Cette page a été traduite par l'API Cloud Translation.

AdresseSanitizer

AddressSanitizer (ASan) est un outil rapide basé sur un compilateur pour détecter les bogues de mémoire dans le code natif.

ASan détecte :

Débordement/débordement de tampon de pile et de tas
Utilisation du tas après la libération
Utilisation de la pile en dehors du champ d'application
Double libre/sauvage libre

ASan fonctionne à la fois sur ARM 32 bits et 64 bits, plus x86 et x86-64. La surcharge du processeur d'ASan est d'environ 2x, la surcharge de la taille du code est comprise entre 50% et 2x et une surcharge de mémoire importante (en fonction de vos modèles d'allocation, mais de l'ordre de 2x).

Android 10 et la branche principale AOSP sur AArch64 prennent en charge l'ASan accéléré par le matériel (HWASan) , un outil similaire avec une surcharge de RAM inférieure et une plus grande gamme de bogues détectés. HWASan détecte l'utilisation de la pile après le retour, en plus des bugs détectés par ASan.

HWASan a une surcharge de CPU et de taille de code similaire, mais une surcharge de RAM beaucoup plus petite (15%). HWASan est non déterministe. Il n'y a que 256 valeurs de balises possibles, il y a donc une probabilité fixe de 0,4 % de manquer un bogue. HWASan n'a pas les zones rouges de taille limitée d'ASan pour détecter les débordements et la quarantaine à capacité limitée pour détecter l'utilisation après libération, donc peu importe pour HWASan l'ampleur du débordement ou depuis combien de temps la mémoire a été désallouée. Cela rend HWASan meilleur que ASan. Vous pouvez en savoir plus sur la conception de HWASan ou sur l'utilisation de HWASan sur Android .

ASan détecte les débordements de pile/globaux en plus des débordements de tas, et est rapide avec une surcharge de mémoire minimale.

Ce document décrit comment construire et exécuter des parties/toutes Android avec ASan. Si vous créez une application SDK/NDK avec ASan, consultez plutôt Address Sanitizer .

Désinfection des exécutables individuels avec ASan

Ajoutez LOCAL_SANITIZE:=address or sanitize: { address: true } à la règle de génération de l'exécutable. Vous pouvez rechercher dans le code des exemples existants ou trouver les autres désinfectants disponibles.

Lorsqu'un bogue est détecté, ASan imprime un rapport détaillé à la fois sur la sortie standard et sur logcat , puis plante le processus.

Nettoyage des bibliothèques partagées avec ASan

En raison du fonctionnement d'ASan, une bibliothèque construite avec ASan ne peut être utilisée que par un exécutable construit avec ASan.

Remarque : Dans les situations d'exécution où une bibliothèque ASan est chargée dans un processus incorrect, vous voyez des messages de symboles non résolus commençant par _asan ou _sanitizer .

Pour nettoyer une bibliothèque partagée utilisée dans plusieurs exécutables, qui ne sont pas tous construits avec ASan, vous avez besoin de deux copies de la bibliothèque. La méthode recommandée consiste à ajouter ce qui suit à Android.mk pour le module en question :

LOCAL_SANITIZE:=address
LOCAL_MODULE_RELATIVE_PATH := asan

Cela place la bibliothèque dans /system/lib/asan au lieu de /system/lib . Ensuite, lancez votre exécutable avec :

LD_LIBRARY_PATH=/system/lib/asan

Pour les démons système, ajoutez ce qui suit à la section appropriée de /init.rc ou /init.$device$.rc .

setenv LD_LIBRARY_PATH /system/lib/asan

Avertissement : Le paramètre LOCAL_MODULE_RELATIVE_PATH déplace votre bibliothèque vers /system/lib/asan , ce qui signifie que le sabotage et la reconstruction à partir de zéro signifient que la bibliothèque est absente de /system/lib et que l'image est probablement impossible à démarrer. C'est une limitation malheureuse du système de construction actuel. Ne cognez pas; à la place, utilisez make -j $N et adb sync .

Vérifiez que le processus utilise les bibliothèques de /system/lib/asan lorsqu'elles sont présentes en lisant /proc/$PID/maps . Si ce n'est pas le cas, vous devrez peut-être désactiver SELinux :

adb root
adb shell setenforce 0
# restart the process with adb shell kill $PID
# if it is a system service, or may be adb shell stop; adb shell start.

Meilleures traces de pile

ASan utilise un dérouleur rapide basé sur un pointeur de trame pour enregistrer une trace de pile pour chaque événement d'allocation et de désallocation de mémoire dans le programme. La plupart d'Android est construit sans pointeurs de cadre. En conséquence, vous n'obtenez souvent qu'une ou deux images significatives. Pour résoudre ce problème, reconstruisez la bibliothèque avec ASan (recommandé !) ou avec :

LOCAL_CFLAGS:=-fno-omit-frame-pointer
LOCAL_ARM_MODE:=arm

Ou définissez ASAN_OPTIONS=fast_unwind_on_malloc=0 dans l'environnement de processus. Ce dernier peut être très gourmand en CPU, selon la charge.

Symbolisation

Initialement, les rapports ASan contiennent des références aux décalages dans les fichiers binaires et les bibliothèques partagées. Il existe deux manières d'obtenir des informations sur le fichier source et la ligne :

Assurez-vous que le binaire llvm-symbolizer est présent dans /system/bin . llvm-symbolizer est construit à partir de sources dans third_party/llvm/tools/llvm-symbolizer .
Filtrez le rapport via le script external/compiler-rt/lib/asan/scripts/symbolize.py .

La deuxième approche peut fournir plus de données (c'est-à-dire les emplacements file:line ) en raison de la disponibilité des bibliothèques symbolisées sur l'hôte.

ASan dans les applications

ASan ne peut pas voir dans le code Java, mais il peut détecter les bogues dans les bibliothèques JNI. Pour cela, vous devez créer l'exécutable avec ASan, qui dans ce cas est /system/bin/app_process( 32|64 ) . Cela active ASan dans toutes les applications de l'appareil en même temps, ce qui représente une lourde charge, mais un appareil avec 2 Go de RAM devrait pouvoir gérer cela.

Ajoutez LOCAL_SANITIZE:=address à la règle de construction app_process dans frameworks/base/cmds/app_process . Ignorez la cible app_process__asan dans le même fichier pour le moment (si elle est toujours là au moment où vous lisez ceci).

Modifiez la section service zygote du fichier system/core/rootdir/init.zygote( 32|64 ).rc approprié pour ajouter les lignes suivantes au bloc de lignes en retrait contenant class main , également en retrait du même montant :

    setenv LD_LIBRARY_PATH /system/lib/asan:/system/lib
    setenv ASAN_OPTIONS allow_user_segv_handler=true

Build, adb sync, fastboot flash boot et redémarrage.

Utilisation de la propriété wrap

L'approche de la section précédente place ASan dans chaque application du système (en fait, dans chaque descendant du processus Zygote). Il est possible d'exécuter une seule (ou plusieurs) applications avec ASan, en échangeant une surcharge de mémoire pour un démarrage plus lent de l'application.

Cela peut être fait en démarrant votre application avec le wrap. propriété. L'exemple suivant exécute l'application Gmail sous ASan :

adb root
adb shell setenforce 0  # disable SELinux
adb shell setprop wrap.com.google.android.gm "asanwrapper"

Dans ce contexte, asanwrapper réécrit /system/bin/app_process en /system/bin/asan/app_process , qui est construit avec ASan. Il ajoute également /system/lib/asan au début du chemin de recherche dynamique de la bibliothèque. De cette façon, les bibliothèques instrumentées par ASan de /system/lib/asan sont préférées aux bibliothèques normales de /system/lib lors de l'exécution avec asanwrapper .

Si un bogue est trouvé, l'application se bloque et le rapport est imprimé dans le journal.

SANITIZE_TARGET

Android 7.0 et versions ultérieures incluent la prise en charge de la création simultanée de l'ensemble de la plate-forme Android avec ASan. (Si vous construisez une version supérieure à Android 9, HWASan est un meilleur choix.)

Exécutez les commandes suivantes dans la même arborescence de build.

make -j42
SANITIZE_TARGET=address make -j42

Dans ce mode, userdata.img contient des bibliothèques supplémentaires et doit également être flashé sur l'appareil. Utilisez la ligne de commande suivante :

fastboot flash userdata && fastboot flashall

Ceci construit deux ensembles de bibliothèques partagées : normal dans /system/lib (la première invocation make), et ASan-instrumented dans /data/asan/lib (la seconde invocation make). Les exécutables du second build écrasent ceux du premier build. Les exécutables instrumentés par ASan obtiennent un chemin de recherche de bibliothèque différent qui inclut /data/asan/lib avant /system/lib grâce à l'utilisation de /system/bin/linker_asan dans PT_INTERP .

Le système de génération encombre les répertoires d'objets intermédiaires lorsque la valeur $SANITIZE_TARGET a changé. Cela force une reconstruction de toutes les cibles tout en préservant les binaires installés sous /system/lib .

Certaines cibles ne peuvent pas être construites avec ASan :

Exécutables liés statiquement
LOCAL_CLANG:=false cibles
LOCAL_SANITIZE:=false n'est pas Sanitize pour SANITIZE_TARGET=address

Les exécutables comme ceux-ci sont ignorés dans la construction SANITIZE_TARGET , et la version de la première invocation make est laissée dans /system/bin .

Des bibliothèques comme celle-ci sont construites sans ASan. Ils peuvent contenir du code ASan des bibliothèques statiques dont ils dépendent.

AdresseSanitizer

Désinfection des exécutables individuels avec ASan

Nettoyage des bibliothèques partagées avec ASan

Meilleures traces de pile

Symbolisation

ASan dans les applications

Utilisation de la propriété wrap

SANITIZE_TARGET

Documentation à l'appui