在hook api的时候 目标dll明明在内存中,只加载了一次,为什么改了这个进程,别的进程却没有反应。
因为系统采用了copy-on-write原理。
简单来说,在复制一个对象时并不是真的在内存中把原来对象的数据复制一份到另外一个地址,而是在新对象的内存映射表中指向同原对象相同的位置,并且把那块内存的 Copy-On-Write 位设为 1。在对这个对象执行读操作的时候,内存数据没有变动,直接执行就可以。在写的时候,才真正将原始对象复制一份到新的地址,修改新对象的内存映射表到这个新的位置,然后往这里写。
这个技术需要跟虚拟内存和分页同时使用,其好处是在复制对象的时候因为并不是真的复制,而只是建了一个“指针”,因而大大提高性能。但这并不是一直成立的,前提是在复制新对象之后,进行的写操作只是在一小部分的内存分页上,大部分分页不会用到或者只是读取。不然会产生大量的分页错误,得不偿失。
但对于 fork 和 exec,这又是另外一回事。因为 fork 之后一般会跟一个 exec,将进程空间完全替换。因此在 fork 上采用 Copy-On-Write,会省去一次不必要的进程空间复制。