学步园

内存布局

linux下一个进程的典型内存分布:

____________________ 0xffffffff</p> <p>kernel space </p> <p>____________________ 0xc0000000</p> <p>stack</p> <p>(向下拓展)</p> <p>____________________</p> <p>unused</p> <p>____________________</p> <p>dynamic libraries</p> <p>____________________ 0x40000000</p> <p>unused</p> <p>____________________</p> <p>heap</p> <p>(向上拓展)</p> <p>____________________</p> <p>read/write sections </p> <p>(.data, .bss)</p> <p>____________________</p> <p>readonly sections</p> <p>(.init, .rodata, .text)</p> <p>____________________ 0x0804800</p> <p>reserved</p> <p>____________________ 0<br />

函数与栈

栈保存一个函数调用所需要的维护信息,这常常被称为堆栈帧 或 活动记录.

保存如下内容:

1. 函数的放回地址和参数

2. 临时变量: 包括函数的非静态局部变量 以及 比一起自动生成的其他临时变量.

3. 保存的上下文: 包括在函数调用前后需要保持不变的寄存器.

一个常见的活动记录如下:

_____________</p> <p>参数</p> <p>_____________</p> <p>返回地址</p> <p>_____________</p> <p>old ebp <- ebp</p> <p>_____________</p> <p>保存的寄存器</p> <p>_____________</p> <p>局部变量</p> <p>_____________</p> <p>其他数据</p> <p>_____________ <- esp<br />

i386函数体的"标准"开头是这样的:

1. push ebp: 把ebp压入栈中

2. mov ebp, esp: ebp = esp (这时ebp指向栈顶, 而此时栈顶就是old ebp)

3. [可选]sub esp, XXX: 在栈上分配XXX字节的临时空间

4. [可选]push XXX: 如有必要,保存名为XXX的几个寄存器

那么"标准"结尾是这样的:

1. [可选]pop XXX: 如有必要, 恢复寄存器

2. mov esp, ebp: 恢复esp同时回收局部变量空间

3. pop: 从栈中恢复保存的ebp的值.

4. ret: 从栈中取得返回地址, 并跳转到该位置

反汇编一个函数:

int foo()

{

    return 123;

}

如下:

004113A0 push ebp step one,保存ebp,让ebp指向目前的栈顶<br /> 004113A1 mov ebp, esp</p> <p>004113A3 sub esp, 0C0h step two, 在栈上开辟一块空间</p> <p>004113A9 push ebx step three,保存ebx,esi,edi寄存器<br /> 004113AA push esi<br /> 004113AB push edi</p> <p>004113AC lea edi, [ebp-0C0h] step four,加入调试信息<br /> 004113B2 mov ecx, 30h<br /> 004113B7 mov eax, 0CCCCCCCh<br /> 004113BC rep stos dword ptr es[di]</p> <p>004113BE mov eax, 7Bh step five,返回123(在这里返回值是通过eax寄存器传递的)<br /> 004113C3 pop edi step six,从栈上恢复寄存器<br /> 004113C4 pop esi<br /> 004113C5 pop ebx</p> <p>004113C6 mov esp, ebp step seven,恢复进入函数前的esp,ebp<br /> 004113C8 pop ebp</p> <p>004113C9 ret step eight,使用ret指令返回<br />

补充：

函数的调用：

call 0x0EA23h

将ECS或EIP压栈；

转移到0x0EA23h。

ret函数的返回：

ret

弹栈得到EIP或ECS；

返回EIP所指的指令继续执行。

函数返回值传递方式

#include <stdio.h><br /> typedef struct big_thing<br /> {<br /> char buf[128];<br /> }big_thing;</p> <p>big_thing return_rest()<br /> {<br /> big_thing b;<br /> b.buf[0] = 0;<br /> return b;<br /> }<br /> int main()<br /> {<br /> big_thing n = return_rest();<br /> return 0;<br /> }

用伪代码表示如下:

void return_test(void *temp)<br /> {<br /> big_thing b;<br /> b.buf[0] = 0;<br /> memcpy(temp, &b, sizeof(big_thing));<br /> eax = temp;<br /> }</p> <p>int main()<br /> {<br /> big_thing temp;<br /> big_thing n;<br /> return_test(&temp);<br /> memcpy(&n, eax, sizeof(big_thing));<br /> }

步骤如下:

1. 首先main函数在栈上额外开辟了一片空间, 并将这块空间的一部分作为传递返回值的临时对象,temp.

2. 将temp对象的地址作为隐藏参数传递给return_test函数

3. return_test函数将数据拷贝给temp对象, 并将temp对象的地址用eax传出.

4. return_test返回之后, main函数将eax指向的temp对象的内容拷贝给n.

当c++对象返回时,

#include <iostream><br /> using namespace std;</p> <p>struct cpp_obj<br /> {<br /> cpp_obj()<br /> {<br /> cout << "ctor/n";<br /> }</p> <p> cpp_obj(const cpp_obj& c)<br /> {<br /> cout << "copy ctor/n";<br /> }</p> <p> cpp_obj& operator=(const cpp_obj& rhs)<br /> {<br /> cout << "operator=/n";<br /> return *this;<br /> }</p> <p> ~cpp_obj()<br /> {<br /> cout << "dtor/n";<br /> }<br /> };</p> <p>cpp_obj return_test()<br /> {<br /> cpp_obj b;<br /> cout << "before return/n";<br /> return b;<br /> }</p> <p>int main()<br /> {<br /> cpp_obj n;<br /> n = return_test();<br /> return 0;<br /> }

结果:

ctor<br /> ctor<br /> before return<br /> copy ctor<br /> dtor<br /> operator=<br /> dtor<br /> dtor

#include <iostream><br /> using namespace std;</p> <p>struct cpp_obj<br /> {<br /> cpp_obj()<br /> {<br /> cout << "ctor/n";<br /> }</p> <p> cpp_obj(const cpp_obj& c)<br /> {<br /> cout << "copy ctor/n";<br /> }</p> <p> cpp_obj& operator=(const cpp_obj& rhs)<br /> {<br /> cout << "operator=/n";<br /> return *this;<br /> }</p> <p> ~cpp_obj()<br /> {<br /> cout << "dtor/n";<br /> }<br /> };</p> <p>cpp_obj return_test()<br /> {<br /> cout << "before return/n";<br /> return cpp_obj();<br /> }</p> <p>int main()<br /> {<br /> cpp_obj n;<br /> n = return_test();<br /> return 0;<br /> }

当将函数改成这样时, C++进行了返回值优化, 直接将对象构造在传出时使用的临时对象上, 结果如下:

ctor<br /> before return<br /> ctor<br /> operator=<br /> dtor<br /> dtor

堆

在windows中,利用VirtualAlloc取得的虚拟空间,类似于向操作系统"批发"空间.

而用HeapAlloc或者是malloc分配的空间实际上是堆空间的"零售".

这是因为如果内存管理由操作系统内核来进行,系统调用时的性能开销较大.而如果由程序自己管理时,有更高的效率.

堆分配算法有:

1. 空闲链表

2. 头/主体/空闲 位图

3. 对象池

在实际系统中, 是利用多种方法共同分配堆空间的.