NSMutable 对象的坑解决分析
<div id="navCategory"><h5 class="catalogue">目录</h5><ul class="first_class_ul"><li>背景</li><li>测试代码</li><li>_set +0x10 处是个啥?</li><li>结论</li><ul class="second_class_ul"><li>NSMutable 对象共性问题?</li></ul></ul></div><p class="maodian"></p><h2>背景</h2><p>最近处理了两个崩溃,都是在 <code>NSMutableSet</code> 调用 <code>enumerateObjectsWithOptions</code> 的时候发生的,崩溃类型悬垂指针。 查看崩溃堆栈里面的业务代码,发现 <code>set</code> 有 <code>removeObject</code> 和 <code>addObject</code> 的操作,按照经验来讲这大概率是一个多线程操作 <code>set</code> 造成的。最开始怀疑的是 <code>removeObject</code> 导致遍历的时候访问到了 <code>release</code>的 <code>obj</code> 对象。但是当保证 <code>removeObject</code> 和 <code>enumerateObjectsWithOptions</code> 在同一个 <code>queue</code> 执行的时候崩溃仍然存在。</p>
<p class="maodian"></p><h2>测试代码</h2>
<p>尝试暴力复现,测试 <code>addObject</code> 和 <code>enumerateObjectsWithOptions</code> 是否存在多线程访问的问题。</p>
<div class="jb51code"><pre class="brush:cpp;">NSMutableSet *_set = ;
dispatch_async(dispatch_queue_create("queue", 0x0), ^{
for (int i = 0; i < 10000; i++) {
;
}
});
for (int i = 0; i < 10000; i++) {
];
}
</pre></div>
<p>复现了崩溃,非法地址访问,崩溃地址 <code>0x14ff1f228</code></p>
<p style="text-align:center"><img alt="" src="https://img.jbzj.com/file_images/article/202302/20230228140909022.png" /></p>
<p>崩溃时的汇编指令和 <code>x22</code> 寄存器相关。</p>
<div class="jb51code"><pre class="brush:bash;"> 0x18a6cb260 <+148>: mov w24, #0x0
0x18a6cb264 <+152>: adrp x25, 358888
0x18a6cb268 <+156>: add x25, x25, #0xd90 ; ___NSSetM_DeletedMarker
->0x18a6cb26c <+160>: ldr x20,
0x18a6cb270 <+164>: cmp x20, #0x0
0x18a6cb274 <+168>: ccmp x20, x25, #0x4, ne
</pre></div>
<p>再次执行测试代码,断点到崩溃地址 <code>0x18a6cb26c</code>,此时 <code>x22</code> 的值 <code>0x0000000280567d00</code>,</p>
<p><code>_set</code> 的地址 <code>0x0000000280098560</code>。</p>
<p>memory read _set:</p>
<p style="text-align:center"><img alt="" src="https://img.jbzj.com/file_images/article/202302/20230228140909023.png" /></p>
<p><code>x22</code> 这个值在 <code>_set + 0x10</code> 的位置。对 <code>_set + 0x10</code> 处添加内存断点查看修改这个值的逻辑。</p>
<div class="jb51code"><pre class="brush:bash;">(lldb) watchpoint set expression -w write -- 0x0000000282963fd0
Watchpoint created: Watchpoint 1: addr = 0x282963fd0 size = 8 state = enabled type = w
new value: 4730418656
</pre></div>
<p>内存断点发现 <code>set</code> 在执行 <code>addObject</code> 可能会触发 <code>__rehashs</code> 方法,<code>__rehashs</code> 会修改 <code>_set + 0x10</code> 处的值。</p>
<div class="jb51code"><pre class="brush:bash;">#0 0x000000018a64a578 in __rehashs ()
#1 0x000000018a64b96c in - ()
#2 0x0000000102718990 in - at /Users/yuencong/workplace/Test/Test/ViewController.mm:23
</pre></div>
<p><code>__rehashs</code> 修改 <code>_set + 0x10</code> 上方 <code>0x18a64a568</code> 处有一次 <code>free</code> 的操作:</p>
<div class="jb51code"><pre class="brush:bash;"> 0x18a64a564 <+212>: mov x0, x22
0x18a64a568 <+216>: bl 0x18a7fc7d0 ; symbol stub for: free
0x18a64a56c <+220>: ldrswx8,
0x18a64a570 <+224>: add x8, x20, x8
->0x18a64a574 <+228>: str x21,
0x18a64a578 <+232>: ldr w9,
0x18a64a57c <+236>: bfi w9, w19, #26, #6
0x18a64a580 <+240>: str w9,
</pre></div>
<p>再次运行测试代码,查看 <code>free</code> 的值,断点到 <code>0x18a64a568</code>:</p>
<div class="jb51code"><pre class="brush:bash;"> 0x18a64a560 <+208>: b.ne 0x18a64a518 ; <+136>
0x18a64a564 <+212>: mov x0, x22
->0x18a64a568 <+216>: bl 0x18a7fc7d0 ; symbol stub for: free
0x18a64a56c <+220>: ldrswx8,
0x18a64a570 <+224>: add x8, x20, x8
0x18a64a574 <+228>: str x21,
</pre></div>
<p>可以看到 <code>free</code> 的 x22 的值,也是 <code>_set + 0x10</code> 位置的值。</p>
<div class="jb51code"><pre class="brush:bash;">(lldb) register read x22
x22 = 0x0000000282d245c0
(lldb) _set __NSSetM * 3 elements 0x0000000282d24580
error: '_set' is not a valid command.
(lldb) memory read 0x0000000282d24590
0x282d24590: c0 45 d2 82 02 00 00 00 05 00 00 00 03 00 00 04.E..............
0x282d245a0: 80 00 32 80 02 00 00 00 00 00 00 00 00 00 00 00..2.............
</pre></div>
<p class="maodian"></p><h2>_set +0x10 处是个啥?</h2>
<p>打印 OBJC_CLASS$___NSSetM 的 ivars,offset == 0x10 的位置是 storage</p>
<div class="jb51code"><pre class="brush:bash;">ivars 0x593140 __OBJC_$_INSTANCE_VARIABLES___NSSetM
entsize 32
count 2
offset 0x59b3d8 _OBJC_IVAR_$___NSSetM.cow 8
name 0x39fe21 cow
type 0x3ff0ab A^{__cow_state_t}
alignment 3
size 8
offset 0x59b3d0 _OBJC_IVAR_$___NSSetM.storage 16
name 0x39fe25 storage
type 0x400612 {?="objs"^@"state"(?="mutations"Q""{?="muts"I"used"b26"szidx"b6})}
alignment 3
size 16
</pre></div>
<p>这个 <code>type</code> 略长,没有分析具体的类型,但是根据 xcode debug 的信息,可以得知 <code>storage</code> 存储了一个指针,指针指向存储 set item 的数组,这个字段的含义也就比较容易理解了。</p>
<p style="text-align:center"><img alt="" src="https://img.jbzj.com/file_images/article/202302/20230228140909024.png" /></p>
<p class="maodian"></p><h2>结论</h2>
<p><code>NSMutableSet</code> 对象 <code>addObject</code> 可能会触发 <code>__rehashs</code>,<code>_rehashs</code> 会释放 <code>storage</code> 指针, <code>enumerateObjectsUsingBlock</code> 会访问 <code>storage 指针</code>,多线程访问的情况下会触发 <code>use-after-free</code>的崩溃。如果存在多线程同时执行 <code>enumerateObjectsUsingBlock</code> 和 <code>addObject</code> 方法需要保证线程安全。</p>
<p class="maodian"></p><h3>NSMutable 对象共性问题?</h3>
<p>尝试了 NSMutableDictionary & NSMutableArray rehash 都有可能会触发 use-after-free。</p>
<p>以上就是NSMutable 对象的坑解决分析的详细内容,更多关于NSMutable 对象坑的资料请关注琼殿技术社区其它相关文章!</p>
<div class="art_xg">
<b>您可能感兴趣的文章:</b><ul><li>iOS利用NSMutableAttributedString实现富文本的方法小结</li><li>iOS 对NSMutableArray进行排序和过滤的实例</li><li>浅谈iOS中几个常用协议 NSCopying/NSMutableCopying</li><li>IOS 开发之 NSMutableArray与NSArray 的区别</li></ul>
</div>
</div>
<!--endmain-->
頁:
[1]