歡迎加QQ群討論：157672725

前言

iOS開發中，main函數是我們認為的入口，但其實從程序啟動到main方法被調用之間，還發生了許多事情。比如runtime的初始化、動態庫的加載鏈接等。想要真正了解程序啟動，需要了解程序的內部結構。因此，本章將從分析程序（.ipa）的結構開始，到main函數被調用分析程序的啟動。

程序（.ipa）結構

ipa

iTunesArtwork: 高分別率圖標，通常為JPG圖像文件
iTunesMetadata.plist：屬性列表文件
App(Mach-O)：App的可執行文件

可執行文件（Mach-O）

進程是特殊文件在內存中加載得到的結果。這種文件必須使用操作系統能夠理解的格式，這樣操作系統才能解析、建立依賴、初始化并開始執行。這種特殊文件就是可執行文件。
在UNIX中，我們可以使用chmod+x將文件標記為可執行文件，但不能保證該文件可以執行，因為標記只是告訴操作系統內核將文件讀入內存，然后尋找一個頭簽名，這個頭簽名通常稱為“魔數”。當文件讀入時，通過“魔數”可幫助判斷文件的二進制格式，如果是被支持的二進制格式，才會調用加載器函數。每個平臺都有自己的可執行文件格式，Mach-O則是 OS X 與 iOS 系統上的可執行文件格式。
下面我們以QQ為例，借助MachOView來分析Mach-O文件。

魔數

在OS X上，可執行文件的標識有這樣幾個魔數：

• cafebabe
• feedface
• feadfacf
• ...
  cafebabe就是跨處理器架構的通用格式，feedface和feedfacf則分別是某一處理器架構下的Mach-O格式。

QQ Mach-O

Mach-O 32位魔數是 0xfeedface
Mach-O 64位魔數是 0xfeedfacf
QQ支持ARM32&64所以可以看到兩個Mach Header

Mach-O 32

Mach-O 64

Mach-O格式

Match-O

• Header：CPU類型和子類型、文件類型、加載命令的條數和大小、動態連接器標志等
• LoadCommands：加載命令。比如文件的段與進程地址映射、 調用dyld、開啟Mach線程等
• Data：數據

加載過程

系統加載可執行文件后，通過Fat Header，找到對應平臺的地址，
然后根據相應的Header，獲取LoadCommands的信息，并加載。

FatHeader

Header

查看Load Commands可知，系統通過LC_SEGEMNT命令將可執行文件段映射到進程地址空間后通過LC_LOAD_DYLINKER調用dyld(通常在/usr/lib/dyld)，當dyld的工作完成之后由LC_MAIN（舊版本中的LC_UNIXTHREAD）命令負責設置主線程的入口地址和棧大小。

Commands

Load dyld command

dyld (the dynamic link editor)

在講解dyld之前我們先來看一下Load Commands中的LC_SYMTAB、LC_DYSYMTAB以及LC_LOAD_DYLB。

SYMTAB

libSystem

QQMainProject

我們可以看到Mach-O鏡像中有很多“空洞”，即由LC_SYMTAB命令提供的符號表和LC_LOAD_DYLB加載的額外動態庫，這些空洞需要在程序啟動的時填補。這項工作就需要dyld來完成，這個過程有時候也稱為符號綁定(binding)。

注：細心的朋友可以看到在加載libSystem的時候使用的地址是/usr/lib/而QQMainProject的地址是@rpath/。在iOS系統中，幾乎所有的程序都會用到動態庫，而動態庫在加載的時候都需要用dyld進行鏈接。很多系統庫幾乎都是每個程序都要用到的，與其在每個程序運行的時候一個一個將這些動態庫都加載進來，還不如先把它們打包好，一次加載進來來的快。這就是dyld的共享庫緩存。

dyld是開源的，下面我們就從代碼的角度分析dyld。

uintptr_t
_main(const macho_header* mainExecutableMH, uintptr_t mainExecutableSlide, 
        int argc, const char* argv[], const char* envp[], const char* apple[], 
        uintptr_t* startGlue)
{
        //...
        // 1.instantiate ImageLoader for main executable
       sMainExecutable = instantiateFromLoadedImage(mainExecutableMH, mainExecutableSlide, sExecPath);
        ...
        // 2.load any inserted libraries
       if( sEnv.DYLD_INSERT_LIBRARIES != NULL ) {
            for (const char* const* lib = sEnv.DYLD_INSERT_LIBRARIES; *lib != NULL; ++lib) 
            loadInsertedDylib(*lib);
        }
        ...
       //3.link main executable
        link(sMainExecutable, sEnv.DYLD_BIND_AT_LAUNCH, true, ImageLoader::RPathChain(NULL, NULL));
        ...
       //4. link any inserted libraries
       // do this after linking main executable so that any dylibs pulled in by inserted 
       // dylibs (e.g. libSystem) will not be in front of dylibs the program uses
       if ( sInsertedDylibCount > 0 ) {
            for(unsigned int i=0; i < sInsertedDylibCount; ++i) {
                ImageLoader* image = sAllImages[i+1];
                link(image, sEnv.DYLD_BIND_AT_LAUNCH, true, ImageLoader::RPathChain(NULL, NULL));
                ...
       }
        ...
        //5. run all initializers
        initializeMainExecutable(); 
        ...
}

1. instantiateFromLoadedImage

dyld通過instantiateFromLoadedImage方法初始化ImageLoader并將我們可執行文件加載進內存,生成對應的image（鏡像）。每個Mach-O 文件都會對應一個ImageLoader實例。ImageLoader是一個抽象類，每一種具體的Mach-O 文件都會繼承 ImageLoader。在加載時會根據Mach-O的格式不同選擇生成不用的實例(如：ImageLoaderMachOClassic、ImageLoaderMachOCompressed)。而sMainExecutable對應可執行文件，里面包含了我們項目中所有新建的類。

//
// ImageLoader is an abstract base class.  To support loading a particular executable
// file format, you make a concrete subclass of ImageLoader.
//
// For each executable file (dynamic shared object) in use, an ImageLoader is instantiated.
//
// The ImageLoader base class does the work of linking together images, but it knows nothing
// about any particular file format.
//
//
class ImageLoader {
public:

    typedef uint32_t DefinitionFlags;
    static const DefinitionFlags kNoDefinitionOptions = 0;
    static const DefinitionFlags kWeakDefinition = 1;
    
    typedef uint32_t ReferenceFlags;
    static const ReferenceFlags kNoReferenceOptions = 0;
    static const ReferenceFlags kWeakReference = 1;
    static const ReferenceFlags kTentativeDefinition = 2;
    
    enum PrebindMode { kUseAllPrebinding, kUseSplitSegPrebinding, kUseAllButAppPredbinding, kUseNoPrebinding };
    enum BindingOptions { kBindingNone, kBindingLazyPointers, kBindingNeverSetLazyPointers };
    enum SharedRegionMode { kUseSharedRegion, kUsePrivateSharedRegion, kDontUseSharedRegion, kSharedRegionIsSharedCache };
    
    struct Symbol;  // abstact symbol
    ...
}

ImageLoader

2. loadInsertedDylib

dyld通過loadInsertedDylib方法將插入的lib加載進內存,生成對應的image。

static void loadInsertedDylib(const char* path)
{
    ImageLoader* image = NULL;
    try {
        LoadContext context;
        context.useSearchPaths      = false;
        context.useFallbackPaths    = false;
        context.useLdLibraryPath    = false;
        context.implicitRPath       = false;
        context.matchByInstallName  = false;
        context.dontLoad            = false;
        context.mustBeBundle        = false;
        context.mustBeDylib         = true;
        context.canBePIE            = false;
        context.origin              = NULL; // can't use @loader_path with DYLD_INSERT_LIBRARIES
        context.rpath               = NULL;
        image = load(path, context);
    }
    ...
}

3. link sMainExecutable

鏈接instantiateFromLoadedImage生成的Images。

4. link image

鏈接loadInsertedDylib生成的Images。

Link操作其實是調用Imageloader的Link方法，負責對image進行load(加載)、UpdateDepth（更新深度）、rebase(基地址復位)、bind(外部符號綁定)等。

void link(ImageLoader* image, bool forceLazysBound, bool neverUnload, const ImageLoader::RPathChain& loaderRPaths)
{        
    ...
    // process images
    try {
        image->link(gLinkContext, forceLazysBound, false, neverUnload, loaderRPaths);
    }
    ...
}

void ImageLoader::link(const LinkContext& context, bool forceLazysBound, bool preflightOnly, bool neverUnload, const RPathChain& loaderRPaths)
{
    ...
    this->recursiveLoadLibraries(context, preflightOnly, loaderRPaths);
    ...
    this->recursiveUpdateDepth(context.imageCount());
    ... 
    this->recursiveRebase(context);
    ... 
    this->recursiveBind(context, forceLazysBound, neverUnload);
    ...
    this->recursiveGetDOFSections(context, dofs);
    ...
}

recursiveLoadLibraries

遞歸加載依賴的動態鏈接庫。
可以使用otool -L 二進制文件路徑來列出程序的動態鏈接庫。

cenghaihandeMacBook-Pro:QQ.app catchzeng$ otool -L QQ
QQ (architecture armv7):
    @rpath/TlibDy.framework/TlibDy (compatibility version 1.0.0, current version 1.0.0)
    @rpath/QQMainProject.framework/QQMainProject (compatibility version 1.0.0, current version 1.0.0)
    @rpath/GroupCommon.framework/GroupCommon (compatibility version 1.0.0, current version 1.0.0)
    /System/Library/Frameworks/Foundation.framework/Foundation (compatibility version 300.0.0, current version 1444.12.0)
    /usr/lib/libz.1.dylib (compatibility version 1.0.0, current version 1.2.11)
    /System/Library/Frameworks/UIKit.framework/UIKit (compatibility version 1.0.0, current version 
    /System/Library/Frameworks/CFNetwork.framework/CFNetwork (compatibility version 1.0.0, current version 887.0.0)
    /usr/lib/libicucore.A.dylib (compatibility version 1.0.0, current version 59.1.0)
    /usr/lib/libobjc.A.dylib (compatibility version 1.0.0, current version 228.0.0)
    /usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1252.0.0)
    ...

UIKit 、Foundation、CFNetwork 等框架相信大家已經很熟悉了。而其中的libobjc.A.dylib 包含 runtime，libSystem.B.dylib 則包含像 libdispatch、libsystem_c 等系統級別的庫，二者都是被默認添加到程序中的。由于動態鏈接庫本身還可能依賴其他動態鏈接庫，所以整個加載過程是遞歸進行的，以下幾個操作同理都是遞歸的。

recursiveRebase

在以前，程序每次加載其在內存中的堆棧基地址都是一樣的，這意味著你的方法，變量等地址每次都一樣的，這使得程序很不安全，后面就出現ASLR（Address space layout randomization），程序每次啟動后地址都會隨機變化，這樣程序里所有的代碼地址都是錯的，需要重新對代碼地址進行計算修復才能正常訪問，這個操作就是Rebase。

recursiveBind

由于符號在不同的庫里面，所以需要符號綁定（Bind）這個過程。
舉個簡單的例子，代碼里面調用了 NSClassFromString. 但是NSClassFromString的代碼和符號都是在 Foundation.framework 這個動態庫里面。還沒綁定之前就“不認識”NSClassFromString，所以需要Bind。

5. initializeMainExecutable

調用所有image的Initalizer方法進行初始化。
這里可以利用環境變量DYLD_PRINT_INITIALIZERS=1來打印出程序的各種依賴庫的initializer方法：

DYLD_PRINT_INITIALIZERS

dyld: calling initializer function 0x103c5f9fe in /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/Library/CoreSimulator/Profiles/Runtimes/iOS.simruntime/Contents/Resources/RuntimeRoot/usr/lib/libSystem.dylib
dyld: calling -init function 0x10278a3c6 in /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/Library/CoreSimulator/Profiles/Runtimes/iOS.simruntime/Contents/Resources/RuntimeRoot/usr/lib/libBacktraceRecording.dylib
dyld: calling initializer function 0x1068e4d91 in /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/Library/CoreSimulator/Profiles/Runtimes/iOS.simruntime/Contents/Resources/RuntimeRoot/usr/lib/libc++.1.dylib
dyld: calling -init function 0x107ba0f80 in /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/Library/CoreSimulator/Profiles/Runtimes/iOS.simruntime/Contents/Resources/RuntimeRoot/System/Library/Frameworks/CoreFoundation.framework/CoreFoundation
dyld: calling initializer function 0x107d002c0 in /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/Library/CoreSimulator/Profiles/Runtimes/iOS.simruntime/Contents/Resources/RuntimeRoot/System/Library/Frameworks/CoreFoundation.framework/CoreFoundation
dyld: calling initializer function 0x10a4ac8c0 in /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/Library/CoreSimulator/Profiles/Runtimes/iOS.simruntime/Contents/Resources/RuntimeRoot/usr/lib/libnetwork.dylib
dyld: calling initializer function 0x10753973e in /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/Library/CoreSimulator/Profiles/Runtimes/iOS.simruntime/Contents/Resources/RuntimeRoot/System/Library/Frameworks/CFNetwork.framework/CFNetwork
dyld: calling initializer function 0x107456500 in /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/Library/CoreSimulator/Profiles/Runtimes/iOS.simruntime/Contents/Resources/RuntimeRoot/System/Library/Frameworks/CFNetwork.framework/CFNetwork
dyld: calling initializer function 0x107456529 in /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/Library/CoreSimulator/Profiles/Runtimes/iOS.simruntime/Contents/Resources/RuntimeRoot/System/Library/Frameworks/CFNetwork.framework/CFNetwork
dyld: calling initializer function 0x10745653d in /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/Library/CoreSimulator/Profiles/Runtimes/iOS.simruntime/Contents/Resources/RuntimeRoot/System/Library/Frameworks/CFNetwork.framework/CFNetwork
dyld: calling initializer function 0x107456551 in /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/Library/CoreSimulator/Profiles/Runtimes/iOS.simruntime/Contents/Resources/RuntimeRoot/System/Library/Frameworks/CFNetwork.framework/CFNetwork
dyld: calling initializer function 0x1076189b3 in /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/Library/CoreSimulator/Profiles/Runtimes/iOS.simruntime/Contents/Resources/RuntimeRoot/System/Library/Frameworks/CFNetwork.framework/CFNetwork
dyld: calling initializer function 0x102f3b5e1 in /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/Library/CoreSimulator/Profiles/Runtimes/iOS.simruntime/Contents/Resources/RuntimeRoot/System/Library/Frameworks/Foundation.framework/Foundation
dyld: calling -init function 0x1027c11c3 in /Applications/Xcode.app/Contents/Developer/Platforms/iPhoneOS.platform/Developer/Library/CoreSimulator/Profiles/Runtimes/iOS.simruntime/Contents/Resources/RuntimeRoot/usr/lib/libMainThreadChecker.dylib

這里最開始調用的libSystem.dylib的initializer比較特殊，因為runtime初始化就在這一階段。

/*
 * libsyscall_initializer() initializes all of libSystem.dylib <rdar://problem/4892197>
 */
static __attribute__((constructor)) 
void libSystem_initializer(int argc, const char* argv[], const char* envp[], const char* apple[], const struct ProgramVars* vars)
{
    _libkernel_functions_t libkernel_funcs = {
        .get_reply_port = _mig_get_reply_port,
        .set_reply_port = _mig_set_reply_port,
        .get_errno = __error,
        .set_errno = cthread_set_errno_self,
        .dlsym = dlsym,
    };

    _libkernel_init(libkernel_funcs);

    bootstrap_init();
    mach_init();
    pthread_init();
    __libc_init(vars, libSystem_atfork_prepare, libSystem_atfork_parent, libSystem_atfork_child, apple);
    __keymgr_initializer();
    _dyld_initializer();
//?。。【褪沁@里了
    libdispatch_init();
    _libxpc_initializer();

    __stack_logging_early_finished();

    /* <rdar://problem/11588042>
     * C99 standard has the following in section 7.5(3):
     * "The value of errno is zero at program startup, but is never set
     * to zero by any library function."
     */
    errno = 0;
}

libdispatch_init初始化會調用runtime的_objc_init初始化方法，這里我們利用符號斷點調試可以看到程序的調用棧，也能驗證以上的過程。

符號斷點

調用棧

Main

當所有的依賴庫庫的lnitializer都調用完后，dyld的main函數會返回程序的main函數地址，main函數被調用。

int main(int argc, char * argv[]) {
    @autoreleasepool {
        return UIApplicationMain(argc, argv, nil, NSStringFromClass([AppDelegate class]));
    }
}

UIApplicationMain，它主要是創建了一個application對象和設置事件循環（autoreleasepool）。至此程序便開始運行。

總結

本章從ipa文件-》Mach-O-》dyld-》Main簡單講解了程序啟動的一些事情，但并不代表著啟動的全部，有興趣的朋友可以繼續往深挖。本章是iOS進階的第一篇，后續會持續更新。如果大家有感興趣的主題，也可以到Q群里聯系我。