內存對很多人來說感覺是個很熟悉的東西,因為我們在用VC調試程序時,很多時候都會察看內存中變量的值。但是,很多時候我們的思維也就因此局限在有源碼的模塊,當遇到一些跨模塊或是沒有源代碼的Bug,我們還是無從下手。因此,很有必要我們要對整個程序內存有個比較全局性的認識,這樣遇到任何問題,你都能從容面對。
我這里以32位的程序為例,我們知道32位程序總共有4G內存空間,其中低2G是用戶地址空間,高2G是內核地址空間,下面我們借助WinDbg工具來分析低2G用戶地址空間的內存分布。
因為所有程序的內存分布都大同小異,我這里用WinDbg分析任務管理器進程的內存分布。打開任務管理器,然后用WinDbg Attach到taskmgr.exe進程。
輸入 !address -summary 察看內存的使用情況, 結果如下:
從上圖可以看到,程序內存根據使用情況大致分為:
Free - 沒有被使用的
Image - 加載到內存的模塊(dll,exe等)
MappedFile - 內存映射文件
unclassified - 實際上應該是堆(heap)
Stack - 堆棧
TEB - 線程環境塊(thread environment block)
PEB - 進程環境塊(process environment block)
內存根據使用類型又可以分為:
MEM_IMAGE - 加載到內存的模塊(dll, exe等)
MEM_MAPPED - 內存映射
MEM_PRIVATE - 私有(stack, heap, teb, peb等)
內存根據使用狀態又可分為:
MEM_FREE - 空閑
MEM_COMMIT - 已經提交
MEM_RESERVE - 保留
根據頁面屬性又可分為只讀,可讀寫,可執行,寫時拷貝等。
實際上我們可以通過!address命令來查看更詳細的內存使用情況:
可以看到上面列出了所有2G用戶空間的頁面使用情況(截圖只是開始的一部分),我們可以根據某個地址來分析該地址屬于那塊內存區域。當然也可以通過命令來分析某個地址所屬的內存區域, 比如輸入!address 7c554來分析地址7c554的情況,會顯示:
上面告訴我們7c554是某個堆棧(Stack)空間的地址.
對我們程序來說最常接觸的內存應該是: Module, Heap, Stack,接下來依次分析.
(1)Module
Module在上面被叫住Image,實際上就是被加載到內存的Exe和DLL文件, 我們可以通過lm命令來查看所有的模塊分布情況:
上面可以看到每個模塊的內存起始地址,那么各個模塊具體內部又是如何分布,它和磁盤上的DLL(exe)文件又是什么關系呢?
實際上內存的中DLL和磁盤上的DLL文件非常相似,系統在加載時只是根據頁面大小(一般4K)作了一些對齊,另外有些數據節如果運行時用不到(比如dll的重定位節)就不會被加載.
我們在!address查看內存空間時,可以看到taskmgr.exe模塊的內存分布如下:
上面可以看到taskmgr.exe模塊在內存中分為4塊,第一塊是只讀的, 實際上是PE文件頭;第二塊是可執行的,實際上就是代碼節(.text);第三塊是可讀寫的,實際上數據節(.Data); 最后一塊也是只讀的,實際上資源節(.rsrc)。
要詳細的了解taskmgr.exe模塊的文件頭屬性,可以通過!dh [module address]來查看, 輸入!dh 1000000,查看結果:
上面的運行結果可以驗證我們關于taskmgr.exe模塊內部分布的猜想.
(2)Heap
Heap實際上就是堆,我們所有new(malloc)出來的內存就是分布在堆里,每個程序會有若干個堆,有些是系統創建的,也有的是C/C++運行庫創建的,當然我們自己也可以創建私有堆.我們可以通過!heap命令來查看堆的使用情況.
可以看到taskmgr.exe一共有9個堆。
!heap命令非常強大,通過開啟頁堆功能,可以很方便的讓我們跟蹤所有堆內存的分配和使用情況,以后有機會再細說heap相關的.
(3)Stack
Stack即我們通常所說的棧,我們的局部變量就是分配在棧上面。說到棧就要說到線程,我們的代碼都是通過線程跑起來的,每個線程包含2塊東西,一塊是線程內核對象,還有一塊就是堆棧,線程運行過程也是堆棧不斷壓棧和出棧的過程。
我們可以通!address -f:stack 來查看堆棧的分布情況:
從上圖我們可以看到taskmgr.exe一共有4個線程, 對應著4個堆棧, 同時也可以看到每個堆棧內存的起始地址。
如果有興趣,我們也可以看下每個線程的堆棧情況, 輸入~* kp
可以看到相應的4個線程堆棧,最后一個線程(debugBreakPoint)看起來有些奇怪,實際上它是調試器為調試而插入的,不是真正的屬于taskmgr.exe, 所以任務管理器實際上一共應該有3個線程.
我這里以32位的程序為例,我們知道32位程序總共有4G內存空間,其中低2G是用戶地址空間,高2G是內核地址空間,下面我們借助WinDbg工具來分析低2G用戶地址空間的內存分布。
因為所有程序的內存分布都大同小異,我這里用WinDbg分析任務管理器進程的內存分布。打開任務管理器,然后用WinDbg Attach到taskmgr.exe進程。
輸入 !address -summary 察看內存的使用情況, 結果如下:
從上圖可以看到,程序內存根據使用情況大致分為:
Free - 沒有被使用的
Image - 加載到內存的模塊(dll,exe等)
MappedFile - 內存映射文件
unclassified - 實際上應該是堆(heap)
Stack - 堆棧
TEB - 線程環境塊(thread environment block)
PEB - 進程環境塊(process environment block)
內存根據使用類型又可以分為:
MEM_IMAGE - 加載到內存的模塊(dll, exe等)
MEM_MAPPED - 內存映射
MEM_PRIVATE - 私有(stack, heap, teb, peb等)
內存根據使用狀態又可分為:
MEM_FREE - 空閑
MEM_COMMIT - 已經提交
MEM_RESERVE - 保留
根據頁面屬性又可分為只讀,可讀寫,可執行,寫時拷貝等。
實際上我們可以通過!address命令來查看更詳細的內存使用情況:
可以看到上面列出了所有2G用戶空間的頁面使用情況(截圖只是開始的一部分),我們可以根據某個地址來分析該地址屬于那塊內存區域。當然也可以通過命令來分析某個地址所屬的內存區域, 比如輸入!address 7c554來分析地址7c554的情況,會顯示:
上面告訴我們7c554是某個堆棧(Stack)空間的地址.
對我們程序來說最常接觸的內存應該是: Module, Heap, Stack,接下來依次分析.
(1)Module
Module在上面被叫住Image,實際上就是被加載到內存的Exe和DLL文件, 我們可以通過lm命令來查看所有的模塊分布情況:
上面可以看到每個模塊的內存起始地址,那么各個模塊具體內部又是如何分布,它和磁盤上的DLL(exe)文件又是什么關系呢?
實際上內存的中DLL和磁盤上的DLL文件非常相似,系統在加載時只是根據頁面大小(一般4K)作了一些對齊,另外有些數據節如果運行時用不到(比如dll的重定位節)就不會被加載.
我們在!address查看內存空間時,可以看到taskmgr.exe模塊的內存分布如下:
上面可以看到taskmgr.exe模塊在內存中分為4塊,第一塊是只讀的, 實際上是PE文件頭;第二塊是可執行的,實際上就是代碼節(.text);第三塊是可讀寫的,實際上數據節(.Data); 最后一塊也是只讀的,實際上資源節(.rsrc)。
要詳細的了解taskmgr.exe模塊的文件頭屬性,可以通過!dh [module address]來查看, 輸入!dh 1000000,查看結果:
上面的運行結果可以驗證我們關于taskmgr.exe模塊內部分布的猜想.
(2)Heap
Heap實際上就是堆,我們所有new(malloc)出來的內存就是分布在堆里,每個程序會有若干個堆,有些是系統創建的,也有的是C/C++運行庫創建的,當然我們自己也可以創建私有堆.我們可以通過!heap命令來查看堆的使用情況.
可以看到taskmgr.exe一共有9個堆。
!heap命令非常強大,通過開啟頁堆功能,可以很方便的讓我們跟蹤所有堆內存的分配和使用情況,以后有機會再細說heap相關的.
(3)Stack
Stack即我們通常所說的棧,我們的局部變量就是分配在棧上面。說到棧就要說到線程,我們的代碼都是通過線程跑起來的,每個線程包含2塊東西,一塊是線程內核對象,還有一塊就是堆棧,線程運行過程也是堆棧不斷壓棧和出棧的過程。
我們可以通!address -f:stack 來查看堆棧的分布情況:
從上圖我們可以看到taskmgr.exe一共有4個線程, 對應著4個堆棧, 同時也可以看到每個堆棧內存的起始地址。
如果有興趣,我們也可以看下每個線程的堆棧情況, 輸入~* kp
可以看到相應的4個線程堆棧,最后一個線程(debugBreakPoint)看起來有些奇怪,實際上它是調試器為調試而插入的,不是真正的屬于taskmgr.exe, 所以任務管理器實際上一共應該有3個線程.
通過上面的介紹,相信大家對程序內存有了比較全局的理解,以后大家分析問題,遇到一個地址,首先要判斷這個地址分布在哪里:
如果是Image上,那么是在哪個模塊中,這個地址是屬于該模塊的代碼段(.text)還是數據段(.data),如果是代碼段,又是屬于哪個函數?
如果是Heap上,那么究竟是在哪個堆里面,是我們new出來的嗎,是在什么時候new的(new時堆棧狀況)?
如果是在Stack上,那么究竟是屬于哪個線程的堆棧,當時線程的堆棧是怎么樣?
總之,程序在內存中運行,只有你真正理解了內存,你才能真正懂計算機。
如果是Image上,那么是在哪個模塊中,這個地址是屬于該模塊的代碼段(.text)還是數據段(.data),如果是代碼段,又是屬于哪個函數?
如果是Heap上,那么究竟是在哪個堆里面,是我們new出來的嗎,是在什么時候new的(new時堆棧狀況)?
如果是在Stack上,那么究竟是屬于哪個線程的堆棧,當時線程的堆棧是怎么樣?
總之,程序在內存中運行,只有你真正理解了內存,你才能真正懂計算機。
浙公網安備 33010602011771號