本文由云+社區發表
iOS開發過程中難免會遇到卡頓等性能問題或者死鎖之類的問題，此時如果有調用堆棧將對解決問題很有幫助。那么在應用中如何來實時獲取函數的調用堆棧呢？本文參考了網上的一些博文，講述了使用mach thread的方式來獲取調用棧的步驟，其中會同步講述到棧幀的基本概念，并且通過對一個demo的匯編代碼的講解來方便理解獲取調用鏈的原理。

一、棧幀等幾個概念

先拋出一個棧幀的概念，解釋下什么是棧幀。

應用中新創建的每個線程都有專用的棧空間，棧可以在線程期間自由使用。而線程中有千千萬萬的函數調用，這些函數共享進程的這個棧空間，那么問題就來了，函數運行過程中會有非常多的入棧出棧的過程，當函數返回backtrace的時候怎樣能精確定位到返回地址呢？還有子函數所保存的一些寄存器的內容？這樣就有了棧幀的概念，即每個函數所使用的棧空間是一個棧幀，所有的棧幀就組成了這個線程完整的棧。

棧幀

下面再拋出幾個概念：

寄存器中的fp，sp，lr，pc。

寄存器是和CPU聯系非常緊密的一小塊內存，經常用于存儲一些正在使用的數據。對于32位架構armv7指令集的ARM處理器有16個寄存器，從r0到r15，每一個都是32位比特。調用約定指定他們其中的一些寄存器有特殊的用途，例如：

r0-r3：用于存放傳遞給函數的參數；
r4-r11：用于存放函數的本地參數；
r11：通常用作楨指針fp（frame pointer寄存器），棧幀基址寄存器，指向當前函數棧幀的棧底，它提供了一種追溯程序的方式，來反向跟蹤調用的函數。
r12：是內部程序調用暫時寄存器。這個寄存器很特別是因為可以通過函數調用來改變它；
r13：棧指針sp(stack pointer)。在計算機科學內棧是非常重要的術語。寄存器存放了一個指向棧頂的指針。看這里了解更多關于棧的信息；
r14：是鏈接寄存器lr(link register)。它保存了當目前函數返回時下一個函數的地址；
r15：是程序計數器pc(program counter)。它存放了當前執行指令的地址。在每個指令執行完成后會自動增加；

不同指令集的寄存器數量可能會不同，pc、lr、sp、fp也可能使用其中不同的寄存器。后面我們先忽略r11等寄存器編號，直接用fp，sp，lr來講述

如下圖所示，不管是較早的幀，還是調用者的幀，還是當前幀，它們的結構是完全一樣的，因為每個幀都是基于一個函數，幀伴隨著函數的生命周期一起產生、發展和消亡。在這個過程中用到了上面說的寄存器，fp幀指針，它總是指向當前幀的底部；sp棧指針，它總是指向當前幀的頂部。這兩個寄存器用來定位當前幀中的所有空間。編譯器需要根據指令集的規則小心翼翼地調整這兩個寄存器的值，一旦出錯，參數傳遞、函數返回都可能出現問題。

其實這里這幾個寄存器會滿足一定規則，比如：

fp指向的是當面棧幀的底部，該地址存的值是調用當前棧幀的上一個棧幀的fp的地址。
lr總是在上一個棧幀（也就是調用當前棧幀的棧幀）的頂部，而棧幀之間是連續存儲的，所以lr也就是當前棧幀底部的上一個地址，以此類推就可以推出所有函數的調用順序。這里注意，棧底在高地址，棧向下增長

而由此我們可以進一步想到，通過sp和fp所指出的棧幀可以恢復出母函數的棧幀，不斷遞歸恢復便恢復除了調用堆棧。向下面代碼一樣，每次遞歸pc存儲的*(fp + 1)其實就是返回的地址，它在調用者的函數內，利用這個地址我們可以通過符號表還原出對應的方法名稱。

while(fp) {pc = *(fp + 1);fp = *fp;
}

二、匯編解釋下

如果你非要問為什么會這樣，我們可以從匯編角度看下函數是怎么調用的，從而更深刻理解為什么fp總是存儲了上一個棧幀的fp的地址，而fp向前一個地址為什么總是lr？

寫如下一個demo程序，由于我是在mac上做實驗，所以直接使用clang來編譯出可執行程序，然后再用hopper工具反匯編查看匯編代碼，當然也可直接使用clang的

-S參數指定生產匯編代碼。

demo源碼

#import <Foundation/Foundation.h>int func(int a);int main (void)
{int a = 1;func(a);return 0;
}int func (int a)
{int b = 2;return a + b;
}

匯編語言

        ; ================ B E G I N N I N G   O F   P R O C E D U R E ================; Variables:;    var_4: -4;    var_8: -8;    var_C: -12_main:
0000000100000f70         push       rbp
0000000100000f71         mov        rbp, rsp
0000000100000f74         sub        rsp, 0x10
0000000100000f78         mov        dword [rbp+var_4], 0x0
0000000100000f7f         mov        dword [rbp+var_8], 0x1
0000000100000f86         mov        edi, dword [rbp+var_8]                      ; argument #1 for method _func
0000000100000f89         call       _func
0000000100000f8e         xor        edi, edi
0000000100000f90         mov        dword [rbp+var_C], eax
0000000100000f93         mov        eax, edi
0000000100000f95         add        rsp, 0x10
0000000100000f99         pop        rbp
0000000100000f9a         ret; endp
0000000100000f9b         nop        dword [rax+rax]; ================ B E G I N N I N G   O F   P R O C E D U R E ================; Variables:;    var_4: -4;    var_8: -8_func:
0000000100000fa0         push       rbp                                         ; CODE XREF=_main+25
0000000100000fa1         mov        rbp, rsp
0000000100000fa4         mov        dword [rbp+var_4], edi
0000000100000fa7         mov        dword [rbp+var_8], 0x2
0000000100000fae         mov        edi, dword [rbp+var_4]
0000000100000fb1         add        edi, dword [rbp+var_8]
0000000100000fb4         mov        eax, edi
0000000100000fb6         pop        rbp
0000000100000fb7         ret

需要注意，由于是在mac上編譯出可執行程序，指令集已經是x86-64，所以上文的fp、sp、lr、pc名稱和使用的寄存器發生了變化，但含義基本一致，對應關系如下：

fp----rbp
sp----rsp
pc----rip

接下來我們看下具體的匯編代碼，可以看到在main函數中在經過預處理和參數初始化后，通過call _func來調用了func函數，這里call _func其實等價于兩個匯編命令：

Pushl %rip //保存下一條指令（第41行的代碼地址）的地址，用于函數返回繼續執行
Jmp _func //跳轉到函數foo

于是，當main函數調用了func函數后，會將下一行地址push進棧，至此，main函數的棧幀已經結束，然后跳轉到func的代碼處開始繼續執行。可以看出，rip指向的函數下一條地址，即上文中所說的lr已經入棧，在棧幀的頂部。

而從func的代碼可以看到，首先使用push rbp將幀指針保存起來，而由于剛跳轉到func函數，此時rbp其實是上一個棧幀的幀指針，即它的值其實還是上一個棧幀的底部地址，所以此步驟其實是將上一個幀底部地址保存了下來。

下一句匯編語句mov rbp, rsp將棧頂部地址rsp更新給了rbp，于是此時rbp的值就成了棧的頂部地址，也是當前棧幀的開始，即fp。而棧頂部又正好是剛剛push進去的存儲上一個幀指針地址的地址，所以rbp指向的時當前棧幀的底部，但其中保存的值是上一個棧幀底部的地址。

至此，也就解釋了為什么fp指向的地址存儲的內容是上一個棧幀的fp的地址，也解釋了為什么fp向前一個地址就正好是lr。

另外一個比較重要的東西就是出入棧的順序，在ARM指令系統中是地址遞減棧，入棧操作的參數入棧順序是從右到左依次入棧，而參數的出棧順序則是從左到右的你操作。包括push/pop和LDMFD/STMFD等。

三、獲取調用棧步驟

其實上面的幾個fp、lr、sp在mach內核提供的api中都有定義，我們可以使用對應的api拿到對應的值。如下便是64位和32位的定義

_STRUCT_ARM_THREAD_STATE64
{__uint64_t    __x[29];    /* General purpose registers x0-x28 */__uint64_t    __fp;        /* Frame pointer x29 */__uint64_t    __lr;        /* Link register x30 */__uint64_t    __sp;        /* Stack pointer x31 */__uint64_t    __pc;        /* Program counter */__uint32_t    __cpsr;    /* Current program status register */__uint32_t    __pad;    /* Same size for 32-bit or 64-bit clients */
};
_STRUCT_ARM_THREAD_STATE
{__uint32_t    r[13];    /* General purpose register r0-r12 */__uint32_t    sp;        /* Stack pointer r13 */__uint32_t    lr;        /* Link register r14 */__uint32_t    pc;        /* Program counter r15 */__uint32_t    cpsr;        /* Current program status register */
};

于是，我們只要拿到對應的fp和lr，然后遞歸去查找母函數的地址，最后將其符號化，即可還原出調用棧。

總結歸納了下，獲取調用棧需要下面幾步：

1、掛起線程

thread_suspend(main_thread);

2、獲取當前線程狀態上下文thread_get_state

_STRUCT_MCONTEXT ctx;#if defined(__x86_64__)mach_msg_type_number_t count = x86_THREAD_STATE64_COUNT;thread_get_state(thread, x86_THREAD_STATE64, (thread_state_t)&ctx.__ss, &count);#elif defined(__arm64__)_STRUCT_MCONTEXT ctx;mach_msg_type_number_t count = ARM_THREAD_STATE64_COUNT;thread_get_state(thread, ARM_THREAD_STATE64, (thread_state_t)&ctx.__ss, &count);#endif

3、獲取當前幀的幀指針fp

#if defined(__x86_64__)uint64_t pc = ctx.__ss.__rip;uint64_t sp = ctx.__ss.__rsp;uint64_t fp = ctx.__ss.__rbp;
#elif defined(__arm64__)uint64_t pc = ctx.__ss.__pc;uint64_t sp = ctx.__ss.__sp;uint64_t fp = ctx.__ss.__fp;
#endif

4、遞歸遍歷fp和lr，依次記錄lr的地址

while(fp) {pc = *(fp + 1);fp = *fp;
}

這一步我們其實就是使用上面的方法來依次迭代出調用鏈上的函數地址，代碼如下

void* t_fp[2];vm_size_t len = sizeof(record);
vm_read_overwrite(mach_task_self(), (vm_address_t)(fp),len, (vm_address_t)t_fp, &len);do {pc = (long)t_fp[1]  // lr總是在fp的上一個地址// 依次記錄pc的值，這里先只是打印出來printf(pc)vm_read_overwrite(mach_task_self(),(vm_address_t)m_cursor.fp[0], len, (vm_address_t)m_cursor.fp,&len);} while (fp);

上面代碼便會從下到上依次打印出調用棧函數中的地址，這個地址總是在函數調用地方的下一個地址，我們就需要拿這個地址還原出對應的符號名稱。

5、恢復線程thread_resume

thread_resume(main_thread);

6、還原符號表

這一步主要是將已經獲得的調用鏈上的地址分別解析出對應的符號。主要是參考了運行時獲取函數調用棧的方法，其中用到的dyld鏈接mach-o文件的基礎知識，后續會專門針對這里總結一篇文章。

enumerateSegment(header, [&](struct load_command *command) {if (command->cmd == LC_SYMTAB) {struct symtab_command *symCmd = (struct symtab_command *)command;uint64_t baseaddr = 0;enumerateSegment(header, [&](struct load_command *command) {if (command->cmd == LC_SEGMENT_64) {struct segment_command_64 *segCmd = (struct segment_command_64 *)command;if (strcmp(segCmd->segname, SEG_LINKEDIT) == 0) {baseaddr = segCmd->vmaddr - segCmd->fileoff;return true;}}return false;});if (baseaddr == 0) return false;nlist_64 *nlist = (nlist_64 *)(baseaddr + slide + symCmd->symoff);uint64_t strTable = baseaddr + slide + symCmd->stroff;uint64_t offset = UINT64_MAX;int best = -1;for (int k = 0; k < symCmd->nsyms; k++) {nlist_64 &sym = nlist[k];uint64_t d = pcSlide - sym.n_value;if (offset >= d) {offset = d;best = k;}}if (best >= 0) {nlist_64 &sym = nlist[best];std::cout << "SYMBOL: " << (char *)(strTable + sym.n_un.n_strx) << std::endl;}return true;}return false;
});