Linux操作系统动态函式库探究（二） （4）

首先，我们所在的执行环境会透过 execve(\"./test\", [\"./test\"], []) 的函式呼叫来启动 test 执行档。呼叫 open(\"/etc/ld.so.cache\", O_RDONLY)，以唯读模式开启 ld.so.cache，这个档案的功能是作为动态函式库的快取，它会记录了目前系统中所存在的动态函式库的资讯以及这些函式库所存在的位置。所以说，如果我们在系统中安装了新的函式库时，我们便需要去更新这个档案的内容，以使新的函式库可以在我们的 Linux 环境中发生作用，我们可以透过 ldconfig 这个指令来更新 ld.so.cache 的内容。

呼叫 mmap(0, 9937, PROT_READ, MAP_PRIVATE, 3, 0)，把 ld.so.cache 档案映射到记忆体中，mmap 函式的宣告为 mmap(void *start, size_t length, int prot , int flags, int fd, off_t offset)，在笔者的电脑上 ld.so.cache 的档案大小为 9937 bytes，PROT_READ代表这块记忆体位置是可读取的，MAP_PRIVATE 则表示产生一个行程私有的 copy-on-write 映射，因此这个呼叫会把整个 ld.so.cache 档案映射到记忆体中，在笔者电脑上所传回的映射记忆体起始位置为 0x40013000。

注: mmap(void *start, size_t length, int prot , int flags, int fd, off_t offset)代表我们要求在档案 fd中，起始位置为offset去映射 length 长度的资料，到记忆体位置 start ，而 prot 是用来描述该记忆体位置的保护权限(例如:读、写、执行)，flags用来定义所映射物件的型态，例如这块记忆体是否允许多个 Process 同时映射到，也就是说一旦有一个 Process 更改了这个记忆体空间，那所有映射到这块记忆体的Process 都会受到影响，或是 flag 设定为 Process 私有的记忆体映射，这样就会透过 copy-on-write 的机制，当这块记忆体被别的 Process 修改後，会自动配置实体的记忆体位置，让其他的 Process 所映射到的记忆体内容与原本的相同。(有关mmap的其它应用，可参考本文最後的注一)

呼叫 open(\"/lib/libc.so.6\", O_RDONLY)，开启 libc.so.6。呼叫 read(3, \"\\177ELF\\1\\1\\1\\0\\0\\0\\0\\0\\0\\0\\0\\0\\3\\0\\3\\0\\1\\0\\0\\0\\250\\202\"..., 4096) 读取libc.so.6的档头。呼叫 mmap(0, 993500, PROT_READ|PROT_EXEC, MAP_PRIVATE, 3, 0)，把 libc.so.6 映射到记忆体中，由档头开始映射 993500 bytes，若是使用 RedHat 6.1(或其它版本的 RedHat)的读者或许会好奇 libc.so.6 所 link 到的档案 libc-2.1.2.so 大小不是 4118715 bytes 吗? 其实原本 RedHat 所附的 libc.so.6 动态函式库是没有经过 strip 过的，如果经过 strip 後，大小会变为 1052428 bytes，而 libc.so.6 由档头开始在 993500 bytes 之後都是一些版本的资讯，笔者猜想应该是这样的原因，所以在映射档时，并没有把整个 libc.so.6 档案映射到记忆体中，只映射前面有意义的部分。与映射 ld.so.cache 不同的是，除了 PROT_READ 属性之外，libc.so.6 的属性还多了 PROT_EXEC，这代表了所映射的这块记忆体是可读可执行的。在笔者的电脑中，libc.so.6 所映射到的记忆体起始位置为 0x40016000。

呼叫 mprotect(0x40101000, 30940, PROT_NONE)，用来设定记忆体的使用权限，而 PROT_NONE 属性是代表这块记忆体区间(0x40101000—0x401088DC)是不能读取、写入与执行的。

呼叫 mmap(0x40101000, 16384, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0xea000)，映射 libc.so.6 由起始位置 0xea000 映射 16384bytes 到记忆体位置 0x40101000。

呼叫 mmap(0x40105000, 14556, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0)，MAP_ANONYMOUS 表示没有档案被映射，且产生一个初始值全为 0 的记忆体区块。

呼叫 munmap(0x40013000, 9937)，把原本映射到 ld.so.cache 的记忆体解除映射(此时已把执行档所需的动态函式库都映射到记忆体中了)。

呼叫 personality(0)，可以设定目前 Process 的执行区间(execution domain)，换个说法就是 Linux 支援了多个执行区间，而我们所设定的执行区间会告诉 Linux 如何去映射我们的讯息号码(signal numbers)到各个不同的讯息动作(signal actions)中。这执行区间的功能，允许\\ Linux 对其它 Unix-Like 的操作系统，提供有限度的二进位档支援。如这个例子中，personality(0) 的参数为 0，就是指定为 PER_LINUX 的执行区间(execution domain)。

#define PER_MASK (0x00ff) 
#define PER_LINUX (0x0000) 
#define PER_LINUX_32BIT (0x0000 | ADDR_LIMIT_32BIT) 
#define PER_SVR4 (0x0001 | STICKY_TIMEOUTS) 
#define PER_SVR3 (0x0002 | STICKY_TIMEOUTS) 
#define PER_SCOSVR3 (0x0003 | STICKY_TIMEOUTS | WHOLE_SECONDS) 
#define PER_WYSEV386 (0x0004 | STICKY_TIMEOUTS) 
#define PER_ISCR4 (0x0005 | STICKY_TIMEOUTS) 
#define PER_BSD (0x0006) 
#define PER_XENIX (0x0007 | STICKY_TIMEOUTS) 
#define PER_LINUX32 (0x0008) 
#define PER_IRIX32 (0x0009 | STICKY_TIMEOUTS) /* IRIX5 32-bit */ 
#define PER_IRIXN32 (0x000a | STICKY_TIMEOUTS) /* IRIX6 new 32-bit */ 
#define PER_IRIX64 (0x000b | STICKY_TIMEOUTS) /* IRIX6 64-bit */

呼叫 getpid()，取得目前 Process 的 Process ID。

呼叫 mmap(0, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0)，传回值为 0x400130，MAP_ANONYMOUS 表示没有档案被映射，且产生一个初始值全为 0 的记忆体区块。

呼叫 write(1, \"\\ntest\\n\", 6)，显示字串在画面上。

呼叫 munmap(0x40013000, 4096)，解除记忆体位置0x40013000的记忆体映射。

呼叫 _exit(6)，结束程序执行。

在这段所举的例子，只用到了一个函式库 libc.so.6，我们可以举像是 RedHat 中 Telnet 指令为例，首先检视他的 ELF Header:

==>libncurses.so.4 
tgetent 
==>libc.so.6 
strcpy 
ioctl 
printf 
cfgetospeed 
recv 
connect 
............┅ 
sigsetmask 
__register_frame_info 
close 
free

它主要呼叫了函式库 libncurses.so.4 的函式 tgetent，以及函式库 libc.so.6 中为数不少的函式，当然我们也可以去检视它执行的流程，与之前只呼叫了 libc.so.6 的printf 函式来比较，我们可以发现它主要的不同就是去载入了 libncurses.so.4:

open(\"/usr/lib/libncurses.so.4\", O_RDONLY) ; 
fstat(3, {st_mode=S_IFREG|0755, st_size=274985, ...}) ; 
read(3, \"\\177ELF\\1\\1\\1\\0\\0\\0\\0\\0\\0\\0
\\0\\0\\3\\0\\3\\0\\1\\0\\0\\0\\340\\335\"..., 4096) ; 
mmap(0, 254540, PROT_READ|PROT_EXEC, MAP_PRIVATE, 3, 0); 
mprotect(0x40048000, 49740, PROT_NONE); 
mmap(0x40048000, 36864, PROT_READ|
PROT_WRITE, MAP_PRIVATE|MAP_FIXED, 3, 0x31000); 
mmap(0x40051000, 12876, PROT_READ|
PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) ; 
close(3);

结语

最后，我想各位读者应该对於 Linux 上的动态函式库的架构有了进一步的了解，笔者根据自己电脑 Linux 的记忆体配置画了下面的架构图，相信会让有心了解整个运作的人，有了更清楚的一个印象。

在这张图中，我们所执行的程序是由记忆体 0x08048000 开始载入的，而所用到的动态函式库则是在记忆体位置 0x40000000 开始载入，以笔者的电脑为例，动态函式库载入的记忆体映射情况大略为:

40000000-40001000 /usr/share/locale/en_US/LC_MESSAGES/SYS_LC_MESSAGES 
40001000-40002000 /usr/share/locale/en_US/LC_MONETARY 
40002000-40003000 /usr/share/locale/en_US/LC_TIME 
40003000-4000b000 /lib/libnss_files-2.1.2.so 
4000b000-4000c000 /lib/libnss_files-2.1.2.so 
4000c000-400f7000 /lib/libc-2.1.2.so 
400f7000-400fb000 /lib/libc-2.1.2.so 
400fb000-400ff000 0 
400ff000-40111000 /lib/ld-2.1.2.so 
40111000-40112000 /lib/ld-2.1.2.so 
40112000-4011b000 /lib/libnss_nisplus-2.1.2.so ......┅(more)

若我们程序透过 malloc 配置动态的记忆体，则会配置在标示为 “Free Space”的记忆体空间中，程序所用到的堆叠(Stack) 是由 0xbfffffff 开始，往下延伸。而在记忆体位置 0xc0000000 以上，则是属於 Kernel Mode 的部分，这部份包含了Linux Kernel 的 Image 以及我们之後所动态载入的模组。