一个boot.oat crash问题的分析

最新推荐文章于 2025-06-10 09:11:09 发布
原创 最新推荐文章于 2025-06-10 09:11:09 发布 · 8.5k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#boot.oat #crash #oatdump

本文针对Android设备上出现的系统重启问题进行深入分析,通过解读ART虚拟机产生的crash日志,详细阐述了如何利用oatdump工具定位故障原因,并最终追溯到MessageQueue组件中的异常行为。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近遇到一个手机重启的问题,日志如下:

05-18 13:42:55.553 I/AEE/AED (10514): pid: 1734, tid: 1788, name: android.ui  >>> system_server <<<
05-18 13:42:55.554 I/AEE/AED (10514): signal 11 (SIGSEGV), code 1 (SEGV_MAPERR), fault addr 0x0
05-18 13:42:55.636 I/AEE/AED (10514):     x0   0000000070e4c750  x1   0000007f90aa4200  x2   0000000000000000  x3   aba39cecf7cb9912
05-18 13:42:55.636 I/AEE/AED (10514):     x4   aba39cecf7cb9912  x5   aba39cecf7cb9912  x6   0000007f9b1ba000  x7   0000007f9ee79888
05-18 13:42:55.636 I/AEE/AED (10514):     x8   aba39cecf7cb9912  x9   aba39cecf7cb9912  x10  aba39cecf7cb9912  x11  0000007f90aa4200
05-18 13:42:55.636 I/AEE/AED (10514):     x12  0000007f84f7ee40  x13  0000000000000000  x14  0000000000000030  x15  0000000000000000
05-18 13:42:55.637 I/AEE/AED (10514):     x16  00000000018c54dd  x17  0000000000000003  x18  0000007f90aa4200  x19  0000000000000001
05-18 13:42:55.637 I/AEE/AED (10514):     x20  0000000012d4a070  x21  0000000000000000  x22  0000000012d4a070  x23  0000000070e48e00
05-18 13:42:55.637 I/AEE/AED (10514):     x24  0000000000000000  x25  0000000000000000  x26  0000007f8566a8d0  x27  00000000ffffffff
05-18 13:42:55.637 I/AEE/AED (10514):     x28  0000000000157e92  x29  0000007f84f7f118  x30  000000007492bcd0
05-18 13:42:55.637 I/AEE/AED (10514):     sp   0000007f84f7eee0  pc   0000000000000000  pstate 0000000060000000
05-18 13:42:55.638 E/AEE/LIBAEE(10514): aee_try_get_word: read:1788 addr:0x0000000000000000 ret:-1, 5
05-18 13:42:55.641 I/AEE/AED (10514): 
05-18 13:42:55.641 I/AEE/AED (10514): backtrace:
05-18 13:42:55.641 I/AEE/AED (10514):     #00 pc 0000000000000000  <unknown>
05-18 13:42:55.642 I/AEE/AED (10514):     #01 pc 00000000039f9ccc  /data/dalvik-cache/arm64/system@framework@boot.oat (offset 0x257c000)
堆栈十分的短,只有两行。

Android4.4之后引入了art虚拟机,会预先把system/framework中的一些jar包转换为oat格式,这个格式实际上是elf可执行文件格式的变种。这个转换的作用是把虚拟机的字节码直接转换成cpu的机器码,这样不用在java虚拟机运行的时候解释字节码,会提高程序运行速度。

但是其实本质上还是java代码,如果是java层次的出错会抛出Exception,分析起来十分容易,如果是调用到so库出错,那么就是native crash,网上分析的文章也很多。日志这个问题比较少出现,它既不是java层面的Exception,也没有调用到任何so库,但是看起来和native crash的日志十分相像。

dump oat文件信息的程序是oatdump,例如连接上手机。

adb shell oatdump --oat-file=/data/dalvik-cache/arm64/system@framework@boot.oat

或者在pc本地运行oatdump,不用连接手机。但是直接用这个命令dump的文件会非常大,我本地看有1G的大小,而且大部分的信息对于crash来说完全是无用的,幸好oatdump有如下参数

  --addr2instr=<address>: output matching method disassembled code from relative  
                          address (e.g. PC from crash dump)  
      Example: --addr2instr=0x00001a3b
指定地址即可只dump地址附近的信息,那么这个address是什么,如何确定,是00000000039f9ccc,还是0x257c000,亦或是其它 

05-18 13:42:55.642 I/AEE/AED (10514):     #01 pc 00000000039f9ccc  /data/dalvik-cache/arm64/system@framework@boot.oat (offset 0x257c000)

估计大多数android程序员例如我面对此种问题是懵逼的感觉,幸好有万能的搜索引擎。可是网上搜索分析oat crash的可真是少,我搜索到两个网页和这个问题相关。

oat backtrace 地址 定位?


还有oat文件的 backtrace 定位


可以看出这两个文章间都有差异,知乎回答和评论间也有差异(而且回答和评论里的地址计算个人认为都是错的,作者明显是懂这个问题,但是回答太随意了)。不过感谢这两篇文章给了我分析此问题的起点。

文章中提到的maps是,/proc/(出错进程pid)/maps,这个可以看内存布局,例如在手机(烧录出问题的rom版本)我查看如下

6f653000-70520000 rw-p 00000000 fd:00 32776                              /data/dalvik-cache/arm64/system@framework@boot.art

70520000-72a9c000 r--p 00000000 fd:00 32774                              /data/dalvik-cache/arm64/system@framework@boot.oat

72a9c000-75321000 r-xp 0257c000 fd:00 32774                              /data/dalvik-cache/arm64/system@framework@boot.oat

75321000-75322000 rw-p 04e01000 fd:00 32774                              /data/dalvik-cache/arm64/system@framework@boot.oat

这里看出日志中的0x257c000是指代码段对于整个oat文件的偏移,那么oat在内存中的偏移就是72a9c000。日志中的pc是00000000039f9ccc,按搜索文章所说要减去72a9c000的话明显感觉不对,这个个人推测应该是google或者mtk的优化,pc地址已经减去了文件基址,因为只有拿到手机才能看到maps,日志中大概率是看不到maps相关信息的,而且maps地址对于查看堆栈其实没啥意义,获取代码相对于文件的偏移才是关键。

然后兴高采烈的把0x039f9ccc作为参数去oatdump,然后又懵逼了,输出结果不对,一个汇编代码都没有。想起来搜索文章中提到过日志偏移和dump偏移有差距0x1000,查看dump文件,真的和文章中一样,dump的比日志中的0x257c000小了0x1000;

EXECUTABLE OFFSET:

0x0257b000
虽然不明白具体原理,还是把参数减少0x1000,继续尝试,但是还是同样的结果,懵逼了。oatdump整个文件看代码的地址到不了0x039f9ccc,所以当然没啥输出了。仔细查看dump文件发现了问题: 

SEARCH ADDRESS (executable offset + input):

0x04af7000

addr2instr参数传入的address是会自动加上executable offset,这个估计还是优化,那么addr2instr参数传入的值应该是:代码相对于代码段的offset,不用考虑文件在内存中的偏移和代码段相对于文件的偏移,即把日志中的pc减去offset传入即可,即00000000039f9ccc -  0x257c000就是参数。获取的汇编代码片段如下,出问题的就是0x039f8ccc,即blr

      suspend point dex PC: 0x0018

      GC map objects:  v0 (r22), v18 (r20)

      0x039f8cbc: d5033bbf	dmb ish

      0x039f8cc0: d0fdc3a0	adrp x0, #-0x478a000 (addr -0xd92000)

      0x039f8cc4: f9446c00	ldr x0, [x0, #2264]

      0x039f8cc8: f940181e	ldr lr, [x0, #48]

      0x039f8ccc: d63f03c0	blr lr

      suspend point dex PC: 0x0019

继续百度arm blr指令,发现blr是直接可以控制pc的少数指令之一(好像只有两个),那么和日志中正好有某种对应: 

05-18 13:42:55.641 I/AEE/AED (10514):     #00 pc 0000000000000000  <unknown>
05-18 13:42:55.642 I/AEE/AED (10514):     #01 pc 00000000039f9ccc  /data/dalvik-cache/arm64/system@framework@boot.oat (offset 0x257c000)

日志中出错点pc就是突然变为了0,到此问题算是有了一定的进展。可是汇编代码看起来还是十分头疼的,能看对应的Java代码就开心了,oatdump的文件中的对应方法是

  24: android.os.Message android.os.MessageQueue.next() (dex_method_idx=45283)
虽然不能直观的确定行数,不过对照suspend point dex PC大概可以确认在0x0018和0x0019之间,对比oatdump对应的dex代码 

      0x0015: 7040 e0b0 c06d           	| invoke-direct {v0, v12, v13, v6}, void android.os.MessageQueue.nativePollOnce(long, int) // method@45280

      0x0018: 1d12                     	| monitor-enter v18

      0x0019: 7100 69b4 0000           	| invoke-static {}, long android.os.SystemClock.uptimeMillis() // method@46185
对应的Java代码 

 Message next() {
        ...
        for (;;) {
            ...
            nativePollOnce(ptr, nextPollTimeoutMillis);

            synchronized (this) {
                // Try to retrieve the next message.  Return if found.
                final long now = SystemClock.uptimeMillis();
                Message prevMsg = null;
                ...
            }

            ...
        }
    }
是从synchronized开始到final long now = SystemClock.uptimeMillis();

问题到此为止没有继续分析了,原因一:真正要分析要对arm汇编和操作系统等有深厚功底的,现学现卖搞不定,对一个写app的未免有点难。原因二:这个问题只出现过一次,就算功底深厚现场也很难复现了,依据网上信息是一步步用gdb查看赋给pc的内存数据为啥会是0,然后推测原因。

本文纯属个人推测,希望有能力的同学遇到此种问题的时候能交流一下。


Android dex2oat 编译线程简析
私房菜
07-26 1358
名称说明要求 post_bootcomplete 为false要求 for_restore 为 true,备份prop 为 dalvik.vm.dex2oat-threads要求 background_job_compile,备份prop 为 dalvik.vm.dex2oat-threads通常作为备份的prop,上述prop 没有配置时,会使用这个备份prop。
android 崩溃 oatdump 分析,也来看看Android的ART运行时
weixin_36256707的博客
05-27 835
之前因为需要,研究了一下ART的相关源码,也做了一些记录与总结,现在重新整理了一下与大家共同讨论和交流一下。0x00 概述ART是Android平台上的新一代运行时,用来代替dalvik。它主要采用了AOT的方法,在apk安装的时候将dalvikbytecode一次性编译成arm本地指令(但是这种AOT与c语言等还是有本质不同的,还是需要虚拟机的环境支持),这样在运行的时候就无需进行任何解释或编译...
ART虚拟机的一个缺陷[Java 8 特性]
大将军王虎剩的专栏
01-18 3310
1.问题背景:[Android Version]:8.0[问题] CTS:tck.java.time.chrono.TCKChronoLocalDateTime#test_from_TemporalAccessor[CTS CMD]:run cts -m CtsLibcoreOjTestCases -t tck.java.time.chrono.TCKChronoLocalDateTime#tes
boot.art&boot.oat
sinat_38172893的博客
06-21 3485
external/vogar/src/vogar/ModeId.java: // $BOOTCLASSPATH defined by system/core/rootdir/init.rc 而在~/android-6.0.1_r62/out/target/product/generic/root/init.rc中有: 7 import /init.environ.rc在~/android-
MTKClient项目中的MT8127芯片解锁Bootloader问题分析
gitblog_07598的博客
06-10 339
MTKClient项目中的MT8127芯片解锁Bootloader问题分析 问题背景 在MTKClient开源项目中,用户尝试使用该工具解锁基于MT8127芯片设备的bootloader时遇到了两个阶段的崩溃问题。MTKClient是一个专门用于联发科(MTK)芯片设备的工具集,提供了包括bootloader解锁在内的多种底层操作功能。 第一阶段崩溃分析 用户首先执行了标准的解锁命令python ...
boot.oat FC问题分析报告
weixin_34112030的博客
05-13 428
【NE现场】 pid: 5252, tid: 5252, name: ndroid.contacts >>> com.android.contacts <<< signal 11 (SIGSEGV), code 1 (SEGV_MAPERR), fault addr 0x1458 x0 0000000000000000 x1 000...
Android10中的boot*.art和boot*.oat加载过程
Invoker123的博客
03-03 5588
简介   在Android7.0之前,所有bootclasspath指定的库会被同一编译成为boot.oatboot.art两个文件。其中boot.oat包含了编译后的机器码指令,而boot.art文件,则是一个类对象映像。boot.art内包含了所有framework/base/preloaded-classes文件列出的所有类。这些类会被一次性的载入到内存中,并可以被直接使用。   在Android7.0及以后,boot.art和boot.oat被分成以boot-{packagename}.oat/a
Android Native Crash崩溃及错误原因分析二-实战解决
热门推荐
为码消得人憔悴
07-28 2万+
. 简述 之前有一篇文章讲诉了Android实际开发过程中一些崩溃的原因,以及对崩溃类型做了详细的介绍,简单回顾一下:Crash类型:Java和Native,JavaCrash中明显会打印出AndroidRuntime的log,而NativeCrash则Logcat 会在“debug”tag下输出dump信息,开发过程中javacrash较好分析,NativeCrash则相对较难, 二.
android调试分析,Android Native Error / Crash 开发时调试分析
weixin_29057163的博客
05-26 473
一、前言这篇文章咱们来看看 Android Native Error / Crash问题在开发时如何调试分析。当然只要能分析出原因自然就知道如何去解决啦。二、问题分析过程下面的代码在运行时必然发生空指针 NULL 异常从而 引发 App Native Crash。char *p = NULL;char c = *p;本地 / 开发时调试很明显就是我们在开发时遇到程序发生的崩溃或者这是一个可以复...
由Debuggerd导致的Android系统死机问题分析
宋金时的专栏
03-14 3805
1. 问题现象 问题发生的Android系统版本是7.0(Nougat); 屏幕没有任何刷新,输入事件无任何响应,即我们平时说的死机(冻屏); watchdog没有重启system_server; 问题现场可以连接adb; 2. 初步分析 死机问题分析前的准备工作: (1)拿到问题现场,及时充电以保证问题现场不被破坏; (2)如果没有现场可以忽略这一步,通过kill -3 后面...
Timestamp: 2025-07-11 18:03:09.919649011+0800 Process uptime: 1s Cmdline: com.playit.videoplayer pid: 14201, tid: 14201, name: yit.videoplayer >>> com.playit.videoplayer <<< uid: 10340 tagged_addr_ctrl: 0000000000000001 (PR_TAGGED_ADDR_ENABLE) signal 11 (SIGSEGV), code 1 (SEGV_MAPERR), fault addr 0x000000000000000c Cause: null pointer dereference x0 00000000711d8138 x1 00000000700412d0 x2 0000000000000000 x3 000000000000000c x4 0000000000000000 x5 b4000077d022efb7 x6 0000000000000012 x7 00000078230447f6 x8 0000007823040309 x9 000000782304030e x10 0000000000000004 x11 0000000000000000 x12 0000000000001a72 x13 00000078ab5433d8 x14 b40000782b06dc00 x15 0000000000000030 x16 0000000000000000 x17 0000000000000000 x18 00000078ff4a8000 x19 b40000782b06dc00 x20 0000000000000000 x21 b40000782b06dcc0 x22 00000077eb9484aa x23 000000782304030a x24 0000007823985a00 x25 0000007fe4d8efe0 x26 0000000010380009 x27 0000000000000034 x28 0000007fe4d8f050 x29 0000007fe4d8f018 lr 000000782398fb04 sp 0000007fe4d8efa0 pc 0000000072a678b4 pst 0000000080001000 28 total frames backtrace: #00 pc 00000000012d78b4 /data/misc/apexdata/com.android.art/dalvik-cache/arm64/boot.oat (art_jni_trampoline+4) #01 pc 000000000068ab00 /apex/com.android.art/lib64/libart.so (nterp_helper+5648) (BuildId: d57befa204d91d200485ace46c3b8814) #02 pc 000000000015a4aa /data/app/~~pA1TasqVPuaPXRL-wamgcA==/com.playit.videoplayer-u-_dKoL3drpKDtv_vnOQlg==/base.apk (org.lsposed.hiddenapibypass.h.a+182) #03 pc 0000000000689588 /apex/com.android.art/lib64/libart.so (nterp_helper+152) (BuildId: d57befa204d91d200485ace46c3b8814) #04 pc 000000000015a310 /data/app/~~pA1TasqVPuaPXRL-wamgcA==/com.playit.videoplayer-u-_dKoL3drpKDtv_vnOQlg==/base.apk (org.lsposed.hiddenapibypass.h.b+4) #05 pc 0000000000689588 /apex/com.android.art/lib64/libart.so (nterp_helper+152) (BuildId: d57befa204d91d200485ace46c3b8814) #06 pc 000000000026915e /data/app/~~pA1TasqVPuaPXRL-wamgcA==/com.playit.videoplayer-u-_dKoL3drpKDtv_vnOQlg==/base.apk (com.quantum.player.common.QuantumApplication.attachBaseContext+154只)根据当前这个堆栈信息分析出该进程14201是为什么发生crash,安装包的问题吗,需要怎么解决呢
最新发布
07-24
#02 和 #04 指向了同一个库:org.lsposed.hiddenapibypass(一个用于绕过Android隐藏API限制的库)中的方法h.a和h.b。 #06 指向了应用自身的代码:com.quantum.player.common.QuantumApplication.attachBaseContext...
Android Camera 内存问题剖析
2401_87256643的博客
09-21 1224
Raphael 是西瓜视频 Android 团队开发的一款 native 内存监控工具,在字节跳动内部产品(如西瓜、抖音、头条等)上广泛用于监控 native 内存泄漏问题。在抖音 7.8.0-8.3.0 上搜集到大量因虚拟内存触顶而 crash 的内存日志现场(如 pthread_create、GL error、EGL_BAD_ALLOC),其中 60%以上都是 camera 相关的内存泄漏,占整体 crash 的 15%以上(Java & Native)。
ART加载OAT文件的过程分析
Invoker123的博客
03-30 2118
  OAT文件是一种Android引入ART虚拟机后的一种私有ELF文件格式,它不仅包含有从DEX文件翻译而来的本地机器指令,还包含有原来的DEX文件内容。Android使用/system/bin/dex2oat(我们也可以编译出debug版本的dex2oatd)来将DEX文件编译成OAT文件,dex2oat的主入口为main函数: /art/dex2oat/dex2oat.cc int ...
极光推送之#00 pc 000000000006abe4 /system/lib64/libc.so (tgkill+8) [arm64-v8a]错误
freak_csh的博客
07-03 6903
在使用极光推送的时候,在cpu架构为arm64-v8a的时候,闪退率100%,刚开始还以为是项目其他的影响了,但是在其他手机上没有问题,就只能一个一个排查,最终确认是极光推送的sdk的so文件有问题。 具体问题如图所示: 解决方法:只要把极光的sdk版本与libs包下的各种cpu架构的so文件更新为最新版本,这个问题就可以解决。 这个问题排查的时间也比较久,就记录一波。 ...
【案例66】支付指令客户端崩溃分析全过程
Z.Virgil的博客
09-04 1151
月底,需要给人员开工资,但是财务人员在点击【支付状态指令】节点,点击状态确认后,系统直接崩溃,页面都卡掉。人员已经2天未发工资,情况比较紧急。更改Uclient模式从分离模式改为嵌入模式,发现只要输入密码点击确定,系统就会退出转圈。更换Uclient的系统工作目录,问题稳定复现。
Android APP native 崩溃分析之令人困惑的 backtrace
weixin_38166905的博客
06-02 1440
完美无缺的代码逻辑,一定能产生完美无缺的程序吗?答案是否定的。从软件的层面来看,也许只有二进制才永远不会欺骗你。 现象 近期,业务方反馈了一个奇怪的崩溃问题,认为信息不足,无法解决。 Signal: 11 (SIGSEGV), Code: 1 (SEGV_MAPERR) r0 993ff520 r1 dc3170c4 r2 00000000 r3 dabe3e0...
Android日志[进阶篇]五-阅读错误报告
主要记录一些问题处理记录,部分是作为知识库使用
09-17 2万+
https://source.android.google.cn/source/read-bug-reports.html 无论是任何类型的开发工作,出错都在所难免,而错误报告对于找出和解决问题至关重要。Android 的所有版本都支持通过 Android 调试桥 (adb) 获取错误报告;Android 4.2 及更高版本支持一个旨在获取错误报告以及通过电子邮件、云端硬盘等分享报告的开发者选项。 Android 错误报告中包含文本 (.txt) 格式的 dumpsys、dumpstate 和 log
android anr出现情况,Android ANR问题总结
weixin_36421280的博客
06-03 930
在实际情况中,当Android项目的用户量特别大时候,一些细小的问题也会被放大,ANR问题就是一个典型的例子。一些ANR问题只会发生在用户实际使用的情景,当系统资源比较紧张等一些特殊情况下才会遇到,而这些ANR问题有很大一部分是因为我们的代码不合理导致,这就需要我们定位问题,修复问题,并且在以后的代码设计中尽量避免这些不合理。最近工作中集中分析了项目的大量的用户自动上报的ANR问题日志,虽然网上A...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值