KSCrash 是一個用於 iOS 平臺的崩潰捕捉框架，最近讀了其部分原始碼，在 KSDynamicLinker 檔案中有一個函式，程式碼如下：

/** Get the segment base address of the specified image.
 *
 * This is required for any symtab command offsets.
 *
 * @param idx The image index.
 * @return The image's base address, or 0 if none was found.
 */
static uintptr_t segmentBaseOfImageIndex(const uint32_t idx)
{
    const struct mach_header* header = _dyld_get_image_header(idx);
    
    // Look for a segment command and return the file image address.
    uintptr_t cmdPtr = firstCmdAfterHeader(header);
    if(cmdPtr == 0)
    {
        return 0;
    }
    for(uint32_t i = 0;i < header->ncmds; i++)
    {
        const struct load_command* loadCmd = (struct load_command*)cmdPtr;
        if(loadCmd->cmd == LC_SEGMENT)
        {
            const struct segment_command* segmentCmd = (struct segment_command*)cmdPtr;
            if(strcmp(segmentCmd->segname, SEG_LINKEDIT) == 0)
            {
                return segmentCmd->vmaddr - segmentCmd->fileoff;
            }
        }
        else if(loadCmd->cmd == LC_SEGMENT_64)
        {
            const struct segment_command_64* segmentCmd = (struct segment_command_64*)cmdPtr;
            if(strcmp(segmentCmd->segname, SEG_LINKEDIT) == 0)
            {
                return (uintptr_t)(segmentCmd->vmaddr - segmentCmd->fileoff);
            }
        }
        cmdPtr += loadCmd->cmdsize;
    }
    
    return 0;
}
 

該函式被如此呼叫：

const uintptr_t segmentBase = segmentBaseOfImageIndex(idx) + imageVMAddrSlide;

0 迷惑現場

一個 image 中會有多個 segment，引數 idx 傳遞的是 image 的索引，如果返回的是 segment base， 那麼是哪個 segment？

有人會說，註釋裡不是說返回非 0 的話，就表示的是 image base。可是從原理上講 vmaddr - fileoff 根本得不到 image base（後文有解釋）。

而在被呼叫處，加上由 ASLR 引起的偏移，賦值給了 segmentBase。

在 fishhook 中，有這麼一行程式碼：

uintptr_t linkedit_base = (uintptr_t)slide + linkedit_segment->vmaddr - linkedit_segment->fileoff;

暫不考慮由 ASLR 造成的 slide，那麼又是上邊提到的 vmaddr - fileoff，這裡的變數命名是 linkedit_base。

KSCrash 中的所謂的 segmentBase 和 fishhook 中所謂的 linkedit_base，到底指的是什麼？如果指的是 __LINKEDIT 端在記憶體中的真實地址那應該是 vmaddr + ASLR偏移

在查詢資料的過程中，讀了大量的部落格、資料，對於這一塊的解釋，要麼沒提，要麼一帶而過，要麼是錯的。有的認為這個值是__LINKEDIT 段在記憶體中的基址，有的認為是當前 image 在記憶體中的基址。

1 揭開面紗

1.1 前置知識

在理解這個值到底是什麼之前，我們需要一些前置知識。

• Mach-O 檔案的結構
• 虛擬記憶體
• ASLR

下邊我們簡單的說一下 Mach-O 檔案。

Mach-O

我們知道，程序是可執行檔案在記憶體中載入得到的結果，而 Mach-O 就是一種 macOS 平臺的可執行檔案格式。

Mach-O 檔案分為三個區域 Header、Load commands、Data。其中 Load commands 區的指令指導如何設定並載入二進位制資料。下邊列出 32 位平臺下我們關心的幾個：

segment_command 程式碼如下：

struct segment_command { /* for 32-bit architectures */
    uint32_t    cmd;        /* LC_SEGMENT */
    uint32_t    cmdsize;    /* includes sizeof section structs */
    char        segname[16];    /* segment name */
    uint32_t    vmaddr;     /* memory address of this segment */
    uint32_t    vmsize;     /* memory size of this segment */
    uint32_t    fileoff;    /* file offset of this segment */
    uint32_t    filesize;   /* amount to map from the file */
    vm_prot_t   maxprot;    /* maximum VM protection */
    vm_prot_t   initprot;   /* initial VM protection */
    uint32_t    nsects;     /* number of sections in segment */
    uint32_t    flags;      /* flags */
};

對於每一個 segment 而言，設定程序虛擬記憶體的過程就是將相應的內容載入到記憶體中，也就是從 Mach-O 檔案的 fileoff 初載入 filesize 位元組到虛擬記憶體地址的 vmaddr 處，佔用 vmsize 位元組。**需要留意，對某些 segment 來說，vmsize 可能會大於 filesize，如__Data、__LINKEDIT。**

在後邊的討論中，我們需要關心的是 segname 為 __LINKEDIT 的段。__LINKEDIT 段由 dyld 使用，包含符號表、字串表以及其他資料。

symtab_command 程式碼如下：

struct symtab_command {
    uint32_t    cmd;        /* LC_SYMTAB */
    uint32_t    cmdsize;    /* sizeof(struct symtab_command) */
    uint32_t    symoff;     /* symbol table offset */
    uint32_t    nsyms;      /* number of symbol table entries */
    uint32_t    stroff;     /* string table offset */
    uint32_t    strsize;    /* string table size in bytes */
};

在 symtab_command 中，symoff 為符號表在 Mach-O 檔案中的偏移、stroff 為字串表在 Mach-O 檔案中的偏移。

1.2 揭祕

我們可以使用 MachOView 來開啟一個 Mach-O 檔案，觀察 LC_SEGMENT(__LINKEDIT)、LC_SYMTAB。限於篇幅，這裡就不截圖觀察了。但是你應當留意到符號表、字串表在 Mach-O 檔案的位置，位於 __LINKEDIT 段中，這也驗證了上邊對 __LINKEDIT 段的介紹。

我們從符號表在虛擬記憶體中的地址來倒推上邊那個所謂的 segmentBase、linkedit_base，看一張圖（不是很準確，但可以幫助我們搞明白這個問題）。

我們先忽略 ASLR，圖中的深灰色背景表示是虛擬記憶體，__TEXT 段、__DATA 段我們不關心，圖中沒有體現。

sym_vmaddr 是指的是符號表在虛擬記憶體中地址，而在虛擬記憶體中符號表在 __LINKEDIT 段中偏移，即 sym_vmaddr - vmaddr，與其在 MachO 檔案中的偏移，即 symoff - fileoff 相等。

也就是sym_vmaddr - vmaddr = symoff - fileoff，
vmaddr 移到右邊，即 sym_vmaddr = symoff - fileoff + vmaddr

發現什麼了嗎？

接著上邊推：
減去符號表偏移symoff：sym_vmaddr - symoff = vmaddr - fileoff（式1），
式 1 等號右邊的部分加上 ASLR 偏移 slide：vmaddr - fileoff + slide，也就是所謂的 segmentBase、linkedit_base。

至此，真相大白。

參考

• 深入解析Mac OS X & iOS作業系統

• 深入理解計算機系統

• Mach-O File Format

相關推薦

Mach-O在記憶體中符號表地址、字串表地址的計算

KSCrash 是一個用於 iOS 平臺的崩潰捕捉框架，最近讀了其部分原始碼，在 KSDynamicLinker 檔案中有一個函式，程式碼如下： /** Get the segment base address of the specified image. * * This is required fo

解析mysql中:單表distinct、多表group by查詢去除重復記錄

itl lec sql 4.0 mysql clas 遺憾 join 去除 單表的唯一查詢用：distinct多表的唯一查詢用：group bydistinct 查詢多表時，left join 還有效，全連接無效，在使用mysql時，有時需要查詢出某個字段不重復的記錄，雖然

使用spark將記憶體中的資料寫入到hive表中

使用spark將記憶體中的資料寫入到hive表中 hive-site.xml <?xml version="1.0" encoding="UTF-8" standalone="no"?> <?xml-stylesheet type="text/xsl" href="configurati

解釋記憶體中的棧(stack)、堆(heap)和靜態儲存區的用法。

String str = new String(“hello”); 答:通常我們定義一個基本資料型別的變數，一個物件的引用，還有就是函式呼叫的現場儲存都使用記憶體中的棧空間;而通過new關鍵字和構造器建立的物件放在堆空間;程式中的字面量(literal)如直接書寫的100、“hello”和常

latex中畫鄰接矩陣、鄰接表、排列樹

最近的演算法分析作業總是要編輯公式和畫圖，wordword操作的實在是不太友好，於是“殺雞用牛刀”–便用了LATEXLATEX。 題目如下： 給出下圖的權矩陣和鄰接表 權矩陣： \usepackage{amsmath} \beg

mysql中：單表distinct、多表group by查詢去除重複記錄

單表的唯一查詢用：distinct 多表的唯一查詢用：group by distinct 查詢多表時，left join 還有效，全連線無效， 在使用mysql時，有時需要查詢出某個欄位不重複的記錄，雖然mysql提供有distinct這個關鍵字來過濾掉多餘的重複記錄只保留一

解釋記憶體中的棧(stack)、堆(heap)和靜態區(static area)的用法

堆區:專門用來儲存物件的例項(new 建立的物件和陣列)，實際上也只是儲存物件例項的屬性值，屬性的型別和物件本身的型別標記等，並不儲存物件的方法（方法是指令，儲存在Stack中）1.儲存的全部是物件，每個物件都包含一個與之對應的class的資訊。(class的目的是得到操作指

SQL Server基礎(一) VS2015 建立資料表：建表、修改表名字、往表中新增資料、查詢表，最後是資料庫檔案的屬性

VS2015 建立資料表流程 1、右擊表，建立資料表——設定主鍵 2、修改資料的名字為Inventory 3、新增資料 4、右擊資料庫庫——新建查詢，輸入SQL語法，就可以查詢表的資料了 往表中新增一行，重新查詢。你會發現，表名字不區分大小。

ORACLE ASM環境中刪除和建立表空間、增加表空間資料檔案

 1、列出表空間 SQL> select name from v$tablespace; 刪除表空間，包括屬於它的資料檔案（物理上也同時刪除） SQL> drop tablespace qiu including contents and datafiles

C語言中二維陣列名與陣列地址、首行地址、首行首元素地址關係與區別詳解（初學者必須掌握）

C語言作為很多大學理工科都會學習的語言，作為一種程式設計入門語言。但是相對於其他高階程式語言來說相對是比較難，尤其是指針，不知道有多少莘莘學子都是因為它，從C語言入門到放棄。想當年，筆者在大一學習C語言

sql中的讀取（所有的儲存過程、表名、某表的所有列名’、臨時表）

---讀取資料庫中的所有儲存過程名稱 use [資料庫名]select name from sys.procedures --讀取庫中的所有表名select name from sysobjects where xtype='u' --讀取指定表的所有列名select na

Oracle 查詢庫中所有表名、欄位名、欄位名說明，查詢表的資料條數、表名、中文表名

查詢所有表名： select t.table_name from user_tables t; 查詢所有欄位名： select t.column_name from user_col_comments t; 查詢指定表的所有欄位名： select t.column_nam

C語言程式記憶體中：靜態儲存區、堆、棧的區別

一、記憶體基本構成 可程式設計記憶體在基本上分為這樣的幾大部分：靜態儲存區、堆區和棧區。他們的功能不同，對他們使用方式也就不同。 靜態儲存區：記憶體在程式編譯的時候就已經分配好，這塊記憶體在程式的整個執行期間都存在。它主要存放靜態資料、全域性資料和常量。 棧區：在執行函式時，函式內區域性變數的儲存單元都可以在

解釋記憶體中的棧(stack)、堆(heap)和靜態區(static area)的用法。

通常我們定義一個基本資料型別的變數，一個物件的引用，還有就是函式呼叫的 現場儲存 都使用記憶體中的棧空間；而通過new關鍵字和構造器建立的物件放在堆空間；程式中的字面量（literal）如直接書寫的100、”hello”和常量都是放在靜態區中。棧空間操作起來最快但是棧很小，通

解釋記憶體中的棧(stack)、堆(heap)和方法區(method area)的用法

        通常我們定義一個基本資料型別的變數，一個物件的引用，還有就是函式呼叫的現場儲存都使用JVM中的棧空間；而通過new關鍵字和構造器建立的物件則放在堆空間，堆是垃圾收集器管理的主要區域，由於現在的垃圾收集器都採用分代收集演算法，所以堆空間還可以細分為新生代和老生代

C++虛表地址、虛擬函式地址列印

#include <iostream> using namespace std; class Base { public : int base_data; Base() { base_data = 1; } virtual void fu

記憶體中的棧(stack)、堆(heap)和方法區(method area)的用法

（1）定義一個基本資料型別的變數，一個物件的引用，還有就是函式呼叫的現場儲存都使用JVM中的棧空間； （2）通過new關鍵字和構造器建立的物件則放在堆空間，堆是垃圾收集器管理的主要區域，由於現在的垃圾收集器都採用分代收集演算法，所以堆空間還可以細分為新生代和老生代，再具

oracle創建用戶、表空間、臨時表空間、分配權限步驟詳解

分配權限 use 表數據 依次 log auto create 過程 limit 首先登陸管理員賬號，或者有DBA權限的用戶，接下來依次： --查詢所有用戶select * from dba_users;--創建新用戶create user gpmgt identified

Django - ORM資料庫操作 - 表結構、單表操作

目錄 一、ORM （物件關係對映 Object Relational Mapping） 二、表結構的建立和修改  1、表結構的建立 1-1 setting內建立資料庫連線 1-2 models.py 內建立模型 1-3 migrations 內 __init__.p

單表查詢、多表查詢

單表查詢： SELECT [DISTINCT] *|{column1, column2. column3…} FROM tablename; select 指定查詢哪些列的資料。 column指定列名。 *號代表查詢所有列。 from指定查詢哪張表。 DISTI