我們知道每個(gè)線程初始堆棧的默認(rèn)空間是1M, 我們可以在VC編譯的Linker項(xiàng)里進(jìn)行設(shè)置,該值會(huì)被編譯進(jìn)最終的PE可執(zhí)行文件中。線程堆棧內(nèi)存包括commit部分和reserver部分,我們上面說(shuō)的1M實(shí)際上指reserve部分,系統(tǒng)為了節(jié)約內(nèi)存,并不會(huì)把所有reserve的1M都提交物理內(nèi)存(commit), 所以初始只是提交部分內(nèi)存。
我們可以隨便找一個(gè)程序,通過(guò)WinDbg進(jìn)行驗(yàn)證:!address -f:stack
BaseAddr EndAddr+1 RgnSize Type State Protect Usage
---------------------------------------------------------------------------------------------
90000 184000 f4000 MEM_PRIVATE MEM_RESERVE Stack [~0; 16d8.13ec]
184000 185000 1000 MEM_PRIVATE MEM_COMMIT PAGE_READWRITE|PAGE_GUARD Stack [~0; 16d8.13ec]
185000 190000 b000 MEM_PRIVATE MEM_COMMIT PAGE_READWRITE Stack [~0; 16d8.13ec]
可以看到一個(gè)線程的堆棧分3部分:0xB000字節(jié)的MEM_COMMIT內(nèi)存,0x1000字節(jié)的MEM_COMMIT & PAGE_GUARD內(nèi)存,還有0xF4000字節(jié)的MEM_RESERVE內(nèi)存,總共是0xB000+0x1000+0xf4000 = 0x100000 = 1M
通過(guò)實(shí)驗(yàn),我們可以看到線程堆棧只提交(commit)了一部分內(nèi)存,大部分內(nèi)存是reserve的,現(xiàn)在的問(wèn)題是堆棧在增長(zhǎng)的過(guò)程中,它是如何提交(commit)內(nèi)存的? 我們知道,我們?cè)诤瘮?shù)中申明一個(gè)N字節(jié)大小的局部變量,它就是在線程的堆棧中申請(qǐng)的空間(實(shí)際上只需要ESP-N)就可以了。我們?nèi)绻^察過(guò)函數(shù)的反匯編代碼,會(huì)注意到它沒(méi)有commit內(nèi)存相關(guān)的代碼。 那么究竟最終它是如何commit那些reserve的內(nèi)存的呢?
曾經(jīng)面試被問(wèn)到這個(gè)問(wèn)題, 因?yàn)闆](méi)有看過(guò)相關(guān)的書(shū)籍, 沒(méi)回答出來(lái)...
最近思考這個(gè)問(wèn)題, 終于在張銀奎的<<軟件調(diào)試>>里找到了答案:
系統(tǒng)在提交棧空間時(shí)會(huì)故意多提交一個(gè)頁(yè)面,稱(chēng)這個(gè)頁(yè)面為棧保護(hù)頁(yè)面(Stack Guard Page), 這點(diǎn)我們可以在上面WinDbg的實(shí)驗(yàn)中驗(yàn)證。棧保護(hù)頁(yè)面具有特殊的PAGE_GUARD屬性,當(dāng)具有如此屬性的內(nèi)存頁(yè)被訪問(wèn)時(shí),CPU會(huì)產(chǎn)生頁(yè)錯(cuò)誤并開(kāi)始執(zhí)行系統(tǒng)的內(nèi)存管理函數(shù),當(dāng)內(nèi)存管理函數(shù)檢測(cè)到PAGE_GUARD屬性后,會(huì)清除對(duì)應(yīng)頁(yè)面的PAGE_GUARD屬性,然后調(diào)用一個(gè)名為MiCheckForUserStackOverflow的系統(tǒng)函數(shù),這個(gè)函數(shù)會(huì)從當(dāng)前線程的TEB中讀取用戶態(tài)棧的基本信息并檢查導(dǎo)致異常的地址,如果導(dǎo)致異常的被訪問(wèn)地址不屬于棧空間范圍,則返回STATUS_GUARD_PAGE_VIOLATION,否則MiCheckForUserStackOverflow函數(shù)會(huì)計(jì)算棧中是否還有足夠的剩余空間可以創(chuàng)建一個(gè)新的棧保護(hù)頁(yè)面。如果有,則調(diào)用ZwAllocateVirtualMemory從保留的空間中在提交一個(gè)具有PAGE_GUARD屬性的內(nèi)存頁(yè)。新的棧保護(hù)頁(yè)與原來(lái)的緊鄰,經(jīng)過(guò)這樣的操作后,棧的保護(hù)頁(yè)向低地址方向平移了一位,棧的可用空間增大了一個(gè)頁(yè)面的大小,這便是所謂的棧空間自動(dòng)增長(zhǎng)。
棧溢出是指當(dāng)提交的棧空間再被用完,棧保護(hù)頁(yè)又被訪問(wèn)時(shí),系統(tǒng)便會(huì)重復(fù)以上過(guò)程,直到當(dāng)棧保護(hù)頁(yè)距離保留空間的最后一個(gè)頁(yè)面只剩一個(gè)頁(yè)面的空間時(shí),MiCheckForUserStackOverflow函數(shù)會(huì)提交倒數(shù)第二個(gè)頁(yè)面,但不再設(shè)置PAGE_GUARD屬性,因?yàn)樽詈笠粋€(gè)頁(yè)面永遠(yuǎn)保留不可訪問(wèn),所以這時(shí)棧增長(zhǎng)到它的最大極限,為了讓?xiě)?yīng)用程序知道棧將用完,MiCheckForUserStackOverflow函數(shù)返回STATUS_STACK_OVERFLOW,觸發(fā)棧溢出異常。
最后感概技術(shù)深了可以再深,從C++編譯器到CRT運(yùn)行庫(kù), 再到操作系統(tǒng), 從用戶態(tài)到內(nèi)核和驅(qū)動(dòng), 最后到硬件, 原理背后還有原理, 真正能掌握所有細(xì)節(jié)的又有幾人呢?
posted on 2014-10-12 22:03
Richard Wei 閱讀(5454)
評(píng)論(3) 編輯 收藏 引用 所屬分類(lèi):
windbg