HeapSnap工具原理及其应用

HeapSnap工具原理及其应用
- 简介
- HeapSnap工具演示
- HeapSnap工具的实现原理

简介

HeapSnap工具，其名称源于Heap Snapshot，意即堆内存快照。其实现方式是：在不同的时间点上保存堆内存的快照，然后对比这些不同时间点的快照，找出导致内存增长的泄露点。

HeapSnap工具专门用于处理Android系统中native进程的heap内存泄露问题。它的实现是基于Android已有的libc debug机制，对目标进程的影响小，易于使用，且解决问题的概率高。

源码下载: https://github.com/albuer/heapsnap

HeapSnap工具演示

演示环境: Android5.1

使能malloc leak调试开关
setprop libc.debug.malloc 1
启动测试程序，该程序每3秒钟泄露4KB大小的内存，测试代码如下：

　1 #include <stdio.h>2 #include <stdlib.h>3 #include <android/log.h>4 5 void* foo(void)6 {7         void* p = malloc(4096);8         memset(p, 0x5A, 4096);9         return p;10 }11 12 int main(void)13 {14         int count=0;15         void * p = NULL;16         while(1) {17                 p = foo();18                 ++count;19                 printf("%d: %p\n", count, p);20                 sleep(3);21         }22         return 0;23 }

向目标进程注入代码，从而让目标进程拥有保存heap快照的功能
heapsnap -p <进程ID> -l libheapsnap.so
保存heap快照
kill -21 <进程ID>

从logcat信息中可以看到heap快照被保存在/data/local/tmp/heap_snap/proc_7104_0000.heap，其内容如下：

Heap Snapshot v0.2Total memory: 103424
Allocation records: 2size     4096, dup   25, 0xb6ec576e, 0xb6f3d282, 0xb6fa74ba, 0xb6fa73ac, 0xb6f3d39c, 0xb6fa7428#00  pc 0000676e  /system/lib/libc_malloc_debug_leak.so (leak_malloc+101)#01  pc 00012282  /system/lib/libc.so (malloc+9)#02  pc 000004ba  /system/bin/leak_test#03  pc 000003ac  /system/bin/leak_test#04  pc 0001239c  /system/lib/libc.so (__libc_init+43)#05  pc 00000428  /system/bin/leak_test
size     1024, dup    1, 0xb6ec576e, 0xb6f3d282, 0xb6f60efa, 0xb6f65eb2, 0xb6f61bac, 0xb6f63172, 0xb6f61128, 0xb6fa73b8, 0xb6f3d39c, 0xb6fa7428#00  pc 0000676e  /system/lib/libc_malloc_debug_leak.so (leak_malloc+101)#01  pc 00012282  /system/lib/libc.so (malloc+9)#02  pc 00035efa  /system/lib/libc.so (__smakebuf+21)#03  pc 0003aeb2  /system/lib/libc.so (__swsetup+105)#04  pc 00036bac  /system/lib/libc.so#05  pc 00038172  /system/lib/libc.so (vfprintf+17)#06  pc 00036128  /system/lib/libc.so (printf+23)#07  pc 000003b8  /system/bin/leak_test#08  pc 0001239c  /system/lib/libc.so (__libc_init+43)#09  pc 00000428  /system/bin/leak_test******** MAPS ********

其中：

Total memory: 103424，指的是进程申请的堆内存大小，此处是103424 Bytes
Allocation records: 2，总共有2条内存分配路径
size 4096, dup 25, 0xb6ec576e, … ，size指的是每块内存的大小，此处为4096Bytes，dup指重复的次数，此处为25，表示这个内存分配路径被调用了25次，后面的地址就是backtrace，以及对backtrace解析后的信息。

这个demo程序中只有两条heap分配记录，第一条的size为4096，dup为25，表明这个heap分配路径被重复执行了25次，且分配的内存都没有释放掉，因些我们能够很明显看出这个内存分配路径就是泄露点了。

从backtrace我们可以看到调用malloc函数的位置是

#02 pc 000004ba /system/bin/leak_test

我们调用addr2line查询地址”0x000004ba”所指向的代码行：

arm-linux-gnueabi-addr2line -ife out/target/product/rk3288/symbols/system/bin/leak_test 0x4ba
test
/home/cmy/WORK/android-src/android5.1-vr/external/heapsnap/leak_test.c:7

通过addr2line命令反查到”0x4ba”这个地址指向leak_test.c文件的第７行，foo()函数。

在实际的程序中，heap快照中的分配记录通常都是非常多的，不容易找出哪个内存分配路径是泄露点，此时可以通过对比不同时间点上，相同内存分配路径下的dup次数来做出判断，如果某个分配路径的dup次数处于持续增长的状态，那么它就很可能是一个泄露点了。

HeapSnap工具的实现原理

获取进程的heap信息
我们首先来看下在Android中，进程的heap分配的backtrace信息是如何被保存以及如何读取的。

方法很简单，只需要先打开malloc调试开关之后，再执行目标进程，那么在这个新运行的进程内发生的所有heap分配的backtrace信息就会被记录下来，之后在该进程内调用get_malloc_leak_info函数即可获取到所有前面保存的heap’s backtrace记录。
1. malloc调试开关
  - 调用’setprop libc.debug.malloc 1’设置好属性后，malloc开关就使能了且被设置为leak模式（注：在Android7以及之后的版本，设置属性”setprop libc.debug.malloc.options backtrace”）。
  - 接着，我们开始执行目标进程，进行启动过程上中会初始化一个加载器，在Android中是/system/bin/linker
  - 通过加载器linker，把所有需要用到的so文件都加载进来。
  - 在linker加载so文件过程中，会自动执行so文件内的.init/.init_array section代码
  - 在libc.so中，定义了一个函数”attribute((constructor)) static void libc_preinit()”，修饰符“__attribute((constructor))”告知编译器把__libc_preinit函数指针放到.init_array section，于是函数__libc_preinit在so被linker加载时被自动执行了
  - 在__libc_preinit()函数中，会去读取libc.debug.malloc属性值，并根据所获得的值设置malloc/free…等函数指针指向不同的函数实现，此处libc.debug.malloc为1，则函数指针指向leak_malloc/leak_free….等leak_xxxx形式的函数实现。
  于是，属性libc.debug.malloc决定了所使用到的mallc/free的实现函数。
2. heap’s backtrace信息的保存与读取
  - 当malloc调试开关设置为leak模式后，在进程内执行malloc/calloc等函数时候，实际调用的是leak_malloc/leak_calloc等函数，这些函数会在分配的内存前面附加一个头部信息，在该头部信息里面保存了此次内存分配的backtrace信息。
  - libc提供了一个函数get_malloc_leak_info，通过该函数我们就能获得当前进程所有未释放的heap的backtrace信息了。最终我们获取到的backtrace信息如前面所示。
进程注入
前面说到调用get_malloc_leak_info可以获得当前进程的heap信息，但要怎么才能让目标进程去调用get_malloc_leak_info函数，一种是修改代码目标代码，加入获取进程heap快照的相关代码后重新编译；还有另外一种方式就是使用进程注入，它能把一段代码注入到目标进程中并执行。
```
进程注入流程图如下所示：
```
大致流程描述如下：
1. 先调用ptrace(PTRACE_ATTACH, …)把当前程序附着在目标进程之上，即成为目标进程的父进程。
2. 在目标进程中开辟一块内存空间用于传递参数信息到目标进程
3. 把要注入的程序库文件名信息保存在前面开辟出来的内存空间，并调用dlopen把该程序库加载到目标进程中。
4. 在程序库中定义有一个“extern “C” void attribute((constructor)) prepare()”函数，这个函数会在so被加载到目标进程后被自动执行，它会为信号SIGTTIN注册一个处理函数，当该信号被触发后，其注册的处理函数会调用get_malloc_leak_info获得当前进程的heap快照，并保存成文件。
5. 至此，注入程序已经把指定代码注入到目标进程中，并且在目标进程中注册了一个函数用于处理信号SIGTTIN，于是我们可以用kill命令向目标进程发送SIGTTIN信号，然后目标进程的当前heap快照就会被保存下来了。
6. 最后，我们需要把先前在目标进程中开辟的那块内存空间释放掉，还原寄存器，调用ptrace(PTRACE_DETACH, pid, …)结束对该进程的追踪，目标进程就能沿着原来的流程继续执行下去了，只是在它内部多了我们注入的代码。