本文由雲+社區發表 iOS開發過程中難免會遇到卡頓等性能問題或者死鎖之類的問題,此時如果有調用堆棧將對解決問題很有幫助。那麼在應用中如何來實時獲取函數的調用堆棧呢?本文參考了網上的一些博文,講述了使用mach thread的方式來獲取調用棧的步驟,其中會同步講述到棧幀的基本概念,並且通過對一個dem ...
本文由雲+社區發表
iOS開發過程中難免會遇到卡頓等性能問題或者死鎖之類的問題,此時如果有調用堆棧將對解決問題很有幫助。那麼在應用中如何來實時獲取函數的調用堆棧呢?本文參考了網上的一些博文,講述了使用mach thread的方式來獲取調用棧的步驟,其中會同步講述到棧幀的基本概念,並且通過對一個demo的彙編代碼的講解來方便理解獲取調用鏈的原理。
一、棧幀等幾個概念
先拋出一個棧幀的概念,解釋下什麼是棧幀。
應用中新創建的每個線程都有專用的棧空間,棧可以線上程期間自由使用。而線程中有千千萬萬的函數調用,這些函數共用進程的這個棧空間,那麼問題就來了,函數運行過程中會有非常多的入棧出棧的過程,當函數返回backtrace的時候怎樣能精確定位到返回地址呢?還有子函數所保存的一些寄存器的內容?這樣就有了棧幀的概念,即每個函數所使用的棧空間是一個棧幀,所有的棧幀就組成了這個線程完整的棧。
棧幀
下麵再拋出幾個概念:
寄存器中的fp,sp,lr,pc。
寄存器是和CPU聯繫非常緊密的一小塊記憶體,經常用於存儲一些正在使用的數據。對於32位架構armv7指令集的ARM處理器有16個寄存器,從r0到r15,每一個都是32位比特。調用約定指定他們其中的一些寄存器有特殊的用途,例如:
- r0-r3:用於存放傳遞給函數的參數;
- r4-r11:用於存放函數的本地參數;
- r11:通常用作楨指針fp(frame pointer寄存器),棧幀基址寄存器,指向當前函數棧幀的棧底,它提供了一種追溯程式的方式,來反向跟蹤調用的函數。
- r12:是內部程式調用暫時寄存器。這個寄存器很特別是因為可以通過函數調用來改變它;
- r13:棧指針sp(stack pointer)。在電腦科學內棧是非常重要的術語。寄存器存放了一個指向棧頂的指針。看這裡瞭解更多關於棧的信息;
- r14:是鏈接寄存器lr(link register)。它保存了當目前函數返回時下一個函數的地址;
- r15:是程式計數器pc(program counter)。它存放了當前執行指令的地址。在每個指令執行完成後會自動增加;
不同指令集的寄存器數量可能會不同,pc、lr、sp、fp也可能使用其中不同的寄存器。後面我們先忽略r11等寄存器編號,直接用fp,sp,lr來講述
如下圖所示,不管是較早的幀,還是調用者的幀,還是當前幀,它們的結構是完全一樣的,因為每個幀都是基於一個函數,幀伴隨著函數的生命周期一起產生、發展和消亡。在這個過程中用到了上面說的寄存器,fp幀指針,它總是指向當前幀的底部;sp棧指針,它總是指向當前幀的頂部。這兩個寄存器用來定位當前幀中的所有空間。編譯器需要根據指令集的規則小心翼翼地調整這兩個寄存器的值,一旦出錯,參數傳遞、函數返回都可能出現問題。
其實這裡這幾個寄存器會滿足一定規則,比如:
- fp指向的是當面棧幀的底部,該地址存的值是調用當前棧幀的上一個棧幀的fp的地址。
- lr總是在上一個棧幀(也就是調用當前棧幀的棧幀)的頂部,而棧幀之間是連續存儲的,所以lr也就是當前棧幀底部的上一個地址,以此類推就可以推出所有函數的調用順序。這裡註意,棧底在高地址,棧向下增長
而由此我們可以進一步想到,通過sp和fp所指出的棧幀可以恢復出母函數的棧幀,不斷遞歸恢復便恢復除了調用堆棧。向下麵代碼一樣,每次遞歸pc存儲的*(fp + 1)其實就是返回的地址,它在調用者的函數內,利用這個地址我們可以通過符號表還原出對應的方法名稱。
while(fp) {
pc = *(fp + 1);
fp = *fp;
}二、彙編解釋下
如果你非要問為什麼會這樣,我們可以從彙編角度看下函數是怎麼調用的,從而更深刻理解為什麼fp總是存儲了上一個棧幀的fp的地址,而fp向前一個地址為什麼總是lr?
寫如下一個demo程式,由於我是在mac上做實驗,所以直接使用clang來編譯出可執行程式,然後再用hopper工具反彙編查看彙編代碼,當然也可直接使用clang的
-S參數指定生產彙編代碼。
demo源碼
#import <Foundation/Foundation.h>
int func(int a);
int main (void)
{
int a = 1;
func(a);
return 0;
}
int func (int a)
{
int b = 2;
return a + b;
}彙編語言
; ================ B E G I N N I N G O F P R O C E D U R E ================
; Variables:
; var_4: -4
; var_8: -8
; var_C: -12
_main:
0000000100000f70 push rbp
0000000100000f71 mov rbp, rsp
0000000100000f74 sub rsp, 0x10
0000000100000f78 mov dword [rbp+var_4], 0x0
0000000100000f7f mov dword [rbp+var_8], 0x1
0000000100000f86 mov edi, dword [rbp+var_8] ; argument #1 for method _func
0000000100000f89 call _func
0000000100000f8e xor edi, edi
0000000100000f90 mov dword [rbp+var_C], eax
0000000100000f93 mov eax, edi
0000000100000f95 add rsp, 0x10
0000000100000f99 pop rbp
0000000100000f9a ret
; endp
0000000100000f9b nop dword [rax+rax]
; ================ B E G I N N I N G O F P R O C E D U R E ================
; Variables:
; var_4: -4
; var_8: -8
_func:
0000000100000fa0 push rbp ; CODE XREF=_main+25
0000000100000fa1 mov rbp, rsp
0000000100000fa4 mov dword [rbp+var_4], edi
0000000100000fa7 mov dword [rbp+var_8], 0x2
0000000100000fae mov edi, dword [rbp+var_4]
0000000100000fb1 add edi, dword [rbp+var_8]
0000000100000fb4 mov eax, edi
0000000100000fb6 pop rbp
0000000100000fb7 ret需要註意,由於是在mac上編譯出可執行程式,指令集已經是x86-64,所以上文的fp、sp、lr、pc名稱和使用的寄存器發生了變化,但含義基本一致,對應關係如下:
- fp----rbp
- sp----rsp
- pc----rip
接下來我們看下具體的彙編代碼,可以看到在main函數中在經過預處理和參數初始化後,通過call _func來調用了func函數,這裡call _func其實等價於兩個彙編命令:
Pushl %rip //保存下一條指令(第41行的代碼地址)的地址,用於函數返回繼續執行
Jmp _func //跳轉到函數foo於是,當main函數調用了func函數後,會將下一行地址push進棧,至此,main函數的棧幀已經結束,然後跳轉到func的代碼處開始繼續執行。可以看出,rip指向的函數下一條地址,即上文中所說的lr已經入棧,在棧幀的頂部。
而從func的代碼可以看到,首先使用push rbp將幀指針保存起來,而由於剛跳轉到func函數,此時rbp其實是上一個棧幀的幀指針,即它的值其實還是上一個棧幀的底部地址,所以此步驟其實是將上一個幀底部地址保存了下來。
下一句彙編語句mov rbp, rsp將棧頂部地址rsp更新給了rbp,於是此時rbp的值就成了棧的頂部地址,也是當前棧幀的開始,即fp。而棧頂部又正好是剛剛push進去的存儲上一個幀指針地址的地址,所以rbp指向的時當前棧幀的底部,但其中保存的值是上一個棧幀底部的地址。
至此,也就解釋了為什麼fp指向的地址存儲的內容是上一個棧幀的fp的地址,也解釋了為什麼fp向前一個地址就正好是lr。
另外一個比較重要的東西就是出入棧的順序,在ARM指令系統中是地址遞減棧,入棧操作的參數入棧順序是從右到左依次入棧,而參數的出棧順序則是從左到右的你操作。包括push/pop和LDMFD/STMFD等。
三、獲取調用棧步驟
其實上面的幾個fp、lr、sp在mach內核提供的api中都有定義,我們可以使用對應的api拿到對應的值。如下便是64位和32位的定義
_STRUCT_ARM_THREAD_STATE64
{
__uint64_t __x[29]; /* General purpose registers x0-x28 */
__uint64_t __fp; /* Frame pointer x29 */
__uint64_t __lr; /* Link register x30 */
__uint64_t __sp; /* Stack pointer x31 */
__uint64_t __pc; /* Program counter */
__uint32_t __cpsr; /* Current program status register */
__uint32_t __pad; /* Same size for 32-bit or 64-bit clients */
};
_STRUCT_ARM_THREAD_STATE
{
__uint32_t r[13]; /* General purpose register r0-r12 */
__uint32_t sp; /* Stack pointer r13 */
__uint32_t lr; /* Link register r14 */
__uint32_t pc; /* Program counter r15 */
__uint32_t cpsr; /* Current program status register */
};於是,我們只要拿到對應的fp和lr,然後遞歸去查找母函數的地址,最後將其符號化,即可還原出調用棧。
總結歸納了下,獲取調用棧需要下麵幾步:
1、掛起線程
thread_suspend(main_thread);2、獲取當前線程狀態上下文thread_get_state
_STRUCT_MCONTEXT ctx;
#if defined(__x86_64__)
mach_msg_type_number_t count = x86_THREAD_STATE64_COUNT;
thread_get_state(thread, x86_THREAD_STATE64, (thread_state_t)&ctx.__ss, &count);
#elif defined(__arm64__)
_STRUCT_MCONTEXT ctx;
mach_msg_type_number_t count = ARM_THREAD_STATE64_COUNT;
thread_get_state(thread, ARM_THREAD_STATE64, (thread_state_t)&ctx.__ss, &count);
#endif3、獲取當前幀的幀指針fp
#if defined(__x86_64__)
uint64_t pc = ctx.__ss.__rip;
uint64_t sp = ctx.__ss.__rsp;
uint64_t fp = ctx.__ss.__rbp;
#elif defined(__arm64__)
uint64_t pc = ctx.__ss.__pc;
uint64_t sp = ctx.__ss.__sp;
uint64_t fp = ctx.__ss.__fp;
#endif4、遞歸遍歷fp和lr,依次記錄lr的地址
while(fp) {
pc = *(fp + 1);
fp = *fp;
}這一步我們其實就是使用上面的方法來依次迭代出調用鏈上的函數地址,代碼如下
void* t_fp[2];
vm_size_t len = sizeof(record);
vm_read_overwrite(mach_task_self(), (vm_address_t)(fp),len, (vm_address_t)t_fp, &len);
do {
pc = (long)t_fp[1] // lr總是在fp的上一個地址
// 依次記錄pc的值,這裡先只是列印出來
printf(pc)
vm_read_overwrite(mach_task_self(),(vm_address_t)m_cursor.fp[0], len, (vm_address_t)m_cursor.fp,&len);
} while (fp);上面代碼便會從下到上依次列印出調用棧函數中的地址,這個地址總是在函數調用地方的下一個地址,我們就需要拿這個地址還原出對應的符號名稱。
5、恢複線程thread_resume
thread_resume(main_thread);6、還原符號表
這一步主要是將已經獲得的調用鏈上的地址分別解析出對應的符號。主要是參考了運行時獲取函數調用棧 的方法,其中用到的dyld鏈接mach-o文件的基礎知識,後續會專門針對這裡總結一篇文章。
enumerateSegment(header, [&](struct load_command *command) {
if (command->cmd == LC_SYMTAB) {
struct symtab_command *symCmd = (struct symtab_command *)command;
uint64_t baseaddr = 0;
enumerateSegment(header, [&](struct load_command *command) {
if (command->cmd == LC_SEGMENT_64) {
struct segment_command_64 *segCmd = (struct segment_command_64 *)command;
if (strcmp(segCmd->segname, SEG_LINKEDIT) == 0) {
baseaddr = segCmd->vmaddr - segCmd->fileoff;
return true;
}
}
return false;
});
if (baseaddr == 0) return false;
nlist_64 *nlist = (nlist_64 *)(baseaddr + slide + symCmd->symoff);
uint64_t strTable = baseaddr + slide + symCmd->stroff;
uint64_t offset = UINT64_MAX;
int best = -1;
for (int k = 0; k < symCmd->nsyms; k++) {
nlist_64 &sym = nlist[k];
uint64_t d = pcSlide - sym.n_value;
if (offset >= d) {
offset = d;
best = k;
}
}
if (best >= 0) {
nlist_64 &sym = nlist[best];
std::cout << "SYMBOL: " << (char *)(strTable + sym.n_un.n_strx) << std::endl;
}
return true;
}
return false;
});參考
此文已由作者授權騰訊雲+社區在各渠道發佈
獲取更多新鮮技術乾貨,可以關註我們騰訊雲技術社區-雲加社區官方號及知乎機構號
