背景

啟動是App給用戶的第一印象，對用戶體驗至關重要。抖音的業務迭代迅速，如果放任不管，啟動速度會一點點劣化。為此抖音iOS客戶端團隊做了大量優化工作，除了傳統的修改業務代碼方式，我們還做了些開拓性的探索，發現修改代碼在二進制文件的布局可以提高啟動性能，方案落地后在抖音上啟動速度提高了約15%。

本文從原理出發，介紹了我們是如何通過靜態掃描和運行時trace找到啟動時候調用的函數，然后修改編譯參數完成二進制文件的重新排布。

原理

Page Fault

進程如果能直接訪問物理內存無疑是很不安全的，所以操作系統在物理內存的上又建立了一層虛擬內存。為了提高效率和方便管理，又對虛擬內存和物理內存又進行分頁（Page）。當進程訪問一個虛擬內存Page而對應的物理內存卻不存在時，會觸發一次缺頁中斷（Page Fault），分配物理內存，有需要的話會從磁盤mmap讀人數據。

通過App Store渠道分發的App，Page Fault還會進行簽名驗證，所以一次Page Fault的耗時比想象的要多：

Page Fault

重排

編譯器在生成二進制代碼的時候，默認按照鏈接的Object File(.o)順序寫文件，按照Object File內部的函數順序寫函數。

靜態庫文件.a就是一組.o文件的ar包，可以用ar -t查看.a包含的所有.o。

默認布局

簡化問題：假設我們只有兩個page：page1/page2，其中綠色的method1和method3啟動時候需要調用，為了執行對應的代碼，系統必須進行兩個Page Fault。

但如果我們把method1和method3排布到一起，那么只需要一個Page Fault即可，這就是二進制文件重排的核心原理。

重排之后

我們的經驗是優化一個Page Fault，啟動速度提升0.6~0.8ms。

核心問題

為了完成重排，有以下幾個問題要解決：

重排效果怎么樣 - 獲取啟動階段的page fault次數

重排成功了沒 - 拿到當前二進制的函數布局

如何重排 - 讓鏈接器按照指定順序生成Mach-O

重排的內容 - 獲取啟動時候用到的函數

作為一個開發者，有一個學習的氛圍跟一個交流圈子特別重要，這是一個我的iOS交流群：519832104 不管你是小白還是大牛歡迎入駐，分享經驗，討論技術，大家一起交流學習成長！

另附上一份各好友收集的大廠面試題，需要iOS開發學習資料、面試真題，可以添加iOS開發進階交流群，進群可自行下載！

System Trace

日常開發中性能分析是用最多的工具無疑是Time Profiler，但Time Profiler是基于采樣的，并且只能統計線程實際在運行的時間，而發生Page Fault的時候線程是被blocked，所以我們需要用一個不常用但功能卻很強大的工具：System Trace。

選中主線程，在VM Activity中的File Backed Page In次數就是Page Fault次數，并且雙擊還能按時序看到引起Page Fault的堆棧：

System Trace

signpost

現在我們在Instrument中已經能拿到某個時間段的Page In次數，那么如何和啟動映射起來呢？

我們的答案是：os_signpost。

os_signpost是iOS 12開始引入的一組API，可以在Instruments繪制一個時間段，代碼也很簡單：

1os_log_t?logger?=?os_log_create("com.bytedance.tiktok",?"performance");
2os_signpost_id_t?signPostId?=?os_signpost_id_make_with_pointer(logger,sign);
3//標記時間段開始
4os_signpost_interval_begin(logger,?signPostId,?"Launch","%{public}s",?"");
5//標記結束
6os_signpost_interval_end(logger,?signPostId,?"Launch");

通常可以把啟動分為四個階段處理：

啟動階段

有多少個Mach-O，就會有多少個Load和C++靜態初始化階段，用signpost相關API對對應階段打點，方便跟蹤每個階段的優化效果。

Linkmap

Linkmap是iOS編譯過程的中間產物，記錄了二進制文件的布局，需要在Xcode的Build Settings里開啟Write Link Map File：

Build Settings

比如以下是一個單頁面Demo項目的linkmap。

linkmap

linkmap主要包括三大部分：

Object Files 生成二進制用到的link單元的路徑和文件編號

Sections 記錄Mach-O每個Segment/section的地址范圍

Symbols 按順序記錄每個符號的地址范圍

ld

Xcode使用的鏈接器件是ld，ld有一個不常用的參數-order_file，通過man ld可以看到詳細文檔：

Alters the order in which functions and data are laid out. For each section in the output file, any symbol in that section that are specified in the order file file is moved to the start of its section and laid out in the same order as in the order file file.

可以看到，order_file中的符號會按照順序排列在對應section的開始，完美的滿足了我們的需求。

Xcode的GUI也提供了order_file選項：

order_file

如果order_file中的符號實際不存在會怎么樣呢？

ld會忽略這些符號，如果提供了link選項-order_file_statistics，會以warning的形式把這些沒找到的符號打印在日志里。

獲得符號

還剩下最后一個，也是最核心的一個問題，獲取啟動時候用到的函數符號。

我們首先排除了解析Instruments(Time Profiler/System Trace) trace文件方案，因為他們都是基于特定場景采樣的，大多數符號獲取不到。最后選擇了靜態掃描+運行時Trace結合的解決方案。

Load

Objective C的符號名是+-[Class_name(category_name) method:name:]，其中+表示類方法，-表示實例方法。

剛剛提到linkmap里記錄了所有的符號名，所以只要掃一遍linkmap的__TEXT,__text，正則匹配("^+[.* load]$")既可以拿到所有的load方法符號。

C++靜態初始化

C++并不像Objective C方法那樣，大部分方法調用編譯后都是objc_msgSend，也就沒有一個入口函數去運行時hook。

但是可以用-finstrument-functions在編譯期插樁“hook”，但由于抖音的很多依賴由其他團隊提供靜態庫，這套方案需要修改依賴的構建過程。二進制文件重排在沒有業界經驗可供參考，不確定收益的情況下，選擇了并不完美但成本最低的靜態掃描方案。

1//__mod_init_func
20x100008060????0x00000008??[??5]?ltmp7
3//[??5]對應的文件
4[??5]?.../Build/Products/Debug-iphoneos/libStaticLibrary.a(StaticLibrary.o)

2. 通過文件號，解壓出.o。

1???lipo?libStaticLibrary.a?-thin?arm64?-output?arm64.a
2???ar?-x?arm64.a?StaticLibrary.o

3. 通過.o，獲得靜態初始化的符號名_demo_constructor。

1???objdump?-r?-section=__mod_init_func?StaticLibrary.o
2
3StaticLibrary.o:????file?format?Mach-O?arm64
4
5RELOCATION?RECORDS?FOR?[__mod_init_func]:
60000000000000000?ARM64_RELOC_UNSIGNED?_demo_constructor

4. 通過符號名，文件號，在linkmap中找到符號在二進制中的范圍：

10x100004A30????0x0000001C??[??5]?_demo_constructor

5. 通過起始地址，對代碼進行反匯編：

1???objdump?-d?--start-address=0x100004A30?--stop-address=0x100004A4B?demo_arm64?
2
3_demo_constructor:
4100004a30:????fd?7b?bf?a9?????stp?x29,?x30,?[sp,?#-16]!
5100004a34:????fd?03?00?91?????mov?x29,?sp
6100004a38:????20?0c?80?52?????mov?w0,?#97
7100004a3c:????da?06?00?94?????bl??#7016?
8100004a40:????40?0c?80?52?????mov?w0,?#98
9100004a44:????fd?7b?c1?a8?????ldp?x29,?x30,?[sp],?#16
10100004a48:????d7?06?00?14?????b???#7004

6. 通過掃描bl指令掃描子程序調用，子程序在二進制的開始地址為：100004a3c +1b68（對應十進制的7016）。

1100004a3c:????da?06?00?94?????bl??#7016

7. 通過開始地址，可以找到符號名和結束地址，然后重復5～7，遞歸的找到所有的子程序調用的函數符號。

小坑

STL里會針對string生成初始化函數，這樣會導致多個.o里存在同名的符號，例如：

1__ZNSt3__112basic_stringIcNS_11char_traitsIcEENS_9allocatorIcEEEC1IDnEEPKc

類似這樣的重復符號的情況在C++里有很多，所以C/C++符號在order_file里要帶著所在的.o信息：

1//order_file.txt
2libDemoLibrary.a(object.o):__GLOBAL__sub_I_demo_file.cpp

局限性

branch系列匯編指令除了bl/b，還有br/blr，即通過寄存器的間接子程序調用，靜態掃描無法覆蓋到這種情況。

Local符號

在做C++靜態初始化掃描的時候，發現掃描出了很多類似l002的符號。經過一番調研，發現是依賴方輸出靜態庫的時候裁剪了local符號。導致__GLOBAL__sub_I_demo_file.cpp?變成了l002。

需要靜態庫出包的時候保留local符號，CI腳本不要執行strip -x，同時Xcode對應target的Strip Style修改為Debugging symbol：

Strip Style

靜態庫保留的local符號會在宿主App生成IPA之前裁剪掉，所以不會對最后的IPA包大小有影響。宿主App的Strip Style要選擇All Symbols，宿主動態庫選擇Non-Global Symbols。

Objective C方法

絕大部分Objective C的方法在編譯后會走objc_msgSend，所以通過fishhook(https://github.com/facebook/fishhook)?hook這一個C函數即可獲得Objective C符號。由于objc_msgSend是變長參數，所以hook代碼需要用匯編來實現：

1//代碼參考InspectiveC
2__attribute__((naked))
3static?void?hook_Objc_msgSend()?{
4????save()
5????__asm?volatile?("mov?x2,?lr
");
6????__asm?volatile?("mov?x3,?x4
");
7????call(blr,?&before_objc_msgSend)
8????load()
9????call(blr,?orig_objc_msgSend)
10????save()
11????call(blr,?&after_objc_msgSend)
12????__asm?volatile?("mov?lr,?x0
");
13????load()
14????ret()
15}

子程序調用時候要保存和恢復參數寄存器，所以save和load分別對x0~x9, q0~q9入棧/出棧。call則通過寄存器來間接調用函數：

1#define?save()?
2__asm?volatile?(?
3"stp?q6,?q7,?[sp,?#-32]!
"
4...
5
6#define?load()?
7__asm?volatile?(?
8"ldp?x0,?x1,?[sp],?#16
"?
9...
10
11#define?call(b,?value)?
12__asm?volatile?("stp?x8,?x9,?[sp,?#-16]!
");?
13__asm?volatile?("mov?x12,?%0
"?::?"r"(value));?
14__asm?volatile?("ldp?x8,?x9,?[sp],?#16
");?
15__asm?volatile?(#b?"?x12
");

在before_objc_msgSend中用棧保存lr，在after_objc_msgSend恢復lr。由于要生成trace文件，為了降低文件的大小，直接寫入的是函數地址，且只有當前可執行文件的Mach-O(app和動態庫)代碼段才會寫入：

iOS中，由于ALSR(https://en.wikipedia.org/wiki/Address_space_layout_randomization)的存在，在寫入之前需要先減去偏移量slide：

1IMP?imp?=?(IMP)class_getMethodImplementation(object_getClass(self),?_cmd);
2unsigned?long?imppos?=?(unsigned?long)imp;
3unsigned?long?addr?=?immpos?-?macho_slide

獲取一個二進制的__text段地址范圍：

1unsigned?long?size?=?0;
2unsigned?long?start?=?(unsigned?long)getsectiondata(mhp,??"__TEXT",?"__text",?&size);
3unsigned?long?end?=?start?+?size;

獲取到函數地址后，反查linkmap既可找到方法的符號名。

Block

block是一種特殊的單元，block在編譯后的函數體是一個C函數，在調用的時候直接通過指針調用，并不走objc_msgSend，所以需要單獨hook。

通過Block的源碼可以看到block的內存布局如下：

1struct?Block_layout?{
2????void?*isa;
3????int32_t?flags;?//?contains?ref?count
4????int32_t?reserved;
5????void??*invoke;
6????struct?Block_descriptor1?*descriptor;
7};
8struct?Block_descriptor1?{
9????uintptr_t?reserved;
10????uintptr_t?size;
11};

其中invoke就是函數的指針，hook思路是將invoke替換為自定義實現，然后在reserved保存為原始實現。

1//參考?https://github.com/youngsoft/YSBlockHook
2if?(layout->descriptor?!=?NULL?&&?layout->descriptor->reserved?==?NULL)
3{
4????if?(layout->invoke?!=?(void?*)hook_block_envoke)
5????{
6????????layout->descriptor->reserved?=?layout->invoke;
7????????layout->invoke?=?(void?*)hook_block_envoke;
8????}
9}

由于block對應的函數簽名不一樣，所以這里仍然采用匯編來實現hook_block_envoke：

1__attribute__((naked))
2static?void?hook_block_envoke()?{
3????save()
4????__asm?volatile?("mov?x1,?lr
");
5????call(blr,?&before_block_hook);
6????__asm?volatile?("mov?lr,?x0
");
7????load()
8????//調用原始的invoke，即resvered存儲的地址
9????__asm?volatile?("ldr?x12,?[x0,?#24]
");
10????__asm?volatile?("ldr?x12,?[x12]
");
11????__asm?volatile?("br?x12
");
12}

在before_block_hook中獲得函數地址（同樣要減去slide）。

1intptr_t?before_block_hook(id?block,intptr_t?lr)
2{
3????Block_layout?*?layout?=?(Block_layout?*)block;
4????//layout->descriptor->reserved即block的函數地址
5????return?lr;
6}

同樣，通過函數地址反查linkmap既可找到block符號。

瓶頸

基于靜態掃描+運行時trace的方案仍然存在少量瓶頸：

initialize hook不到

部分block hook不到

C++通過寄存器的間接函數調用靜態掃描不出來

目前的重排方案能夠覆蓋到80%～90%的符號，未來我們會嘗試編譯期插樁等方案來進行100%的符號覆蓋，讓重排達到最優效果。

整體流程

流程

設置條件觸發流程

工程注入Trace動態庫，選擇release模式編譯出.app/linkmap/中間產物

運行一次App到啟動結束，Trace動態庫會在沙盒生成Trace log

以Trace Log，中間產物和linkmap作為輸入，運行腳本解析出order_file

總結

目前，在缺少業界經驗參考的情況下，我們成功驗證了二進制文件重排方案在iOS APP開發中的可行性和穩定性。基于二進制文件重排，我們在針對抖音的iOS客戶端上的優化工作中，獲得了約15%的啟動速度提升。

抽象來看，APP開發中大家會遇到這樣一個通用的問題，即在某些情況下，APP運行需要進行大量的Page Fault，這會影響代碼執行速度。而二進制文件重排方案，目前看來是解決這一通用問題比較好的方案。

未來我們會進行更多的嘗試，讓二進制文件重排在更多的業務場景落地。

點擊此處,立即與iOS大牛交流學習

總結

以上是生活随笔為你收集整理的iOS二进制文件重排,启动速度提升超15%的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。