详解Mach-O(十四)Mach-O __DATA

Mach-O __DATA 段详解

__DATA 是 Mach-O 文件中用于存储可读写数据的重要段。与只读的 __TEXT 段不同，__DATA 段包含程序运行时需要修改的数据，是程序动态行为的基础。

__DATA 段基本概念

__DATA 段是 Mach-O 文件中的数据段，具有以下特征：

• 内存权限：可读可写（RW-）
• 内容：全局变量、静态变量和其他可变数据
• 共享性：每个进程拥有独立副本（写时复制）
• 重要性：程序状态和运行时数据的存储区域

__DATA 段的节(Sections)

__DATA 段包含多个节，每个节存储特定类型的可读写数据：

1. __data 节

• 作用：存储已初始化的可变全局变量和静态变量

• 特征：包含程序中定义并初始化的数据

• 示例 ：

  int global_var = 10;  // 存储在 __DATA,__data 节中
  static char buffer[100] = {0};  // 存储在 __DATA,__data 节中

2. __bss 节

• 作用：存储未初始化的全局变量和静态变量

• 特征：在文件中不占用空间，仅在内存中分配

• 示例 ：

  int uninitialized_var;  // 存储在 __DATA,__bss 节中
  static char temp_buffer[1024];  // 存储在 __DATA,__bss 节中

3. __common 节

• 作用：存储未初始化的符号声明
• 特征：通常用于弱符号和公共符号

4. __la_symbol_ptr 节 (Lazy Symbol Pointers)

• 作用：存储懒加载符号指针
• 特征：用于动态链接中的懒绑定机制
• 工作原理：第一次调用外部函数时进行绑定

5. __nl_symbol_ptr 节 (Non-Lazy Symbol Pointers)

• 作用：存储非懒加载符号指针
• 特征：在程序启动时就完成绑定
• 工作原理：程序加载时立即解析符号地址

6. Objective-C 相关节

__DATA 段还包含许多与 Objective-C 运行时相关的节：

• __objc_classlist：存储 Objective-C 类列表
• __objc_nlclslist：存储非懒加载类列表
• __objc_catlist：存储分类列表
• __objc_nlcatlist：存储非懒加载分类列表
• __objc_protolist：存储协议列表
• __objc_classrefs：存储类引用
• __objc_superrefs：存储父类引用
• __objc_selrefs：存储方法选择器引用

内存管理特性

1. 写时复制 (Copy-On-Write)

__DATA 段采用写时复制机制：

1. 程序启动时，多个进程可以共享相同的 __DATA 段页面
2. 当某个进程尝试写入数据时，系统为该进程创建私有副本
3. 这样既节省内存，又保证了数据隔离

2. 进程私有性

与 __TEXT 段不同，每个进程都拥有 __DATA 段的独立副本：

1. 一个进程对数据的修改不会影响其他进程
2. 每个实例维护自己的状态信息
3. 提供了进程间的数据隔离

3. 页面管理

__DATA 段的页面管理特点：

1. 需要写回：修改过的页面需要保存到交换空间
2. 不可丢弃：包含重要数据，不能随意丢弃
3. 动态分配：__bss 节的数据在运行时动态分配

实际应用示例

使用 otool 查看 __DATA 段信息

# 查看 __DATA 段的所有节
otool -l executable_file | grep -A 20 "__DATA"

# 查看特定节的内容
otool -s __DATA __data executable_file

使用 MachOView 查看 __DATA 段结构

MachOView 可以直观显示 __DATA 段中的各个节及其内容：

1. 展开 __DATA 段节点
2. 查看各节的偏移、大小等信息
3. 分析节中存储的具体数据

使用 size 命令查看段大小

# 查看各段大小信息
xcrun size -x -l -m executable_file

示例输出：

Segment __DATA: 0x134000 (1261568) bytes

在程序加载中的作用

当程序加载时，__DATA 段的处理过程如下：

1. 系统为进程分配 __DATA 段所需的内存空间
2. 将 __data 节等已初始化数据从文件加载到内存
3. 为 __bss 节等未初始化数据分配内存并清零
4. 设置内存权限为可读写
5. 每个进程实例维护自己的 __DATA 段副本

与其他段的关系

1. 与 __TEXT 段

• __TEXT 段存储只读代码和常量
• __DATA 段存储可读写数据
• 两者配合构成完整的程序运行环境

2. 与 __LINKEDIT 段

• __DATA 段包含运行时需要修改的数据
• __LINKEDIT 段包含链接和动态加载所需的信息（只读）

3. 与 __DATA_CONST 段

在较新的系统中，引入了 __DATA_CONST 段：

• __DATA 段：可读写数据
• __DATA_CONST 段：只读的初始化数据（提高安全性）

安全性和优化

1. 数据保护

__DATA 段的写时复制机制提供了基本的数据保护：

1. 防止进程间数据干扰
2. 确保每个实例的数据独立性
3. 提高系统整体稳定性

2. 内存优化

通过以下方式优化内存使用：

1. 写时复制减少物理内存占用
2. __bss 节不占用文件空间
3. 页面共享机制提高效率

在调试和逆向工程中的意义

1. 调试应用

在调试过程中，__DATA 段具有重要意义：

1. 变量检查：查看全局变量和静态变量的值
2. 状态分析：分析程序运行时的状态信息
3. 内存布局：理解程序的内存分布

2. 逆向工程

在逆向工程中，__DATA 段提供了重要信息：

1. 符号识别：通过 Objective-C 相关节识别类和方法
2. 数据结构：分析程序的数据组织方式
3. 动态行为：理解程序的运行时行为

总结

__DATA 段是 Mach-O 文件中存储可读写数据的关键部分，它包含了程序运行所需的各种可变数据。通过写时复制机制和进程私有性，它既保证了数据的安全性，又提供了良好的内存管理特性。

理解 __DATA 段的结构和特性对于程序开发、调试、性能优化和安全分析都非常重要。它与 __TEXT 段共同构成了程序运行的基础环境，是程序状态管理和动态行为实现的核心。