一、前言
在iOS開發(fā)中,我們都存在這樣的一個(gè)誤區(qū)舵匾,那就是程序的入口在main函數(shù)诬乞,所有的程序運(yùn)行由此函數(shù)的調(diào)用而開始運(yùn)行册赛,但是實(shí)際上在main函數(shù)之前會(huì)有一系列的工作在運(yùn)行,比如+load方法和constructor構(gòu)造函數(shù)就是在main函數(shù)之前執(zhí)行的震嫉。這篇文章將從main函數(shù)入手向上探究main函數(shù)之前的程序內(nèi)容森瘪。
二、從main函數(shù)出發(fā)
我們想知道在main函數(shù)之前程序的運(yùn)行票堵,那么我們可以在main函數(shù)上面斷點(diǎn)查看函數(shù)調(diào)用棧的結(jié)果扼睬。
上面截圖是在main函數(shù)上下斷點(diǎn)后的函數(shù)調(diào)用棧,我們可以看出除了一個(gè)
start函數(shù)的調(diào)用之外我們無(wú)法知道其他有用的信息悴势,而且這個(gè)start函數(shù)是從哪里調(diào)用的我們根本無(wú)從得知道窗宇,這就比較尷尬了。那么如果我們?cè)?code>main函數(shù)之前執(zhí)行的+load函數(shù)上下斷點(diǎn)能否得到我們想要的答案呢特纤。
如上圖所示是在
+load函數(shù)上下斷點(diǎn)的函數(shù)調(diào)用棧军俊,我們可以清晰的看到在+load函數(shù)之前執(zhí)行的函數(shù)的調(diào)用情況。原來(lái)最開始的時(shí)候是從調(diào)用_dyld_start函數(shù)開始的捧存。_dyld_start是在libdyld.dylib庫(kù)中的函數(shù)粪躬,這里下載到libdyld.dylib庫(kù)的源碼。本文是基于dyld-625.1版本進(jìn)行分析的昔穴。
三镰官、dyld加載流程
全局搜索_dyld_start,我們發(fā)現(xiàn)_dyld_start是在dyldStartup.s中的一段匯編代碼吗货,內(nèi)部調(diào)用dyldbootstrap::start()方法泳唠,我們來(lái)看下dyldbootstrap::start()方法的源碼。
1宙搬、dyldbootstrap::start()
uintptr_t start(const struct macho_header* appsMachHeader, int argc, const char* argv[],
intptr_t slide, const struct macho_header* dyldsMachHeader,
uintptr_t* startGlue)
{
// if kernel had to slide dyld, we need to fix up load sensitive locations
// we have to do this before using any global variables
slide = slideOfMainExecutable(dyldsMachHeader);
bool shouldRebase = slide != 0;
#if __has_feature(ptrauth_calls)
shouldRebase = true;
#endif
if ( shouldRebase ) {
rebaseDyld(dyldsMachHeader, slide);
}
// allow dyld to use mach messaging
mach_init();
// kernel sets up env pointer to be just past end of agv array
const char** envp = &argv[argc+1];
// kernel sets up apple pointer to be just past end of envp array
const char** apple = envp;
while(*apple != NULL) { ++apple; }
++apple;
// set up random value for stack canary
__guard_setup(apple);
#if DYLD_INITIALIZER_SUPPORT
// run all C++ initializers inside dyld
runDyldInitializers(dyldsMachHeader, slide, argc, argv, envp, apple);
#endif
// now that we are done bootstrapping dyld, call dyld's main
uintptr_t appsSlide = slideOfMainExecutable(appsMachHeader);
return dyld::_main(appsMachHeader, appsSlide, argc, argv, envp, apple, startGlue);
}
這一段代碼就是dyldbootstrap::start()方法的源碼警检。從這段代碼我們可以做了一下幾步操作孙援。
- 調(diào)用slideOfMainExecutable方法計(jì)算偏移地址(ALSR);
- rebaseDyld進(jìn)行了重定向;
- mach_init方法初始化消息扇雕;
- __guard_setup方法進(jìn)行棧溢出保護(hù)拓售;
代碼的最后調(diào)用了一個(gè)_main函數(shù),整個(gè)app啟動(dòng)的關(guān)鍵函數(shù)就是這個(gè)_main()函數(shù).
2、_main函數(shù)
_main函數(shù)是一段又長(zhǎng)又臭的代碼镶奉,我們來(lái)注意分析下在這函數(shù)方里面的功能實(shí)現(xiàn)础淤。
- 調(diào)用
setContext方法設(shè)置上下文。 - 調(diào)用
configureProcessRestrictions方法配置進(jìn)程信息哨苛,主要是配置進(jìn)程是否受限鸽凶,默認(rèn)是受限模式。 - 調(diào)用
checkEnvironmentVariables方法檢查環(huán)境變量建峭。 - 調(diào)用
getHostInfo方法從Mach-O頭部獲取當(dāng)前運(yùn)行架構(gòu)的信息玻侥。 - 調(diào)用
checkSharedRegionDisable方法檢查是否開始共享緩存,在IOS中共享緩存是必須要開啟的亿蒸。然后調(diào)用mapSharedCache方法將共享緩存映射到緩存區(qū)域凑兰,在mapSharedCache函數(shù)方法內(nèi)部會(huì)調(diào)用loadDyldCache方法進(jìn)行加載緩存。 - 緊接著程序會(huì)走到
reloadAllImages流程边锁,這一步才是_main函數(shù)方法的重點(diǎn)內(nèi)容姑食,調(diào)用instantiateFromLoadedImage方法實(shí)例化主程序,這個(gè)方法實(shí)際上做了加載Mach-O文件的工作茅坛。
2.1音半、Mach-O文件
Mach-O其實(shí)是Mach Object文件格式的縮寫,是mac以及iOS上可執(zhí)行文件的格式贡蓖, 類似于windows上的PE格式 (Portable Executable ), linux上的elf格式 (Executable and Linking Format)曹鸠。屬于Mach-O格式的常見文件有:
- 目標(biāo)文件.o 文件;
- 庫(kù)文件.a文件斥铺、.dylib文件彻桃、Framework;
- 可執(zhí)行文件仅父;
- .dsym文件;
- dyld庫(kù)浑吟;
一個(gè)完整的Mach-O文件分為:Header.LoadCommands.Data這三大部分笙纤,如下是Mach-O文件結(jié)構(gòu)圖。
- Header 包含該二進(jìn)制文件的一般信息组力,字節(jié)順序省容、架構(gòu)類型、加載指令的數(shù)量等燎字。
- Load commands 一張包含很多內(nèi)容的表腥椒,內(nèi)容包括區(qū)域的位置阿宅、符號(hào)表、動(dòng)態(tài)符號(hào)表等笼蛛。
- Data 通常是對(duì)象文件中最大的部分洒放,包含Segement的具體數(shù)據(jù)。
2.2滨砍、instantiateFromLoadedImage方法
instantiateFromLoadedImage方法加載了Mach-O文件完成主程序的實(shí)例化往湿。如下是instantiateFromLoadedImage方法的代碼實(shí)現(xiàn)。
static ImageLoaderMachO* instantiateFromLoadedImage(const macho_header* mh, uintptr_t slide, const char* path)
{
// try mach-o loader
if ( isCompatibleMachO((const uint8_t*)mh, path) ) {
ImageLoader* image = ImageLoaderMachO::instantiateMainExecutable(mh, slide, path, gLinkContext);
addImage(image);
return (ImageLoaderMachO*)image;
}
throw "main executable not a known format";
}
在這段代碼中惋戏,我們看到程序首先會(huì)判斷Mach-O文件的合法性,如果合法則會(huì)調(diào)用instantiateMainExecutable方法生成返回一個(gè)ImageLoader對(duì)象,并通過(guò)addImage方法將得到的ImageLoader對(duì)象添加到imageList列表中去堕阔。
2.3唤崭、instantiateMainExecutable方法
下面是instantiateMainExecutable方法的代碼實(shí)現(xiàn)。
ImageLoader* ImageLoaderMachO::instantiateMainExecutable(const macho_header* mh, uintptr_t slide, const char* path, const LinkContext& context)
{
//dyld::log("ImageLoader=%ld, ImageLoaderMachO=%ld, ImageLoaderMachOClassic=%ld, ImageLoaderMachOCompressed=%ld\n",
// sizeof(ImageLoader), sizeof(ImageLoaderMachO), sizeof(ImageLoaderMachOClassic), sizeof(ImageLoaderMachOCompressed));
bool compressed;
unsigned int segCount;
unsigned int libCount;
const linkedit_data_command* codeSigCmd;
const encryption_info_command* encryptCmd;
sniffLoadCommands(mh, path, false, &compressed, &segCount, &libCount, context, &codeSigCmd, &encryptCmd);
// instantiate concrete class based on content of load commands
if ( compressed )
return ImageLoaderMachOCompressed::instantiateMainExecutable(mh, slide, path, segCount, libCount, context);
else
#if SUPPORT_CLASSIC_MACHO
return ImageLoaderMachOClassic::instantiateMainExecutable(mh, slide, path, segCount, libCount, context);
#else
throw "missing LC_DYLD_INFO load command";
#endif
}
在這段代碼中我們有看到sniffLoadCommands這樣一個(gè)方法的調(diào)用舔亭,這個(gè)方法是用來(lái)加載Mach-O文件中的"Load commands"些膨,并且修改了compressed這樣一個(gè)變量,程序會(huì)根據(jù)這個(gè)變量的值來(lái)判斷ImageLoaderMachOCompressed還是ImageLoaderMachOClassic中的instantiateMainExecutable方法創(chuàng)建ImageLoader對(duì)象返回分歇,程序會(huì)在instantiateFromLoadedImage方法中將這個(gè)對(duì)象加載到imageList列表中去傀蓉,至此就完成了主程序的實(shí)例化過(guò)程。
2.4 動(dòng)態(tài)庫(kù)插入
在主程序被實(shí)例化加載后,接下來(lái)dyld就會(huì)繼續(xù)在 _main函數(shù)中去加載我們插入的動(dòng)態(tài)庫(kù)职抡。
// load any inserted libraries
if( sEnv.DYLD_INSERT_LIBRARIES != NULL ) {
for (const char* const* lib = sEnv.DYLD_INSERT_LIBRARIES; *lib != NULL; ++lib)
loadInsertedDylib(*lib);
}
這段代碼遍歷DYLD_INSERT_LIBRARIES環(huán)境變量葬燎,調(diào)用loadInsertedDylib方法加載,通過(guò)該環(huán)境變量我們可以注入自定義的一些動(dòng)態(tài)庫(kù)代碼缚甩,loadInsertedDylib內(nèi)部會(huì)從DYLD_ROOT_PATH谱净、LD_LIBRARY_PATH、DYLD_FRAMEWORK_PATH等路徑查找dylib并且檢查代碼簽名擅威,無(wú)效則直接拋出異常壕探。
2.5 鏈接動(dòng)態(tài)庫(kù)
在加載完動(dòng)態(tài)庫(kù)之后,開始鏈接動(dòng)態(tài)庫(kù)郊丛,首先鏈接的是主程序李请,然后是插入的動(dòng)態(tài)庫(kù)。鏈接動(dòng)態(tài)庫(kù)是在link方法中進(jìn)行的厉熟。
void ImageLoader::link(const LinkContext& context, bool forceLazysBound, bool preflightOnly, bool neverUnload, const RPathChain& loaderRPaths, const char* imagePath)
{
//dyld::log("ImageLoader::link(%s) refCount=%d, neverUnload=%d\n", imagePath, fDlopenReferenceCount, fNeverUnload);
// clear error strings
(*context.setErrorStrings)(0, NULL, NULL, NULL);
uint64_t t0 = mach_absolute_time();
this->recursiveLoadLibraries(context, preflightOnly, loaderRPaths, imagePath);
context.notifyBatch(dyld_image_state_dependents_mapped, preflightOnly);
// we only do the loading step for preflights
if ( preflightOnly )
return;
uint64_t t1 = mach_absolute_time();
context.clearAllDepths();
this->recursiveUpdateDepth(context.imageCount());
__block uint64_t t2, t3, t4, t5;
{
dyld3::ScopedTimer(DBG_DYLD_TIMING_APPLY_FIXUPS, 0, 0, 0);
t2 = mach_absolute_time();
this->recursiveRebase(context);
context.notifyBatch(dyld_image_state_rebased, false);
t3 = mach_absolute_time();
if ( !context.linkingMainExecutable )
this->recursiveBindWithAccounting(context, forceLazysBound, neverUnload);
t4 = mach_absolute_time();
if ( !context.linkingMainExecutable )
this->weakBind(context);//弱綁定
t5 = mach_absolute_time();
}
if ( !context.linkingMainExecutable )
context.notifyBatch(dyld_image_state_bound, false);
uint64_t t6 = mach_absolute_time();
std::vector<DOFInfo> dofs;
this->recursiveGetDOFSections(context, dofs);
context.registerDOFs(dofs);
uint64_t t7 = mach_absolute_time();
...
}
在link方法中不光是鏈接主程序和插入動(dòng)態(tài)庫(kù),還會(huì)在函數(shù)內(nèi)通過(guò)recursiveLoadLibraries函數(shù)循環(huán)加載所有的依賴庫(kù)导盅。然后再Rebase每一個(gè)都添加上偏移值以后得到真正的依賴庫(kù)的地址也就是重定位,然后對(duì)依賴庫(kù)進(jìn)行符號(hào)綁定,弱綁定等一系列操作,當(dāng)這些都做完了主程序也就被加載鏈接完成揍瑟。
和主程序鏈接加載一樣白翻,當(dāng)有插入的動(dòng)態(tài)庫(kù)時(shí),程序會(huì)對(duì)每一個(gè)插入的動(dòng)態(tài)庫(kù)進(jìn)行鏈接加載绢片。
if ( sInsertedDylibCount > 0 ) {
for(unsigned int i=0; i < sInsertedDylibCount; ++i) {
ImageLoader* image = sAllImages[i+1];
link(image, sEnv.DYLD_BIND_AT_LAUNCH, true, ImageLoader::RPathChain(NULL, NULL), -1);
image->setNeverUnloadRecursive();
}
// only INSERTED libraries can interpose
// register interposing info after all inserted libraries are bound so chaining works
for(unsigned int i=0; i < sInsertedDylibCount; ++i) {
ImageLoader* image = sAllImages[i+1];
image->registerInterposing(gLinkContext);
}
}
當(dāng)所有的動(dòng)態(tài)庫(kù)的鏈接加載完成之后,就會(huì)調(diào)用initializeMainExecutable函數(shù)來(lái)初始化我們的主程序滤馍。
2.6 initializeMainExecutable 初始化主程序
如下是initializeMainExecutable的代碼
void initializeMainExecutable()
{
// record that we've reached this step
gLinkContext.startedInitializingMainExecutable = true;
// run initialzers for any inserted dylibs
ImageLoader::InitializerTimingList initializerTimes[allImagesCount()];
initializerTimes[0].count = 0;
const size_t rootCount = sImageRoots.size();
if ( rootCount > 1 ) {
for(size_t i=1; i < rootCount; ++i) {
sImageRoots[i]->runInitializers(gLinkContext, initializerTimes[0]);
}
}
// run initializers for main executable and everything it brings up
sMainExecutable->runInitializers(gLinkContext, initializerTimes[0]);
// register cxa_atexit() handler to run static terminators in all loaded images when this process exits
if ( gLibSystemHelpers != NULL )
(*gLibSystemHelpers->cxa_atexit)(&runAllStaticTerminators, NULL, NULL);
// dump info if requested
if ( sEnv.DYLD_PRINT_STATISTICS )
ImageLoader::printStatistics((unsigned int)allImagesCount(), initializerTimes[0]);
if ( sEnv.DYLD_PRINT_STATISTICS_DETAILS )
ImageLoaderMachO::printStatisticsDetails((unsigned int)allImagesCount(), initializerTimes[0]);
}
從這段代碼我們可以看出來(lái)程序首先是對(duì)每一個(gè)插入進(jìn)來(lái)的dylib調(diào)用runInitializers方法進(jìn)行初始化岛琼,然后對(duì)主程序調(diào)用runInitializers方法初始化。runInitializers方法內(nèi)部會(huì)調(diào)用processInitializers函數(shù)方法巢株,而在processInitializers方法內(nèi)部會(huì)調(diào)用recursiveInitialization方法槐瑞,在recursiveInitialization函數(shù)方法內(nèi)部我們找到和之前斷點(diǎn)得到的函數(shù)調(diào)用棧一致的notifySingle方法。
2.7 notifySingle方法注冊(cè)回調(diào)
在之前的函數(shù)調(diào)用棧中我們得知纯续,在notifySingle方法之后調(diào)用的時(shí)候load_images方法随珠,但是在notifySingle方法內(nèi)部并未找到load_images方法,甚至是全局搜索也未找到load_images方法猬错,但是在notifySingle方法內(nèi)部有這樣的一行代碼窗看。
(*sNotifyObjCInit)(image->getRealPath(), image->machHeader());
我們猜想*sNotifyObjCInit這個(gè)函數(shù)指針有可能指向的是load_images方法,待load_images方法調(diào)用后在此執(zhí)行回調(diào)倦炒,這個(gè)也符合程序的設(shè)計(jì)显沈。全局搜索sNotifyObjCInit查看是在那里賦值的,不負(fù)所望在registerObjCNotifiers方法中找到了sNotifyObjCInit的賦值逢唤。
void registerObjCNotifiers(_dyld_objc_notify_mapped mapped, _dyld_objc_notify_init init, _dyld_objc_notify_unmapped unmapped)
{
// record functions to call
sNotifyObjCMapped = mapped;
sNotifyObjCInit = init;
sNotifyObjCUnmapped = unmapped;
// call 'mapped' function with all images mapped so far
try {
notifyBatchPartial(dyld_image_state_bound, true, NULL, false, true);
}
catch (const char* msg) {
// ignore request to abort during registration
}
...
}
查看registerObjCNotifiers方法的調(diào)用者拉讯,找到了_dyld_objc_notify_register方法,也就是這個(gè)方法的調(diào)用為sNotifyObjCInit的賦值來(lái)源鳖藕。
void _dyld_objc_notify_register(_dyld_objc_notify_mapped mapped,
_dyld_objc_notify_init init,
_dyld_objc_notify_unmapped unmapped)
{
dyld::registerObjCNotifiers(mapped, init, unmapped);
}
當(dāng)再次對(duì)_dyld_objc_notify_register發(fā)起搜索時(shí)魔慷,并未能找到這個(gè)方法的調(diào)用者。由此我們可以直接下符號(hào)斷點(diǎn)判斷_dyld_objc_notify_register查看函數(shù)調(diào)用棧的結(jié)果著恩。
從上面的截圖函數(shù)的調(diào)用棧中可以看出來(lái)_dyld_objc_notify_register函數(shù)的調(diào)用是在_objc_init方法里面調(diào)用的院尔。_objc_init方法是Objc源碼中的一個(gè)方法,是runtime運(yùn)行時(shí)的入口函數(shù)喉誊。
void _objc_init(void)
{
static bool initialized = false;
if (initialized) return;
initialized = true;
// fixme defer initialization until an objc-using image is found?
environ_init();
tls_init();
static_init();
lock_init();
exception_init();
// _objc_init->map_images->map_images_nolock->_read_images->realizeClass
_dyld_objc_notify_register(&map_images, load_images, unmap_image);
}
這段代碼中我們看到在load_images的身影邀摆,這里的load_images就是前面在函數(shù)調(diào)用棧里面的load_images。在load_images里面會(huì)調(diào)用call_load_methods方法伍茄,我們來(lái)看下call_load_methods方法的代碼栋盹。
do {
// 1. Repeatedly call class +loads until there aren't any more
while (loadable_classes_used > 0) {
call_class_loads();
}
// 2. Call category +loads ONCE
more_categories = call_category_loads();
// 3. Run more +loads if there are classes OR more untried categories
} while (loadable_classes_used > 0 || more_categories);
在這里的方法里面循環(huán)遍歷所有的類并加載類里面的+load方法,然后會(huì)加載category中的+load方法敷矫。
讓我們回到recursiveInitialization方法例获,在notifySingle之后程序會(huì)調(diào)用doInitialization方法。
2.8 doInitialization方法執(zhí)行特殊函數(shù)
bool ImageLoaderMachO::doInitialization(const LinkContext& context)
{
CRSetCrashLogMessage2(this->getPath());
// mach-o has -init and static initializers
doImageInit(context);
doModInitFunctions(context);
CRSetCrashLogMessage2(NULL);
return (fHasDashInit || fHasInitializers);
}
在doInitialization內(nèi)部會(huì)調(diào)用doModInitFunctions方法曹仗,這個(gè)函數(shù)會(huì)調(diào)用執(zhí)行我們程序的特殊函數(shù),比如全局的C++的構(gòu)造方法.其實(shí)實(shí)質(zhì)上就是dyld會(huì)讀取Mach-O里DATA段中的init_func這個(gè)字段進(jìn)行調(diào)用里面的函數(shù)榨汤。
2.9 進(jìn)入main函數(shù)
最終一系列的操作完畢后,dyld就會(huì)去查找我們主程序的入口整葡,對(duì)應(yīng)我們Mach-O的LC_MAIN件余。在找到后返回一個(gè)result結(jié)果讥脐,也就調(diào)起了我們主程序的main函數(shù)遭居,結(jié)束掉dyld_start整個(gè)流程啼器。
result = (uintptr_t)sMainExecutable->getEntryFromLC_MAIN();
if ( result != 0 ) {
// main executable uses LC_MAIN, we need to use helper in libdyld to call into main()
if ( (gLibSystemHelpers != NULL) && (gLibSystemHelpers->version >= 9) )
*startGlue = (uintptr_t)gLibSystemHelpers->startGlueToCallExit;
else
halt("libdyld.dylib support not present for LC_MAIN");
}
else {
// main executable uses LC_UNIXTHREAD, dyld needs to let "start" in program set up for main()
result = (uintptr_t)sMainExecutable->getEntryFromLC_UNIXTHREAD();
*startGlue = 0;
}
到此整個(gè)dyld的加載流程就此完成。
