从shell 到main() — 剖析应用程序的启动与执行

本文分阶段介绍从shell 执行一条命令运行应用程序到应用程序main() 函数被调用过程中发生了什么。

0 起因

用ftrace 抓了一段程序的页面故障（page fault）的异常，其目的是为了查看一个简单程序哪里会产生页面故障（使用strace 也大致能查看到，但无法精确定位到那个语句产生了）。这个脚本大致如下：

cd /sys/kernel/debug/tracing
echo 1 > events/exceptions/enable   # 使能监控异常
echo 1 > events/syscalls/enable     # 方便起见，同时监控系统调用
echo nop > current_tracer           # 不记录函数调用
echo 8 > tracing_cpumask            # 监控 isolated CPU2
echo  > trace                       # 记录前先清空文件
echo 1 > tracing_on                 # 开始记录
sudo taskset -c 2 /path/to/a.out    # run on CPU2
cat trace

测试程序源码如下：

#include <unistd.h>
 
int main() {
  write(0, "hello\n", 6);
  return 0;
}

trace 输出的内容如下：

# tracer: nop
#
# entries-in-buffer/entries-written: 34/34   #P:8
#
#                                _-----=> irqs-off
#                               / _----=> need-resched
#                              | / _---=> hardirq/softirq
#                              || / _--=> preempt-depth
#                              ||| /     delay
           a.out-12405   [003] ...1 89386.976089: sys_sched_setaffinity -> 0x0
           a.out-12405   [003] ...1 89386.976091: sys_execve(filename: 7fffffffe7ef, argv: 7fffffffe5a0, envp: 7fffffffe5b0)
           a.out-12405   [003] d... 89386.976143: page_fault_kernel: address=0x555555558010 ip=__clear_user error_code=0x2
           a.out-12405   [003] d... 89386.976149: page_fault_kernel: address=0x7ffff7ffdff8 ip=__clear_user error_code=0x2
           a.out-12405   [003] ...1 89386.976154: sys_execve -> 0x0
           a.out-12405   [003] d... 89386.991695: page_fault_user: address=0x7ffff7fd0100 ip=0x7ffff7fd0100 error_code=0x14
           a.out-12405   [003] d... 89386.991697: page_fault_user: address=0x7ffff7ffc5e0 ip=0x7ffff7fd0e18 error_code=0x6
           a.out-12405   [003] d... 89386.991698: page_fault_user: address=0x7ffff7fcfb00 ip=0x7ffff7fd1128 error_code=0x4
           a.out-12405   [003] d... 89386.991699: page_fault_user: address=0x7ffff7feb700 ip=0x7ffff7feb700 error_code=0x14
           a.out-12405   [003] d... 89386.991701: page_fault_user: address=0x7ffff7ffe138 ip=0x7ffff7feb737 error_code=0x6
           a.out-12405   [003] d... 89386.991702: page_fault_user: address=0x7ffff7ff38b4 ip=0x7ffff7feb81a error_code=0x4
           a.out-12405   [003] ...1 89386.991705: sys_brk(brk: 0)
           a.out-12405   [003] ...1 89386.991705: sys_brk -> 0x555555559000
           a.out-12405   [003] ...1 89386.991707: sys_arch_prctl(option: 3001, arg2: 7fffffffe4c0)
           a.out-12405   [003] ...1 89386.991707: sys_arch_prctl -> 0xffffffffffffffea
           a.out-12405   [003] d... 89386.991707: page_fault_user: address=0x7ffff7ff1e20 ip=0x7ffff7ff1e20 error_code=0x14
           a.out-12405   [003] ...1 89386.991711: sys_access(filename: 7ffff7ff79e0, mode: 4)
           a.out-12405   [003] ...1 89386.991712: sys_access -> 0xfffffffffffffffe
           a.out-12405   [003] d... 89386.991712: page_fault_user: address=0x7fffffffdd80 ip=0x7ffff7fde54f error_code=0x6
...... 省略后续trace 记录

注意，address 是发生页面故障的内存地址，ip 是发生页面故障的指令地址，error_code 是发生页面故障的类型（究竟是内存不存在，还是权限，以及是读还是写等）ip 地址是运行时的，所以需要使用gdb 查看对应地址的指令。

那么从shell 执行该命令开始到main 函数运行，主要包括了1）shell 过程；2）动态连接器过程；3)用户程序过程。

shell 负责fork 出新的线程，即包裹有动态连接器代码的用户程序；

动态连接器过程，加载可执行文件依赖的共享对象文件，并进行符号重定位；

用户程序过程，其中包含了调用用户main 的过程。

注意：动态连接器过程和用户程序过程的开头都是_start，有些文章就把两者混淆了。

1 Shell 过程

解析命令行，比如找到命令的路径（ls -> /usr/bin/ls）等。

创建子进程fork()，新的子进程成为当前进程，并通过系统调用sys_execve，并将命令行中程序作为参数。

首先看trace 中前5条记录，即

a.out-12405   [003] ...1 89386.976089: sys_sched_setaffinity -> 0x0
a.out-12405   [003] ...1 89386.976091: sys_execve(filename: 7fffffffe7ef, argv: 7fffffffe5a0, envp: 7fffffffe5b0)
a.out-12405   [003] d... 89386.976143: page_fault_kernel: address=0x555555558010 ip=__clear_user error_code=0x2
a.out-12405   [003] d... 89386.976149: page_fault_kernel: address=0x7ffff7ffdff8 ip=__clear_user error_code=0x2
a.out-12405   [003] ...1 89386.976154: sys_execve -> 0x0

execv 相关函数位于 exec.c 文件中，其中 do_execveat()函数主要执行过程如下（基于5.4 内核）

do_execveat_common(fd, filename, argv, envp, flags);
exec.c 文件__do_execve_file() 函数retval = exec_binprm(bprm);
exec.c 文件exec_binprm()函数ret = search_binary_handler(bprm);
exec.c 文件search_binary_handler()函数 fmt->load_binary(bprm);
binfmt_elf.c文件load_elf_binary()函数（解析elf header，分配地址空间，加载程序内容，建立页表，解析动态链接库，重定位，初始化程序状态，跳转至程序入口）

此处内容请看内核相关代码。

2.1 libc-start/_start

首先看trace 记录中第三条，也就是第一条在用户态发生的页面故障

a.out-5309    [003] d... 30851.627208: page_fault_user: address=0x7ffff7fd0100 ip=0x7ffff7fd0100 error_code=0x14

其发生的指令地址和地址相同，说明这是一条指令页故障，使用gdb 查看对应地址（0x7ffff7fd0100）执行的指令：

(gdb) x/5i 0x7ffff7fd0100
   0x7ffff7fd0100 <_start>:   mov    %rsp,%rdi
   0x7ffff7fd0103 <_start+3>: callq  0x7ffff7fd0df0 <_dl_start>
   0x7ffff7fd0108 <_dl_start_user>:   mov    %rax,%r12
   0x7ffff7fd010b <_dl_start_user+3>: mov    0x2c4e7(%rip),%eax        # 0x7ffff7ffc5f8 <_dl_skip_args>
   0x7ffff7fd0111 <_dl_start_user+9>: pop    %rdx

这就是execve() 返回用户态调用的动态链接器的执行位置，源码可参考glibc 的sysdeps/x86_64/dl-machine.h 文件

#define RTLD_START asm ("\n\
.text\n\
    .align 16\n\
.globl _start\n\
.globl _dl_start_user\n\
_start:\n\
    movq %rsp, %rdi\n\
    call _dl_start\n\
_dl_start_user:\n\
    # Save the user entry point address in %r12.\n\
    movq %rax, %r12\n\

需要将这里动态链接库的_start 和用户程序的_start 区分开来。

2.2 _dl_start

接着看下一处页面故障

a.out-12405   [003] d... 89386.991697: page_fault_user: address=0x7ffff7ffc5e0 ip=0x7ffff7fd0e18 error_code=0x6

查看ip 地址执行的什么

(gdb) x/5i 0x7ffff7fd0e18
   0x7ffff7fd0e18 <_dl_start+40>: mov    %rax,0x2b7c1(%rip)        # 0x7ffff7ffc5e0 <start_time>
   0x7ffff7fd0e1f <_dl_start+47>: mov    0x2c042(%rip),%rax        # 0x7ffff7ffce68
   0x7ffff7fd0e26 <_dl_start+54>: mov    %rdx,%r12
   0x7ffff7fd0e29 <_dl_start+57>: sub    0x2c1d0(%rip),%r12        # 0x7ffff7ffd000
   0x7ffff7fd0e30 <_dl_start+64>: mov    %rdx,0x2cbc1(%rip)        # 0x7ffff7ffd9f8 <_rtld_global+2456>

这里的页面故障是因为从动态链接库入口_start 处调用了_dl_start (位于elf/rtld.c) ，而_dl_start 中修改了start_time 对应地址的值引发了页面故障，（对应语句rtld_timer_start (&start_time);）。

下面不再详细追踪剩余trace 中的页面故障函数（及其对应地址的指令与函数，如_dl_sysdep_start 等）。

3.1 用户程序 _start

书接上回，先看看动态链接器的_start 最后跳转执行什么（这是在页面故障和系统调用的trace 中看不到的），我们在_start 指令所在地址打断点（地址为0x7ffff7fd0100）：

(gdb) x/100i 0x7ffff7fd0100
=> 0x7ffff7fd0100 <_start>:    mov    %rsp,%rdi
   0x7ffff7fd0103 <_start+3>: callq  0x7ffff7fd0df0 <_dl_start>
   0x7ffff7fd0108 <_dl_start_user>:   mov    %rax,%r12
   0x7ffff7fd010b <_dl_start_user+3>: mov    0x2c4e7(%rip),%eax        # 0x7ffff7ffc5f8 <_dl_skip_args>
   0x7ffff7fd0111 <_dl_start_user+9>: pop    %rdx
   0x7ffff7fd0112 <_dl_start_user+10>:    lea    (%rsp,%rax,8),%rsp
   0x7ffff7fd0116 <_dl_start_user+14>:    sub    %eax,%edx
   0x7ffff7fd0118 <_dl_start_user+16>:    push   %rdx
   0x7ffff7fd0119 <_dl_start_user+17>:    mov    %rdx,%rsi
   0x7ffff7fd011c <_dl_start_user+20>:    mov    %rsp,%r13
   0x7ffff7fd011f <_dl_start_user+23>:    and    $0xfffffffffffffff0,%rsp
   0x7ffff7fd0123 <_dl_start_user+27>:    mov    0x2cf36(%rip),%rdi        # 0x7ffff7ffd060 <_rtld_global>
   0x7ffff7fd012a <_dl_start_user+34>:    lea    0x10(%r13,%rdx,8),%rcx
   0x7ffff7fd012f <_dl_start_user+39>:    lea    0x8(%r13),%rdx
   0x7ffff7fd0133 <_dl_start_user+43>:    xor    %ebp,%ebp
   0x7ffff7fd0135 <_dl_start_user+45>:    callq  0x7ffff7fe0c20 <_dl_init>
   0x7ffff7fd013a <_dl_start_user+50>:    lea    0x10c1f(%rip),%rdx        # 0x7ffff7fe0d60 <_dl_fini>
   0x7ffff7fd0141 <_dl_start_user+57>:    mov    %r13,%rsp
   0x7ffff7fd0144 <_dl_start_user+60>:    jmpq   *%r12
   ......

这段代码最后跳转到%r12 寄存器指向的位置（其实也就是用户程序对应的_start），看看是什么

(gdb) info registers 
......
r12            0x555555555060      93824992235616
......
(gdb) x/20i 0x555555555060
0x555555555060 <_start>: endbr64
0x555555555064 <_start+4>: xor %ebp,%ebp
0x555555555066 <_start+6>: mov %rdx,%r9
0x555555555069 <_start+9>: pop %rsi
0x55555555506a <_start+10>: mov %rsp,%rdx
0x55555555506d <_start+13>: and $0xfffffffffffffff0,%rsp
0x555555555071 <_start+17>: push %rax
0x555555555072 <_start+18>: push %rsp
0x555555555073 <_start+19>: lea 0x166(%rip),%r8 # 0x5555555551e0 <__libc_csu_fini>
0x55555555507a <_start+26>: lea 0xef(%rip),%rcx # 0x555555555170 <__libc_csu_init>
0x555555555081 <_start+33>: lea 0xc1(%rip),%rdi # 0x555555555149
0x555555555088 <_start+40>: callq *0x2f52(%rip) # 0x555555557fe0
0x55555555508e <_start+46>: hlt

这里的_start 是用户程序的，从执行代码内容可以看出和动态链接库_start 不同，用户程序的_start 是GCC 编译器在生成可执行文件时添加进去的，位置在代码段.text 的开头，最先执行，可以使用objdump 查看其汇编代码

#objdump -d a.out
省略其他段
Disassembly of section .text:
 
0000000000001060 <_start>:
    1060:   f3 0f 1e fa             endbr64 
    1064:   31 ed                   xor    %ebp,%ebp
    1066:   49 89 d1                mov    %rdx,%r9
    1069:   5e                      pop    %rsi
    106a:   48 89 e2                mov    %rsp,%rdx
    106d:   48 83 e4 f0             and    $0xfffffffffffffff0,%rsp
    1071:   50                      push   %rax
    1072:   54                      push   %rsp
    1073:   4c 8d 05 66 01 00 00    lea    0x166(%rip),%r8        # 11e0 <__libc_csu_fini>
    107a:   48 8d 0d ef 00 00 00    lea    0xef(%rip),%rcx        # 1170 <__libc_csu_init>
    1081:   48 8d 3d c1 00 00 00    lea    0xc1(%rip),%rdi        # 1149 <main>
    1088:   ff 15 52 2f 00 00       callq  *0x2f52(%rip)        # 3fe0 <__libc_start_main@GLIBC_2.2.5>
    108e:   f4                      hlt    
    108f:   90                      nop
省略其他段

_start 的一个重要任务就是调用__libc_start_main，

3.2 __libc_start_main

__lib_start_main 也是定义在C 库（glibc），在我使用的glibc 2.31 版本中，其函数接受7 个参数的输入

define LIBC_START_MAIN __libc_start_main
STATIC int LIBC_START_MAIN ( int (*main) (int, char **, char ** MAIN_AUXVEC_DECL), 
                             int argc, 
                             char **argv,  
                             __typeof (main) init, 
                             void (*fini) (void), 
                             void (*rtld_fini) (void), 
                             void *stack_end) {

上面用户程序的_start 函数的主要功能就是初始化调用__libc_start_main 函数的参数栈，在X86-64 架构中，前6个参数通过寄存器来传递，我们看看都是啥

(gdb) disassemble _start
Dump of assembler code for function _start:
   0x0000555555555060 <+0>:   endbr64 
   0x0000555555555064 <+4>:   xor    %ebp,%ebp
   0x0000555555555066 <+6>:   mov    %rdx,%r9
   0x0000555555555069 <+9>:   pop    %rsi
   0x000055555555506a <+10>:  mov    %rsp,%rdx
   0x000055555555506d <+13>:  and    $0xfffffffffffffff0,%rsp
   0x0000555555555071 <+17>:  push   %rax
   0x0000555555555072 <+18>:  push   %rsp
   0x0000555555555073 <+19>:  lea    0x166(%rip),%r8        # 0x5555555551e0 <__libc_csu_fini>
   0x000055555555507a <+26>:  lea    0xef(%rip),%rcx        # 0x555555555170 <__libc_csu_init>
   0x0000555555555081 <+33>:  lea    0xc1(%rip),%rdi        # 0x555555555149 <main>
=> 0x0000555555555088 <+40>:   callq  *0x2f52(%rip)        # 0x555555557fe0
   0x000055555555508e <+46>:  hlt    
End of assembler dump.
(gdb) inf reg
rdi            0x555555555149      93824992235849            # <main> 函数
rsi            0x1                 1                         # argc
rdx            0x7fffffffe598      140737488348568           # **argv
rcx            0x555555555170      93824992235888            # <__libc_csu_init>
r8             0x5555555551e0      93824992236000            # <__libc_csu_finit>
r9             0x7ffff7fe0d60      140737354009952           # <_dl_fini>
// 省略其他寄存器的值

从寄存器保存的数值可以看出传递的参数信息。其中rdx 寄存器指向的是argv，保存了命令行参数

(gdb) x/gx 0x7fffffffe598
0x7fffffffe598: 0x00007fffffffe7eb
(gdb) x/20c 0x00007fffffffe7eb
0x7fffffffe7eb: 47 '/'  104 'h' 111 'o' 109 'm' 101 'e' 47 '/'  102 'f' 111 'o'
0x7fffffffe7f3: 111 'o' 108 'l' 47 '/'  116 't' 109 'm' 112 'p' 47 '/'  97 'a'
0x7fffffffe7fb: 46 '.'  111 'o' 117 'u' 116 't'
(gdb) x/s *(char **) (0x7fffffffe598)
0x7fffffffe7eb: "/home/fool/tmp/a.out"