Понимание отчетов HWAsan

Когда инструмент HWASan обнаруживает ошибку памяти, процесс завершается с помощью abort(), и отчет выводится в потоки stderr и logcat. Как и все собственные сбои на Android, ошибки HWASan можно найти в /data/tombstones .

По сравнению с обычными сбоями HWASan содержит дополнительную информацию в поле «Сообщение о прекращении» в верхней части надгробия. См. пример сбоя на основе кучи ниже (ошибки стека см. в примечании ниже для разделов, посвященных конкретному стеку).

Пример отчета

*** *** *** *** *** *** *** *** *** *** *** *** *** *** *** ***
Build fingerprint: 'google/flame_hwasan/flame:Tiramisu/MASTER/7956676:userdebug/dev-keys'
Revision: 'DVT1.0'
ABI: 'arm64'
Timestamp: 2019-04-24 01:13:22+0000
pid: 11154, tid: 11154, name: sensors@1.0-ser  >>> /vendor/bin/hw/android.hardware.sensors@1.0-service <<<
signal 6 (SIGABRT), code -1 (SI_QUEUE), fault addr --------
Abort message: '==9569==ERROR: HWAddressSanitizer: tag-mismatch on address 0x00433ae20045 at pc 0x00623ae2a9cc
READ of size 1 at 0x00433ae20045 tags: 5b/83 (ptr/mem) in thread T0
    #0 0x7240450c68  (/system/lib64/vndk-sp-R/libcutils.so+0x8c68)
    #1 0x723dffd490  (/vendor/lib64/sensors.ssc.so+0x34490)
    #2 0x723e0126e0  (/vendor/lib64/sensors.ssc.so+0x496e0)
[...]

[0x00433ae20040,0x00433ae20060) is a small unallocated heap chunk; size: 32 offset: 5

Cause: use-after-free
0x00433ae20045 is located 5 bytes inside of 10-byte region [0x00433ae20040,0x00433ae2004a)
freed by thread T0 here:
    #0 0x72404d1b18  (/system/lib64/libclang_rt.hwasan-aarch64-android.so+0x10b18)
    #1 0x723af23040  (/vendor/lib64/libgralloccore.so+0x5040)
    #2 0x723af23fa4  (/vendor/lib64/libgralloccore.so+0x5fa4)
[...]

previously allocated here:
    #0 0x72404ce554  (/system/lib64/libclang_rt.hwasan-aarch64-android.so+0xd554)
    #1 0x7240115654  (/apex/com.android.runtime/lib64/bionic/libc.so+0x43654)
    #2 0x7240450ac8  (/system/lib64/vndk-sp-R/libcutils.so+0x8ac8)
[...]

hwasan_dev_note_heap_rb_distance: 1 1023
hwasan_dev_note_num_matching_addrs: 0
hwasan_dev_note_num_matching_addrs_4b: 0
Thread: T0 0x006a00002000 stack: [0x007fc1064000,0x007fc1864000) sz: 8388608 tls: [0x00737702ffc0,0x007377033000)
Memory tags around the buggy address (one tag corresponds to 16 bytes):
  0x006f33ae1f80: 00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
  0x006f33ae1f90: 00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
  0x006f33ae1fa0: 00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
  0x006f33ae1fb0: 00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
  0x006f33ae1fc0: 00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
  0x006f33ae1fd0: 00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
  0x006f33ae1fe0: 00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
  0x006f33ae1ff0: 00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
=>0x006f33ae2000: 08  00  08  00 [83] 00  00  00  00  00  00  00  00  00  00  00
  0x006f33ae2010: 00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
  0x006f33ae2020: 00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
  0x006f33ae2030: 00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
  0x006f33ae2040: 00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
  0x006f33ae2050: 00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
  0x006f33ae2060: 00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
  0x006f33ae2070: 00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
  0x006f33ae2080: 00  00  00  00  00  00  00  00  00  00  00  00  00  00  00  00
Tags for short granules around the buggy address (one tag corresponds to 16 bytes):
  0x006f33ae1ff0: ..  ..  ..  ..  ..  ..  ..  ..  ..  ..  ..  ..  ..  ..  ..  ..
=>0x006f33ae2000: 72  ..  d0  .. [..] ..  ..  ..  ..  ..  ..  ..  ..  ..  ..  ..
  0x006f33ae2010: ..  ..  ..  ..  ..  ..  ..  ..  ..  ..  ..  ..  ..  ..  ..  ..
See https://clang.llvm.org/docs/HardwareAssistedAddressSanitizerDesign.html#short-granules for a description of short granule tags
Registers where the failure occurred (pc 0x00623ae2a9cc):
    x0  0000007fc18623ec  x1  5b0000433ae20045  x2  0000000000000013  x3  ffffffffffffffff
    x4  ffffffffffffffff  x5  0000007fc1861da3  x6  6f7420676e696f47  x7  45522061206f6420
    x8  0000000000000000  x9  0200006b00000000  x10 00000007fc18623f  x11 5b0000433ae20040
    x12 6f64206f7420676e  x13 0a44414552206120  x14 0000000000000010  x15 ffffffffffffffff
    x16 000000737169ac94  x17 0000000000000007  x18 0000007377bd8000  x19 0000007fc1862498
    x20 0200006b00000000  x21 0000007fc18624a8  x22 0000000000000001  x23 0000000000000000
    x24 0000000000000000  x25 0000000000000000  x26 0000000000000000  x27 0000000000000000
    x28 0000000000000000  x29 0000007fc1862410  x30 000000623ae2a9d0   sp 0000007fc18623d0
SUMMARY: HWAddressSanitizer: tag-mismatch (/system/lib64/vndk-sp-R/libcutils.so+0x8c68)

[ … regular crash dump follows …]

Это очень похоже на отчет AddressSanitizer . В отличие от них, почти все ошибки HWASan являются «несоответствием тегов», то есть доступом к памяти, при котором тег-указатель не соответствует соответствующему тегу памяти. Это может быть один из

• доступ за пределами границ стека или кучи
• использовать после освобождения в куче
• использовать после возврата в стек

Разделы

Пояснения к каждому из разделов отчета HWASan приведены ниже:

<address> is located N bytes inside of M-byte region [<start>, <end>)
  freed by thread T0 here:

<address> is located N bytes to the right of M-byte region [<start>, <end>)
  allocated here:

<address> is located N bytes inside of M-byte region [<start>, <end>)
  freed by thread T0 here:

tags: ad/5c (ptr/mem)
[...]
Memory tags around the buggy address (one tag corresponds to 16 bytes):
  0x006f33ae1ff0: 0e  0e  0e  57  20  20  20  20  20  2e  5e  5e  5e  5e  5e  b5
=>0x006f33ae2000: f6  f6  f6  f6  f6  4c  ad  ad  ad  ad  ad  ad [5c] 5c  5c  5c
  0x006f33ae2010: 5c  04  2e  2e  2e  2e  2e  2f  66  66  66  66  66  80  6a  6a
Tags for short granules around the buggy address (one tag corresponds to 16 bytes):
  0x006f33ae1ff0: ab  52  eb  ..  ..  ..  ..  ..  ..  ..  ..  ..  ..  ..  ..  ..
=>0x006f33ae2000: ..  ..  ..  ..  ..  ..  ..  ..  ..  ..  ..  .. [..] ..  ..  ..
  0x006f33ae2010: ..  5c  ..  ..  ..  ..  ..  ..  ..  ..  ..  ..  ..  ..  ..  ..

Символизация

Чтобы получить имена функций и номера строк в трассировках стека (и получить имена переменных для ошибок использования после области действия), необходим этап автономной символизации.

Первоначальная настройка: установите llvm-symbolizer.

Для символизации в вашей системе должен быть установлен llvm-symbolizer, доступный из $PATH. В Debian вы можете установить его с помощью sudo apt install llvm .

Получить файлы символов

Для символизации нам нужны необработанные двоичные файлы, содержащие символы. Где их можно найти, зависит от типа сборки:

Для локальных сборок файлы символов можно найти в out/target/product/<product>/symbols/ .

Для сборок AOSP (например, прошитых с Flashstation ) сборки можно найти на Android CI . В «Артефактах» сборки будет файл `${PRODUCT}-symbols-${BUILDID}.zip`.

Для внутренних сборок вашей организации обратитесь к документации вашей организации, чтобы получить помощь в получении файлов символов.

Символизировать

hwasan_symbolize –-symbols <DECOMPRESSED_DIR>/out/target/product/*/symbols < crash

Понимание отчетов стека

Для ошибок, возникающих с переменными стека, отчет HWASan будет содержать следующую информацию:

Cause: stack tag-mismatch
Address 0x007d4d251e80 is located in stack of thread T64
Thread: T64 0x0074000b2000 stack: [0x007d4d14c000,0x007d4d255cb0) sz: 1088688 tls: [0x007d4d255fc0,0x007d4d259000)
Previously allocated frames:
  record_addr:0x7df7300c98 record:0x51ef007df3f70fb0  (/apex/com.android.art/lib64/libart.so+0x570fb0)
  record_addr:0x7df7300c90 record:0x5200007df3cdab74  (/apex/com.android.art/lib64/libart.so+0x2dab74)
  [...]
	

Чтобы можно было понять ошибки стека, HWASan отслеживает кадры стека, которые произошли в прошлом. В настоящее время HWASan не преобразует это в понятный человеку контент в отчете об ошибке и требует дополнительного этапа символизации .

Нарушения УСО

Некоторые ошибки использования после освобождения, о которых сообщает HWASan, также могут указывать на нарушение одного правила определения (ODR). Нарушение ODR происходит, когда одна и та же переменная определена несколько раз в одной и той же программе. Это также означает, что переменная уничтожается несколько раз, что может привести к ошибке использования после освобождения.

После символизации нарушения ODR показывают использование после освобождения с помощью __cxa_finalize как в стеке недопустимого доступа, так и в стеке «освобождено здесь». Стек «ранее выделенный здесь» содержит __dl__ZN6soinfo17call_constructorsEv и должен указывать на место в вашей программе, которое определяет переменную выше в стеке.

Одной из причин нарушения ODR является использование статических библиотек. Если статическая библиотека, определяющая глобальный объект C++, связана с несколькими общими библиотеками или исполняемыми файлами, несколько определений одного и того же символа могут оказаться в одном адресном пространстве, что приведет к ошибке ODR.

Поиск неисправностей

«HWAddressSanitizer не может описать адрес более подробно».

Иногда HWAsan может не хватать места для информации о прошлых выделениях памяти. В этом случае отчет будет содержать только одну трассировку стека для немедленного доступа к памяти, за которой следует примечание:

  HWAddressSanitizer can not describe address in more detail.

В некоторых случаях эту проблему можно решить, запустив тест несколько раз. Другой вариант — увеличить размер истории HWAsan. Это можно сделать глобально в build/soong/cc/sanitize.go (найдите hwasanGlobalOptions ) или в вашей среде процесса (попробуйте adb shell echo $HWASAN_OPTIONS , чтобы увидеть текущие настройки).

Это также может произойти, если доступная память не сопоставлена ​​или не выделена распределителем, не поддерживающим HWASan. В этом случае тег mem , указанный в заголовке сбоя, обычно будет иметь 00 . Если у вас есть доступ к полному захоронению, возможно, будет полезно просмотреть дамп карт памяти, чтобы выяснить, какому сопоставлению (если таковое имеется) принадлежит адрес.

"вложенная ошибка в той же теме"

Это означает, что произошла ошибка при создании отчета о сбое HWASan. Обычно это происходит из-за ошибки в среде выполнения HWASan. Сообщите об ошибке и, если возможно, предоставьте инструкции по воспроизведению проблемы.