libc.debug.malloc
- // 1 - For memory leak detections.
- // 5 - For filling allocated / freed memory with patterns defined by
- // CHK_SENTINEL_VALUE, and CHK_FILL_FREE macros.
- // 10 - For adding pre-, and post- allocation stubs in order to detect
- // buffer overruns.
- android本身有集成集中调试机制,代码在bionic/libc/bionic/malloc_debug_common.c/h/cpp,可以通过属性控制:
setprop libc.debug.malloc 0: 这是默认的等级,仅作最基本的判断
setprop libc.debug.malloc 1: 这会在malloc记录调用栈,用于分析内存泄露
setprop libc.debug.malloc 5: 在申请后会填充固定的pattern,用于检查是否越界访问
setprop libc.debug.malloc 10: 增加foot/head头,记录调用栈
android的DDMS可以帮助查看c++ native heap的使用,但需要一定的配置,而且必须是root的手机。
- 在~/.android/ddms.cfg增加"native=true"。这样子ddms才会有native heap的tab。
- 指向下面adb命令打开malloc的debug模式
adb root
adb shell setprop libc.debug.malloc 1
adb shell stop
adb shell start - 打开standalone的DDMS(不是eclipse中那个,是独立的应用程序,sdk目录下有),然后在native heap这个tab下,可以查看native heap的分配情况。
基于Android5.0版本
Android为Java程序提供了方便的内存泄露信息和工具(如MAT),便于查找。但是,对于纯粹C/C++ 编写的natvie进程,却不那么容易查找内存泄露。传统的C/C++程序可以使用valgrind工具,也可以使用某些代码检查工具。幸运的是,Google的bionic库为我们查找内存泄露提供了一个非常棒的API--get_malloc_leak_info。利用它,我们很容易通过得到backtrace的方式找到涉嫌内存泄露的地方。
代码原理分析
我们可以使用adb shell setprop libc.debug.malloc 1来设置内存的调试等级(debug_level),更详细的等级解释见文件bionic/libc/bionic/malloc_debug_common.cpp中的注释:
- // Handle to shared library where actual memory allocation is implemented.
- // This library is loaded and memory allocation calls are redirected there
- // when libc.debug.malloc environment variable contains value other than
- // zero:
- // 1 - For memory leak detections.
- // 5 - For filling allocated / freed memory with patterns defined by
- // CHK_SENTINEL_VALUE, and CHK_FILL_FREE macros.
- // 10 - For adding pre-, and post- allocation stubs in order to detect
- // buffer overruns.
- // Note that emulator's memory allocation instrumentation is not controlled by
- // libc.debug.malloc value, but rather by emulator, started with -memcheck
- // option. Note also, that if emulator has started with -memcheck option,
- // emulator's instrumented memory allocation will take over value saved in
- // libc.debug.malloc. In other words, if emulator has started with -memcheck
- // option, libc.debug.malloc value is ignored.
- // Actual functionality for debug levels 1-10 is implemented in
- // libc_malloc_debug_leak.so, while functionality for emulator's instrumented
- // allocations is implemented in libc_malloc_debug_qemu.so and can be run inside
- // the emulator only.
get_malloc_leak_info()函数也位于malloc_debug_common.cpp文件中,若探究其实现,请自行查看源码。
对于不同的内存调试等级(debug_level),malloc_dispatch_table將指向不同的内存分配管理函数。这样,内存的分配和释放,在不同的的调试等级下,将使用不同的函数版本。
详细的代码过程如下:
- // Initializes memory allocation framework.
- // This routine is called from __libc_init routines implemented
- // in libc_init_static.c and libc_init_dynamic.c files.
- extern "C" __LIBC_HIDDEN__ void malloc_debug_init() {
- #if !defined(LIBC_STATIC)
- static pthread_once_t malloc_init_once_ctl = PTHREAD_ONCE_INIT;
- if (pthread_once(&malloc_init_once_ctl, malloc_init_impl)) {
- error_log("Unable to initialize malloc_debug component.");
- }
- #endif // !LIBC_STATIC
- }
如代码注释所说,__libc_init()例程中(位于libc_init_static.c和libc_init_dynamic.c文件中)会调用malloc_debug_init进行初始化,进而调用malloc_init_impl(在一个进程中,使用pthread_once保证其只被执行一次)
在malloc_init_impl()例程中,先打开so库,再从so库中解析出malloc_debug_initialize符号,然后执行它。当debug_level为1/5/10时,將会打开libc_malloc_debug_leak.so库文件,malloc_debug_initialize()函数的实现在malloc_debug_check.cpp文件中;当debug_level为20时,將会打开libc_malloc_debug_qemu.so库文件,malloc_debug_initialize()函数的实现在malloc_debug_qemu.cpp文件中。
接着,针对不同的debug_level,解析出不同的内存操作函数malloc/free/calloc/realloc/memalign实现。对于debug_level等级1、5、10的情况,malloc/free/calloc/realloc/memalign各种版本的实现位于文件bionic/libc/bionic/malloc_debug_leak.cpp和malloc_debug_check.cpp中。
当debug_level为1调试memory leak时,其实现是打出backtrace:
leak_malloc()函数实现如下
- extern "C" void* leak_malloc(size_t bytes) {
- if (DebugCallsDisabled()) {
- return g_malloc_dispatch->malloc(bytes);
- }
- // allocate enough space infront of the allocation to store the pointer for
- // the alloc structure. This will making free'ing the structer really fast!
- // 1. allocate enough memory and include our header
- // 2. set the base pointer to be right after our header
- size_t size = bytes + sizeof(AllocationEntry);
- if (size < bytes) { // Overflow.
- errno = ENOMEM;
- return NULL;
- }
- void* base = g_malloc_dispatch->malloc(size);
- if (base != NULL) {
- ScopedPthreadMutexLocker locker(&g_hash_table->lock);
- uintptr_t backtrace[BACKTRACE_SIZE];
- size_t numEntries = GET_BACKTRACE(backtrace, BACKTRACE_SIZE);
- AllocationEntry* header = reinterpret_cast<AllocationEntry*>(base);
- header->entry = record_backtrace(backtrace, numEntries, bytes);
- header->guard = GUARD;
- // now increment base to point to after our header.
- // this should just work since our header is 8 bytes.
- base = reinterpret_cast<AllocationEntry*>(base) + 1;
- }
- return base;
- }
- extern bool g_backtrace_enabled;
- #define GET_BACKTRACE(bt, depth) \
- (g_backtrace_enabled ? get_backtrace(bt, depth) : 0)
该malloc函数在实际分配的bytes字节前额外分配了一块数据用作AllocationEntry。在分配内存成功后,分配了一个拥有32个元素的指针数组,用于存放调用堆栈指针,调用宏函数GET_BACKTRACE将调用堆栈保存起来,也就是将各函数指针保存到数组backtrace中;然后使用record_backtrace记录下该调用堆栈,然后让AllocationEntry的entry成员指向它。函数record_backtrace会通过hash值在全局调用堆栈表gHashTable里查找。若没找到,则创建一项调用堆栈信息,将其加入到全局表中。最后,将base所指向的地方往后移一下,然后它,就是分配的内存地址。
可见,该版本的malloc函数额外记录了调用堆栈的信息。通过在分配的内存块前加一个头的方式,保存了如何查询hash表调用堆栈信息的entry。
再来看一下record_backtrace函数,在分析其代码之前,看一下结构体(文件malloc_debug_common.h):
- #define HASHTABLE_SIZE 1543
- // =============================================================================
- // Structures
- // =============================================================================
- struct HashEntry {
- size_t slot;
- HashEntry* prev;
- HashEntry* next;
- size_t numEntries;
- // fields above "size" are NOT sent to the host
- size_t size;
- size_t allocations;
- uintptr_t backtrace[0];
- };
- struct HashTable {
- pthread_mutex_t lock;
- size_t count;
- HashEntry* slots[HASHTABLE_SIZE];
- };
另一个结构体是HashEntry,因其成员存在指向前后的指针,所以它也是个链表,hash值相同将添加到链表的后面。HashEntry第一个成员slot就是自身在数组中的索引,亦即由hash运算而来;最后一项即调用堆栈backtrace[0],里面是函数指针,这个数组具体有多少项则由另一个成员numEntries记录;size表示该次分配的内存的大小;allocations是分配次数,即有多少次同一调用路径。
这两个数据结构关系可由下图表示:
在leak_malloc中调用record_backtrace记录堆栈信息时,先由backtrace和numEntries得到hash值,再整除运算后得到在gHashTable中的数组索引;接着检查是否已经存在该项,即有没有分配了相同内存大小、同一调用路径、记录了相当数量的函数指针的HashEntry。若有,则直接在原有项上的allocations加1,没有则创建新项:为HashEntry结构体分配内存,然后调用堆栈信息复制给HashEntry最后的一个成员backtrace。最后,还要为整个表格增加计数。
这样record_backtrace函数完成了向全局表中添加backtrace信息的任务:要么新增加一项HashEntry,要么增加索引。
- static HashEntry* record_backtrace(uintptr_t* backtrace, size_t numEntries, size_t size) {
- size_t hash = get_hash(backtrace, numEntries);
- size_t slot = hash % HASHTABLE_SIZE;
- if (size & SIZE_FLAG_MASK) {
- debug_log("malloc_debug: allocation %zx exceeds bit width\n", size);
- abort();
- }
- if (gMallocLeakZygoteChild) {
- size |= SIZE_FLAG_ZYGOTE_CHILD;
- }
- HashEntry* entry = find_entry(g_hash_table, slot, backtrace, numEntries, size);
- if (entry != NULL) {
- entry->allocations++;
- } else {
- // create a new entry
- entry = static_cast<HashEntry*>(g_malloc_dispatch->malloc(sizeof(HashEntry) + numEntries*sizeof(uintptr_t)));
- if (!entry) {
- return NULL;
- }
- entry->allocations = 1;
- entry->slot = slot;
- entry->prev = NULL;
- entry->next = g_hash_table->slots[slot];
- entry->numEntries = numEntries;
- entry->size = size;
- memcpy(entry->backtrace, backtrace, numEntries * sizeof(uintptr_t));
- g_hash_table->slots[slot] = entry;
- if (entry->next != NULL) {
- entry->next->prev = entry;
- }
- // we just added an entry, increase the size of the hashtable
- g_hash_table->count++;
- }
- return entry;
- }
而在leak_free()函数中会释放上述全局hash表中的堆栈项
- extern "C" void leak_free(void* mem) {
- if (DebugCallsDisabled()) {
- return g_malloc_dispatch->free(mem);
- }
- if (mem == NULL) {
- return;
- }
- ScopedPthreadMutexLocker locker(&g_hash_table->lock);
- // check the guard to make sure it is valid
- AllocationEntry* header = to_header(mem);
- if (header->guard != GUARD) {
- // could be a memaligned block
- if (header->guard == MEMALIGN_GUARD) {
- // For memaligned blocks, header->entry points to the memory
- // allocated through leak_malloc.
- header = to_header(header->entry);
- }
- }
- if (header->guard == GUARD || is_valid_entry(header->entry)) {
- // decrement the allocations
- HashEntry* entry = header->entry;
- entry->allocations--;
- if (entry->allocations <= 0) {
- remove_entry(entry);
- g_malloc_dispatch->free(entry);
- }
- // now free the memory!
- g_malloc_dispatch->free(header);
- } else {
- debug_log("WARNING bad header guard: '0x%x'! and invalid entry: %p\n",
- header->guard, header->entry);
- }
- }
因此,在全局表中剩下的未被释放的项,就是分配了内存但未被释放的调用了malloc的调用堆栈。
那么,如何获取一个进程malloc的分配情况呢?接下来,就看一下bionic库提供的API - get_malloc_leak_info()函数,该函数用于获取内存泄露信息。在分配内存时,记录下调用堆栈,在释放时清除它们。这样,剩下的就很有可能是产生内存泄露的地方。
- // Retrieve native heap information.
- //
- // "*info" is set to a buffer we allocate
- // "*overallSize" is set to the size of the "info" buffer
- // "*infoSize" is set to the size of a single entry
- // "*totalMemory" is set to the sum of all allocations we're tracking; does
- // not include heap overhead
- // "*backtraceSize" is set to the maximum number of entries in the back trace
- // =============================================================================
- // Exported for use by ddms.
- // =============================================================================
- extern "C" void get_malloc_leak_info(uint8_t** info, size_t* overallSize,
- size_t* infoSize, size_t* totalMemory, size_t* backtraceSize) {
- // Don't do anything if we have invalid arguments.
- if (info == NULL || overallSize == NULL || infoSize == NULL ||
- totalMemory == NULL || backtraceSize == NULL) {
- return;
- }
- *totalMemory = 0;
- ScopedPthreadMutexLocker locker(&g_hash_table.lock);
- if (g_hash_table.count == 0) {
- *info = NULL;
- *overallSize = 0;
- *infoSize = 0;
- *backtraceSize = 0;
- return;
- }
- HashEntry** list = static_cast<HashEntry**>(Malloc(malloc)(sizeof(void*) * g_hash_table.count));
- // Get the entries into an array to be sorted.
- size_t index = 0;
- for (size_t i = 0 ; i < HASHTABLE_SIZE ; ++i) {
- HashEntry* entry = g_hash_table.slots[i];
- while (entry != NULL) {
- list[index] = entry;
- *totalMemory = *totalMemory + ((entry->size & ~SIZE_FLAG_MASK) * entry->allocations);
- index++;
- entry = entry->next;
- }
- }
- // XXX: the protocol doesn't allow variable size for the stack trace (yet)
- *infoSize = (sizeof(size_t) * 2) + (sizeof(uintptr_t) * BACKTRACE_SIZE);
- *overallSize = *infoSize * g_hash_table.count;
- *backtraceSize = BACKTRACE_SIZE;
- // now get a byte array big enough for this
- *info = static_cast<uint8_t*>(Malloc(malloc)(*overallSize));
- if (*info == NULL) {
- *overallSize = 0;
- Malloc(free)(list);
- return;
- }
- qsort(list, g_hash_table.count, sizeof(void*), hash_entry_compare);
- uint8_t* head = *info;
- const size_t count = g_hash_table.count;
- for (size_t i = 0 ; i < count ; ++i) {
- HashEntry* entry = list[i];
- size_t entrySize = (sizeof(size_t) * 2) + (sizeof(uintptr_t) * entry->numEntries);
- if (entrySize < *infoSize) {
- // We're writing less than a full entry, clear out the rest.
- memset(head + entrySize, 0, *infoSize - entrySize);
- } else {
- // Make sure the amount we're copying doesn't exceed the limit.
- entrySize = *infoSize;
- }
- memcpy(head, &(entry->size), entrySize);
- head += *infoSize;
- }
- Malloc(free)(list);
- }
*info将指向在该函数中分配的整块内存,这些内存空间大小为overallSize;
整个空间若干小项组成,每项的大小为infoSize,这个小项的数据结构等同于HashEntry中自size成员开始的结构,即第一个成员是malloc分配的内存大小size,第二个成员是记录的分配次数allocations,即多次有着相同调用堆栈的计数,最后一项是backtrace,共32(BACKTRACE_SIZE)个指针值的空间。因此,*info指向的大内存块包含了共有overallSize/infoSize个小项。注意HashEntry中backtrace数组是按实际数量分配的,而此处则统一按32个分配空间,若不到32个,则后面的值置0;
totalMemory是malloc分配的所有内存的大小;
最后一个参数是backtraceSize,即32(BACKTRACE_SIZE)
该函数首先检查传递进来的参数的合法性,以及全局堆栈中是否有堆栈项。接着,查看全局堆栈表中有多少项,然后分配内存,构建数组list,用于保存指针,这些指针用于指向gHashTable中所有的HashEntry项,在遍历全局堆栈哈希表时,对数组list进行赋值,并顺便计算出已分配的但未释放的内存空间大小totalMemory(用于返回给调用者)。然后,对参数infoSize,overallSize,backtraceSize进行赋值,并为info分配大小为overallSize的内存空间。目前,list中保存的是所有的HashEntry项,先对list排序,接着,遍历数组list,把HashEntry中的size,allocations,backtraces[32]拷贝到info指向的内存中。info用于返回给调用者,至此,通过调用get_malloc_leak_info()函数,就可以得到进程的内存malloc堆栈。与其对应的还有一个get_malloc_leak_free()函数,用于释放info指向的内存空间。
总结
当程序运行结束时,一般来说,内存都应该释放,这时我们可以调用get_malloc_leak_info获取未被释放的调用堆栈项。原理上,这些就是内存泄露的地方。但实际情况可能是,在我们运行get_malloc_leak_info时,某些内存应该保留还不应该释放。
另外,我们有时要检查的进程是守护进程,不会退出。所以有些内存应该一直保持下去,不被释放。这时,我们可以选择某个状态的一个时刻来查看未释放的内存,比如在刚进入时的idle状态时的一个时刻,使用get_malloc_leak_info获取未释放的内存信息,然后在程序执行某些操作结束后返回Idle状态时,再次使用get_malloc_leak_info获取未释放的内存信息。两种信息对比,新多出来的调用堆栈项,就存在涉嫌内存泄露。