ARM64堆栈回溯

最新推荐文章于 2024-04-12 14:22:20 发布
置顶 最新推荐文章于 2024-04-12 14:22:20 发布
阅读量3.7k 收藏 27
点赞数 7
分类专栏: 故障分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rikeyone/article/details/105636895
版权

基于AAPCS64栈帧的组织方式

先看一个实例代码程序:

#include <stdio.h>

int callee_func2(int a)
{
    int b = 2;
    return a + b;
}

int callee_func1(int a)
{
    int b = 1, c;

    c = callee_func2(a);
    return b + c;
}

int main(void)
{
    int ret;
    ret = callee_func1(0);
    return 0;
}

对该程序进行编译以及反汇编操作:

aarch64-linux-gnu-gcc test.c -o test
aarch64-linux-gnu-objdump -d test > disassemble.txt

打开disassemble.txt查看汇编代码:

 0000000000400578 <main>:
   400578:   a9be7bfd    stp x29, x30, [sp,#-32]!
   40057c:   910003fd    mov x29, sp
   400580:   52800000    mov w0, #0x0                    // #0
   400584:   97fffff0    bl  400544 <callee_func1>
   400588:   b9001fa0    str w0, [x29,#28]
   40058c:   52800000    mov w0, #0x0                    // #0
   400590:   a8c27bfd    ldp x29, x30, [sp],#32
   400594:   d65f03c0    ret

主要查看main函数的入口位置,函数的入口最早做的就是对函数跳转的现场进行保存:

400578:   a9be7bfd    stp x29, x30, [sp,#-32]!

这一行表示把上一个函数的FP和LR寄存器push保存到sp-32的位置上,并且对sp地址-32操作,也就是说对于 main 函数预留了32 bytes的堆栈空间进行使用。

40057c:   910003fd    mov x29, sp

第二行,表示更新main函数使用的堆栈帧地址到FP中。这样通过FP寄存器我们可以在后续调用中对main函数的栈帧再进行保存。参考后面调用callee_func1函数的操作。

400584:   97fffff0    bl  400544 <callee_func1>

这一步会执行跳转操作,同时会把返回地址更新到LR寄存器。接下来分析callee_func1函数:

0000000000400544 <callee_func1>:
  400544:   a9bd7bfd    stp x29, x30, [sp,#-48]!
  400548:   910003fd    mov x29, sp
  40054c:   b9001fa0    str w0, [x29,#28]
  400550:   52800020    mov w0, #0x1                    // #1
  400554:   b9002fa0    str w0, [x29,#44]
  400558:   b9401fa0    ldr w0, [x29,#28]
  40055c:   97fffff1    bl  400520 <callee_func2>
  400560:   b9002ba0    str w0, [x29,#40]
  400564:   b9402fa1    ldr w1, [x29,#44]
  400568:   b9402ba0    ldr w0, [x29,#40]
  40056c:   0b000020    add w0, w1, w0
  400570:   a8c37bfd    ldp x29, x30, [sp],#48
  400574:   d65f03c0    ret

在该子函数中,我们看到依然是同样的套路,第一步会先把FP和LR寄存器保存到堆栈中:

  400544:   a9bd7bfd    stp x29, x30, [sp,#-48]!

这一行就把main函数使用的FP和LR寄存器保存到堆栈中了,并且对SP寄存器地址-48,含义就是预留了48 bytes的堆栈空间给callee_func1使用。再接着看该函数的最后返回:

400570:   a8c37bfd    ldp x29, x30, [sp],#48

这里把上一级main函数使用的FP和LR从堆栈中恢复出来了。同时对sp寄存器执行+48操作,从而恢复上一级函数的堆栈指针现场,然后调用ret操作:

400574:   d65f03c0    ret

这一行会自动把LR寄存器保存的地址赋值给PC,也就因此跳转回main函数继续运行。

如何根据栈信息恢复函数调用关系

假如遇到机器panic的情况,首先从SP堆栈指针我可以看到,该SP指针对应的地址处,保存的应该就是上一级函数的LR寄存器和FP寄存器现场。根据(LR-4)可以找到上一级函数所在的地址(为什么-4?因为LR中保存的是返回后要执行的下一条指令,所以-4后的位置就是jmp的label)。上一级FP寄存器实际上就等于上一级函数使用的堆栈栈顶,当然这里栈顶依然会保存更上一级的LR和FP寄存器现场,按照这种链式保存的格式,可以回溯整个函数的调用流程。这样我们可以利用gdb来查看对应地址所对应的函数了。
比如本例中:

callee_func1 SP/FP --> callee_func1 stack top -- > saved main LR/FP
main LR-4 -- > main function label
main FP   ---> main stack top --> (save caller's FP and LR)

最后的函数执行

需要特别留意的是,当一个函数为最底层函数,并且不再调用其他函数时,FP在该函数中不会继续更新了,比如上例中的 callee_func2 函数,它不会调用其他函数,从它的汇编代码中查看,该函数在入口处并没有更新FP寄存器,因此也就不需要对FP做入栈保存的动作。仅仅对SP做了更新

0000000000400520 <callee_func2>:
  400520:   d10083ff    sub sp, sp, #0x20
  400524:   b9000fe0    str w0, [sp,#12]
  400528:   52800040    mov w0, #0x2                    // #2
  40052c:   b9001fe0    str w0, [sp,#28]
  400530:   b9400fe1    ldr w1, [sp,#12]
  400534:   b9401fe0    ldr w0, [sp,#28]
  400538:   0b000020    add w0, w1, w0
  40053c:   910083ff    add sp, sp, #0x20
  400540:   d65f03c0    ret
程序猿Ricky的日常干货
关注
  • 7
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
backtrace:适用于ARM Cortex-M的嵌入式回溯堆栈退卷器
05-04
回溯Red Rocket Computing,LLC版权所有2015, 概述Backtrace是一个非常小的(不超过4.5K)堆栈退卷器,设计用于在ARM Cortex-M系列微处理器上运行的深度嵌入式C应用程序。 Backtrace使用ARM GCC -funwind-tables...
corehandler:当程序崩溃时生成带有堆栈回溯的报告,适用于嵌入式 Linux ARM 系统
06-01
核心处理程序对于嵌入式 Linux ARM 系统,当程序崩溃时生成带有堆栈回溯的报告。
一文解析Arm64回溯
youzhangjing_的博客
07-11 970
发生异常的函数可以根据pc寄存器得到,该函数是栈回溯的第一个函数。sp寄存器指向了第一个栈帧中的FP1寄存器,即0xffffffc0ee823b80地址,FP1向高地址偏移8字节得到LR1寄存器,即0xffffff80087369e4地址,该地址位于dwc3_ep0_stall_and_restart函数内,该函数是栈回溯的第二个函数。每产生一次函数调用,就会在栈中形成一个栈帧,该栈总共保存了4个栈帧(Stack Frame),每个栈帧由FP、LR及栈参数(函数参数、函数局部变量等)组成。
aarch64-linux-gnu-objdump -d ./vmlinux
sunyun1990的专栏
03-31 430
.....
Arm64回溯
非专业业余程序员
06-01 2048
手动回溯Arm64栈帧
arm 函数栈回溯
qq_42693685的博客
07-26 2118
回溯
AARCH64平台的栈回溯
ashimida
12-08 3861
一、术语解释: 1.栈顶/栈底[1]: 栈中最后一个push,第一个被pop的位置是栈顶;栈中最后一个被pop,且pop后当前栈为空的位置是栈底; 2.Current Function Frame Address[2]: 当前函数栈帧,在aarch64中是当前函数执行完prologue后的栈顶地址, 其可以通过__builtin_frame_address(0)函数获取. 3.Canonical Frame Address(CFA)[3]:标准/规范栈帧地址,在aarch64中是当前...
ARM架构的基础知识和栈回溯法小结
qq_37200742的博客
11-30 191
ARM架构的基础知识和栈回溯法小结
ARM64架构栈帧回溯
最新发布
小立仔
04-12 1405
ARM64架构栈帧回溯简介以及demo演示
arm32 arm64 riscv32 riscv64 基于fp进行栈回溯unwind
u011011827的博客
06-16 362
【代码】arm32 arm64 riscv32 riscv64 基于fp进行栈回溯unwind。
ARM64栈结构浅析
weixin_48450161的博客
05-08 383
SP指针在进入函数的时候一次性偏移了64字节,之后再也没有移动过SP指针,所以答案是否定的,个人推测是编译的时候编译器先扫了一遍代码,如果有定义局部变量的地方就提到前面去,如果有依赖后面的变量(例如int e = b + c),不能直接确定其值的情况,编译器会拆分成多个指令。在编译阶段就已经确定了b的地址,运行的时候可以说和b这个名字再没关系,符号表保存的是函数等(动态链接可能有变量名?1、写程序的时候,有的编译器支持在代码块中间定义一个局部变量,那么SP指针会在定义的时候再进行偏移吗?
arm32栈回溯原理学习以及示例代码
深海
02-04 1046
简单介绍下传统栈回溯原理,方便理解。
xUnwind:xUnwind是Android本机堆栈展开解决方案的集合
05-05
放松 xUnwind是Android本机堆栈展开解决... 支持armeabi-v7a,arm64-v8a,x86和x86_64。 麻省理工学院许可。 用法 1.在build.gradle中添加依赖项 xUnwind在上发布,并使用软件包格式来满足, 支持该格式。 allpro
IDA_ARM_Unwind:IDA插件,调试手臂时展开堆栈跟踪
04-14
IDA 的菜单栏有一处功能:Debugger -> Debugger windows -> Stack trace (Ctrl + Alt + S),在调试 x86、x64、arm64 的程序时它的功能是正常的,在调试 arm 程序时它的功能是不正常的,表现出来栈回溯缺失和栈回溯...
ARM JTAG调试原理.rar
04-01
4. **错误定位**:当程序出错时,通过堆栈回溯和异常处理信息,快速定位问题根源。 5. **硬件检测**:通过JTAG接口可以直接访问CPU寄存器,检测硬件配置是否正确。 通过《ARM JTAG调试原理》这本书,开发者可以...
crash常用的调试命令
程序猿Ricky的日常干货
05-08 9040
我的crash常用命令如下所示: log/dmesg: 打印出故障现场的kmsg缓冲区log_buf中的内容。 struct:展示结构体的定义,或者从指定的地址开始解析一个结构体。 union:与struct类似,但是用于union的展示 p:print查看某个变量的值,实际上是调用gdb的p命令 whatis:展示结构体、联合体等定义 bt <pid>:展示调用堆栈信息,如果不加参数...
使用crash工具分析高通ramdump
程序猿Ricky的日常干货
04-21 7020
工具准备 1.下载并编译arm64平台上的crash工具 从github上下载crash工具源代码: git clone https://github.com/crash-utility/crash.git 编译针对arm64平台的crash工具: make target=ARM64 sudo make install 2.解析高通的ramdump数据 使用crash加载ramdump数据,...
汇编test %rax %rax的含义
程序猿Ricky的日常干货
01-05 6779
x86平台上使用汇编如何判断一个值是否为0? 一般会使用该指令: test %rax %rax je xxx test指令会判断后面两个操作数执行AND操作,结果为0就设置zero flag,然后搭配je跳转指令从而实现对一个值是否为0的判断。 如果%rax值为0,那么他们相与才会等于0,否则该值不会为0. ...
arm处理器堆栈指针
03-05
ARM处理器中有三个重要的指针寄器,分别是堆栈指针寄存器(SP)、程序计数器(PC)和连接寄存器(LR)[^1]。其中,堆栈指针寄存器(SP)在ARM处理器中通常被用作堆栈指针。根据不同的模式,ARM处理器有多个堆栈指针(SP),包括用户模式、系统模式和各种异常模式。每个模式都有自己的专用堆栈指针寄存器(SP),例如R13、R13_svc、R13_abt、R13_und、R13_irq和R13_fiq。 堆栈指针的增减方向和堆栈的状态可以分为四种类型:满递增、空递增、满递减和空递减。满递增表示堆栈指针向大数值方向增加,堆栈中含有有效数据;空递增表示堆栈指针向大数值方向增加,但堆栈中没有有效数据;满递减表示堆栈指针向小数值方向减少,堆栈中含有有效数据;空递减表示堆栈指针向小数值方向减少,但堆栈中没有有效数据。 ARM处理器的堆栈操作非常灵活,支持这四种类型的堆栈堆栈指针寄存器(SP)在不使用堆栈时也可以用作通用数据寄存器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值