• ARMv7-A 那些事 - 7.栈回溯浅析

    By: Ailson Jack
    Date: 2023.10.14
    个人博客http://www.only2fire.com/
    本文在我博客的地址是:http://www.only2fire.com/archives/159.html,排版更好,便于学习,也可以去我博客逛逛,兴许有你想要的内容呢。

    微信公众号嵌入式那些事

    在嵌入式开发过程中,经常需要对代码进行调试来解决各种各样的问题,常用的调试手段有:

    (1)、开发环境搭配硬件仿真器进行在线调试。优点:调试过程中能够清楚的知道各个寄存器的值以及各个变量的值,程序的执行流程也能够一目了然。缺点:板卡需要引出硬件仿真器的连接口,并且需要购买硬件仿真器。

    (2)、通过调试串口打印信息梳理程序的执行流程,结合代码分析问题产生的原因。优点:足够简单,通过增加较多的打印信息来分析问题出现的位置,再结合代码分析问题产生的原因。缺点:没法准确的定位问题产生的位置和原因。

    (3)、在应用或者操作系统死机的时候,根据操作系统输出的异常栈信息进行分析,再结合镜像或者应用的反汇编代码进行定位。通常这种方法和方法(2)结合使用。

    本文主要简单的讲讲栈回溯,对于以后去理解操作系统的异常栈处理打个基础吧。

    ARM处理器的栈回溯主要有两种方式:一种是基于栈帧寄存器(FP)的栈回溯,另一种是unwind形式的栈回溯。本文主要讲讲基于栈帧寄存器(FP)的栈回溯。

    栈回溯相关寄存器

    在栈回溯过程中,主要涉及如下寄存器:

    R15:又叫程序计数器(Program Counter)PC,PC主要用于存放CPU取指的地址。

    R14:又叫链接寄存器(Link register)LR,LR主要用于存放函数的返回地址,即当函数返回时,知道自己该回到哪儿去继续运行。

    R13:又叫堆栈指针寄存器(Stack pointer)SP,SP通常用于保存堆栈地址,在使用入栈和出栈指令时,SP中的堆栈地址会自动的更新。

    R12:又叫内部过程调用暂存寄存器(Intra-Procedure-call scratch register)IP,主要用于暂存SP。

    R11:又叫帧指针寄存器(Frame pointer)FP,通常指向一个函数的栈帧底部,表示一个函数栈的开始位置。

    ARM栈帧结构

    依据AAPCS (ARM Archtecture Procedure Call Standard)规范,当调用子函数时,子函数一开始的代码总是会执行压栈操作来保留父函数的相关信息,压栈步骤示例如下所示:

    mov	ip, sp
push {fp, ip, lr, pc}
sub	fp, ip, #4
sub	sp, sp, #16
...

    • 1
    • 2
    • 3
    • 4
    • 5

    每个函数都有自己的栈空间,这一部分称为栈帧。栈帧在函数被调用的时候创建,在函数返回后销毁。每个函数的栈帧是由SP寄存器和FP寄存器来界定的,ARM栈帧结构典型示意图如下所示:

    在这里插入图片描述
    上图描述的栈帧,main函数和func1函数的示意代码如下:

    int func1(int p1, int p2, int p3, int p4, int p5)
{
    int i;
    int j;

    i = 0xf3;
    j = 0xf6;

    return 0;
}

int main(int argc, char *argv[])
{
    int i;
    int j;

    i = 0x33;
    j = 0x66;
    func1(0xa1, 0xa2, 0xa3, 0xa4, 0xa5);

    return 0;
}

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22

    每个函数的栈帧中都会保存调用该函数之前的PC、LR、SP、FP寄存器的值;如果函数具有参数并且函数内部使用了局部变量,那么函数栈帧中也会保存函数的参数和局部变量;如果被调用的子函数参数过多,那么多余的参数会通过父函数的栈进行传递。比如func1函数的参数p5通过main函数的栈帧进行传递的。(注:编译器的版本不同,函数栈帧中参数和局部变量的压栈顺序可能不同,PC,LR,SP和FP这4个寄存器的压栈顺序一般是固定的)

    函数栈帧中的PC和LR均指向代码段,PC表示执行入栈指令时CPU正在取指的地址,LR表示当前函数返回后继续执行的地址。

    栈回溯原理

    在栈回溯的过程中,我们主要利用FP寄存器进行栈回溯。通过FP就可以知道当前函数的栈底,从而可以找到存储在栈帧中的LR寄存器的数据,这个数据就是函数的返回地址。同时也可以找到保存在函数栈帧中的上一级函数FP的数据,这个数据指向了上一级函数的栈底,按照同样的方法可以找出上一级函数栈帧中存储的LR和FP数据,就知道哪个函数调用了上一级函数以及这个函数的栈底地址。这就是栈回溯的流程,整个流程以FP为核心,依次找出每个函数栈帧中存储的LR和FP数据,计算出函数返回地址和上一级函数栈底地址,从而找出每一级函数调用关系。

    栈回溯编译选项

    当gcc的编译选项带有-mapcs-frame时,编译出来的代码能够将PC,LR,SP和FP寄存器的值压入函数的栈帧中。默认情况下gcc的编译选项为-mno-apcs-frame ,此时编译出来的代码不一定会将PC,LR,SP和FP这四个寄存器的值压入函数的栈帧中,可能只会将LR和FP寄存器的值压入函数的栈帧中。关于-mapcs-frame选项,gcc的手册描述如下:

    Generate a stack frame that is compliant with the ARM Procedure Call Standard for all 
functions, even if this is not strictly necessary for correct execution of the code. 
Specifying ‘-fomit-frame-pointer’ with this option causes the stack frames not to be 
generated for leaf functions. The default is ‘-mno-apcs-frame’.
This option is deprecated.

    • 1
    • 2
    • 3
    • 4
    • 5

    我这里使用的gcc信息如下:

    $ arm-none-eabi-gcc -v
...
gcc version 10.3.1 20210824 (release) (GNU Arm Embedded Toolchain 10.3-2021.10)

    • 1
    • 2
    • 3

    虽然gcc手册上说-mapcs-frame选项被废弃了,但是只有添加了该选项,编译出来的代码才会将PC,LR,SP和FP寄存器的值压入函数的栈帧中。

    我这里编译代码仍然使用-mapcs-frame选项,有知道该选项对应的新的栈帧配置选项的兄弟可以告知我一下。

    栈回溯示例

    根据前面的内容,这里简单的写了一个栈回溯的示例,函数调用流程为:main -> test_a -> test_b -> test_c

    函数的源代码如下:

    int test_a(int arg0, int arg1, int arg2, int arg3, int arg4)
{
    int a;

    a = 0xff11;

    test_b(0xbb00);

    return a;
}

int test_b(int arg0)
{
    int b;

    b = 0xff22;

    test_c(0xcc00);

    return b;
}

int test_c(int arg0)
{
    int c;

    c = 0xff33;

    return c;
}

int main(void)
{
    int val;

    val = 0xff00;

    test_a(0xaa00, 0xaa11, 0xaa22, 0xaa33, 0xaa44);

    return 0;
}

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    • 28
    • 29
    • 30
    • 31
    • 32
    • 33
    • 34
    • 35
    • 36
    • 37
    • 38
    • 39
    • 40
    • 41

    上述函数的反汇编内容如下:

    80002164 <test_a>:

int test_a(int arg0, int arg1, int arg2, int arg3, int arg4)
{
80002164:	e1a0c00d 	mov	ip, sp
80002168:	e92dd800 	push	{fp, ip, lr, pc}
8000216c:	e24cb004 	sub	fp, ip, #4
80002170:	e24dd018 	sub	sp, sp, #24
80002174:	e50b0018 	str	r0, [fp, #-24]	; 0xffffffe8
80002178:	e50b101c 	str	r1, [fp, #-28]	; 0xffffffe4
8000217c:	e50b2020 	str	r2, [fp, #-32]	; 0xffffffe0
80002180:	e50b3024 	str	r3, [fp, #-36]	; 0xffffffdc
	int a;

	a = 0xff11;
80002184:	e30f3f11 	movw	r3, #65297	; 0xff11
80002188:	e50b3010 	str	r3, [fp, #-16]

	test_b(0xbb00);
8000218c:	e3a00cbb 	mov	r0, #47872	; 0xbb00
80002190:	eb000003 	bl	800021a4 <test_b>

	return a;
80002194:	e51b3010 	ldr	r3, [fp, #-16]
}
80002198:	e1a00003 	mov	r0, r3
8000219c:	e24bd00c 	sub	sp, fp, #12
800021a0:	e89da800 	ldm	sp, {fp, sp, pc}

800021a4 <test_b>:

int test_b(int arg0)
{
800021a4:	e1a0c00d 	mov	ip, sp
800021a8:	e92dd800 	push	{fp, ip, lr, pc}
800021ac:	e24cb004 	sub	fp, ip, #4
800021b0:	e24dd010 	sub	sp, sp, #16
800021b4:	e50b0018 	str	r0, [fp, #-24]	; 0xffffffe8
	int b;

	b = 0xff22;
800021b8:	e30f3f22 	movw	r3, #65314	; 0xff22
800021bc:	e50b3010 	str	r3, [fp, #-16]

	test_c(0xcc00);
800021c0:	e3a00b33 	mov	r0, #52224	; 0xcc00
800021c4:	eb000003 	bl	800021d8 <test_c>

	return b;
800021c8:	e51b3010 	ldr	r3, [fp, #-16]
}
800021cc:	e1a00003 	mov	r0, r3
800021d0:	e24bd00c 	sub	sp, fp, #12
800021d4:	e89da800 	ldm	sp, {fp, sp, pc}

800021d8 <test_c>:

int test_c(int arg0)
{
800021d8:	e1a0c00d 	mov	ip, sp
800021dc:	e92dd800 	push	{fp, ip, lr, pc}
800021e0:	e24cb004 	sub	fp, ip, #4
800021e4:	e24dd010 	sub	sp, sp, #16
800021e8:	e50b0018 	str	r0, [fp, #-24]	; 0xffffffe8
	int c;

	c = 0xff33;
800021ec:	e30f3f33 	movw	r3, #65331	; 0xff33
800021f0:	e50b3010 	str	r3, [fp, #-16]

	return c;
800021f4:	e51b3010 	ldr	r3, [fp, #-16]
}
800021f8:	e1a00003 	mov	r0, r3
800021fc:	e24bd00c 	sub	sp, fp, #12
80002200:	e89da800 	ldm	sp, {fp, sp, pc}

80002204 <main>:

int main(void)
{
80002204:	e1a0c00d 	mov	ip, sp
80002208:	e92dd800 	push	{fp, ip, lr, pc}
8000220c:	e24cb004 	sub	fp, ip, #4
80002210:	e24dd010 	sub	sp, sp, #16
	int val;

	val = 0xff00;
80002214:	e3a03cff 	mov	r3, #65280	; 0xff00
80002218:	e50b3010 	str	r3, [fp, #-16]

	test_a(0xaa00, 0xaa11, 0xaa22, 0xaa33, 0xaa44);
8000221c:	e30a3a44 	movw	r3, #43588	; 0xaa44
80002220:	e58d3000 	str	r3, [sp]
80002224:	e30a3a33 	movw	r3, #43571	; 0xaa33
80002228:	e30a2a22 	movw	r2, #43554	; 0xaa22
8000222c:	e30a1a11 	movw	r1, #43537	; 0xaa11
80002230:	e3a00caa 	mov	r0, #43520	; 0xaa00
80002234:	ebffffca 	bl	80002164 <test_a>

	return 0;
80002238:	e3a03000 	mov	r3, #0
}
8000223c:	e1a00003 	mov	r0, r3
80002240:	e24bd00c 	sub	sp, fp, #12
80002244:	e89da800 	ldm	sp, {fp, sp, pc}

    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8
    • 9
    • 10
    • 11
    • 12
    • 13
    • 14
    • 15
    • 16
    • 17
    • 18
    • 19
    • 20
    • 21
    • 22
    • 23
    • 24
    • 25
    • 26
    • 27
    • 28
    • 29
    • 30
    • 31
    • 32
    • 33
    • 34
    • 35
    • 36
    • 37
    • 38
    • 39
    • 40
    • 41
    • 42
    • 43
    • 44
    • 45
    • 46
    • 47
    • 48
    • 49
    • 50
    • 51
    • 52
    • 53
    • 54
    • 55
    • 56
    • 57
    • 58
    • 59
    • 60
    • 61
    • 62
    • 63
    • 64
    • 65
    • 66
    • 67
    • 68
    • 69
    • 70
    • 71
    • 72
    • 73
    • 74
    • 75
    • 76
    • 77
    • 78
    • 79
    • 80
    • 81
    • 82
    • 83
    • 84
    • 85
    • 86
    • 87
    • 88
    • 89
    • 90
    • 91
    • 92
    • 93
    • 94
    • 95
    • 96
    • 97
    • 98
    • 99
    • 100
    • 101
    • 102
    • 103
    • 104
    • 105
    • 106

    当程序运行到test_c()函数的return c;代码处时,FP的值为0x9FDFFF94,此时内存数据如下:

    在这里插入图片描述
    test_c()函数的栈底为0x9FDFFF94,可以得到test_c()函数栈帧中LR为0x800021C8、FP为0x9FDFFFB4,LR是test_c()函数执行完成后的返回地址,与反汇编代码中test_b()函数调用完test_c()之后的下一个执行地址一致:

    800021c0:	e3a00b33 	mov	r0, #52224	; 0xcc00
800021c4:	eb000003 	bl	800021d8 <test_c>

	return b;
800021c8:	e51b3010 	ldr	r3, [fp, #-16] // test_c() 函数返回后继续执行的地址

    • 1
    • 2
    • 3
    • 4
    • 5

    FP为0x9FDFFFB4表示test_b()函数的栈底为0x9FDFFFB4,有了test_b()函数的栈底就可以得到test_b()函数栈帧中LR为0x80002194、FP为0x9FDFFFDC,从而知道test_b()函数执行完成后的返回地址以及test_a()函数的栈底,依次逐级回溯,就可以知道程序的整个运行流程了。

    在栈回溯的过程中我们可以利用addr2line工具辅助我们对程序执行流程的分析。

    欢迎关注博主的公众号(微信搜索公众号:嵌入式那些事),可以扫描下面的公众号二维码:

    在这里插入图片描述
    如果文中有什么问题欢迎指正,毕竟博主的水平有限。

    如果这篇文章对你有帮助,记得点赞和关注博主就行了^_^。

    排版更好的内容见我博客的地址:http://www.only2fire.com/archives/159.html

    注:转载请注明出处,谢谢!^_^

  • 相关阅读:
    陈春花发布声明,这场流量狂欢该到了收尾的时候
    牛顿法(牛顿拉夫逊)配电网潮流计算matlab程序
    vmware for linux 下载和安装
    深度探索C++对象模型 记录
    android接入微信API相关细节
    Spring支持人工智能应用框架-SpringAi
    Element表格和表单字典转换(静态和动态)
    结构体数组经典运用---选票系统
    【深度学习】ResNet网络详解
    Python之第六章 内置容器 --- 正则表达式
  • 原文地址:https://blog.csdn.net/jackailson/article/details/133823352