一、Matrix 架构总览
Matrix 是微信团队开源的 Android APM(Application Performance Management)框架。其核心设计理念是插件化——不同的性能监控维度由独立的 Plugin 负责,通过统一的 PluginListener 上报检测到的问题(Issue)。
1.1 整体架构
┌─────────────────────────────────────────────┐
│ Matrix.Builder │
│ .plugin(TracePlugin) │
│ .plugin(IOCanaryPlugin) │
│ .plugin(SQLiteLintPlugin) │
│ .plugin(MemoryMonitor) │
│ .plugin(ResourcePlugin) │
│ .plugin(FPSMonitor) │
│ .build() │
└──────────────────┬──────────────────────────┘
▼
┌─────────────────────────────────────────────┐
│ Matrix (单例) │
│ init(application, config) │
│ startAllPlugins() │
│ stopAllPlugins() │
└──────────────────┬──────────────────────────┘
▼
┌─────────────────────────────────────────────┐
│ Plugin.onStart() → Issue → PluginListener │
│ ↓ │
│ ReportPublisher │
│ ↓ │
│ MatrixIssueList → 上报后端 │
└─────────────────────────────────────────────┘
|
每个 Plugin 独立实现 onStart()、onStop()、onDestroy() 生命周期。检测到性能问题时创建 Issue 对象,通过 PluginListener 回调给应用层,由 ReportPublisher 决定如何上报。
1.2 Plugin 的基类设计
public abstract class Plugin {
protected PluginListener listener;
protected Application application;
public void init(Application app, PluginListener listener) {
this.application = app;
this.listener = listener;
}
public abstract void start();
public abstract void stop();
public abstract void destroy();
}
|
二、TracePlugin — 方法耗时追踪
2.1 工作原理
TracePlugin 利用 ASM 字节码插桩在编译期为所有方法插入计时代码。核心机制:
public void doSomething() {
}
public void doSomething() {
AppMethodBeat.i(AppMethodBeat.METHOD_ID);
try {
} finally {
AppMethodBeat.o(AppMethodBeat.METHOD_ID);
}
}
|
AppMethodBeat 维护一个 long[] 数组,每个方法分配一个唯一的 index。i() 递增全局计数器并记录 SystemClock.elapsedRealtime() 时间戳到数组 index 位置,o() 递减计数器。
2.2 耗时检测机制
当方法调用栈深度达到阈值(如 100 层),触发一次耗时检测:
public static void i(int methodId) {
if (status == STATUS_STOPPED) return;
int index = sIndex.getAndIncrement();
if (index >= sBuffer.length) return;
sBuffer[index] = SystemClock.elapsedRealtime();
if (index % THRESHOLD == 0) {
detectCostMethod();
}
}
|
detectCostMethod() 通过获取当前线程的 StackTraceElement[](Thread.currentThread().getStackTrace()),结合之前记录的每个方法的 entry 时间戳,计算栈上每个方法的执行耗时,将超过阈值的方法报告为 Issue。
2.3 ASM 插桩实现
public class TraceMethodAdapter extends MethodVisitor {
private final String methodName;
private final int methodId;
@Override
public void visitCode() {
super.visitCode();
mv.visitLdcInsn(methodId);
mv.visitMethodInsn(INVOKESTATIC,
"com/tencent/matrix/trace/core/AppMethodBeat",
"i", "(I)V", false);
}
@Override
public void visitInsn(int opcode) {
if (opcode >= IRETURN && opcode <= RETURN || opcode == ATHROW) {
mv.visitLdcInsn(methodId);
mv.visitMethodInsn(INVOKESTATIC,
"com/tencent/matrix/trace/core/AppMethodBeat",
"o", "(I)V", false);
}
super.visitInsn(opcode);
}
}
|
关键实现细节:o() 需要在每个可能的出口点插入——包括正常 return(IRETURN/LRETURN/FRETURN/DRETURN/ARETURN/RETURN)和异常抛出 ATHROW。如果只插入到 return 而不插入到 ATHROW,异常路径上的方法退出不会被计数,导致栈深度记录失真。
2.4 帧率监控(FPSMonitor / EvilMethodTracer)
Matrix 的 FPS 监控基于 Choreographer.FrameCallback:
Choreographer.getInstance().postFrameCallback(new Choreographer.FrameCallback() {
@Override
public void doFrame(long frameTimeNanos) {
long currentTimeMs = SystemClock.elapsedRealtime();
if (lastFrameTimeMs > 0) {
long frameInterval = currentTimeMs - lastFrameTimeMs;
int droppedFrames = (int)(frameInterval / REFRESH_RATE_MS) - 1;
if (droppedFrames > 0) {
listener.onDetectIssue(new FPSIssue(droppedFrames,
Looper.getMainLooper().getThread().getStackTrace()));
}
}
lastFrameTimeMs = currentTimeMs;
Choreographer.getInstance().postFrameCallback(this);
}
});
|
核心思路:利用 Vsync 回调的间隔计算丢帧数。如果间隔 > 16.67ms(60fps 刷新),多出来的时间对应的帧数即为丢帧数。对于 120Hz 设备,阈值应为 8.33ms。
EvilMethodTracer 是 Matrix 的特色功能——当检测到丢帧时,自动采集主线程的 stack trace,找出当前正在执行的耗时方法,帮助开发者精准定位”是什么方法导致了丢帧”。
三、IOCanaryPlugin — IO 监控
3.1 IO 问题类型
IOCanaryPlugin 监控三类 IO 问题:
- 主线程 IO:在主线程执行磁盘读写——直接导致丢帧
- IO 缓冲区过小:read/write 的 buffer 小于 4096 字节,导致过多的系统调用
- 文件句柄泄漏:文件打开后未关闭
3.2 PLT Hook 实现原理
对于 NDK/Native 层的 IO(open/fopen/read/write/close),Matrix 通过 PLT Hook 拦截:
PLT Hook 原理:
1. 目标 .so 的 .got.plt 表包含外部函数(如 libc.so 的 __openat)的地址指针
2. Hook 时:读取 .got.plt 中的原始地址,替换为自定义监控函数的地址
3. 调用时:代码执行到 call __openat,通过 .got.plt 跳转到自定义函数
4. 自定义函数:记录参数/时间戳,调用原始函数,记录结果
|
PLT Hook 不需要修改原始函数的代码(不像 inline hook),只需修改 GOT 表中的指针。这在 Android 上特别适用——因为 libc 的函数符号在 .dynsym 中,通过 PLT 调用。
void hook_plt(const char *so_name, const char *func_name, void *hook_func) {
void *base = get_module_base(so_name);
Elf64_Addr *got_plt_entry = find_got_plt_entry(base, func_name);
original_func = (void *)*got_plt_entry;
mprotect(PAGE_ALIGN(got_plt_entry), PAGE_SIZE, PROT_READ | PROT_WRITE);
*got_plt_entry = (Elf64_Addr)hook_func;
mprotect(PAGE_ALIGN(got_plt_entry), PAGE_SIZE, PROT_READ);
}
|
3.3 小缓冲区检测
public static final int SMALL_BUFFER_THRESHOLD = 4096;
public void onRead(String path, long fileSize, int bufferSize, long costMs) {
if (bufferSize > 0 && bufferSize < SMALL_BUFFER_THRESHOLD) {
listener.onDetectIssue(new SmallBufferIssue(path, bufferSize));
}
}
|
为什么 4096 bytes 是阈值?
Linux 的 VFS 以 page cache 为单位缓存文件内容(page 大小通常为 4096 字节)。读取小于 4096 字节意味着每次 read() 系统调用只利用了 page cache 一次吞吐的一小部分,而系统调用本身的开销(context switch)往往大于读取 4KB 数据的开销。
四、SQLiteLintPlugin — 数据库监控
4.1 监控维度
- Cursor 泄漏:查询后未关闭 Cursor
- 主线程数据库操作:在主线程执行 CRUD
- Prepared Statement 未复用:重复 prepare 相同 SQL
- 自动索引警告:SQLite 自动创建了临时索引(说明查询语句缺少合适的索引)
4.2 Cursor 泄漏检测
public class SQLiteLintPlugin extends Plugin {
private final ReferenceQueue<Cursor> queue = new ReferenceQueue<>();
private final Map<WeakReference<Cursor>, StackTraceElement[]> refMap = new HashMap<>();
public void onCursorOpened(Cursor cursor) {
WeakReference<Cursor> ref = new WeakReference<>(cursor, queue);
refMap.put(ref, Thread.currentThread().getStackTrace());
}
private void checkLeakedCursors() {
Reference<? extends Cursor> ref;
while ((ref = queue.poll()) != null) {
StackTraceElement[] creationStack = refMap.remove(ref);
if (creationStack != null) {
listener.onDetectIssue(new CursorLeakIssue(creationStack));
}
}
}
}
|
核心技巧:利用 WeakReference + ReferenceQueue。当 Cursor 对象被 GC 回收时,其 WeakReference 出现在 ReferenceQueue 中。如果该 Cursor 仍未被显式 close,则确认泄漏。
4.3 主线程 DB 检测
Hook SQLiteDatabase.rawQuery() 和 execSQL(),检查调用线程:
public Cursor rawQuery(String sql, String[] selectionArgs) {
if (Looper.myLooper() == Looper.getMainLooper()) {
long start = SystemClock.elapsedRealtime();
Cursor cursor = originalRawQuery(sql, selectionArgs);
long cost = SystemClock.elapsedRealtime() - start;
if (cost > 100) {
listener.onDetectIssue(new MainThreadDBIssue(sql, cost,
Thread.currentThread().getStackTrace()));
}
return cursor;
}
return originalRawQuery(sql, selectionArgs);
}
|
为什么 100ms 是阈值?:超过 100ms 的主线程阻塞用户可感知(列表滑动明显卡顿),且排除 page cache hits 的快速读取(< 1ms)。此外 100ms 也是 ANR 检测(5s)的 1/50,提供了足够的安全余量。
五、MemoryMonitor — 内存监控
5.1 Activity 泄漏检测
public class ActivityLeakMonitor {
private final Map<String, WeakReference<Activity>> activityRefs = new HashMap<>();
public void onActivityDestroyed(Activity activity) {
String key = activity.getClass().getName();
activityRefs.put(key, new WeakReference<>(activity));
new Handler(Looper.getMainLooper()).postDelayed(() -> {
triggerGC();
checkLeakedActivities();
}, 5000);
}
private void checkLeakedActivities() {
for (Map.Entry<String, WeakReference<Activity>> entry : activityRefs.entrySet()) {
Activity activity = entry.getValue().get();
if (activity != null) {
dumpHprof(activity);
}
}
}
private void triggerGC() {
Runtime.getRuntime().gc();
System.runFinalization();
Runtime.getRuntime().gc();
}
}
|
为什么要 dump hprof:仅凭 WeakReference 判断”仍然可达”只能确认有泄漏,但不能定位泄漏路径(哪个对象持有了 Activity 的引用)。Dump heap 后使用 Shark 库分析 GC Root → leaked Activity 的最短引用链。
5.2 Bitmap 重复检测
public class BitmapDuplicationMonitor {
private final Map<String, BitmapRecord> bitmapRecords = new HashMap<>();
public void onBitmapAllocated(Bitmap bitmap, StackTraceElement[] stack) {
String fingerprint = bitmap.getWidth() + "x" + bitmap.getHeight()
+ "@" + bitmap.getConfig();
BitmapRecord existing = bitmapRecords.get(fingerprint);
if (existing != null) {
listener.onDetectIssue(new BitmapDuplicationIssue(fingerprint, stack));
}
bitmapRecords.put(fingerprint, new BitmapRecord(stack));
}
}
|
六、ResourcePlugin — 资源监控
监控应用的文件系统使用情况:SharedPreferences 膨胀、缓存目录超阈值、WebView 缓存累积。
public class ResourcePlugin extends Plugin {
private void scanFileSystem(File directory) {
int fileCount = 0;
long totalSize = 0;
for (File file : directory.listFiles()) {
if (file.isFile()) {
fileCount++;
totalSize += file.length();
if (file.length() > LARGE_FILE_THRESHOLD) {
listener.onDetectIssue(new LargeFileIssue(file.getAbsolutePath()));
}
}
}
if (fileCount > MAX_FILE_COUNT) {
listener.onDetectIssue(new TooManyFilesIssue(directory.getAbsolutePath()));
}
}
}
|
监控目标包括:SharedPreferences XML 文件膨胀(每个 SP 有 100+ 个 key 时应考虑迁移至 DataStore/数据库)、缓存目录大小超阈值、WebView 缓存累积。
面试常考问题
Q1:TracePlugin 的方法耗时检测为什么使用 AppMethodBeat 而非简单 AOP 包裹?
AOP(如 AspectJ 的 @Around)在每个方法出入口插入代码,但无法获知调用栈全局信息——譬如 A 调用 B 调用 C,C 执行了 10ms,B 执行了 100ms。AOP 只能知道每个方法单独耗时,而 AppMethodBeat 通过全局 long[] 数组记录每个方法的 entry 时间戳,配合周期性采样整个调用栈,可以从栈帧信息反推每个方法的累计耗时。这比 AOP 提供了更丰富的上下文。
Q2:主线程 IO 为什么是性能问题?主线程 IO 的检测阈值该如何设置?
Android 主线程负责 UI 交互和渲染,每个 message 的处理时间上限约为 16ms(60fps 一帧)减去系统开销后约留 12ms。磁盘 IO 可能因 page cache 策略、存储介质延迟等因素造成不确定的阻塞。一旦 IO 耗时超过 12ms,就会丢帧。检测阈值通常设为 100ms——超过 100ms 的主线程阻塞用户可感知,且排除 page cache hits 的快速读取。
Q3:Matrix 的 Activity 泄漏检测为什么依赖 GC 触发?
Activity 的泄漏判定需要排除”暂时可达但即将被 GC 回收”的情况。直接检查 WeakReference.get() 不为 null 不能区分”确实泄漏”和”GC 尚未运行”。必须主动触发 GC(两次 Runtime.gc() + System.runFinalization()),之后再检查 WeakReference。
Q4:PLT Hook 相比 inline hook 有什么优势和局限?
PLT Hook 优势:不需要修改目标函数的代码(只改 GOT 表)、不受指令对齐限制、对多条指令的 inline hook 容易出错但 PLT Hook 无此问题。局限:只能 hook 通过 PLT 调用的函数(动态链接的外部函数)、无法 hook 静态链接的函数或通过 dlsym 直接获取地址的调用。
Q5:EvilMethodTracer 是如何在丢帧时定位耗时方法的?
EvilMethodTracer 在检测到丢帧时(vsync 回调间隔 > 16.67ms),立即调用 Thread.getStackTrace() 获取主线程当前调用栈。结合 AppMethodBeat 记录的每个方法 entry 的时间戳,可以更精确地知道栈上每个方法的真实耗时——不是从 stack trace 推断,而是从时间戳数组直接读取。
七、Matrix 与其他 APM 方案的比较
| 特性 |
Matrix |
LeakCanary |
BlockCanary |
Bugly |
| 定位 |
综合性能监控 |
内存泄漏检测 |
主线程卡顿检测 |
Crash 监控 |
| 方法耗时 |
ASM 插桩 |
N/A |
Looper 监控 |
N/A |
| IO 监控 |
PLT Hook |
N/A |
N/A |
N/A |
| 数据库监控 |
Cursor 泄漏+SQL |
N/A |
N/A |
N/A |
| 内存监控 |
Activity 泄漏+Bitmap |
Activity/Fragment 泄漏 |
N/A |
内存使用 |
| 帧率监控 |
Choreographer |
N/A |
信号 |
N/A |
| 插件化 |
是(Plugin 体系) |
否(单一职责) |
否 |
否 |
| 编译期依赖 |
需要 Gradle Plugin |
无需 |
无需 |
无需 |
Matrix 偏重底层性能数据采集(方法耗时、IO、帧率、内存),并将检测结果以 Issue 形式上报,侧重于”发现性能问题并提供定位数据”。
八、PLT Hook 技术深度
8.1 ELF 文件的 GOT/PLT 结构
PLT Hook 之所以能 Hook libc 函数(如 open、read),是因为 Android APK 中的动态链接基于 ELF 文件格式:
程序调用 printf() 的流程:
1. 汇编: call printf@plt
2. PLT 条目: jmp *GOT[printf] // 首次调用时 GOT[printf] 指向 PLT stub
3. PLT stub: push index; jmp _dl_runtime_resolve
4. _dl_runtime_resolve 查找 libc.so 中 printf 的实际地址
5. 更新 GOT[printf] → printf 在 libc.so 中的实际地址
6. 后续调用: jmp *GOT[printf] 直接跳转到 libc.so 的 printf
|
PLT Hook 的原理:在步骤 5 之后,修改 GOT[printf] 指向自定义的监控函数。未来所有对 printf 的调用都通过监控函数。
8.2 Android NDK 中的 PLT Hook 实现
void* hook_plt_function(const char* soname, const char* symbol, void* hook) {
void* base_addr = find_module_base(soname);
Elf64_Dyn* dynamic = find_dynamic_section(base_addr);
Elf64_Rela* jmprel = find_jmprel(dynamic);
Elf64_Sym* symtab = find_symtab(dynamic);
const char* strtab = find_strtab(dynamic);
for (int i = 0; i < jmprel_size; i++) {
const char* name = strtab + symtab[jmprel[i].r_info >> 32].st_name;
if (strcmp(name, symbol) == 0) {
void** got_entry = (void**)(base_addr + jmprel[i].r_offset);
original_func = *got_entry;
mprotect(page_align(got_entry), PAGE_SIZE, PROT_READ | PROT_WRITE);
*got_entry = hook;
mprotect(page_align(got_entry), PAGE_SIZE, PROT_READ);
return original_func;
}
}
return nullptr;
}
|
8.3 PLT Hook 的局限性
- 只能 hook 通过 PLT 调用的函数——静态链接的函数或通过 dlsym 直接获取地址的调用不受影响
- 需要确保 GOT 条目在可写页面上(通常 .got.plt 是可写的)
- Android 8+ 的 CFI(Control Flow Integrity)和 PAC(Pointer Authentication,ARMv8.3)可能干扰 PLT Hook
参考
