內(nèi)存對(duì)很多人來(lái)說(shuō)感覺(jué)是個(gè)很熟悉的東西,因?yàn)槲覀冊(cè)谟肰C調(diào)試程序時(shí),很多時(shí)候都會(huì)察看內(nèi)存中變量的值。但是,很多時(shí)候我們的思維也就因此局限在有源碼的模塊,當(dāng)遇到一些跨模塊或是沒(méi)有源代碼的Bug,我們還是無(wú)從下手。因此,很有必要我們要對(duì)整個(gè)程序內(nèi)存有個(gè)比較全局性的認(rèn)識(shí),這樣遇到任何問(wèn)題,你都能從容面對(duì)。我這里以32位的程序?yàn)槔覀冎?2位程序總共有4G內(nèi)存空間,其中低2G是用戶地址空間,高2G是內(nèi)核地址空間,下面我們借助WinDbg工具來(lái)分析低2G用戶地址空間的內(nèi)存分布。因?yàn)樗谐绦虻膬?nèi)存分布都大同小異,我這里用WinDbg分析任務(wù)管理器進(jìn)程的內(nèi)存分布。打開(kāi)任務(wù)管理器,然后用WinDbg Attach到taskmgr.exe進(jìn)程。輸入 !address -summary 察看內(nèi)存的使用情況, 結(jié)果如下:
從上圖可以看到,程序內(nèi)存根據(jù)使用情況大致分為:Free - 沒(méi)有被使用的Image - 加載到內(nèi)存的模塊(dll,exe等)MappedFile - 內(nèi)存映射文件unclassified - 實(shí)際上應(yīng)該是堆(heap)Stack - 堆棧TEB - 線程環(huán)境塊(thread environment block)PEB - 進(jìn)程環(huán)境塊(process environment block)內(nèi)存根據(jù)使用類型又可以分為:MEM_IMAGE - 加載到內(nèi)存的模塊(dll, exe等)MEM_MAPPED - 內(nèi)存映射MEM_PRIVATE - 私有(stack, heap, teb, peb等)內(nèi)存根據(jù)使用狀態(tài)又可分為:MEM_FREE - 空閑MEM_COMMIT - 已經(jīng)提交MEM_RESERVE - 保留根據(jù)頁(yè)面屬性又可分為只讀,可讀寫,可執(zhí)行,寫時(shí)拷貝等。實(shí)際上我們可以通過(guò)!address命令來(lái)查看更詳細(xì)的內(nèi)存使用情況:
可以看到上面列出了所有2G用戶空間的頁(yè)面使用情況(截圖只是開(kāi)始的一部分),我們可以根據(jù)某個(gè)地址來(lái)分析該地址屬于那塊內(nèi)存區(qū)域。當(dāng)然也可以通過(guò)命令來(lái)分析某個(gè)地址所屬的內(nèi)存區(qū)域, 比如輸入!address 7c554來(lái)分析地址7c554的情況,會(huì)顯示:
上面告訴我們7c554是某個(gè)堆棧(Stack)空間的地址.對(duì)我們程序來(lái)說(shuō)最常接觸的內(nèi)存應(yīng)該是: Module, Heap, Stack,接下來(lái)依次分析.(1)ModuleModule在上面被叫住Image,實(shí)際上就是被加載到內(nèi)存的Exe和DLL文件, 我們可以通過(guò)lm命令來(lái)查看所有的模塊分布情況:
上面可以看到每個(gè)模塊的內(nèi)存起始地址,那么各個(gè)模塊具體內(nèi)部又是如何分布,它和磁盤上的DLL(exe)文件又是什么關(guān)系呢?實(shí)際上內(nèi)存的中DLL和磁盤上的DLL文件非常相似,系統(tǒng)在加載時(shí)只是根據(jù)頁(yè)面大小(一般4K)作了一些對(duì)齊,另外有些數(shù)據(jù)節(jié)如果運(yùn)行時(shí)用不到(比如dll的重定位節(jié))就不會(huì)被加載.我們?cè)?address查看內(nèi)存空間時(shí),可以看到taskmgr.exe模塊的內(nèi)存分布如下:
上面可以看到taskmgr.exe模塊在內(nèi)存中分為4塊,第一塊是只讀的, 實(shí)際上是PE文件頭;第二塊是可執(zhí)行的,實(shí)際上就是代碼節(jié)(.text);第三塊是可讀寫的,實(shí)際上數(shù)據(jù)節(jié)(.Data); 最后一塊也是只讀的,實(shí)際上資源節(jié)(.rsrc)。要詳細(xì)的了解taskmgr.exe模塊的文件頭屬性,可以通過(guò)!dh [module address]來(lái)查看, 輸入!dh 1000000,查看結(jié)果:
上面的運(yùn)行結(jié)果可以驗(yàn)證我們關(guān)于taskmgr.exe模塊內(nèi)部分布的猜想.(2)HeapHeap實(shí)際上就是堆,我們所有new(malloc)出來(lái)的內(nèi)存就是分布在堆里,每個(gè)程序會(huì)有若干個(gè)堆,有些是系統(tǒng)創(chuàng)建的,也有的是C/C++運(yùn)行庫(kù)創(chuàng)建的,當(dāng)然我們自己也可以創(chuàng)建私有堆.我們可以通過(guò)!heap命令來(lái)查看堆的使用情況.
可以看到taskmgr.exe一共有9個(gè)堆。!heap命令非常強(qiáng)大,通過(guò)開(kāi)啟頁(yè)堆功能,可以很方便的讓我們跟蹤所有堆內(nèi)存的分配和使用情況,以后有機(jī)會(huì)再細(xì)說(shuō)heap相關(guān)的, 具體可參考我的這篇《基于WinDbg的內(nèi)存泄漏分析》。(3)StackStack即我們通常所說(shuō)的棧,我們的局部變量就是分配在棧上面。說(shuō)到棧就要說(shuō)到線程,我們的代碼都是通過(guò)線程跑起來(lái)的,每個(gè)線程包含2塊東西,一塊是線程內(nèi)核對(duì)象,還有一塊就是堆棧,線程運(yùn)行過(guò)程也是堆棧不斷壓棧和出棧的過(guò)程。我們可以通!address -f:stack 來(lái)查看堆棧的分布情況:
從上圖我們可以看到taskmgr.exe一共有4個(gè)線程, 對(duì)應(yīng)著4個(gè)堆棧, 同時(shí)也可以看到每個(gè)堆棧內(nèi)存的起始地址。如果有興趣,我們也可以看下每個(gè)線程的堆棧情況, 輸入~* kp
可以看到相應(yīng)的4個(gè)線程堆棧,最后一個(gè)線程(debugBreakPoint)看起來(lái)有些奇怪,實(shí)際上它是調(diào)試器為調(diào)試而插入的,不是真正的屬于taskmgr.exe, 所以任務(wù)管理器實(shí)際上一共應(yīng)該有3個(gè)線程.通過(guò)上面的介紹,相信大家對(duì)程序內(nèi)存有了比較全局的理解,以后大家分析問(wèn)題,遇到一個(gè)地址,首先要判斷這個(gè)地址分布在哪里:如果是Image上,那么是在哪個(gè)模塊中,這個(gè)地址是屬于該模塊的代碼段(.text)還是數(shù)據(jù)段(.data),如果是代碼段,又是屬于哪個(gè)函數(shù)?如果是Heap上,那么究竟是在哪個(gè)堆里面,是我們new出來(lái)的嗎,是在什么時(shí)候new的(new時(shí)堆棧狀況)?如果是在Stack上,那么究竟是屬于哪個(gè)線程的堆棧,當(dāng)時(shí)線程的堆棧是怎么樣?總之,程序在內(nèi)存中運(yùn)行,只有你真正理解了內(nèi)存,你才能真正懂計(jì)算機(jī)。
posted on 2012-09-19 23:24
Richard Wei 閱讀(6905)
評(píng)論(6) 編輯 收藏 引用 所屬分類:
windbg