CSAPP-chapter3 x86-64 Assembly

汇编变种后缀的应用场景

前置知识:

0.C语言数据格式

1
2
3
4
5
6
7
8
9
10
11

#include <iostream>
using namespace std;

int main() {
	cout << "sizeof(char)=" << sizeof(char) << endl;
	cout << "sizeof(short)=" << sizeof(short) << endl;
	cout << "sizeof(int)=" << sizeof(int) << endl;
	cout << "sizeof(long)=" << sizeof(long) << endl;
	cout << "sizeof(long long)=" << sizeof(long long) << endl;
	cout << "sizeof(void*)=" << sizeof(void *) << endl;
}

在64位ubuntu上的运行结果

1
2
3
4
5
6
7
8

root@deutschball-virtual-machine:/home/deutschball/mydir# g++ test.cpp -o test.out
root@deutschball-virtual-machine:/home/deutschball/mydir# ./test.out
sizeof(char)=1
sizeof(short)=2
sizeof(int)=4
sizeof(long)=8
sizeof(long long)=8
sizeof(void*)=8

在64位windows上的运行结果稍有不同

1 2 3 4 5 6

sizeof(char)=1 sizeof(short)=2 sizeof(int)=4 sizeof(long)=4 sizeof(long long)=8 sizeof(void*)=8

在32位windows上的运行结果

1 2 3 4 5 6

sizeof(char)=1 sizeof(short)=2 sizeof(int)=4 sizeof(long)=4 sizeof(long long)=8 sizeof(void*)=4

1.寄存器规格

大多数的后缀都与寄存器规格有关,下图将会被多次用到

2.寻址方式

mov类

操作数长度相关后缀b,w,l,q

mov类命令的数据流动方向有五种,

1
2
3
4
5

立即数->寄存器
寄存器->寄存器
主存  ->寄存器
立即数->主存
寄存器->主存

显然立即数->立即数是不可能的,这里立即数相当于右值,就好比说把5存到6上

并且规定不能从主存直接到主存即主存->主存,必须经过寄存器

与数据长度有关的后缀有

这里两个字节等于一个字

便于记忆,可以了解后缀的含义:

b:byte,一个字节

w:word,一个字(两个字节)

使用哪种后缀需要与数据流动方向一起决定,具体规则是:

1
2
3
4
5
6
7

1.主存没有决定后缀的权利

2.如果源或者目的其一是寄存器则根据寄存器大小决定,如果使用的是`%al,%spl`这种单字节寄存器则mov命令用b后缀,
同理如果使 `%rax,%rsp`这种8个字节寄存器则mov命令用q后缀.
如果源和目的都是寄存器则跟随目的寄存器规格

3.寄存器比立即字的优先级高

记住这三条规则才能完成3.2

1.movl %eax,(%rsp)

源%eax为32位(=4字节=2字)寄存器,

目的(%rsp)是采用简介寻址,实际地址位于内存中,没有发言权,

因此mov的后缀跟随%eav即传送双字,使用l后缀

2.movw (%rax),%dx

源(%rax)在内存中,没有发言权,

目的%dx是一个16位(=2字节=1字)寄存器

因此mov的后缀跟随%dx即传送单字,使用w后缀

3.movb $0xFF %bl

源$0xFF是一个立即字,优先级低

目的%bl是一个字节寄存器,优先级高

mov后缀跟随%bl使用b

4.movb (%rsp,%rdx,4) %dl

源(%rsp,%rdx,4)在内存上,没有发言权

目的%dl是一个字节寄存器

mov后缀跟随%dl使用b

5.movq (%rdx),%rax

源(%rdx)在内存上,没有发言权

目的%rax是一个四字寄存器

mov后缀跟随%rax使用q

6.movw %dx,(%rax)

源%dx是一个单字寄存器

目的(%rax)在内存上,没有发言权

因此mov后缀跟随%dx用w

长度类后缀的其他细节差异

1.movb,movw只会修改目标寄存器的对应低位

2.movl不光会修改目标寄存器的对应低位,并且会将高位全部置零

3.对于64位的立即数,1.只能用movabsq2.将其存到寄存器中,movq只能处理32位的立即数

数据拓展相关后缀z,s

零拓展和符号拓展的区别:

R(%dl)=AA=10101010符号位为1

第4行符号拓展直接将高位全都置1得到一串F

第5行零拓展直接将高位全都置0得到一串0

有符号数拓展时使用符号拓展

无符号数拓展时使用0拓展,可以理解为无符号拓展

1.首先,使用指针的目的是,使实际操作的地址在内存中,如此需要在寄存器中过度一次,将转型分成两个阶段,即源内存->寄存器和寄存器->目的内存两个阶段

2.然后一定注意"==当执行强制类型转换即涉及大小变化又涉及C语言中的符号变化时,操作应该先改变大小=="

这里"先改变大小"的意思是,无符号源用z,有符号源用s,然后决定大小的后缀看目的的大小

1.long到long

不涉及大小变化,不涉及符号变化,只需要使用传送四字指令movq,两个阶段相同

2.char到int

只涉及大小变化,首先从字节内存到双字寄存器需要符号拓展指令movsbl 然后从双字寄存器到内存根据寄存器规格决定使用双字传送指令movl

3.char到unsigned

既涉及大小变化,又涉及符号变化

首先改变大小,从有符号字节内存到双字寄存器需要符号拓展指令movsbl

然后从双字寄存器到双字内存根据寄存器规格决定使用双字传送指令movl,即目的符号不起作用

char到unsigned int和char到int形成的汇编语言是相同的

这一点可以实验验证

对于char的最小值-128=0x80,如果强制转型到unsigned,可能的结果:

1.首先变化符号,然后变化大小,即首先使用movzbl,然后movl,这样unsigned的值为0x00000080=128

2.首先变化大小,然后变化符号,即首先使用movsbl,然后movl,这样unsigned值为0xFFFFFF80=4294967168

基于上述两种猜想,可以写如下程序验证

证明猜想2是正确的

4.unsigned char到long

既涉及大小变化,又涉及符号变化

首先改变大小,从无符号字节内存到四字寄存器,要使用无符号拓展指令movzbq

然后从四字寄存器到内存,使用四字传送指令movq

然而实际上首先使用的是movzbl

查阅了知乎

然后官方给出的解释:

(Clarification, not an erratum) Figure 3.5.

Although there is an instruction movzbq, the GCC compiler typically generates the instruction movzbl for this purpose, relying on the property that an instruction generating a 4-byte with a register as destination will fill the upper 4 bytes of the register with zeros.

尽管应该使用movzbq指令,但是GCC编译器通常使用movzbl指令来达到相同的目的,

==这是因为只要是以寄存器为目的并且生成低位4字节的指令都会将高位的4字节置零==

博客上其他人的解释

这就很明白了

5.int到char

只涉及大小转换,大变小直接截取

直接从内存中取出双字数据放到寄存器里然后截取低8位传送给内存

即首先使用movl然后movb

6.unsigned到unsigned char

只涉及大小转换,大变小直接截取

直接从内存中取出双字数据放到双字寄存器然后截取低8位传送给内存

即首先使用movl然后movb

7.char到short

只涉及大小变换,小变大需要拓展

首先使用有符号拓展movsbw将字节数据传送到单字寄存器

然后使用movw从单字寄存器传送到内存

汇编语言特殊算术操作

首先纠错

书上除法这里是有错误的,商和余数都放在了R[%rdx]这显然是不合理的,我觉得应该写为:

乘法

c源文件

1
2
3
4
5
6

#include <inttypes.h>
typedef unsigned __int128 uint128_t;
//此处改名的目的是让128位整数能够类似64位整数使用
void store_uprod(uint128_t *dest,uint64_t x,uint64_t y){
                *dest=x*(uint128_t) y;
}

汇编语言

1
2
3
4
5

movq    %rsi, %rax
mulq    %rdx
movq    %rax, (%rdi)
movq    %rdx, 8(%rdi)
ret

逻辑分析:

首先三个参数分别存放在

即

1
2
3

R[%rdi]=dest//这里%rdi寄存器中存放的是dest这个位置 dest这个位置 dest这个位置
R[%rsi]=x
R[%rdx]=y

1.movq %rsi, %rax

即令R[%rax]=R[%rsi]=x将x放在了%rax寄存器中

2.mulq %rdx

R[%rdx]=y

看似只有一个操作数,实际上隐含着另一个操作数在%rax寄存器中

即令R[%rdx]*R[%rax],两个64位数的计算机结果是一个128位数,显然单独一个64位寄存器是放不下的,因此计算结果被分成两部分

低64位放在%rax寄存器,高64位放在%rdx寄存器

3.movq %rax, (%rdi)

R[%rdi]=dest这是指针指向内存中的位置

M[R[%rdi]]=M[dest]对内存中的位置dest应用解引用函数\(M[dest]\)得到的是该地址上的实际数值

令M[R[%rdi]]=R[%rax],将%rax寄存器中刚刚算出的低64位结果放在内存中,位置为R[%rdi](间接寻址)

4.movq %rdx, 8(%rdi)

刚才在第3步时存放了低64位,那么此时应该做到就是存放高64位

令M[R(%rdi)+8]=R[%rdx],将%rdx寄存器中刚刚算出的高64位结果放在内存中,位置为R(%rdi)+8(基址+偏移量寻址)

此处的+8为偏移8个字节,因为低地址恰好占用这8个字节

在小端机器上低地址存放低位,高地址存放高位

到此乘法的计算结果已经被分成两个64位数存进了一个uint128_t *指针指向的地址

除法

c源文件

1
2
3
4
5
6

void remdiv(long x,long y,long *qp,long *rp){//希望计算x/y将商存到指针qp指向的地址,将余数存到指针rp指向的地址
        long q=x/y;
        long r=x%y;
        *qp=q;
        *rp=r;
}

汇编语言

1
2
3
4
5
6
7

movq    %rdi, %rax
movq    %rdx, %r8
cqto
idivq   %rsi
movq    %rax, (%r8)
movq    %rdx, (%rcx)
ret

1
2
3
4

R[%rdi]=x
R[%rsi]=y
R[%rdx]=qp
R[%rcx]=rp

1.movq %rdi, %rax

令R[%rax]=R[%rdi]=x将x存放在%rax寄存器里

2.movq %rdx, %r8

令R[%r8]=R[%rdx]=qp将商==在内存中的地址==存放在%r8寄存器里

对于一个128位数的除法运算,被除数的低64位存放在%rax寄存器中,高64位存放在%rdx寄存器中

刚才在第1步时已经将64位数x放在%rax寄存器中了,但是高64位所在的%rdx现在被第三个参数qp占用,因此将qp放在另一个寄存器%r8中,然后将%rdx腾出来方便存放高64位

3.cqto

为什么要进行符号拓展?

被除数应该是一个128位数,但是目前我们只是确定了其低64位为x,高64位还是第三个参数的值没有修改,如果此时直接计算则高64位的值可以认为是乱码,那么怎么消除高64位的乱码呢?置零或者置符号,我们将要进行符号除法,因此高64位置符号

即高64位按照R[%rax]=x的符号位拓展

4.idivq %rsi

R[%rsi]=y

R[%rdx]=x mod y

R[%rax]=x/y

5.movq %rax, (%r8)

R[%r8]=qp

M[R[%r8]]=M[qp]=*qp=R[%rax]=x/y

6.movq %rdx, (%rcx)

R[%rcx]=rp

M[R[%rcx]]=M[rp]=*rp=R[%rdx]=x mod y

习题3.12

首先四个参数的存放位置为:

执行除法的时候只会提供一个操作数S作为除数,表示被除数的另两个操作数是隐含的%rax,%rdx

那么在执行除法命令之前,应该把被除数先安置好

1.首先128位被除数的低64位存放在%rax中,即R[%rax]=x 2.然后高64位存放在%rdx中,无符号除法时应当全置0,

但是由于第三个参数qp已经占据了%rdx,因此在将其全都置零之前应当请三个参数挪个地方,比如%r8

movq %rdx,%r8

3.此时就可以将被除数的高64位%rdx寄存器置0了,最直接的置零方法是movq $0,%rdx,还可以利用异或的性质xorq %rdx,%rdx

至于应该选择哪一个?应该选择二进制长度最短的指令

1 2 3 4

0000000000000000 <.text>: 0: 48 c7 c2 00 00 00 00 mov $0x0,%rdx 7: 48 99 cqto 9: 48 31 d2 xor %rdx,%rdx

由此可见为什么刚才有符号除法时要用cqto,因为其长度最短

然后xor也是不错的选择

最迫不得已才会选择movq指令

当发现实际编译器使用的命令与我们理想的不一样时,可以写一个.s文件然后将自己理想的汇编指令和实际的汇编指令各写一行

然后使用gcc -Og -c命令,使其编译成为.o文件,注意必须指定-c选项,否则直接编译成.exe或者.out会发生链接错误,因为刚才我门写的.s文件是非常不完整的,连main函数都没有

然后对.o文件使用objdump命令反编译 ,就可以观察指令及其二进制编码长度了

一般理想与现实不同都是由于有更加短但是可以完成同样目的的指令我们没有考虑到

在本题中我不知道类似cqto但是是无符号拓展的指令,可以先用异或指令达到相同的目的

4.被除数在3中已经准备好了,可以进行除法了

这里S是除数,本题中除数是第二个参数y存放在%rsi寄存器中,即R[%rsi]=y

那么除法指令为divq %rsi

5.除法进行完毕,瓜分商和余数

商位于%rax寄存器中,希望传送到内存中的qp位置,而内存中的qp位置存放在寄存器%r8中(即R[%r8]=qp,M[R[%r8]]=*qp)因此使用指令movq %rax,(%r8)

余数位于%rdx寄存器中,希望传送到内存中的rp位置,而内存中的rp位置存放在寄存器%rcx中(即R[%rcx]=rp,M[R[%rcx]]=*rp)因此使用指令movq %rdx,(%rcx)

标志与条件控制

标志位

标志位的作用都是为了表征刚刚进行过的算术运算的结果,比如是否有溢出,是否有进位,结果是否为0等等,

设置这些标志的目的之一是方便判断错误

之二是决定后面的程序走向,是实现条件,==循环等控制语句的基础==

其中常用的标志位有:

作用:

CF

进位标志

作用于无符号数,比如对于八位无符号数

加法结果进位溢出:0xFF+0x01=0x100溢出了,此时CF=1表明刚才的算术运算有溢出

减法借位溢出:0x00-0x01=0x100-0x01=0xFF,被减数需要向他不存在的高位借位,此时CF=1表示被减数不够减的

对于有符号整数的加减法,忽略进位标志CF

比如有符号整数0x00-0x01=0x00+0xFF=0xFF表示的是0-1=-1,

0xFF为-1的补码表示.显然这是合乎情理的

同样的两个数如果是无符号数则计算结果为0xFF=255这两个正数相减越减越多显然不合理,因此CF=1标志有进位溢出

OF

溢出标志

对有符号整数(即补码)运算有效,比如

两个八位二进制数正数01000000(B)=0x40(H)=64相加,

0x40+0x40=0x80(H)=10000000(B)=怎么就成了一个负数-128?

这显然不符合情理,此时OF=1标志有符号数溢出

又或者:

两个八位二进制负数10000000=0x80=-128相加

0x80+0x80=0x100=0x00=0怎么就成了0?

这也是不符合情理的,此时OF=1

怎样检验有符号数加减是否有溢出?

计组上我们学过双标志位法,计算结果的两个符号位如果不同则说明有溢出

OF标志对于无符号整数运算无效

ZF

零标志

如果运算结果为0则ZF=1

SF

符号标志

如果运算结果为负数则SF=1

可以修改标志位的指令

除了leaq外的逻辑运算指令

比较和测试指令

一条指令可能会修改多个标志位,具体规则为:

MOV NOT JMP*

does not affect flags

MOV,NOT,JMP指令不会修改标志位

NEG

The CF flag set to 0 if the source operand is 0; otherwise it is set to 1. The OF, SF, ZF, AF, and PF

flags are set according to the result.

NEG取反指令:如果NEG的操作数是0则CF=1,否则CF=0.

OF,SF,ZF,AF,PF标志根据结果设定

AND OR

The OF and CF flags are cleared; the SF, ZF, and PF flags are set according to the result. The state

of the AF flag is undefined

AND,OR指令的OF和CF前面已经给出;SF,ZF,PF根据结果而定,AF状态无所谓

DEC INC

The CF flag is not affected. The OF, SF, ZF, AF, and PF flags are set according to the result

DEC,INC自增自减指令的CF位不受影响,其他标志位都视结果而定

ADD ADC SUB SBB

The OF, SF, ZF, AF, PF, and CF flags are set according to the result.

ADD,ADC,SUB,SBB指令的所有标志位都视结果而定

CMP

Modify status flags in the same manner as the SUB instruction

CMP与SUB指令对于标志位的效果相同

以两个有符号八位2进制数运算为例子

0x00-0x01=0x00+0xFF=0xFF,OF=0无溢出

0x40+0x40=0x80=10000000=-128,OF=1有溢出

减法也有可能溢出,一个负数减去一个正数时

0x80-0x7F=0x80+0x81=0x101=0x01成了一个正数,此时OF=1

比较指令

执行比较指令后通过==标志位组合==判断比较结果

cmp s1,s2指令基于S2-S1,意思是首先对S2-S1求值,然后结果放在s2原来的地方

如果为负数则SF=1,否则(非负数)SF=0,

后面的程序只需要访问一下Flag Register中的SF值就"可以????"知道S2,S1谁大谁小了

==注意这里"可以"是假的==,

因为如果结果是一个比较大的负数,造成溢出,截断之后成了一个正数,此时SF=0,此时只凭借SF值会造成误判,就比如

0x80-0x7F=0x80+0x81=0x101=0x01结果成了一个正数,那么符号标志位SF=0只凭SF值就会认为0x80>=0x7F

而0x80=-128<0x7F=127

因此只凭借SF标志位是无法判断两个操作数的大小的,==还应当考虑是否有溢出==.

==考虑什么时候会发生溢出?==

两个正数相减显然结果绝对值小于两者中的任何一个,不会溢出

两个负数相减同样

两个正数相加显然可以,比如0x7F+0x01=0x80成了负数

两个负数相加也可以,比如0x80+0x80=0x100=0x00成了0

正数-负数也可以,比如0x7F-0xFF=0x7F+0x01=0x80成了负数

负数-正数也可以,比如0x80-0x7F=0x80+0x81=0x101=0x01成了正数

==现在考虑如何完善判断两个数的大小==

两个数做差有四种情况

1.正-正

2.负-负

3.正-负

4.负-正

前两种情况没有溢出,OF=0,直接看SF

后两种可能有溢出,如果没有溢出则看SF,如果有溢出则SF取反

而区分前两种和后两种的方法也很容易观察得出,即两个操作数的符号是否一致

令F=[A-B],A为被减数,B为减数,[X]表示对X取符号,X≥0则[X]=0,否则[X]=1

列出真值表

我们想要得到F的值,并且我们已经知道OF和SF的值,而大小判断与A,B无关,只与Flag Register中的标志位组合有关,那么问题转化为

从真值表上我们可以观察得出,当OF=0时,F和SF是一致的,当OF=1时,F和SF是相反的

那么怎么用一条表达式写出F与OF,SF的关系呢?

根据F=1的项可以立刻得到

\(F=\overline {OF}SF+OF\overline {SF}=OF\oplus SF\)

到此可以总结如何判断两个有符号数的大小了

如果\(OF\oplus SF\)异或值为1则前小后大,否则前大后小

test S1,S2指令基于S1&S2,意思是首先对S1&S2求值,按位与只有两个操作数一模一样才会是真,否则为假.如果为假即0,则ZF=1,否则ZF=0,后面的程序只需要访问一下Flag Register中的ZF值就可以知道S2,S1是否相同了

访问条件码的方式

在刚刚进行完一次逻辑运算之后,此时Flag Register的各个标志位已经设置完毕,下面就要根据其中一个或者几个标志位的组合进行决策,选择执行或者不执行一些命令

1)可以根据条件码的某种组合, 将一个字节设置为0或者1

2)可以条件跳转到程序的某个其他的部分

3)可以有条件地传送数据

1.根据FlagRegister的情况将一个字节设置为0或者1

SET指令

这种指令怎么发挥作用呢?

以sete为例子,

假设刚刚进行的运算是a-a=0,此时ZF=1表示刚才的计算结果为0,

此时使用sete 目标寄存器,满足设置条件(相等/零),于是向目标寄存器存放ZF值即1

练习3.13

A项第一行使用了cmpl比较双字命令,说明两个操作数都是双字(int,unsigned),第二行使用setl有符号小于运算,因此操作数只能是int类型

B项第一行使用cmpw比较字命令,说明两个操作数都是字(short,unsigned short),第二行使用setge有符号大于等于,因此操作数只能是short

C项第一行使用了cmpb比较字节命令,说明两个操作数都是字节(char,unsigned char),第二行使用setbe无符号小于等于,因此操作数只能是unsigned char

D项第一行使用了cmpq比较四字命令,说明两个操作数都是四字(long,unsigned long),第二行 使用setne不等/非零,因此操作数无法确定有无符号,long或者unsigned long均可

2.条件跳转

条件跳转表

该表在后来会经常用到

条件跳转指令实现if-else语句

c源代码:

1
2
3
4
5
6
7
8
9
10

long absdiff_se(long x,long y){
        long result;
        if(x<y){
                result=y-x;
        }
        else {
                result=x-y;
        }
        return result;
}

给定参数x,y如果x<y,则返回y-x,否则返回x-y,即返回两个数的差的绝对值

汇编代码

1
2
3
4
5
6
7
8
9
10
11

absdiff_se:
.LFB0:
        movq    %rsi, %rax
        cmpq    %rsi, %rdi
        jge     .L2
        subq    %rdi, %rax
        ret
.L2:
        subq    %rsi, %rdi
        movq    %rdi, %rax
        ret

分析其汇编语言都干了什么

首先两个参数的位置

即

1
2

R[%rdi]=x
R[%rsi]=y

1.movq %rsi, %rax

1

R[%rax]=R[%rsi]=x

将x搬到%rax寄存器中,猜测有可能以后的变化都在x身上进行最后返回%rax寄存器中的值

2.cmpq %rsi, %rdi

注意是==后减前==

做差R[%rdi]-R[%rsi],(一定注意是后减前)SF和OF标志位根据结果确定

3.jge .L2

根据刚才我们推导的R[%rdi]-R[%rsi]<0时\(OF\oplus SF=1\),那么R[%rdi]-R[%rsi]≥0就应该有\(!(OF\oplus SF)=1\)

这里jge=jump if greater即R[%rdi]-R[%rsi]≥0的情况

联系前两句,第三句可以理解为:如果\(R[\%rdi]-R[\%rsi]=y-x≥0\)则跳转到.L2

此后程序分叉了,如果3没有满足执行没有跳转则顺序执行subq %rdi, %rax即R[%rdi]=R[%rax]-R[%rdi]=x-y

如果3满足条件并且跳转则跳到.L2执行subq %rsi, %rdi即R[%rsi]=R[%rdi]-R[%rsi]=y-x一定是非负的

不管是否跳转,3保证了后面的减法一定是大数-小数

汇编语言的程序结构类似于

而c源程序的结构类似于

条件跳转指令实现循环

求一个数n的阶乘,c源文件用while和for分别这样写

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

int fact_while(int n){
        int ans=1;
        int i=1;
        while(i<=n){
                ans*=i;
                ++i;
        }
        return ans;

}
int fact_for(int n){
        int ans=1;
        for(int i=1;i<=n;++i){
                ans*=i;
        }
        return ans;
}

根据前面学过的标志位的用法,大体可以推测一下汇编语言可能怎么写

参数int n放在edi寄存器

一开始int ans=1;要从一个寄存器里放一个1,由于最后返回的也是ans,因此可以直接用eax(int32位,需要双字寄存器eax,不用四字寄存器rax)寄存器方便返回

然后循环临时变量i也需要一个寄存器存储其值,用edx

循环判断就是i和n的大小判断cmp %edx,%edi,这个式子基于R[%edi]-R[%edx]=n-i

当i<=n时,cmp指令执行完毕之后SF=0恒成立,表示cmp运算结果非负

然后进入循环体ans*=i;,其中R[%eax]=ans,R[%edx]=i,翻译成汇编语言,

imul %eax,%edx计算R[%eax]*R[%edx]然后将结果存放到%eax

循环体执行完毕,下面应该循环变量i自增

inc %edx

下面要回头执行下一次循环,此处应当使用无条件跳转命令,跳到循环判断语句

考虑当循环判断语句不满足时,应当跳转到何处?

使用条件跳转到循环下面的语句

总的来说,推测的汇编逻辑是这样的:

1.安置好形参n,ans,临时变量i在寄存器中的位置

2.循环判断

3.根据刚才的循环判断,决定是否条件跳转出循环

如果没有出循环则执行循环体(乘法),然后自增临时变量i,然后无条件跳转到2

如果跳出了循环则继续执行后面的语句,循环不再考虑

下面实验观察汇编器是如何做的

编译成.o文件之后用objdump反汇编得到

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

Disassembly of section .text:

0000000000000000 <fact_while>:
   0:   f3 0f 1e fa             endbr64
   4:   b8 01 00 00 00          mov    $0x1,%eax
   9:   ba 01 00 00 00          mov    $0x1,%edx
   e:   39 f8                   cmp    %edi,%eax
  10:   7f 08                   jg     1a <fact_while+0x1a>
  12:   0f af d0                imul   %eax,%edx
  15:   83 c0 01                add    $0x1,%eax
  18:   eb f4                   jmp    e <fact_while+0xe>
  1a:   89 d0                   mov    %edx,%eax
  1c:   c3                      retq

000000000000001d <fact_for>:
  1d:   f3 0f 1e fa             endbr64
  21:   b8 01 00 00 00          mov    $0x1,%eax
  26:   ba 01 00 00 00          mov    $0x1,%edx
  2b:   39 f8                   cmp    %edi,%eax
  2d:   7f 08                   jg     37 <fact_for+0x1a>
  2f:   0f af d0                imul   %eax,%edx
  32:   83 c0 01                add    $0x1,%eax
  35:   eb f4                   jmp    2b <fact_for+0xe>
  37:   89 d0                   mov    %edx,%eax
  39:   c3                      retq

这样两种循环的写法在机器层面是一模一样的.现在研究其汇编语言的逻辑,以fact_while的汇编语言为例分析其汇编语言的逻辑

1
2
3
4
5
6
7
8
9
10
11

0000000000000000 <fact_while>:
   0:   f3 0f 1e fa             endbr64
   4:   b8 01 00 00 00          mov    $0x1,%eax
   9:   ba 01 00 00 00          mov    $0x1,%edx
   e:   39 f8                   cmp    %edi,%eax
  10:   7f 08                   jg     1a <fact_while+0x1a>
  12:   0f af d0                imul   %eax,%edx
  15:   83 c0 01                add    $0x1,%eax
  18:   eb f4                   jmp    e <fact_while+0xe>
  1a:   89 d0                   mov    %edx,%eax
  1c:   c3                      retq

1.mov $0x1,%eax

R[%eax]=0x1

这里我们可能会这样分析:eax寄存器是返回值的一部分,因此可以推断,这一句对应c源代码中的int ans=1;

但是实际上这里对应的是int i=1

==这一点可以从下文中分析得出==

2.mov $0x1,%edx

R[%edx]=0x1,对应的是int ans=1

3.cmp %edi,%eax

这里就可以看出1和2中,或者说%edx,%eax中到底谁放了ans,谁放了i

比较指令,基于R[%eax]-R[%edi],如果与c源程序while(i<=n)对应的话

R[%edi]=n是可以肯定的,因为第一个参数放在edi中

那么R[%eax]=i随之确定了

(感觉可以把i和ans的寄存器换一换,这样返回的时候可以直接返回rax,其中正好存放ans,但是当前不知道为啥,编译器没有这样做,而是在最后将edx拷贝到eax)

4.jg 1a <fact_while+0x1a>

jg:jump if greater,

如果!(i<=n)即i>n,则cmp %edi,%edx=R[%edx]-R[%edi]=i-n>0,ZF=0,并且显然这里没有溢出和进位,即满足~(SF^OF)&~SF,jg跳转条件成立,发生条抓

这里和while(i<=n)成立的条件是相同的,都是在进入循环之前首先进行条件判断

注意跳转位置:1a <fact_while+0x1a>

1
2

18:   eb f4                   jmp    e <fact_while+0xe>
1a:   89 d0                   mov    %edx,%eax

1a位置恰好为无条件跳转的下一句,表明出了循环

5.imul %eax,%edx

==注意后者为目的==

R[%edx]=R[%eax]*R[%edx]

对应循环体ans*=i

6.add $0x1,%eax

R[%eax]=R[%eax]+0x1

对应临时变量i自增

7.jmp e <fact_while+0xe>

无条件跳转,跳转位置是fact_while开始向后偏移0xe字节

实际跳转到判断指令cmp,意思是重新进行循环

8.mov %edx,%eax

如果程序执行到此句,它上一句又是无条件跳转,说明程序是从更早的条件跳转过来的,对应jg 1a <fact_while+0x1a>

这一句的逻辑是把edx寄存器中的东西拷贝给eax一份

edx我们分析过存放的是ans

eax我们分析过存放的是i

然而函数希望返回ans,并且返回值是以eax寄存器为准

因此这里需要把ans搬到eax中

9.retq

函数返回

3.条件传送数据

条件传送数据指令,意思就是当满足某些条件时,才会将数据从哪里拷贝到哪里,还是比较容易理解的

跳转指令

PC相对寻址跳转

首先分析CSAPP给出的例子

1.movq %rdi,%rdx

R[%rdx]=R[%rdi]=x将传入的参数放进rax寄存器

2.jmp .L2

无条件跳转到.L2

.L2:

首先testq %rax,%rax作用是置符号标志,方便判断R[%rax]是负数还是非负数

然后jg .L3 ,jump if greater 即如果R[%rax]>0则跳转.L3

.L3:

sarq %rax,寄存器%rax中的值右移一位,即除以二下取整

显然当R[%rax]=0时.L2中的jg不再满足条件,执行第八行 的返回语句

因此可以推断,源c程序是这样写的:

1
2
3
4
5

void func(int x){
	while(x>0){
		x>>=1;
	}
}

对.o文件使用objdump反汇编得到

第一行和刚才相同

第二行jmp 8这里8怎么来的?左侧的机器码为eb 03,即实际操作数是0x03,然后程序进行到loop+0x3位置即该指令时,首先要做的就是程序计数器移动到下一条指令的位置,即移动loop+0x03这条指令的长度2,此时PC=5,然后jmp 8的8就是PC+0x03=5+3=8,这样得到的

习题3.15

A.当执行4003fa条指令时,PC=4003fc,然后74 02表明要跳转的位置是PC+0x02=0x4003fc+0x02=0x4003fe,即je 0x4003fe

B.当执行40042f条指令时,PC=400431,然后74 f4表明要跳转的位置时PC-0x0C=0x400431-0x0C=0x400425,即je 0x400425

C.执行前一条指令的时候,程序计数器指示下一行的指令位置,即为PC,0x400547=PC+0x02得到PC=0x400545,则第一行的指令地址为0x400545-2=0x400543

D.执行4005e8条指令时,PC=4005ed,字节按照从最低位到最高位的顺序列出为0xff ff ff 73=-141=-0x00 00 00 8D

PC-0x8D=0x4005ed-0x8d=0x400560

因此jmpq 0x400560

习题3.18

程序逻辑分析如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

R[%rax]=R[%rdi]+R[%rsi]=x+y
R[%rax]=R[%rax]+R[%rdx]=x+y+z
计算R[%rdi]-(-3)=R[%rdi]+3=x+3,根据结果置符号位SF和溢出位OF
如果刚才的值大于等于0即x+3>=0,x>=-3则跳转到.L2
否则计算R[%rsi]-R[%rdx]=y-z
如果刚才的值大于0即y-z=>0即y>=z则跳转.L3
否则R[%rax]=R[%rdi]=z
R[%rax]=R[%rax]*R[%rdi]=x*z;
return R[%rax]=x*z;

.L3:
R[%rax]=R[%rsi]=y
R[%rax]=R[%rax]*R[%rdx]=y*z
return R[%rax]=y*z;

.L2:
计算R[%rdi]-2,g,根据结果置符号位SF和溢出位OF
不考虑溢出,则当SF=1或者ZF=1即刚才的结果小于等于0即R[%rdi]-2<=0即R[%rdi]=x<=2,则跳转.L4
否则R[%rax]=R[%rdi]=x
R[%rax]=R[%rax]*R[%rdx]=x*z

.L4
return R[%rax]

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

int func(int x,int y,int z){
	int temp=x+y+z;
	if(x>=-3){
		if(x<=2){
			return temp;
		}
		else{
			return x*z;
		}
	}
	else if(y>=z){
		return y*z;
	}
	else
		return x*y;
}

但是这样写会有4条return语句,答案只有一条return语句,在完成所有条件判断之后返回val

首先改写成:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

int func(int x,int y,int z){
	int temp=x+y+z;
	if(x>=-3){
		if(x<=2){
			//啥也不干
		}
		else{
			temp=x*z;
		}
	}
	else if(y>=z){
		temp= y*z;
	}
	else
		temp= x*y;
}

然后x>=-3,x<=2下面是没有东西的,考虑不写这一条

1
2
3
4
5
6
7
8

if(x>=-3){
	if(x>2)temp=x*z;
}
else if(y>=z){
	temp=y*z;
}
else temp=x*y;
return temp;

这样写还是与给定的格式不一样

第一个if下面应该有一个if,有一个else,最后不应该有else

1
2
3
4
5
6

if(x<-3){
	if(y>=z)temp=y*z;
	else temp=x*y;
}
else if(x>2)temp=x*z;
return temp;

此时就和给定的格式相同了

testq %rsi之后各标志位的情况

用testq如何判断一个数是正数还是负数?

正数时SF^OF=0andZF=0

负数时SF^OF=1

0时ZF=1

非负数SF^OF=0

那么配合jge

跳转成立条件即\(!(SF\oplus OF)=1\)即\(SF\oplus OF =0\)

1
2
3
4
5
6
7
8
9
10
11
12
13

long loop_while2(long a,long b){
	if(b<=0){
		return b;
	}
	else{
		int temp=b;
		while(b>0){
			temp*=a;
			b-=a;
		}
		return temp;
	}
}

1
2
3
4
5
6
7
8

long loop_while2(long a,long b){
	long result=b;
	while(b>0){
		result=result*a;
		b=b-a;
	}
	return result;
}

递归过程

需要了解一下过程,调用约定

汇编第6行如果跳转实现的话(rdi中存放的x=0)则到11行将被调用者保存的rbx还原,之前又把eax置0,因此返回0,相当于啥也没干

对应rfun函数中的条件判断

1

if(x==0)return 0;

c程序下面的递归过程对应汇编中不满足条件跳转的语句(7到12行)

第7行将rdi中存放的x右移两位

第8行就调用rfun了,rdi是调用者保存的,用来给rfun传递参数,

rfun(x)将会调用rfun(x>>2)

这样一直递归调用到最内层的函数时x==0不满足跳转条件了,返回0,rbx值不变,还是调用者给的值,

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

假设上级函数rbx=y
rfun(x)//x放到rdi里
	把rbx中的y存一下
	x放到rbx里
	eax归零
	if(x==0){
		把刚才放起来y重新放回rbx里
		return 0;
	}
	rdi中的x右移两位成为x1
	rfun(x1){}
		...
		rdi中的x1右移两位成为x2
		rfun(x2){
			...
		}
		rbx中的x1加到rax上
		返回rax
	}
	rbx中的x加到rax上
	返回rax
	

rax中累计的是历次x的值

rbx保存"本次"x 的值

rdi也是本次x的值啊?为什么还要rbx保存一下?

在将本次的x累加到rax中之前rdi中的x已经右移两位了,应该用rbx记住x之后再右移

rbx的作用就是记住本次本次本次的x值,

可以这样理解:

如果不用rbx,可以开一个数组,

比如第一层函数的参数x放到数组第一位

第二层函数的参数x1放到数组的第二位

...

然后在返回的时候只需要将下一层函数的返回值与本层在数组中存放的参数值乘起来然后返回

但是实际上寄存器很有限,被调用者寄存器只有六个,如果递归层数很多了则这种数组是不现实的

只用一个的话就是滚动数组的思想了

在返回之前,由于要返回的值已经用完了,rbx的暂时存放使命完成,可以还给上一层函数了,继续承担上一层函数的暂时存放使命

CSAPP-chapter8

感觉大一上学期c语言还有下学期基于c语言的基础课程设计学得好失败.

当时一个位图放缩,我既不懂位图格式,也不懂二进制文件,还不熟悉glibc函数.

本学期操作系统,更是云里雾里,对虚拟内存,进程等概念从未听过,却上来就要讲缺页置换算法,调度算法等等各种算法

对于CSAPP这本书,只能说相见恨晚,应当替代大一下的基础课程设计,作为计组和操作系统先修课.

欠的债在大二下才还上,可以说亡羊补牢?

异常

控制流

一个没有跳转,正常执行的程序,其执行过程中程序计数器PC总是连续变化的,

假设指令序列为 \[ I_1,I_2....,I_n \]

指令对应的地址为 \[ A_1,A_2,...,A_n \] 由于x86上的指令采用变长编码方式,因此\(A_1,A_2,...,A_n\)有可能不是等差数列,但是可以啃腚的是他们连续,

程序计数器PC的值构成的序列被称为控制流,如果程序一直顺序进行没有调用跳转返回,并且没有发生异常,则PC的值一直连续,这样的控制流称为"平滑的"

当程序中有跳转,函数调用,函数返回,或者异常时,控制流不再平滑,此时控制流被称为"异常控制流"(ECF) 异常控制流包括跳转,调用,返回,异常等

异常的定义

先说一些必要的废话

定义:异常就是控制流中的突变,按照这个定义,跳转,调用,返回,异常处理程序都是

异常是异常控制流(ECF)的一种,需要硬件和操作系统协同实现.

异常处理的过程

序幕:异常的触发

异常是如何触发的呢?

处理器中的重大状态变化,状态可以是某些寄存器中的某些位等,被处理器检测到(检测电平的变化对于处理器来说易如反掌,可以实现)

就好像一个人走着走着感觉低血糖了 ,这人自然就感觉到了,然后对低血糖的对策应该吃点糖.这吃点糖就是异常处理程序

吃完糖然后缓过来了继续走路

这就是控制还给之前正在执行的指令

如果低血糖非常厉害,人直接寄了,相当于发生了终止,先前的进程不再进行

开端:异常的察觉与定性

处理器根据状态位的变化判断,发生甚么事了

就好像这个走路的人走着走着感觉头晕,无力,快要饿死,这三种状态一组合,人就知道发生了低血糖

每种事件在制作处理器时都已经交给处理器一个编号,发生某种事件处理器就可以知道对应哪个编号

就好比从小就教给这个人,

高血糖编号0,

低血糖编号1,

尿急编号2,...

然后有一天这个人犯了低血糖,他就知道自己犯了编号为1的毛病

但是这个人知道了自己犯了1号病有啥意义呢?实践生活中也确实没有这样整,应该是怪没有意义的

那么给事件编号的意义又是啥?

这种编号感觉类似协议,处理器调用异常处理程序的时候只需要根据特定的编号去调用特定的处理程序,而处理程序的代码不是处理器管,是操作系统维护的异常表管的,那么处理器用什么信息去查表调用相关的异常处理程序呢?

如果现实中也是这样,人知道了自己犯了1号毛病,去了门诊直接说"我犯了1号病",大夫就知道应该开葡萄糖的药,不需要病人费一大堆话描述"我犯了 头晕无力饿 的病"

同样,处理器在查表之前将自己的各种状态量化成一个魔数,把最困难的事自己解决了,然后用这个魔数去查表岂不是轻轻松松

但是现实生活中并没有给低血糖这种病编号,看起来这种方法很简单快捷,为什么不用?

一是人生活中要记的事情已经太多,病的编号记不住,二是病人觉得是1号病但是大夫可能不这样认为,有可能是更大的毛病

但是对机器来说,没有这么多的可能,根据状态位的变化,已经可以清楚地确定发生了甚么,并且每种毛病的编号都已经被写入硬件,永远牢记,因此可以使用这种方式

发展:根据事件号查异常表

处理器确定事件及事件编号之后,要根据事件编号采取相应的异常处理程序,这时需要去查异常表

异常表是由操作系统启动时分配和初始化的,存放在主存中,事件编号作为下标,异常处理程序的地址作为表项

用事件编号作为下标去查异常表,获得的表项是异常处理程序的地址,然后控制交给该异常处理程序

整个查表的过程与页表的工作方式很像

单级页表的下标是虚拟页号VPN,页表项是物理页号

处理器怎么知道表在哪里的呢?

异常表的起始地址会专门被一个寄存器--异常表基址寄存器(exception table base regsiter)保存,这个寄存器在CPU里

查表的时候

etbr寄存器中存放基址,异常号(可能存放在某个寄存器中)作为偏移量,两个加起来去访问数组项

高潮:异常处理

刚才查完异常表之后处理器已经获得了异常处理程序的首地址,处理器只需要把PC值改为该异常处理程序的首地址

看到这里不禁疑惑,如果异常不是很严重可以被处理,处理完了怎么回到刚才的程序呢?谁来保存刚才进程的执行现场呢?

CSAPP用异常处理和函数调用的对比解决了这个疑惑

执行异常处理程序之前,处理器会将返回时的指令地址,以及其他一些状态(通用寄存器,堆栈指针,程序状态字等等)统统滴压入内核栈,注意不是用户栈

这里从异常处理程序返回时的指令地址只有两种,要么是触发异常的指令地址,要么是下一条指令,

具体是那一条要根据事件类型确定,即根据事件编号确定.

这是后话

为什么要压入内核栈?我的猜测是

异常处理程序要运行在内核状态,访问内核栈方便

为什么异常处理程序要运行在内核状态?我的猜测是

异常处理程序需要请求一些内核的资源,比如缺页异常处理程序会进行磁盘到内存换页的操作,设计了IO操作.而这些在用户状态没有权限做到

上述进程信息都压内核栈保存之后,PC置为异常处理程序的地址,控制交给异常处理程序(或者说异常处理程序占用处理器)

结局:异常处理完了返回

首先考虑一个人大街上走着低血糖了可能怎么处理

一是轻微的,吃块糖缓过来接着走

二是稍微严重,回家歇着了,改天再出来

三是非常严重,人暴毙了(虽然几率不大),这辈子不可能再走路了,也省了处理的麻烦

根据引发异常的事件类型,异常处理完后的返回也可以分成三种

1.返回给当前指令(触发异常的指令),重新进行,比如缺页异常

2.返回给当前指令的下一条指令

下一条指不发生异常时下一条应该执行的指令

3.发生异常的程序被中断,不再执行

异常的类别

异常就四种,中断,陷阱,故障,终止

其中只有属于异步异常的中断发生在CPU之外,只能由IO设备产生,比如按下键盘,点击鼠标,打印到屏幕,等等各种事件

陷阱是有意为之的,目的是从是处理器从用户态陷入内核态(通过修改某种标志位),作用是拥有使用任意资源的权限,比如syscall指令

故障和终止都是不希望发生的,区别是故障算是比较轻微的异常,比如缺页,通过牺牲物理页换入缺页就可以解决

但是终止就是比较严重的异常,程序无法继续运行了,比如栈缓冲区溢出被金丝雀检测到

中断

此处的"中断"更确切的是说"外部中断"或者"硬件中断",即IO外设导致的中断,不是程序有意产生的中断

up九曲阑干举例是键盘输入导致的中断

在这个计算机的模型机中,内存总线和IO总线不是一路,但是汇集到IO桥,然后IO桥通过系统总线连接到CPU中的总线接口,总线接口是与CPU内部寄存器相连的

IO总线上挂着的都是IO外设,比如USB,显示器,键鼠,磁盘等等,计算机就算没有这些东西也可以运行

按下键盘的时候,键盘控制器会向处理器的中断引脚发送中断信号,并且会把异常号通过IO总线,IO桥,系统总线传递给CPU,

中断信号的目的是提醒CPU应该处理中断了,异常号的作用是告诉CPU是键盘出现异常,而不是鼠标

中断信号和异常号都是CPU判断异常事件需要用到的信息

由于键盘发送信号和CPU处理指令是异步的,因此当键盘发送中断信号的时候,CPU有可能还在执行一条命令.CPU必须完成了手头上那一条命令之后,才可以处理中断.

完成手头上的指令后,CPU检测到中断引脚那里发生了电位变化,因此知道发生中断了,然后通过异常号知道是哪个IO设备发生了中断,根据这两个信息CPU就能确定发生了什么事,下面就可以异常处理了

异常处理完之后,应该返回什么地方呢?由于刚才手头上的最后一条指令已经被彻底执行了,自然应该返回下一条指令.

这就好比

正在写作业,突然有人敲门,为了防止当前正在解决的数学问题思路被打断重来,我先做完这道题,然后去处理访客的问题

到了门口得先问问是谁在敲门,是熟人就开门

然后得端茶倒水儿,把客人招待好,等客人走了把门一关回去接着做下一道题

这里数学题就相当于CPU正在执行的指令,

敲门这个信号就相当于中断引脚上的电位变化,

做完这道题再去开门就相当于CPU执行完当前一条指令然后再去处理中断,

询问访客姓名和敲门合起来,相当于CPU确定事件号,

招待客人的过程相当于执行中断处理程序

客人走了继续做下一道题相当于中断处理完成之后返回下一条指令

综上,中断处理过程的流程图表示为

从数学作业的角度来说,中间招待客人的时候,数学作业没有被处理,但是作业本子也不知道这个做题的是玩电脑去了还是蹲坑去了还是招待客人去了.反正这不重要.重要的是不管中间干了啥,数学作业都是被完整做完的.

因为访客和做作业是异步的,所以招待客人和数学作业玩不玩成一点关系都没有

从正在执行的进程角度看,发生中断被抢占CPU和被其他进程抢占CPU没有区别,进程也没有因为中断被改变什么

陷阱(系统调用)

陷阱又可以理解为软件主动产生的"软中断",是有意为之的

系统调用,陷阱最重要的用途是在用户程序和内核之间提供一个像过程一样的接口，又叫做系统调用。

在网上搜索的时候,感觉有一种广义的"系统调用",表示一整个从用户程序到硬件然后再返回用户程序的过程

感觉还有一种狭义的系统调用,就是导致CPU从用户态改变到内核态那关键的一条汇编指令int $0x80

系统级函数,比如open(),read(),close()等等,涉及IO操作,显然只在用户态是干不成事情的,需要使用内核的资源,需要陷入内核态,因此需要去执行系统调用

我们写的程序怎么陷入内核态呢?在c源代码层面上只需要调用glibc中的系统级函数

汇编语言层面观察系统级函数write的实现

CSAPP上给出的x86-64linux系统调用号表(感觉这里系统级函数和系统调用的概念有些混淆,应该是广义的系统调用)

调用write

系统调用号用rax传递

文件描述符用rdi传递

字符串用rsi传递

字符串长度用rdx传递

syscall即侠义的系统调用

在用户视角下系统调用过程示意图

程序员视角意味着"陷阱处理程序"是一个抽象的概念,程序员知道系统要做这么一个陷阱处理,但是具体做了啥程序员不知道,

程序员可以知道的是自己的程序会调用syscall,然后CPU的使用权就不属于自己的程序了,而是属于陷阱处理.程序员还知道的是陷阱处理之后的结果,比如调用write之后将缓冲区char buffer[20];中的字符打印到了屏幕上

废话:为什么要有陷阱(系统调用)这种异常?

c库函数,系统级函数,系统调用的关系

c库函数

libc和glibc都是Linux下的c函数库

glibc是linux下面c标准库的实现，即GNU C Library。glibc本身是GNU旗下的C标准库，后来逐渐成为了Linux的标准c库，而Linux下原来的标准c库Linux libc逐渐不再被维护。Linux下面的标准c库不仅有这一个，如uclibc、klibc，以及上面被提到的Linux libc，但是glibc无疑是用得最多的。glibc在/lib目录下的.so文件为libc.so.6。

c函数库中的函数非常多,可以按照有没有涉及系统调用进行分类

涉及系统调用的printf,scanf,malloc,free等,这些函数都是系统级函数,这些函数执行系统调用陷入内核

不涉及系统调用的itoa,strstr等

关于库函数和内核函数的区别,这个问题中文站点搜了好多,全在扯淡,最后参考了 stackoverflow

比如内核函数sys_fork就是c库函数fork系统调用入口,即当我们的的代码中使用fork函数的时候,fork函数会去自己调用sys_fork而不是调用sys_write

为啥要这样套娃呢?

因为sys_call是内核函数,依赖于系统

但是fork是c库函数,要求POSIX可移植

这就好似协议分层,fork所在高层只管调用内核提供的一个叫sys_fork函数,内核具体怎么实现这个函数不关心

而内核也不知道上层会有什么,只管根据人的需要涉及sys_fork的参数返回值,功能等等

fork函数大体的调用链(踢皮球链)

1	fork() -> glibc wrapper -> raw syscall invocation -> transition to kernel mode -> syscall lookup -> sys_fork() -> do_fork().

内核函数

kernel函数即内核函数

Assembly - System Calls (tutorialspoint.com)给出了一个x86linux上调用write时,在内核函数层面发生的事情

x86linux内核函数表:

1 2 3 4 5

mov edx,4 ; message length ;要打印的信息长度用edx传递 mov ecx,msg ; message to write ;要打印的信息msg用ecx寄存器传递 mov ebx,1 ; file descriptor (stdout) ;文件描述符,魔数1表示标准输出,即显示器 mov eax,4 ; system call number (sys_write) ;eax存放内核函数号,决定调用sys_write函数 int 0x80 ; call kernel ;陷入内核,根据先前放在eax中的系统调用号决定执行什么命令

系统命令和系统调用的关系

系统命令比如ls,ifconfig,mv,cp等等是由一个或者多个c库函数实现的,可能其中会用到系统调用.系统命令和系统调用之间还有一段距离

CSAPP上就有练习题让我们用<stdio.h>等头文件里面c库函数写一个mv命令之类的

操作系统视角下的系统调用过程

用户进程通过eax寄存器将内核函数号交给system_call函数,这时已经下到kernel模式了

system_call函数的作用是,根据内核函数号去查system_call_table表,执行相应的sys_开头的内核函数,

内核函数执行完毕之后执行syscall_exit返回到system_call函数

system_call函数执行resume_userspace返回用户空间

系统调用的整个过程

例如getpid函数系统调用的简化过程

1
2
3
4

getpid()
	int 0x80
		system_call
			sys_getpid()

实验:添加系统调用

添加一个系统调用不只是向系统调用号表中添加一个表项,要考虑内核中整个系统调用过程

1.根据系统调用类型查系统调用号表获得系统调用号

2.系统调用号查内核函数跳转表找到应该执行的内核函数

3.执行内核函数

各部分的具体作用和位置如下

系统调用号表unistd_32.h

前置知识:c语言宏定义

在我校的操作系统实验中,使用的操作系统内核版本是linux-2.6.32.60

在/usr/src/linux-2.6.32.60/arch/x86/include/asm/unistd_32.h位置

该文件中全是宏定义,形如#define __NR_exit 1,将每一个系统调用号魔数定义为一个有实际意义的字面量

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

#ifndef _ASM_X86_UNISTD_32_H
#define _ASM_X86_UNISTD_32_H

/*
 * This file contains the system call numbers.
 */

#define __NR_restart_syscall      0
#define __NR_exit		  1
#define __NR_fork		  2
#define __NR_read		  3
#define __NR_write		  4
...
    
#define NR_syscalls 337			//系统调用总个数
    
...

感觉类似于DNS协议

将ip地址号映射到一个方便人类记忆的域名

将一个域名解析到一个ip地址号

内核函数跳转表syscall_table_32.S

前置知识x86汇编语言

.S:汇编语言源程序;预处理,汇编

也就是说该文件是汇编写的

内核函数跳转表以系统调用好表中的系统调用号为下标,总个数也是在unistd_32.h中宏定义的#define NR_syscalls 337

系统调用号和内核函数跳转表项是一个萝卜一个坑的关系,修改系统调用号就得修改跳转表项,因此现有的不要乱改

如果系统调用号没有对应下标的内核跳转表表项,则默认指向函数调用表中,教材中说是sys_ni_syscall()

在我校的操作系统实验课程的安排中,这个内核函数跳转表的位置在/usr/src/linux-2.6.32.60/arch/x86/kernel/syscall_table_32.S

1
2
3
4
5
6
7
8
9

ENTRY(sys_call_table)
	.long sys_restart_syscall	/* 0 - old "setup()" system call, used for restarting */
	.long sys_exit
	.long ptregs_fork
	.long sys_read
	.long sys_write
	.long sys_open		/* 5 */
	.long sys_close
	.long sys_waitpid

这个跳转表也比较类似CSAPP第三章上介绍的switch跳转表

系统调用号表和内核函数跳转表有一一对应关系

内核函数声明syscalls.h

该声明在/usr/src/linux-2.6.32.60/include/linux/syscalls.h中

就是一个头文件,里面都是函数声明,在链接时起到引用的作用

1
2
3
4
5
6
7
8
9
10
11
12
13

asmlinkage long sys_time(time_t __user *tloc);
asmlinkage long sys_stime(time_t __user *tptr);
asmlinkage long sys_gettimeofday(struct timeval __user *tv,
				struct timezone __user *tz);
asmlinkage long sys_settimeofday(struct timeval __user *tv,
				struct timezone __user *tz);
asmlinkage long sys_adjtimex(struct timex __user *txc_p);

asmlinkage long sys_times(struct tms __user *tbuf);

asmlinkage long sys_gettid(void);
asmlinkage long sys_nanosleep(struct timespec __user *rqtp, struct timespec __user *rmtp);
...

关于asmlinkage修饰符:

需要前置知识,x86汇编语言和调用约定

类似位置的修饰符我们见过__cdecl,__fastcall,这里asmlinkage也是一种调用约定的修饰符,试想如果不声明该修饰符,则linux上按照System V AMD64 ABI约定的函数传参方法,前六个参数是通过edi,esi,edx,ecx,r8d,r9d这六个寄存器传递的,返回值是通过eax寄存器传递的.

而对于内核函数

asmlinkage是一个宏定义#define asmlinkage CPP_ASMLINKAGE __attribute__((regparm(0))),

其作用是使用eax,ebx,ecx传递参数,eax始终传递系统调用号(内核函数号)

比如write函数从用户态下到内核态system_call时的调用过程

1 2 3 4 5

mov edx,4 ; message length ;要打印的信息长度用edx传递 mov ecx,msg ; message to write ;要打印的信息msg用ecx寄存器传递 mov ebx,1 ; file descriptor (stdout) ;文件描述符,魔数1表示标准输出,即显示器 mov eax,4 ; system call number (sys_write) ;eax存放内核函数号,决定调用sys_write函数 int 0x80 ; call kernel ;陷入内核,根据先前放在eax中的系统调用号决定执行什么命令

内核函数实现sys.c

内核函数的定义实现在/usr/src/linux-2.6.32.60/kernel/sys.c里

该源文件开幕就是版权声明,是龙得卧着,是虎得盘着,我Linus是什么人不用我自己说

1
2
3
4
5

/*
 *  linux/kernel/sys.c
 *
 *  Copyright (C) 1991, 1992  Linus Torvalds
 */

然后include了一大堆头文件,其中就有syscalls.h

1
2
3
4
5

#include <linux/module.h>
.....
#include <linux/syscalls.h>
....
#include <asm/unistd.h>

然后就见鬼了,一个sys_开头的函数实现都没有找到,这样syscalls.h岂不是include了个寂寞

在syscalls.h的宏定义中我们可以找到答案

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

#define SYSCALL_DEFINE0(name)	   asmlinkage long sys_##name(void)
#define SYSCALL_DEFINE1(name, ...) SYSCALL_DEFINEx(1, _##name, __VA_ARGS__)
...
#define SYSCALL_DEFINE6(name, ...) SYSCALL_DEFINEx(6, _##name, __VA_ARGS__)

...
  
#define SYSCALL_DEFINE(name) asmlinkage long sys_##name
#define __SYSCALL_DEFINEx(x, name, ...)					\
	asmlinkage long sys##name(__SC_DECL##x(__VA_ARGS__));		\
	static inline long SYSC##name(__SC_DECL##x(__VA_ARGS__));	\
	asmlinkage long SyS##name(__SC_LONG##x(__VA_ARGS__))		\
	{								\
		__SC_TEST##x(__VA_ARGS__);				\
		return (long) SYSC##name(__SC_CAST##x(__VA_ARGS__));	\
	}								\
	SYSCALL_ALIAS(sys##name, SyS##name);				\
	static inline long SYSC##name(__SC_DECL##x(__VA_ARGS__))

即asmlinkage long sys_##name这种格式的函数接口都被统一地宏定义为__SYSCALL_DEFINEx(x, name, ...)

统一定义成SYSCALL_DEFINE0到SYSCALL_DEFINE6这7种宏定义,作用是是实现起来方便

而sys.c中就有__SYSCALL_DEFINEx(x,name,...)这类函数的实现

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

SYSCALL_DEFINE3(setpriority, int, which, int, who, int, niceval)
{
...
}

/*
 * Ugh. To avoid negative return values, "getpriority()" will
 * not return the normal nice-value, but a negated value that
 * has been offset by 20 (ie it returns 40..1 instead of -20..19)
 * to stay compatible.
 */
SYSCALL_DEFINE2(getpriority, int, which, int, who)
{
...
}

我们自定义的内核函数又少又简单,没有必要也遵守这种宏定义,直接在sys.c中按照syscalls.h中的函数声明去实现函数即可.反正宏定义只是起别名,叫绰号和叫原名都不会错

我们需要做的

考虑上述各部分的作用,我们需要做的

1.添加系统调用表unistd_32.h项

修改之前:

格式比着葫芦画个瓢,修改之后

注意下面#define NR_syscalls 338也得跟着改,

这个值表示的是系统调用的总数,由于系统调用号从0开始编号,因此当我们新增一个337号时,总数有338个

2.添加内核函数跳转表syscall_table_32.S表项

只需要在最后一行添加一项,格式比着葫芦画个瓢

3.在syscalls.h中增加一条函数声明

注意以root打开文件才有权限修改

4.在sys.c中增加内核函数的实现

这里最后手残写了一个S一开始没发现,编译就是不通过,在形成sys.o时报错,回来看笔记才发现多一个S

5.编译内核

前置知识

linux内核

链接

makefile的编写

我几乎都不会

学校给的实验环境中写好了makefile,好长一个,整个内核的编译,我唧己啃腚写不出来.

并且makefile涉及链接操作,在CSAPP第七章有比较详细的介绍,这是后话了

然后就是makefile的语法,这我目前也不会,这也是后话了

总之就是

1
2
3
4

make menuconfig #修改一下内核名称这种无关紧要的东西,其他的不敢改也不会改,在这里我
make	#执行makefile文件,开始漫长的编译过程
make modules_install
make install

如果上述四步都能完整执行,真的烧高香了

编译完了会形成一个vmlinux.o目标模块,链接后会形成vmlinux这么一个32位ELF可执行文件

后面两步完了之后会在/lib/modules下面生成

2.6.32-28-generic是系统原来自带的

2.6.32.60XXXXXXXXXXXXh是实验一生成的

2.6.32.60XXXXXXXXXXXXf是本次实验生成的

然后使用update-initramfs -c -k 2.6.32.60XXXXXXXXXXf生成"虚拟盘文件"

我们正在玩一个大型橙光游戏,动辄编译个把小时,以防万一,此时拍一个快照吧

6.修改grub.cfg

grub.cfg在/boot/grub/grub.cfg

比着葫芦画瓢,照抄一个稍微改一下

完了保存重启

7.验证

/mnt/hgfs/share/test.c中这样写

选这么一个位置纯粹是因为共享文件夹,可以在本机直接用vscode编写,虚拟机输入个字符都卡的要死

1
2
3
4
5

#include <stdio.h>
int main(){
    printf("test sjf's syscall,%d\n",syscall(337,13));//调用337号系统调用
    return 0;
}

然后使用dmesg命令查看我们在自定义的内核函数中的输出printk,最后一行是这样的

这与我们编写的是相同的,证明我们自己新增的系统调用的整个过程奏效了

故障

由错误情况引起,可能被故障处理程序修正.

比如缺页异常

终止

发生致命错误,程序直接寄掉,处理程序将控制返回abort历程

异常号

发现异常的时候会用事件号查事件表.这里的异常号不是事件号,而是对每个异常都进行编号

0~31号异常由Intel架构师定义

32~255号异常由操作系统设计师定义

进程

进程上下文:程序正确运行所需的状态组合,包括堆栈,代码和数据,通用寄存器,程序计数器,环境变量,打开的文件描述符集合

私有虚拟地址空间

用户栈往下的部分都是进程独立的虚拟地址空间

私有虚拟地址空间,不是私有物理地址空间.

共享库在主存中只有一块物理地址空间,但是在两个进程虚拟地址空间中映射到不同部分

用户态和内核态

设置两种状态的作用是,限制进程对内核数据结构的访问修改,只有操作系统进程可以运行在内核态.用户应用进程永远不可能运行在内核态,用户应用进程只能通过系统调用,请操作系统去完成目的.

异常处理程序都运行在内核态

用户态和内核态怎么区分的?通过CPU中某个控制寄存器中的某个模式位

上下文切换

高层次的异常

进程上下文包括堆栈,数据和代码,各种寄存器,程序状态字,内核栈,内核各种数据结构比如页表

上下文切换的意思是,挂起当前正在运行的进程,保存其运行现场,然后执行其他进程.当该进程再次被调度时还原其运行现场

发生上下文切换时,操作系统会1.保存当前进程的上下文(放在内存里),2.恢复先前某个被挂起的进程执行现场3.控制交给该进程

上下文切换发生的时机:

1.系统调用可能引发上下文切换,比如当前进程使用系统级函数write向标准输出打印,这个过程对于CPU来说非常漫长.CPU会切换到执行另一个进程,不会等待数据写到显示器.更加明显的是sleep系统调用,不妨把话说得更明白些,直接让进程睡觉.

2.软件中断,进程时间片用光了,该让给另一个进程执行了.

在程序员视角,进程的状态只有三种

进程控制

控制进程的函数都是系统级函数

获取进程ID

1
2
3

#define pid_t int
pid_t getpid(void);		//获取当前进程id
pid_t getppid(void);	//获得父进程id

proc.c

1
2
3
4
5
6
7
8
9

#include <unistd.h>
#include <stdio.h>
#include <stdlib.h>
int main(){
    int pid=getpid();
    int ppid=getppid();
    printf("pid=%d,ppid=%d",pid,ppid);
    return 0;
}

在bash shell命令行上编译运行

1
2
3
4
5
6
7
8
9

┌──(kali㉿Executor)-[/mnt/c/Users/86135/desktop/os]
└─$ ps
  PID TTY          TIME CMD
    9 pts/0    00:00:00 bash
   41 pts/0    00:00:00 ps

┌──(kali㉿Executor)-[/mnt/c/Users/86135/desktop/os]
└─$ ./proc
pid=42,ppid=9

bash调用ps程序,因此bash是ps的父进程

由于proc进程是由bash创建的,因此bash是proc的父进程

进程号只会越来越大,不会重复利用一个已经完成的进程的进程号

创建进程

1

pid_t fork(void);//子进程返回0,父进程返回子进程pid

非常疑惑的一点是为什么一个函数调用可以返回两次

对两个进程分别返回一次

proc.c

1
2
3
4
5
6
7
8
9
10
11
12
13

#include <unistd.h>
#include <stdio.h>
#include <stdlib.h>
int main(){
    printf("in father process 0\n");	//fork之前只会被父进程执行一次
    int pid=fork();						//此处子进程和父进程并行
    if(pid==0){		//对于子进程来说,它确实有一个正整数进程号,但是fork返回的不是
        printf("in son process 1\n");
    }
    if(pid!=0){ 
        printf("in father process 1\n");
    }
}

运行结果:

1
2
3
4
5

┌──(kali㉿Executor)-[/mnt/c/Users/86135/desktop/os]
└─$ ./proc
in father process 0
in father process 1
in son process 1

不管什么进程,其进程号都是正数,不可能是0.fork对子进程的返回值为0并不代表一个进程号,而是区分子进程和父进程的标志

根据fork的返回值不同,这是一模一样的代码区分是父进程在执行还是子进程在执行的唯一标志

这里c风格fork创建进程和C++中使用thread创建线程差别很大

thread创建线程,只需创建一个thread对象,对其构造函数传递一个函数,后面该函数就会自己开一条线程执行,thread对象就是线程的句柄.可以在函数线程之外,比如主线程处,通过thread对象,很自然地操作线程的行为比如detach或者join

而在这里唯一能区分线程的句柄就是一个整数pid,并且这个pid位于进程之中,只能在运行时通过pid判断是哪一个进程.不能在进程之外操作进程的行为

fork之后原来的进程照旧执行,一个新的进程会拥有原进程的一模一样的虚拟地址空间的拷贝,包括代码数据寄存器堆栈等等.子进程和父进程的虚拟地址空间相互独立

proc.c

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

#include <unistd.h>
#include <stdio.h>
#include <stdlib.h>
int global=10;
int main(){
    int local=20;
    int pid=fork();
    if(pid==0){
        printf("in son process: ");
    }
    else{
        printf("in father process: ");
    }
    printf("global=%d,local=%d\n",global++,local++);//这里有修改

}

1
2
3
4

┌──(kali㉿Executor)-[/mnt/c/Users/86135/desktop/os]
└─$ ./proc
in father process: global=10,local=20
in son process: global=10,local=20	#两个打印相同说明global有两个,local有两个

父进程和子进程都打印到屏幕说明父子进程共享父进程已经打开的文件描述符1

用进程图描述fork是比较直观的

进程图如何实现

1.main上多个分支

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

#include <unistd.h>
#include <stdio.h>
#include <stdlib.h>
int main(){
    
    int pids[5];
    int fpid=getpid();//fpid在fork之前先计算好,此后即使所有子进程都拷贝,也只是拷贝的父进程号
    if(fpid==getpid()){//getpid在每个进程都不同,只有父进程中才会有fpid=getpid
        for(int i=0;i<5;++i){
            pids[i]=fork();//实际上后来的子进程的pids也会存有数据,原因是父进程在创建第i个子进程时,pids已经写入前i-1个子进程号了
        }
    }
    if(fpid==getpid()){//getpid在每个进程都不同,只有父进程中才会有fpid=getpid
        printf("in father process,pid=%d\n",fpid);
        for(int i=0;i<5;++i){
            printf("pid%d=%d,",i,pids[i]);
        }
        printf("\n");
    }
    return 0;

}

这样实际上的进程图

运行结果:

1
2
3
4

┌──(kali㉿Executor)-[/mnt/c/Users/86135/desktop/os]
└─$ ./proc
in father process,pid=222
pid0=223,pid1=224,pid2=226,pid3=230,pid4=235,

2.main和第一个子进程同时分支

这个很容易实现

1
2

fork();
fork();

fork前后

proc.c

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

#include <unistd.h>
#include <stdio.h>
#include <stdlib.h>
int global=10;
int main(){
    int local=20;
    int pid0=getpid();          //fork之前getpid
    int forkid=fork();          //forkid只是用来
    int pid1=getpid();          //fork之后getpid
   
    if(forkid==0){
        printf("in son process,pid0=%d,pid1=%d,forkid=%d\n",pid0,pid1,forkid);
    }
    else{
        printf("in father process,pid0=%d,pid1=%d,forkid=%d\n",pid0,pid1,forkid);
    }
    return 0;

}

运行结果:

1
2
3
4

┌──(kali㉿Executor)-[/mnt/c/Users/86135/desktop/os]
└─$ ./proc
in father process,pid0=116,pid1=116,forkid=117
in son process,pid0=116,pid1=117,forkid=0

不管是父进程还是子进程,pid0=116相同,而pid1却不同,这是因为,pid0是fork之前执行的,当fork执行时,pid0已经被计算出了,作为一个局部变量压栈了,子进程不会再去计算pid0,而是从父进程堆栈的拷贝上直接拿.

但是pid1的情况不同,fork之后,子进程已经获得了父进程堆栈的拷贝,此后两个进程地址空间独立,后来的pid1就是分别计算之后分别存放在自己的堆栈里

看起来像是数据不管是fork前后都会被复制,实际上只复制了fork前的数据,此后进程各自维护自己的数据

终止进程

1

void exit(int status);//以status状态码返回

proc.c

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

#include <unistd.h>
#include <stdio.h>
#include <stdlib.h>
int main(){
    int forkid=fork();
    int pid=getpid();
    if(forkid==0){
        printf("in son process,pid=%d\n",pid);
        exit(0);			//让子进程结束运行
    }
    else{
        printf("in father process,pid=%d\n",pid);
    }

    printf("process %d is still running\n",pid);		//此句打印表明还在运行的进程

    return 0;
}

1
2
3
4
5

┌──(kali㉿Executor)-[/mnt/c/Users/86135/desktop/os]
└─$ ./proc
in father process,pid=134
process 134 is still running
in son process,pid=135

回收子进程

进程终止之后并不会立刻消失地无影无踪,而是处于一种等待被父进程回收的状态,父进程回收终止子进程时,内核将子进程的exit状态传递给父进程.子进程被回收后才会消失地无影无踪

如果父进程一直没有回收已经终止的子进程,子进程就一直存在,称为"僵死进程"

如果父进程提前结束呢?内核会安排init进程成为孤儿进程的父进程

这就好比未成年的孩子父母双亡,被警察局送给孤儿院收养

这里起孤儿院作用的init进程,其pid=1,在系统启动时被内核创建,除非关机,否则永不终止.是所有进程的老祖宗.孤儿进程终止后,init会回收之

waitpid

1

pid_t waitpid(pid_t pid,int *statusp,int options);

Attention!!!当第三个参数options不设置的时候,函数的默认行为是:挂起调用进程，直到有满足条件的子进程终止。

参数意义:

1.pid_t pid

如果pid>0则等待该指定pid的子进程终止

如果pid=-1则等待该进程的所有子进程,如果有其中的一个终止则waitpid返回该终止子进程的pid

proc.c

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

#include <unistd.h> #include <stdio.h> #include <stdlib.h> int main(){ int fpid=getpid(); int forkid=fork(); if(forkid==0){//子进程中 printf("in son process,id=%d\n",getpid()); int n=1000000; while(n--);//拖延时间 exit(0); } else{//父进程中 printf("in father process,id=%d\n",fpid); waitpid(forkid,0,0);//指定等待唯一的子进程返回 //只指定第一个参数,其他使用缺省值 printf("son process %d exit\n",forkid); } printf("process %d is still running\n",getpid()); return 0; }

运行结果:

1 2 3 4 5 6

┌──(kali㉿Executor)-[/mnt/c/Users/86135/desktop/os] └─$ ./proc in father process,id=273 in son process,id=274 #父进程需要等待子进程完成 son process 274 exit process 273 is still running

2.int *stausp

如果statusp非空,则waitpid就会在statusp中记录子进程的exit status,使用指针引用传递

proc.c

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

#include <unistd.h> #include <stdio.h> #include <stdlib.h> int main(){ int fpid=getpid(); int forkid=fork();//区分父子进程 if(forkid==0){//子进程中 printf("in son process,id=%d\n",getpid()); int n=1000000; while(n--);//拖延时间 exit(1);//子进程以status=0状态终止 } else{//父进程中 int status=999;//设置status初始值 printf("in father process,id=%d\n",fpid); waitpid(forkid,&status,0);//使用status承载子进程的exit状态值 //缺省第三个参数 printf("son process %d exit with status= %d\n",forkid,status); printf("WIFEXITED(status)=%d\n",WIFEXITED(status)); printf("WEXITSTATUS(status)=%d\n",WEXITSTATUS(status)); printf("WIFSIGNALED(status)=%d\n",WIFSIGNALED(status)); printf("WTERMSIG(status)=%d\n",WTERMSIG(status)); printf("WIFSTOPPED(status)=%d\n",WIFSTOPPED(status)); printf("WSTOPSIG(status)=%d\n",WSTOPSIG(status)); printf("WIFCONTINUED(status)=%d\n",WIFCONTINUED(status)); } printf("process %d is still running\n",getpid()); return 0; }

运行结果:

1 2 3 4 5 6 7 8 9 10 11 12 13

┌──(kali㉿Executor)-[/mnt/c/Users/86135/desktop/os] └─$ ./proc in father process,id=41 in son process,id=42 son process 42 exit with status= 256 WIFEXITED(status)=1 WEXITSTATUS(status)=1 #这是exit(status)中的status WIFSIGNALED(status)=0 WTERMSIG(status)=0 WIFSTOPPED(status)=0 WSTOPSIG(status)=1 WIFCONTINUED(status)=0 process 41 is still running

解释status的几个宏定义

奇怪的是,status明明是一个整数,为什么还能使用类似函数调用的宏,得到不同的结果?

推测status这个双字整形的每一位都携带着某种信息,实际上相当于一个布尔值的返回值集合,这些宏定义通过按位运算相当于在这个返回值集合中取了一部分值做运算

3.int options修改子进程的处理方式

在waitflags.h中有这么几个宏定义

1 2 3

/* Bits in the third argument to `waitpid'. */ //waitpid的第三个参数 其中的一些位 #define WNOHANG 1 /* Don't block waiting. */ //01 #define WUNTRACED 2 /* Report status of stopped children. */ //10

函数的默认行为是:挂起调用进程，直到有满足条件的子进程终止

指定options之后,函数的行为:

options	作用
WNOHANG	如果指定的子进程或者等待集合中的子进程都没有终止则立即返回0
WUNTRACED	挂起父进程,直到等待集合中的一个进程变成已终止或者被停止,返回该子进程pid
WCONTINUED	挂起父进程,直到等待集合中一个正在运行的进程终止或者等待集合中一个被停职的进程收到SIGCONT信号重新开始
WNOHANG | WUNTRACED	立即返回.如果等待集合中的子进程都没有被停止或者终止,返回0.如果有一个子进程停止或者终止,返回该子进程pid

如果调用waitpid的进程没有任何子进程则waitpid返回-1,并设置errno=EINTR

wait

1
2
3
4

#include <sys/types.h>
#include <sys/wait.h>

pid_t wait(int *statusup);

wait(&status)等价于waitpid(-1,&status,0)

父进程挂起,等待子进程之一终止则返回其pid

sleep

1
2

#include <unistd.h>
unsigned int sleep(unsigned int secs);

休眠secs秒,睡够了觉则sleep返回0否则返回还要睡多久

pause

1
2

#include <unistd.h>
int pause(void);

让调用者进程休眠,直到该进程接收到信号

加载并运行程序execve

1
2

#include <unistd.h>
int execve(const char * filename,const char *argv[],const char * envp[]);//成功则不返回,失败则返回-1

执行filename指向的文件,参数为argv,环境为envp

例如:

execve.c

1
2
3
4
5
6

#include <stdio.h>
#include <unistd.h>
int main(){
    execve("/bin/sh",0,0);
    return 0;
}

1
2
3
4

kali@Executor:/mnt/c/Users/86135/desktop/os$ gcc execve.c -O0 -o execve

kali@Executor:/mnt/c/Users/86135/desktop/os$ ./execve
$ 

执行之后shell由bash换成了sh

关于参数const char *envp[]

必须使用get或者set方法访问或者修改环境

1 2 3 4 5

#include <stdlib.h> char *getenv(const char *name);//返回name键对应的value值 int putenv(char *str);//这里str的格式为name=value,将[name,value]键值对放在环境表中,如果name键存在则覆盖之 int setenv(const char *name,const char *newvalue,int overwrite);//[name,newvalue]键值对放在环境表中,如果name键存在则根据overwrite是否为1决定是否覆盖 int unsetenv(const char *name);//清除环境表中的[name,value]键值对,如果name键不存在则什么都不会发生

myecho.c

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

>#include <stdio.h> #include <stdlib.h> #include <string.h> int main(int argc,char *argv[]){ printf("%s\n",getenv("HOME"));//home起始目录 printf("%s\n",getenv("SHELL"));//用户首选shell名 printf("%s\n",getenv("PWD"));//当前工作目录绝对路径 setenv("SHELL","/bin/sh",0);//将用户首选的shell改成/bin/sh,overwrite=0表示如果已经存在name=SHELL的键则啥也不干 printf("%s\n",getenv("SHELL")); setenv("SHELL","/bin/sh",1);//将用户首选的shell改成/bin/sh,overwrite=1表示如果已经存在name=SHELL的键则覆盖原来的value printf("%s\n",getenv("SHELL")); return 0; }

1 2 3 4 5 6 7 8 9 10

>┌──(kali㉿Executor)-[/mnt/c/Users/86135/desktop/os] └─$ gcc myecho.c -Og -o myecho ┌──(kali㉿Executor)-[/mnt/c/Users/86135/desktop/os] └─$ ./myecho /home/kali /bin/bash /mnt/c/Users/86135/desktop/os /bin/bash /bin/sh

setenv还可以新建环境变量,如果name键没有找到则新建环境变量

环境变量表

在当前进程中修改环境变量对当前进程无效,但是对该进程后续建立的子进程有效

这里注意putenv和setenv在overwrite=1时的区别

一是参数的格式,putenv中char *str让写的是name=value这种格式,而setenv中name和value分开成为两个参数

二是参数的类型,putenv中的参数没有const修饰,这就意味着str是可以被修改的

而setenv中的name和newvalue都带有const修饰,不可修改

实际上putenv不会为新的环境变量另外开空间,而是直接把传入的参数(不管是堆上还是栈上还是全局的)填入环境表

setenv则会另开空间拷贝一份环境变量放进环境表

比如下面例子

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

#include <stdio.h> #include <stdlib.h> #include <string.h> int main(int argc,char *argv[]){ char str[]="myid=deutschball"; putenv(str); printf("%s\n",getenv("myid")); strcpy(str,"myid=dustball"); //此处修改str将会导致环境表中键myid的值变化 printf("%s\n",getenv("myid")); char name[]="myunit"; char value[]="empire"; setenv(name,value,0); printf("%s\n",getenv(name)); strcpy(value,"rebel"); printf("%s\n",getenv(name)); return 0; }

1 2 3 4 5 6 7 8 9

┌──(kali㉿Executor)-[/mnt/c/Users/86135/desktop/os] └─$ gcc myecho.c -Og -o myecho ┌──(kali㉿Executor)-[/mnt/c/Users/86135/desktop/os] └─$ ./myecho deutschball dustball #此处值发生了变化 empire empire #此处值不发生改变

此处应有一个编个shell的实验,但是工程量太大,现在不想写,留作后话吧

数据结构在汇编语言下的表现

数组

栈上数组

main.c

1
2
3
4
5
6
7
8
9
10
11
12

void func(){
    int local_array[3];
    int index=2;
    local_array[0]=10;
    local_array[1]=20;
    local_array[2]=30;
    local_array[index]=40;
}
int main(){ 
    func();
    return 0;
}

1
2

gcc main.c -O0 -o main.exe
ida64 main.exe					#需要将ida的根目录添加到环境变量path

func函数的反汇编:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

.text:0000000000401560
.text:0000000000401560 ; =============== S U B R O U T I N E =======================================
.text:0000000000401560
.text:0000000000401560 ; 64位windows上不再有__fastcall和_cdecl等调用约定的区别,只有一个同一的微软x64调用约定
.text:0000000000401560 ; Attributes: bp-based frame
.text:0000000000401560
.text:0000000000401560 ; void __fastcall func()
.text:0000000000401560                 public func
.text:0000000000401560 func            proc near               ; CODE XREF: main+D↓p
.text:0000000000401560
.text:0000000000401560 var_10          = dword ptr -10h			
.text:0000000000401560 var_C           = dword ptr -0Ch
.text:0000000000401560 var_8           = dword ptr -8
.text:0000000000401560 var_4           = dword ptr -4
.text:0000000000401560
.text:0000000000401560                 push    rbp
.text:0000000000401561                 mov     rbp, rsp
.text:0000000000401564                 sub     rsp, 10h        ; 栈上开0x10=16字节的空间,用于存放局部变量(int local_array[3] 数组和int index变量,恰好4个int*一个int占用4字节)
.text:0000000000401568                 mov     [rbp+var_4], 2  ; int index=2,可以判断var_4变量对应index
.text:000000000040156F                 mov     [rbp+var_10], 0Ah ; 0x0Ah=10,对应local_array[0]=10;可以判断var_10对应local_array[0]
.text:0000000000401576                 mov     [rbp+var_C], 14h ; 同理var_C=local_array[1]
.text:000000000040157D                 mov     [rbp+var_8], 1Eh ; 同理var_8=local_array[2]
.text:0000000000401584                 mov     eax, [rbp+var_4] ; 把index变量放在寄存器中,为0x401589的寻址做准备
.text:0000000000401587                 cdqe					  ;将eax寄存器拓展为rax寄存器,该指令只作用于eax寄存器
.text:0000000000401589                 mov     [rbp+rax*4+var_10], 28h ; local_array[index]=40
.text:0000000000401591                 nop
.text:0000000000401592                 add     rsp, 10h			;函数执行完毕,退栈
.text:0000000000401596                 pop     rbp				;还原rbp原始功能
.text:0000000000401597                 retn
.text:0000000000401597 func            endp
.text:0000000000401597

函数栈帧基于rbp帧指针,主函数没有对其传递参数,栈帧中 有返回值,rbp保存值,还有四个变量

源程序中写的数组int local_array[3]被拆成了3个独立的int变量

只有在.text:0000000000401589 mov [rbp+rax*4+var_10], 28h这里可以隐约看出实在对数组进行寻址操作

var_10(rbp,rax,4)=M[rbp+rax*4+var_10]

rax中存放的是index的值,用rax*4是因为一个int占4字节,rbp+var_10是数组的基地址,rax*4是偏移量

在分析出var_8,var_C,var_10同属于一个基地址var_10的数组结构后,可以在func函数的栈帧视图下高亮这三个变量,使用右键菜单的array选项将其合并为一个数组

​ 合并后回到反汇编视图

发现三个变量合并为一个var_10,其地址rbp-10h,刚好和var_4相差0xC=12字节即三个int类型变量

然后可以在反汇编视图下使用右键菜单的rename功能将变量命名有意义

rename之后后文相关位置都会重新命名

全局数组

main.c

1
2
3
4
5
6
7
8
9
10
11
12
13

int global_array[3];
void func(){
    
    int index=2;
    global_array[0]=10;
    global_array[1]=20;
    global_array[2]=30;
    local_array[index]=40;
}
int main(){ 
    func();
    return 0;
}

func函数的反汇编:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

.text:0000000000401560
.text:0000000000401560 ; =============== S U B R O U T I N E =======================================
.text:0000000000401560
.text:0000000000401560 ; Attributes: bp-based frame				;局部变量和参数在栈帧中的地址基于rbp帧指针
.text:0000000000401560
.text:0000000000401560 ; void __fastcall func()
.text:0000000000401560                 public func
.text:0000000000401560 func            proc near               ; CODE XREF: main+D↓p
.text:0000000000401560
.text:0000000000401560 var_4           = dword ptr -4			;局部变量只有一个,只能对应index
.text:0000000000401560
.text:0000000000401560                 push    rbp
.text:0000000000401561                 mov     rbp, rsp
.text:0000000000401564                 sub     rsp, 10h				
.text:0000000000401568                 mov     [rbp+var_4], 2		;int index=2
.text:000000000040156F                 lea     rax, global_array		;R[rax]=&global_array,将global_array的地址放在rax
.text:0000000000401576                 mov     dword ptr [rax], 0Ah  ;寄存器寻址,然后dword ptr指定双字访问内存,global_array[0]=10
.text:000000000040157C                 lea     rax, global_array	;重复R[rax]=&global_array,目的是防止上一次装载和本次之间rax有变化
.text:0000000000401583                 mov     dword ptr [rax+4], 14h ;寄存器+立即数寻址,双字访问内存
.text:000000000040158A                 lea     rax, global_array
.text:0000000000401591                 mov     dword ptr [rax+8], 1Eh
.text:0000000000401598                 lea     rax, global_array
.text:000000000040159F                 mov     edx, [rbp+var_4]		 ;将var_4的拷贝到edx寄存器中
.text:00000000004015A2                 movsxd  rdx, edx				;edx有符号拓展到rdx
.text:00000000004015A5                 mov     dword ptr [rax+rdx*4], 28h ; 基址比例变址寻址,然后放入40
.text:00000000004015AC                 nop
.text:00000000004015AD                 add     rsp, 10h
.text:00000000004015B1                 pop     rbp
.text:00000000004015B2                 retn
.text:00000000004015B2 func            endp
.text:00000000004015B2

问题是global_array貌似没有体现出声明来就直接使用了,左键双击global_array

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

.bss:0000000000407970                 public global_array
.bss:0000000000407970 global_array     db    ? ;               ; DATA XREF: func+F↑o
.bss:0000000000407970                                         ; func+1C↑o ...
.bss:0000000000407971                 db    ? ;
.bss:0000000000407972                 db    ? ;
.bss:0000000000407973                 db    ? ;
.bss:0000000000407974                 db    ? ;
.bss:0000000000407975                 db    ? ;
.bss:0000000000407976                 db    ? ;
.bss:0000000000407977                 db    ? ;
.bss:0000000000407978                 db    ? ;
.bss:0000000000407979                 db    ? ;
.bss:000000000040797A                 db    ? ;
.bss:000000000040797B                 db    ? ;
.bss:000000000040797C                 db    ? ;
.bss:000000000040797D                 db    ? ;
.bss:000000000040797E                 db    ? ;
.bss:000000000040797F                 db    ? ;

发现global_array是位于bss段的,确实global_array在声明的时候并没有初始化,就应该放在bss段

global_array以db=define byte即字节为单位,在bss段留了0407970~040797F一共16个字节的空间

如果在func函数的反汇编视图下修改global_array的名字改成空即显示ida给他命的哑名unk_407970,unk为unknown未知的缩写

如果在源代码中不写全局函数global_array,改用三个int类型变量

1
2
3
4
5
6
7
8
9
10
11
12

int l0;
int l1;
int l2;
void func(){
    l0=10;
    l1=20;
    l2=30;
}
int main(){ 
    func();
    return 0;
}

此时三个全局变量在bss段中的分布

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

.bss:0000000000407970                 public l2
.bss:0000000000407970 l2              db    ? ;               ; DATA XREF: func+1E↑o
.bss:0000000000407971                 db    ? ;
.bss:0000000000407972                 db    ? ;
.bss:0000000000407973                 db    ? ;
.bss:0000000000407974                 public l0
.bss:0000000000407974 l0              db    ? ;               ; DATA XREF: func+4↑o
.bss:0000000000407975                 db    ? ;
.bss:0000000000407976                 db    ? ;
.bss:0000000000407977                 db    ? ;
.bss:0000000000407978                 public l1
.bss:0000000000407978 l1              db    ? ;               ; DATA XREF: func+11↑o
.bss:0000000000407979                 db    ? ;
.bss:000000000040797A                 db    ? ;
.bss:000000000040797B                 db    ? ;
.bss:000000000040797C                 db    ? ;
.bss:000000000040797D                 db    ? ;
.bss:000000000040797E                 db    ? ;
.bss:000000000040797F                 db    ? ;
.bss:0000000000407980                 public __native_startup_state
...

很诡异的是三个变量的分布是没有顺序的,l2和l0都分到了4个db即4字节的空间,但是l1却分到了8字节的空间

如果试图使用*(&l0+2)来得到l2实际上会算得*(0x407974+2*sizeof(int))=*(0x40797C)

而实际上l2在0x407970,刚才指针运算得到的值是属于l1"管理"的

堆上数组

1
2
3
4
5
6
7
8
9
10
11
12
13
14

#include <stdlib.h>
void func(){
    int *heap_array=(int *)malloc(3*sizeof(int));
    int index=2;
    heap_array[0]=10;
    heap_array[1]=20;
    heap_array[2]=30;
    heap_array[index]=40;
    free(heap_array);
}
int main(){ 
    func();
    return 0;
}

func函数反汇编

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41

.text:0000000000401560
.text:0000000000401560 ; =============== S U B R O U T I N E =======================================
.text:0000000000401560
.text:0000000000401560 ; Attributes: bp-based frame
.text:0000000000401560
.text:0000000000401560                 public func
.text:0000000000401560 func            proc near               ; CODE XREF: main+D↓p
.text:0000000000401560
.text:0000000000401560 var_C           = dword ptr -0Ch			;var_C显然为index
.text:0000000000401560 Block           = qword ptr -8			;Block为堆上申请空间的指针
.text:0000000000401560
.text:0000000000401560                 push    rbp
.text:0000000000401561                 mov     rbp, rsp
.text:0000000000401564                 sub     rsp, 30h		;蜜汁操作,栈上分配了0x30h=48字节的巨大空间,但是只有两个局部变量
.text:0000000000401568                 mov     ecx, 0Ch        ; Size,第一个参数使用ecx寄存器传递,这里0x0C=12字节相当于给出了堆上数组的大小
.text:000000000040156D                 call    malloc			;malloc遵守 微软64位调用约定
.text:0000000000401572                 mov     [rbp+Block], rax	;rax寄存器带着malloc函数的返回值,即堆上地址的指针,赋值给Block
.text:0000000000401576                 mov     [rbp+var_C], 2	;int index=2
.text:000000000040157D                 mov     rax, [rbp+Block]	;将堆上指针放到rax中
.text:0000000000401581                 mov     dword ptr [rax], 0Ah	;字访问rax指向的地址,放入10
.text:0000000000401587                 mov     rax, [rbp+Block]		;将堆上指针再次放到rax中
.text:000000000040158B                 add     rax, 4				;rax中的指针副本后移4字节,恰好移过一个int
.text:000000000040158F                 mov     dword ptr [rax], 14h		;单字访问rax指向的地址,放入20
.text:0000000000401595                 mov     rax, [rbp+Block]	
.text:0000000000401599                 add     rax, 8
.text:000000000040159D                 mov     dword ptr [rax], 1Eh
.text:00000000004015A3                 mov     eax, [rbp+var_C]			;将index放到eax中
.text:00000000004015A6                 cdqe								;拓展eax到rax
.text:00000000004015A8                 lea     rdx, ds:0[rax*4]			;将ds:0+rax*4这个地址放到rdx寄存器
.text:00000000004015B0                 mov     rax, [rbp+Block]			;rax寄存器获得Block堆指针的拷贝
.text:00000000004015B4                 add     rax, rdx					;rax指向Block+4*rax即heap_array[index]
.text:00000000004015B7                 mov     dword ptr [rax], 28h ; 单字访问rax指向的地址,放入40
.text:00000000004015BD                 mov     rax, [rbp+Block]			;rax获得Block堆指针拷贝
.text:00000000004015C1                 mov     rcx, rax        ; rcx获得拷贝,准备作为参数传递给free函数
.text:00000000004015C4                 call    free
.text:00000000004015C9                 nop
.text:00000000004015CA                 add     rsp, 30h
.text:00000000004015CE                 pop     rbp
.text:00000000004015CF                 retn
.text:00000000004015CF func            endp
.text:00000000004015CF

堆上数组的特征还是比较明显的

综上,使用变量下标访问数组时更容易察觉数组结构的存在,而使用常量下标访问数组时汇更像访问独立的变量

结构体

对齐

对齐在大多数情况下不是硬性要求,不对齐的话x86-64的硬件也是可以干活的,

但是为了提高性能intel建议对齐,编译器默认情况下是会自动对齐的

基本数据类型的对齐规则:

某种类型的对象,其地址必须是K的倍数

1
2
3
4
5
6
7
8
9
10
11
12
13

#include <stdio.h>
void func() {
	char achar;
	char bchar;
	int aint;
	printf("%x,%x,%x", &achar, &bchar, &aint);
    return ;
}

int main() {
	func();
	return 0;
}

1
2

gcc -O0 -g -o main.out
gdb -tui -q main.out

使用gdb进行调试,观察运行时的堆栈

1.在func函数处下断点

2.在断点处停下,打印观察

1
2
3
4
5
6
7
8
9
10
11
12

(gdb) r
Starting program: /mnt/c/Users/86135/Desktop/reverse/mytest/main.exe

Breakpoint 1, func () at main.c:7
(gdb) p $rbp
$1 = (void *) 0x7fffffffdc90
(gdb) p &achar
$2 = 0x7fffffffdc8f ""
(gdb) p &bchar
$3 = 0x7fffffffdc8e ""
(gdb) p &aint
$4 = (int *) 0x7fffffffdc88

帧指针rbp指向0x7fffffffdc90

achar是一个char类型,无对齐要求,必然在紧接着帧指针下方0x7fffffffdc8f,bchar同理在achar下方0x7fffffffdc8e

但是aint并没有紧挨着bchar在0x7fffffffdc8d,而是在0x7fffffffdc88

栈向下增长,但是小端模式下,栈中的元素的起始位置是低地址,然后向高地址增长,比如aint就从0x7fffffffdc88然后向高地址增长直到0x7fffffffdc8b

func函数的栈帧:

这里aint就没有从-6到-3,而是为了对齐采用-8到-5

小端模式

小端模式:假如int aint=10d=0xAh=0x0000 0000 0000 0000 0000 0000 0000 1010 b

那么0x7fffffffdc88这个低地址上应该存放aint的低八位即0000 1010b=0x10h

为了观察这个事情

使用几乎相同的程序

1 2 3 4 5 6 7 8 9 10 11 12 13 14

#include <stdio.h> void func() { char achar; char bchar; int aint=10;//注意此处给aint赋值10,小端模式下应该存放在&aint的第一个字节单元 printf("%x,%x,%x", &achar, &bchar, &aint); return ; } int main() { func(); return 0; }

使用gdb在第7行下断点,然后运行到第七行的时候停下,打印&aint,结果为0x7fffffffe2e8,然后x/1 0x7fffffffe2e8打印从该地址开始的第一个单元(单位字节)

结果为10,即证明低地址存放低位,小端模式

结构体的对齐规则

结构体各项目依然满足基本数据类型的对齐方式

结构体自身也有对齐要求,其==基地址必须是最大成员大小的整数倍==

main.c

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

#include <stdio.h>
typedef struct{
	char name;
	int from;
	int to;
}Edge;
void func(){
	char a ;
	Edge e;
	char b;
	printf("%x,%x,%x",&a,&e,&b);
	return ;
}
int main(){	
	func();
	 return 0;
 }

1
2

gcc -O0 -g -o main.exe
gdb -tui -q main.exe

在func函数处下断点然后在该断点处停下,打印观察

1
2
3
4
5
6
7
8
9
10
11
12
13
14

(gdb) p &e
$4 = (Edge *) 0x7fffffffdc80
(gdb) p &e.name
$5 = 0x7fffffffdc80 ""						;e.name的位置
(gdb) p &e.from
$6 = (int *) 0x7fffffffdc84					;e.from的位置
(gdb) p &e.to
$7 = (int *) 0x7fffffffdc88					;e.to的位置
(gdb) p &b
$8 = 0x7fffffffdc7f ""						;char b的位置
(gdb) p &a
$9 = 0x7fffffffdc8f ""					    ;char a的位置
(gdb) p $rbp
$10 = (void *) 0x7fffffffdc90				;帧指针位置

func函数的栈帧

首先在结构体内部安排对齐:

name放在偏移量为0的位置,然后int from放在偏移量为4的倍数的最小位置,显然是4,然后int to同理放在8,from和name之间就空出了3字节,原因就是考虑对齐

然后对结构体整体安排对齐:

为什么要进行整体对齐?

如果不进行此步,只进行内部对齐,那么考虑如下情形

左右两种排列方法均满足结构体内对齐,对于右侧,e.from的起始地址是0x7fffffffdc85显然不满足int的对齐规则,而左侧经过整体对齐,e.from在0x7fffffffdc84是可以整除4的,满足int的对齐规则

此时sizeof(e)=12,而不是1+4+4=9

整体对齐要求结构体的起始地址必须是最大成员大小的整数倍,在这里是int,4字节

因此结构体e的起始地址应当是能够整除4的并且距离rbp最近的并且能够放得下结构体e的地方,显然是0x7fffffffdc80

整体对齐只是考虑了最大成员大小的整数倍,一定能保证所有成员的对齐吗?

由于任意基本数据类型的大小都是2的幂次,因此最大成员的大小一定是任意成员大小的整数倍,那么起始地址是最大成员大小的整数倍的同时,也一定是任意成员大小的整数倍

#pragma pack(n)指定对齐

如果不写该语句则默认n=8字节对齐,所有对象的对齐方式改为:

地址值是\(min\{自己大小,n\}的整数倍\)

同样的程序在一开始时加入

1

#pragma pack(1)

指定一字节对齐,任意对象的地址是\(min\{自己大小,1\}的整数倍=1的整数倍\),即没有对齐

然后使用gdb调试观察

1
2
3
4
5
6
7
8
9
10
11
12
13
14

(gdb) p $rbp
$1 = (void *) 0x7fffffffe2f0
(gdb) p sizeof(e)
$2 = 9
(gdb) p &a
$3 = 0x7fffffffe2ef ""
(gdb) p &b
$4 = 0x7fffffffe2e5 ""
(gdb) p &e.name
$5 = 0x7fffffffe2e6 ""
(gdb) p &e.from
$6 = (int *) 0x7fffffffe2e7
(gdb) p &e.to
$7 = (int *) 0x7fffffffe2eb

此时栈帧就非常紧凑了,从rbp向下顺次紧密排列

反汇编观察栈的分布

无对齐时的func函数的反汇编视图

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

.text:0000000000001139 func proc near ; CODE XREF: main+9↓p .text:0000000000001139 .text:0000000000001139 var_B = byte ptr -0Bh .text:0000000000001139 var_A = byte ptr -0Ah ;var_A放在rbp-10 .text:0000000000001139 var_1 = byte ptr -1 .text:0000000000001139 .text:0000000000001139 ; __unwind { .text:0000000000001139 push rbp .text:000000000000113A mov rbp, rsp .text:000000000000113D sub rsp, 10h ;此处申请了16字节的栈空间 .text:0000000000001141 lea rcx, [rbp+var_B] .text:0000000000001145 lea rdx, [rbp+var_A] .text:0000000000001149 lea rax, [rbp+var_1] .text:000000000000114D mov rsi, rax .text:0000000000001150 lea rax, format ; "%x,%x,%x" .text:0000000000001157 mov rdi, rax ; format .text:000000000000115A mov eax, 0 .text:000000000000115F call _printf .text:0000000000001164 nop .text:0000000000001165 leave .text:0000000000001166 retn .text:0000000000001166 ; } // starts at 1139 .text:0000000000001166 func endp

默认对齐时的func函数反汇编视图

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

.text:0000000000001139 func proc near ; CODE XREF: main+9↓p .text:0000000000001139 .text:0000000000001139 var_11 = byte ptr -11h .text:0000000000001139 var_10 = byte ptr -10h ;var_10放在rbp-16 .text:0000000000001139 var_1 = byte ptr -1 .text:0000000000001139 .text:0000000000001139 ; __unwind { .text:0000000000001139 push rbp .text:000000000000113A mov rbp, rsp .text:000000000000113D sub rsp, 20h ;此处申请了32字节的栈空间 .text:0000000000001141 lea rcx, [rbp+var_11] .text:0000000000001145 lea rdx, [rbp+var_10] .text:0000000000001149 lea rax, [rbp+var_1] .text:000000000000114D mov rsi, rax .text:0000000000001150 lea rax, format ; "%x,%x,%x" .text:0000000000001157 mov rdi, rax ; format .text:000000000000115A mov eax, 0 .text:000000000000115F call _printf .text:0000000000001164 nop .text:0000000000001165 leave .text:0000000000001166 retn .text:0000000000001166 ; } // starts at 1139 .text:0000000000001166 func endp

全局结构体

以网络流中可能会用到的边结构体举例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

typedef struct{
	int from;		//源
	int to;			//目的
	long long dist;//距离
	long long flow;//流量
}Edge;//边结构体

Edge e;
void init(){//初始化边e
	e.from=1;
	e.to=2;
	e.dist=1e12;
	e.flow=1e13;
}
int main(){
	init();
}

ida观察带gdb调试信息的exe文件

1
2

gcc main.c -g -O0 -o main.exe
ida64 main.exe

init函数的反汇编

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

.text:0000000000401560 ; void __cdecl init()
.text:0000000000401560                 public init
.text:0000000000401560 init            proc near               ; CODE XREF: main+D↓p
.text:0000000000401560                 push    rbp
.text:0000000000401561                 mov     rbp, rsp
.text:0000000000401564                 lea     rax, e			;把e的地址放在rax中
.text:000000000040156B                 mov     dword ptr [rax], 1	;把1放在rax指向地址的第一个字
.text:0000000000401571                 lea     rax, e				
.text:0000000000401578                 mov     dword ptr [rax+4], 2	;把2放在rax指向地址偏移4字节之后的字中
.text:000000000040157F                 lea     rax, e
.text:0000000000401586                 mov     rdx, 0E8D4A51000h	;把1e12放在rdx中
.text:0000000000401590                 mov     [rax+8], rdx			;把rdx中的值放在rax+8位置,宽度以rdx的64位为准
.text:0000000000401594                 lea     rax, e
.text:000000000040159B                 mov     rcx, 9184E72A000h	;把1e13放在rcx中
.text:00000000004015A5                 mov     [rax+10h], rcx		;把rcx中的值放在rax+10位置,64位宽
.text:00000000004015A9                 nop
.text:00000000004015AA                 pop     rbp
.text:00000000004015AB                 retn
.text:00000000004015AB init            endp

值得庆幸的是e被ida识别为一个Edge结构体的对象,这是因为使用gcc -g命令,编译形成的exe带有gbd调试信息

可以看出使用e的基地址+成员的偏移量进行结构体成员访问

其中e在bss段:

1
2
3
4
5
6

.bss:0000000000407970                 public e
.bss:0000000000407970 ; Edge e
.bss:0000000000407970 e               Edge <?>                ; DATA XREF: init+4↑o
.bss:0000000000407970                                         ; init+11↑o ...
.bss:0000000000407988                 public __native_startup_state
...

e在bss段的地址[0x407970,407987]共24字节

默认8字节对齐下,最大成员long long正好8字节,因此任何成员都是按照地址是自己大小倍数进行对齐的

1 2 3 4 5 6

typedef struct{ int from; //源 int to; //目的 long long dist;//距离 long long flow;//流量 }Edge;//边结构体

from和to恰好占用第一个8字节,然后dist占用第二个8字节,然后flow占用第三个8字节,合计24字节