作为Linux玩家兼编程学习者，你遇到的这些问题其实是内存管理和逆向工程里的常见点，咱们一个个拆解清楚：

1. 内存分配非确定性的诱因，以及关闭ASLR后游戏堆地址仍变的原因 #

首先，导致内存分配地址不固定的因素主要有这几个：

• ASLR（地址空间布局随机化）：这是你已经验证过的系统级保护机制，它会随机化堆、栈、动态库的加载地址，防止恶意程序利用固定地址漏洞。关闭ASLR后，你的简单测试程序地址固定，是因为它启动后几乎没有其他内存操作，堆的起始位置稳定。
• 进程初始化的内存差异：游戏进程可比你的测试程序复杂多了——启动时要加载大量纹理、脚本、动态库，这些操作会提前在堆里分配内存，抢占了后续分配的空间。即使关闭ASLR，每个新进程的虚拟地址空间是独立的，这些预分配的操作顺序或大小的细微差异，都会导致你关注的目标内存地址变化。
• 堆管理器的内部状态：系统的malloc（比如ptmalloc）会维护空闲内存块链表，进程重启后这个链表是全新的，堆管理器的分配策略（比如优先分配哪个空闲块）可能导致地址不同，尤其是复杂程序会有大量碎片化的内存操作。

你说关闭ASLR后重启游戏堆地址仍变，核心原因就是游戏启动时的预分配操作。你的测试程序启动后直接调用strdup，堆里几乎没有其他占用；但游戏启动阶段会做几百次甚至几千次内存分配，这些操作早就在你关注的那个malloc之前占用了堆的部分空间，自然后续分配的地址就不一样了。

2. 如何强制实现动态分配的内存确定性？为什么动态分配在堆而非栈？ #

要让动态分配的地址完全确定，有几个可行的方案：

• 自制内存分配器：绕过系统malloc，自己用mmap申请一块固定地址的内存区域（关闭ASLR后可以指定MAP_FIXED参数强制地址），然后在这块区域里实现简单的分配逻辑——比如线性分配（每次从起始地址往后加需要的大小），或者用链表管理空闲块。这样所有动态分配都在你可控的区域内，地址完全固定。
• 替换系统malloc：用LD_PRELOAD加载自定义的malloc库，把游戏里的malloc调用劫持到你的实现上。这样不用修改游戏代码，就能控制所有动态分配的地址。
• 提前预分配所有内存：在游戏启动初期（比如通过脚本注入或者修改启动参数），一次性分配好后续任务需要的所有内存块，后续直接复用这些块，彻底避免动态分配带来的地址变化。

至于为什么动态分配在堆而非栈，这是由两个内存区域的设计目标决定的：

• 栈的局限性：栈是为函数调用设计的，大小固定（通常几MB），而且是后进先出的结构，函数返回后栈上的内存会自动释放。如果把动态分配的大对象放在栈上，很容易触发栈溢出；而且栈内存的生命周期和函数绑定，没法保存需要长期存在的数据（比如游戏里的玩家状态）。
• 堆的灵活性：堆是专门用于动态内存管理的区域，大小可以随系统内存动态扩展，内存的生命周期由程序员手动控制（malloc/free），适合存储大小不确定、需要长期存在的数据。所以动态分配必然落在堆上，这是内存模型的基本设计。

3. 指针扫描的原理，以及指针具有确定性的原因 #

指针扫描（Pointer Scan）是Cheat Engine这类内存修改工具的核心技术，本质是寻找指向目标内存的多级固定偏移指针链，咱们一步步说原理：

1. 首先找到当前游戏中目标数据的动态地址（比如玩家生命值的地址）。
2. 扫描整个内存空间，找到所有指向这个动态地址的指针，得到一级指针列表。
3. 重启游戏，找到新的目标数据地址，然后从之前的一级指针列表里筛选出仍然指向新地址的指针——这些指针就是被更上层的指针指向的二级目标。
4. 重复这个筛选过程，直到找到一个基地址：这个基地址通常是某个动态库或游戏主程序的加载地址加上固定偏移，而这个偏移在程序编译时就固定了。

至于为什么指针具有确定性，核心是游戏的代码和数据结构是固定的：
游戏编译后，全局变量、静态变量的位置相对于模块（比如主exe或动态库）的基址是固定偏移。比如游戏里有一个全局结构体GameManager，它的地址相对于exe基址的偏移是0x123456，而GameManager里有一个指针player_ptr指向玩家数据，这个指针在结构体里的偏移是0x20。即使每次重启游戏，exe的加载地址可能变化（开启ASLR时），但只要找到exe的基址，加上0x123456找到GameManager，再加上0x20找到player_ptr，就能最终指向玩家数据的动态地址。也就是说，指针链的相对偏移是完全固定的，这就是指针能保持确定性的原因。

测试代码与验证 #

你提供的测试代码很好地验证了ASLR的影响：

#include <stdlib.h>
#include <stdio.h>
#include <string.h>
#include <unistd.h>
/**
 * main - uses strdup to create a new string, loops forever-ever
 *
 * Return: EXIT_FAILURE if malloc failed. Other never returns
 */
int main(void) {
    char *s;
    unsigned long int i;
    s = strdup("Holberton");
    if (s == NULL) {
        fprintf(stderr, "Can't allocate mem with malloc\n");
        return (EXIT_FAILURE);
    }
    i = 0;
    while (s) {
        printf("[%lu] %s (%p)\n", i, s, (void *)s);
        sleep(1);
        i++;
    }
    return (EXIT_SUCCESS);
}

编译命令：

gcc -Wall -Wextra -pedantic -Werror loop.c -o loop

开启ASLR时，每次运行的堆地址不同；关闭ASLR后地址固定。但游戏进程因为启动时的大量预分配，即使关闭ASLR，堆地址仍会变化，这和咱们前面说的原因完全一致。

内容的提问来源于stack exchange，提问作者Lucas Araújo