一次精疲力盡的改bug經歷

来源:https://www.cnblogs.com/dengzhuli/archive/2018/03/28/8665287.html
-Advertisement-
Play Games

一、介紹 最近一直在做有關JavaScriptCore的技術需求,上周發現一個問題,當在JavaScriptCore在垃圾回收時,項目會有一定幾率發生崩潰。崩潰發生時調用堆棧如下: 圖1 調用堆棧 圖1 調用堆棧 先對上圖中兩個比較重要的堆棧過程做個說明: 圖2 生成JSValue 圖2 生成JSV ...


一、介紹

最近一直在做有關JavaScriptCore的技術需求,上周發現一個問題,當在JavaScriptCore在垃圾回收時,項目會有一定幾率發生崩潰。崩潰發生時調用堆棧如下:


圖1 調用堆棧

先對上圖中兩個比較重要的堆棧過程做個說明:


圖2 生成JSValue

1)、toJSValueInContext:方法是通過JSObjectMake 再生成一個JSValue。如上圖中,最終返回的是一個JSValue,並且這個JSValue對self(PHOValue類型)做了一次強引用。


圖3 該JSValue釋放回調

2)、PHOObject_finalizeCallback 是JSValue的析構函數,當通過JSObjectMake生成的JS對象在釋放時會調用該函數。在這個函數中,我們釋放了之前所強引用的self(PHOValue類型)。當self釋放時,self所強持有的對象A會被釋放。進一步執行A的dealloc方法中,在dealloc方法中,我們再次調用了JSObjectMake函數生成其他的對象,並再次強持有了A對象,並將JSValue傳入到JS中進行其他方法調用(如果不理解這個問題,請參考JSPatch對重寫dealloc方法的處理,但是不同的是JSPatch 並不依賴垃圾回收)。

為了說明問題,特地畫了個記憶體流程簡圖輔助理解:


圖4 記憶體情況和流程說明

二、定位問題

為了定位問題,我們進行了很多猜想,在這裡我們列舉兩個比較有代表性的猜想。

猜想1:在dealloc中不允許對正在執行dealloc的對象進行強引用

由於這個問題是有一定的概率出現,並且報出了Thread 1: EXC_BREAKPOINT (code=EXC_I386_BPT, subcode=0x0)這樣的錯誤,因此我們最開始一直將精力集中在追查野指針上。崩潰發生在self進行dealloc的時機,但是在這個時機我們對self又做了一次強引用(見圖2代碼)。此時會對self的引用計數+1,因此猜測可能會重覆觸發self的dealloc。但是實際上當崩潰發生時,po操作查看self,context 等參數,發現所有的參數都是正常允許訪問的。並且這與調用堆棧的現象並不相符,至少我們沒有看到兩次調用dealloc。因此這種猜想是不成立的。

猜想2:JavaScriptCore 在進行垃圾回收時不允許進行JSObjectMake

從調用堆棧來看,每次崩潰都發生在JSObjectMake之後,這是不是意味著垃圾回收時不能進行JSObjectMake操作呢?為了驗證這個問題,我們在PHOObject_finalizeCallback函數中不做任何對象釋放操作,僅僅執行一次JSObjectMake,


圖5 回調中調用JSObjectMake

這樣的改動就意味著,只要處於JavaScriptCore進行垃圾回收,就會立刻調用JSObjectMake。經過驗證發現,果然在此處發生崩潰,並且是百分百復現,調用堆棧基本一致。因此可以說明我們的猜想是正確的。仔細想想這個問題,有經驗的同學可能會感到細思極恐,因為垃圾回收機制並不受我們控制,我們在進行JSObjectMake無法保證一定不處於垃圾回收期間,那麼理論上來說應該進行發生崩潰才對,為什麼這個問題之前一直沒有暴露出來呢?我們迴圈100000次創建對象並不斷通過safari的調試功能人工觸發垃圾回收,並沒有發生崩潰。JavascriptCore存在兩種垃圾回收方式,一種是同步回收,一種是非同步回收,無論哪種方式,JavascriptCore對虛擬機有共有的堆(Heap,JavascriptCore的垃圾回收處理都在Heap.cpp中)都進行了加鎖處理,換句話說就是在正常情況下JSObjectMake在垃圾回收時是無法訪問堆的。


圖6 JSCore的兩種垃圾回收方式

而我們之所以發生崩潰是由於我們在對象在垃圾回收的回調中訪問了堆,這個問題的偽代碼如下:

 


圖7 偽代碼

三、尋找解決方案

既然基本定位到了問題的原因,那麼下一步就要找方法去解決這個問題。問題的根源在於我們想在JS變數釋放的時候釋放它所間接持有的OC對象,如果在垃圾回收期間我們無法進行釋放,那麼是不是意味著只要我們獲取到JavascriptCore的垃圾回收開始和結束回調就能避免這個問題了呢?查找JavascriptCore後發現,還真的有這個回調狀態,只不過介面並沒有對我們開放,Heap.h中存在一個添加觀察者的介面。


圖8 添加觀察者

當即將進行垃圾回收和垃圾回收結束後會通知觀察者:


圖9 開始回調

 


圖10 結束回調

那麼現在問題來了,我們既然知道了回調方法,那麼如何獲得回調呢?在OC層面,我們可以通過runtime 進行hook,甚至在C語言層面我們也可以通過fb的fishhook來實現hook,在C++層面我們如何hook一個帶命名空間的函數呢?(這個問題我們並沒有實現思路,如果有人知道在iOS中如何hook一個C++函數,請及時留言指教)。在經歷了一系列嘗試後,我們放棄了hook C++函數的方法,轉而尋求其他方法。回到最初的目的,實際上我們就是想保證垃圾回收之後再執行我們的JSObjectMake。因此GCD的延遲操作是一個很好的思路,但是到底延遲多長時間呢?這個方案似乎不是那麼完美。那麼還有什麼操作是一個延遲釋放的操作呢?__autoreleasing 應該是一個比較好的選擇。當對象前被添加__autoreleasing修飾時,這個對象會被延遲到自動釋放池釋放時才被釋放。當自動釋放池釋放時當前runloop一定是結束了,也就是說該垃圾回收一定是結束了(不可能一次垃圾回收分為兩個runloop)。因此只需要將代碼改為如下所圖11示即可


圖11 修改方案

四、總結

這個問題還是比較難定位的,首先是很難定位到垃圾回收導致問題,其次是很難找到比較好的回調,尤其是hook c++函數,我們做了很多次嘗試都沒有成功。如果有人有過在iOS系統中hook C++函數的實現方案,請不吝賜教,多謝多謝!

 


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • /* author simon */ 例:資料庫:NCDB2用戶 :DB2ADMIN/DB2ADMIN備份庫路徑:D:/bank 一.恢複數據庫1.啟動資料庫運行-》db2cmd-》db2Db2=>start db managerDb2=>force application allDb2=>drop ...
  • 本文會著重介紹一下YCSB測試遠程完全分散式集群的操作差異。雖然網上有很多介紹YCSB測試HBase的文章,但都是針對本地HBase偽分散式集群的。大家都知道,稍微正式一些的壓測都會要求測試客戶端與目標集群分離部署,而且偽分散式集群通常不會在生產環境下使用,本身也沒有太大的壓測意義。 ...
  • 1.1 查看mysql的安裝路徑: [root@bogon ~]# whereis mysql mysql: /usr/bin/mysql /usr/lib/mysql /usr/share/mysql /usr/share/man/man1/mysql.1.gz 1.2 查看mysql的安裝包: ...
  • About SQL*Plus SQL*Plus is the primary command-line interface to your Oracle database. You use SQL*Plus to start up and shut down the database, set da ...
  • 使用BLOB欄位來保存圖片是不是一個好的方法還存在爭議,小圖片除外。更常用的方法是將圖片保存為一個文件,然後只在數據中保存圖片文件的元數據,比如文件的路徑。但是,如果你想把數據文件(初始數據)打包成一個文件放在你的應用中,這倒是一個很好的方法。 SQLite在iOS設備上運行要比在模擬器上運行慢的多 ...
  • 閱讀目錄 介紹 R 文件的內容 介紹 通過 R 文件引用資源 一、R 文件的內容 在 Android Studio 中 R 文件位於 app -> build -> generated -> source -> r -> debug -> 包名 -> R 要註意幾點: R 文件的本質是一個 java ...
  • 微信公眾號:CodeId有什麼建議可以到公眾號里進行留言。 很高興又和大家見面了,最近寫了個小游戲——2048,這個游戲實現起來不是很難,感覺它對自己的邏輯能力起到一個訓練作用,還不錯,所以今天分享給大家。我是通過小程式寫的,源碼已經放到GitHub上了https://github.com/Craz ...
  • RadioButton的圖標大小並沒有相應的佈局參數,本文通過自定義屬性的方式自定義RadioButton,實現控製圖片大小。 ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...