本文由雲 社區發表

iOS開發過程中難免會遇到卡頓等性能問題或者死鎖之類的問題，此時如果有調用堆棧将對解決問題很有幫助。那麼在應用中如何來實時獲取函數的調用堆棧呢？本文參考了網上的一些博文，講述了使用mach thread的方式來獲取調用棧的步驟，其中會同步講述到棧幀的基本概念，并且通過對一個demo的彙編代碼的講解來方便理解獲取調用鍊的原理。

一、棧幀等幾個概念

先抛出一個棧幀的概念，解釋下什麼是棧幀。

應用中新創建的每個線程都有專用的棧空間，棧可以在線程期間自由使用。而線程中有千千萬萬的函數調用，這些函數共享進程的這個棧空間，那麼問題就來了，函數運行過程中會有非常多的入棧出棧的過程，當函數返回backtrace的時候怎樣能精确定位到返回地址呢？還有子函數所保存的一些寄存器的内容？這樣就有了棧幀的概念，即每個函數所使用的棧空間是一個棧幀，所有的棧幀就組成了這個線程完整的棧。

棧幀

下面再抛出幾個概念：

寄存器中的fp，sp，lr，pc。

寄存器是和CPU聯系非常緊密的一小塊内存，經常用于存儲一些正在使用的數據。對于32位架構armv7指令集的ARM處理器有16個寄存器，從r0到r15，每一個都是32位比特。調用約定指定他們其中的一些寄存器有特殊的用途，例如：

• r0-r3：用于存放傳遞給函數的參數；
• r4-r11：用于存放函數的本地參數；
• r11：通常用作桢指針fp（frame pointer寄存器），棧幀基址寄存器，指向當前函數棧幀的棧底，它提供了一種追溯程序的方式，來反向跟蹤調用的函數。
• r12：是内部程序調用暫時寄存器。這個寄存器很特别是因為可以通過函數調用來改變它；
• r13：棧指針sp(stack pointer)。在計算機科學内棧是非常重要的術語。寄存器存放了一個指向棧頂的指針。看這裡了解更多關于棧的信息；
• r14：是鍊接寄存器lr(link register)。它保存了當目前函數返回時下一個函數的地址；
• r15：是程序計數器pc(program counter)。它存放了當前執行指令的地址。在每個指令執行完成後會自動增加；

不同指令集的寄存器數量可能會不同，pc、lr、sp、fp也可能使用其中不同的寄存器。後面我們先忽略r11等寄存器編号，直接用fp，sp，lr來講述

如下圖所示，不管是較早的幀，還是調用者的幀，還是當前幀，它們的結構是完全一樣的，因為每個幀都是基于一個函數，幀伴随着函數的生命周期一起産生、發展和消亡。在這個過程中用到了上面說的寄存器，fp幀指針，它總是指向當前幀的底部；sp棧指針，它總是指向當前幀的頂部。這兩個寄存器用來定位當前幀中的所有空間。編譯器需要根據指令集的規則小心翼翼地調整這兩個寄存器的值，一旦出錯，參數傳遞、函數返回都可能出現問題。

其實這裡這幾個寄存器會滿足一定規則，比如：

• fp指向的是當面棧幀的底部，該地址存的值是調用當前棧幀的上一個棧幀的fp的地址。
• lr總是在上一個棧幀（也就是調用當前棧幀的棧幀）的頂部，而棧幀之間是連續存儲的，所以lr也就是當前棧幀底部的上一個地址，以此類推就可以推出所有函數的調用順序。這裡注意，棧底在高地址，棧向下增長

而由此我們可以進一步想到，通過sp和fp所指出的棧幀可以恢複出母函數的棧幀，不斷遞歸恢複便恢複除了調用堆棧。向下面代碼一樣，每次遞歸pc存儲的*(fp 1)其實就是返回的地址，它在調用者的函數内，利用這個地址我們可以通過符号表還原出對應的方法名稱。

while(fp) { pc = *(fp 1); fp = *fp; }

二、彙編解釋下

如果你非要問為什麼會這樣，我們可以從彙編角度看下函數是怎麼調用的，從而更深刻理解為什麼fp總是存儲了上一個棧幀的fp的地址，而fp向前一個地址為什麼總是lr？

寫如下一個demo程序，由于我是在mac上做實驗，所以直接使用clang來編譯出可執行程序，然後再用hopper工具反彙編查看彙編代碼，當然也可直接使用clang的

-S參數指定生産彙編代碼。

demo源碼

#import <Foundation/Foundation.h> ​ int func(int a); ​ int main (void) { int a = 1; func(a); return 0; } ​ int func (int a) { int b = 2; return a b; }

彙編語言

; ================ B E G I N N I N G O F P R O C E D U R E ================ ​ ; Variables: ; var_4: -4 ; var_8: -8 ; var_C: -12 ​ ​ _main: 0000000100000f70 push rbp 0000000100000f71 mov rbp, rsp 0000000100000f74 sub rsp, 0x10 0000000100000f78 mov dword [rbp var_4], 0x0 0000000100000f7f mov dword [rbp var_8], 0x1 0000000100000f86 mov edi, dword [rbp var_8] ; argument #1 for method _func 0000000100000f89 call _func 0000000100000f8e xor edi, edi 0000000100000f90 mov dword [rbp var_C], eax 0000000100000f93 mov eax, edi 0000000100000f95 add rsp, 0x10 0000000100000f99 pop rbp 0000000100000f9a ret ; endp 0000000100000f9b nop dword [rax rax] ​ ​ ; ================ B E G I N N I N G O F P R O C E D U R E ================ ​ ; Variables: ; var_4: -4 ; var_8: -8 ​ ​ _func: 0000000100000fa0 push rbp ; CODE XREF=_main 25 0000000100000fa1 mov rbp, rsp 0000000100000fa4 mov dword [rbp var_4], edi 0000000100000fa7 mov dword [rbp var_8], 0x2 0000000100000fae mov edi, dword [rbp var_4] 0000000100000fb1 add edi, dword [rbp var_8] 0000000100000fb4 mov eax, edi 0000000100000fb6 pop rbp 0000000100000fb7 ret

需要注意，由于是在mac上編譯出可執行程序，指令集已經是x86-64，所以上文的fp、sp、lr、pc名稱和使用的寄存器發生了變化，但含義基本一緻，對應關系如下：

• fp----rbp
• sp----rsp
• pc----rip

接下來我們看下具體的彙編代碼，可以看到在main函數中在經過預處理和參數初始化後，通過call _func來調用了func函數，這裡call _func其實等價于兩個彙編命令：

Pushl %rip //保存下一條指令（第41行的代碼地址）的地址，用于函數返回繼續執行 Jmp _func //跳轉到函數foo

于是，當main函數調用了func函數後，會将下一行地址push進棧，至此，main函數的棧幀已經結束，然後跳轉到func的代碼處開始繼續執行。可以看出，rip指向的函數下一條地址，即上文中所說的lr已經入棧，在棧幀的頂部。

而從func的代碼可以看到，首先使用push rbp将幀指針保存起來，而由于剛跳轉到func函數，此時rbp其實是上一個棧幀的幀指針，即它的值其實還是上一個棧幀的底部地址，所以此步驟其實是将上一個幀底部地址保存了下來。

下一句彙編語句mov rbp, rsp将棧頂部地址rsp更新給了rbp，于是此時rbp的值就成了棧的頂部地址，也是當前棧幀的開始，即fp。而棧頂部又正好是剛剛push進去的存儲上一個幀指針地址的地址，所以rbp指向的時當前棧幀的底部，但其中保存的值是上一個棧幀底部的地址。

至此，也就解釋了為什麼fp指向的地址存儲的内容是上一個棧幀的fp的地址，也解釋了為什麼fp向前一個地址就正好是lr。

另外一個比較重要的東西就是出入棧的順序，在ARM指令系統中是地址遞減棧，入棧操作的參數入棧順序是從右到左依次入棧，而參數的出棧順序則是從左到右的你操作。包括push/pop和LDMFD/STMFD等。

三、獲取調用棧步驟

其實上面的幾個fp、lr、sp在mach内核提供的api中都有定義，我們可以使用對應的api拿到對應的值。如下便是64位和32位的定義

_STRUCT_ARM_THREAD_STATE64 { __uint64_t __x[29]; /* General purpose registers x0-x28 */ __uint64_t __fp; /* Frame pointer x29 */ __uint64_t __lr; /* Link register x30 */ __uint64_t __sp; /* Stack pointer x31 */ __uint64_t __pc; /* Program counter */ __uint32_t __cpsr; /* Current program status register */ __uint32_t __pad; /* Same size for 32-bit or 64-bit clients */ }; _STRUCT_ARM_THREAD_STATE { __uint32_t r[13]; /* General purpose register r0-r12 */ __uint32_t sp; /* Stack pointer r13 */ __uint32_t lr; /* Link register r14 */ __uint32_t pc; /* Program counter r15 */ __uint32_t cpsr; /* Current program status register */ };

于是，我們隻要拿到對應的fp和lr，然後遞歸去查找母函數的地址，最後将其符号化，即可還原出調用棧。

總結歸納了下，獲取調用棧需要下面幾步：

1、挂起線程

thread_suspend(main_thread);

2、獲取當前線程狀态上下文thread_get_state

_STRUCT_MCONTEXT ctx; ​ #if defined(__x86_64__) mach_msg_type_number_t count = x86_THREAD_STATE64_COUNT; thread_get_state(thread, x86_THREAD_STATE64, (thread_state_t)&ctx.__ss, &count); ​ #elif defined(__arm64__) _STRUCT_MCONTEXT ctx; mach_msg_type_number_t count = ARM_THREAD_STATE64_COUNT; thread_get_state(thread, ARM_THREAD_STATE64, (thread_state_t)&ctx.__ss, &count); ​ #endif

3、獲取當前幀的幀指針fp

#if defined(__x86_64__) uint64_t pc = ctx.__ss.__rip; uint64_t sp = ctx.__ss.__rsp; uint64_t fp = ctx.__ss.__rbp; #elif defined(__arm64__) uint64_t pc = ctx.__ss.__pc; uint64_t sp = ctx.__ss.__sp; uint64_t fp = ctx.__ss.__fp; #endif

4、遞歸遍曆fp和lr，依次記錄lr的地址

while(fp) { pc = *(fp 1); fp = *fp; }

這一步我們其實就是使用上面的方法來依次叠代出調用鍊上的函數地址，代碼如下

void* t_fp[2]; ​ vm_size_t len = sizeof(record); vm_read_overwrite(mach_task_self(), (vm_address_t)(fp),len, (vm_address_t)t_fp, &len); ​ do { ​ pc = (long)t_fp[1] // lr總是在fp的上一個地址 // 依次記錄pc的值，這裡先隻是打印出來 printf(pc) vm_read_overwrite(mach_task_self(),(vm_address_t)m_cursor.fp[0], len, (vm_address_t)m_cursor.fp,&len); ​ } while (fp);

上面代碼便會從下到上依次打印出調用棧函數中的地址，這個地址總是在函數調用地方的下一個地址，我們就需要拿這個地址還原出對應的符号名稱。

5、恢複線程thread_resume

thread_resume(main_thread);

6、還原符号表

這一步主要是将已經獲得的調用鍊上的地址分别解析出對應的符号。主要是參考了運行時獲取函數調用棧 的方法，其中用到的dyld鍊接mach-o文件的基礎知識，後續會專門針對這裡總結一篇文章。

enumerateSegment(header, [&](struct load_command *command) { if (command->cmd == LC_SYMTAB) { struct symtab_command *symCmd = (struct symtab_command *)command; uint64_t baseaddr = 0; enumerateSegment(header, [&](struct load_command *command) { if (command->cmd == LC_SEGMENT_64) { struct segment_command_64 *segCmd = (struct segment_command_64 *)command; if (strcmp(segCmd->segname, SEG_LINKEDIT) == 0) { baseaddr = segCmd->vmaddr - segCmd->fileoff; return true; } } return false; }); if (baseaddr == 0) return false; nlist_64 *nlist = (nlist_64 *)(baseaddr slide symCmd->symoff); uint64_t strTable = baseaddr slide symCmd->stroff; uint64_t offset = UINT64_MAX; int best = -1; for (int k = 0; k < symCmd->nsyms; k ) { nlist_64 &sym = nlist[k]; uint64_t d = pcSlide - sym.n_value; if (offset >= d) { offset = d; best = k; } } if (best >= 0) { nlist_64 &sym = nlist[best]; std::cout << "SYMBOL: " << (char *)(strTable sym.n_un.n_strx) << std::endl; } return true; } return false; });

參考

函數調用棧空間以及fp寄存器

函數調用棧

也談棧和棧幀

運行時獲取函數調用棧

深入解析Mac OS X & iOS 操作系統 學習筆記

此文已由作者授權騰訊雲 社區在各渠道發布

獲取更多新鮮技術幹貨，可以關注我們騰訊雲技術社區-雲加社區官方号及知乎機構号

,

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!

查看全部