Debug 的時候，都遇到過手速太快，直接跳過了自己想調試的方法、代碼的時候吧……一旦跳過，可能就得重新執行一遍，準備數據、重新啟動可能幾分鐘就過去了。 ...

Debug 的時候，都遇到過手速太快，直接跳過了自己想調試的方法、代碼的時候吧……

一旦跳過，可能就得重新執行一遍，準備數據、重新啟動可能幾分鐘就過去了。

好在IDE 們都很強大，還給你後悔的機會，可以直接刪除某個 Stack Frame，直接返回到之前的狀態，確切的說是返回到之前的某個 Stack Frame，從而實現讓程式“逆向運行”。

Untitled 1.png

這個 Reset Frame 的能力，可不只是返回上一步，上 N 步也是可以的；選中你期望的那個幀，直接Reset Frame/Drop Frame，可以直接回到調用棧上的某個棧幀，時間反轉！

可惜這玩意也不是那麼萬能，畢竟是通過 stack pop 這種操作實現，實際上只是給調用棧棧頂的 N 個 frame pop 出來而已，還談不上是真正的“反向 DEBUG”。

相比之下， GDB 的Reverse Debugging就比較強大，真正的 “反向” DEBUG，逆向運行，實現回放。

所以吧在運行過程中，已經修改的數據，比如引用傳遞的方法參數、變數，一旦修改肯定回退不了，不然真的成時光機了。

這些亂七八糟的調試功能，都是基於 Java 內置的 Debug 體系來實現的。

JAVA DEBUG 體系

Java 提供了一個完整的 Debug 體系JPDA(Java Platform Debugger Architecture)，這個 JPDA 架構體系由 3 部分組成：

JVM TI- Java VM Tool Interface
JDWP- Java Debug Wire Protocol
JDI- Java Debug Interface

如果結合IDE 來看，那麼一個完整的 Debug 功能看起來就是這個樣子：

Untitled 2.png

解釋一下這個體系：

JVM TI 是一個 JVM 提供的一個調試介面，提供了一系列控制 JVM 行為的功能，比如分析、調試、監控、線程分析等等。也就是說，這個介面定義了一系列調試分析功能，而 JVM 實現了這個介面，從而提供調試能力。

不過吧，這個介面畢竟是 C++的，調用起來確實不方便，所以Java 還提供了 JDI 這麼個 Java 介面。

JDI 介面使用 JDWP 這個私有的應用層協議，通過 TCP 和目標 VM 的 JVMTI 介面進行交互。

也可以把簡單這個 JDWP 協議理解為 JSF/Dubbo 協議；相當於 IDE 里通過 JDI 這個 SDK，使用 JDWP 協議調用遠程 JVMTI 的 RPC 介面，來傳輸調試時的各種斷點、查看操作。

可能有人會問，搞什麼套殼！要什麼 JDWP，我直接 JVMTI 調試不是更香，鏈路越短性能越高！

當然可以，比如 Arthas 里的部分功能，就直接使用了 JVMTI 介面，要什麼 JDI！直接 JVMTI 乾就完了。

開個玩笑，Arthas 畢竟不是 Debug 工具，人家根本就不用 JDI 介面。而且 JVMTI 的能力也不只是斷點，它的功能非常多：

Untitled 3.png

左邊的功能類，提供了各種亂七八糟的功能，比如我們常用的添加一個斷點：

jvmtiError
SetBreakpoint(jvmtiEnv* env,
            jmethodID method,
            jlocation location)

右邊的事件類，可以簡單的理解為回調；還是拿斷點舉例，如果我用上面的 SetBreakpoint 添加了一個斷點，那麼當執行到該位置時，就會觸發這個事件:

void JNICALL
Breakpoint(jvmtiEnv *jvmti_env,
            JNIEnv* jni_env,
            jthread thread,
            jmethodID method,
            jlocation location)

JVMTI 的功能非常之多，而 JDI 只是實現了部分 JVMTI 的方法，所以某些專業的 Profiler 工具，可能會直接使用 JVMTI，從而實現更豐富的診斷分析功能。

遠程調試與本地調試

不知道大家有沒有留意過本地 Debug 啟動時的日誌：

Untitled 4.png

第一行是隱藏了後半段的啟動命令，展開後是這個樣子：

/path/to/java -agentlib:jdwp=transport=dt_socket,address=127.0.0.1:53631,suspend=y,server=n -javaagent:/path/to/jetbrains/debugger-agent.jar ...

第二行是一個 Connected 日誌，意思是使用 socket 連接到遠程 VM 的53631埠

上一段說到，IDE 通過 JDI 介面，使用 JDWP 協議和目標 VM 的 JVMTI 交互。這裡的 53631 埠，就是目標 JVM 暴露出的 JVM TI 的 server 埠。

而第一行里，IDEA 自動給我們加上了-agentlib:jdwp=transport=dt_socket,address=127.0.0.1:53631這麼一段，這個參數的意思就是，讓 jvm 以 53631 暴露 jdwp 協議

小知識，這個 agentlib 可不只是為 jvmti 提供的。它還可以讓 JVM 載入其他的 native lib包，直接“外掛”到你的 jvm 上，下麵是“外掛”的參數格式：

Untitled 5.png

所以吧，上面的描述其實不太嚴謹，更專業的說法是：

讓 JVM 載入 JDWP 這個 agent 庫，參數為transport=dt_socket,address=127.0.0.1:53631，這個 jdwp agent 庫以 53631 埠提供了 jdwp 協議的 server。只不過這個 jdwp 是jvm 內部的庫，不需要額外的 so/dylib/dll 文件。

如有需要，你完全可以弄個 “datupiao” 的 agentlib，“外掛”到這個 jvm 上，然後在這個 lib 里調用 JVMTI 介面，然後暴露個埠提供服務和遠程交互，實現自己的 jdwp！

可能某些老闆們註意到了，本地調試還要127.0.0.1走tcp 交互一遍，那遠程調試呢？

基於上面的解釋，本地調試和遠程調試真的沒啥區別！或者說，在目前 IDEA/Eclipse 的實現下，不存在本地調試，都是遠程！只不過一個是 127.0.0.1，一個是遠程的 IP 而已。

在本地調試時，IDEA 會自動給我們的 JVM 增加agent參數，隨機指定一個埠，然後通過 JDI 介面連接，代碼大概長這樣（JDI 的 SDK 在 JDK_HOME/lib/tools.jar ）：

Map<String, Connector.Argument> env = connector.defaultArguments();
env.get("hostname").setValue(hostname);
env.get("port").setValue(port);

VirtualMachine vm = connector.attach(env);

瞅瞅， VirtualMachine 里的就這點方法，能力上比 JVMTI 還是差遠了

List<ReferenceType> classesByName(String className);

List<ReferenceType> allClasses();

void redefineClasses(Map<? extends ReferenceType, byte[]> classToBytes);

List<ThreadReference> allThreads();

void suspend();

void resume();

List<ThreadGroupReference> topLevelThreadGroups();

EventQueue eventQueue();

EventRequestManager eventRequestManager();

VoidValue mirrorOfVoid();

Process process();

再回來看看 IDEA 中獨立的遠程調試，配置好之後，紅框里的信息會提示你，遠程的 JVM 需增加這一段啟動參數，而且支持多個版本 JDK 的格式，CV 大法就能直接用。

Untitled 6.png

-agentlib 和 -javaagent

有些細心的同學可能發現了，IDEA 預設的啟動腳本里，同時配置了 -agentlib 和 -javaagent。

-javaagent:/path/to/jetbrains/debugger-agent.jar

這個 debugger-agent吧，其實也沒幹啥事，只是對 JDK 內置的一些線程做了些增強，輔助 IDEA 的 debug 功能，支持一些非同步的調試。

Untitled 7.png

agentlib、javaagent 這倆兄弟，定位其實很像，都是載入自定義的代碼。

不過區別在於，agentlib 是載入 native lib，需要c/cpp 去寫，相當於外掛自己的代碼在 jvm 上，可以為所欲為，比如在 agentlib 里調用上面說的 JVMTI 。

而 javaagent 是用 java 寫的，可以直接用上層的 Instrumentation API，做一些類的增強轉換之類，這也是大多數 APM Agent、Profiler Agent實現的基本原理。

Arthas 的玩法

Arthas 的核心入口，其實還是 javaagent，支持靜態載入和動態載入兩種玩法。

靜態沒啥好說的，啟動腳本里增加一個-javaagent:/tmp/test/arthas-agent.jar，然後為所欲為。

動態的叫 attach，使用 Java 提供的VirtualMachine就可以實現運行時添加 -javaagent，效果一樣：

VirtualMachine virtualMachine = VirtualMachine.attach(virtualMachineDescriptor);
virtualMachine.loadAgent(agentPath, agentArgs);

這個 Agent 在 JVM 里啟動了一個TCP server，用於收發 Arthas Client 的各種 trace、watch 、Dashboard 等指令，然後通過 Instrumentation 增強Class 插入代碼、或者直接調用某些 Java API，實現各種功能。

註意到了嗎？Arthas 可以直接下載一個 jar 包，java -jar 就能連上。

其實吧，它這個直接啟動的 jar 包，是一個 boot 包，啟動之後把亂七八糟的 jar 都下載下來。接著動態 attach 的方式，連接到本機指定進程號的 JVM，然後再為所欲為。

在 3.5 版本之後，Arthas 還新增了一個vmtool命令，這個命令可以直接獲取記憶體中的指定對象實例。

$ vmtool --action getInstances --className java.lang.String --limit 10
@String[][
    @String[com/taobao/arthas/core/shell/session/Session],
    @String[com.taobao.arthas.core.shell.session.Session],
    @String[com/taobao/arthas/core/shell/session/Session],
    @String[com/taobao/arthas/core/shell/session/Session],
    @String[com/taobao/arthas/core/shell/session/Session.class],
    @String[com/taobao/arthas/core/shell/session/Session.class],
    @String[com/taobao/arthas/core/shell/session/Session.class],
    @String[com/],
    @String[java/util/concurrent/ConcurrentHashMap$ValueIterator],
    @String[java/util/concurrent/locks/LockSupport],
]

直接獲取記憶體對象，這玩意只靠 Instrumentation API 可做不到。Arthas 搞了個騷操作，直接 JNI 調用自定義 lib，用過 cpp 直接調用了 JVMTI 的 API，融合了 Instrumentation 和 JVMTI 的能力，這下是真的為所欲為了！

#include <stdio.h>
#include <jni.h>
#include <jni_md.h>
#include <jvmti.h>
#include "arthas_VmTool.h" // under target/native/javah/

static jvmtiEnv *jvmti;

...

extern "C"
JNIEXPORT jobjectArray JNICALL
Java_arthas_VmTool_getInstances0(JNIEnv *env, jclass thisClass, jclass klass, jint limit) {
    jlong tag = getTag();
    limitCounter.init(limit);
    jvmtiError error = jvmti->IterateOverInstancesOfClass(klass, JVMTI_HEAP_OBJECT_EITHER,
                                               HeapObjectCallback, &tag);
    if (error) {
        printf("ERROR: JVMTI IterateOverInstancesOfClass failed!%u\n", error);
        return NULL;
    }

    jint count = 0;
    jobject *instances;
    error = jvmti->GetObjectsWithTags(1, &tag, &count, &instances, NULL);
    if (error) {
        printf("ERROR: JVMTI GetObjectsWithTags failed!%u\n", error);
        return NULL;
    }

    jobjectArray array = env->NewObjectArray(count, klass, NULL);
    //添加元素到數組
    for (int i = 0; i < count; i++) {
        env->SetObjectArrayElement(array, i, instances[i]);
    }
    jvmti->Deallocate(reinterpret_cast<unsigned char *>(instances));
    return array;
}

總結

Debug 基於 JDPA 體系
1. IDE 直接接入 JDPA 體系中的 JDI 介面完成
2. JDI 通過 JDWP 協議，調用遠程 VM 的 JVMTI 介面
3. JDWP 是通過 agentlib 載入的，agentlib 算是一個 native 的靜態“外掛”介面
javaagent 是 JAVA 層面的“外掛”介面，用過 Instrumentation API（Java）實現各種功能，主要用於APM、Profiler 工具
如果你想，在 javaagent 里調用功能更豐富的 JVMTI 也不是不行。

作者：京東保險蔣信

來源：京東雲開發者社區轉載請註明來源

反向 Debug 瞭解一下？揭秘 Java DEBUG 的基本原理

JAVA DEBUG 體系

遠程調試與本地調試

-agentlib 和 -javaagent

Arthas 的玩法

總結