野指针:指针指向的对象已经被回收掉了。这个指针就叫做野指针。
僵尸对象:一个已经被释放的对象 就叫做僵尸对象
OC中是怎么实现的呢
首先如何打开Zombile Object 调试模式呢?
这个问题相信大家都不陌生:
第一步、打开Xcode 选择屏幕左上角Xcode-> PReferencese
image.png
设置一下输出信息,调试的时候能够输出更多的输出信息
第二步再对环境变量进行设置菜单 Product->Scheme->EditScheme
勾选上下列选项:
image.png
这样程序运行时如果访问了已经释放的对象,则会精准的的定位信息,抛出异常 。该功能的原理是在对象释放时,使用一个内置的 Zombie,替代原来的被释放的对象。
sudo malloc_history 进程 ID 内存地址,可以查看错误日志。
现在我们知道什么是僵尸对象(Zombie Object)了吗?其实他就是一种用来检测内存错误(EXC_BAD_ACCESS)的对象。
那当我勾选了这些对象时,系统其实做了哪些操作呢?
为什么勾选了这些,就能有这些效果呢?
iOS Zombie Objects(僵尸对象)原理探索
1. Zombie Object 有什么用
-
僵尸对象一种用来检测内存错误(
EXC_BAD_ACCESS)的对象,它可以捕获任何对尝试访问坏内存的调用。 -
如果给僵尸对象发送消息时,那么将在运行期间崩溃和输出错误日志。通过日志可以定位到野指针对象调用的方法和类名。
2. 如何开启Zombie Object检测
在Xcode中设置Edit Scheme -> Diagnostics -> Zombie Objects
3. 开启Zombie Object检测后,对象调用dealloc方法会发生变化
1、新建一个终端工程(Command Line Tool),具体代码如下:
void printClassInfo(id obj)
{
Class cls = object_getClass(obj);
Class superCls = class_getSuperclass(cls);
NSLog(@"self:%s - superClass:%s", class_getName(cls), class_getName(superCls));
}
int main(int argc, const char * argv[]) {
@autoreleasepool {
People *aPeople = [People new];
NSLog(@"before release!");
printClassInfo(aPeople);
[aPeople release];
NSLog(@"after release!");
printClassInfo(aPeople);
}
return 0;
}
2、开启Zombie Objects
3、运行程序,查看打印信息。从打印信息可以看到开启僵尸对象检测后,People释放后所属类变成了_NSZombie_People。如此可得对象释放后会变成僵尸对象,保存当前释放对象的内存地址,防止被系统回收。
ZombieObjectDemo[1357:84410] before release!
ZombieObjectDemo[1357:84410] self:People - superClass:NSObject
ZombieObjectDemo[1357:84410] after release!
ZombieObjectDemo[1357:84410] self:_NSZombie_People - superClass:nil
4、结下来打开instruments ->Zombies ,查看dealloc 究竟做了什么。点击运行,查看Call trees。结果如下图,从dealloc的调用可以知道:Zombie Objects hook 住了对象的dealloc方法,通过调用自己的__dealloc_zombie方法来把对象进行僵尸化。在Runtime源码NSObject.mm文件中dealloc方法注释中也有说明这一点。如下:
// Replaced by NSZombies
- (void)dealloc {
_objc_rootDealloc(self);
}
由对象dealloc方法调用栈( Call Tree )很好的验证了步骤3的打印信息。那么这个过程又是怎么样的?继续探索。
image.png
4. Zombie Object的生成过程是怎么样的
1、创建__dealloc_zombie符号断点来看一探究竟
CoreFoundation`-[NSObject(NSObject) __dealloc_zombie]:
0x7fff3fa2dee7 <+23>: leaq 0x5a59c4a2(%rip), %rax ; __CFZombieEnabled
0x7fff3fa2defa <+42>: callq 0x7fff3fa7d930 ; symbol stub for: object_getClass
0x7fff3fa2df0a <+58>: callq 0x7fff3fa7d486 ; symbol stub for: class_getName
0x7fff3fa2df12 <+66>: leaq 0x237d1b(%rip), %rsi ; "_NSZombie_%s"
0x7fff3fa2df2b <+91>: callq 0x7fff3fa7d8b8 ; symbol stub for: objc_lookUpClass
0x7fff3fa2df38 <+104>: leaq 0x2376a9(%rip), %rdi ; "_NSZombie_"
0x7fff3fa2df3f <+111>: callq 0x7fff3fa7d8b8 ; symbol stub for: objc_lookUpClass
0x7fff3fa2df4d <+125>: callq 0x7fff3fa7d870 ; symbol stub for: objc_duplicateClass
0x7fff3fa2df61 <+145>: callq 0x7fff3fa7d86a ; symbol stub for: objc_destructInstance
0x7fff3fa2df6c <+156>: callq 0x7fff3fa7d948 ; symbol stub for: object_setClass
从此处断点可以大概看出Zombie Object 的生成过程。_NSZombie_%s验证了开启僵尸对象检测后的对象所指向的类。从这个调用栈也可以说明系统开启僵尸对象检测后不会释放该对象所占用的内存,只是释放了与该对象所有的相关引用。让runtime源码告诉你:
/***********************************************************************
* object_dispose
* fixme
* Locking: none
**********************************************************************/
id object_dispose(id obj)
{
if (!obj) return nil;
objc_destructInstance(obj);
free(obj);
return nil;
}
上面是为开启僵尸对象检测对象释放的调用过程,开启僵尸对象检测后将没有 free(obj) 这一步的调用,而是执行objc_destructInstance(obj)方法后就直接return了。我们也可以看看objc_destructInstance到底都干了些什么。从其注释可以知道该方法做了下面几件事:【C++ destructors】 【ARC ivar cleanup】 【Removes associative references】并没有释放其内存。
//***********************************************************************
* objc_destructInstance
* Destroys an instance without freeing memory.
* Calls C++ destructors.
* Calls ARC ivar cleanup.
* Removes associative references.
* Returns `obj`. Does nothing if `obj` is nil.
**********************************************************************/
void *objc_destructInstance(id obj)
{
if (obj) {
// Read all of the flags at once for performance.
bool cxx = obj->hasCxxDtor();
bool assoc = obj->hasAssociatedObjects();
// This order is important.
if (cxx) object_cxxDestruct(obj);
if (assoc) _object_remove_assocations(obj);
obj->clearDeallocating();
}
return obj;
}
从汇编的调用顺序可以大概总结出僵尸对象的生成过程,如下:
//1、获取到即将deallocted对象所属类(Class)
Class cls = object_getClass(self);
//2、获取类名
const char *clsName = class_getName(cls)
//3、生成僵尸对象类名
const char *zombieClsName = "_NSZombie_" + clsName;
//4、查看是否存在相同的僵尸对象类名,不存在则创建
Class zombieCls = objc_lookUpClass(zombieClsName);
if (!zombieCls) {
//5、获取僵尸对象类 _NSZombie_
Class baseZombieCls = objc_lookUpClass(“_NSZombie_");
//6、创建 zombieClsName 类
zombieCls = objc_duplicateClass(baseZombieCls, zombieClsName, 0);
}
//7、在对象内存未被释放的情况下销毁对象的成员变量及关联引用。
objc_destructInstance(self);
//8、修改对象的 isa 指针,令其指向特殊的僵尸类
objc_setClass(self, zombieCls);
5. Zombie Object是如何被触发的
1、再次调用[aPeople release] 可以看到程序断在___forwarding___,从此处的汇编代码中可以看到关键字_NSZombie_,在调用abort( )函数退出进程时会有对应的信息输出@"*** -[%s %s]: message sent to deallocated instance %p"。所以可以大概猜出系统是在消息转发过程中做了手脚。
CoreFoundation`___forwarding___:
0x7fff3f90b1cd <+269>: leaq 0x35a414(%rip), %rsi ; "_NSZombie_"
为此也可以大概总结出它的调用过程,如下:
//1、获取对象class
Class cls = object_getClass(self);
//2、获取对象类名
const char *clsName = class_getName(cls);
//3、检测是否带有前缀_NSZombie_
if (string_has_prefix(clsName, "_NSZombie_")) {
//4、获取被野指针对象类名
const char *originalClsName = substring_from(clsName, 10);
//5、获取当前调用方法名
const char *selectorName = sel_getName(_cmd);
//6、输出日志
Log(''*** - [%s %s]: message sent to deallocated instance %p", originalClsName, selectorName, self);
//7、结束进程
abort();
}
6. 结论
-
系统在回收对象时,可以不将其真的回收,而是把它转化为僵尸对象。这种对象所在的内存无法重用,因此不可遭到重写,所以将随机变成必然。
-
系统会修改对象的 isa 指针,令其指向特殊的僵尸类,从而使该对象变为僵尸对象。僵尸类能够相应所有的选择器,响应方式为:打印一条包含消息内容及其接收者的消息,然后终止应用程序。
网友评论