首頁新隨筆新文章聯(lián)系聚合

2012年5月

>

日

一

二

三

四

五

六

29

30

1

2

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

1

2

3

4

5

6

7

8

9

常用鏈接

留言簿(40)

隨筆分類

隨筆檔案

友情鏈接

Kenny Kerr
The Old New Thing
代碼瘋子
酷殼
劉未鵬
阮一峰的博客
云風(fēng)

閱讀排行榜

評論排行榜

理解程序內(nèi)存

內(nèi)存對很多人來說感覺是個很熟悉的東西，因為我們在用VC調(diào)試程序時，很多時候都會察看內(nèi)存中變量的值。但是，很多時候我們的思維也就因此局限在有源碼的模塊，當(dāng)遇到一些跨模塊或是沒有源代碼的Bug，我們還是無從下手。因此，很有必要我們要對整個程序內(nèi)存有個比較全局性的認(rèn)識，這樣遇到任何問題，你都能從容面對。

我這里以32位的程序為例，我們知道32位程序總共有4G內(nèi)存空間，其中低2G是用戶地址空間，高2G是內(nèi)核地址空間，下面我們借助WinDbg工具來分析低2G用戶地址空間的內(nèi)存分布。

因為所有程序的內(nèi)存分布都大同小異，我這里用WinDbg分析任務(wù)管理器進程的內(nèi)存分布。打開任務(wù)管理器，然后用WinDbg Attach到taskmgr.exe進程。
輸入 !address -summary 察看內(nèi)存的使用情況, 結(jié)果如下:

從上圖可以看到，程序內(nèi)存根據(jù)使用情況大致分為:
Free - 沒有被使用的
Image - 加載到內(nèi)存的模塊(dll,exe等)
MappedFile - 內(nèi)存映射文件
unclassified - 實際上應(yīng)該是堆(heap)
Stack - 堆棧
TEB - 線程環(huán)境塊(thread environment block)
PEB - 進程環(huán)境塊(process environment block)

內(nèi)存根據(jù)使用類型又可以分為:
MEM_IMAGE - 加載到內(nèi)存的模塊(dll, exe等)
MEM_MAPPED - 內(nèi)存映射
MEM_PRIVATE - 私有(stack, heap, teb, peb等)

內(nèi)存根據(jù)使用狀態(tài)又可分為:
MEM_FREE - 空閑
MEM_COMMIT - 已經(jīng)提交
MEM_RESERVE - 保留

根據(jù)頁面屬性又可分為只讀，可讀寫，可執(zhí)行，寫時拷貝等。

實際上我們可以通過!address命令來查看更詳細(xì)的內(nèi)存使用情況:

可以看到上面列出了所有2G用戶空間的頁面使用情況(截圖只是開始的一部分)，我們可以根據(jù)某個地址來分析該地址屬于那塊內(nèi)存區(qū)域。當(dāng)然也可以通過命令來分析某個地址所屬的內(nèi)存區(qū)域, 比如輸入!address 7c554來分析地址7c554的情況，會顯示:

上面告訴我們7c554是某個堆棧(Stack)空間的地址.

對我們程序來說最常接觸的內(nèi)存應(yīng)該是: Module, Heap, Stack，接下來依次分析.

(1)Module
Module在上面被叫住Image，實際上就是被加載到內(nèi)存的Exe和DLL文件, 我們可以通過lm命令來查看所有的模塊分布情況:

上面可以看到每個模塊的內(nèi)存起始地址，那么各個模塊具體內(nèi)部又是如何分布，它和磁盤上的DLL(exe)文件又是什么關(guān)系呢?
實際上內(nèi)存的中DLL和磁盤上的DLL文件非常相似，系統(tǒng)在加載時只是根據(jù)頁面大?。ㄒ话?K）作了一些對齊，另外有些數(shù)據(jù)節(jié)如果運行時用不到(比如dll的重定位節(jié))就不會被加載.

我們在!address查看內(nèi)存空間時，可以看到taskmgr.exe模塊的內(nèi)存分布如下:

上面可以看到taskmgr.exe模塊在內(nèi)存中分為4塊，第一塊是只讀的, 實際上是PE文件頭；第二塊是可執(zhí)行的，實際上就是代碼節(jié)（.text）;第三塊是可讀寫的,實際上數(shù)據(jù)節(jié)(.Data)；最后一塊也是只讀的,實際上資源節(jié)(.rsrc)。
要詳細(xì)的了解taskmgr.exe模塊的文件頭屬性，可以通過!dh [module address]來查看, 輸入!dh 1000000,查看結(jié)果：

上面的運行結(jié)果可以驗證我們關(guān)于taskmgr.exe模塊內(nèi)部分布的猜想.

(2)Heap
Heap實際上就是堆，我們所有new(malloc)出來的內(nèi)存就是分布在堆里，每個程序會有若干個堆，有些是系統(tǒng)創(chuàng)建的，也有的是C/C++運行庫創(chuàng)建的,當(dāng)然我們自己也可以創(chuàng)建私有堆.我們可以通過!heap命令來查看堆的使用情況.

可以看到taskmgr.exe一共有9個堆。
!heap命令非常強大，通過開啟頁堆功能，可以很方便的讓我們跟蹤所有堆內(nèi)存的分配和使用情況，以后有機會再細(xì)說heap相關(guān)的, 具體可參考我的這篇《基于WinDbg的內(nèi)存泄漏分析》。

(3)Stack
Stack即我們通常所說的棧，我們的局部變量就是分配在棧上面。說到棧就要說到線程，我們的代碼都是通過線程跑起來的，每個線程包含2塊東西，一塊是線程內(nèi)核對象，還有一塊就是堆棧，線程運行過程也是堆棧不斷壓棧和出棧的過程。
我們可以通!address -f:stack 來查看堆棧的分布情況:

從上圖我們可以看到taskmgr.exe一共有4個線程, 對應(yīng)著4個堆棧, 同時也可以看到每個堆棧內(nèi)存的起始地址。

如果有興趣，我們也可以看下每個線程的堆棧情況, 輸入~* kp

可以看到相應(yīng)的4個線程堆棧，最后一個線程(debugBreakPoint)看起來有些奇怪，實際上它是調(diào)試器為調(diào)試而插入的，不是真正的屬于taskmgr.exe, 所以任務(wù)管理器實際上一共應(yīng)該有3個線程.

通過上面的介紹，相信大家對程序內(nèi)存有了比較全局的理解，以后大家分析問題，遇到一個地址，首先要判斷這個地址分布在哪里:
如果是Image上，那么是在哪個模塊中，這個地址是屬于該模塊的代碼段（.text）還是數(shù)據(jù)段(.data)，如果是代碼段，又是屬于哪個函數(shù)?
如果是Heap上，那么究竟是在哪個堆里面，是我們new出來的嗎，是在什么時候new的(new時堆棧狀況)？
如果是在Stack上，那么究竟是屬于哪個線程的堆棧，當(dāng)時線程的堆棧是怎么樣？

總之，程序在內(nèi)存中運行，只有你真正理解了內(nèi)存，你才能真正懂計算機。

posted on 2012-09-19 23:24 Richard Wei 閱讀(6905) 評論(6) 編輯收藏引用所屬分類: windbg

FeedBack:

# re: 理解程序內(nèi)存

2012-09-20 09:36 | zuhd

認(rèn)真的學(xué)習(xí)了一遍回復(fù) 更多評論

# re: 理解程序內(nèi)存

2012-09-20 17:08 | 春秋十二月

windows高級調(diào)試一書，應(yīng)該有講解吧回復(fù) 更多評論

# re: 理解程序內(nèi)存

2012-09-20 19:25 | Richard Wei

@春秋十二月
沒看過windows高級調(diào)試一書, 但是感覺比較經(jīng)典的書是<<軟件調(diào)試>> 回復(fù) 更多評論

# re: 理解程序內(nèi)存

2012-09-21 09:57 | hellmonky

很棒的文章，謝謝博主回復(fù) 更多評論

# re: 理解程序內(nèi)存

2013-07-24 11:43 | 艾絲凡

沒看懂，希望能夠解釋的更詳盡寫~ 回復(fù) 更多評論

# re: 理解程序內(nèi)存

2013-07-26 15:45 | Richard Wei

@艾絲凡
恩，文章主要針對C++開發(fā)人員的，沒有這方面經(jīng)驗是比較難看懂。回復(fù) 更多評論

刷新評論列表

只有注冊用戶登錄后才能發(fā)表評論。


相關(guān)文章: 線程堆棧是如何增長的記一個界面刷新相關(guān)的Bug 如何開發(fā)自己的調(diào)試器基于WinDbg的內(nèi)存泄漏分析理解程序內(nèi)存如何學(xué)習(xí)WindDbg 跨模塊傳參數(shù)的教訓(xùn) 用Windbg解決一個Bug Windbg實用手冊

網(wǎng)站導(dǎo)航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

青青草原综合久久大伊人导航_色综合久久天天综合_日日噜噜夜夜狠狠久久丁香五月_热久久这里只有精品

常用鏈接

留言簿(40)

隨筆分類

隨筆檔案

友情鏈接

最新評論

閱讀排行榜

評論排行榜