image.png

【iOS内功】ARM汇编实战,解析iOS14 UICollectionView死循环问题

背景

9月初iOS14正式发布，线上版本新冒出许多Crash。有一个Crash,UICollectionView刷新逻辑死循环，卡死了主线程。

阳差阳错，中美两个程序员的“误会”造成了这个Crash。

App有一个页面，自定义了一个XXCollectionView。XXCollectionView嵌套在Cell里，写代码的人偷懒，把delegate设置成自己。Apple工程师也不讲武德，把协议（UICollectionViewDelegate）没声明的方法转发给delegate执行，一点契约精神都没有。

Apple框架大多不开源，内部有奇怪的逻辑，我们只能通过读汇编指令去分析。刚开始分析源码时，奇怪的逻辑让我怀疑人生，最后通过调试汇编指令，才理清楚具体的原因。

这个案例挺经典的，分析过程中，用到了oc、lldb调试、arm等常用知识，也用到了归纳法、逻辑推理、逆向思维、抽象思维等思维方法。

我详细总结了分析过程，和大家交流和探讨。

iOS内功系列文章

Crash分析的基础知识了解不多的，可以参考原来写的一些文章

【iOS内功】Crash分析模型

【iOS内功】深入解析Crash调用栈的内存布局

【iOS内功】ARM黑魔法—栈桢的入栈和出栈

【iOS内功】使用Hopper定位疑难问题

1.0、Crash Log特征分析

1.1、环境特征

crash都发生在iOS14，推断是iOS14系统库逻辑改动引发的Crash。

1.2、调用堆栈

堆栈里有UICollectionview和CPXXProxy,接下来可以找一下，哪些页面同时用到这两个类，

swipe点击事件
...
-[UICollectionView _diffableDataSourceImpl]
...
_CF_forwarding_prep_0
...
-[CPXXProxy forwardInvocation]
...
-[UICollectionView _diffableDataSourceImpl] （开始循环）
...
_CF_forwarding_prep_0
...
-[CPXXProxy forwardInvocation]
复制代码

image.png

1.3、场景复现

符合条件的页面很多，试了几个都复现不了。后面发现有一个页面A，abort日志里有很多swipe事件，页面也用了UICollectionview。点击页面A的各种区域，最后在点击空白处卡死了，并且复现了同样的堆栈。

2.0、源码调试分析

为了简洁，下面的术语用缩略词表示
diffxx代表_diffableDataSourceImpl
CPXXProxy代表_CPCollectionViewFlowLayoutProxy
复制代码

2.1、页面A和页面B有什么差别？

很多页面虽然也用了UICollectionView和CPXXProxy，但不会出现这个crash。于是我找了其中一个页面，下面称为页面B，从逻辑上推导，页面A和页面B逻辑上一定有一个差异，这个差异最终造成页面A的Crash。接下来，分析页面A和B的差异。

差异1：页面A里嵌套了UICollectionview

页面A和页面B有一个差异点，页面A的UICollectionView有多种cell，其中一个cell里又嵌套了UICollectionView。cell里的XXCollectionview继承自系统的UICollectionview。

差异2：页面B不会调用触发“-[CPXXProxy forwardInvocation]”

找到关键路径的3个方法，添加符号断点。模拟Crash的操作，分析页面A和页面B调用栈的差异.

-[UICollectionView _diffableDataSourceImpl]
_CF_forwarding_prep_0
-[CPXXProxy forwardInvocation]
复制代码

调试发现，页面A会调用到“-[CPXXProxy forwardInvocation]”，而页面B并不会。页面A走到forwardInvocation，说明系统给CPXXProxy发送了未实现的方法，这个方法是“_diffableDataSourceImpl”。

2.2、_diffableDataSourceImpl方法是哪里定义的？

iOS13引入了DiffableDataSource，帮助UITableView和UICollection更方便地实现局部刷新。对外开发的类是NSDiffableDataSourceSnapshot，并没有diffxx方法。

使用runtime的接口，导出UICollectionView所有的方法，发现里面包括diffxx，diffxx方法并没有对外开放，是一个私有方法。

2.3、页面A为什么会调用到"-[CPXXProxy _diffableDataSourceImpl]"

diffxx是UICollectionView自己的方法，为什么转发给delegate，这是挺奇怪的逻辑。

CPXXProxy被设置为UICollectionView的delegate,它会接收到UICollectionViewDelegate协议声明的方法，但UICollectionViewDelegate里并没有diffxx方法，理论上不应该触发这个方法的调用。

"-[CPXXProxy _diffableDataSourceImpl]"是UIKit内部逻辑触发的，而UIkit的源码没有开源，所以接下来只能调试Arm汇编继续分析。

3.0、汇编调试分析

我们应该从哪个方法入手？梳理一下思路。

“页面A为什么会出现异常”？触发异常逻辑肯定有一个源点，在这个源点之前页面A的逻辑也应该是正常的。

页面B作为正常的参照物，我们要找到它和页面A出现逻辑分叉的地方。对比页面A和页面B的调用栈，它们最后一个相同的方法是“-[UICollectionView _diffableDataSourceImpl]”，逻辑分叉就在这个方法里，因此我们就从这个方法入手分析。

3.1、“-[UICollectionView _diffableDataSourceImpl]”哪行指令出现逻辑分叉？

页面A指令

image.png

w0寄存器的值是1，没有命中tbz指令的跳转，按顺序继续执行下一行指令。一直执行到bl 0x196d04850指令，跳转到0x196d04850。

注1：tbz指令
复制代码

image.png

bl 0x196d04820里面经过几次跳转，最后执行objc_msgSend方法。根据寄存器的值，objc_msgSend里的target是“CPXXProxy”，selector就是是"diffxx"

image.png

CPXXProxy里并没有实现diffxx函数，进行消息转发_CF_forwarding_prep_0

页面B指令

image.png

w0寄存器的值是0，命中tbz指令的跳转，跳转到0x1991c12ac继续执行指令，后续也没有调用到CPXXProxy的方法。

结论

页面A和页面B的分叉点在tbz指令。tbz是一个条件跳转，页面A里tbz的测试值w0为1，页面B的测试值为0，最后走到了不同的逻辑。

3.2、w0的差异，是哪里造成的？

我们要找的关键指令就是“tbz w0 #0x0”，下面分析哪里将w0的值改为1。

image.png

执行"bl 0x197157750"指令前x0寄存器还是一个对象，执行后x0寄存器就成了1，说明这个方法调用的返回值就是1，也就是true。

image.png

进入"bl 0x197157750"调试，发现最终调用的方法是“CPXXXProxy respondsToSelector”，这个方法的返回值是true。也就是说，调用“-[CPXXXProxy respondsToSelector]”方法时，页面A和页面B结果不一样。

3.3、为什么“-[CPXXXProxy respondsToSelector]”的返回值不一样

CPXXXProxy有源码，直接分析源码的逻辑。

image.png

CPXXXProxy 简介

CPXXXProxy对象里有一个target属性，它是Cell里嵌套的XXCollectionView。

XXCollectionView的delegate和datasource设置为CPXXXProxy，collectionVie的回调方法先发给CPXXXProxy，CPXXXProxy接管了部分方法，自己不接管的回调方法，CPXXXProxy会再转发给target自行处理。
复制代码

根据截图显示，调用了“-[_target respondsToSelector:aSelector]”，运行结果是true。说明页面A的_target实现了“_diffableDataSourceImpl”方法，而页面B的_target并没有实现。

在页面A，XXCollectionView嵌套在cell里，CPXXXProxy的target设置为XXCollectionView。而在页面B，XXCollectionView没有嵌套，CPXXXProxy的target设置为页面B的页面控制器，XXViewController。

“_diffableDataSourceImpl”本身就是UICollectionView的方法，而XXCollectionView继承于UICollectionView，结果当然是true。

4.0、总结

分析到这里，已经豁然开朗，下图是死循环的调用链路。

image.png

• =>"-[XXCollectionView _diffableDataSourceImpl"]"
• =>"-[CPXXXProxy respondsToSelector:@"_diffableDataSourceImpl"]"
  • => "-[XXCollectionView respondsToSelector:@"_diffableDataSourceImpl"]" 结果是True
• =>"-[CPXXXProxy _diffableDataSourceImpl"]"
• =>"-[CPXXXProxy forwardInvocation"]"
• =>"-[XXCollectionView _diffableDataSourceImpl"]"
• =>...死循环

参考

注1：tbz指令

测试位为0发生跳转，imm指定目的寄存器的某一个位，『b5：b40』组成，0-63或者0-31，有b5决定。哪个目的寄存器由Rt指定，label是偏移地址。

TBNZ介绍 www.cnblogs.com/rongmouzhan…

收录：原文地址