本文由云+社區(qū)發(fā)表

iOS開發(fā)過程中難免會遇到卡頓等性能問題或者死鎖之類的問題，此時如果有調(diào)用堆棧將對解決問題很有幫助。那么在應(yīng)用中如何來實時獲取函數(shù)的調(diào)用堆棧呢？本文參考了網(wǎng)上的一些博文，講述了使用mach thread的方式來獲取調(diào)用棧的步驟，其中會同步講述到棧幀的基本概念，并且通過對一個demo的匯編代碼的講解來方便理解獲取調(diào)用鏈的原理。

一、棧幀等幾個概念

先拋出一個棧幀的概念，解釋下什么是棧幀。

應(yīng)用中新創(chuàng)建的每個線程都有專用的?？臻g，?？梢栽诰€程期間自由使用。而線程中有千千萬萬的函數(shù)調(diào)用，這些函數(shù)共享進(jìn)程的這個?？臻g，那么問題就來了，函數(shù)運行過程中會有非常多的入棧出棧的過程，當(dāng)函數(shù)返回backtrace的時候怎樣能精確定位到返回地址呢？還有子函數(shù)所保存的一些寄存器的內(nèi)容？這樣就有了棧幀的概念，即每個函數(shù)所使用的?？臻g是一個棧幀，所有的棧幀就組成了這個線程完整的棧。

棧幀

下面再拋出幾個概念：

寄存器中的fp，sp，lr，pc。

寄存器是和CPU聯(lián)系非常緊密的一小塊內(nèi)存，經(jīng)常用于存儲一些正在使用的數(shù)據(jù)。對于32位架構(gòu)armv7指令集的ARM處理器有16個寄存器，從r0到r15，每一個都是32位比特。調(diào)用約定指定他們其中的一些寄存器有特殊的用途，例如：

• r0-r3：用于存放傳遞給函數(shù)的參數(shù)；
• r4-r11：用于存放函數(shù)的本地參數(shù)；
• r11：通常用作楨指針fp（frame pointer寄存器），棧幀基址寄存器，指向當(dāng)前函數(shù)棧幀的棧底，它提供了一種追溯程序的方式，來反向跟蹤調(diào)用的函數(shù)。
• r12：是內(nèi)部程序調(diào)用暫時寄存器。這個寄存器很特別是因為可以通過函數(shù)調(diào)用來改變它；
• r13：棧指針sp(stack pointer)。在計算機(jī)科學(xué)內(nèi)棧是非常重要的術(shù)語。寄存器存放了一個指向棧頂?shù)闹羔槨？催@里了解更多關(guān)于棧的信息；
• r14：是鏈接寄存器lr(link register)。它保存了當(dāng)目前函數(shù)返回時下一個函數(shù)的地址；
• r15：是程序計數(shù)器pc(program counter)。它存放了當(dāng)前執(zhí)行指令的地址。在每個指令執(zhí)行完成后會自動增加；

不同指令集的寄存器數(shù)量可能會不同，pc、lr、sp、fp也可能使用其中不同的寄存器。后面我們先忽略r11等寄存器編號，直接用fp，sp，lr來講述

如下圖所示，不管是較早的幀，還是調(diào)用者的幀，還是當(dāng)前幀，它們的結(jié)構(gòu)是完全一樣的，因為每個幀都是基于一個函數(shù)，幀伴隨著函數(shù)的生命周期一起產(chǎn)生、發(fā)展和消亡。在這個過程中用到了上面說的寄存器，fp幀指針，它總是指向當(dāng)前幀的底部；sp棧指針，它總是指向當(dāng)前幀的頂部。這兩個寄存器用來定位當(dāng)前幀中的所有空間。編譯器需要根據(jù)指令集的規(guī)則小心翼翼地調(diào)整這兩個寄存器的值，一旦出錯，參數(shù)傳遞、函數(shù)返回都可能出現(xiàn)問題。

其實這里這幾個寄存器會滿足一定規(guī)則，比如：

• fp指向的是當(dāng)面棧幀的底部，該地址存的值是調(diào)用當(dāng)前棧幀的上一個棧幀的fp的地址。
• lr總是在上一個棧幀（也就是調(diào)用當(dāng)前棧幀的棧幀）的頂部，而棧幀之間是連續(xù)存儲的，所以lr也就是當(dāng)前棧幀底部的上一個地址，以此類推就可以推出所有函數(shù)的調(diào)用順序。這里注意，棧底在高地址，棧向下增長

而由此我們可以進(jìn)一步想到，通過sp和fp所指出的棧幀可以恢復(fù)出母函數(shù)的棧幀，不斷遞歸恢復(fù)便恢復(fù)除了調(diào)用堆棧。向下面代碼一樣，每次遞歸pc存儲的*(fp + 1)其實就是返回的地址，它在調(diào)用者的函數(shù)內(nèi)，利用這個地址我們可以通過符號表還原出對應(yīng)的方法名稱。

while(fp) {pc = *(fp + 1);fp = *fp; }

二、匯編解釋下

如果你非要問為什么會這樣，我們可以從匯編角度看下函數(shù)是怎么調(diào)用的，從而更深刻理解為什么fp總是存儲了上一個棧幀的fp的地址，而fp向前一個地址為什么總是lr？

寫如下一個demo程序，由于我是在mac上做實驗，所以直接使用clang來編譯出可執(zhí)行程序，然后再用hopper工具反匯編查看匯編代碼，當(dāng)然也可直接使用clang的

-S參數(shù)指定生產(chǎn)匯編代碼。

demo源碼

#import <Foundation/Foundation.h>int func(int a);int main (void) {int a = 1;func(a);return 0; }int func (int a) {int b = 2;return a + b; }

匯編語言

; ================ B E G I N N I N G O F P R O C E D U R E ================; Variables:; var_4: -4; var_8: -8; var_C: -12_main: 0000000100000f70 push rbp 0000000100000f71 mov rbp, rsp 0000000100000f74 sub rsp, 0x10 0000000100000f78 mov dword [rbp+var_4], 0x0 0000000100000f7f mov dword [rbp+var_8], 0x1 0000000100000f86 mov edi, dword [rbp+var_8] ; argument #1 for method _func 0000000100000f89 call _func 0000000100000f8e xor edi, edi 0000000100000f90 mov dword [rbp+var_C], eax 0000000100000f93 mov eax, edi 0000000100000f95 add rsp, 0x10 0000000100000f99 pop rbp 0000000100000f9a ret; endp 0000000100000f9b nop dword [rax+rax]; ================ B E G I N N I N G O F P R O C E D U R E ================; Variables:; var_4: -4; var_8: -8_func: 0000000100000fa0 push rbp ; CODE XREF=_main+25 0000000100000fa1 mov rbp, rsp 0000000100000fa4 mov dword [rbp+var_4], edi 0000000100000fa7 mov dword [rbp+var_8], 0x2 0000000100000fae mov edi, dword [rbp+var_4] 0000000100000fb1 add edi, dword [rbp+var_8] 0000000100000fb4 mov eax, edi 0000000100000fb6 pop rbp 0000000100000fb7 ret

需要注意，由于是在mac上編譯出可執(zhí)行程序，指令集已經(jīng)是x86-64，所以上文的fp、sp、lr、pc名稱和使用的寄存器發(fā)生了變化，但含義基本一致，對應(yīng)關(guān)系如下：

• fp----rbp
• sp----rsp
• pc----rip

接下來我們看下具體的匯編代碼，可以看到在main函數(shù)中在經(jīng)過預(yù)處理和參數(shù)初始化后，通過call _func來調(diào)用了func函數(shù)，這里call _func其實等價于兩個匯編命令：

Pushl %rip //保存下一條指令（第41行的代碼地址）的地址，用于函數(shù)返回繼續(xù)執(zhí)行 Jmp _func //跳轉(zhuǎn)到函數(shù)foo

于是，當(dāng)main函數(shù)調(diào)用了func函數(shù)后，會將下一行地址push進(jìn)棧，至此，main函數(shù)的棧幀已經(jīng)結(jié)束，然后跳轉(zhuǎn)到func的代碼處開始繼續(xù)執(zhí)行。可以看出，rip指向的函數(shù)下一條地址，即上文中所說的lr已經(jīng)入棧，在棧幀的頂部。

而從func的代碼可以看到，首先使用push rbp將幀指針保存起來，而由于剛跳轉(zhuǎn)到func函數(shù)，此時rbp其實是上一個棧幀的幀指針，即它的值其實還是上一個棧幀的底部地址，所以此步驟其實是將上一個幀底部地址保存了下來。

下一句匯編語句mov rbp, rsp將棧頂部地址rsp更新給了rbp，于是此時rbp的值就成了棧的頂部地址，也是當(dāng)前棧幀的開始，即fp。而棧頂部又正好是剛剛push進(jìn)去的存儲上一個幀指針地址的地址，所以rbp指向的時當(dāng)前棧幀的底部，但其中保存的值是上一個棧幀底部的地址。

至此，也就解釋了為什么fp指向的地址存儲的內(nèi)容是上一個棧幀的fp的地址，也解釋了為什么fp向前一個地址就正好是lr。

另外一個比較重要的東西就是出入棧的順序，在ARM指令系統(tǒng)中是地址遞減棧，入棧操作的參數(shù)入棧順序是從右到左依次入棧，而參數(shù)的出棧順序則是從左到右的你操作。包括push/pop和LDMFD/STMFD等。

三、獲取調(diào)用棧步驟

其實上面的幾個fp、lr、sp在mach內(nèi)核提供的api中都有定義，我們可以使用對應(yīng)的api拿到對應(yīng)的值。如下便是64位和32位的定義

_STRUCT_ARM_THREAD_STATE64 {__uint64_t __x[29]; /* General purpose registers x0-x28 */__uint64_t __fp; /* Frame pointer x29 */__uint64_t __lr; /* Link register x30 */__uint64_t __sp; /* Stack pointer x31 */__uint64_t __pc; /* Program counter */__uint32_t __cpsr; /* Current program status register */__uint32_t __pad; /* Same size for 32-bit or 64-bit clients */ }; _STRUCT_ARM_THREAD_STATE {__uint32_t r[13]; /* General purpose register r0-r12 */__uint32_t sp; /* Stack pointer r13 */__uint32_t lr; /* Link register r14 */__uint32_t pc; /* Program counter r15 */__uint32_t cpsr; /* Current program status register */ };

于是，我們只要拿到對應(yīng)的fp和lr，然后遞歸去查找母函數(shù)的地址，最后將其符號化，即可還原出調(diào)用棧。

總結(jié)歸納了下，獲取調(diào)用棧需要下面幾步：

1、掛起線程

thread_suspend(main_thread);

2、獲取當(dāng)前線程狀態(tài)上下文thread_get_state

_STRUCT_MCONTEXT ctx;#if defined(__x86_64__)mach_msg_type_number_t count = x86_THREAD_STATE64_COUNT;thread_get_state(thread, x86_THREAD_STATE64, (thread_state_t)&ctx.__ss, &count);#elif defined(__arm64__)_STRUCT_MCONTEXT ctx;mach_msg_type_number_t count = ARM_THREAD_STATE64_COUNT;thread_get_state(thread, ARM_THREAD_STATE64, (thread_state_t)&ctx.__ss, &count);#endif

3、獲取當(dāng)前幀的幀指針fp

#if defined(__x86_64__)uint64_t pc = ctx.__ss.__rip;uint64_t sp = ctx.__ss.__rsp;uint64_t fp = ctx.__ss.__rbp; #elif defined(__arm64__)uint64_t pc = ctx.__ss.__pc;uint64_t sp = ctx.__ss.__sp;uint64_t fp = ctx.__ss.__fp; #endif

4、遞歸遍歷fp和lr，依次記錄lr的地址

while(fp) {pc = *(fp + 1);fp = *fp; }

這一步我們其實就是使用上面的方法來依次迭代出調(diào)用鏈上的函數(shù)地址，代碼如下

void* t_fp[2];vm_size_t len = sizeof(record); vm_read_overwrite(mach_task_self(), (vm_address_t)(fp),len, (vm_address_t)t_fp, &len);do {pc = (long)t_fp[1] // lr總是在fp的上一個地址// 依次記錄pc的值，這里先只是打印出來printf(pc)vm_read_overwrite(mach_task_self(),(vm_address_t)m_cursor.fp[0], len, (vm_address_t)m_cursor.fp,&len);} while (fp);

上面代碼便會從下到上依次打印出調(diào)用棧函數(shù)中的地址，這個地址總是在函數(shù)調(diào)用地方的下一個地址，我們就需要拿這個地址還原出對應(yīng)的符號名稱。

5、恢復(fù)線程thread_resume

thread_resume(main_thread);

6、還原符號表

這一步主要是將已經(jīng)獲得的調(diào)用鏈上的地址分別解析出對應(yīng)的符號。主要是參考了運行時獲取函數(shù)調(diào)用棧 的方法，其中用到的dyld鏈接mach-o文件的基礎(chǔ)知識，后續(xù)會專門針對這里總結(jié)一篇文章。

enumerateSegment(header, [&](struct load_command *command) {if (command->cmd == LC_SYMTAB) {struct symtab_command *symCmd = (struct symtab_command *)command;uint64_t baseaddr = 0;enumerateSegment(header, [&](struct load_command *command) {if (command->cmd == LC_SEGMENT_64) {struct segment_command_64 *segCmd = (struct segment_command_64 *)command;if (strcmp(segCmd->segname, SEG_LINKEDIT) == 0) {baseaddr = segCmd->vmaddr - segCmd->fileoff;return true;}}return false;});if (baseaddr == 0) return false;nlist_64 *nlist = (nlist_64 *)(baseaddr + slide + symCmd->symoff);uint64_t strTable = baseaddr + slide + symCmd->stroff;uint64_t offset = UINT64_MAX;int best = -1;for (int k = 0; k < symCmd->nsyms; k++) {nlist_64 &sym = nlist[k];uint64_t d = pcSlide - sym.n_value;if (offset >= d) {offset = d;best = k;}}if (best >= 0) {nlist_64 &sym = nlist[best];std::cout << "SYMBOL: " << (char *)(strTable + sym.n_un.n_strx) << std::endl;}return true;}return false; });

參考

函數(shù)調(diào)用棧空間以及fp寄存器

函數(shù)調(diào)用棧

也談棧和棧幀

運行時獲取函數(shù)調(diào)用棧

深入解析Mac OS X & iOS 操作系統(tǒng) 學(xué)習(xí)筆記

此文已由作者授權(quán)騰訊云+社區(qū)在各渠道發(fā)布

獲取更多新鮮技術(shù)干貨，可以關(guān)注我們騰訊云技術(shù)社區(qū)-云加社區(qū)官方號及知乎機(jī)構(gòu)號

總結(jié)

以上是生活随笔為你收集整理的谈谈iOS获取调用链的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。