原文鏈接：https://blog.csdn.net/heybeaman/article/details/80348582

brk() , sbrk() 的聲明如下：

#include<unistd.h>

intbrk(void*addr);

void*sbrk(intptr_tincrement);

這兩個(gè)函數(shù)都用來改變 "program break" (程序間斷點(diǎn))的位置，這個(gè)位置可參考下圖：

如 man 里說的：

引用

brk()??and??sbrk() change the location of the program break, which defines the end of the process's data segment (i.e., the program break is the first location after the end of the uninitialized data segment).

brk() 和 sbrk() 改變 "program brek" 的位置袍冷，這個(gè)位置定義了進(jìn)程數(shù)據(jù)段的終止處(也就是說磷醋，program break 是在未初始化數(shù)據(jù)段終止處后的第一個(gè)位置)。

如此翻譯過來胡诗，似乎會(huì)讓人認(rèn)為這個(gè) program break 是和上圖中矛盾的邓线，上圖中的 program break 是在堆的增長(zhǎng)方向的第一個(gè)位置處(堆和棧的增長(zhǎng)方向是相對(duì)的)淌友，而按照說明手冊(cè)來理解，似乎是在 bss segment 結(jié)束那里(因?yàn)槲闯跏蓟瘮?shù)據(jù)段一般認(rèn)為是 bss segment)骇陈。

首先說明一點(diǎn)震庭，一個(gè)程序一旦編譯好后，text segment 你雌，data segment 和 bss segment 是確定下來的器联，這也可以通過 objdump 觀察到。下面通過一個(gè)程序來測(cè)試這個(gè) program break 是不是在 bss segment 結(jié)束那里：

#include<stdio.h>

#include<unistd.h>

#include<stdlib.h>

#include<sys/time.h>

#include<sys/resource.h>

intbssvar;//聲明一個(gè)味定義的變量婿崭，它會(huì)放在 bss segment 中

intmain(void)

{

char*pmem;

longheap_gap_bss;

printf("end of bss section:%p\n", (long)&bssvar +4);

pmem = (char*)malloc(32);//從堆中分配一塊內(nèi)存區(qū)拨拓，一般從堆的開始處獲取

if(pmem ==NULL) {

perror("malloc");

exit(EXIT_FAILURE);

? ? }

printf("pmem:%p\n", pmem);

//計(jì)算堆的開始地址和 bss segment 結(jié)束處得空隙大小，注意每次加載程序時(shí)這個(gè)空隙都是變化的氓栈，但是在同一次加載中它不會(huì)改變

heap_gap_bss = (long)pmem - (long)&bssvar -4;

printf("1-gap between heap and bss:%lu\n", heap_gap_bss);

free(pmem);//釋放內(nèi)存渣磷，歸還給堆

sbrk(32);//調(diào)整 program break 位置(假設(shè)現(xiàn)在不知道這個(gè)位置在堆頭還是堆尾)

pmem = (char*)malloc(32);//再一次獲取內(nèi)存區(qū)

if(pmem ==NULL) {

perror("malloc");

exit(EXIT_FAILURE);

? ? ? ? }

printf("pmem:%p\n", pmem);//檢查和第一次獲取的內(nèi)存區(qū)的起始地址是否一樣

heap_gap_bss = (long)pmem - (long)&bssvar -4;//計(jì)算調(diào)整 program break 后的空隙

printf("2-gap between heap and bss:%lu\n", heap_gap_bss);

free(pmem);//釋放

return0;

}

下面，我們分別運(yùn)行兩次程序授瘦，并查看其輸出：

引用

[beyes@localhost C]$ ./sbrk?

end of bss section:0x8049938

pmem:0x82ec008

1-gap between heap and bss:2762448

pmem:0x82ec008

2-gap between heap and bss:2762448

[beyes@localhost C]$ ./sbrk?

end of bss section:0x8049938

pmem:0x8dbc008

1-gap between heap and bss:14100176

pmem:0x8dbc008

2-gap between heap and bss:14100176

從上面的輸出中醋界，可以發(fā)現(xiàn)幾點(diǎn)：

1. bss 段一旦在在程序編譯好后，它的地址就已經(jīng)規(guī)定下來提完。

2. 一般及簡(jiǎn)單的情況下形纺，使用 malloc() 申請(qǐng)的內(nèi)存，釋放后徒欣，仍然歸還回原處逐样，再次申請(qǐng)同樣大小的內(nèi)存區(qū)時(shí)，還是從第 1 次那里獲得帚称。

3. bss segment 結(jié)束處和堆的開始處的空隙大小，并不因?yàn)?sbrk() 的調(diào)整而改變秽澳，也就是說明了 program break 不是調(diào)整堆頭部闯睹。

所以，man 手冊(cè)里所說的??“program break 是在未初始化數(shù)據(jù)段終止處后的第一個(gè)位置” 担神，不能將這個(gè)位置理解為堆頭部楼吃。這時(shí)，可以猜想應(yīng)該是在堆尾部妄讯，也就是堆增長(zhǎng)方向的最前方孩锡。下面用程序進(jìn)行檢驗(yàn)：

當(dāng) sbrk() 中的參數(shù)為 0 時(shí)，我們可以找到 program break 的位置亥贸。那么根據(jù)這一點(diǎn)躬窜，檢查一下每次在程序加載時(shí)，系統(tǒng)給堆的分配是不是等同大小的：

#include<stdio.h>

#include<unistd.h>

#include<stdlib.h>

#include<sys/time.h>

#include<sys/resource.h>

intmain(void)

{

void*tret;

char*pmem;

pmem = (char*)malloc(32);

if(pmem ==NULL) {

perror("malloc");

exit(EXIT_FAILURE);

? ? ? ? }

printf("pmem:%p\n", pmem);

tret = sbrk(0);

if(tret != (void*)-1)

printf("heap size on each load: %lu\n", (long)tret - (long)pmem);

return0;

}

運(yùn)行上面的程序 3 次：

引用

[beyes@localhost C]$ ./sbrk?

pmem:0x80c9008

heap size on each load: 135160

[beyes@localhost C]$ ./sbrk?

pmem:0x9682008

heap size on each load: 135160

[beyes@localhost C]$ ./sbrk?

pmem:0x9a7d008

heap size on each load: 135160

[beyes@localhost C]$ ./sbrk?

pmem:0x8d92008

heap size on each load: 135160

[beyes@localhost C]$ vi sbrk.c

從輸出可以看到炕置，雖然堆的頭部地址在每次程序加載后都不一樣荣挨，但是每次加載后男韧，堆的大小默認(rèn)分配是一致的。但是這不是不能改的默垄，可以使用 sysctl 命令修改一下內(nèi)核參數(shù)：

引用

#sysctl -w kernel/randomize_va_space=0

這么做之后此虑，再運(yùn)行 3 次這個(gè)程序看看：

引用

[beyes@localhost C]$ ./sbrk?

pmem:0x804a008

heap size on each load: 135160

[beyes@localhost C]$ ./sbrk?

pmem:0x804a008

heap size on each load: 135160

[beyes@localhost C]$ ./sbrk?

pmem:0x804a008

heap size on each load: 135160

從輸出看到，每次加載后口锭，堆頭部的其實(shí)地址都一樣了朦前。但我們不需要這么做，每次堆都一樣鹃操，容易帶來緩沖區(qū)溢出攻擊(以前老的 linux 內(nèi)核就是特定地址加載的)韭寸，所以還是需要保持 randomize_va_space 這個(gè)內(nèi)核變量值為 1 。

下面就來驗(yàn)證 sbrk() 改變的 program break 位置在堆的增長(zhǎng)方向處：

#include<stdio.h>

#include<unistd.h>

#include<stdlib.h>

#include<sys/time.h>

#include<sys/resource.h>

intmain(void)

{

void*tret;

char*pmem;

inti;

longsbrkret;

pmem = (char*)malloc(32);

if(pmem ==NULL) {

perror("malloc");

exit(EXIT_FAILURE);

? ? ? ? }

printf("pmem:%p\n", pmem);

for(i =0; i <65; i++) {

sbrk(1);

printf("%d\n", sbrk(0) - (long)pmem -0x20ff8);//0x20ff8 就是堆和 bss段 之間的空隙常數(shù)组民；改變后要用 sbrk(0) 再次獲取更新后的program break位置

? ? ? ? }

free(pmem);

return0;

}

運(yùn)行輸出：

引用

[beyes@localhost C]$ ./sbrk?

pmem:0x804a008

1

2

3

4

5

... ...

61

62

63

64

從輸出看到棒仍，sbrk(1) 每次讓堆往棧的方向增加 1 個(gè)字節(jié)的大小空間。

而 brk() 這個(gè)函數(shù)的參數(shù)是一個(gè)地址臭胜，假如你已經(jīng)知道了堆的起始地址莫其，還有堆的大小，那么你就可以據(jù)此修改 brk() 中的地址參數(shù)已達(dá)到調(diào)整堆的目的耸三。

實(shí)際上乱陡，在應(yīng)用程序中，基本不直接使用這兩個(gè)函數(shù)仪壮，取而代之的是 malloc() 一類函數(shù)憨颠，這一類庫函數(shù)的執(zhí)行效率會(huì)更高。還需要注意一點(diǎn)积锅，當(dāng)使用 malloc() 分配過大的空間爽彤，比如超出 0x20ff8 這個(gè)常數(shù)(在我的系統(tǒng)(Fedora15)上是這樣，別的系統(tǒng)可能會(huì)有變)時(shí)缚陷，malloc 不再從堆中分配空間适篙，而是使用 mmap() 這個(gè)系統(tǒng)調(diào)用從映射區(qū)尋找可用的內(nèi)存空間。