Posted on 2012-12-27 12:15
鑫龍 閱讀(813)
評論(0) 編輯 收藏 引用 所屬分類:
linux編程
brk() , sbrk() 的聲明如下:
#include <unistd.h>
int brk(void *addr);
void *sbrk(intptr_t increment);
這兩個函數都用來改變 "program break" (程序間斷點)的位置,這個位置可參考下圖:
如 man 里說的:
引用
brk() and sbrk() change the location of the program break, which defines the end of the process's data segment (i.e., the program break is the first location after the end of the uninitialized data segment).
brk() 和 sbrk() 改變 "program brek" 的位置,這個位置定義了進程數據段的終止處(也就是說,program break 是在未初始化數據段終止處后的第一個位置)。如此翻譯過來,似乎會讓人認為這個 program break 是和上圖中矛盾的,上圖中的 program break 是在堆的增長方向的第一個位置處(堆和棧的增長方向是相對的),而按照說明手冊來理解,似乎是在 bss segment 結束那里(因為未初始化數據段一般認為是 bss segment)。
首先說明一點,一個程序一旦編譯好后,text segment ,data segment 和 bss segment 是確定下來的,這也可以通過 objdump 觀察到。下面通過一個程序來測試這個 program break 是不是在 bss segment 結束那里:
#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <sys/time.h>
#include <sys/resource.h>
int bssvar; //聲明一個味定義的變量,它會放在 bss segment 中
int main(void)
{
char *pmem;
long heap_gap_bss;
printf ("end of bss section:%p\n", (long)&bssvar + 4);
pmem = (char *)malloc(32); //從堆中分配一塊內存區,一般從堆的開始處獲取
if (pmem == NULL) {
perror("malloc");
exit (EXIT_FAILURE);
}
printf ("pmem:%p\n", pmem);
//計算堆的開始地址和 bss segment 結束處得空隙大小,注意每次加載程序時這個空隙都是變化的,但是在同一次加載中它不會改變
heap_gap_bss = (long)pmem - (long)&bssvar - 4;
printf ("1-gap between heap and bss:%lu\n", heap_gap_bss);
free (pmem); //釋放內存,歸還給堆
sbrk(32); //調整 program break 位置(假設現在不知道這個位置在堆頭還是堆尾)
pmem = (char *)malloc(32); //再一次獲取內存區
if (pmem == NULL) {
perror("malloc");
exit (EXIT_FAILURE);
}
printf ("pmem:%p\n", pmem); //檢查和第一次獲取的內存區的起始地址是否一樣
heap_gap_bss = (long)pmem - (long)&bssvar - 4; //計算調整 program break 后的空隙
printf ("2-gap between heap and bss:%lu\n", heap_gap_bss);
free(pmem); //釋放
return 0;
}
下面,我們分別運行兩次程序,并查看其輸出:引用
[beyes@localhost C]$ ./sbrk
end of bss section:0x8049938
pmem:0x82ec008
1-gap between heap and bss:2762448
pmem:0x82ec008
2-gap between heap and bss:2762448
[beyes@localhost C]$ ./sbrk
end of bss section:0x8049938
pmem:0x8dbc008
1-gap between heap and bss:14100176
pmem:0x8dbc008
2-gap between heap and bss:14100176
從上面的輸出中,可以發現幾點:1. bss 段一旦在在程序編譯好后,它的地址就已經規定下來。2. 一般及簡單的情況下,使用 malloc() 申請的內存,釋放后,仍然歸還回原處,再次申請同樣大小的內存區時,還是從第 1 次那里獲得。3. bss segment 結束處和堆的開始處的空隙大小,并不因為 sbrk() 的調整而改變,也就是說明了 program break 不是調整堆頭部。所以,man 手冊里所說的 “program break 是在未初始化數據段終止處后的第一個位置” ,不能將這個位置理解為堆頭部。這時,可以猜想應該是在堆尾部,也就是堆增長方向的最前方。下面用程序進行檢驗:當 sbrk() 中的參數為 0 時,我們可以找到 program break 的位置。那么根據這一點,檢查一下每次在程序加載時,系統給堆的分配是不是等同大小的:#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <sys/time.h>
#include <sys/resource.h>
int main(void)
{
void *tret;
char *pmem;
pmem = (char *)malloc(32);
if (pmem == NULL) {
perror("malloc");
exit (EXIT_FAILURE);
}
printf ("pmem:%p\n", pmem);
tret = sbrk(0);
if (tret != (void *)-1)
printf ("heap size on each load: %lu\n", (long)tret - (long)pmem);
return 0;
}
運行上面的程序 3 次:引用
[beyes@localhost C]$ ./sbrk
pmem:0x80c9008
heap size on each load: 135160
[beyes@localhost C]$ ./sbrk
pmem:0x9682008
heap size on each load: 135160
[beyes@localhost C]$ ./sbrk
pmem:0x9a7d008
heap size on each load: 135160
[beyes@localhost C]$ ./sbrk
pmem:0x8d92008
heap size on each load: 135160
[beyes@localhost C]$ vi sbrk.c
從輸出可以看到,雖然堆的頭部地址在每次程序加載后都不一樣,但是每次加載后,堆的大小默認分配是一致的。但是這不是不能改的,可以使用 sysctl 命令修改一下內核參數:引用
#sysctl -w kernel/randomize_va_space=0
這么做之后,再運行 3 次這個程序看看:引用
[beyes@localhost C]$ ./sbrk
pmem:0x804a008
heap size on each load: 135160
[beyes@localhost C]$ ./sbrk
pmem:0x804a008
heap size on each load: 135160
[beyes@localhost C]$ ./sbrk
pmem:0x804a008
heap size on each load: 135160
從輸出看到,每次加載后,堆頭部的其實地址都一樣了。但我們不需要這么做,每次堆都一樣,容易帶來緩沖區溢出攻擊(以前老的 linux 內核就是特定地址加載的),所以還是需要保持 randomize_va_space 這個內核變量值為 1 。下面就來驗證 sbrk() 改變的 program break 位置在堆的增長方向處:#include <stdio.h>
#include <unistd.h>
#include <stdlib.h>
#include <sys/time.h>
#include <sys/resource.h>
int main(void)
{
void *tret;
char *pmem;
int i;
long sbrkret;
pmem = (char *)malloc(32);
if (pmem == NULL) {
perror("malloc");
exit (EXIT_FAILURE);
}
printf ("pmem:%p\n", pmem);
for (i = 0; i < 65; i++) {
sbrk(1);
printf ("%d\n", sbrk(0) - (long)pmem - 0x20ff8); //0x20ff8 就是堆預分配的固定大小;改變后要用 sbrk(0) 再次獲取更新后的program break位置
}
free(pmem);
return 0;
}
運行輸出:引用
[beyes@localhost C]$ ./sbrk
pmem:0x804a008
1
2
3
4
5
... ...
61
62
63
64
從輸出看到,sbrk(1) 每次讓堆往棧的方向增加 1 個字節的大小空間。
而 brk() 這個函數的參數是一個地址,假如你已經知道了堆的起始地址,還有堆的大小,那么你就可以據此修改 brk() 中的地址參數已達到調整堆的目的。
實際上,在應用程序中,基本不直接使用這兩個函數,取而代之的是 malloc() 一類函數,這一類庫函數的執行效率會更高。 還需要注意一點,當使用 malloc() 分配過大的空間,比如超出 0x20ff8 這個常數(在我的系統(Fedora15)上是這樣,別的系統可能會有變)時,malloc 不再從堆中分配空間,而是使用 mmap() 這個系統調用從映射區尋找可用的內存空間。
brk/sbrk我覺得:一個程序可尋址的邏輯地址范圍是3G(本來是4G,有1G是內核空間不能用),但是這只是邏輯地址,并不可能全部給你用,所以就把預定約定可以給你用的那部分空間(code\data\bss\heap\stack)映射成了物理地址。但是預先約定的總有不夠用的時候,此時可以通過brk/sbrk來增加邏輯地址到物理地址映射的范圍,即擴大該程序堆空間的大小。