AddressSanitizer

bookmark_border Sử dụng bộ sưu tập để sắp xếp ngăn nắp các trang Lưu và phân loại nội dung dựa trên lựa chọn ưu tiên của bạn.

AddressSanitizer (ASan) là một công cụ dựa trên trình biên dịch giúp phát hiện các lỗi bộ nhớ trong mã gốc.

ASan phát hiện:

• Chặn tràn (overflow)/chặn trống (underflow) cho ngăn xếp (stack) và bộ nhớ khối xếp (heap)
• Sử dụng bộ nhớ khối xếp sau khi giải phóng
• Sử dụng ngăn xếp bên ngoài phạm vi
• Giải phóng gấp đôi/Giải phóng đối tượng không phải bộ nhớ khối xếp

ASan chạy trên cả ARM 32-bit và 64-bit, cùng với x86 và x86-64. Mức hao tổn CPU của ASan khoảng 2x, mức hao tổn kích thước mã nằm trong khoảng từ 50% đến 2x và mức hao tổn bộ nhớ lớn (phụ thuộc vào mô hình phân bổ của bạn, nhưng theo thứ tự 2x).

Android 10 và nhánh chính AOSP trên AArch64 hỗ trợ AddressSanitizer được hỗ trợ phần cứng (HWASan), một công cụ tương tự có mức hao tổn RAM thấp hơn và phạm vi lỗi được phát hiện lớn hơn. Ngoài các lỗi do ASan phát hiện, HWASan còn phát hiện việc sử dụng ngăn xếp sau khi trả về.

HWASan có mức hao tổn CPU và kích thước mã tương tự, nhưng mức hao tổn RAM nhỏ hơn nhiều (15%). HWASan là không xác định. Chỉ có 256 giá trị thẻ có thể có, vì vậy chỉ có 0,4% không đổi xác suất bỏ lỡ bất kỳ lỗi nào. HWASan không có vùng màu đỏ có kích thước hạn chế của ASan để phát hiện tình trạng tràn bộ nhớ và vùng cách ly có dung lượng hạn chế để phát hiện lỗi use-after-free, vì vậy, HWASan không quan tâm đến mức độ tràn bộ nhớ hoặc thời gian bộ nhớ được phân bổ lại. Điều này giúp HWASan tốt hơn ASan. Bạn có thể đọc thêm về thiết kế của HWASan hoặc về cách sử dụng HWASan trên Android.

ASan phát hiện lỗi ngăn xếp/toàn cục ngoài hiện tượng tràn vùng nhớ khối xếp, đồng thời hoạt động nhanh với mức hao tổn bộ nhớ tối thiểu.

Tài liệu này mô tả cách tạo và chạy một số/tất cả các phần của Android bằng ASan. Nếu bạn đang tạo ứng dụng SDK/NDK bằng ASan, hãy xem phần Address Sanitizer.

Tẩy chay các tệp thực thi riêng lẻ bằng ASan

Thêm LOCAL_SANITIZE:=address hoặc sanitize: { address: true } vào quy tắc bản dựng cho tệp thực thi. Bạn có thể tìm kiếm mã cho các ví dụ hiện có hoặc tìm các chất khử trùng có sẵn khác.

Khi phát hiện lỗi, ASan sẽ in một báo cáo chi tiết cho cả đầu ra tiêu chuẩn và logcat, sau đó làm hỏng quy trình.

Dọn dẹp các thư viện dùng chung bằng ASan

Do cách hoạt động của ASan, thư viện được tạo bằng ASan chỉ có thể được sử dụng bởi một tệp thực thi được tạo bằng ASan.

Để dọn dẹp một thư viện dùng chung được dùng trong nhiều tệp thực thi, không phải tất cả đều được tạo bằng ASan, bạn cần có hai bản sao của thư viện. Bạn nên thêm nội dung sau vào Android.mk cho mô-đun có liên quan:

LOCAL_SANITIZE:=address
LOCAL_MODULE_RELATIVE_PATH := asan

Thao tác này sẽ đặt thư viện vào /system/lib/asan thay vì /system/lib. Sau đó, hãy chạy tệp thực thi bằng:

LD_LIBRARY_PATH=/system/lib/asan

Đối với các trình nền hệ thống, hãy thêm nội dung sau vào phần thích hợp của /init.rc hoặc /init.$device$.rc.

setenv LD_LIBRARY_PATH /system/lib/asan

Xác minh rằng quy trình này đang sử dụng thư viện của /system/lib/asan khi hiển thị bằng cách đọc /proc/$PID/maps. Nếu không, có thể bạn phải để vô hiệu hoá SELinux:

adb root
adb shell setenforce 0
# restart the process with adb shell kill $PID
# if it is a system service, or may be adb shell stop; adb shell start.

Dấu vết ngăn xếp chính xác hơn

ASan sử dụng một trình gỡ bỏ nhanh dựa trên con trỏ khung để ghi lại dấu vết ngăn xếp cho mọi sự kiện phân bổ và giải phóng bộ nhớ trong chương trình. Hầu hết Android được tạo mà không có con trỏ khung. Do đó, bạn thường chỉ nhận được một hoặc hai khung hình có ý nghĩa. Để khắc phục vấn đề này, hãy tạo lại thư viện bằng ASan (nên dùng!) hoặc với:

LOCAL_CFLAGS:=-fno-omit-frame-pointer
LOCAL_ARM_MODE:=arm

Hoặc đặt ASAN_OPTIONS=fast_unwind_on_malloc=0 trong quá trình này môi trường. Loại thứ hai có thể rất tốn CPU, tuỳ thuộc vào tải.

Biểu tượng hoá

Ban đầu, báo cáo ASan chứa các tệp tham chiếu đến độ lệch trong tệp nhị phân và được dùng chung thư viện. Có hai cách để lấy thông tin về tệp nguồn và dòng:

• Đảm bảo rằng tệp nhị phân llvm-symbolizer có trong /system/bin. llvm-symbolizer được tạo từ các nguồn trong third_party/llvm/tools/llvm-symbolizer.
• Lọc báo cáo thông qua tập lệnh external/compiler-rt/lib/asan/scripts/symbolize.py.

Phương pháp thứ hai có thể cung cấp nhiều dữ liệu hơn (tức là các vị trí file:line) do có sẵn các thư viện được biểu tượng hoá trên máy chủ.

ASan trong ứng dụng

ASan không thể xem mã Java, nhưng có thể phát hiện lỗi trong thư viện JNI. Do đó, bạn cần tạo tệp thực thi bằng ASan, trong đó trường hợp này là /system/bin/app_process(32|64). Thao tác này sẽ bật ASan trong tất cả ứng dụng trên thiết bị cùng một lúc, đây là một tải nặng, nhưng thiết bị có RAM 2 GB có thể xử lý được điều này.

Thêm LOCAL_SANITIZE:=address vào quy tắc bản dựng app_process trong frameworks/base/cmds/app_process. Bỏ qua mục tiêu app_process__asan hiện đang ở trong cùng một tệp (nếu là ở đó vào thời điểm bạn đọc thông báo này).

Chỉnh sửa phần service zygote của tệp system/core/rootdir/init.zygote(32|64).rc thích hợp để thêm các dòng sau vào khối các dòng được thụt lề chứa class main, cũng thụt lề có cùng số lượng:

    setenv LD_LIBRARY_PATH /system/lib/asan:/system/lib
    setenv ASAN_OPTIONS allow_user_segv_handler=true

Tạo, đồng bộ hoá adb, khởi động nhanh bằng flashboot và khởi động lại.

Sử dụng thuộc tính gói

Phương pháp trong phần trước đặt ASan vào mỗi ứng dụng trong hệ thống (trên thực tế, vào mọi con cháu của người Zygote quá trình). Bạn chỉ có thể chạy một (hoặc nhiều) ứng dụng bằng ASan, giao dịch một số mức hao tổn bộ nhớ để khởi động ứng dụng chậm hơn.

Bạn có thể thực hiện việc này bằng cách khởi động ứng dụng bằng thuộc tính wrap.. Ví dụ sau đây chạy ứng dụng Gmail trong ASan:

adb root
adb shell setenforce 0  # disable SELinux
adb shell setprop wrap.com.google.android.gm "asanwrapper"

Trong trường hợp này, asanwrapper sẽ viết lại /system/bin/app_process vào /system/bin/asan/app_process, được xây dựng bằng ASan. Tệp này cũng thêm /system/lib/asan vào đầu đường dẫn tìm kiếm thư viện động. Bằng cách này, các thư viện đo lường ASan từ /system/lib/asan được ưu tiên hơn các thư viện thông thường trong /system/lib khi chạy với asanwrapper.

Nếu phát hiện thấy lỗi, ứng dụng sẽ gặp sự cố và báo cáo sẽ được in vào nhật ký.

SANITIZE_TARGET

Android 7.0 trở lên có hỗ trợ xây dựng toàn bộ nền tảng Android nhờ ASan cùng lúc. (Nếu bạn đang tạo một bản phát hành cao hơn Android 9, thì HWASan là lựa chọn phù hợp hơn.)

Chạy các lệnh sau trong cùng một cây bản dựng.

make -j42
SANITIZE_TARGET=address make -j42

Ở chế độ này, userdata.img chứa thêm thư viện và phải được được cài đặt ROM cho thiết bị. Sử dụng dòng lệnh sau:

fastboot flash userdata && fastboot flashall

Thao tác này sẽ tạo hai nhóm thư viện dùng chung: thông thường trong /system/lib (lệnh gọi tạo đầu tiên) và được đo lường bằng ASan trong /data/asan/lib (lệnh gọi tạo thứ hai). Các tệp thực thi từ bản dựng thứ hai sẽ ghi đè các tệp thực thi từ bản dựng đầu tiên. Được đo lường bằng ASan các tệp thực thi sẽ nhận được đường dẫn tìm kiếm thư viện khác nhau bao gồm /data/asan/lib trước /system/lib thông qua việc sử dụng /system/bin/linker_asan trong PT_INTERP.

Hệ thống xây dựng chặn các thư mục đối tượng trung gian khi Giá trị $SANITIZE_TARGET đã thay đổi. Thao tác này buộc phải tạo lại tất cả các mục tiêu trong khi vẫn giữ lại các tệp nhị phân đã cài đặt trong /system/lib.

Không thể tạo một số mục tiêu bằng ASan:

• Các tệp thực thi được liên kết tĩnh
• LOCAL_CLANG:=false mục tiêu
• LOCAL_SANITIZE:=false không được ASan cho SANITIZE_TARGET=address

Các tệp thực thi như thế này sẽ bị bỏ qua trong bản dựng SANITIZE_TARGET và phiên bản của lệnh gọi make đầu tiên được để lại trong /system/bin.

Các thư viện như thế này được xây dựng mà không cần ASan. Các tệp này có thể chứa một số mã ASan từ các thư viện tĩnh mà chúng phụ thuộc vào.

Tài liệu hỗ trợ

• Address Sanitizer
• AddressSanitizer và Chromium
• Các công cụ dọn dẹp khác của Google