数据区代码区堆栈区操作系统堆栈.doc

定义结构体指针时，有没有同时分配存储空间啊？看到结构体的数组定义好以后就直接可以用了。但是结构体指针在链表中还要malloc（）申请空间。这是为什么啊？ 定义结构体指针时并没有分配存储空间，所以要用malloc（）申请空间。它都不知道要分配多大空间啊下面仅仅是定义一个类型，不会产生变量，所以不存在分配空间的问题structdatainti;intj;voidmain(void)structdatadat1;/定义一个structdata类型的变量，和inti同理。printf(%dn,sizeof(structdata);/8个字节printf(%dn,sizeof(dat1);/8个字节structdata*pdat1;/定义一个structdata类型的指针，和int*pi同理。printf(%dn,sizeof(pdat1);/4个字节,就是一个指针的空间，pdat1并没有结构体变量的信息。pdat1=(structdata*)malloc(sizeof(structdata);/申请一个空间，把该空间地址给pdat1.printf(%dn,sizeof(*pdat1);/8个字节structdatadats12;printf(%dn,sizeof(dats1);/16个字节，两个data变量，不是data指针。dats10.i=20;/可以直接使用数组里面的结构体变量dats10.j=30;structdata*dats22;/指针数组，包含两个指针，而不是结构体变量printf(%dn,sizeof(dats2);/8个字节，两个指针的大小dats20-i=20;/错误！还没有给dats20指针分配空间dats20-i=20;/错误！还没有给dats20指针分配空间dats20=(structdata*)malloc(sizeof(structdata);/分配空间dats20-i=20;/okdats20-i=20;/ok声明任何对象并定义变量，除了静态成员在一个特别的区，其他的在栈上开辟空间，不用了自动清理，用malloc,realloc,calloc,newnew开辟空间是动态分配空间，在堆上进行。值得说明的是，栈空间很小(相对于堆而言)，很昂贵，但是通常执行更快。在Windows下，一个进程的栈在最高端，向下增长，堆在栈下面，向栈的方向增长，下面是数据和代码。Linux下内存布局由开发工具和操作系统合作负责，这四个部分相对位置布局不确定。windows默认栈大小是1M栈和堆是共享一内存的，可以调节它们的比例。来设置栈和堆的大小。不过一般情况下，还是用不着的。inta110;int*a10int*a2;很容易知道，a1是包含10个int的数组，大小也就是10*sizeof（int)。我们可以直接使用a1不要在进行什么初始化或者分配空间的游戏，因为数组a1里面本身存放的就是int变量本身了。int *a10 是个指针数组，即a是int*类型 有10个；即里面存放指向int型的指针。然后a2，是一个int*的东西，也就是整型指针，a2不能存放int变量，这样类型不匹配，它只能存放地址，一个int变量的地址。如果要使用a2，必须首先对a2初始化，即将它指向一个int变量的地址，如：a2=(int*)malloc(sizeof(int);或者inti=10;a2=&i;所以，malloc函数的作用是首先声明一个变量，然后返回该变量的地址。所以：a2=(int*)malloc(sizeof(int)的含义就是把该变量的地址赋值给a2，和a=&i本质上并没有什么不同，只是一个变量是栈上，一个是堆上，都是一个地址赋值。Linux下软件安装方法总结：一、rpm包安装方式步骤：1、找到相应的软件包，比如soft.version.rpm，下载到本机某个目录；2、打开一个终端，su -成root用户；3、cd soft.version.rpm所在的目录；4、输入rpm -ivh soft.version.rpm二、deb包安装方式步骤：1、找到相应的软件包，比如soft.version.deb，下载到本机某个目录；2、打开一个终端，su -成root用户；3、cd soft.version.deb所在的目录；4、输入dpkg -i soft.version.deb三、tar.gz源代码包安装方式：1、找到相应的软件包，比如soft.tar.gz，下载到本机某个目录；2、打开一个终端，su -成root用户；3、cd soft.tar.gz所在的目录；4、tar -xzvf soft.tar.gz /一般会生成一个soft目录5、cd soft6、./configure7、make8、make install四、tar.bz2源代码包安装方式：1、找到相应的软件包，比如soft.tar.bz2，下载到本机某个目录；2、打开一个终端，su -成root用户；3、cd soft.tar.bz2所在的目录；4、tar -xjvf soft.tar.bz2 /一般会生成一个soft目录5、cd soft6、./configure7、make8、make install五、apt方式安装：1、打开一个终端，su -成root用户；2、apt-cache search soft 注：soft是你要找的软件的名称或相关信息3、如果2中找到了软件soft.version，则用apt-get install soft.version命令安装软件 注：只要你可以上网，只需要用apt-cache search查找软件，用apt-get install软件六、bin文件安装：如果你下载到的软件名是soft.bin，一般情况下是个可执行文件，安装方法如下：1、打开一个终端，su -成root用户；2、chmod +x soft.bin3、./soft.bin /运行这个命令就可以安装软件了/*关于本文档*filename:Linux下软件安装方法总结*purpose:总结了Linux下各种软件安装方法*wrote by: zhoulifa() 周立发()Linux爱好者 Linux知识传播者 SOHO族 开发者 最擅长C语言编程*date time:2006-07-26 18:10:00*Note: 任何人可以任意复制代码并运用这些文档，当然包括你的商业用途* 但请遵循GPL。*Hope:希望越来越多的人贡献自己的力量，为科学技术发展出力*/七、不需要安装的软件：有了些软件，比如lumaqq，是不需要安装的，自带jre解压缩后可直接运行。假设下载的是lumaqq.tar.gz，使用方法如下：1、打开一个终端，su -成root用户；2、tar -xzvf lumaqq.tar.gz /这一步会生成一个叫LumaQQ的目录3、cd LumaQQ4、chmod +x lumaqq /设置lumaqq这个程序文件为可运行5、此时就可以运行lumaqq了，用命令./lumaqq即可，但每次运行要输入全路径或切换到刚才生成的LumaQQ目录里6、为了保证不设置路径就可以用，你可以在/bin目录下建立一个lumaqq的链接，用命令ln -s lumaqq /bin/ 即可，以后任何时候打开一个终端输入lumaqq就可以启动QQ聊天软件了7、如果你要想lumaqq有个菜单项，使用菜单编辑工具，比如Alacarte Menu Editor，找到上面生成的LumaQQ目录里的lumaqq设置一个菜单项就可以了，当然你也可以直接到/usr/share/applications目录，按照里面其它*.desktop文件的格式生成一个自己的desktop文件即可。建议开发者们不要用red hat/red flag/suse等第一代Linux操作系统，用这些除了方便（也就是说比较傻瓜型）、界面豪华点外没什么好。用debian/ubuntu等第二代吧，apt命令安装软件是最简单的。apt命令会自动解决软件安装过程中的依赖问题，会把没有的包安装上，会把版本低的包自动升级，当然，都是要经你确认一次的。如果你使用Red Hat等第1代Linux系统，安装软件是比较麻烦的事，rpm -ivh softA.rpm是用来安装softA软件的，但通常情况下可能遇到的问题是提示说需要安装softB1, softB2, softB3等一堆软件，然后你安装softB1软件包时，可能又会提示你说需要安装softC1, softC2, softC3, softC4等一堆软件这样一来你就只够时间到处去找这些软件包了。光盘上没有就得去网上下载，网上还得搜索半天，时间都花在搜索软件包了。而且就算找到这些软件包，还可能会遇到的问题是：softC2软件包必须在softC1软件包之前安装才可以，顺序错了也安装不成功。但这谁知道呢？难啊。所以，你没有时间来安装体验软件的功能了，更别说开发软件了。建议你安装第2代Linux操作系统，典型的是Debian Linux和Ubuntu Linux，我之前在文章“如何在安装了Windows操作系统的电脑上安装Linux操作系统”里提到一个简明安装手册，你下载来照着操作就可以安装Ubuntu了。第2代操作系统在安装软件方面相当简单：第一步，搜索你要的软件，比如你要找一个游戏软件，它的名称叫myward，这个游戏软件的说明是：my own war game。搜索这个软件包就只需要输入命令apt-cache search myward，或者输入软件名称的一部分apt-cache search war，或者你不知道软件名称，输入软件说明里的一部分文字apt-cache search game，都可以找到个软件，找到后进行第二步，只需要输入apt-get install myward，即后面跟上软件名称就可以安装了。我是做程序开发的，不希望自己只会google找东西，希望有更多的时间研究Linux内核。 Shell基础从程序员的角度来看，Shell本身是一种用C语言编写的程序，从用户的角度来看，Shell是用户与Linux操作系统沟通的桥梁。用户既可以输入命令执行，又可以利用Shell脚本编程，完成更加复杂的操作。在Linux GUI日益完善的今天，在系统管理等领域，Shell编程仍然起着不可忽视的作用。深入地了解和熟练地掌握Shell编程，是每一个Linux用户的必修功课之一。 Linux的Shell种类众多，常见的有：Bourne Shell（/usr/bin/sh或/bin/sh）、Bourne Again Shell（/bin/bash）、C Shell（/usr/bin/csh）、K Shell（/usr/bin/ksh）、Shell for Root（/sbin/sh），等等。不同的Shell语言的语法有所不同，所以不能交换使用。每种Shell都有其特色之处，基本上，掌握其中任何一种就足够了。在本文中，我们关注的重点是Bash，也就是Bourne Again Shell，由于易用和免费，Bash在日常工作中被广泛使用；同时，Bash也是大多数Linux系统默认的Shell。在一般情况下，人们并不区分Bourne Shell和Bourne Again Shell，所以，在下面的文字中，我们可以看到#!/bin/sh，它同样也可以改为#!/bin/bash。 利用vi等文本编辑器编写Shell脚本的格式是固定的，如下： #!/bin/sh #comments Your commands go here 首行中的符号#!告诉系统其后路径所指定的程序即是解释此脚本文件的Shell程序。如果首行没有这句话，在执行脚本文件的时候，将会出现错误。后续的部分就是主程序，Shell脚本像高级语言一样，也有变量赋值，也有控制语句。除第一行外，以#开头的行就是注释行，直到此行的结束。如果一行未完成，可以在行尾加上，这个符号表明下一行与此行会合并为同一行。 编辑完毕，将脚本存盘为filename.sh，文件名后缀sh表明这是一个Bash脚本文件。执行脚本的时候，要先将脚本文件的属性改为可执行的： chmod +x filename.sh 执行脚本的方法是： ./filename.sh 下面我们从经典的“hello world”入手，看一看最简单的Shell脚本的模样。 #!/bin/sh #print hello world in the console window a = hello world echo $a Shell Script是一种弱类型语言，使用变量的时候无需首先声明其类型。新的变量会在本地数据区分配内存进行存储，这个变量归当前的Shell所有，任何子进程都不能访问本地变量。这些变量与环境变量不同，环境变量被存储在另一内存区，叫做用户环境区，这块内存中的变量可以被子进程访问。变量赋值的方式是： variable_name = variable_value 如果对一个已经有值的变量赋值，新值将取代旧值。取值的时候要在变量名前加$，$variable_name可以在引号中使用，这一点和其他高级语言是明显不同的。如果出现混淆的情况，可以使用花括号来区分，例如： echo Hi, $as 就不会输出“Hi, hello worlds”，而是输出“Hi，”。这是因为Shell把$as当成一个变量，而$as未被赋值，其值为空。正确的方法是： echo Hi, $as 单引号中的变量不会进行变量替换操作。 关于变量，还需要知道几个与其相关的Linux命令。 env用于显示用户环境区中的变量及其取值；set用于显示本地数据区和用户环境区中的变量及其取值；unset用于删除指定变量当前的取值，该值将被指定为NULL；export命令用于将本地数据区中的变量转移到用户环境区。 下面我们来看一个更复杂的例子，结合这个例子，我们来讲述Shell Script的语法。 1 #!/bin/bash 2 # we have less than 3 arguments. Print the help text: 3 if $# -lt 3 ; then 4 cat 5 ren - renames a number of files using sed regular expressions 6 7 USAGE: ren regexp replacement files. 8 EXAMPLE: rename all *.HTM files in *.html: 9 ren HTM$ html *.HTM 10 11 HELP 12 exit 0 13 fi 14 OLD=$1 15 NEW=$2 16 # The shift command removes one argument from the list of 17 # command line arguments. 18 shift 19 shift 20 # $* contains now all the files: 21 for file in $*; do 22 if -f $file ; then 23 newfile=echo $file | sed s/$OLD/$NEW/g 24 if -f $newfile ; then 25 echo ERROR: $newfile exists already 26 else 27 echo renaming $file to $newfile . 28 mv $file $newfile 29 fi 30 fi 31 done 我们从头来看，前面两行上一个例子中已经解释过了，从第三行开始，有新的内容。if语句和其他编程语言相似，都是流程控制语句。它的语法是： if ; then elif ; then else fi 与其他语言不同，Shell Script中if语句的条件部分要以分号来分隔。第三行中的表示条件测试，常用的条件测试有下面几种： -f $file 判断$file是否是一个文件 $a -lt 3 判断$a的值是否小于3，同样-gt和-le分别表示大于或小于等于 -x $file 判断$file是否存在且有可执行权限，同样-r测试文件可读性 -n $a 判断变量$a是否有值，测试空串用-z $a = $b 判断$a和$b的取值是否相等 cond1 -a cond2 判断cond1和cond2是否同时成立，-o表示cond1和cond2有一成立 要注意条件测试部分中的空格。在方括号的两侧都有空格，在-f、-lt、=等符号两侧同样也有空格。如果没有这些空格，Shell解释脚本的时候就会出错。 $#表示包括$0在内的命令行参数的个数。在Shell中，脚本名称本身是$0，剩下的依次是$0、$1、$2、$10、$11，等等。$*表示整个参数列表，不包括$0，也就是说不包括文件名的参数列表。 现在我们明白第三行的含义是如果脚本文件的参数少于三个，则执行if和fi语句之间的内容。然后，从第四行到第十一行之间的内容在Shell Script编程中被称为Here文档，Here文档用于将多行文本传递给某一命令。Here文档的格式是以开始，后跟一个字符串，在Here文档结束的时候，这个字符串同样也要出现，表示文档结束。在本例中，Here文档被输出给cat命令，也即将文档内容打印在屏幕上，起到显示帮助信息的作用。 第十二行的exit是Linux的命令，表示退出当前进程。在Shell脚本中可以使用所有的Linux命令，利用上面的cat和exit，从一方面来说，熟练使用Linux命令也可以大大减少Shell脚本的长度。 十四、十五两句是赋值语句，分别将第一和第二参数赋值给变量OLD和NEW。紧接下来的两句是注释，注释下面的两条shift的作用是将参数列表中的第一个和第二个参数删除，后面的参数依次变为新的第一和第二参数，注意参数列表原本也不包括$0。 然后，自二十一行到三十一行是一个循环语句。Shell Script中的循环有下面几种格式： while cond1 & | cond2 ; do done for var in ; do done for ( cond1; cond2; cond3 ) do done until cond1 & | cond2 ; do done 在上面这些循环中，也可以使用类似C语言中的break和continue语句中断当前的循环操作。第二十一行的循环是将参数列表中的参数一个一个地放入变量file中。然后进入循环，判断file是否为一个文件，如果是文件的话，则用sed命令搜索和生成新的文件名。sed基本上可以看成一个查找替换程序，从标准输入，例如管道读入文本，并将结果输出到标准输出，sed使用正则表达式进行搜索。在第二十三行中，backtick（）的作用是取出两个backtick之间的命令输出结果，在这里，也就是将结果取出赋给变量newfile。此后，判断newfile是否已经存在，否则就把file改成newfile。这样我们就明白这个脚本的作用了，Shell Script编写的其他脚本与此相似，只不过是语法和用法稍有不同而已。 通过这个例子我们明白了Shell Script的编写规则，但还有几件事情需要讲述一下。 第一个，除了if语句之外，Shell Script中也有类似C语言中多分支结构的case语句，它的语法是： case var in pattern 1 ) ; pattern 2 ) ; *) ; esac 我们再就下面一个例子，看看case语句的用法。 while getopts vc:OPTION do case $OPTION in c) COPIES = $OPTARG; v) ; ?) exit 1; esac done 上面的getopts类似于C语言提供的函数getopts，在Shell Script中，getopts经常和while语句联合起来使用。getopts的语法如下： getopts option_string variable option_string中包含一串单字符选项，若getopts在命令行参数中发现了连字符，那么它会将连字符之后的字符与option_string进行比较，若匹配成功，则把变量variable的值设为该选项，若无匹配，则把变量的值设为？。有时候，选项还会带一个值，例如-c5等，这时要在option_string中该选项字母后面加上一个冒号，getopts发现冒号后，会读取该值，然后将该值放入特殊变量OPTARG中。这个命令比较复杂，如有需要，读者可以详细参阅Shell编写的相关资料。 上面这个循环的作用就是依次取出脚本名称后面的选项，进行处理，如果输入了非法选项，则进入?指定的部分，退出脚本程序。 第二个，Bash提供了一种用于交互式应用的扩展select，用户可以从一组不同的值中进行选择。其语法如下： select var in ; do break; done 例如，下面这段程序的输出是： #!/bin/bash echo Your choice? select var in a b c; do break done echo $var - Your choice? 1) a 2) b 3) c 第三，Shell Script中也可以使用自定义的函数，其语法形式如下： functionname() 例如我们可以把上面第二个例子中第四到第十二行放入一个名为help函数体内，以后每次调用的时候直接写help即可。函数中处理函数调用参数的方法是，直接用上面讲过的$1、$2来分别表示第一、第二个参数，用$*表示参数列表。 第四，我们也可以在Shell下调试Shell Script脚本，当然最简单的方法就是用echo输出查看变量取值了。Bash也提供了真正的调试方法，就是执行脚本的时候用-x参数。 sh ?x filename.sh 这会执行脚本并显示脚本中所有变量的取值，也可以使用参数-n，它并不执行脚本，只是返回所有的语法错误。(n101) 堆和栈的区别一、 预备知识程序的内存分配二、一个由C/C+编译的程序占用的内存分为以下几个部分1、栈区（stack） 由编译器自动分配释放 ，存放函数的参数值，局部变量的值等。其操作方式类似于数据结构中的栈。2、堆区（heap） 一般由程序员分配释放， 若程序员不释放，程序结束时可能由OS回收 。注意它与数据结构中的堆是两回事，分配方式倒是类似于链表，呵呵。3、全局区（静态区）（static）。4、文字常量区常量字符串就是放在这里的，程序结束后由系统释放5、程序代码区存放函数体的二进制代码。二、例子程序这是一个前辈写的，非常详细int a = 0; 全局初始化区char *p1; 全局未初始化区main()int b; 栈char s = abc; 栈char *p2; 栈char *p3 = 123456; 1234560在常量区，p3在栈上。static int c =0； 全局（静态）初始化区p1 = (char *)malloc(10);p2 = (char *)malloc(20);分配得来得10和20字节的区域就在堆区。strcpy(p1, 123456); 1234560放在常量区，编译器可能会将它与p3所指向的123456优化成一个地方。二、堆和栈的理论知识2.1申请方式stack:由系统自动分配。 例如，声明在函数中一个局部变量 int b; 系统自动在栈中为b开辟空间。heap:需要程序员自己申请，并指明大小，在c中malloc函数如p1 = (char *)malloc(10);在C+中用new运算符如p2 = new char(5);但是注意p1、p2本身是在栈中的。2.2申请后系统的响应栈：只要栈的剩余空间大于所申请空间，系统将为程序提供内存，否则将报异常提示栈溢出。堆：首先应该知道操作系统有一个记录空闲内存地址的链表，当系统收到程序的申请时，会遍历该链表，寻找第一个空间大于所申请空间的堆结点，然后将该结点从空闲结点链表中删除，并将该结点的空间分配给程序，另外，对于大多数系统，会在这块内存空间中的首地址处记录本次分配的大小，这样，代码中的delete语句才能正确的释放本内存空间。另外，由于找到的堆结点的大小不一定正好等于申请的大小，系统会自动的将多余的那部分重新放入空闲链表中。2.3申请大小的限制栈：在Windows下,栈是向低地址扩展的数据结构，是一块连续的内存的区域。这句话的意思是栈顶的地址和栈的最大容量是系统预先规定好的，在WINDOWS下，栈的大小是2M（也有的说是1M，总之是一个编译时就确定的常数），如果申请的空间超过栈的剩余空间时，将提示overflow。因此，能从栈获得的空间较小。（线程的堆栈空间默认为1M）堆：堆是向高地址扩展的数据结构，是不连续的内存区域。这是由于系统是用链表来存储的空闲内存地址的，自然是不连续的，而链表的遍历方向是由低地址向高地址。堆的大小受限于计算机系统中有效的虚拟内存。由此可见，堆获得的空间比较灵活，也比较大。2.4申请效率的比较：栈由系统自动分配，速度较快。但程序员是无法控制的。堆是由new分配的内存，一般速度比较慢，而且容易产生内存碎片,不过用起来最方便.另外，在WINDOWS下，最好的方式是用VirtualAlloc分配内存，他不是在堆，也不是在栈是直接在进程的地址空间中保留一快内存，虽然用起来最不方便。但是速度快，也最灵活。2.5堆和栈中的存储内容栈： 在函数调用时，第一个进栈的是主函数中后的下一条指令（函数调用语句的下一条可执行语句）的地址，然后是函数的各个参数，在大多数的C编译器中，参数是由右往左入栈的，然后是函数中的局部变量。注意静态变量是不入栈的。当本次函数调用结束后，局部变量先出栈，然后是参数，最后栈顶指针指向最开始存的地址，也就是主函数中的下一条指令，程序由该点继续运行。堆：一般是在堆的头部用一个字节存放堆的大小。堆中的具体内容由程序员安排。2.6存取效率的比较char s1 = aaaaaaaaaaaaaaa;char *s2 = bbbbbbbbbbbbbbbbb;aaaaaaaaaaa是在运行时刻赋值的；而bbbbbbbbbbb是在编译时就确定的；但是，在以后的存取中，在栈上的数组比指针所指向的字符串(例如堆)快。比如：void main()char a = 1;char c = 1234567890;char *p =1234567890;a = c1;a = p1;return;对应的汇编代码10: a = c1;00401067 8A 4D F1 mov cl,byte ptr ebp-0Fh0040106A 88 4D FC mov byte ptr ebp-4,cl11: a = p1;0040106D 8B 55 EC mov edx,dword ptr ebp-14h00401070 8A 42 01 mov al,byte ptr edx+100401073 88 45 FC mov byte ptr ebp-4,al第一种在读取时直接就把字符串中的元素读到寄存器cl中，而第二种则要先把指针值读到edx中，在根据edx读取字符，显然慢了。2.7小结：堆和栈的区别可以用如下的比喻来看出：使用栈就象我们去饭馆里吃饭，只管点菜（发出申请）、付钱、和吃（使用），吃饱了就走，不必理会切菜、洗菜等准备工作和洗碗、刷锅等扫尾工作，他的好处是快捷，但是自由度小。使用堆就象是自己动手做喜欢吃的菜肴，比较麻烦，但是比较符合自己的口味，而且自由度大。windows进程中的内存结构在阅读本文之前，如果你连堆栈是什么多不知道的话，请先阅读文章后面的基础知识。接触过编程的人都知道，高级语言都能通过变量名来访问内存中的数据。那么这些变量在内存中是如何存放的呢？程序又是如何使用这些变量的呢？下面就会对此进行深入的讨论。下文中的C语言代码如没有特别声明，默认都使用VC编译的release版。首先，来了解一下 C 语言的变量是如何在内存分部的。C 语言有全局变量(Global)、本地变量(Local)，静态变量(Static)、寄存器变量(Regeister)。每种变量都有不同的分配方式。先来看下面这段代码：#include int g1=0, g2=0, g3=0;int main()static int s1=0, s2=0, s3=0;int v1=0, v2=0, v3=0;/打印出各个变量的内存地址printf(0x%08xn,&v1); /打印各本地变量的内存地址printf(0x%08xn,&v2);printf(0x%08xnn,&v3);printf(0x%08xn,&g1); /打印各全局变量的内存地址printf(0x%08xn,&g2);printf(0x%08xnn,&g3);printf(0x%08xn,&s1); /打印各静态变量的内存地址printf(0x%08xn,&s2);printf(0x%08xnn,&s3);return 0;编译后的执行结果是：0x0012ff780x0012ff7c0x0012ff800x004068d00x004068d40x004068d80x004068dc0x004068e00x004068e4输出的结果就是变量的内存地址。其中v1,v2,v3是本地变量，g1,g2,g3是全局变量，s1,s2,s3是静态变量。你可以看到这些变量在内存是连续分布的，但是本地变量和全局变量分配的内存地址差了十万八千里，而全局变量和静态变量分配的内存是连续的。这是因为本地变量和全局/静态变量是分配在不同类型的内存区域中的结果。对于一个进程的内存空间而言，可以在逻辑上分成3个部份：代码区，静态数据区和动态数据区。动态数据区一般就是“堆栈”。“栈(stack)”和“堆(heap)”是两种不同的动态数据区，栈是一种线性结构，堆是一种链式结构。进程的每个线程都有私有的“栈”，所以每个线程虽然代码一样，但本地变量的数据都是互不干扰。一个堆栈可以通过“基地址”和“栈顶”地址来描述。全局变量和静态变量分配在静态数据区，本地变量分配在动态数据区，即堆栈中。程序通过堆栈的基地址和偏移量来访问本地变量。低端内存区域 动态数据区 代码区 静态数据区 高端内存区域堆栈是一个先进后出的数据结构，栈顶地址总是小于等于栈的基地址。我们可以先了解一下函数调用的过程，以便对堆栈在程序中的作用有更深入的了解。不同的语言有不同的函数调用规定，这些因素有参数的压入规则和堆栈的平衡。windows API的调用规则和ANSI C的函数调用规则是不一样的，前者由被调函数调整堆栈，后者由调用者调整堆栈。两者通过“_stdcall”和“_cdecl”前缀区分。先看下面这段代码：#include void _stdcall func(int param1,int param2,int param3)int var1=param1;int var2=param2;int var3=param3;printf(0x%08xn,?m1); /打印出各个变量的内存地址printf(0x%08xn,?m2);printf(0x%08xnn,?m3);printf(0x%08xn,&var1);printf(0x%08xn,&var2);printf(0x%08xnn,&var3);return;int main()func(1,2,3);return 0;编译后的执行结果是：0x0012ff780x0012ff7c0x0012ff800x0012ff700x0012ff6c0x0012ff68函数执行时的栈顶（ESP）、低端内存区域 var 2 var 2 var 1 RET “_cdecl”函数返回后的栈顶（ESP） parameter 1 parameter 2 parameter 3 “_stdcall”函数返回后的栈顶（ESP） 栈底（基地址 EBP）、高端内存区域上图就是函数调用过程中堆栈的样子了。首先，三个参数以从又到左的次序压入堆栈，先压“param3”，再压“param2”，最后压入“param1”；然后压入函数的返回地址(RET)，接着跳转到函数地址接着执行（这里要补充一点，介绍UNIX下的缓冲溢出原理的文章中都提到在压入RET后，继续压入当前EBP，然后用当前ESP代替EBP。然而，有一篇介绍windows下函数调用的文章中说，在windows下的函数调用也有这一步骤，但根据我的实际调试，并未发现这一步，这还可以从param3和var1之间只有4字节的间隙这点看出来）；第三步，将栈顶(ESP)减去一个数，为本地变量分配内存空间，上例中是减去12字节(ESP=ESP-3*4，每个int变量占用4个字节)；接着就初始化本地变量的内存空间。由于“_stdcall”调用由被调函数调整堆栈，所以在函数返回前要恢复堆栈，先回收本地变量占用的内存(ESP=ESP+3*4)，然后取出返回地址，填入EIP寄存器，回收先前压入参数占用的内存(ESP=ESP+3*4)，继续执行调用者的代码。参见下列汇编代码：;-func 函数的汇编代码-:00401000 83EC0C sub esp, 0000000C /创建本地变量的内存空间:00401003 8B442410 mov eax, dword ptr esp+10:00401007 8B4C2414 mov ecx, dword ptr esp+14:0040100B 8B542418 mov edx, dword ptr esp+18:0040100F 89442400 mov dword ptr esp, eax:00401013 8D442410 lea eax, dword ptr esp+10:00401017 894C2404 mov dword ptr esp+04, ecx（省略若干代码）:00401075 83C43C add esp, 0000003C ;恢复堆栈，回收本地变量的内存空间:00401078 C3 ret 000C ;函数返回，恢复参数占用的内存空间;如果是“_cdecl”的话，这里是“ret”，堆栈将由调用者恢复;-函数结束-;-主程序调用func函数的代码-:00401080 6A03 push 00000003 /压入参数param3:00401082 6A02 push 00000002 /压入参数param2:00401084 6A01 push 00000001 /压入参数param1:00401086 E875FFFFFF call 00401000 /调用func函数;如果是“_cdecl”的话，将在这里恢复堆栈，“add esp, 0000000C”聪明的读者看到这里，差不多就明白缓冲溢出的原理了。先来看下面的代码：#include #include void _stdcall func()char lpBuff8=0;strcat(lpBuff,AAAAAAAAAAA);return;int main()func();return 0;编译后执行一下回怎么样？哈，“0x00414141指令引用的0x00000000内存。该内存不能为read。”，“非法操作”喽！41就是A的16进制的ASCII码了，那明显就是strcat这句出的问题了。lpBuff的大小只有8字节，算进结尾的0，那strcat最多只能写入7个A，但程序实际写入了11个A外加1个0。再来看看上面那幅图，多出来的4个字节正好覆盖了RET的所在的内存空间，导致函数返回到一个错误的内存地址，执行了错误的指令。如果能精心构造这个字符串，使它分成三部分，前一部份仅仅是填充的无意义数据以达到溢出的目的，接着是一个覆盖RET的数据，紧接着是一段shellcode，那只要着个RET地址能指向这段shellcode的第一个指令，那函数返回时就能执行shellcode了。但是软件的不同版本和不同的运行环境都可能影响这段shellcode在内存中的位置，那么要构造这个RET是十分困难的。一般都在RET和shellcode之间填充大量的NOP指令，使得exploit有更强的通用性。低端内存区域 由exploit填入数据的开始 buffer 填入无用的数据 RET 指向shellcode，或NOP指令的范围 NOP 填入的NOP指令，是RET可指向的范围 NOP shellcode 由exploit填入数据的结束 高端内存区域windows下的动态数据除了可存放在栈中，还可以存放在堆中。了解C+的朋友都知道，C+可以使用new关键字来动态分配内存。来看下面的C+代码：#include #include #include void func()char *buffer=new char128;char bufflocal128;static char buffstatic128;printf(0x%08xn,buffer); /打印堆中变量的内存地址printf(0x%08xn,bufflocal); /打印本地变量的内存地址printf(0x%08xn,buffstatic); /打印静态变量的内存地址void main()func();return;程序执行结果为：0x004107d00x0012ff040