AddressSanitizer (ASan) è uno strumento rapido basato su compilatore per rilevare bug di memoria nel codice nativo.
ASan rileva:
- Overflow/underflow del buffer di stack e heap
- Heap usa dopo gratis
- Stack utilizza al di fuori dell'ambito
- Doppio libero/selvaggio libero
ASan funziona sia su ARM a 32 bit che a 64 bit, oltre a x86 e x86-64. L'overhead della CPU di ASan è di circa 2x, l'overhead della dimensione del codice è compreso tra il 50% e il 2x e un sovraccarico di memoria elevato (dipende dai modelli di allocazione, ma nell'ordine di 2x).
Android 10 e il ramo principale AOSP su AArch64 supportano ASan con accelerazione hardware (HWASan) , uno strumento simile con un sovraccarico della RAM inferiore e una gamma più ampia di bug rilevati. HWASan rileva l'utilizzo dello stack dopo la restituzione, oltre ai bug rilevati da ASan.
HWASan ha un sovraccarico di CPU e dimensioni del codice simili, ma un sovraccarico di RAM molto inferiore (15%). HWASan non è deterministico. Ci sono solo 256 possibili valori di tag, quindi c'è una probabilità fissa dello 0,4% di perdere qualsiasi bug. HWASan non ha le zone rosse di dimensioni limitate di ASan per rilevare gli overflow e la quarantena a capacità limitata per rilevare l'utilizzo dopo il libero, quindi non importa a HWASan quanto sia grande l'overflow o quanto tempo fa la memoria è stata deallocata. Questo rende HWASan migliore di ASan. Puoi leggere di più sul design di HWASan o sull'uso di HWASan su Android .
ASan rileva gli overflow dello stack/globali oltre agli overflow dell'heap ed è veloce con un sovraccarico minimo di memoria.
Questo documento descrive come creare ed eseguire parti/tutto di Android con ASan. Se stai creando un'app SDK/NDK con ASan, consulta invece Address Sanitizer .
Sanificazione dei singoli eseguibili con ASan
Aggiungi LOCAL_SANITIZE:=address o sanitize: { address: true } alla regola di compilazione per l'eseguibile. Puoi cercare nel codice esempi esistenti o trovare gli altri disinfettanti disponibili.
Quando viene rilevato un bug, ASan stampa un rapporto dettagliato sia sull'output standard che su logcat e quindi arresta in modo anomalo il processo.
Sanificazione biblioteche condivise con ASan
A causa del modo in cui funziona ASan, una libreria costruita con ASan può essere utilizzata solo da un eseguibile creato con ASan.
Per disinfettare una libreria condivisa utilizzata in più eseguibili, non tutti creati con ASan, sono necessarie due copie della libreria. Il modo consigliato per farlo è aggiungere quanto segue ad Android.mk per il modulo in questione:
LOCAL_SANITIZE:=address LOCAL_MODULE_RELATIVE_PATH := asan
Questo mette la libreria in /system/lib/asan invece di /system/lib . Quindi, esegui il tuo eseguibile con:
LD_LIBRARY_PATH=/system/lib/asan
Per i demoni di sistema, aggiungi quanto segue alla sezione appropriata di /init.rc o /init.$device$.rc .
setenv LD_LIBRARY_PATH /system/lib/asan
Verifica che il processo stia utilizzando le librerie da /system/lib/asan quando presenti leggendo /proc/$PID/maps . In caso contrario, potrebbe essere necessario disabilitare SELinux:
adb rootadb shell setenforce 0# restart the process with adb shell kill $PID # if it is a system service, or may be adb shell stop; adb shell start.
Tracce di impilamento migliori
ASan utilizza un veloce svolgitore basato su frame pointer per registrare una traccia dello stack per ogni allocazione di memoria e evento di deallocazione nel programma. La maggior parte di Android è costruita senza puntatori frame. Di conseguenza, ottieni spesso solo uno o due frame significativi. Per risolvere questo problema, ricostruisci la libreria con ASan (consigliato!) o con:
LOCAL_CFLAGS:=-fno-omit-frame-pointer LOCAL_ARM_MODE:=arm
Oppure impostare ASAN_OPTIONS=fast_unwind_on_malloc=0 nell'ambiente del processo. Quest'ultimo può richiedere molto CPU, a seconda del carico.
Simbolizzazione
Inizialmente, i report ASan contengono riferimenti agli offset nei file binari e nelle librerie condivise. Esistono due modi per ottenere informazioni sul file di origine e sulla riga:
- Assicurati che il binario
llvm-symbolizersia presente in/system/bin.llvm-symbolizerè compilato da sorgenti inthird_party/llvm/tools/llvm-symbolizer. - Filtra il report tramite lo
external/compiler-rt/lib/asan/scripts/symbolize.py.
Il secondo approccio può fornire più dati (ovvero file:line ) a causa della disponibilità di librerie simbolizzate sull'host.
ASan nelle app
ASan non può vedere nel codice Java, ma può rilevare bug nelle librerie JNI. Per questo, devi compilare l'eseguibile con ASan, che in questo caso è /system/bin/app_process( 32|64 ) . Ciò abilita ASan in tutte le app sul dispositivo contemporaneamente, il che è un carico pesante, ma un dispositivo con 2 GB di RAM dovrebbe essere in grado di gestirlo.
Aggiungi LOCAL_SANITIZE:=address alla regola di compilazione app_process in frameworks/base/cmds/app_process . Ignora la destinazione app_process__asan nello stesso file per ora (se è ancora lì nel momento in cui leggi questo).
Modificare la sezione service zygote del file system/core/rootdir/init.zygote( 32|64 ).rc appropriato per aggiungere le seguenti righe al blocco di righe rientrate contenente class main , anch'essa rientrata della stessa quantità:
setenv LD_LIBRARY_PATH /system/lib/asan:/system/lib
setenv ASAN_OPTIONS allow_user_segv_handler=true
Compila, sincronizzazione adb, avvio flash con avvio rapido e riavvio.
Utilizzo della proprietà wrap
L'approccio nella sezione precedente inserisce ASan in ogni app del sistema (in realtà, in ogni discendente del processo Zigote). È possibile eseguire solo una (o più) app con ASan, scambiando un po' di sovraccarico di memoria per un avvio più lento dell'app.
Questo può essere fatto avviando l'app con il wrap. proprietà. L'esempio seguente esegue l'app Gmail in ASan:
adb rootadb shell setenforce 0 # disable SELinuxadb shell setprop wrap.com.google.android.gm "asanwrapper"
In questo contesto, asanwrapper riscrive /system/bin/app_process in /system/bin/asan/app_process , che è compilato con ASan. Aggiunge anche /system/lib/asan all'inizio del percorso di ricerca della libreria dinamica. In questo modo le librerie strumentate da ASan da /system/lib/asan sono preferite alle normali librerie in /system/lib quando vengono eseguite con asanwrapper .
Se viene rilevato un bug, l'app si arresta in modo anomalo e il rapporto viene stampato nel registro.
SANITIZE_TARGET
Android 7.0 e versioni successive includono il supporto per la creazione dell'intera piattaforma Android con ASan in una sola volta. (Se stai creando una versione superiore ad Android 9, HWASan è una scelta migliore.)
Esegui i seguenti comandi nello stesso albero di compilazione.
make -j42SANITIZE_TARGET=address make -j42
In questa modalità, userdata.img contiene librerie aggiuntive e deve essere anche flashato sul dispositivo. Utilizzare la seguente riga di comando:
fastboot flash userdata && fastboot flashall
Questo crea due set di librerie condivise: normale in /system/lib (la prima chiamata make) e ASan-instrumented in /data/asan/lib (la seconda chiamata make). Gli eseguibili della seconda build sovrascrivono quelli della prima build. Gli eseguibili strumentati da ASan ottengono un percorso di ricerca della libreria diverso che include /data/asan/lib prima /system/lib attraverso l'uso di /system/bin/linker_asan in PT_INTERP .
Il sistema di compilazione blocca le directory degli oggetti intermedi quando il valore $SANITIZE_TARGET è cambiato. Ciò forza una ricostruzione di tutte le destinazioni preservando i binari installati in /system/lib .
Alcuni target non possono essere costruiti con ASan:
- Eseguibili collegati staticamente
-
LOCAL_CLANG:=falseobiettivi -
LOCAL_SANITIZE:=falsenon sono ASan'd perSANITIZE_TARGET=address
Eseguibili come questi vengono ignorati nella build SANITIZE_TARGET e la versione dalla prima chiamata make viene lasciata in /system/bin .
Biblioteche come questa sono costruite senza ASan. Possono contenere del codice ASan dalle librerie statiche da cui dipendono.