. [*] mem: /proc/2542/mem 
  4. [*] Found [heap]: 
  5.         pathname = [heap] 
  6.         addresses = 021dc000-021fd000 
  7.         permisions = rw-p 
  8.         offset = 00000000 
  9.         inode = 0 
  10.         Addr start [21dc000] | end [21fd000] 
  11. [*] Found 'test_memory' at 10 
  12. [*] Writing 'test_hello' at 21dc010 

同时字符串输出的内容也已更改

  1. [633] test_memory (0x21dc010) 
  2. [634] test_memory (0x21dc010) 
  3. [635] test_memory (0x21dc010) 
  4. [636] test_memory (0x21dc010) 
  5. [637] test_memory (0x21dc010) 
  6. [638] test_memory (0x21dc010) 
  7. [639] test_memory (0x21dc010) 
  8. [640] test_helloy (0x21dc010) 
  9. [641] test_helloy (0x21dc010) 
  10. [642] test_helloy (0x21dc010) 
  11. [643] test_helloy (0x21dc010) 
  12. [644] test_helloy (0x21dc010) 
  13. [645] test_helloy (0x21dc010) 

实验成功。

通过实践画出虚拟内存空间分布图

再列出内存空间分布图

 

基本上每个人或多或少都了解虚拟内存的空间分布,那如何验证它呢,下面会提到。

堆栈空间

首先验证栈空间的位置,我们都知道C中局部变量是存储在栈空间的,malloc分配的内存是存储在堆空间,所以可以通过打印出局部变量地址和malloc的返回内存地址的方式来验证堆栈空间在整个虚拟空间中的位置。

  1. #include  
  2. #include  
  3. #include  
  4.  
  5.  
  6. int main(void) 
  7.     int a; 
  8.     void *p; 
  9.  
  10.     printf("Address of a: %p\n", (void *)&a); 
  11.     p = malloc(98); 
  12.     if (p == NULL
  13.     { 
  14.         fprintf(stderr, "Can't malloc\n"); 
  15.         return (EXIT_FAILURE); 
  16.     } 
  17.     printf("Allocated space in the heap: %p\n", p); 
  18.     return (EXIT_SUCCESS); 
  19. 编译运行:gcc -Wall -Wextra -pedantic -Werror main.c -o test; ./test 
  20. 输出: 
  21. Address of a: 0x7ffedde9c7fc 
  22. Allocated space in the heap: 0x55ca5b360670 

通过结果可以看出堆地址空间在栈地址空间下面,整理如图:

 

可执行程序

可执行程序也在虚拟内存中,可以通过打印main函数的地址,并与堆栈地址相比较,即可知道可执行程序地址相对于堆栈地址的分布。

  1. #include  
  2. #include  
  3. #include  
  4.  
  5.  
  6. int main(void) 
  7.     int a; 
  8.     void *p; 
  9.  
  10.     printf("Address of a: %p\n", (void *)&a); 
  11.     p = malloc(98); 
  12.     if (p == NULL
  13.     { 
  14.         fprintf(stderr, "Can't malloc\n"); 
  15.         return (EXIT_FAILURE); 
  16.     } 
  17.     printf("Allocated space in the heap: %p\n", p); 
  18.     printf("Address of function main: %p\n", (void *)main); 
  19.     return (EXIT_SUCCESS); 
  20. 编译运行:gcc main.c -o test; ./test 
  21. 输出: 
  22. Address of a: 0x7ffed846de2c 
  23. Allocated space in the heap: 0x561b9ee8c670 
  24. Address of function main: 0x561b9deb378a 

由于main(0x561b9deb378a) < heap(0x561b9ee8c670) < (0x7ffed846de2c),可以画出分布图如下:

virtual_memory_stack_heap_executable.png 

命令行参数和环境变量

程序入口main函数可以携带参数:

通过程序可以看见这些元素在虚拟内存中的位置:

  1. #include  
  2. #include  
  3. #include  
  4.  
  5.  
  6. int main(int ac, char **av, char **env) 
  7.         int a; 
  8.         void *p; 
  9.         int i; 
  10.  
  11.         printf("Address of a: %p\n", (void *)&a); 
  12.         p = malloc(98); 
  13.         if (p == NULL
  14.         { 
  15.                 fprintf(stderr, "Can't malloc\n"); 
  16.                 return (EXIT_FAILURE); 
  17.         } 
  18.         printf("Allocated space in the heap: %p\n", p); 
  19.         printf("Address of function main: %p\n", (void *)main); 
  20.         printf("First bytes of the main function:\n\t"); 
  21.         for (i = 0; i < 15; i++) 
  22.         { 
  23.                 printf("%02x ", ((unsigned char *)main)[i]); 
  24.         } 
  25.         printf("\n"); 
  26.         printf("Address of the array of arguments: %p\n", (void *)av); 
  27.         printf("Addresses of the arguments:\n\t"); 
  28.         for (i = 0; i < ac; i++) 
  29.         { 
  30.                 printf("[%s]:%p ", av[i], av[i]); 
  31.         } 
  32.         printf("\n"); 
  33.         printf("Address of the array of environment variables: %p\n", (void *)env); 
  34.     printf("Address of the first environment variable: %p\n", (void *)(env[0])); 
  35.         return (EXIT_SUCCESS); 
  36. 编译运行:gcc main.c -o test; ./test nihao hello 
  37. 输出: 
  38. Address of a: 0x7ffcc154a748 
  39. Allocated space in the heap: 0x559bd1bee670 
  40. Address of function main: 0x559bd09807ca 
  41. First bytes of the main function
  42.         55 48 89 e5 48 83 ec 40 89 7d dc 48 89 75 d0 
  43. Address of the array of arguments: 0x7ffcc154a848 
  44. Addresses of the arguments: 
  45.         [./test]:0x7ffcc154b94f [nihao]:0x7ffcc154b956 [hello]:0x7ffcc154b95c 
  46. Address of the array of environment variables: 0x7ffcc154a868 
  47. Address of the first environment variable: 0x7ffcc154b962 

结果如下:

main(0x559bd09807ca) < heap(0x559bd1bee670) < stack(0x7ffcc154a748) < argv(0x7ffcc154a848) < env(0x7ffcc154a868) < arguments(0x7ffcc154b94f->0x7ffcc154b95c + 6)(6为hello+1('\0')) < env first(0x7ffcc154b962)

可以看出所有的命令行参数都是相邻的,并且紧接着就是环境变量。

argv和env数组地址是相邻的吗

上例中argv有4个元素,命令行中有三个参数,还有一个NULL指向标记数组的末尾,每个指针是8字节,8*4=32, argv(0x7ffcc154a848) + 32(0x20) = env(0x7ffcc154a868),所以argv和env数组指针是相邻的.

命令行参数地址紧随环境变量地址之后吗

首先需要获取环境变量数组的大小,环境变量数组是以NULL结束的,所以可以遍历env数组,检查是否为NULL,获取数组大小,代码如下:

  1. #include  
  2. #include  
  3. #include  
  4.  
  5.  
  6. int main(int ac, char **av, char **env) 
  7.      int a; 
  8.      void *p; 
  9.      int i; 
  10.      int size
  11.  
  12.      printf("Address of a: %p\n", (void *)&a); 
  13.      p = malloc(98); 
  14.      if (p == NULL
  15.      { 
  16.           fprintf(stderr, "Can't malloc\n"); 
  17.           return (EXIT_FAILURE); 
  18.      } 
  19.      printf("Allocated space in the heap: %p\n", p); 
  20.      printf("Address of function main: %p\n", (void *)main); 
  21.      printf("First bytes of the main function:\n\t"); 
  22.      for (i = 0; i < 15; i++) 
  23.      { 
  24.           printf("%02x ", ((unsigned char *)main)[i]); 
  25.      } 
  26.      printf("\n"); 
  27.      printf("Address of the array of arguments: %p\n", (void *)av); 
  28.      printf("Addresses of the arguments:\n\t"); 
  29.      for (i = 0; i < ac; i++) 
  30.      { 
  31.           printf("[%s]:%p ", av[i], av[i]); 
  32.      } 
  33.      printf("\n"); 
  34.      printf("Address of the array of environment variables: %p\n", (void *)env); 
  35.      printf("Address of the first environment variables:\n"); 
  36.      for (i = 0; i < 3; i++) 
  37.      { 
  38.           printf("\t[%p]:\"%s\"\n", env[i], env[i]); 
  39.      } 
  40.       
  41.      i = 0; 
  42.      while (env[i] != NULL
  43.      { 
  44.           i++; 
  45.      } 
  46.      i++;  
  47.      size = i * sizeof(char *); 
  48.      printf("Size of the array env: %d elements -> %d bytes (0x%x)\n", i, sizesize); 
  49.      return (EXIT_SUCCESS); 
  50.  
  51. 编译运行:gcc main.c -o test; ./test nihao hello 
  52. 输出: 
  53. Address of a: 0x7ffd5ebadff4 
  54. Allocated space in the heap: 0x562ba4e13670 
  55. Address of function main: 0x562ba2f1881a 
  56. First bytes of the main function
  57.         55 48 89 e5 48 83 ec 40 89 7d dc 48 89 75 d0 
  58. Address of the array of arguments: 0x7ffd5ebae0f8 
  59. Addresses of the arguments: 
  60.         [./test]:0x7ffd5ebae94f [nihao]:0x7ffd5ebae956 [hello]:0x7ffd5ebae95c 
  61. Address of the array of environment variables: 0x7ffd5ebae118 
  62. Address of the first environment variables: 
  63.         [0x7ffd5ebae962]:"LS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:mi=00:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arc=01;31:*.arj=01;31:*.taz=01;31:*.lha=01;31:*.lz4=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.tzo=01;31:*.t7z=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.dz=01;31:*.gz=01;31:*.lrz=01;31:*.lz=01;31:*.lzo=01;31:*.xz=01;31:*.zst=01;31:*.tzst=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.war=01;31:*.ear=01;31:*.sar=01;31:*.rar=01;31:*.alz=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.cab=01;31:*.wim=01;31:*.swm=01;31:*.dwm=01;31:*.esd=01;31:*.jpg=01;35:*.jpeg=01;35:*.mjpg=01;35:*.mjpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:*.webm=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.m4a=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.oga=00;36:*.opus=00;36:*.spx=00;36:*.xspf=00;36:" 
  64.         [0x7ffd5ebaef4e]:"HOSTNAME=3e8650948c0c" 
  65.         [0x7ffd5ebaef64]:"OLDPWD=/" 
  66. Size of the array env: 11 elements -> 88 bytes (0x58) 
  67.  
  68. 运算结果如下: 
  69. root@3e8650948c0c:/ubuntu# bc 
  70. bc 1.07.1 
  71. Copyright 1991-1994, 1997, 1998, 2000, 2004, 2006, 2008, 2012-2017 Free Software Foundation, Inc. 
  72. This is free software with ABSOLUTELY NO WARRANTY. 
  73. For details type `warranty'. 
  74. obase=16 
  75. ibase=16 
  76. 58+7ffd5ebae118 
  77. (standard_in) 3: syntax error 
  78. 58+7FFD5EBAE118 
  79. 7FFD5EBAE170 
  80. quit 
  81. 通过结果可知7FFD5EBAE170 != 0x7 

通过结果可知7FFD5EBAE170 != 0x7ffd5ebae94f,所以命令行参数地址不是紧随环境变量地址之后。

截至目前画出图表如下:

 

栈内存真的向下增长吗

可以通过调用函数来确认,如果真的是向下增长,那么调用函数的地址应该高于被调用函数地址, 代码如下:

  1. #include  
  2. #include  
  3. #include  
  4.  
  5. void f(void) 
  6.      int a; 
  7.      int b; 
  8.      int c; 
  9.  
  10.      a = 98; 
  11.      b = 1024; 
  12.      c = a * b; 
  13.      printf("[f] a = %d, b = %d, c = a * b = %d\n", a, b, c); 
  14.      printf("[f] Adresses of a: %p, b = %p, c = %p\n", (void *)&a, (void *)&b, (void *)&c); 
  15.  
  16. int main(int ac, char **av, char **env) 
  17.      int a; 
  18.      void *p; 
  19.      int i; 
  20.      int size
  21.  
  22.      printf("Address of a: %p\n", (void *)&a); 
  23.      p = malloc(98); 
  24.      if (p == NULL
  25.      { 
  26.           fprintf(stderr, "Can't malloc\n"); 
  27.           return (EXIT_FAILURE); 
  28.      } 
  29.      printf("Allocated space in the heap: %p\n", p); 
  30.      printf("Address of function main: %p\n", (void *)main); 
  31.      f(); 
  32.      return (EXIT_SUCCESS); 
  33. 编译运行:gcc main.c -o test; ./test 
  34. 输出: 
  35. Address of a: 0x7ffefc75083c 
  36. Allocated space in the heap: 0x564d46318670 
  37. Address of function main: 0x564d45b9880e 
  38. [f] a = 98, b = 1024, c = a * b = 100352 
  39. [f] Adresses of a: 0x7ffefc7507ec, b = 0x7ffefc7507f0, c = 0x7ffefc7507f4 

结果可知: f{a} 0x7ffefc7507ec < main{a} 0x7ffefc75083c

可画图如下:

 

其实也可以写一个简单的代码,通过查看/proc文件系统中map内容来查看内存分布,这里就不举例啦。

堆内存(malloc)

malloc

malloc是常用的动态分配内存的函数,malloc申请的内存分配在堆中,注意malloc是glibc函数,不是系统调用。

man malloc:

  1. [...] allocate dynamic memory[...] 
  2. void *malloc(size_t size); 
  3. [...] 
  4. The malloc() function allocates size bytes and returns a pointer to the allocated memory. 

不调用malloc,就不会有堆空间[heap]

看一段不调用malloc的代码

  1. #include  
  2. #include  
  3.  
  4.  
  5. int main(void) 
  6.     getchar(); 
  7.     return (EXIT_SUCCESS); 
  8. 编译运行:gcc test.c -o 2; ./2 
  9. step 1 : ps aux | grep \ \./2$ 
  10. 输出: 
  11. zjucad    3023  0.0  0.0   4352   788 pts/3    S+   13:58   0:00 ./2 
  12. step 2 : /proc/3023/maps 
  13. 输出: 
  14. 00400000-00401000 r-xp 00000000 08:01 811723                             /home/zjucad/wangzhiqiang/2 
  15. 00600000-00601000 r--p 00000000 08:01 811723                             /home/zjucad/wangzhiqiang/2 
  16. 00601000-00602000 rw-p 00001000 08:01 811723                             /home/zjucad/wangzhiqiang/2 
  17. 007a4000-007c5000 rw-p 00000000 00:00 0                                  [heap] 
  18. 7f954ca02000-7f954cbc2000 r-xp 00000000 08:01 8661324                    /lib/x86_64-linux-gnu/libc-2.23.so 
  19. 7f954cbc2000-7f954cdc2000 ---p 001c0000 08:01 8661324                    /lib/x86_64-linux-gnu/libc-2.23.so 
  20. 7f954cdc2000-7f954cdc6000 r--p 001c0000 08:01 8661324                    /lib/x86_64-linux-gnu/libc-2.23.so 
  21. 7f954cdc6000-7f954cdc8000 rw-p 001c4000 08:01 8661324                    /lib/x86_64-linux-gnu/libc-2.23.so 
  22. 7f954cdc8000-7f954cdcc000 rw-p 00000000 00:00 0 
  23. 7f954cdcc000-7f954cdf2000 r-xp 00000000 08:01 8661310                    /lib/x86_64-linux-gnu/ld-2.23.so 
  24. 7f954cfd2000-7f954cfd5000 rw-p 00000000 00:00 0 
  25. 7f954cff1000-7f954cff2000 r--p 00025000 08:01 8661310                    /lib/x86_64-linux-gnu/ld-2.23.so 
  26. 7f954cff2000-7f954cff3000 rw-p 00026000 08:01 8661310                    /lib/x86_64-linux-gnu/ld-2.23.so 
  27. 7f954cff3000-7f954cff4000 rw-p 00000000 00:00 0 
  28. 7ffed68a1000-7ffed68c2000 rw-p 00000000 00:00 0                          [stack] 
  29. 7ffed690e000-7ffed6911000 r--p 00000000 00:00 0                          [vvar] 
  30. 7ffed6911000-7ffed6913000 r-xp 00000000 00:00 0                          [vdso] 
  31. ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0                  [vsyscall] 

可以看到,如果不调用malloc,maps中就没有[heap]

下面运行一个带有malloc的程序

  1. #include  
  2. #include  
  3.  
  4.  
  5. int main(void) 
  6.     void *p; 
  7.  
  8.     p = malloc(1); 
  9.     printf("%p\n", p); 
  10.     getchar(); 
  11.     return (EXIT_SUCCESS); 
  12. 编译运行:gcc test.c -o 3; ./3 
  13. 输出:0xcc7010 
  14. 验证步骤及输出: 
  15. zjucad@zjucad-ONDA-H110-MINI-V3-01:~/wangzhiqiang$ ps aux | grep \ \./3$ 
  16. zjucad    3113  0.0  0.0   4352   644 pts/3    S+   14:06   0:00 ./3 
  17. zjucad@zjucad-ONDA-H110-MINI-V3-01:~/wangzhiqiang$ cat /proc/3113/maps 
  18. 00400000-00401000 r-xp 00000000 08:01 811726                             /home/zjucad/wangzhiqiang/3 
  19. 00600000-00601000 r--p 00000000 08:01 811726                             /home/zjucad/wangzhiqiang/3 
  20. 00601000-00602000 rw-p 00001000 08:01 811726                             /home/zjucad/wangzhiqiang/3 
  21. 00cc7000-00ce8000 rw-p 00000000 00:00 0                                  [heap] 
  22. 7fc7e9128000-7fc7e92e8000 r-xp 00000000 08:01 8661324                    /lib/x86_64-linux-gnu/libc-2.23.so 
  23. 7fc7e92e8000-7fc7e94e8000 ---p 001c0000 08:01 8661324                    /lib/x86_64-linux-gnu/libc-2.23.so 
  24. 7fc7e94e8000-7fc7e94ec000 r--p 001c0000 08:01 8661324                    /lib/x86_64-linux-gnu/libc-2.23.so 
  25. 7fc7e94ec000-7fc7e94ee000 rw-p 001c4000 08:01 8661324                    /lib/x86_64-linux-gnu/libc-2.23.so 
  26. 7fc7e94ee000-7fc7e94f2000 rw-p 00000000 00:00 0 
  27. 7fc7e94f2000-7fc7e9518000 r-xp 00000000 08:01 8661310                    /lib/x86_64-linux-gnu/ld-2.23.so 
  28. 7fc7e96f8000-7fc7e96fb000 rw-p 00000000 00:00 0 
  29. 7fc7e9717000-7fc7e9718000 r--p 00025000 08:01 8661310                    /lib/x86_64-linux-gnu/ld-2.23.so 
  30. 7fc7e9718000-7fc7e9719000 rw-p 00026000 08:01 8661310                    /lib/x86_64-linux-gnu/ld-2.23.so 
  31. 7fc7e9719000-7fc7e971a000 rw-p 00000000 00:00 0 
  32. 7ffc91c18000-7ffc91c39000 rw-p 00000000 00:00 0                          [stack] 
  33. 7ffc91d5f000-7ffc91d62000 r--p 00000000 00:00 0                          [vvar] 
  34. 7ffc91d62000-7ffc91d64000 r-xp 00000000 00:00 0                          [vdso] 
  35. ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0                  [vsyscall] 

程序中带有malloc,那maps中就有[heap]段,并且malloc返回的地址在heap的地址段中,但是返回的地址却不再heap的最开始地址上,相差了0x10字节,为什么呢?看下面:

strace, brk, sbrk

malloc不是系统调用,它是一个正常函数,它必须调用某些系统调用才可以操作堆内存,通过使用strace工具可以追踪进程的系统调用和信号,为了确认系统调用是malloc产生的,所以在malloc前后添加write系统调用方便定位问题。

  1. #include  
  2. #include  
  3. #include  
  4.  
  5.  
  6. int main(void) 
  7.     void *p; 
  8.  
  9.     write(1, "BEFORE MALLOC\n", 14); 
  10.     p = malloc(1); 
  11.     write(1, "AFTER MALLOC\n", 13); 
  12.     printf("%p\n", p); 
  13.     getchar(); 
  14.     return (EXIT_SUCCESS); 
  15. 编译运行:gcc test.c -o 4 
  16. zjucad@zjucad-ONDA-H110-MINI-V3-01:~/wangzhiqiang$ strace ./4 
  17. execve("./4", ["./4"], []) = 0 
  18. brk(NULL)                               = 0x781000 
  19. access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory) 
  20. access("/etc/ld.so.preload", R_OK)      = -1 ENOENT (No such file or directory) 
  21. open("/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) = 3 
  22. fstat(3, {st_mode=S_IFREG|0644, st_size=111450, ...}) = 0 
  23. mmap(NULL, 111450, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7f37720fa000 
  24. close(3)                                = 0 
  25. access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory) 
  26. open("/lib/x86_64-linux-gnu/libc.so.6", O_RDONLY|O_CLOEXEC) = 3 
  27. read(3, "\177ELF\2\1\1\3\0\0\0\0\0\0\0\0\3\0>\0\1\0\0\0P\t\2\0\0\0\0\0"..., 832) = 832 
  28. fstat(3, {st_mode=S_IFREG|0755, st_size=1868984, ...}) = 0 
  29. mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f37720f9000 
  30. mmap(NULL, 3971488, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x7f3771b27000 
  31. mprotect(0x7f3771ce7000, 2097152, PROT_NONE) = 0 
  32. mmap(0x7f3771ee7000, 24576, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x1c0000) = 0x7f3771ee7000 
  33. mmap(0x7f3771eed000, 14752, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x7f3771eed000 
  34. close(3)                                = 0 
  35. mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f37720f8000 
  36. mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f37720f7000 
  37. arch_prctl(ARCH_SET_FS, 0x7f37720f8700) = 0 
  38. mprotect(0x7f3771ee7000, 16384, PROT_READ) = 0 
  39. mprotect(0x600000, 4096, PROT_READ)     = 0 
  40. mprotect(0x7f3772116000, 4096, PROT_READ) = 0 
  41. munmap(0x7f37720fa000, 111450)          = 0 
  42. write(1, "BEFORE MALLOC\n", 14BEFORE MALLOC 
  43. )         = 14 
  44. brk(NULL)                               = 0x781000 
  45. brk(0x7a2000)                           = 0x7a2000 
  46. write(1, "AFTER MALLOC\n", 13AFTER MALLOC 
  47. )          = 13 
  48. fstat(1, {st_mode=S_IFCHR|0620, st_rdev=makedev(136, 3), ...}) = 0 
  49. write(1, "0x781010\n", 90x781010 
  50. )               = 9 
  51. fstat(0, {st_mode=S_IFCHR|0620, st_rdev=makedev(136, 3), ...}) = 0 

最后几行的输出可知,malloc主要调用brk系统调用来操作堆内存。

  1. man brk 
  2. ... 
  3.        int brk(void *addr); 
  4.        void *sbrk(intptr_t increment); 
  5. ... 
  6. DESCRIPTION 
  7.        brk() and sbrk() change the location of the program  break,  which  defines 
  8.        the end of the process's data segment (i.e., the program break is the first 
  9.        location after the end of the uninitialized data segment).  Increasing  the 
  10.        program  break has the effect of allocating memory to the process; decreas‐ 
  11.        ing the break deallocates memory. 
  12.  
  13.        brk() sets the end of the data segment to the value specified by addr, when 
  14.        that  value  is  reasonable,  the system has enough memory, and the process 
  15.        does not exceed its maximum data size (see setrlimit(2)). 
  16.  
  17.        sbrk() increments the program's data space  by  increment  bytes.   Calling 
  18.        sbrk()  with  an increment of 0 can be used to find the current location of 
  19.        the program break. 

程序中断是虚拟内存中程序数据段结束后的第一个位置的地址,malloc通过调用brk或者sbrk,增加程序中断的值就可以创建新空间来动态分配内存,首次调用brk会返回当前程序中断的地址,第二次调用brk也会返回程序中断的地址,可以发现第二次brk返回地址大于第一次brk返回地址,brk就是通过增加程序中断地址的方式来分配内存,可以看出现在的堆地址范围是0x781000-0x7a2000,通过cat /proc/[pid]/maps也可以验证,此处就不贴上实际验证的结果啦。

多次malloc

如果多次malloc会出现什么现象呢,代码如下:

  1. #include  
  2. #include  
  3. #include  
  4.  
  5.  
  6. int main(void) 
  7.     void *p; 
  8.  
  9.     write(1, "BEFORE MALLOC #0\n", 17); 
  10.     p = malloc(1024); 
  11.     write(1, "AFTER MALLOC #0\n", 16); 
  12.     printf("%p\n", p); 
  13.  
  14.     write(1, "BEFORE MALLOC #1\n", 17); 
  15.     p = malloc(1024); 
  16.     write(1, "AFTER MALLOC #1\n", 16); 
  17.     printf("%p\n", p); 
  18.  
  19.     write(1, "BEFORE MALLOC #2\n", 17); 
  20.     p = malloc(1024); 
  21.     write(1, "AFTER MALLOC #2\n", 16); 
  22.     printf("%p\n", p); 
  23.  
  24.     write(1, "BEFORE MALLOC #3\n", 17); 
  25.     p = malloc(1024); 
  26.     write(1, "AFTER MALLOC #3\n", 16); 
  27.     printf("%p\n", p); 
  28.  
  29.     getchar(); 
  30.     return (EXIT_SUCCESS); 
  31. 编译运行:gcc test.c -o 5; strace ./5 
  32. 摘要输出结果如下: 
  33. write(1, "BEFORE MALLOC #0\n", 17BEFORE MALLOC #0 
  34. )      = 17 
  35. brk(NULL)                               = 0x561605c7a000 
  36. brk(0x561605c9b000)                     = 0x561605c9b000 
  37. write(1, "AFTER MALLOC #0\n", 16AFTER MALLOC #0 
  38. )       = 16 
  39. fstat(1, {st_mode=S_IFCHR|0620, st_rdev=makedev(136, 0), ...}) = 0 
  40. write(1, "0x561605c7a260\n", 150x561605c7a260 
  41. )        = 15 
  42. write(1, "BEFORE MALLOC #1\n", 17BEFORE MALLOC #1 
  43. )      = 17 
  44. write(1, "AFTER MALLOC #1\n", 16AFTER MALLOC #1 
  45. )       = 16 
  46. write(1, "0x561605c7aa80\n", 150x561605c7aa80 
  47. )        = 15 
  48. write(1, "BEFORE MALLOC #2\n", 17BEFORE MALLOC #2 
  49. )      = 17 
  50. write(1, "AFTER MALLOC #2\n", 16AFTER MALLOC #2 
  51. )       = 16 
  52. write(1, "0x561605c7ae90\n", 150x561605c7ae90 
  53. )        = 15 
  54. write(1, "BEFORE MALLOC #3\n", 17BEFORE MALLOC #3 
  55. )      = 17 
  56. write(1, "AFTER MALLOC #3\n", 16AFTER MALLOC #3 
  57. )       = 16 
  58. write(1, "0x561605c7b2a0\n", 150x561605c7b2a0 
  59. )        = 15 
  60. fstat(0, {st_mode=S_IFCHR|0620, st_rdev=makedev(136, 0), ...}) = 0 

可以发现并不是每次调用malloc都会触发brk系统调用,首次调用malloc,内部会通过brk系统调用更改程序中断地址,分配出一大块内存空间,后续再调用malloc,malloc内部会优先使用之前分配出来的内存空间,直到内部内存空间已经不够再次分配给外部时才会再次触发brk系统调用。

0x10 那丢失的16字节是什么

上面分析可以看见程序第一次调用malloc返回的地址并不是heap段的首地址,而是相差了0x10个字节,那这16个字节究竟是什么,可以通过程序打印出这前16个字节的内容。

  1. 编译运行:gcc test.c -o test;./test 
  2. 输出: 
  3. 0x5589436ce260 
  4. bytes at 0x5589436ce250: 
  5. 00 00 00 00 00 00 00 00 11 04 00 00 00 00 00 00 
  6. 0x5589436cea80 
  7. bytes at 0x5589436cea70: 
  8. 00 00 00 00 00 00 00 00 11 08 00 00 00 00 00 00 
  9. 0x5589436cf290 
  10. bytes at 0x5589436cf280: 
  11. 00 00 00 00 00 00 00 00 11 0c 00 00 00 00 00 00 
  12. 0x5589436cfea0 
  13. bytes at 0x5589436cfe90: 
  14. 00 00 00 00 00 00 00 00 11 10 00 00 00 00 00 00 
  15. 0x5589436d0eb0 
  16. bytes at 0x5589436d0ea0: 
  17. 00 00 00 00 00 00 00 00 11 14 00 00 00 00 00 00 
  18. 0x5589436d22c0 
  19. bytes at 0x5589436d22b0: 
  20. 00 00 00 00 00 00 00 00 11 18 00 00 00 00 00 00 
  21. 0x5589436d3ad0 
  22. bytes at 0x5589436d3ac0: 
  23. 00 00 00 00 00 00 00 00 11 1c 00 00 00 00 00 00 
  24. 0x5589436d56e0 
  25. bytes at 0x5589436d56d0: 
  26. 00 00 00 00 00 00 00 00 11 20 00 00 00 00 00 00 
  27. 0x5589436d76f0 
  28. bytes at 0x5589436d76e0: 
  29. 00 00 00 00 00 00 00 00 11 24 00 00 00 00 00 00 
  30. 0x5589436d9b00 
  31. bytes at 0x5589436d9af0: 
  32. 00 00 00 00 00 00 00 00 11 28 00 00 00 00 00 00 

可以看出规律:这16个字节相当于malloc出来的地址的头,包含一些信息,目前可以看出它包括已经分配的地址空间的大小,第一次malloc申请了0x400(1024)字节,可以发现11 04 00 00 00 00 00 00大于0x400(1024),这8个字节表示数字 0x 00 00 00 00 00 00 04 11 = 0x400(1024) + 0x10(头的大小16) + 1(后面会说明它的含义),可以发现每次调用malloc,这前8个字节代表的含义都是malloc字节数+16+1。

可以猜测,malloc内部会把这前16个字节强转成某种数据结构,数据结构包含某些信息,最主要的是已经分配的字节数,尽管我们不了解具体结构,但是也可以通过代码操作这16个字节验证我们上面总结的规律是否正确,注意代码中不调用free释放内存。

  1. #include  
  2. #include  
  3. #include  
  4.  
  5.  
  6. void pmem(void *p, unsigned int bytes) 
  7.     unsigned char *ptr; 
  8.     unsigned int i; 
  9.  
  10.     ptr = (unsigned char *)p; 
  11.     for (i = 0; i < bytes; i++) 
  12.     { 
  13.         if (i != 0) 
  14.         { 
  15.             printf(" "); 
  16.         } 
  17.         printf("%02x", *(ptr + i)); 
  18.     } 
  19.     printf("\n"); 
  20.  
  21.  
  22. int main(void) 
  23.     void *p; 
  24.     int i; 
  25.     size_t size_of_the_chunk; 
  26.     size_t size_of_the_previous_chunk; 
  27.     void *chunks[10]; 
  28.  
  29.     for (i = 0; i < 10; i++) 
  30.     { 
  31.         p = malloc(1024 * (i + 1)); 
  32.         chunks[i] = (void *)((char *)p - 0x10); 
  33.         printf("%p\n", p); 
  34.     } 
  35.     free((char *)(chunks[3]) + 0x10); 
  36.     free((char *)(chunks[7]) + 0x10); 
  37.     for (i = 0; i < 10; i++) 
  38.     { 
  39.         p = chunks[i]; 
  40.         printf("chunks[%d]: ", i); 
  41.         pmem(p, 0x10); 
  42.         size_of_the_chunk = *((size_t *)((char *)p + 8)) - 1; 
  43.         size_of_the_previous_chunk = *((size_t *)((char *)p)); 
  44.         printf("chunks[%d]: %p, size = %li, prev = %li\n"
  45.               i, p, size_of_the_chunk, size_of_the_previous_chunk); 
  46.     } 
  47.     return (EXIT_SUCCESS); 
  48. 编译运行输出: 
  49. root@3e8650948c0c:/ubuntu# gcc test.c -o test 
  50. root@3e8650948c0c:/ubuntu# ./test 
  51. 0x559721de4260 
  52. 0x559721de4a80 
  53. 0x559721de5290 
  54. 0x559721de5ea0 
  55. 0x559721de6eb0 
  56. 0x559721de82c0 
  57. 0x559721de9ad0 
  58. 0x559721deb6e0 
  59. 0x559721ded6f0 
  60. 0x559721defb00 
  61. chunks[0]: 00 00 00 00 00 00 00 00 11 04 00 00 00 00 00 00 
  62. chunks[0]: 0x559721de4250, size = 1040, prev = 0 
  63. chunks[1]: 00 00 00 00 00 00 00 00 11 08 00 00 00 00 00 00 
  64. chunks[1]: 0x559721de4a70, size = 2064, prev = 0 
  65. chunks[2]: 00 00 00 00 00 00 00 00 11 0c 00 00 00 00 00 00 
  66. chunks[2]: 0x559721de5280, size = 3088, prev = 0 
  67. chunks[3]: 00 00 00 00 00 00 00 00 11 10 00 00 00 00 00 00 
  68. chunks[3]: 0x559721de5e90, size = 4112, prev = 0 
  69. chunks[4]: 10 10 00 00 00 00 00 00 10 14 00 00 00 00 00 00 
  70. chunks[4]: 0x559721de6ea0, size = 5135, prev = 4112 
  71. chunks[5]: 00 00 00 00 00 00 00 00 11 18 00 00 00 00 00 00 
  72. chunks[5]: 0x559721de82b0, size = 6160, prev = 0 
  73. chunks[6]: 00 00 00 00 00 00 00 00 11 1c 00 00 00 00 00 00 
  74. chunks[6]: 0x559721de9ac0, size = 7184, prev = 0 
  75. chunks[7]: 00 00 00 00 00 00 00 00 11 20 00 00 00 00 00 00 
  76. chunks[7]: 0x559721deb6d0, size = 8208, prev = 0 
  77. chunks[8]: 10 20 00 00 00 00 00 00 10 24 00 00 00 00 00 00 
  78. chunks[8]: 0x559721ded6e0, size = 9231, prev = 8208 
  79. chunks[9]: 00 00 00 00 00 00 00 00 11 28 00 00 00 00 00 00 
  80. chunks[9]: 0x559721defaf0, size = 10256, prev = 0 

结果可以看出,malloc返回的地址往前的16个字节可以表示已经分配的内存大小, 如图:

 

注意上述是没有调用free释放内存的结果,然而malloc只用了8个字节表示已经分配的内存大小,那么另外8个字节被用来表示什么含义呢,看下malloc函数的注释:

  1. 1055  
  2. void pmem(void *p, unsigned int bytes) 
  3.     unsigned char *ptr; 
  4.     unsigned int i; 
  5.  
  6.     ptr = (unsigned char *)p; 
  7.     for (i = 0; i < bytes; i++) 
  8.     { 
  9.         if (i != 0) 
  10.         { 
  11.             printf(" "); 
  12.         } 
  13.         printf("%02x", *(ptr + i)); 
  14.     } 
  15.     printf("\n"); 
  16.  
  17.  
  18. int main(void) 
  19.     void *p; 
  20.     int i; 
  21.     size_t size_of_the_chunk; 
  22.     size_t size_of_the_previous_chunk; 
  23.     void *chunks[10]; 
  24.  
  25.     for (i = 0; i < 10; i++) 
  26.     { 
  27.         p = malloc(1024 * (i + 1)); 
  28.         chunks[i] = (void *)((char *)p - 0x10); 
  29.         printf("%p\n", p); 
  30.     } 
  31.     free((char *)(chunks[3]) + 0x10); 
  32.     free((char *)(chunks[7]) + 0x10); 
  33.     for (i = 0; i < 10; i++) 
  34.     { 
  35.         p = chunks[i]; 
  36.         printf("chunks[%d]: ", i); 
  37.         pmem(p, 0x10); 
  38.         size_of_the_chunk = *((size_t *)((char *)p + 8)) - 1; 
  39.         size_of_the_previous_chunk = *((size_t *)((char *)p)); 
  40.         printf("chunks[%d]: %p, size = %li, prev = %li\n"
  41.               i, p, size_of_the_chunk, size_of_the_previous_chunk); 
  42.     } 
  43.     return (EXIT_SUCCESS); 
  44.  
  45. 编译运行输出: 
  46. root@3e8650948c0c:/ubuntu# gcc test.c -o test 
  47. root@3e8650948c0c:/ubuntu# ./test 
  48. 0x55fbebf20260 
  49. 0x55fbebf20a80 
  50. 0x55fbebf21290 
  51. 0x55fbebf21ea0 
  52. 0x55fbebf22eb0 
  53. 0x55fbebf242c0 
  54. 0x55fbebf25ad0 
  55. 0x55fbebf276e0 
  56. 0x55fbebf296f0 
  57. 0x55fbebf2bb00 
  58. chunks[0]: 00 00 00 00 00 00 00 00 11 04 00 00 00 00 00 00 
  59. chunks[0]: 0x55fbebf20250, size = 1040, prev = 0 
  60. chunks[1]: 00 00 00 00 00 00 00 00 11 08 00 00 00 00 00 00 
  61. chunks[1]: 0x55fbebf20a70, size = 2064, prev = 0 
  62. chunks[2]: 00 00 00 00 00 00 00 00 11 0c 00 00 00 00 00 00 
  63. chunks[2]: 0x55fbebf21280, size = 3088, prev = 0 
  64. chunks[3]: 00 00 00 00 00 00 00 00 11 10 00 00 00 00 00 00 
  65. chunks[3]: 0x55fbebf21e90, size = 4112, prev = 0 
  66. chunks[4]: 10 10 00 00 00 00 00 00 10 14 00 00 00 00 00 00 
  67. chunks[4]: 0x55fbebf22ea0, size = 5135, prev = 4112 
  68. chunks[5]: 00 00 00 00 00 00 00 00 11 18 00 00 00 00 00 00 
  69. chunks[5]: 0x55fbebf242b0, size = 6160, prev = 0 
  70. chunks[6]: 00 00 00 00 00 00 00 00 11 1c 00 00 00 00 00 00 
  71. chunks[6]: 0x55fbebf25ac0, size = 7184, prev = 0 
  72. chunks[7]: 00 00 00 00 00 00 00 00 11 20 00 00 00 00 00 00 
  73. chunks[7]: 0x55fbebf276d0, size = 8208, prev = 0 
  74. chunks[8]: 10 20 00 00 00 00 00 00 10 24 00 00 00 00 00 00 
  75. chunks[8]: 0x55fbebf296e0, size = 9231, prev = 8208 
  76. chunks[9]: 00 00 00 00 00 00 00 00 11 28 00 00 00 00 00 00 
  77. chunks[9]: 0x55fbebf2baf0, size = 10256, prev = 0 

程序代码通过free释放了3和7数据块的空间,所以4和8的前8个字节已经不全是0啦,和其它不同,它们表示之前数据块没有被分配的大小,也可以注意到4和8块的后8个字节不像其它块一样需要加1啦,可以得出结论,malloc通过是否加1来作为前一个数据块是否已经分配的标志,加1表示前一个数据块已经分配。所以之前的程序代码可以修改为如下形式:

  1. #include  
  2. #include  
  3. #include  
  4.  
  5.  
  6. void pmem(void *p, unsigned int bytes) 
  7.     unsigned char *ptr; 
  8.     unsigned int i; 
  9.  
  10.     ptr = (unsigned char *)p; 
  11.     for (i = 0; i < bytes; i++) 
  12.     { 
  13.         if (i != 0) 
  14.         { 
  15.             printf(" "); 
  16.         } 
  17.         printf("%02x", *(ptr + i)); 
  18.     } 
  19.     printf("\n"); 
  20.  
  21.  
  22. int main(void) 
  23.     void *p; 
  24.     int i; 
  25.     size_t size_of_the_chunk; 
  26.     size_t size_of_the_previous_chunk; 
  27.     void *chunks[10]; 
  28.     char prev_used; 
  29.  
  30.     for (i = 0; i < 10; i++) 
  31.     { 
  32.         p = malloc(1024 * (i + 1)); 
  33.         chunks[i] = (void *)((char *)p - 0x10); 
  34.     } 
  35.     free((char *)(chunks[3]) + 0x10); 
  36.     free((char *)(chunks[7]) + 0x10); 
  37.     for (i = 0; i < 10; i++) 
  38.     { 
  39.         p = chunks[i]; 
  40.         printf("chunks[%d]: ", i); 
  41.         pmem(p, 0x10); 
  42.         size_of_the_chunk = *((size_t *)((char *)p + 8)); 
  43.         prev_used = size_of_the_chunk & 1; 
  44.         size_of_the_chunk -= prev_used; 
  45.         size_of_the_previous_chunk = *((size_t *)((char *)p)); 
  46.         printf("chunks[%d]: %p, size = %li, prev (%s) = %li\n"
  47.               i, p, size_of_the_chunk, 
  48.               (prev_used? "allocated""unallocated"), size_of_the_previous_chunk); 
  49.     } 
  50.     return (EXIT_SUCCESS); 
  51. 编译运行输出: 
  52. root@3e8650948c0c:/ubuntu# gcc test.c -o test 
  53. root@3e8650948c0c:/ubuntu# ./test 
  54. chunks[0]: 00 00 00 00 00 00 00 00 11 04 00 00 00 00 00 00 
  55. chunks[0]: 0x56254f888250, size = 1040, prev (allocated) = 0 
  56. chunks[1]: 00 00 00 00 00 00 00 00 11 08 00 00 00 00 00 00 
  57. chunks[1]: 0x56254f888660, size = 2064, prev (allocated) = 0 
  58. chunks[2]: 00 00 00 00 00 00 00 00 11 0c 00 00 00 00 00 00 
  59. chunks[2]: 0x56254f888e70, size = 3088, prev (allocated) = 0 
  60. chunks[3]: 00 00 00 00 00 00 00 00 11 04 00 00 00 00 00 00 
  61. chunks[3]: 0x56254f889a80, size = 1040, prev (allocated) = 0 
  62. chunks[4]: 00 0c 00 00 00 00 00 00 10 14 00 00 00 00 00 00 
  63. chunks[4]: 0x56254f88aa90, size = 5136, prev (unallocated) = 3072 
  64. chunks[5]: 00 00 00 00 00 00 00 00 11 18 00 00 00 00 00 00 
  65. chunks[5]: 0x56254f88bea0, size = 6160, prev (allocated) = 0 
  66. chunks[6]: 00 00 00 00 00 00 00 00 11 1c 00 00 00 00 00 00 
  67. chunks[6]: 0x56254f88d6b0, size = 7184, prev (allocated) = 0 
  68. chunks[7]: 00 00 00 00 00 00 00 00 11 20 00 00 00 00 00 00 
  69. chunks[7]: 0x56254f88f2c0, size = 8208, prev (allocated) = 0 
  70. chunks[8]: 10 20 00 00 00 00 00 00 10 24 00 00 00 00 00 00 
  71. chunks[8]: 0x56254f8912d0, size = 9232, prev (unallocated) = 8208 
  72. chunks[9]: 00 00 00 00 00 00 00 00 11 28 00 00 00 00 00 00 
  73. chunks[9]: 0x56254f8936e0, size = 10256, prev (allocated) = 0 

堆空间是向上增长吗?

通过代码验证:

  1. #include  
  2. #include  
  3. #include  
  4.  
  5.  
  6. int main(void) 
  7.     int i; 
  8.  
  9.     write(1, "START\n", 6); 
  10.     malloc(1); 
  11.     getchar(); 
  12.     write(1, "LOOP\n", 5); 
  13.     for (i = 0; i < 0x25000 / 1024; i++) 
  14.     { 
  15.         malloc(1024); 
  16.     } 
  17.     write(1, "END\n", 4); 
  18.     getchar(); 
  19.     return (EXIT_SUCCESS); 
  20. 编译运行部分摘要输出: 
  21. root@3e8650948c0c:/ubuntu# gcc test.c -o test 
  22. root@3e8650948c0c:/ubuntu# strace ./test 
  23. execve("./test", ["./test"], 0x7ffe0d7cbd80 ) = 0 
  24. brk(NULL)                               = 0x555a2428f000 
  25. access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory) 
  26. access("/etc/ld.so.preload", R_OK)      = -1 ENOENT (No such file or directory) 
  27. openat(AT_FDCWD, "/etc/ld.so.cache", O_RDONLY|O_CLOEXEC) = 3 
  28. fstat(3, {st_mode=S_IFREG|0644, st_size=13722, ...}) = 0 
  29. mmap(NULL, 13722, PROT_READ, MAP_PRIVATE, 3, 0) = 0x7f6423455000 
  30. close(3)                                = 0 
  31. access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory) 
  32. openat(AT_FDCWD, "/lib/x86_64-linux-gnu/libc.so.6", O_RDONLY|O_CLOEXEC) = 3 
  33. read(3, "\177ELF\2\1\1\3\0\0\0\0\0\0\0\0\3\0>\0\1\0\0\0\260\34\2\0\0\0\0\0"..., 832) = 832 
  34. fstat(3, {st_mode=S_IFREG|0755, st_size=2030544, ...}) = 0 
  35. mmap(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f6423453000 
  36. mmap(NULL, 4131552, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0x7f6422e41000 
  37. mprotect(0x7f6423028000, 2097152, PROT_NONE) = 0 
  38. mmap(0x7f6423228000, 24576, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x1e7000) = 0x7f6423228000 
  39. mmap(0x7f642322e000, 15072, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0x7f642322e000 
  40. close(3)                                = 0 
  41. arch_prctl(ARCH_SET_FS, 0x7f64234544c0) = 0 
  42. mprotect(0x7f6423228000, 16384, PROT_READ) = 0 
  43. mprotect(0x555a22f5f000, 4096, PROT_READ) = 0 
  44. mprotect(0x7f6423459000, 4096, PROT_READ) = 0 
  45. munmap(0x7f6423455000, 13722)           = 0 
  46. write(1, "START\n", 6START 
  47. )                  = 6 
  48. brk(NULL)                               = 0x555a2428f000 
  49. brk(0x555a242b0000)                     = 0x555a242b0000 
  50. fstat(0, {st_mode=S_IFCHR|0620, st_rdev=makedev(136, 0), ...}) = 0 
  51. read(0, 
  52. "\n", 1024)                     = 1 
  53. write(1, "LOOP\n", 5LOOP 
  54. )                   = 5 
  55. brk(0x555a242d1000)                     = 0x555a242d1000 
  56. brk(0x555a242f2000)                     = 0x555a242f2000 
  57. brk(0x555a24313000)                     = 0x555a24313000 
  58. brk(0x555a24334000)                     = 0x555a24334000 
  59. brk(0x555a24355000)                     = 0x555a24355000 
  60. brk(0x555a24376000)                     = 0x555a24376000 
  61. brk(0x555a24397000)                     = 0x555a24397000 
  62. brk(0x555a243b8000)                     = 0x555a243b8000 
  63. brk(0x555a243d9000)                     = 0x555a243d9000 
  64. brk(0x555a243fa000)                     = 0x555a243fa000 

可以看出堆空间是向上增长的。

随机化地址空间布局

从开始到现在运行了好多个进程,通过查看对应进程的maps,发现每个进程的heap的起始地址和可执行程序的结束地址都不紧邻,而且差距还每次都不相同。

  1. [3718]: 01195000 – 00602000 = b93000 
  2. [3834]: 024d6000 – 00602000 = 1ed4000 
  3. [4014]: 00e70000 – 00602000 = 86e000 
  4. [4172]: 01314000 – 00602000 = d12000 
  5. [7972]: 00901000 – 00602000 = 2ff000 

可以看出这个差值是随机的,查看fs/binfmt_elf.c源代码

  1. if ((current->flags & PF_RANDOMIZE) && (randomize_va_space > 1)) { 
  2.                 current->mm->brk = current->mm->start_brk = 
  3.                         arch_randomize_brk(current->mm); 
  4. #ifdef compat_brk_randomized 
  5.                 current->brk_randomized = 1; 
  6. #endif 
  7.         } 
  8. // current->mm->brk是当前进程程序中断的地址 

arch_randomize_brk函数在arch/x86/kernel/process.c中

  1. unsigned long arch_randomize_brk(struct mm_struct *mm) 
  2.         unsigned long range_end = mm->brk + 0x02000000; 
  3.         return randomize_range(mm->brk, range_end, 0) ? : mm->brk; 

randomize_range函数在drivers/char/random.c中

  1.  
  2. unsigned long 
  3. randomize_range(unsigned long start, unsigned long end, unsigned long len) 
  4.         unsigned long range = end - len - start; 
  5.  
  6.         if (end <= start + len) 
  7.                 return 0; 
  8.         return PAGE_ALIGN(get_random_int() % range + start); 

可以看出上面所说的这个差值其实就是0-0x02000000中的一个随机数,这种技术称为ASLR(Address Space Layout Randomisation),是一种计算机安全技术,随机安排虚拟内存中堆栈空间的位置,可以有效防止黑客攻击。通过以上分析,可以画出内存分布图如下:

 

malloc(0)发生了什么?

当调用malloc(0)会发生什么,代码如下:

  1. #include  
  2. #include  
  3. #include  
  4.  
  5.  
  6. void pmem(void *p, unsigned int bytes) 
  7.     unsigned char *ptr; 
  8.     unsigned int i; 
  9.  
  10.     ptr = (unsigned char *)p; 
  11.     for (i = 0; i < bytes; i++) 
  12.     { 
  13.         if (i != 0) 
  14.         { 
  15.             printf(" "); 
  16.         } 
  17.         printf("%02x", *(ptr + i)); 
  18.     } 
  19.     printf("\n"); 
  20.  
  21.  
  22. int main(void) 
  23.     void *p; 
  24.     size_t size_of_the_chunk; 
  25.     char prev_used; 
  26.  
  27.     p = malloc(0); 
  28.     printf("%p\n", p); 
  29.     pmem((char *)p - 0x10, 0x10); 
  30.     size_of_the_chunk = *((size_t *)((char *)p - 8)); 
  31.     prev_used = size_of_the_chunk & 1; 
  32.     size_of_the_chunk -= prev_used; 
  33.     printf("chunk size = %li bytes\n", size_of_the_chunk); 
  34.     return (EXIT_SUCCESS); 
  35. 编译运行输出如下: 
  36. root@3e8650948c0c:/ubuntu# gcc test.c -o test 
  37. root@3e8650948c0c:/ubuntu# ./test 
  38. 0x564ece64b260 
  39. 00 00 00 00 00 00 00 00 21 00 00 00 00 00 00 00 
  40. chunk size = 32 bytes 

可以看出malloc(0)实际使用了32个字节,其中包括我们之前说的16个字节头部,然而有时候malloc(0)可能会有不同的结果输出,也有可能会返回NULL。

  1. man malloc 
  2. NULL may also be returned by a successful call to malloc() with a size of zero 

操作环境

  1. 示例代码主要在两种环境下跑过:  
  2. ubuntu 16.04  
  3. gcc (Ubuntu 7.4.0-1ubuntu1~16.04~ppa1) 7.4.0  
  4.   
  5. ubuntu 18.04 docker  
  6. gcc (Ubuntu 7.4.0-1ubuntu1~18.04.1) 7.4.0  

本文是从这一系列文章翻译并结合自己理解提炼出来的,代码都自己实践过,有时间的也可以直接阅读英文原链接

Hack The Virtual Memory: C strings & /proc  

Hack the Virtual Memory: drawing the VM diagram 

Hack the Virtual Memory: malloc, the heap & the program break 

 

来源:程序喵大人内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯