MTK Sensor越界导致的系统重启问题分析报告

最新推荐文章于 2022-07-07 15:31:23 发布
最新推荐文章于 2022-07-07 15:31:23 发布
阅读量560 收藏
点赞数
文章标签: 移动开发 runtime c/c++
原文链接:http://www.cnblogs.com/YYPapa/p/6848618.html
版权
本文详述了一起由MTK Sensor内存越界导致的系统重启问题,通过分析tombstone文件和内存数据,定位到问题出现在sensors_poll_context_t::pollEvents()函数,其中nb = sensor->readEvents(data, count);可能导致内存越界。解决方案涉及到对循环读取事件的保护,防止返回值异常导致的内存覆盖。" 115827555,10540907,MATLAB实现Alpha稳定分布,"['MATLAB编程', '数值计算', '统计分布', '金融数学']
摘要由CSDN通过智能技术生成

【NE现场】

打开12306应用后做一些操作,和容易出现系统重启。dropbox中有好多system_server的tombstone文件:

./SYSTEM_TOMBSTONE@1449222028760.txt:12:pid: 10466, tid: 10493, name: android.bg  >>> system_server <<<
./SYSTEM_TOMBSTONE@1449455808867.txt:12:pid: 5992, tid: 6053, name: AlarmManager  >>> system_server <<<
./SYSTEM_TOMBSTONE@1449222028730.txt:12:pid: 10466, tid: 10494, name: ActivityManager  >>> system_server <<<
./SYSTEM_TOMBSTONE@1449455808843.txt:12:pid: 5992, tid: 6014, name: SensorService  >>> system_server <<<
./SYSTEM_TOMBSTONE@1449457509508.txt:12:pid: 11012, tid: 11887, name: Binder_E  >>> system_server <<<
./SYSTEM_TOMBSTONE@1449229865122.txt:12:pid: 18238, tid: 18260, name: SensorService  >>> system_server <<<

可以看到每次crash的线程都不一样!甚至backtrace也不一样:

@SYSTEM_TOMBSTONE@1449222028760.txt
pid: 10466, tid: 10493, name: android.bg  >>> system_server <<<
signal 11 (SIGSEGV), code 1 (SEGV_MAPERR), fault addr 0xa00000070
...
backtrace:
    #00 pc 0000000000029f70  /system/lib64/libbinder.so (android::IPCThreadState::flushCommands()+4)
    #01 pc 0000000000009c60  /data/dalvik-cache/arm64/system@framework@boot.oat
@SYSTEM_TOMBSTONE@1449455808867.txt
pid: 5992, tid: 6053, name: AlarmManager  >>> system_server <<<
signal 11 (SIGSEGV), code 1 (SEGV_MAPERR), fault addr 0x553d89e3c0
...
backtrace:
    #00 pc 0000000000030bc4  /system/lib64/libbinder.so (int android::Parcel::writeAligned<int>(int)+80)
    #01 pc 00000000000d3e0c  /system/lib64/libandroid_runtime.so
    #02 pc 0000000000109630  /data/dalvik-cache/arm64/system@framework@boot.oat
@SYSTEM_TOMBSTONE@1449222028730.txt
pid: 10466, tid: 10494, name: ActivityManager  >>> system_server <<<
signal 7 (SIGBUS), code 1 (BUS_ADRALN), fault addr 0x7f0000000a
...
backtrace:
    #00 pc 0000007f0000000a  <unknown>
@SYSTEM_TOMBSTONE@1449455808843.txt
pid: 5992, tid: 6014, name: SensorService  >>> system_server <<<
signal 11 (SIGSEGV), code 1 (SEGV_MAPERR), fault addr 0xa00000068
backtrace:
    #00 pc 000000000000f508  /system/lib64/libsensorservice.so
    #01 pc 0000000000010e90  /system/lib64/libsensorservice.so
    #02 pc 00000000000179c0  /system/lib64/libutils.so (android::Thread::_threadLoop(void*)+188)
    #03 pc 000000000009277c  /system/lib64/libandroid_runtime.so (android::AndroidRuntime::javaThreadShell(void*)+96)
    #04 pc 0000000000017224  /system/lib64/libutils.so
    #05 pc 000000000001cbb0  /system/lib64/libc.so (__pthread_start(void*)+52)    #06 pc 0000000000019044  /system/lib64/libc.so (__start_thread+16)
@SYSTEM_TOMBSTONE@1449457509508.txt
pid: 11012, tid: 11887, name: Binder_E  >>> system_server <<<
signal 11 (SIGSEGV), code 1 (SEGV_MAPERR), fault addr 0x0
backtrace:
    #00 pc 0000000000014070  /system/lib64/libutils.so (android::RefBase::decStrong(void const*) const+236)
    #01 pc 000000000002f694  /system/lib64/libbinder.so (android::Parcel::releaseObjects()+84)
    #02 pc 000000000002f6e8  /system/lib64/libbinder.so (android::Parcel::freeDataNoInit()+60)
    #03 pc 000000000002f744  /system/lib64/libbinder.so (android::Parcel::ipcSetDataReference(unsigned char const*, unsigned long, unsigned long long const*, unsigned long, void (*)(android::Parcel*, unsigned char const*, unsigned long, unsigned long long const*, unsigned long, void*), void*)+40)
    #04 pc 000000000002a44c  /system/lib64/libbinder.so (android::IPCThreadState::executeCommand(int)+700)
    #05 pc 000000000002a6c8  /system/lib64/libbinder.so (android::IPCThreadState::getAndExecuteCommand()+92)
    #06 pc 000000000002a73c  /system/lib64/libbinder.so (android::IPCThreadState::joinThreadPool(bool)+76)
    #07 pc 0000000000031d68  /system/lib64/libbinder.so
    #08 pc 00000000000179c0  /system/lib64/libutils.so (android::Thread::_threadLoop(void*)+188)
    #09 pc 000000000009277c  /system/lib64/libandroid_runtime.so (android::AndroidRuntime::javaThreadShell(void*)+96)
    #10 pc 0000000000017224  /system/lib64/libutils.so
    #11 pc 000000000001cbb0  /system/lib64/libc.so (__pthread_start(void*)+52)
    #12 pc 0000000000019044  /system/lib64/libc.so (__start_thread+16)
@SYSTEM_TOMBSTONE@1449229865122.txt
pid: 18238, tid: 18260, name: SensorService  >>> system_server <<<
signal 11 (SIGSEGV), code 1 (SEGV_MAPERR), fault addr 0x7f3d798d38
backtrace:
    #00 pc 000000000000dbc0  /system/lib64/libsensorservice.so
    #01 pc 000000000000ed44  /system/lib64/libsensorservice.so
    #02 pc 000000000000f3a8  /system/lib64/libsensorservice.so
    #03 pc 0000000000011078  /system/lib64/libsensorservice.so
    #04 pc 00000000000179c0  /system/lib64/libutils.so (android::Thread::_threadLoop(void*)+188)
    #05 pc 000000000009277c  /system/lib64/libandroid_runtime.so (android::AndroidRuntime::javaThreadShell(void*)+96)
    #06 pc 0000000000017224  /system/lib64/libutils.so
    #07 pc 000000000001cbb0  /system/lib64/libc.so (__pthread_start(void*)+52)
    #08 pc 0000000000019044  /system/lib64/libc.so (__start_thread+16)

这种backtrace都不一样的问题很可能就是内存问题了,所谓内存问题指的就是野指针或内存越界。

 

【问题分析】

分析内存问题的第一步就是排查NE现场寄存器指向的内存值附近有没有规律。比如:

@SYSTEM_TOMBSTONE@1449222028760.txt
pid: 10466, tid: 10493, name: android.bg  >>> system_server <<<
signal 11 (SIGSEGV), code 1 (SEGV_MAPERR), fault addr 0xa00000070
    x0   000000557e996710  x1   0000000a00000068  x2   0000007f79c31ba0  x3   0000000000000000
    x4   000000006fc46a80  x5   0000000000000001  x6   0000000000000000  x7   000000557e4f527c
    x8   0000000000000000  x9   000000557e4f5278  x10  0000000000000000  x11  0000000000000000
    x12  0000000000000000  x13  0000000000430000  x14  0000000000550000  x15  0000000000430000
    x16  0000007f8f640320  x17  0000007f8eff4f6c  x18  0000007f8c1d0470  x19  000000000000000a
    x20  0000007f8f590e9c  x21  000000557e9b14d0  x22  000000001354bf40  x23  000000006fdf61f0
    x24  0000007f79c31b20  x25  0000000012da2040  x26  0000000000000000  x27  00000000000f52be
    x28  0000000000000000  x29  0000000000358c82  x30  0000000072639c64
    sp   0000007f79c31680  pc   0000007f8eff4f70  pstate 0000000080000000
backtrace:
    #00 pc 0000000000029f70  /system/lib64/libbinder.so (android::IPCThreadState::flushCommands()+4)
    #01 pc 0000000000009c60  /data/dalvik-cache/arm64/system@framework@boot.oat

查看#00层代码:

$ aarch64-linux-android-objdump -D symbols/system/lib64/libbinder.so
0000000000029f6c <_ZN7android14IPCThreadState13flushCommandsEv>:
   29f6c:       f9400001        ldr     x1, [x0]
=> 29f70:       b9400822        ldr     w2, [x1,#8]
   29f74:       6b1f005f        cmp     w2, wzr
   29f78:       5400006d        b.le    29f84 <_ZN7android14IPCThreadState13flushCommandsEv+0x18>
   29f7c:       52800001        mov     w1, #0x0                        // #0
   29f80:       17ffd9ec        b       20730 <_ZN7android14IPCThreadState14talkWithDriverEb@plt>
   29f84:       d65f03c0        ret

x1值是x0地址中取来的,0x0000000a00000068显然不是一个合法地址。可能是x0地址被覆盖了。

查看x0附近的内存值:

memory near x0:
    000000557e9966f0 0000007f8f01e748 0000000000000000
    000000557e996700 0000000000000000 0000000000000007
    000000557e996710 0000000a00000068 0000007f0000000a
    000000557e996720 00000438234cda2a 3de6de183dc20f78
    000000557e996730 000000003d9e2680 0000000000000008
    000000557e996740 0000000000000000 0000000000000000
    000000557e996750 0000000000000000 0000000000000000
    000000557e996760 0000000000010001 0000000000000000
    000000557e996770 000000557e996840 0000000a00000068
    000000557e996780 000000550000000a 000004382647caaa
    000000557e996790 3de6de183dc20f78 000000003d9e2680
    000000557e9967a0 0000000000000000 0000000000000000
    000000557e9967b0 0000000000000000 0000000000000000
    000000557e9967c0 0000007f8e010001 0000000000000000
    000000557e9967d0 0000000000000000 000028e200000040
    000000557e9967e0 0000000a00000068 000000550000000a

发现一个明显的规律:

0x0000000a00000068出现了多次,而且间隔都是13*8=104字节,每个块的结构都很相似,很可能这个数据是个结构体数组。

 

继续分析下一个tombstone:

@SYSTEM_TOMBSTONE@1449455808867.txt
pid: 5992, tid: 6053, name: AlarmManager  >>> system_server <<<
signal 11 (SIGSEGV), code 1 (SEGV_MAPERR), fault addr 0x553d89e3c0
    x0   00000055837f4dc0  x1   0000000000000004  x2   0000000000000440  x3   0000000000020000
    x4   0000000000000444  x5   000000553d89df80  x6   0000000000000000  x7   000000558336b27c
    x8   0000000000000000  x9   000000558336b278  x10  0000000000000000  x11  0000000000000000
    x12  0000000000000000  x13  0000000000430000  x14  0000000000550000  x15  0000000000430000
    x16  0000007f7e502478  x17  0000007f7e4dbb74  x18  0000007f7b6b0470  x19  00000055837f4dc0
    x20  000000008080005c  x21  0000005583838590  x22  000000008080005c  x23  000000006fd15b08
    x24  000000008080005c  x25  000000003000003a  x26  0000000012d5fe80  x27  0000000012c47400
    x28  000000000000005c  x29  0000007f68090bd0  x30  0000007f7ea66e10
    sp   0000007f68090bd0  pc   0000007f7e4dbbc4  pstate 0000000080000000

 backtrace:
    #00 pc 0000000000030bc4  /system/lib64/libbinder.so (int android::Parcel::writeAligned<int>(int)+80)
    #01 pc 00000000000d3e0c  /system/lib64/libandroid_runtime.so
    #02 pc 0000000000109630  /data/dalvik-cache/arm64/system@framework@boot.oat

查看#00层代码:

$ aarch64-linux-android-objdump -D symbols/system/lib64/libbinder.so
0000000000030b74 <_ZN7android6Parcel12writeAlignedIiEEiT_>:
   30b74:       a9be7bfd        stp     x29, x30, [sp,#-32]!
   30b78:       910003fd        mov     x29, sp
   30b7c:       a90153f3        stp     x19, x20, [sp,#16]
   30b80:       aa0003f3        mov     x19, x0
   30b84:       2a0103f4        mov     w20, w1
   30b88:       f9401002        ldr     x2, [x0,#32]
   30b8c:       f9400c03        ldr     x3, [x0,#24]
   30b90:       91001044        add     x4, x2, #0x4
   30b94:       eb03009f        cm
最低0.47元/天 解锁文章
weixin_34124939
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安卓Native崩溃定位
xarqdmt的博客
04-23 822
安卓APP开发人员使用C或C++开发部分程序逻辑时容易出现进程直接崩溃,因此要求我们能分析C/C++崩溃日志和定位问题。本文介绍如何分析Native崩溃日志来确定C/C++代码出错的位置和原因。 Native代码示例及崩溃日志 这是一段可以引起崩溃的C代码,当调用crashStack(4)时,可以触发Native层的崩溃,一般情况下崩溃日志的格式如下: 其中...
记一次设备不断重启的排查经历
逸兴遄飞的专栏
11-27 677
设备不断重启排查记问题现象排查过程问题结论&amp;amp;解决方案排查总结鸣谢&amp;amp;参考资料 实际上事情已经过去好几天了,最近稍微松懈一些,决定对之前遇到的一个奇怪问以及题排查过程记录一下。 问题现象 设备起来,用uptime查看设备的负载不断增高,设备24核,启动后正常的负载18左右。 负载不断增高,达到160左右设备重启,周而复始。 排查过程 负载很高时候free -m查看设备的剩余内...
MTK 内存分析
SeventhD7
07-07 1266
MTK 内存问题
Android Sensor驱动代码分析_基于MTK平台_mtk_android_mtkandroid_android开发_se
09-11
通过对《Android Sensor驱动代码分析_基于MTK平台》这份文档的深入学习,开发者可以了解如何针对MTK平台编写和优化Sensor驱动,从而更好地理解Android系统与硬件之间的交互,提高应用程序的稳定性和效率。...
Android系统重启问题的归类
11-05
本文将围绕“Android系统重启问题的归类”这一主题,详细探讨不同类型的重启原因以及如何收集和分析相关数据。 首先,当Android设备发生异常重启,特别是kernel层面的重启,会在手机的/data/aee_exp目录下生成一个...
MTK平台下的sensor框架分析.doc
06-12
本文主要围绕MTK平台下的传感器框架进行分析,探讨其在Android系统中的工作原理和流程。 首先,Android系统的层次结构包括应用层、框架层、硬件抽象层(HAL)和Linux驱动层。应用层是用户直接交互的部分,通常以...
MTK_sensor_driver_debug.rar_MTK SENSOR__MTK 6575 M-sensor_MTK D
最新发布
09-23
本资料主要聚焦于MTK(MediaTek)平台的传感器调试,特别是针对MTK 6575型号中的M-sensor。本文档详细阐述了MTK传感器驱动的调试过程,为开发者提供深入的理解和实用技巧。 MTK 6575是一款广泛应用的智能手机芯片,...
Tombstone 实例分析 2
xnew2008的专栏
04-22 2338
netd crash 当Wifi和3G进行切换的时候,netd crash,概率 10%,出现这样问题关键是怎么定位问题?solution一般比较简单。 platform: qualcomm 8225     pid: 156, tid: 362, name: netd  >>> /system/bin/netd thread: netd signal 11 (SIGSEGV),
Backtrace 分析
qq_30427341的博客
06-25 5240
1. Java Backtrace从Java Backtrace, 我们可以知道当时Process 的虚拟机执行状态. Java Backtrace 依靠SignalCatcher 来抓取.Google default: SignalCatcher catchs SIGQUIT(3), and then print the java backtrace to /data/anr/trace.t...
android system_server中的dump_Android 10.0系统启动之SystemServer进程(二)
weixin_36256978的博客
12-29 189
感谢您的阅读与点赞!欢迎点击右上角关注:「大猫玩程序」微信公众号:大猫玩程序上一节讲解了SystemServer的架构以及被Zygote 进程fork的流程,这一节重点讲解SystemServer启动后做了什么, 加载了哪些服务。Android 10.0系统源码取经之路——启动篇Android系统架构浅析-「Android取经之路」Android是怎么启动的-「Android取经之路」Androi...
Android native crash解析
张晖的专栏
08-15 4772
当某个进程发生crash时会出现下面的错误日志,它可能出现在logcat日志或者/data/tombstones目录下的tombstone文件中 --------- beginning of crash 10-24 00:29:11.558 8660 8934 F libc : Fatal signal 11 (SIGSEGV), code 1, fault addr 0x1c in tid 8934 (MainThread) 10-24 00:29:11.620 468 468 F DE
Android APP native 崩溃分析之令人困惑的 backtrace
weixin_33862041的博客
06-01 3639
原文地址:caikelun.io/post/2019-0… 完美无缺的代码逻辑,一定能产生完美无缺的程序吗?答案是否定的。从软件的层面来看,也许只有二进制才永远不会欺骗你。 现象 近期,业务方反馈了一个奇怪的崩溃问题,认为信息不足,无法解决。 Signal: 11 (SIGSEGV), Code: 1 (SEGV_MAPERR), fault addr 0x1 r0 993ff520 r1 ...
(九)GDBdebug调试技术——backtrace无法正确显示(栈破坏)
喜欢打篮球的普通人
11-18 6355
文章目录1.问题内容2.解决办法3.查看寄存器和栈 1.问题内容 以多线程应用程序中由于线程间的冲突导致的栈破坏为例,讲解调试方法。由于存在栈破坏,可以说backtrace信息并不完整 问题:某个进行线程间通信的程序中含有bug,生成了coredump文件 2.解决办法 如果出现了以下的bt信息 (gdb)bt #0 0x00000003b4869ac80 in nanossleep ()...
MTK平台 Sensor Hub配置(以stk3x3x光感为例)(Android 9.0)
Healer
03-18 7056
Sensor Hub 配置 alps\mediateksample\$PROJECT\ProjectConfig.mk MTK_SENSOR_SUPPORT=yes//必须配置 MTK_SENSOR_HUB_SUPPORT=yes//开启sensor hub 必须配置,关闭sensor hub的话配 置为空即可。 CUSTOM_KERNEL_SENSORHUB= yes //开启sens...
signature=a3f2e15a5fd7c6b48a95441dea30fd72,encrypt-loader/yarn.lock at d37a49a9eed37443cd4c87c9e5847...
热门推荐
weixin_39980184的博客
05-30 2万+
# THIS IS AN AUTOGENERATED FILE. DO NOT EDIT THIS FILE DIRECTLY.# yarn lockfile v1"@babel/cli@^7.2.3":version "7.2.3"resolved "http://npm.zymreal.com/@babel%2fcli/-/cli-7.2.3.tgz#1b262e42a3e959d28ab3d...
MTK ALPS 项目定制Android系统常见问题解答
"MTK ALPS FAQ 是一个与MediaTek ALPS项目相关的技术问答文档,主要针对基于MTK ALPS定制的Android系统方法提供解答。文档可能包含了在开发、调试或维护过程中遇到的问题及其解决方案。ALPS是MediaTek的一个平台,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值