NSMutable 对象的坑解决分析

更新时间：2023年02月28日 16:24:02 作者：yuec

这篇文章主要为大家介绍了NSMutable 对象的坑解决分析，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪

背景

最近处理了两个崩溃，都是在 NSMutableSet 调用 enumerateObjectsWithOptions 的时候发生的，崩溃类型悬垂指针。查看崩溃堆栈里面的业务代码，发现 set 有 removeObject 和 addObject 的操作，按照经验来讲这大概率是一个多线程操作 set 造成的。最开始怀疑的是 removeObject 导致遍历的时候访问到了 release的 obj 对象。但是当保证 removeObject 和 enumerateObjectsWithOptions 在同一个 queue 执行的时候崩溃仍然存在。

测试代码

尝试暴力复现，测试 addObject 和 enumerateObjectsWithOptions 是否存在多线程访问的问题。

NSMutableSet *_set = [NSMutableSet set];
dispatch_async(dispatch_queue_create("queue", 0x0), ^{
  for (int i = 0; i < 10000; i++) {
    [_set enumerateObjectsUsingBlock:^(id  _Nonnull obj, BOOL * _Nonnull stop) {}];
  }
});
for (int i = 0; i < 10000; i++) {
  [_set addObject:[NSObject new]];
}

复现了崩溃，非法地址访问，崩溃地址 0x14ff1f228

崩溃时的汇编指令和 x22 寄存器相关。

    0x18a6cb260 <+148>: mov    w24, #0x0
    0x18a6cb264 <+152>: adrp   x25, 358888
    0x18a6cb268 <+156>: add    x25, x25, #0xd90          ; ___NSSetM_DeletedMarker
->  0x18a6cb26c <+160>: ldr    x20, [x22, w24, uxtw #3]
    0x18a6cb270 <+164>: cmp    x20, #0x0
    0x18a6cb274 <+168>: ccmp   x20, x25, #0x4, ne

再次执行测试代码，断点到崩溃地址 0x18a6cb26c，此时 x22 的值 0x0000000280567d00，

_set 的地址 0x0000000280098560。

memory read _set:

x22 这个值在 _set + 0x10 的位置。对 _set + 0x10 处添加内存断点查看修改这个值的逻辑。

(lldb) watchpoint set expression -w write -- 0x0000000282963fd0
Watchpoint created: Watchpoint 1: addr = 0x282963fd0 size = 8 state = enabled type = w
    new value: 4730418656

内存断点发现 set 在执行 addObject 可能会触发 __rehashs 方法，__rehashs 会修改 _set + 0x10 处的值。

#0	0x000000018a64a578 in __rehashs ()
#1	0x000000018a64b96c in -[__NSSetM addObject:] ()
#2	0x0000000102718990 in -[ViewController viewDidLoad] at /Users/yuencong/workplace/Test/Test/ViewController.mm:23

__rehashs 修改 _set + 0x10 上方 0x18a64a568 处有一次 free 的操作：

    0x18a64a564 <+212>: mov    x0, x22
    0x18a64a568 <+216>: bl     0x18a7fc7d0               ; symbol stub for: free
    0x18a64a56c <+220>: ldrsw  x8, [x25, #0x680]
    0x18a64a570 <+224>: add    x8, x20, x8
->  0x18a64a574 <+228>: str    x21, [x8]
    0x18a64a578 <+232>: ldr    w9, [x8, #0xc]
    0x18a64a57c <+236>: bfi    w9, w19, #26, #6
    0x18a64a580 <+240>: str    w9, [x8, #0xc]

再次运行测试代码，查看 free 的值，断点到 0x18a64a568:

    0x18a64a560 <+208>: b.ne   0x18a64a518               ; <+136>
    0x18a64a564 <+212>: mov    x0, x22
->  0x18a64a568 <+216>: bl     0x18a7fc7d0               ; symbol stub for: free
    0x18a64a56c <+220>: ldrsw  x8, [x25, #0x680]
    0x18a64a570 <+224>: add    x8, x20, x8
    0x18a64a574 <+228>: str    x21, [x8]

可以看到 free 的 x22 的值，也是 _set + 0x10 位置的值。

(lldb) register read x22
     x22 = 0x0000000282d245c0
(lldb) _set __NSSetM * 3 elements 0x0000000282d24580
error: '_set' is not a valid command.
(lldb) memory read 0x0000000282d24590
0x282d24590: c0 45 d2 82 02 00 00 00 05 00 00 00 03 00 00 04  .E..............
0x282d245a0: 80 00 32 80 02 00 00 00 00 00 00 00 00 00 00 00  ..2.............

_set +0x10 处是个啥？

打印 OBJC_CLASS$___NSSetM 的 ivars，offset == 0x10 的位置是 storage

ivars          0x593140 __OBJC_$_INSTANCE_VARIABLES___NSSetM
  entsize   32
  count     2
  offset    0x59b3d8 _OBJC_IVAR_$___NSSetM.cow 8
  name      0x39fe21 cow
            type      0x3ff0ab A^{__cow_state_t}
alignment 3
  size      8
  offset    0x59b3d0 _OBJC_IVAR_$___NSSetM.storage 16
  name      0x39fe25 storage
            type      0x400612 {?="objs"^@"state"(?="mutations"Q""{?="muts"I"used"b26"szidx"b6})}
alignment 3
  size      16

这个 type 略长，没有分析具体的类型，但是根据 xcode debug 的信息，可以得知 storage 存储了一个指针，指针指向存储 set item 的数组，这个字段的含义也就比较容易理解了。

结论

NSMutableSet 对象 addObject 可能会触发 __rehashs，_rehashs 会释放 storage 指针， enumerateObjectsUsingBlock 会访问 storage 指针，多线程访问的情况下会触发 use-after-free的崩溃。如果存在多线程同时执行 enumerateObjectsUsingBlock 和 addObject 方法需要保证线程安全。

NSMutable 对象共性问题?

尝试了 NSMutableDictionary & NSMutableArray rehash 都有可能会触发 use-after-free。

以上就是NSMutable 对象的坑解决分析的详细内容，更多关于NSMutable 对象坑的资料请关注脚本之家其它相关文章！

您可能感兴趣的文章:

ios动态库和静态库的区别
这篇文章主要介绍了ios动态库和静态库的区别，帮助大家更好的理解和学习使用ios开发，感兴趣的朋友可以了解下
2021-04-04
iOS新增绘制圆的方法实例代码
这篇文章主要给大家介绍了关于iOS新增绘制圆的方法，文中通过示例代码介绍的非常详细，对各位iOS开发者们具有一定的参考学习价值，需要的朋友们下面来一起学习学习吧
2020-05-05
iOS视频压缩存储至本地并上传至服务器实例代码
本篇文章主要介绍了iOS视频压缩存储至本地并上传至服务器实例代码，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2017-04-04
IOS 禁止缩放页面的实现方法
这篇文章主要介绍了IOS 禁止缩放页面的实现方法的相关资料,这里主要介绍了IOS 10如何通过设置来实现禁止缩放及实现方法，需要的朋友可以参考下
2017-07-07
IOS点击按钮隐藏状态栏详解及实例代码
这篇文章主要介绍了IOS点击按钮隐藏状态栏详解及实例代码的相关资料,需要的朋友可以参考下
2017-02-02
iOS实现启动引导页与指纹解锁的方法详解
这篇文章主要给大家介绍了关于iOS实现启动引导页与指纹解锁的相关资料，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧。
2018-02-02
iOS编程学习中关于throttle的那些事
这篇文章主要给大家介绍了关于iOS编程学习中throttle的那些事，文中通过示例代码介绍的非常详细，对各位iOS的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧。
2017-12-12
iOS图片模糊效果的实现方法
这篇文章主要为大家详细介绍了iOS图片模糊效果的三种实现方式,具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2016-09-09
iOS获取Label高度的几种方法与对比
这篇文章主要介绍了给大家介绍了iOS获取Label高度的几种方法，包括 view的sizeThatFits 方法、view的sizeToFit方法、NSString的sizeWithAttributes方法和NSString 的 boundingRectWithSize 方法，文中不仅介绍四种方法的实现，还进行了对比，下面来一起看看吧。
2016-11-11
iOS touch事件区分单击双击响应的方法
如果您的 iPhone 应用里有个 view，既有单击操作又有双击操作。用户双击 view 时，总是先执行一遍单击的操作再执行双击的操作。所以直接判断时就会发现不能直接进入双击操作。下面是区分 touch 事件是单击还是双击的方法,需要的朋友可以参考下
2016-10-10