boot.oat是文件映射,所以coredump默认情况下是不会dump如boot.oat这种文件映射的。
但我们可以通过设置/proc/{pid}/coredump_filter的值,也可以将boot.oat dump到core文件中。
我们有了完整的内存镜像后,可以用gdb方便的访问文件镜像的内容了。
并且我们也能从coredump中再把boot.oat给提取出来,再用oatdump等工具做分析。
下面就写写如何从coredump中提取boot.oat的。
首先,我们可以通过maps确定boot.oat的加载地址:
32c01000-52c00000 ---p 00001000 00:04 11621 /dev/ashmem/dalvik-main space 1 (deleted) 6f5ed000-700f5000 rw-p 00000000 b3:19 73733 /data/dalvik-cache/arm/system@framework@boot.art 700f5000-72535000 r--p 00000000 b3:19 73732 /data/dalvik-cache/arm/system@framework@boot.oat 72535000-72c7d000 r-xp 02440000 b3:19 73732 /data/dalvik-cache/arm/system@framework@boot.oat 72c7d000-72c7f000 r-xp 02b88000 b3:19 73732 /data/dalvik-cache/arm/system@framework@boot.oat 72c7f000-72cf9000 r-xp 02b8a000 b3:19 73732 /data/dalvik-cache/arm/system@framework@boot.oat ... 73eab000-7401c000 r-xp 03db6000 b3:19 73732 /data/dalvik-cache/arm/system@framework@boot.oat 7401c000-7401d000 rw-p 03f27000 b3:19 73732 /data/dalvik-cache/arm/system@framework@boot.oat 7401d000-7416b000 rw-p 00000000 00:04 11619 /dev/ashmem/dalvik-zygote space (deleted)
它的起始地址是0x700f5000,结束地址是0x7401d000,大小是0x7401d000-0x700f5000=0x3f28000。
gdb的dump memory命令:
(gdb) dump memory boot.oat 0x700f5000 0x7401d000
这个命令在工作目录下生成boot.oat文件,我们可以用oatdump工具解析这个文件。
$ out/host/linux-x86/bin/oatdump --oat-file=boot.oat --output=boot.oat.txt