A partir de 27 de março de 2025, recomendamos usar android-latest-release em vez de aosp-main para criar e contribuir com o AOSP. Para mais informações, consulte Mudanças no AOSP.

Esta página foi traduzida pela API Cloud Translation.

AddressSanitizer

O AddressSanitizer (ASan) é uma ferramenta rápida baseada em compilador para detectar bugs de memória no código nativo.

O ASan detecta:

Overflow/underflow do buffer de heap e pilha
Uso de heap depois da liberação de memória
Uso de pilha fora do escopo
Double free/wild free

O ASan é executado em ARM de 32 e de 64 bits, além de x86 e x86-64. A sobrecarga de CPU do ASan é de aproximadamente duas vezes, a de tamanho do código está entre 50% e 100%, e a de memória é grande e depende dos padrões de alocação, mas é de cerca de duas vezes.

O Android 10 e a ramificação de lançamento mais recente do AOSP no AArch64 oferecem suporte ao AddressSanitizer assistido por hardware (HWASan), uma ferramenta semelhante com menor sobrecarga de RAM e uma faixa maior de bugs detectados. O HWASan detecta o uso da pilha após o retorno, além dos bugs detectados pelo ASan.

O HWASan tem sobrecarga de CPU e tamanho de código semelhantes, mas uma sobrecarga de RAM muito menor (15%). O HWASan não é determinista. Há apenas 256 valores de tag possíveis, então há uma probabilidade constante de 0,4% de perder qualquer bug. O HWASan não tem as zonas vermelhas de tamanho limitado do ASan para detectar estouros e quarentena de capacidade limitada para detectar uso após liberação. Portanto, não importa para o HWASan o tamanho do estouro ou há quanto tempo a memória foi desalocada. Isso torna o HWASan melhor que o ASan. Leia mais sobre o design do HWASan ou sobre o uso do HWASan no Android.

O ASan detecta estouros de pilha/globais, além de estouros de heap, e é rápido com sobrecarga mínima de memória.

Este documento descreve como criar e executar partes/todo o Android com ASan. Se você estiver criando um app SDK/NDK com ASan, consulte Limpador de endereços.

Limpar executáveis individuais com ASan

Adicione LOCAL_SANITIZE:=address ou sanitize: { address: true } à regra de build do executável. Você pode pesquisar o código para encontrar exemplos ou os outros sanitizadores disponíveis.

Quando um bug é detectado, o ASan imprime um relatório detalhado na saída padrão e em logcat e, em seguida, falha no processo.

Limpar bibliotecas compartilhadas com ASan

Devido à forma como o ASan funciona, uma biblioteca criada com ele só pode ser usada por um executável criado com o ASan.

Observação:em situações de execução em que uma biblioteca ASan é carregada em um processo incorreto, você vê mensagens de símbolos não resolvidos começando com _asan ou _sanitizer.

Para limpar uma biblioteca compartilhada usada em vários executáveis, nem todos criados com ASan, você precisa de duas cópias da biblioteca. A maneira recomendada de fazer isso é adicionar o seguinte a Android.mk para o módulo em questão:

LOCAL_SANITIZE:=address
LOCAL_MODULE_RELATIVE_PATH := asan

Isso coloca a biblioteca em /system/lib/asan em vez de /system/lib. Em seguida, execute o arquivo com:

LD_LIBRARY_PATH=/system/lib/asan

Para daemons do sistema, adicione o seguinte à seção apropriada de /init.rc ou /init.$device$.rc.

setenv LD_LIBRARY_PATH /system/lib/asan

Aviso:a configuração LOCAL_MODULE_RELATIVE_PATH move sua biblioteca para /system/lib/asan, ou seja, a substituição e a reconstrução do zero significam que a biblioteca está ausente de /system/lib, e a imagem provavelmente não pode ser inicializada. Essa é uma limitação infeliz do sistema de build atual. Não substitua. Em vez disso, use make -j $N e

adb
sync

Verifique se o processo está usando bibliotecas de /system/lib/asan quando presentes lendo /proc/$PID/maps. Se não estiver, talvez seja necessário desativar o SELinux:

adb root
adb shell setenforce 0
# restart the process with adb shell kill $PID
# if it is a system service, or may be adb shell stop; adb shell start.

Stack traces melhores

O ASan usa um unwinder rápido baseado em ponteiro de frames para registrar um stack trace para cada evento de alocação e desalocação de memória no programa. A maior parte do Android é criada sem ponteiros de frame. Como resultado, você geralmente recebe apenas um ou dois frames significativos. Para corrigir isso, recompile a biblioteca com ASan (recomendado) ou com:

LOCAL_CFLAGS:=-fno-omit-frame-pointer
LOCAL_ARM_MODE:=arm

Ou defina ASAN_OPTIONS=fast_unwind_on_malloc=0 no ambiente de processo. O último pode exigir muito da CPU, dependendo da carga.

Simbolização

Inicialmente, os relatórios do ASan contêm referências a offsets em binários e bibliotecas compartilhadas. Há duas maneiras de conseguir informações sobre o arquivo de origem e a linha:

Verifique se o binário llvm-symbolizer está presente em /system/bin. O llvm-symbolizer é criado com base em fontes em third_party/llvm/tools/llvm-symbolizer.
Filtre o relatório usando o script external/compiler-rt/lib/asan/scripts/symbolize.py.

A segunda abordagem pode fornecer mais dados (ou seja, locais file:line) devido à disponibilidade de bibliotecas simbolizadas no host.

ASan em apps

O ASan não consegue acessar o código Java, mas pode detectar bugs nas bibliotecas JNI. Para isso, você precisa criar o executável com ASan, que, neste caso, é /system/bin/app_process(32|64). Isso ativa o ASan em todos os apps do dispositivo ao mesmo tempo, o que é uma carga pesada, mas um dispositivo com 2 GB de RAM consegue lidar com isso.

Adicione LOCAL_SANITIZE:=address à regra de build app_process em frameworks/base/cmds/app_process.

Edite a seção service zygote do arquivo system/core/rootdir/init.zygote(32|64).rc adequado para adicionar as seguintes linhas ao bloco de linhas com recuo que contém class main, também com o mesmo recuo:

    setenv LD_LIBRARY_PATH /system/lib/asan:/system/lib
    setenv ASAN_OPTIONS allow_user_segv_handler=true

Faça build, adb sync, fastboot flash boot e reinicie.

Usar a propriedade "wrap"

A abordagem na seção anterior coloca o ASan em todos os apps do sistema (na verdade, em todos os descendentes do processo Zygote). É possível executar apenas um (ou vários) apps com ASan, trocando parte da sobrecarga de memória por uma inicialização mais lenta do app.

Para fazer isso, inicie o app com a propriedade wrap.. O exemplo a seguir executa o app Gmail no ASan:

adb root
adb shell setenforce 0  # disable SELinux
adb shell setprop wrap.com.google.android.gm "asanwrapper"

Nesse contexto, asanwrapper reescreve /system/bin/app_process para /system/bin/asan/app_process, que é criado com ASan. Ele também adiciona /system/lib/asan no início do caminho de pesquisa da biblioteca dinâmica. Dessa forma, as bibliotecas instrumentadas pelo ASan de /system/lib/asan são preferidas às bibliotecas normais em /system/lib ao serem executadas com asanwrapper.

Se um bug for encontrado, o app vai falhar, e o relatório será impresso no registro.

SANITIZE_TARGET

O Android 7.0 e versões mais recentes incluem suporte para criar toda a plataforma Android com ASan de uma só vez. Se você estiver criando uma versão mais recente que o Android 9, o HWASan será uma opção melhor.

Execute os comandos a seguir na mesma árvore de build.

make -j42
SANITIZE_TARGET=address make -j42

Nesse modo, userdata.img contém bibliotecas extras e também precisa ser transferido para o dispositivo. Use a seguinte linha de comando:

fastboot flash userdata && fastboot flashall

Isso cria dois conjuntos de bibliotecas compartilhadas: normal em /system/lib (a primeira invocação de make) e instrumentada por ASan em /data/asan/lib (a segunda invocação de make). Os executáveis do segundo build substituem os do primeiro. Os executáveis instrumentados com ASan recebem um caminho de pesquisa de biblioteca diferente que inclui /data/asan/lib antes de /system/lib usando /system/bin/linker_asan em PT_INTERP.

O sistema de build sobrescreve diretórios de objetos intermediários quando o valor de $SANITIZE_TARGET muda. Isso força uma recriação de todos os destinos, preservando os binários instalados em /system/lib.

Alguns destinos não podem ser criados com ASan:

Executáveis com vinculação estática
LOCAL_CLANG:=false metas
LOCAL_SANITIZE:=false não são ASan'd para SANITIZE_TARGET=address

Executáveis como esses são ignorados no build SANITIZE_TARGET, e a versão da primeira invocação de make é deixada em /system/bin.

Bibliotecas como essa são criadas sem ASan. Eles podem conter algum código ASan das bibliotecas estáticas de que dependem.