2. 程式人生 > >用GDB推導DVM的Java棧

用GDB推導DVM的Java棧

阿新 發佈:2017-05-14
get 通過 size 表示 reg b2c avi 函數 ssi

用GDB的bt命令很容易就能打印native的調用棧,如:

(gdb) bt
#0  tgkill () at bionic/libc/arch-arm/bionic/tgkill.S:46
#1  0x40061030 in pthread_kill (t=<optimized out>, sig=6) at bionic/libc/bionic/pthread_kill.cpp:49
#2  0x40061244 in raise (sig=6) at bionic/libc/bionic/raise.cpp:32
#3  0x4005ff9e in __libc_android_abort () at bionic/libc/bionic/abort.cpp:65
#4  0x4006f850 in abort () at bionic/libc/arch-arm/bionic/abort_arm.S:41
#5  0x7217b50c in DebugBreak () at external/chromium_org/base/debug/debugger_posix.cc:233
#6  base::debug::BreakDebugger () at external/chromium_org/base/debug/debugger_posix.cc:257
#7  0x7217910e in base::android::CheckException ([email protected]
/* */=0x414cefa8) at external/chromium_org/base/android/jni_android.cc:204 #8 0x72b2d0dc in Java_ContentViewCore_setTitle (title=0xbe500021, obj=0x240001d, env=0x414cefa8) at out/target/product/pisces/obj/GYP/shared_intermediates/content/jni/ContentViewCore_jni.h:1282 #9 content::ContentViewCoreImpl::SetTitle (this=<optimized out>, title=...) at external/chromium_org/content/browser/android/content_view_core_impl.cc:437 #10 0x72b89dfc in content::WebContentsImpl::UpdateTitleForEntry ([email protected]
/* */=0x76b22280, [email protected]=0x7a0cf7b0, title=...) at external/chromium_org/content/browser/web_contents/web_contents_impl.cc:2717 ...

有時候我們想知道Native Crash時的java調用棧,這時候我們可以用gDvm中的數據來推導java棧。

我們知道gDvm中有一個threadList,它是一個線程鏈表,可以通過這個鏈表遍歷當前進程中的所有線程。

(gdb) p gDvm->threadList
$1 = (Thread *) 0x414d0558

(gdb) p * (Thread *) 0x414d0558
$3 = {
  ...
  threadId = 1,
  ...
  status = THREAD_NATIVE,
  systemTid = 23405,
  interpStackStart = 0x6d557000 "",
  threadObj = 0x416b2ca8,
  jniEnv = 0x414cefa8,
  prev = 0x0,
  next = 0x7b88a3a8,
 

  ...
}

(gdb) p * (Thread *) 0x7b88a3a8
$4 = {
  ...
  threadId = 26,
  ...
  status = THREAD_NATIVE,
  systemTid = 25905,
  interpStackStart = 0x77ead000 <Address 0x77ead000 out of bounds>,
  threadObj = 0x42dacd70,
  jniEnv = 0x7a0cff28,
  prev = 0x414d0558,
  next = 0x7a095de0,
  ...
}

...

用info thread命令可以看到,出問題的線程是23405線程,也就是主線程。

(gdb) info thread
  Id   Target Id         Frame
  54   LWP 23412         recvmsg () at bionic/libc/arch-arm/syscalls/recvmsg.S:9
  53   LWP 23451         __futex_syscall3 () at bionic/libc/arch-arm/bionic/futex_arm.S:39
  ...
  5    LWP 23460         __futex_syscall3 () at bionic/libc/arch-arm/bionic/futex_arm.S:39
  4    LWP 23418         __ioctl () at bionic/libc/arch-arm/syscalls/__ioctl.S:9
  3    LWP 25905         __ioctl () at bionic/libc/arch-arm/syscalls/__ioctl.S:9
  2    LWP 23417         __ioctl () at bionic/libc/arch-arm/syscalls/__ioctl.S:9
* 1    LWP 23405         tgkill () at bionic/libc/arch-arm/bionic/tgkill.S:46

接下來就開始推導主線程的調用棧:

(gdb) p *(Thread*)0x414d0558
$3 = {
  interpSave = {
    pc = 0x6e601544,
    curFrame = 0x6d556e20,
    ...
  },
  threadId = 1,
  ...
  status = THREAD_NATIVE,
  systemTid = 23405,
  interpStackStart = 0x6d557000 "",
  threadObj = 0x416b2ca8,
  jniEnv = 0x414cefa8,
  ...
  prev = 0x0,
  next = 0x7b88a3a8,
  ...
}

從interpSave的curFrame可以推導最頂層的StackSaveArea,由於:

#define SAVEAREA_FROM_FP(_fp)   ((StackSaveArea*)(_fp) -1)

所以最頂層的StackSaveArea為:

(gdb) p *(StackSaveArea*)(0x6d556e20-sizeof(StackSaveArea))
$5 = {
  prevFrame = 0x6d556e40,
  savedPc = 0x7015e73c,
  method = 0x6d7d6068,
  ...
}

取Method:

(gdb) p *(Method*) 0x6d7d6068
$6 = {
  clazz = 0x4187f7b8,
  accessFlags = 258,
  methodIndex = 0,
  registersSize = 3,
  outsSize = 0,
  insSize = 3,
  name = 0x701b6c59 <Address 0x701b6c59 out of bounds>,
  ...
}

取Method對應的ClassObject:

(gdb) p *(ClassObject*) 0x4187f7b8
$7 = {
  ...
  descriptor = 0x7019bc6d <Address 0x7019bc6d out of bounds>,
  ...
}

對照map表,發現是這個descriptor的地址是webviewchromium的dex文件:

7012e000-701ef000 r--p 00000000 b3:1b 40987      [email protected]@[email protected]

descriptor的地址減去dex的起始地址,就得到類名稱字符串在dex中的偏移地址:

(gdb) p /x 0x7019bc6d-0x7012e000
$8 = 0x6dc6d

從手機中pull出來這個dex文件後,用hexdump查看:

$ hexdump -C -n64 -s0x6dc6d [email protected]@[email protected]
0006dc6d  4c 63 6f 6d 2f 61 6e 64  72 6f 69 64 2f 6f 72 67  |Lcom/android/org|
0006dc7d  2f 63 68 72 6f 6d 69 75  6d 2f 62 61 73 65 2f 53  |/chromium/base/S|
0006dc8d  79 73 74 65 6d 4d 65 73  73 61 67 65 48 61 6e 64  |ystemMessageHand|
0006dc9d  6c 65 72 3b 00 2b 4c 63  6f 6d 2f 61 6e 64 72 6f  |ler;.+Lcom/andro|

可知,這個類的名稱是com/android/org/chromium/base/SystemMessageHandler

Method裏有name成員,表示函數名,它的偏移地址為:

(gdb) p *(Method*) 0x6d7d6068
$6 = {
  clazz = 0x4187f7b8,
  accessFlags = 258,
  methodIndex = 0,
  registersSize = 3,
  outsSize = 0,
  insSize = 3,
  name = 0x701b6c59 <Address 0x701b6c59 out of bounds>,
  ...
}

(gdb) p /x 0x701b6c59-0x7012e000
$9 = 0x88c59

同樣用hexdump就能得到這個函數名:

$ hexdump -C -n32 -s0x88c59 [email protected]@[email protected]
00088c59  6e 61 74 69 76 65 44 6f  52 75 6e 4c 6f 6f 70 4f  |nativeDoRunLoopO|
00088c69  6e 63 65 00 17 6e 61 74  69 76 65 44 6f 63 75 6d  |nce..nativeDocum|

最頂層的函數名為nativeDoRunLoopOnce()

再看看次頂層,次頂層的frame保存在頂層StackSaveArea的prevFrame成員裏:

(gdb) p *(StackSaveArea*)(0x6d556e20-sizeof(StackSaveArea))
$5 = {
  prevFrame = 0x6d556e40,
  ...
}

(gdb) p *(StackSaveArea*)(0x6d556e20-sizeof(StackSaveArea))
$5 = {
  prevFrame = 0x6d556e40,
  savedPc = 0x7015e73c,
  method = 0x6d7d6068,
  ...
}

(gdb) p *(StackSaveArea*)(0x6d556e40-sizeof(StackSaveArea))
$12 = {
  prevFrame = 0x6d556e64,
  savedPc = 0x6edd27f0,
  method = 0x6d7d6150,
  ...
}

(gdb) p *(Method*) 0x6d7d6150
$13 = {
  clazz = 0x4187f7b8,
  accessFlags = 1,
  methodIndex = 16,
  registersSize = 4,
  outsSize = 3,
  insSize = 2,
  name = 0x701b091d <Address 0x701b091d out of bounds>,
  ...
}

clazz和頂層的一樣是com/android/org/chromium/base/SystemMessageHandler

method name的偏移地址:

(gdb) p /x 0x701b091d-0x7012e000
$17 = 0x8291d

函數名為handleMessage():

$ hexdump -C -n32 -s0x8291d [email protected]@[email protected]
0008291d  68 61 6e 64 6c 65 4d 65  73 73 61 67 65 00 0e 68  |handleMessage..h|
0008292d  61 6e 64 6c 65 4e 61 76  69 67 61 74 65 00 10 68  |andleNavigate..h|

再推導下一個棧:

(gdb) p *(StackSaveArea*)(0x6d556e64-sizeof(StackSaveArea))
$34 = {
  prevFrame = 0x6d556e84,
  savedPc = 0x6efdd434,
  method = 0x6d5f75a0,
  ...
}

(gdb) p *(Method*)0x6d5f75a0
$35 = {
  clazz = 0x416e0ad8,
  accessFlags = 1,
  methodIndex = 11,
  registersSize = 3,
  outsSize = 2,
  insSize = 2,
  name = 0x6f28d6c6 <Address 0x6f28d6c6 out of bounds>,
  ...
}

(gdb) p *(ClassObject*)0x416e0ad8
$36 = {
  ...
  descriptor =  <Address 0x6f1e621b out of bounds>,
  ...
}

6ec32000-6edaa000 r--p 00000000 b3:1b 40972      [email protected]@[email protected]
...
6f127000-6f586000 r--p 004f5000 b3:1b 40972      [email protected]@[email protected]


(gdb) p /x 0x6f1e621b-0x6ec32000
$40 = 0x5b421b

$ hexdump -C -n32 -s0x5b421b [email protected]@[email protected]
005b421b  4c 61 6e 64 72 6f 69 64  2f 6f 73 2f 48 61 6e 64  |Landroid/os/Hand|
005b422b  6c 65 72 3b 00 1a 4c 61  6e 64 72 6f 69 64 2f 6f  |ler;..Landroid/o|

(gdb) p /x 0x6f28d6c6-0x6ec32000
$41 = 0x65b6c6

$ hexdump -C -n32 -s0x65b6c6 [email protected]@[email protected]
0065b6c6  64 69 73 70 61 74 63 68  4d 65 73 73 61 67 65 00  |dispatchMessage.|
0065b6d6  0d 64 69 73 70 61 74 63  68 4d 6f 76 65 64 00 11  |.dispatchMoved..|

得到的調用棧大概就是:

com.android.org.chromium.base.SystemMessageHandler.nativeDoRunLoopOnce
com.android.org.chromium.base.SystemMessageHandler.handleMessage
android.os.Handler.dispatchMessage
...

用GDB推導DVM的Java棧

相關推薦

GDB推導DVM的Java

get 通過 size 表示 reg b2c avi 函數 ssi 用GDB的bt命令很容易就能打印native的調用棧,如: (gdb) bt #0 tgkill () at bionic/libc/arch-arm/bionic/tgkill.S:46 #1 0x

數組實現結構

include 不為 內容 基本操作 its src bool 構造 順序棧 程序的基本結構 包含的文件有: common.h —— 一般的頭文件,包含了常用的頭文件,狀態 c3-1.h —— 包含了基本操作的原型,類型定義 bo3-1.c —— 基本操作的實現 main3

LinkedList來模擬數據結構的集合--先進後出

oid 數據結構 collect urn link list() 集合 add clas 三、用LinkedList來模擬棧數據結構的集合 /* * 自定義一個數據結構為LinkedList的集合類*/public class MyCollection_LinkedList

GDB調試程序

回車 with this pid 你會 基本上 堆棧 開關 ted 用GDB調試程序 GDB概述———— GDB是GNU開源組織發布的一個強大的UNIX下的程序調試工具。或許,各位比較喜歡那種圖形界面方式的,像VC、BCB等IDE的調試,但如果你是在UNIX平臺下做軟件,你

gdb調試python多線程代碼-記一次死鎖的發現

ubunt reg out 什麽 err local class tdi str | 版權:本文版權歸作者和博客園共有,歡迎轉載,但未經作者同意必須保留此段聲明,且在文章頁面明顯位置給出原文連接。如有問題,可以郵件:[email protected] 前言

LinkedList集合演示和隊列的操作

link sys new p s pan 返回 註意 兩種 結果 在數據結構中,棧和隊列是兩種重要的線性數據結構。它們的主要不同在於:棧中存儲的元素,是先進後出;隊列中存儲的元素是先進先出。我們接下來通過LinkedList集合來演示棧和隊列的操作。 import jav

隊列和的知識點解決迷宮問題

margin 是否 port 迷宮 中一 post 左右 als info 迷宮問題 這裏有一個迷宮如圖所示,求走出迷宮的路徑 這裏我們建一個二維列表,表示迷宮(0表示通道,1表示圍墻)。 maze = [ [1,1,1,1,1,1,1,1,1,1],

學匯編的時候可以拿IDA之類的反匯編工具輔助學習,再gdb或者IDA動態調試,跟蹤每條指令的 執行結果。都不難

post 裏的 取地址 翻譯 mage fan 例子 輔助 blog 作者:潘安仁鏈接:https://www.zhihu.com/question/40720890/answer/87926792來源:知乎著作權歸作者所有。商業轉載請聯系作者獲得授權,非商業轉載請註明出處

結構體實現出現段錯誤

weibo mmd dto MQ TP com 段錯誤 結構體 http b7rd1fvs3p匚緣廖韻陀甘緣吹醬料《http://weibo.com/p/230927987517309797011456》 gxtglkxvpk對蛻穆釁叵墳億斯拾慕《http://weibo

使用gdb查看幀的情況, 沒有ebp

sites ext erl site 棧幀 proto lin mov tail 0x7fffffffdb58: 0x004005ba 0x00000000 0x00000000 0x00000000 <-----funcb的棧幀 [0x7fffffffd

LeetCode--225--隊列實現

clas size whether ron 調用 入棧 標準 假設 front 問題描述: 使用隊列實現棧的下列操作: push(x) -- 元素 x 入棧 pop() -- 移除棧頂元素 top() -- 獲取棧頂元素 empty() -- 返回棧是否為空 註意:

單鏈表實現 Push,Pop時間為O(1)

pri 時間 int 實現一個棧 我們 來看 一個棧 list() linked 用單鏈表實現一個棧,要求Push Pop的運行時間為O(1),來自《算法導論》習題10.2-2。 因為Push和Pop操作伴隨著棧頂元素的插入和刪除,所以,這個問題的本質是:在單鏈表的哪個位

的建立-----連結串列實現

設計: 1、建立Node節點類(儲存連結串列的前節點和本節點儲存的元素) 2、節點儲存的是泛型資料 3、建立一個棧的介面----定義如下函式: 4、介面實現類(棧頂元素指標和連結串列元素計數器) 程式碼實現: 介面類:StackADT  publi

中pop和top的區別是什麼呢?佇列實現一個,Python語言

區別:  pop是彈出棧頂元素,top是獲得棧頂元素,不彈出  pop彈出後可以獲取,把彈出的東西付給某個變數   具體可以通過用佇列實現一個棧來分析原因。 #用佇列實現棧 class Stack: """ @param: x: An i

Java連結串列實現

上一篇實現了佇列,這一篇我們實現棧。 棧是後入先出的資料結構。 連結串列中插入資料有頭插法和尾插法,本篇我們使用頭插法。 不多說直接上程式碼 連結串列的節點定義和上一篇使用的是同一個,可以參考上一篇。 public class StackImpl<T> { p

十三 連結串列實現

用連結串列實現棧:     連結串列棧: package com.lt.datastructure.stackqueue; /* * 使用連結串列實現棧 */ public class LinkedListStack<E> implements Stack

十三 鏈表實現

pre st2 用例 art ima rcv int opc d+ 用鏈表實現棧: 鏈表棧: package com.lt.datastructure.stackqueue; /* * 使用鏈表實現棧 */ public class LinkedListSt

linux下gdb實現程式宕機時自動列印呼叫堆疊

linux下程式執行幾天莫名其妙宕機了,不能還原現場,找到宕機原因就很無語了。 一個解決辦法是使用core檔案,但是對於大型伺服器檔案,動輒幾百M的core檔案是在有點傷不起,於是想到程式宕機時自動列印呼叫堆疊。簡單實用。

關於c建一個求下一個較大值

#include <cstdio> #include <cstring> #include <algorithm> using namespace std; const int max_size = 100414; struct Node{

在arm-linux上gdb除錯程式,出現“Program received signal SIGPIPE, Broken pipe”

        出現這種情況大多是因為程式採用CS架構(伺服器/客戶端)在讀寫操作時出現,我第一次也是在這樣的情況下遇到的。首先我們都知道套接字的通訊方式是雙工的,同端即可寫也可讀。而出現Broken pipe這種情況的原因是寫段正在寫入時,另一端已關閉套接字,這樣程序就會向