objective-c - 取消引用寄存器 (%r11) 时在 objc_msgSend 中崩溃，但我不明白为什么

Question

所以我有一个有 5 个参数的方法。正如预期的那样，寄存器在它被调用之前状态:

$rdi: The receiver
$rsi: the selector for the method
$rdx: first arg
$rcx: second arg
$r8: third arg
$r9: fourth arg
$r10 fifth arg

在方法中，它做的第一件事是调用另一个 objective-c 方法

这依次调用 objc_msgSend(参见偏移量 +58):

MyApp`-[GTMOAuth2WindowController webView:resource:willSendRequest:redirectResponse:fromDataSource:]:
    0x10044a1a0 <+0>:   pushq  %rbp
    0x10044a1a1 <+1>:   movq   %rsp, %rbp
    0x10044a1a4 <+4>:   subq   $0x40, %rsp
    0x10044a1a8 <+8>:   movq   0x10(%rbp), %rax
    0x10044a1ac <+12>:  movq   %rdi, -0x10(%rbp)
    0x10044a1b0 <+16>:  movq   %rsi, -0x18(%rbp)
    0x10044a1b4 <+20>:  movq   %rdx, -0x20(%rbp)
    0x10044a1b8 <+24>:  movq   %rcx, -0x28(%rbp)
    0x10044a1bc <+28>:  movq   %r8, -0x30(%rbp)
    0x10044a1c0 <+32>:  movq   %r9, -0x38(%rbp)
    0x10044a1c4 <+36>:  movq   %rax, -0x40(%rbp)
    0x10044a1c8 <+40>:  movq   -0x10(%rbp), %rax
    0x10044a1cc <+44>:  movq   -0x38(%rbp), %rdx
    0x10044a1d0 <+48>:  movq   0x2ffda9(%rip), %rsi      ; "handleCookiesForResponse:"
    0x10044a1d7 <+55>:  movq   %rax, %rdi
    0x10044a1da <+58>:  callq  0x1005839a2               ; symbol stub for: objc_msgSend

然后转到 objc_msgSend 的说明:

libobjc.A.dylib`objc_msgSend:
->  0x7fff9084a0c0 <+0>:   testq  %rdi, %rdi
    0x7fff9084a0c3 <+3>:   je     0x7fff9084a140            ; <+128>
    0x7fff9084a0c6 <+6>:   testb  $0x1, %dil
    0x7fff9084a0ca <+10>:  jne    0x7fff9084a14b            ; <+139>
    0x7fff9084a0cd <+13>:  movabsq $0x7ffffffffff8, %r11
    0x7fff9084a0d7 <+23>:  andq   (%rdi), %r11
    0x7fff9084a0da <+26>:  movq   %rsi, %r10
    0x7fff9084a0dd <+29>:  andl   0x18(%r11), %r10d

当 cpu 试图取消引用 %r11 寄存器时，我有时会在偏移 +29 处崩溃。

我的问题是，为什么 objc_msgSend 取消引用该寄存器？根据System V ABI那是一个暂存器。但它每次 objc_msgSend 时都会被取消引用，我无法真正弄清楚它的用途。

当 %r11 中存在无效指针时，我的崩溃发生了

它看起来像+23，%rdi 寄存器(指向接收者的指针)被解引用并且andq 与 %r11，但我不明白它的作用。但也许如果接收器在这里被释放，%r11 会充满垃圾吗？

这个理论得到了这个 assembly source w/ comments 的证实。

我认为它声明 %r11 用于 isa 属性
“类= self -> isa”。

这意味着该对象正在被释放，因为 isa 属性已废弃

如果是这样的话，我该如何防范呢？

在调用 objc_msgSend 之前查看 if( self ) 是否足够？

Answer 1

很遗憾，您链接的网站已过时。它没有解释您正在使用的 objc_msgSend 的确切版本。

要理解反汇编程序的输出，您需要了解的是 Objective-C 运行时现在具有称为“非指针 isa”的功能。 Another page on that site解释非指针 isa，但我会总结一下。

从历史上看，对象的 isa 字段是指向对象类的指针。这个指针不需要完整的 64 位，因为 Apple 的操作系统都没有使用完整的 64 位地址空间。类地址的许多位始终为零。

非指针 isa 不会在每个对象中浪费所有这些位，而是将这些位用于其他用途，例如存储对象的引用计数。这意味着当您想要指向该类的指针时，您需要将其他位设置回零以获得有效地址。计算 isa & 0x7ffffffffff8 会关闭(屏蔽掉)所有非指针位，因此您会得到一个指向该类的有效指针……

…如果 isa 字段没有损坏。如果 isa 字段已损坏，您将得到垃圾。如果垃圾是无效地址，则会发生崩溃。

这里发生的事情是您覆盖了包含该对象的内存，因此 isa 字段不再有效。

要调试问题，请阅读 how to find zombies .如果这没有帮助，请观看 this WWDC video about using the address sanitizer .