学习一些东西,记录一些东西。 当做备忘录。
Tips: 左侧边栏有
搜索框,可以关键字检索整个博客内容。
要计算一个 PCM 音频流的码率需要数字音频的三要素信息即可:码率 = 采样率 × 量化位深 × 声道数。
所里这里核心的数据结构是 CMSampleBuffer,关于它有如下几点需要注意:
CMSampleBuffer 则是一个 Core Foundation 的对象,这意味着它的接口是 C 语言实现,它的内存管理是非 ARC 的,需要手动管理,它与 Foundation 对象之间需要进行桥接转换。
CMSampleBuffer 是系统用来在音视频处理的 pipeline 中使用和传递媒体采样数据的核心数据结构。你可以认为它是 iOS 音视频处理 pipeline 中的流通货币,摄像头采集的视频数据接口、麦克风采集的音频数据接口、编码和解码数据接口、读取和存储视频接口、视频渲染接口等等,都以它作为参数。
CMSampleBuffer 中包含着零个或多个某一类型(audio、video、muxed 等)的采样数据。比如:
要么是一个或多个媒体采样的 CMBlockBuffer[3]。其中可以封装:音频采集后、编码后、解码后的数据(如:PCM 数据、AAC 数据);视频编码后的数据(如:H.264 数据)。
要么是一个 CVImageBuffer[4](也作 CVPixelBuffer[5])。其中包含媒体流中 CMSampleBuffers 的格式描述、每个采样的宽高和时序信息、缓冲级别和采样级别的附属信息。缓冲级别的附属信息是指缓冲区整体的信息,比如播放速度、对后续缓冲数据的操作等。采样级别的附属信息是指单个采样的信息,比如视频帧的时间戳、是否关键帧等。其中可以封装:视频采集后、解码后等未经编码的数据(如:YCbCr 数据、RGBA 数据)。
首先、阅读外围的库是如何实现功能扩展的,
然后、阅读 Lua 的具体实现。
之后、可以开始了解 Lua VM 的实现。
接下来就是分别理解函数调用、返回,string,metatable,table实现
debug模块是一个额外的设施、
最后是parse 等等编译相关的部分。
垃圾收集将是最难的部分,可能会花掉最多的时间去理解细节。Lua GC 的源码剖析
| 文件 | 作用 |
|---|---|
| lua.c | 可执行main函数入口 |
| lapi.c | C语言接口 |
| ldebug.c | Debug接口 |
| ldo.c | 函数调用、栈管理 |
| lfunc.c | 函数原型及闭包管理 |
| lgc.c | 垃圾回收机制 |
| lmem.c | 内存管理 |
| lobject.c | 对象操作函数 |
| lopcodes.c | 虚拟机字节码定义 |
| lstate.c | 全局状态机 管理全局信息 |
| lstring.c | 字符串池 |
| ltable.c | 表类型的相关操作 |
| ltm.c | 元方法 |
| lvm.c | 虚拟机 |
| lzio.c | 输入流接口 |
| 文件 | 作用 |
|---|---|
| lcode.c | 代码生成器 |
| ldump.c | 序列化预编译的Lua字节码 |
| llex.c | 词法分析器 |
| lparse.c | 解析器 |
| lundump.c | 还原预编译的字节码 |
| 文件 | 作用 |
|---|---|
| lauxlib.c | 库编写用到的辅助函数库 |
| lbaselib.c | 基础库 |
| ldblib.c | Debug库 |
| linit.c | 内嵌库的初始化 |
| liolib.c | IO库 |
| lmathlib.c | 数学库 |
| loadlib.c | 动态扩展库管理 |
| loslib.c | OS库 |
| lstrlib.c | 字符串库 |
| ltablib.c | 表处理库 |
luaA_-lapi.c
luaB_-lbaselib.c
luaC_-lgc.c 垃圾回收部分
luaD_-ldo.c 函数的运行流程:函数调用及返回
luaE_-lstate.c 虚拟机的当前状态
luaF_-lfunc.c function实现
luaG_-ldebug.c
luaH_-ltable.c table实现
luaI_-lauxlib.c
luaK_-lcode.c
luaL_-lauxlib.c / h,linit.c(公共函数)
luaM_-lmem.c 内存管理
luaO_-lobject.c 不同的数据类型
luaP_-lopcodes.c 虚拟机的行为是由一组 opcode 控制的
luaS_-lstring.c string实现
luaT_-ltm.c 元表
luaU_-lundump.c
luaV_-lvm.c 虚拟机对 opcode 的解析和运作
luaX_-llex.c
luaY_-lparser.c
luaZ_-lzio.c 带缓冲的流处理
lua_-lapi.c / h + luaconf.h,debug.c
luai_-luaconf.h
luaopen_-luaconf.h +库(lbaselib.c,ldblib.c,liolib.c,lmathlib.c,
loadlib.c,loslib.c,lstrlib.c,ltablib.c)
Value结构体
1 | /* |
TValue结构体
1 | /* |
GCObject
1 | /* |
可回收的类型,都继承自GCObject
TString的定义
1 | /* |
Udata定义
1 | /* |
Proto定义:
1 | /* |
Closure分为两种,Lua闭包和C闭包,定义如下:
1 | /* |
Table定义:
1 | typedef struct Table { |
从面向对象的角度分析的话,可以认为这5种内部基础类型,都继承自GCObject。
创建一个内部对象,使用同一个的接口函数luaC_newobj (lua_State *L, int tt, size_t sz) 参数说明:
1 | /* |
通过统一的接口luaC_newobj函数,创建的内部对象都是GCObjcet类型。如果要正常使用,还需要做一次转换,LUA对于这种抽象结构转换为具体对象结构的行为,封装了一套宏函数:
1 | /* macros to convert a GCObject into a specific value */ |
lundump文件
{
签名, “\x1bLua” (0x1b4c7561)
版本, 0x53
格式(0x00) 0x00
LUAC_DATA 0x1993 0d 0a
cint 4
sizet 8
lua虚拟机指令 4
lua_integer 8
lua_number 8
lua_int 0x5678(判断大小端)
lua_num 370.5 (浮点数格式)
}
VarName String
StartPC Uint32
EndPC Uint32
行号表、局部变量表、Upvalue名列表 都是调试信息
//头部header校验
lundump.h 里面看 checkHeader函数
//函数原型
LoadCode(S, f);
LoadConstants(S, f);
LoadUpvalues(S, f);
LoadProtos(S, f);
LoadDebug(S, f);
lopcodes文件
lua采用定长指令集(大约47条指令), 每条指令4字节32位,6位Opcode操作码,26位操作数Operand
按照高26位区分,四种mode, iABC、iABx、iAsBx、iAx
iABC可以携带ABC三个操作数8+9+9比特
iABx携带 A、Bx,8+18
iAx Ax,26
iAsBx As、Bx 8+18
6位,最多64条指令,参看opcodes
A主要用来表示目标寄存器索引,OpArgN、U、R、K
LUAI_DDEF const lu_byte luaP_opmodes[NUM_OPCODES]
CREATE_ABC、CREATE_ABx、CREATE_Ax
sBx是有符号整数,18位。 Excess-K编码模式,Offset Binary. x-K. K取最大无符号一半
主要以Lua_开头的。60多个luaL_开头的辅助函数,付主函数建立在基础函数之上
Lua栈是宿主语言和Lua语言沟通的桥梁,api基本上也都是操作这个所谓的栈结构lua_state
8种, nil、boolean、number、string、table、function、thread、userdata
程序计数器(Program Counter, 简称PC)记录正在执行的指令。
lua表是一个关联数组, 包含哈希表和数组两个部分
参数
load,加载二进制chunk或者源码。把被调函数推入栈顶
call,
lua注册表,lua_status里
lua全局环境 G, GlobalTable
Upvalue是lua里面的术语,就是闭包内部捕获的非局部变量。
嵌套函数,捕获外围的外围的函数的变量,外围函数会捕获更外围的局部变量。扁平闭包。
_ENV — 全局环境 隐式的Upvalue
值类型默认没有元表,元表nil。 字符串提供了默认元表。
迭代器模式.
数值for循环是借助FORPREP和FORLOOP两条指令完成
通用for循环,TFORCALL和TFORLOOP两条指令
字符流(源码),以’token’的形式分解
类型注释、关键字、标识符、字面量、运算符、分隔符等
lua会忽略 \n \r \t \v \f 空格等空白字符
忽略注释
token -> { … ; : . } .etc
计算机编程语言一般使用上下文无关文法(Context-free Grammar, CFG)描述,而CFG一般使用巴科斯范式(Backus-Naur Form, BNF)或者其扩展EBNF(Extended BNF)书写
YACC、Bison、ANTLR、JavaCC
暴风(Brute Force)算法是普通的模式匹配算法,BF算法的思想就是将目标串S的第一个字符与模式串T的第一个字符进行匹配,若相等,则继续比较S的第二个字符和 T的第二个字符;若不相等,则比较S的第二个字符和T的第一个字符,依次比较下去,直到得出最后的匹配结果。
思路
首先S[1]和T[1]比较,若相等,则再比较S[2]和T[2],一直到T[M]为止;若S[1]和T[1]不等,则S向右移动一个字符的位置,再依次进行比较。如果存在k,1≤k≤N,且S[k+1…k+M]=T[1…M],则匹配成功;否则失败。该算法最坏情况下要进行M*(N-M+1)次比较,时间复杂度为O(M*N)
匹配过程
代码
KMP
思路
假设现在文本串S匹配到 i 位置,模式串P匹配到 j 位置。如果j = -1,或者当前字符匹配成功(即S[i] == P[j]),都令i++,j++,继续匹配下一个字符;如果j != -1,且当前字符匹配失败(即S[i] != P[j]),则令 i 不变,j = next[j]。此举意味着失配时,模式串P相对于文本串S向右移动了j - next [j] 位。换言之,当匹配失败时,模式串向右移动的位数为:失配字符所在位置 - 失配字符对应的next 值),即移动的实际位数为:j - next[j],且此值大于等于1。
next 数组各值的含义:代表当前字符==之前:不包括自身==的字符串中,有多大长度的相同前缀后缀。例如如果next [j] =k,代表j之前的字符串中有最大长度为k的相同前缀后缀。此也意味着在某个字符失配时,该字符对应的next值会告诉你下一步匹配中,模式串应该跳到哪个位置(跳到next [j] 的位置)。如果next [j] 等于0或-1,则跳到模式串的开头字符,若next [j] = k 且 k > 0,代表下次匹配跳到j 之前的某个字符,==而不是跳到开头,且具体跳过了k 个字符,这就是KMP相对于BF的优化==。
最长前缀后缀表
对于P = p0 p1 …pj-1 pj,寻找模式串P中长度最大且相等的前缀和后缀。如果存在p0 p1 …pk-1 pk = pj- k pj-k+1…pj-1 pj,那么在包含pj的模式串中有最大长度为k+1的相同前缀后缀。比如求模式串“ABCDABD”的最长前缀后缀表过程:
所以最后求得的模式串“ABCDABD”的最长前缀后缀表为:
根据前缀后缀表推导next数组
next 数组考虑的是==除当前字符外==的最长相同前缀后缀,所以通过前面最长前缀后缀表求得各个前缀后缀的公共元素的最大长度后,只要稍作变形即可:将前面最长前缀后缀表中求得的值整体右移一位,然后初值赋为-1,如下表格所示:
如何求next数组
但如果====pk== != pj== 呢?说明“p0 pk-1 pk” ≠ “pj-k pj-1 pj”。换言之,当pk != pj后,字符E前有多大长度的相同前缀后缀呢?很明显,因为C不同于D,所以ABC 跟 ABD不相同,即字符E前的模式串没有长度为k+1的相同前缀后缀,也就不能再简单的令:next[j + 1] = next[j] + 1。所以,这个时候可以去找p[k]的前缀中有没有合适的前缀。见下图递归推导过程
求next数组代码
见IDEA代码
匹配过程
假设S=“ABCDAB ABCDABCDABDE”,P=“ABCDABD”
kmp算法查找过程
见IDEA代码
next数组的优化
比如,求模式串“abab”的next 数组,可得其next 数组为-1 0 0 1,当它跟下图中的文本串去匹配的时候,发现b跟c失配,于是模式串右移j - next[j] = 3 - 1 =2位。
右移2位后,b又跟c失配。事实上,因为在上一步的匹配中,已经得知p[3] = b,与s[3] = c失配,而右移两位之后,让p[ next[3] ] = p[1] = b 再跟s[3]匹配时,必然失配。问题出在哪呢?
问题出在不该出现p[j] = p[ next[j] ]。为什么呢?理由是:当p[j] != s[i] 时,下次匹配必然是p[ next [j]] 跟s[i]匹配,如果p[j] = p[ next[j] ],必然导致后一步匹配失败(因为p[j]已经跟s[i]失配,然后还用跟p[j]等同的值p[next[j]]去跟s[i]匹配,很显然,必然失配),所以不能允许p[j] = p[ next[j ]]。如果出现了p[j] = p[ next[j] ]咋办呢?如果出现了,则需要再次递归,即令next[j] = next[ next[j] ]
见IDEA代码
时间复杂度
如果文本串的长度为n,模式串的长度为m,那么匹配过程的时间复杂度为O(n),算上计算next的O(m)时间,KMP的整体时间复杂度为O(m + n)。
参考资料
BM(Boyer-Moore)
Boyer-Moore算法平均要比KMP快3-5倍,grep,window电脑的查找还有各种文本查找都用的BM算法。它和之前的BF和KMP匹配的过程不大一样,采用的是从后往前对比的过程。BM算法实际上包含两个并行的算法(也就是两个启发策略):坏字符算法(bad-character shift)和好后缀算法(good-suffix shift)。这两种算法的目的就是让模式串每次向右移动尽可能大的距离
比如还是上图,在第一次右移模式串P的长度后,模式串末尾的c和主串末尾的b不匹配,说明‘b’是坏字符,但是它在模式串P中有两个出现的位置,如果用从末尾开始数的第二个‘b’会太激进,漏掉匹配;所以得用==最右边==的‘b’去匹配,这就是坏字符算法的第二种case。
比如下面的例子,第一步在5的位置text的‘c’和pattern的‘b’失配了,说明‘c’是个坏字符,并且‘c’在pattern中有出现,那按照上面坏字符算法的case 2移动pattern最右边的‘c’与text失配的位置5中去继续匹配。接下来在位置7中,text的‘a’和pattern的‘b’失配了,如果坏字符的规则相当于走回头路了,所以保守一点移动一步,有没有更好的?可以看到按好字后缀的定义,8和9位置的‘ab’是好的后缀,并且它们在pattern模式串中有‘ab’和它完全匹配,那就是这种case,移动到完全匹配的位置,这样一次移动了两步,多走了一步,优秀了一点。
比如下面的例子,一利用花字符算法移动4位,然后在位置4处text的‘a’和pattern的‘b’失配了,如果按坏字符规则要走回头路,所以保守一点右移一步?看看完整的好的后缀为‘cbab’,显然pattern中没有完整能匹配这个完整的‘cbab’后缀的,那就按这种case,取最长的在pattern中出现的部分后缀‘ab’去对应,但是这里有个限制,就是如果是部分后缀匹配,那==只能从pattern的头开始==。想下为啥得这样?这样的话拿pattern的头部的‘ab’去匹配text的部分后缀‘ab’,一下就移动了4位,➡又优秀。
Sunday
匹配算法
参考:
虚拟机之比较,lua 5 的实现
github相关信息
github issue
resolve
protections ios13
Fishhook 考虑到过内存访问权限的问题,在 If hooking in __DATA_CONST, make writable before trying to write 和 Properly restore protections for iOS 13 这两个 PR 中,对于 __DATA_CONST 段中的数据,作者在
1 | indirect_symbol_bindings[i] = cur->rebindings[j].replacement; |
这一行赋值操作之前,使用了 mprotect 将所属内存区域的访问权限改成了“读写”,在这一行赋值操作以后,再次使用 mprotect 将所属内存区域的访问权限改回了原始值。
然而这两个 PR 其实是有问题的:
1、mprotect 修改内存区域的访问权限时,传入的内存地址是需要按页对齐的,所以开源版本的 fishhook 在旧版 iOS 系统上,mprotect 都有很大概率不成功(返回 -1),官方文档也印证了这点。
2、oldProtection = get_protection(rebindings); 这一行的目的是保存原先的访问权限,但是传入的参数是错误的,这会导致“在这一行赋值操作以后,再次使用 mprotect 将所属内存区域的访问权限改回了原始值”在实际执行中,“改回了原始值”实际是“改成可读写”(当然由于 mprotect 页对齐的问题很大概率修改不成功),因为 rebindings 是 malloc 出来的。
所以,一直以来,这两个 PR 大概率没有发挥预期的作用, indirect_symbol_bindings[i] 所在的内存区域,如果在程序启动后是只读的,那么 fishhook 的过程中,它也是只读的。只要赋值,就会触发 crash。
1、无论是 iOS 14.4 还是 iOS 14.5,mprotect 修改内存区域为读写时,都失败了(返回 -1)。
2、但是在 mprotect 修改前,iOS 14.4 上 indirect_symbol_bindings[i] 所在的内存区域是读写的,而 iOS 14.5 上变成了只读。
为了便于理解,我们可以在程序启动后、fishhook 开始前,通过 memory graph 来观察各个内存区域的访问权限:
抓取 memory graph 后,在 Xcode 中选择 File -> Export Memory Graph,导出 memory graph 后使用 vmmap 命令得到各个内存区域的快照
观察 libxpc.dylib 的 __DATA_CONST 段映射在内存中的访问权限:
1 | # iOS 14.5 |
可以发现,iOS 14.5 中,libxpc.dylib 的 __DATA_CONST 段是只读的,而 iOS 14.4 中是读写的。
同时观察其他系统库,能发现 iOS 14.5 中,不少系统库的 __DATA_CONST 段都从 iOS 14.4 的读写变成了只读,同时撞上了一直以来都有的 mprotect 失效的问题,所以产生了 crash。
解决参考上面issue, 核心代码如下
1 | mprotect((void *)trunc_address, section->size+trunc_size, PROT_READ | PROT_WRITE); |
1 | trunc_address = trunc_page((vm_size_t)indirect_symbol_bindings); |
自行下载参考dyld源码,下面只是我的简要记录
dyldbootstrap::start
{
rebaseDyld 符号便宜aslr address layout random
__guard_setup 栈溢出保护
dyld::_main
}
rebaseDyld {
遍历所有固定的 chains 然后 rebase dyld
所有基于修正链的映像的基地址为零,因此slide == 加载地址
// now that rebasing done, initialize mach/syscall layer
mach_init(); // from libc.a
}
dyld::_main分析
初始化程序运行环境
1 | //获取主程序的macho_header结构以及主程序的slide偏移值 |
加载共享缓存 shared cache
mapSharedCache();
实例化主程序,并赋值给ImageLoader::LinkContext
1 | // |
加载插入的动态库++++++++++++++++++++
1 | // load any inserted libraries |
链接主程序++++++++++++++
1 | gLinkContext.linkingMainExecutable = true; |
链接插入的动态库++++++++
1 | ... |
在链接所有插入的image后,执行弱绑定++++++++++++++++++++++++++++++
1 | // <rdar://problem/12186933> do weak binding only after all inserted images linked |
执行所有的初始化方法+++++++++++++++++++++
1 | // run all initializers |
查找主程序的入口点并返回
1 | // find entry point for main executable |
主程序运行环境初始化及配置,拿到Mach-O头文件 (macho_header里面包含整个Mach-O文件信息其中包括所有链入的动态库信息)
加载共享缓存 shared cache
实例化主程序,并赋值给ImageLoader::LinkContext
加载所有插入的动态库,将可执行文件以及相应的依赖库与插入库加载进内存生成对应的ImageLoader类的image(镜像文件)对象
链接主程序(必须先链接主程序后才能插入)
链接所有的动态库ImageLoader的image(镜像文件)对象,并注册插入的信息,方便后续进行绑定
在链接完所有插入的动态库镜像文件之后执行弱绑定
执行所有动态库image的初始化方法initializeMainExecutable
查找主程序的入口点LC_MAIN并返回result结果,结束整个_dyld_start流程,进入我们App的main()函数!
dyld加载时,为了优化程序启动,在dyld::_main中启用了共享缓存(shared cache)技术。共享缓存会在进程启动时被dyld映射到内存中,之后,当任何Mach-O映像加载时,dyld首先会检查该Mach-O映像与所需的动态库是否在共享缓存中,如果存在,则直接将它在共享内存中的内存地址映射到进程的内存地址空间。在程序依赖的系统动态库很多的情况下,这种做法对程序启动性能会有明显提升。
自行根据下面的方法阅读源码initializeMainExecutable -> runInitializers -> processInitializers -> recursiveInitialization -> notifySingle
最后我想说的就是这个notifySingle,
1 | context.notifySingle(dyld_image_state_dependents_initialized, this, &timingInfo); |
找到一个关键的函数指针* sNotifyObjCInit, 全局搜索找到赋值
1 | void registerObjCNotifiers(_dyld_objc_notify_mapped mapped, _dyld_objc_notify_init init, _dyld_objc_notify_unmapped unmapped) |
全局搜索,看看registerObjCNotifiers这个方法会被谁调用,找到调用的地方_dyld_objc_notify_register函数
不用找了,在objc的源码里面,
_dyld_objc_notify_register是_objc_init进行调用的。而_objc_init函数则是Runtime的入口函数!
打开Objc源码,搜索_objc_init
1 | /*********************************************************************** |
看 _dyld_objc_notify_register 注释
1 | * _objc_init |
_objc_init的调用时机是在其他动态库加载之前由libSystem系统库先调用的。
那么到现在就很明确了,其实在dyld::_main主程序的第8步,初始化所有动态库及主程序的时候之前,就先注册了load_images的回调,之后在Runtime调用load_images加载完所有load方法之后,就会回调到dyld::_main的initializeMainExecutable()内部执行回调。
自行下载objc源码, 找打 _objc_init 方法
1 | /*********************************************************************** |
1 | void |
总结map_images_nolock的流程就是:
_read_images进行读取,然后将firstTime置为NO,就不再进入上面的逻辑了,下次进入map_images_nolock就开始直接_read_images_read_images1 | /*********************************************************************** |
_read_images的实现主要分为以下步骤:
两个表,一个叫gdb_objc_realized_classes用来存放已命名的类的列表,另一个叫allocatedClasses用来存放已分配的所有类(和元类)
从readClass的底层实现部分做个延伸思考:日常开发中,对于已经启动完成的工程项目,如果我们未修改任何类的数据,那么再次点击运行会很快完成,但是一旦我们在对这些类进行修改后,在读取这些类的信息(包括类本身的信息以及下面我们要继续分析的协议protocol、分类category、方法selector),就需要对该类的数据进行更新,这个更新实际上是新建一个类,然后拷贝旧类的数据赋值给新类,然后重映射并用新类替换掉新类,这里面的拷贝以及读写过程其实是相当耗时的!这是类信息改动之后项目再次Run运行起来会比较慢的原因之一。
已经读取完成的类,会被存放到了这个表gdb_objc_realized_classes里面!
分析源码注释及源码得出,addClassTableEntry里面会把这个读取完成的类直接先添加到allocatedClasses表里面,然后再判断addMeta是否为YES,然后会把当前这个类的元类metaClass也添加到allocatedClasses这个表里面。
点击sel_registerNameNoLock,找到__sel_registerName,在它里面找到关键代码
逻辑其实就是:把方法名插入并存储到namedSelectors这个表里面.
找到关键函数readProtocol,进入发现其实读取protocol的操作是把protocol存进协议表protocol_map。
分类category的读取,里面主要做了下面这些步骤:
调用load方法,父类-子类-所有分类
_objc_init 是系统库,很早就已经 由libSystem系统库先调用的,初始化了很多环境 其中有_dyld_objc_notify_register(&map_images, load_images, unmap_image);
dyld 初始化进程环境,链接动态库,进行 _dyld_objc_notify_register 注册
https://www.jianshu.com/p/ea680941e084
详细的内容在另外一个组件化篇幅里记录
方法中带block的,
hook方法,msgforwarding,
利用libffi调用原生C函数,
通过符号找函数地址,dlsym,或者fishhook的方案,利用segment_linkedit, lc_symta(字符表和符号表)b, lc_dysymtab(间接符号表,系统/第三方的导出符号)
收集中
利用http2.0
汇总
https://images.apple.com/media/us/osx/2013/docs/OSX_Mavericks_Core_Technology_Overview.pdf