基礎(chǔ)概念面向?qū)ο蠖褩^(qū)別

1、棧區(qū)（stack）—2、堆區(qū)（heap）—可能由 回。注意它與數(shù)據(jù)結(jié)構(gòu)中的堆是兩回事分配方式倒是類似于化的靜態(tài)變量在相鄰的另一塊區(qū)域。-程序結(jié)束后有系統(tǒng)釋放4、文字常量區(qū)—inta=0;全局初始化區(qū)char*p1全局未初始化區(qū){intb;chars[]="abc";char*p2;char*p3123456123456\0在常量區(qū)，p3staticintc=0（靜態(tài)）p1=(char*)malloc(10);p2=(char");所}2.1int}2.1intb;系統(tǒng)自動(dòng)在棧中為b開(kāi)辟空間需要程序員自己申請(qǐng)，并指明大小，在cmalloc函數(shù)如p1=(char*)malloc(10);p2=(char但是注意p1、p2多數(shù)系統(tǒng)，會(huì)在這塊內(nèi)存空間中的首地址處記錄本次分配的大小，這樣，代碼eee語(yǔ)句才能正確的釋放本內(nèi)存空間。另外，由于找到的堆結(jié)點(diǎn)的大小2.3WINDOWS2M（1M，總之是一個(gè)編譯時(shí)就確定WINDOWS2M（1M，總之是一個(gè)編譯時(shí)就確定2.4另外，在WINDOWS下，最好的方式是用VirtualAlloc2.5（函數(shù)調(diào)用語(yǔ)句的下一條可執(zhí)行語(yǔ)句）的地址，然后是函數(shù)的各個(gè)參數(shù)，在大多數(shù)的C編譯器2.6chars1[]="aaaaaaaaaaaaaaa";char*s2="bbbbbbbbbbbbbbbbb";aaaaaaaaaaabbbbbbbbbbbbbbbbbbbbbbvoidmain(){chara=charc[]="1234567890";char*p="1234567890";a=c[1];a=}10:a=004010678A4DF1movcl,byteptr[ebp-0Fh]0040106A884DFCmovbyteptr[ebp-4],cl11:a=p[1];0040106D8B55ECmovedx,dwordptr[ebp-14h]004010708A4201moval,byteptr[edx+1]004010738845FCmovbyteptr[ebp-第一種在讀取時(shí)直接就把字符串中的元素讀到寄存器cl中，而第二種則要先把指針值讀到edx中，在根據(jù)edx讀取字符，顯然慢了。2.7還有就是數(shù)據(jù)結(jié)構(gòu)方面的堆和棧，這些都是不同的概念。這里的堆實(shí)際上指的就是（的）還有就是數(shù)據(jù)結(jié)構(gòu)方面的堆和棧，這些都是不同的概念。這里的堆實(shí)際上指的就是（的）1轉(zhuǎn)載的另外一篇：（）轉(zhuǎn)載的另外一篇：（）在具體的C/C++編程框架中，這兩個(gè)概念并不是并行的。對(duì)底C/C++函數(shù)庫(kù)提供的。的機(jī)器指令完成數(shù)據(jù)入棧出棧的操作。就是直接利用棧完成的。機(jī)器的call指令里隱含了把返回地址推失效的原因系統(tǒng))支持的，而是由函數(shù)庫(kù)提供的?；镜膍alloc/realloc/free存時(shí)，這套函數(shù)首先試圖從內(nèi)部堆中尋找存時(shí)，這套函數(shù)首先試圖從內(nèi)部堆中尋找可用的內(nèi)存空間，如果段的內(nèi)存大小，新分配得到的空首先被組織進(jìn)內(nèi)部堆中去，然后內(nèi)存空間被返回內(nèi)部堆結(jié)構(gòu)中，可能會(huì)被適當(dāng)?shù)奶幚?比如和其他空閑空間合并成更大的空閑空間)，以更適合下一次內(nèi)存分配申用這套機(jī)制有如下若干原因：.量的小內(nèi)存分類來(lái)說(shuō)會(huì)造成浪費(fèi)。.態(tài)和核心態(tài)的轉(zhuǎn)換。3.沒(méi)有管理的內(nèi)存分配在大量復(fù)雜內(nèi)存的分配釋放操作下很容易造成內(nèi)存碎片。堆和棧的對(duì)從以上知識(shí)可知，是效率有一定降低。數(shù)據(jù)結(jié)構(gòu)，不一定唯一。不同堆分配的內(nèi)存無(wú)法互相操作。然程序結(jié)束時(shí)所有的數(shù)據(jù)空間都會(huì)被釋放回的申請(qǐng)內(nèi)存/釋放內(nèi)存匹配是良好程序的基本要素。會(huì)對(duì)此進(jìn)行深入的討論。下文中的C語(yǔ)言代碼如沒(méi)有特別聲明，默認(rèn)都使用會(huì)對(duì)此進(jìn)行深入的討論。下文中的C語(yǔ)言代碼如沒(méi)有特別聲明，默認(rèn)都使用C語(yǔ)言的變量是如何在內(nèi)存分部的。C#includeintg1=0,g2=0,int{staticints1=0,s2=0,s3=0;intv1=0,v2=0,v3=0;printf("0x%08x\n",&v1打印各本地變量的內(nèi)存地址printf("0x%08x\n",&g1打印各全局變量的內(nèi)存地址printf("0x%08x\n",&s1打印各靜態(tài)變量的內(nèi)存地址return}輸出的結(jié)果就是變量的內(nèi)存地址。其中v1,v2,v3是本地變量，g1,g2,g3是全局變量，s1,s2,s3是靜態(tài)變量。你可以看到這些變量在內(nèi)存是連續(xù)分布的，型的內(nèi)存區(qū)域中的結(jié)果。對(duì)于一個(gè)進(jìn)程的內(nèi)存空間而言，可以在邏輯上分成3│……│……│……│……衡。windowsAPIANSIC stdcall”“cdecl”#includevoid stdcallfunc(intparam1,intparam2,int{intvar1=param1;intvar2=param2;int}int{return0;int{return0;}│……│var1│var2│var3│RET cdecl”函數(shù)返回后的棧頂│parameter1│parameter2│parameter3 ││parameter3 │……├———————┤<—棧底（EBP）入堆棧，先aram，再壓aram，最后壓aram；然后壓入函數(shù)的返回地T，接著跳轉(zhuǎn)到函數(shù)地址接著執(zhí)行（這里要補(bǔ)充一點(diǎn)，介紹UIX下的緩沖溢出原理的文章中都提到在壓入T后，繼續(xù)壓入當(dāng)BP，然后用當(dāng)前SP替BP。然而，有一篇介os下函數(shù)調(diào)用的文章中說(shuō)，在os下的函數(shù)調(diào)用也有這一步驟，但根據(jù)我的實(shí)際調(diào)試，并未發(fā)現(xiàn)這一步，這還可以從aram3和var1之間只有4字節(jié)的間隙這點(diǎn)看出來(lái)）；第三步，將棧SP減去一個(gè)數(shù)，為本地變量分配內(nèi)存空間，上例中是減去2字節(jié)SPSP，每個(gè)t變量占用4個(gè)字；接著就初始化本地變量的內(nèi)存空間。由 ca調(diào)用由被調(diào)函數(shù)調(diào)整堆棧，所以在函數(shù)返回前要恢復(fù)堆棧，先回收本地變量占用的內(nèi)SPSP，然后取出返回地址，入IP寄存器，回收先前壓入?yún)?shù)占用的內(nèi)存func;83EC0Csubesp0000000C:004010038B442410moveax,dwordptr:004010078B4C2414movecx,dwordptr:0040100B8B542418movedx,dwordptr89442400movdwordptr[esp],8D442410leaeax,dwordptr[esp+10]894C2404movdwordptr[esp+04],ecx:0040107583C43Caddesp0000003C恢復(fù)堆棧，回收本地變量的內(nèi):00401078C3ret000C :0040107583C43Caddesp0000003C恢復(fù)堆棧，回收本地變量的內(nèi):00401078C3ret000C cdecl”的話，這里是“ret”，堆棧將由調(diào)用者恢;:004010806A03:004010826A026A01E875FFFFFFcall00401000//func cdecl”的話，將在這里恢復(fù)堆棧，“addesp,#include#includevoid stdcall{charlpBuff[8]="\0";}int{return0;}內(nèi)存。該內(nèi)存不能為內(nèi)存。該內(nèi)存不能為"read"?！?，“非法操作”嘍！"41"就是"A"的16進(jìn)制的ASCII碼了，那明顯就是strcat這句出的問(wèn)題了。"lpBuff"8字意義數(shù)據(jù)以達(dá)到溢出的目的，接著是一個(gè)覆蓋RET的數(shù)據(jù)，緊接著是一段shellcodeRET地址能指向這段shellcode的第一個(gè)指令，那函數(shù)返回時(shí)就能執(zhí)行shellcode了。但是軟件的不同版本和不同的運(yùn)行環(huán)境都可能影響這段shellcodeRET是十分困難的。RETshellcodeNOP指令，使得exploit│……├———————┤<—exploit│buffer│<—│RET│<—shellcodeNOP│NOP│NOP││shellcode│├———————┤│├———————┤<—exploit│……朋友都知道，C++可以使用new關(guān)鍵字來(lái)動(dòng)態(tài)分配內(nèi)存。來(lái)看下面的C++代#include#include<iostream.h>#includevoid{char*buffer=newchar[128];charbufflocal[128];staticcharbuffstatic[128];printf("0x%08x\n",buffer);//打印堆中變量的內(nèi)存地址printf("0x%08x\n",bufflocal);//打印本地變量的內(nèi)存地址printf("0x%08x\n",buffstatic打印靜態(tài)變量的內(nèi)存地址}void{}可以發(fā)現(xiàn)用new關(guān)鍵字分配的內(nèi)存即不在棧中，也不在靜態(tài)數(shù)據(jù)區(qū)。VC編譯可以發(fā)現(xiàn)用new關(guān)鍵字分配的內(nèi)存即不在棧中，也不在靜態(tài)數(shù)據(jù)區(qū)。VC編譯器是通過(guò)windows下的“堆(heap)”來(lái)實(shí)現(xiàn)new關(guān)鍵字的內(nèi)存動(dòng)態(tài)分配。在HeapAlloc在堆中申請(qǐng)內(nèi)存空間HeapCreate創(chuàng)建一個(gè)新的堆對(duì)象HeapDestroy銷毀一個(gè)堆對(duì)象HeapFree釋放申請(qǐng)的內(nèi)存HeapWalk枚舉堆對(duì)象的所有內(nèi)存塊GetProcessHeap取得進(jìn)程的默認(rèn)堆對(duì)象GetProcessHeaps取得進(jìn)程所有的堆對(duì)象1M。堆對(duì)象由系統(tǒng)進(jìn)行管理，它在內(nèi)存中以鏈?zhǔn)浇Y(jié)構(gòu)存在。通過(guò)下面HANDLEcharhHeap是堆對(duì)象的句柄，buffhHeap#pragmacomment(linker,"/entry:main")//#include_CRTIMPint(cdecl*printf)(constchar*,...);//STLmsvcrt.dll由函數(shù)定義可見(jiàn)，printf的參數(shù)個(gè)數(shù)是可變的，函數(shù)內(nèi)部無(wú)法預(yù)先知道調(diào)用者便使用 cdecl調(diào)用規(guī)則。BTW，Windows系統(tǒng)的API函數(shù)基本上 stdcall調(diào)用形式，只有一個(gè)API例外，那就是wsprintf，它使 printfvoid{HANDLEhHeap=GetProcessHeap();char*buff=HeapAlloc(hHeap,0,0x10);char*buff2=HeapAlloc(hHeap,0,0x10);HMODULEhMsvcrt=LoadLibrary("msvcrt.dll");printf=(void*)GetProcAddress(hMsvcrt,"printf");}hHeap的值怎么和那個(gè)buff的值那么接近呢？其實(shí)hHeap這個(gè)句柄就是指向HEAP首部的地址。在進(jìn)程的用戶區(qū)存著一個(gè)叫PEB(hHeap的值怎么和那個(gè)buff的值那么接近呢？其實(shí)hHeap這個(gè)句柄就是指向HEAP首部的地址。在進(jìn)程的用戶區(qū)存著一個(gè)叫PEB(進(jìn)程環(huán)境塊)的結(jié)構(gòu)，這個(gè)結(jié)構(gòu)中存放著一些有關(guān)進(jìn)程的重要信息，其中在PEB0x18處ProcessHeap就是進(jìn)程默認(rèn)堆的地址，而偏移0x90處存放了指向進(jìn)程所有堆的地址列表的指針。windows有很多API都使用進(jìn)程的默認(rèn)堆來(lái)存放動(dòng)態(tài)數(shù)據(jù)，如windows2000下的所有ANSI版本的函數(shù)都是在默認(rèn)堆中申請(qǐng)內(nèi)存來(lái)轉(zhuǎn)換ANSI字符串到Unicode字符串的。對(duì)一個(gè)堆的訪問(wèn)是順序進(jìn)是該數(shù)據(jù)長(zhǎng)度的整數(shù)倍，DWORD42除盡，x86CPU能直接訪問(wèn)對(duì)齊的數(shù)據(jù)，當(dāng)他試lcc#includeint{inta;charb;intc;return0;}變量在內(nèi)存中的順序：b(1變量在內(nèi)存中的順序：b(1字節(jié))-a(4字節(jié))-c(4字節(jié))char4刪除操作被稱為入棧和出棧。有一組CPU指令可以實(shí)現(xiàn)對(duì)進(jìn)程的內(nèi)存實(shí)現(xiàn)堆棧訪問(wèn)。其中，POP指令實(shí)現(xiàn)出棧操作，PUSH指令實(shí)現(xiàn)入棧操作。CPU的ESP寄存器存放當(dāng)前線程的棧頂指針，EBP寄存器中保存當(dāng)前線程的棧底指針。CPUEIP寄存器存放下一個(gè)CPU指令存放的內(nèi)存地址，當(dāng)CPU執(zhí)行完當(dāng)前的指令后，從EIP參考：《WindowsHEAP溢出及其利用》by參考：《WindowsHEAP溢出及其利用》by《windows核心編程》by:Jeffrey（9頁(yè)您是否是動(dòng)態(tài)分配的++對(duì)象忠實(shí)且幸運(yùn)的用戶？您是否在模塊間的往返自動(dòng)化我的。那只是部分正確。更深入理解堆及其用法、以及會(huì)GlobalAlloc/GlobalFree：MicrosoftWin32GlobalAlloc/GlobalFree：MicrosoftWin32LocalAlloc/LocalFree：Win32堆調(diào)用（MicrosoftWindowsNTCOMIMalloc分配程序（CoTaskMemAlloc/C/C++(CRTmallocfree()newdeleteMicrosoftVisualBasicJava等語(yǔ)言也提供了新的操作符并使用垃圾收集來(lái)代替堆。CRT創(chuàng)建自己的私有堆，駐留Win32WindowsNT中，Win32WindowsNTAPINTDLLWindowsNTWindowsNT內(nèi)的核心堆分配程序。它由12881,024WindowsNTWindowsNT內(nèi)的核心堆分配程序。它由12881,024系統(tǒng)創(chuàng)建一個(gè)默認(rèn)堆，叫做“進(jìn)程堆”。如果沒(méi)有其他堆可使用，則塊的分配使用“進(jìn)程堆”。語(yǔ)言運(yùn)行時(shí)也能在進(jìn)程內(nèi)創(chuàng)建單獨(dú)的堆。（例如，C運(yùn)行時(shí)創(chuàng)建(DLL之一可以創(chuàng)建和使用單獨(dú)的堆。Win32API用私有堆。有關(guān)堆函數(shù)（英文）MSDNDLLKnowledgeBaseQ10758，“calloc()malloc()管理內(nèi)存”（索文章編號(hào)）,“DynamicStorageAllocation:ASurveyandCriticalReview”，作者PaulR.Wilson、MarkS.Johnstone、MichaelNeelyDavid“DynamicStorageAllocation:ASurveyandCriticalReview”，作者PaulR.Wilson、MarkS.Johnstone、MichaelNeelyDavid“InternationalWorkshoponMemoryManagement”,作者Kinross,Scotland,UK,1995年9月(WindowsNT的實(shí)現(xiàn)（WindowsNT4.0和更新版本）127個(gè)81,0248字節(jié)對(duì)齊塊空閑列表和一個(gè)“大塊”列表?！按髩K”“ServerPerformanceandScalabilityKillers”項(xiàng)GeorgeReilly“MSDNOnlineWebWorkshop”上（站點(diǎn)：進(jìn)行之前必須等待另一個(gè)線程完成時(shí)就發(fā)生競(jìng)爭(zhēng)。競(jìng)爭(zhēng)總是導(dǎo)致麻煩；這也是LL以多線程方式運(yùn)行（或運(yùn)行于多處理器系統(tǒng)上）時(shí)將導(dǎo)致速度減慢。單一鎖定的使——意味著使用堆的所有操作是序列化的。當(dāng)?shù)却i定時(shí)序進(jìn)行之前必須等待另一個(gè)線程完成時(shí)就發(fā)生競(jìng)爭(zhēng)。競(jìng)爭(zhēng)總是導(dǎo)致麻煩；這也是LL以多線程方式運(yùn)行（或運(yùn)行于多處理器系統(tǒng)上）時(shí)將導(dǎo)致速度減慢。單一鎖定的使——意味著使用堆的所有操作是序列化的。當(dāng)?shù)却i定時(shí)序MicrosoftVisualC++(R在所有的服務(wù)器系統(tǒng)中（如IIS、MSProxy、DatabaseStacks、網(wǎng)絡(luò)服務(wù)Exchange和其他）,堆鎖定實(shí)在是個(gè)大瓶頸。處理器數(shù)越多，競(jìng)爭(zhēng)就越structstructObjectA//objectA}structObjectB//objectB}//objectAstructObjectBstructObjectA*//objectB}structObjectBstructObjectA//objectB}//–objectAstructObjectX//–objectAstructObjectXstructObjectAobjA;struct }AB將被分別分配和釋放。這會(huì)增加額外開(kāi)銷—內(nèi)聯(lián)緩沖區(qū)能夠滿足百分之八十的需要（aka80-20規(guī)則）{名稱，值}L1-—_amblksiz。C(CRT有它的自定義前端分配程序，該分配程序從后端（Win32堆）_amblksiz_amblksiz設(shè)置為較高的值能潛在地減少對(duì)后端的調(diào)用次數(shù)。這只對(duì)廣泛使用CRT的程序適WindowsNT5由于幾個(gè)同事的努力和辛勤工作，1998MicrosoftWindows(R)2000致高競(jìng)爭(zhēng)和低性能。Windows2000中，鎖內(nèi)代碼的臨界區(qū)將競(jìng)爭(zhēng)的可能性減到最小,“Lookaside”81,024字節(jié)（8-字節(jié)遞增）lookaside列表來(lái)訪問(wèn)這些快速高速緩存空閑列表。這些列表不要求鎖定，而是使用64位的互鎖操作，因此提高了性能。WindowsNT51,024(1KB)WindowsNT51,024(1KB)的塊（來(lái)自前端分配程序的塊）是最佳的。GlobalAlloc()LocalAlloc建立在同一Heap(R)APIVirtualAllocVirtualFreeWindows2000beta2WindowsNT4.0SP4中使用。改進(jìn)后，堆鎖的競(jìng)爭(zhēng)率顯著降低。這使所有Win32堆的直接用戶受益。CRT堆建立于Win32堆的頂部，但它使用自己的小塊堆，因而不能WindowsNT改進(jìn)中受益。（VisualC6.0序。另外，分配高速緩存允許收集統(tǒng)計(jì)信息,的行為很相似。主要的差別是它在進(jìn)程堆的頂部為分配的對(duì)象提供高速緩存。高速緩存設(shè)計(jì)成一套固定大小（如32字節(jié)、64字節(jié)、128字節(jié)等）。這一堆堆Win32（WindowsNT4.0和更新版本）中可以得到。最初由JVert實(shí)現(xiàn)，此處堆Win32堆程序包的頂部。MPWin32堆，并試圖將分提供語(yǔ)義信息和缺乏統(tǒng)計(jì)功能。通常將MP堆作為SDK庫(kù)來(lái)使用。如果使用SDKDLLSDK1,000“AutomationB