轉載請註明出處：http://blog.csdn.net/wangxiaolong_china

對於一個程序，其空間分佈如下圖所示：

C程式一般分為：

1.程式段:程式段為程式程式碼在記憶體中的對映.一個程式可以在記憶體中多有個副本.

2.初始化過的資料:在程式執行值初已經對變數進行初始化的

3.未初始化過的資料:在程式執行初未對變數進行初始化的資料

4.堆(stack):儲存區域性,臨時變數,在程式塊開始時自動分配記憶體,結束時自動釋放記憶體.儲存函式的返回指標.

5.棧(heap):儲存動態記憶體分配,需要程式設計師手工分配,手工釋放.

多工作業系統中的每一個程序都執行在一個屬於它自己的記憶體沙盤中，這個沙盤就是虛擬地址空間（virtual address space），在32位模式下，它總是一個4GB的記憶體地址塊。這些虛擬地址通過頁表（page table）對映到實體記憶體，頁表由作業系統維護並被處理器引用。每個程序都擁有一套屬於它自己的頁表，但是還有一個隱情，只要虛擬地址被使能，那麼它將會作用於這臺機器上執行的所有軟體，包括核心本身，因此，有一部分虛擬地址必須保留給核心使用。程序記憶體空間分佈如下圖所示：

但是這並不意味著核心使用了這麼多的實體記憶體，僅表示它可以支配這麼大的地址空間。可根據核心需要，將其對映到實體記憶體。核心空間在頁表中擁有較高的特權級（ring2或以下），因此，只要使用者態的程式試圖訪問這些頁，就會導致一個頁錯誤（page fault）。在Linux中，核心空間是持續存在的，並且在所有程序中都對映到同樣的實體記憶體，核心程式碼和資料總是可定址的，隨時準備處理中斷和系統呼叫。與之相反，使用者模式地址空間的對映隨著程序切換的發生而不斷的變化，如下圖所示：

上圖中藍色區域表示對映到實體記憶體的虛擬地址，而白色區域表示未對映的部分。可以看出，Firefox使用了相當多的虛擬地址空間，因為它佔用記憶體較多。

Linux程序標準的記憶體段佈局，如下圖所示，地址空間中的各個條帶對應於不同的記憶體段（memory segment），如：堆、棧之類的。記住，這些段只是簡單的虛擬記憶體地址空間範圍，與Intel處理器的段沒有任何關係。

幾乎每個程序的虛擬地址空間中各段的分佈都與上圖完全一致。

這就給遠端發掘程式漏洞的人打開了方便之門。一個發掘過程往往需要引用絕對記憶體地址：棧地址，庫函式地址等。遠端攻擊者必須依賴地址空間分佈的一致性，來探索出這些地址。如果讓他們猜個正著，那麼有人就會被整了。因此，地址空間的隨機排布方式便逐漸流行起來，Linux通過對棧、記憶體對映段、堆的起始地址加上隨機的偏移量來打亂佈局。但不幸的是，32位地址空間相當緊湊，這給隨機化所留下的空間不大，削弱了這種技巧的效果。

程序地址空間中最頂部的段是棧，大多數程式語言將之用於儲存函式引數和區域性變數。呼叫一個方法或函式會將一個新的棧幀（stack frame）壓入到棧中，這個棧幀會在函式返回時被清理掉。由於棧中資料嚴格的遵守LIFO的順序，這個簡單的設計意味著不必使用複雜的資料結構來追蹤棧中的內容，只需要一個簡單的指標指向棧的頂端即可，因此壓棧（pushing）和退棧（popping）過程非常迅速、準確。程序中的每一個執行緒都有屬於自己的棧。

通過不斷向棧中壓入資料，超出其容量就會耗盡棧所對應的記憶體區域，這將觸發一個頁故障（page fault），而被Linux的expand_stack()處理，它會呼叫acct_stack_growth()來檢查是否還有合適的地方用於棧的增長。如果棧的大小低於RLIMIT_STACK（通常為8MB），那麼一般情況下棧會被加長，程式繼續執行，感覺不到發生了什麼事情。這是一種將棧擴充套件到所需大小的常規機制。然而，如果達到了最大棧空間的大小，就會棧溢位（stack overflow），程式收到一個段錯誤（segmentation fault）。

動態棧增長是唯一一種訪問未對映記憶體區域而被允許的情形，其他任何對未對映記憶體區域的訪問都會觸發頁錯誤，從而導致段錯誤。一些被對映的區域是隻讀的，因此企圖寫這些區域也會導致段錯誤。

在棧的下方，是我們的記憶體對映段。核心將檔案的內容直接對映到記憶體。任何應用程式都可以通過Linux的mmap()系統呼叫或者Windows的CreateFileMapping()/MapViewOfFile()請求這種對映。記憶體對映是一種方便高效的檔案I/O方式，所以它被用來載入動態庫。建立一個不對應於任何檔案的匿名記憶體對映也是可能的，此方法用於存放程式的資料。在Linux中，如果你通過malloc()請求一大塊記憶體，C執行庫將會建立這樣一個匿名對映而不是使用堆記憶體。“大塊”意味著比MMAP_THRESHOLD還大，預設128KB，可以通過mallocp()調整。

接下來的一塊記憶體空間是堆。與棧一樣，堆用於執行時記憶體分配；但不同的是，堆用於儲存那些生存期與函式呼叫無關的資料。大部分語言都提供了堆管理功能。在C語言中，堆分配的介面是malloc()函式。如果堆中有足夠的空間來滿足記憶體請求，它就可以被語言執行時庫處理而不需要核心參與，否則，堆會被擴大，通過brk()系統呼叫來分配請求所需的記憶體塊。堆管理是很複雜的，需要精細的演算法來應付我們程式中雜亂的分配模式，優化速度和記憶體使用效率。處理一個堆請求所需的時間會大幅度的變動。實時系統通過特殊目的分配器來解決這個問題。堆在分配過程中可能會變得零零碎碎，如下圖所示：

最後，我們看看底部的記憶體段：BSS，資料段，程式碼段。

在C語言中，BSS和資料段儲存的都是靜態（全域性）變數的內容。區別在於BSS儲存的是未被初始化的靜態變數內容，他們的值不是直接在程式的原始碼中設定的。BSS記憶體區域是匿名的，它不對映到任何檔案。如果你寫static intcntActiveUsers，則cntActiveUsers的內容就會儲存到BSS中去。而資料段則儲存在原始碼中已經初始化的靜態變數的內容。資料段不是匿名的，它映射了一部分的程式二進位制映象，也就是原始碼中指定了初始值的靜態變數。所以，如果你寫static int cntActiveUsers=10，則cntActiveUsers的內容就儲存在了資料段中，而且初始值是10。儘管資料段映射了一個檔案，但它是一個私有記憶體對映，這意味著更改此處的記憶體不會影響被對映的檔案。

你可以通過閱讀檔案/proc/pid_of_process/maps來檢驗一個Linux程序中的記憶體區域。記住：一個段可能包含許多區域。比如，每個記憶體對映檔案在mmap段中都有屬於自己的區域，動態庫擁有類似BSS和資料段的額外區域。有時人們提到“資料段”，指的是全部的資料段+BSS+堆。

你還可以通過nm和objdump命令來察看二進位制映象，列印其中的符號，它們的地址，段等資訊。最後需要指出的是，前文描述的虛擬地址佈局在linux中是一種“靈活佈局”，而且作為預設方式已經有些年頭了，它假設我們有值RLIMT_STACK。但是，當沒有該值得限制時，Linux退回到“經典佈局”，如下圖所示：

C語言程式例項分析如下所示：

1. #include<stdio.h>
2. #include <malloc.h>
3. void print(char *,int);  
4. int main()  
5. {  
6.     char *s1 = "abcde";  
7.     char *s2 = "abcde";  
8.     char s3[] = "abcd";  
9.     long int *s4[100];  
10.     char *s5 = "abcde";  
11.     int a = 5;  
12.     int b =6;//a,b在棧上，&a>&b地址反向增長  
13.     printf("variables address in main function:n  
14.             s1=%ps2=%p s3=%p s4=%p s5=%p a=%p b=%pnn",   
15.             s1,s2,s3,s4,s5,&a,&b);  
16.     printf("variables address in processcall:n");  
17.     print("ddddddddd",5);//引數入棧從右至左進行,p先進棧,str後進 &p>&str  
18.     printf("nmain=%p print=%pn",main,print);  
19.     //列印程式碼段中主函式和子函式的地址，編譯時先編譯的地址低，後編譯的地址高main<print
20. }  
21. void print(char *str,intp)  
22. {  
23.     char *s1 = "abcde";//abcde在常量區，s1在棧上  
24.     char *s2 = "abcde";//abcde在常量區，s2在棧上 s2-s1=6可能等於0，編譯器優化了相同的常量，只在記憶體儲存一份  
25.     //而&s1>&s2  
26.     char s3[] = "abcdeee";//abcdeee在常量區，s3在棧上，陣列儲存的內容為abcdeee的一份拷貝  
27.     long int *s4[100];  
28.     char *s5 = "abcde";  
29.     int a = 5;  
30.     int b =6;  
31.     int c;  
32.     int d;//a,b,c,d均在棧上，&a>&b>&c>&d地址反向增長  
33.     char *q=str;//  
34.     int m=p;//  
35.     char *r=(char *)malloc(1);  
36.     char *w=(char *)malloc(1);// r<w 堆正向增長  
37.     printf("s1=%p s2=%p s3=%p s4=%p s5=%p na=%p b=%pc=%p d=%pn   
38.             str=%pq=%p p=%p m=%p r=%p w=%pn",  
39.             s1,s2,s3,s4,s5,&a,&b,&c,&d,&str,q,&p,&m,r,w);  
40. }  
41. /* 棧和堆是在程式執行時候動態分配的，區域性變數均在棧上分配。棧是反向增長的，地址遞減；malloc等分配的記憶體空間在堆空間。堆是正向增長的，地址遞增。  
42. r,w變數在棧上(則&r>&w)，r,w所指內容在堆中(即r<w)。*/