1.野指针的危害
我们知道在OC中向nil指针发送消息是不会导致崩溃的。但是我们向一个已经标记删除的内存地址发送消息就很容易出现问题。就像是绿灯的时候过马路是安全的,但是闯红灯就很容易出事故,但是并不是每次闯红灯都会出现事故,所以这类的野指针问题比较难查找和复现。
2.如何定位野指针问题
2.1 使用Xcode僵尸模式 ( NSZombieEnabled )
Product -> Scheme -> Edit Scheme -> Diagnostics -> 勾选Zombie Objects
Product -> Scheme -> Edit Scheme -> Arguments设置NSZombieEnabled、MallocStackLoggingNoCompact两个变量,且值均为YES。
仅设置Zombie Objects的话,如果Crash发生在当前调用栈,系统可以把崩溃原因定位到具体代码中;但是如果Crash不是发生在当前调用栈,系统仅仅告知崩溃地址,所以我们需要添加变量MallocStackLoggingNoCompact,让Xcode记录每个地址alloc的历史,然后通过命令将地址还原出来。
Xcode 6之前还可以使用gdb,可以使用info malloc-history address命令来将发生崩溃的地址还原成具体的代码行,Xcode 7之后只能使用lldb,使用命令bt来打印调用堆栈。
在启用僵尸对象后,在运行期发现 testObject 变成了僵尸对象,那么便动态的创建一个 _NSZombie_testObject 类,将 testObject 对象的 isa 指针指向这个新的类,再次向 testObject 对象发消息的话就会去 _NSZombie_testObject 这个类里去找相应的方法,然而 _NSZombie_testObject 这个类没有实现任何方法,那么发给他的全部消息都要经过“完整的消息转发机制”。在发生崩溃的栈回溯消息能能看到 forwarding 函数,该函数首先要做的事情就是检查接受对象所属的类名,如果类名前缀为 NSZombie,则表明消息接收者是僵尸对象,那么会在控制台打印一条消息。将消息接受对象所属的类名去掉 NSZombie 前缀就能得到原始类名了。
2.2 使用Address Sanitizer 地址消毒剂(洗手液)
Address Sanitizer是基于LLVM的适用于C(包括Objective-C)和Swift的用于发现内存使用问题的工具。
Address Sanitizer的原理
启用Address Sanitizer后,会在APP中增加libclang_rt.asan_ios_dynamic.dylib,它将在运行时加载。
Address Sanitizer替换了malloc和free的实现。当调用malloc函数时,它将分配指定大小的内存A,并将内存A周围的区域标记为off-limits。当free方法被调用时,内存A也被标记为off-limits,同时内存A被添加到隔离队列,这个操作将导致内存A无法再被重新malloc使用。代码中所有的内存访问操作都被编译器转换为如下形式:
// Before
*address = ...; // or: ... = *address;
// After
if (IsMarkedAsOffLimits(address)) {
ReportError(address);
}
*address = ...; // or: ... = *address;
当访问到被标记为off-limits的内存时,Address Sanitizer就会报告异常。
Address Sanitizer可以用来检测如下内存使用错误:
- 内存释放后又被使用;
- 内存重复释放;
- 释放未申请的内存;
- 使用栈内存作为函数返回值;
- 使用了超出作用域的栈内存;
- 内存越界访问;
也可以通过命令行的方式启用Address Sanitizer:
clang
-fsanitize=addressswiftc
-sanitize=addressxcodebuild
-enableAddressSanitizer YES
Address Sanitizer的使用限制:
Address Sanitizer是运行时的能力,代码只有被运行到了才能检测出内存问题,而我们无法保证所有的代码分支和逻辑都能执行到,所以检测并不是全面的。Apple 推荐结合单元测试一起使用。
Address Sanitizer不能检测内存泄露,访问未初始化的内存或整形溢出。
对性能的影响:开启Address Sanitizer,将使代码执行效率降低2-5倍,内存使用增加2-3倍。可以通过设置-O1优化级别来提高内存利用率。
2.3 使用 Enable Malloc Scribble(涂鸦)
申请内存后在申请的内存上填0xAA,内存释放后在释放的内存上填0x55;
如果内存未被初始化就被访问,或者释放后被访问,就会引发异常,这样就可以使问题尽快暴露出来。
Scribble其实是malloc库libsystem_malloc.dylib自身提供的调试方案
2.4 Enable Malloc Guard Edges
Enable Guard Edges. Add guard pages before and after large allocations.
申请大片内存的时候在前后page上加保护,详见保护模式。
2.5 Enable Guard Mallocs
使用
libgmalloc捕获常见的内存问题,比如越界、释放之后继续使用。由于
libgmalloc在真机上不存在,因此这个功能只能在模拟器上使用.
参考文章
1.如何定位Obj-C野指针随机Crash(一):先提高野指针Crash率
2.如何定位Obj-C野指针随机Crash(二):让非必现Crash变成必现
3.如何定位Obj-C野指针随机Crash(三):如何让Crash自报家门
4.腾讯Bugly-腾讯云专栏
5.iOS野指针定位总结
6.Understanding EXC_BAD_ACCESS
7.How to Debug an iPhone App Crash
8.极致的技术博客-iOS 崩溃Crash解析
9.iOS Zombie Objects(僵尸对象)原理探索
10.Crash 防护方案(二):EXC_BAD_ACCESS
11.Baymax:网易iOS App运行时Crash自动防护实践
12.Address Sanitizer的原理和使用
13.Xcode 利用工具解决程序内存问题
