虚拟地址空间的布局：动态库的 “专属区域”

64 位 Linux 系统中，进程虚拟地址空间的布局大致如下（从低地址到高地址）：

其中，共享库区（mmap 区域） 是动态库的 “专属地盘”。操作系统会将动态库加载到这个区域，多个进程可通过页表映射到同一份物理内存的动态库代码，实现 “共享”。

1.3 关键问题：ELF 文件未加载时，有地址吗？

答案是：有！

现代编译器采用 “平坦模式” 编译程序，ELF 文件（可执行程序、动态库、目标文件）在编译链接阶段就已经完成了 “虚拟地址编址”。也就是说，ELF 文件中的代码和数据，在未加载到内存时就已经分配了虚拟地址。

我们用readelf -h查看动态库的 ELF 头，验证这一点：

代码语言：javascript

AI代码解释

# 查看C标准库的ELF头
readelf -h /lib/x86_64-linux-gnu/libc-2.31.so | grep -E "Entry point|Type"

输出：

代码语言：javascript

AI代码解释

  Type:                              DYN (Shared object file)  # 类型：动态库
  Entry point address:               0x27000                    # 入口点虚拟地址

• Entry point address: 0x27000：这是动态库的入口函数（_init）的虚拟地址，在编译时就已确定。
• 动态库中的所有函数、变量，都有固定的虚拟地址偏移量（相对于库的起始虚拟地址）。

这意味着：动态库加载时，操作系统只需将库的虚拟地址范围 “映射” 到物理内存，无需修改库的代码（因为代码采用 “位置无关编址” PIC），即可让进程通过虚拟地址访问库函数。

1.4 进程地址空间的初始化：从 ELF 文件到 vm_area_struct

进程创建时，内核会为其分配mm_struct（内存描述符）和多个vm_area_struct（虚拟内存区域描述符），这些结构的初始化数据全部来自 ELF 文件的程序头表（Program Header Table）。

• vm_area_struct会描述虚拟地址空间中的一个连续区域（如代码区、数据区、共享库区），记录区域的起始地址、长度、权限（可读 / 可写 / 可执行）等。
• 动态库加载时，内核会新建一个vm_area_struct，描述动态库在共享库区的虚拟地址范围，并通过页表将其映射到物理内存中的动态库代码和数据。

我们可以用cat /proc/self/maps查看当前进程的虚拟内存区域分布：

代码语言：javascript

AI代码解释

# 查看当前shell进程的虚拟内存布局
cat /proc/$$/maps | grep -E "libc|mmap"

输出（关键部分）：

代码语言：javascript

AI代码解释

7f8b4d800000-7f8b4d9c0000 r--p 00000000 08:01 131346 /lib/x86_64-linux-gnu/libc-2.31.so
7f8b4d9c0000-7f8b4db70000 r-xp 001c0000 08:01 131346 /lib/x86_64-linux-gnu/libc-2.31.so  # 代码段（r-xp：读+执行）
7f8b4db70000-7f8b4dbc0000 r--p 00370000 08:01 131346 /lib/x86_64-linux-gnu/libc-2.31.so
7f8b4dbc0000-7f8b4dbc4000 rw-p 003c0000 08:01 131346 /lib/x86_64-linux-gnu/libc-2.31.so  # 数据段（rw-p：读+写）

可以看到，libc.so被加载到7f8b4d800000起始的虚拟地址区域，且代码段和数据段有明确的权限设置。

二、动态库加载核心：进程如何 “找到” 并 “共享” 动态库？

动态库的加载过程本质是 “文件映射 + 地址解析”，核心解决两个问题：进程如何找到动态库、多个进程如何共享动态库。

2.1 进程如何看到动态库？—— 文件映射机制

动态库本质是磁盘上的一个 ELF 文件，进程要访问动态库，首先需要将其 “映射” 到自己的虚拟地址空间。这个过程类似 “打开文件”，但不是读取文件内容到内存缓冲区，而是通过mmap系统调用将文件的磁盘地址直接映射到进程的虚拟地址空间。

动态库映射的完整流程：

1. 动态链接器启动：程序运行时，内核先启动动态链接器（ld-linux.so），由动态链接器负责加载程序依赖的动态库。
2. 查找动态库文件：动态链接器根据LD_LIBRARY_PATH环境变量、/etc/ld.so.conf配置文件、/etc/ld.so.cache缓存，找到动态库的磁盘路径（如/lib/x86_64-linux-gnu/libc.so.6）。
3. 打开动态库文件：动态链接器调用open系统调用打开动态库文件，获取文件描述符。
4. 映射到虚拟地址空间：调用mmap系统调用，将动态库的代码段、数据段等映射到进程的共享库区（虚拟地址空间）。
5. 建立页表映射：内核为映射区域创建vm_area_struct，并更新页表，将动态库的虚拟地址映射到物理内存（或磁盘文件，采用 “按需加载” 策略）。

这个过程可以用一张图直观理解：

实战验证：用 mmap 手动映射动态库

我们可以用mmap系统调用手动映射动态库，模拟动态链接器的核心操作：

代码语言：javascript

AI代码解释

#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <sys/mman.h>
#include <unistd.h>
#include <sys/stat.h>

int main() {
    const char *lib_path = "/lib/x86_64-linux-gnu/libc-2.31.so";
    
    // 1. 打开动态库文件
    int fd = open(lib_path, O_RDONLY);
    if (fd < 0) {
        perror("open");
        return 1;
    }
    
    // 2. 获取文件大小
    struct stat st;
    if (fstat(fd, &st) < 0) {
        perror("fstat");
        close(fd);
        return 1;
    }
    off_t lib_size = st.st_size;
    printf("libc.so size: %ld bytes\n", lib_size);
    
    // 3. 映射动态库到虚拟地址空间（共享库区）
    void *lib_addr = mmap(NULL, lib_size, PROT_READ, MAP_PRIVATE, fd, 0);
    if (lib_addr == MAP_FAILED) {
        perror("mmap");
        close(fd);
        return 1;
    }
    printf("libc.so mapped to virtual address: %p\n", lib_addr);
    
    // 4. 解除映射，关闭文件
    munmap(lib_addr, lib_size);
    close(fd);
    
    return 0;
}

编译运行：

代码语言：javascript

AI代码解释

gcc mmap_lib.c -o mmap_lib
./mmap_lib

输出：

代码语言：javascript

AI代码解释

libc.so size: 2029592 bytes
libc.so mapped to virtual address: 0x7f9a0b400000

可以看到，动态库被成功映射到0x7f9a0b400000（共享库区）的虚拟地址，这与我们之前通过/proc/$$/maps看到的地址范围一致。

2.2 进程间如何共享动态库？—— 虚拟内存的 “Copy-On-Write”

多个进程使用同一个动态库时，物理内存中只需要保留一份动态库的代码（只读），这是通过虚拟内存的Copy-On-Write（写时复制） 机制实现的：

1. 代码段共享：动态库的代码段（.text）是只读的，多个进程的页表会将虚拟地址映射到同一份物理内存的代码段。进程执行动态库函数时，直接读取这份共享的代码，无需复制。
2. 数据段私有：动态库的数据段（.data）是可写的，每个进程会有一份私有副本。当进程修改动态库的数据时，内核会为该进程复制一份数据段到新的物理内存，并更新页表映射，不影响其他进程。

这个机制的核心优势是：节省内存。例如，100 个进程都使用libc.so，物理内存中只需保留一份libc.so的代码（约 2MB），而不是 100 份（约 200MB）。

实战验证：多个进程共享动态库代码段

我们编写两个简单程序，都依赖libc.so，然后查看它们的虚拟内存映射：

程序 1：test1.c

代码语言：javascript

AI代码解释

#include <stdio.h>
int main() {
    printf("test1: libc.so printf address: %p\n", printf);
    getchar(); // 暂停，方便查看
    return 0;
}

程序 2：test2.c

代码语言：javascript

AI代码解释

#include <stdio.h>
int main() {
    printf("test2: libc.so printf address: %p\n", printf);
    getchar(); // 暂停，方便查看
    return 0;
}

编译运行：

代码语言：javascript

AI代码解释

gcc test1.c -o test1
gcc test2.c -o test2

# 打开两个终端，分别运行test1和test2
# 终端1
./test1
# 输出：test1: libc.so printf address: 0x7f8b4d9e75a0

# 终端2
./test2
# 输出：test2: libc.so printf address: 0x7f8b4d9e75a0

可以看到，两个进程中printf函数的虚拟地址完全相同（0x7f8b4d9e75a0）。这意味着它们的页表都映射到同一份物理内存的printf函数代码，实现了代码共享。

我们通过下面这张图片来总结一下：

2.3 动态库加载的 “灵魂”：位置无关代码（PIC）

动态库能被加载到任意虚拟地址并正常运行，核心是因为编译时使用了-fPIC参数生成了位置无关代码（Position Independent Code）。

什么是位置无关代码？

位置无关代码是指：代码的执行不依赖于其在内存中的绝对地址，而是通过 “相对地址” 或 “间接寻址” 访问函数和变量。

例如，动态库中的函数调用，不会直接使用绝对地址（如0x7f8b4d9e75a0），而是使用 “相对于当前指令的偏移量” 或 “通过全局偏移表（GOT）间接访问”。

为什么需要 PIC？

如果动态库的代码是 “位置相关” 的（依赖固定的绝对地址），那么：

• 动态库只能加载到固定的虚拟地址，否则函数调用会跳转到错误地址。
• 多个动态库可能会因为地址冲突而无法同时加载。

PIC 解决了这个问题，让动态库可以 “按需加载” 到任意虚拟地址，极大提高了灵活性。

实战验证：动态库的 PIC 特性

我们分别编译带-fPIC和不带-fPIC的动态库，观察差异：

（1）不带-fPIC编译动态库：

代码语言：javascript

AI代码解释

# 编写简单动态库
echo "int add(int a, int b) { return a + b; }" > libadd.c

# 不带-fPIC编译（警告）
gcc -shared libadd.c -o libadd_no_pic.so

输出警告：

代码语言：javascript

AI代码解释

/usr/bin/ld: /tmp/cc8Z7X7a.o: warning: relocation against `__stack_chk_fail' in read-only section `.text'
/usr/bin/ld: warning: creating DT_TEXTREL in a PIE

警告表明：不带-fPIC的动态库会生成 “文本重定位（DT_TEXTREL）”，即代码段需要修改，无法实现真正的位置无关。

（2）带-fPIC编译动态库：

代码语言：javascript

AI代码解释

# 带-fPIC编译（无警告）
gcc -fPIC -shared libadd.c -o libadd_pic.so

无警告，生成的动态库是纯 PIC 的，可加载到任意虚拟地址。

（3）查看动态库的重定位类型：

代码语言：javascript

AI代码解释

# 查看不带-fPIC的动态库（有DT_TEXTREL）
readelf -d libadd_no_pic.so | grep TEXTREL
# 输出： 0x0000000000000016 (TEXTREL)            0x0

# 查看带-fPIC的动态库（无DT_TEXTREL）
readelf -d libadd_pic.so | grep TEXTREL
# 无输出，说明无文本重定位

这验证了：只有带-fPIC编译的动态库，才是真正的位置无关代码，支持任意地址加载。

三、动态链接核心：函数调用的 “地址解析” 过程

动态库加载到虚拟地址空间后，程序如何调用库中的函数？这就是动态链接的核心：符号解析 + 地址重定位。

与静态链接（编译时重定位）不同，动态链接的重定位发生在程序运行时，主要依赖两个关键结构：全局偏移表（GOT） 和过程链接表（PLT）。

3.1 核心痛点：代码段只读，如何修改函数地址？

程序的代码段（.text）是只读的，动态链接时不能直接修改代码中的函数调用地址。为了解决这个问题，动态链接采用了 “间接寻址” 方案：

1. 在可写的数据段（.data）中创建全局偏移表（GOT），存储动态库函数的实际地址。
2. 代码中的函数调用，不直接跳转到库函数地址，而是跳转到过程链接表（PLT） 的桩代码。
3. 桩代码读取 GOT 中的函数地址，跳转执行库函数。

由于 GOT 位于可写的数据段，动态链接器可以在运行时修改 GOT 中的地址，无需修改只读的代码段。

3.2 全局偏移表（GOT）：函数地址的 “查找表”

GOT（Global Offset Table）是一个数组，每个元素存储一个动态库函数或全局变量的实际虚拟地址。GOT 位于可写的数据段（.got 或.got.plt），动态链接器会在动态库加载后，填充 GOT 中的地址。

我们用readelf -S查看可执行程序的 GOT 段：

代码语言：javascript

AI代码解释

# 编译一个依赖动态库的程序
gcc test1.c -o test1

# 查看GOT段
readelf -S test1 | grep -E "got|GOT"

输出：

代码语言：javascript

AI代码解释

[24] .got              PROGBITS         0000000000600fc0  00000fc0
[25] .got.plt          PROGBITS         0000000000601000  00001000

• .got：存储全局变量的地址。
• .got.plt：存储动态库函数的地址，与 PLT 配合使用。

3.3 过程链接表（PLT）：函数调用的 “跳板”

PLT（Procedure Linkage Table）是一组桩代码（stub），每个桩代码对应一个动态库函数。程序调用动态库函数时，先跳转到对应的 PLT 桩代码，再由桩代码通过 GOT 查找实际地址并跳转。

PLT 的工作流程（以调用printf为例）：

1. 程序代码中的call printf指令，实际跳转到printf@plt（PLT 桩代码）。
2. printf@plt首先检查.got.plt中对应的条目：
   • 如果是第一次调用（GOT 条目未填充），桩代码会调用动态链接器的_dl_runtime_resolve函数，解析printf的实际地址，并填充到 GOT 中。
   • 如果不是第一次调用（GOT 条目已填充），直接跳转到 GOT 中存储的printf实际地址。
3. 执行printf函数，完成后返回程序代码。

这个过程被称为 “延迟绑定（Lazy Binding）”—— 函数地址的解析推迟到第一次调用时，避免程序启动时解析所有函数，提高启动速度。