182
2021 元旦好,祝大家新的一年顺顺顺。
为什么会写篇栈变化的文章?做系统分析的话你肯定遇到过一些 crash, oops 等棘手问题,一般大家都会用 gdb, objdump 或者 addr2line 等工具分析 pc 位置来定位出错的地方。但是这些分析工具背后的本质原理就不见得理解深刻了,而且有的时候面对一系列 backtrace 或者 stack 日志处于懵逼的状态。
今天和大家一起看下面对 crash 日志的时候,如何利用 stack 来分析其变化的来龙去脉。
崇尚简单粗暴的介绍方式,我们直接来看各个寄存器的大体用法,详细用法可百度,不,谷歌。
1. r0-r3 用作传入函数参数,传出函数返回值。在子程序调用之间,可以将 r0-r3 用于任何用途。被调用函数在返回之前不必恢复 r0-r3。--- 如果调用函数需要再次使用 r0-r3 的内容,则它必须保留这些内容。2. r4-r11 被用来存放函数的局部变量。如果被调用函数使用了这些寄存器,它在返回之前必须恢复这些寄存器的值。r11 是栈帧指针 fp。3. r12 是内部调用暂时寄存器 ip。它在过程链接胶合代码(例如,交互操作胶合代码)中用于此角色。在过程调用之间,可以将它用于任何用途。被调用函数在返回之前不必恢复 r12。4. 寄存器 r13 是栈指针 sp。它不能用于任何其它用途。sp 中存放的值在退出被调用函数时必须与进入时的值相同。5. 寄存器 r14 是链接寄存器 lr。如果您保存了返回地址,则可以在调用之间将 r14 用于其它用途,程序返回时要恢复 6. 寄存器 r15 是程序计数器 pc。它不能用于任何其它用途。
演示代码
假如现在你已经掌握了 arm 指令的用法,即便没有掌握也没关系,“书到用时回头翻”。这里以一段简单的 c 语言为例:
#includeint m = 8;int fun(int a,int b){int c = 0;c = a + b;return c;}int main(){int i = 4;int j = 5;m = fun(i, j);return 0;}
编译一下,然后反汇编:
$ arm-linux-gnueabi-gcc main.c -o main $ arm-linux-gnueabi-objdump -D -D main
00010400: 10400: e52db004 push {fp} ; (str fp, [sp, #-4]!)10404: e28db000 add fp, sp, #010408: e24dd014 sub sp, sp, #201040c: e50b0010 str r0, [fp, #-16]10410: e50b1014 str r1, [fp, #-20] ; 0xffffffec10414: e3a03000 mov r3, #010418: e50b3008 str r3, [fp, #-8]1041c: e51b2010 ldr r2, [fp, #-16]10420: e51b3014 ldr r3, [fp, #-20] ; 0xffffffec10424: e0823003 add r3, r2, r310428: e50b3008 str r3, [fp, #-8]1042c: e51b3008 ldr r3, [fp, #-8]10430: e1a00003 mov r0, r310434: e24bd000 sub sp, fp, #010438: e49db004 pop {fp} ; (ldr fp, [sp], #4)1043c: e12fff1e bx lr00010440
: 10440: e92d4800 push {fp, lr} 10444: e28db004 add fp, sp, #4 10448: e24dd008 sub sp, sp, #8 1044c: e3a03004 mov r3, #4 10450: e50b300c str r3, [fp, #-12] 10454: e3a03005 mov r3, #5 10458: e50b3008 str r3, [fp, #-8] 1045c: e51b1008 ldr r1, [fp, #-8] 10460: e51b000c ldr r0, [fp, #-12] 10464: ebffffe5 bl 10400 10468: e1a02000 mov r2, r0 1046c: e59f3010 ldr r3, [pc, #16] ; 10484 10470: e5832000 str r2, [r3] 10474: e3a03000 mov r3, #0 10478: e1a00003 mov r0, r3 1047c: e24bd004 sub sp, fp, #4 10480: e8bd8800 pop {fp, pc} 10484: 00021024 andeq r1, r2, r4, lsr #32
图解栈的变化过程
如何能让读者接受吸收的更快,我一直觉得按照学习效率来讲的话顺序应该是视频,图文,文字。反正我是比较喜欢视频类的教学。这里给大家画下栈变化的过程是什么样子的。这里的图是结合上面的代码来画的,希望有助于读者的理解。
1. 程序在内存分布区域
2. 全局变量 m 赋值
3. 保存进入 main 之前的栈底, fp-sp 之间是当前函数栈
4. 函数 main 的栈已经准备好了
5.i 入栈
6.j 入栈
7. 准备函数 fun 的调用, 形参反向入栈 先形参 b 入栈
8. 形参 a 入栈
9. 留空一个地址作为 fun 返回值, 待后面返回时填入
10.fun 返回地址入栈, 通常是 main 函数当前 pc 指针的下一个
11.main 函数的栈底地址入栈
12.pc 指针跳转 fun 代码
13.c 入栈
14. 可以看到函数 fun 的数据 形参 a,b 在上一层函数的栈中 . 一部分在自己的栈上 . 此步取值到加法器中进行加法运算,再赋值给 c
15.c 赋给返回值,填入上面的留空位置
16. 栈底恢复上一层
17.lr 赋值给 pc, 实现了跳转
18. 返回值赋值给全局变量 m
19. 前面函数调用的形参已经无用,回滚 sp
20. 函数返回,清理 main 的栈空间
总结
这么多图有没有看花?相信到这里你已经了解了栈背后的来龙去脉,下一篇我们一起根据实际的 stack 错误案例剖析错误的可能性。
下载ECAD模型
.jpg?x-oss-process=image/resize,m_fill,w_128,h_96)
