目录背景测试代码_set +0x10 处是个啥?结论NSMutable 对象共性问题?背景 最近处理了两个崩溃,都是在 NSMutableSet 调用 enumerateO
最近处理了两个崩溃,都是在 NSMutableSet 调用 enumerateObjectsWithOptions 的时候发生的,崩溃类型悬垂指针。 查看崩溃堆栈里面的业务代码,发现 set 有 removeObject 和 addObject 的操作,按照经验来讲这大概率是一个多线程操作 set 造成的。最开始怀疑的是 removeObject 导致遍历的时候访问到了 release的 obj 对象。但是当保证 removeObject 和 enumerateObjectsWithOptions 在同一个 queue 执行的时候崩溃仍然存在。
尝试暴力复现,测试 addObject 和 enumerateObjectsWithOptions 是否存在多线程访问的问题。
NSMutableSet *_set = [NSMutableSet set];
dispatch_async(dispatch_queue_create("queue", 0x0), ^{
for (int i = 0; i < 10000; i++) {
[_set enumerateObjectsUsingBlock:^(id _Nonnull obj, BOOL * _Nonnull stop) {}];
}
});
for (int i = 0; i < 10000; i++) {
[_set addObject:[NSObject new]];
}
复现了崩溃,非法地址访问,崩溃地址 0x14ff1f228
崩溃时的汇编指令和 x22 寄存器相关。
0x18a6cb260 <+148>: mov w24, #0x0
0x18a6cb264 <+152>: adrp x25, 358888
0x18a6cb268 <+156>: add x25, x25, #0xd90 ; ___NSSetM_DeletedMarker
-> 0x18a6cb26c <+160>: ldr x20, [x22, w24, uxtw #3]
0x18a6cb270 <+164>: cmp x20, #0x0
0x18a6cb274 <+168>: ccmp x20, x25, #0x4, ne
再次执行测试代码,断点到崩溃地址 0x18a6cb26c,此时 x22 的值 0x0000000280567d00,
_set 的地址 0x0000000280098560。
memory read _set:
x22 这个值在 _set + 0x10 的位置。对 _set + 0x10 处添加内存断点查看修改这个值的逻辑。
(lldb) watchpoint set expression -w write -- 0x0000000282963fd0
Watchpoint created: Watchpoint 1: addr = 0x282963fd0 size = 8 state = enabled type = w
new value: 4730418656
内存断点发现 set 在执行 addObject 可能会触发 __rehashs 方法,__rehashs 会修改 _set + 0x10 处的值。
#0 0x000000018a64a578 in __rehashs ()
#1 0x000000018a64b96c in -[__NSSetM addObject:] ()
#2 0x0000000102718990 in -[ViewController viewDidLoad] at /Users/yuencong/workplace/Test/Test/ViewController.mm:23
__rehashs 修改 _set + 0x10 上方 0x18a64a568 处有一次 free 的操作:
0x18a64a564 <+212>: mov x0, x22
0x18a64a568 <+216>: bl 0x18a7fc7d0 ; symbol stub for: free
0x18a64a56c <+220>: ldrsw x8, [x25, #0x680]
0x18a64a570 <+224>: add x8, x20, x8
-> 0x18a64a574 <+228>: str x21, [x8]
0x18a64a578 <+232>: ldr w9, [x8, #0xc]
0x18a64a57c <+236>: bfi w9, w19, #26, #6
0x18a64a580 <+240>: str w9, [x8, #0xc]
再次运行测试代码,查看 free 的值,断点到 0x18a64a568:
0x18a64a560 <+208>: b.ne 0x18a64a518 ; <+136>
0x18a64a564 <+212>: mov x0, x22
-> 0x18a64a568 <+216>: bl 0x18a7fc7d0 ; symbol stub for: free
0x18a64a56c <+220>: ldrsw x8, [x25, #0x680]
0x18a64a570 <+224>: add x8, x20, x8
0x18a64a574 <+228>: str x21, [x8]
可以看到 free 的 x22 的值,也是 _set + 0x10 位置的值。
(lldb) reGISter read x22
x22 = 0x0000000282d245c0
(lldb) _set __NSSetM * 3 elements 0x0000000282d24580
error: '_set' is not a valid command.
(lldb) memory read 0x0000000282d24590
0x282d24590: c0 45 d2 82 02 00 00 00 05 00 00 00 03 00 00 04 .E..............
0x282d245a0: 80 00 32 80 02 00 00 00 00 00 00 00 00 00 00 00 ..2.............
打印 OBJC_CLASS$___NSSetM 的 ivars,offset == 0x10 的位置是 storage
ivars 0x593140 __OBJC_$_INSTANCE_VARIABLES___NSSetM
entsize 32
count 2
offset 0x59b3D8 _OBJC_IVAR_$___NSSetM.cow 8
name 0x39fe21 cow
type 0x3ff0ab A^{__cow_state_t}
alignment 3
size 8
offset 0x59b3d0 _OBJC_IVAR_$___NSSetM.storage 16
name 0x39fe25 storage
type 0x400612 {?="objs"^@"state"(?="mutations"Q""{?="muts"I"used"b26"szidx"b6})}
alignment 3
size 16
这个 type 略长,没有分析具体的类型,但是根据 xcode debug 的信息,可以得知 storage 存储了一个指针,指针指向存储 set item 的数组,这个字段的含义也就比较容易理解了。
NSMutableSet 对象 addObject 可能会触发 __rehashs,_rehashs 会释放 storage 指针, enumerateObjectsUsingBlock 会访问 storage 指针,多线程访问的情况下会触发 use-after-free的崩溃。如果存在多线程同时执行 enumerateObjectsUsingBlock 和 addObject 方法需要保证线程安全。
尝试了 NSMutableDictionary & NSMutableArray rehash 都有可能会触发 use-after-free。
以上就是NSMutable 对象的坑解决分析的详细内容,更多关于NSMutable 对象坑的资料请关注编程网其它相关文章!
--结束END--
本文标题: NSMutable 对象的坑解决分析
本文链接: https://lsjlt.com/news/197877.html(转载时请注明来源链接)
有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
2024-01-21
2023-10-28
2023-10-28
2023-10-27
2023-10-27
2023-10-27
2023-10-27
回答
回答
回答
回答
回答
回答
回答
回答
回答
回答
官方手机版
微信公众号
商务合作
0