调试v8 bytecode

2022-03-09

一个比较笨拙的调试v8 bytecode的方法

d8

--print-bytecode参数是必须的，不然都不知道d8生成了啥bytecode，接着是下断点：

找到src/d8/d8.cc目录下的Shell::Main(int argc, char* argv[])函数里初始化Isolate的那一句（不同版本可能在不一样的位置）：

1	Isolate* isolate = Isolate::New(create_params);

在初始化好isolate之后我们在gdb中：

1	p &((v8::internal::Isolate*)isolate)->interpreter_->dispatch_table_

这里就能拿到bytecode的handler函数表了，然后只要根据src/interpreter/bytecodes.h里定义的list：

// The list of bytecodes which are interpreted by the interpreter.
// Format is V(<bytecode>, <accumulator_use>, <operands>).
#define BYTECODE_LIST(V)                                                       \
  /* Extended width operands */                                                \
  V(Wide, AccumulatorUse::kNone)                                               \
  V(ExtraWide, AccumulatorUse::kNone)                                          \
                                                                               \
  /* Debug Breakpoints - one for each possible size of unscaled bytecodes */   \
  /* and one for each operand widening prefix bytecode                    */   \
  V(DebugBreakWide, AccumulatorUse::kReadWrite)                                \
  V(DebugBreakExtraWide, AccumulatorUse::kReadWrite)                           \
  V(DebugBreak0, AccumulatorUse::kReadWrite)                                   \
  V(DebugBreak1, AccumulatorUse::kReadWrite, OperandType::kReg)                \
  V(DebugBreak2, AccumulatorUse::kReadWrite, OperandType::kReg,                \
    OperandType::kReg)                                                         \
  V(DebugBreak3, AccumulatorUse::kReadWrite, OperandType::kReg,                \
    OperandType::kReg, OperandType::kReg)                                      \
  V(DebugBreak4, AccumulatorUse::kReadWrite, OperandType::kReg,                \
   // ...........................................

找到你要调试的那个bytecode的名字相对应的偏移，根据这个偏移去 dispatch_table_ 里找到相对应handler函数的地址，下断点就能断下来了

更简单的方法可以是用--print-bytecode把字节码打印出来，然后各个字节码的第一个数值就是偏移，如下面例子里的：

1	0 : 12 00 LdaConstant [0]

0x12就是LdaConstant的偏移

示例

js代码：

1	var aa = {foo:"bar"};

用d8查看其bytecode：

./d8 --print-bytecode ./layout.js
[generated bytecode for function:  (0x29d6082d25ed <SharedFunctionInfo>)]
Parameter count 1
Register count 3
Frame size 24
         0x29d6082d2696 @    0 : 12 00             LdaConstant [0]
         0x29d6082d2698 @    2 : 26 f9             Star r1
         0x29d6082d269a @    4 : 27 fe f8          Mov <closure>, r2
         0x29d6082d269d @    7 : 62 3e 01 f9 02    CallRuntime [DeclareGlobals], r1-r2
         0x29d6082d26a2 @   12 : 7e 01 00 29       CreateObjectLiteral [1], [0], #41
         0x29d6082d26a6 @   16 : 15 02 01          StaGlobal [2], [1]
         0x29d6082d26a9 @   19 : 0d                LdaUndefined 
         0x29d6082d26aa @   20 : ab                Return 
Constant pool (size = 3)
0x29d6082d2661: [FixedArray] in OldSpace
 - map: 0x29d608042201 <Map>
 - length: 3
           0: 0x29d6082d2639 <FixedArray[1]>
           1: 0x29d6082d2645 <ObjectBoilerplateDescription[3]>
           2: 0x29d6082d25b1 <String[2]: #aa>
Handler Table (size = 0)
Source Position Table (size = 0)

然后要是想从头开始调试直接下LdaConstantHandler函数的断点就好，或者你想要调试CreateObjectLiteralHandler就下它的断点，跳过前面的bytecode

这些bytecode的handler都定义在src/interpreter/interpreter-generator.cc下

后记

上面所使用的d8版本是8.7.242，那个dispatch_table_是带符号的，像下面这样：

pwndbg> p isolate
$37 = (v8::Isolate *) 0x187e00000000
pwndbg> p &((v8::internal::Isolate*)isolate)->interpreter_->dispatch_table_
$38 = (v8::internal::Address (*)[768]) 0x564001973a20
pwndbg> telescope 0x564001973a20
00:0000│  0x564001973a20 —▸ 0x7fb679bd9300 (Builtins_WideHandler) ◂— lea    rbx, [rip - 7]
01:0008│  0x564001973a28 —▸ 0x7fb679bd9440 (Builtins_ExtraWideHandler) ◂— lea    rbx, [rip - 7]
02:0010│  0x564001973a30 —▸ 0x7fb679bd9580 (Builtins_DebugBreakWideHandler) ◂— lea    rbx, [rip - 7]
03:0018│  0x564001973a38 —▸ 0x7fb679bd9900 (Builtins_DebugBreakExtraWideHandler) ◂— lea    rbx, [rip - 7]
04:0020│  0x564001973a40 —▸ 0x7fb679bd9c80 (Builtins_DebugBreak0Handler) ◂— lea    rbx, [rip - 7]
05:0028│  0x564001973a48 —▸ 0x7fb679bda000 (Builtins_DebugBreak1Handler) ◂— lea    rbx, [rip - 7]
06:0030│  0x564001973a50 —▸ 0x7fb679bda380 (Builtins_DebugBreak2Handler) ◂— lea    rbx, [rip - 7]
07:0038│  0x564001973a58 —▸ 0x7fb679bda700 (Builtins_DebugBreak3Handler) ◂— lea    rbx, [rip - 7]

我也不知道为啥有些版本好像是有带符号的，一开始9.3.x版本调试的时候没有这个符号。。。

还有就是9.3.x版本的star1，star2这些bytecode不知道为什么下了断点有时候能断下，有时候不行，实属迷惑，不过这个指令只是存储数据到寄存器，问题不大

在编译d8的时候好像还可以选择啥flag，编译为之后就能显示出每一步bytecode的执行结果好像，不太清楚就是了，我这是主要为了想弄懂类似CreateObjectLiteral 这种bytecode到底调用了啥cpp函数才这么搞的

参考链接

https://www.anquanke.com/post/id/254813