ARM晶片詳解[翻譯]

標 題:ARM晶片詳解[翻譯]

發信人:nbw 

時 間:2004-12-20,19:45 

詳細資訊: 

ARM晶片詳解
作者：不詳
翻譯：nbw

  譯者注：這篇文章主要介紹了Risc結構的PDA晶片組成和彙編程式，翻譯不周，肯定有錯誤，請多包涵，另外我忘記了出處，這裡向作者表示歉意。
  
  RISC處理器被廣泛應用在小型裝置上，例如PDA，行動電話，智慧熱水器等。有很多關於RISC處理器的彙編程式，但最常見的還是ARM。
  下面我要談的是ARM 7，因為我研究的是這個。
  讓我們先了解一下ARM的架構。ARM處理器包含37個暫存器：31個通用的32位暫存器，以及6個狀態暫存器。暫存器的設定取決於處理器狀態。ARM狀態執行32位指令，Thumb狀態執行16位指令集。
  在ARM狀態，有18個暫存器可用：可供直接儲存的R0―R15，CPSR（當前程式狀態暫存器），SPSR（被儲存程式狀態）。其中3個可直接儲存器被稱為服務暫存器。
  
  （R13）SP DD堆疊指標
  （Ｒ14）LRDD連線暫存器，用來儲存呼叫過程的函式地址（譯註：可簡單理解為過程返回地址）。並且，ＬＲ並非儲存在堆疊中－它存在於暫存器中。
  （Ｒ15）PCDD當前指令指標。用一般的ｍｏｖ指令就可以改變它的值，從而執行它所指向的命令。
  
  在Thumb 狀態，有13個暫存器可用：R0-R8, R13-R15, CPSR, SPSR

  狀態的改變，不會影響暫存器內容的變化。
  如果想進入Thumb狀態，可以先將操作暫存器的狀態位設為１（bit 1），然後執行BX指令。如果想進入ARM （譯註：原文誤為APM）狀態，可以先將操作暫存器的狀態位設為０（bit 0），然後執行BX指令。
  ２種狀態的指令集是不同的，但是很多指令都是類似的。Thumb指令集長度為２bytes，ARM－4bytes。關於２種狀態指令的具體資料可以參考： http://www.atmel.com/dyn/resources/prod_documents/doc0673.pdf 
  有趣的是很多指令可以同時操作多個暫存器。例如：
ADD     R3, SP, #4     相當於：　R3:=SP+4 
  或者，用來儲存暫存器入棧的指令：
PUSH {R2-R4, R7, LR} 　這和x86彙編裡面的pushad指令不同，在ARM彙編裡面，這種將暫存器存入堆疊的方式是可行的。
  記憶體中，資料儲存方式可以是低位儲存（例如Intel暫存器）或者高位儲存（例如Motorola暫存器）。所以，寫程式碼時候，有必要指明資料存放方式。
  下面是一些ＡＲＭ編譯器的資料：
http://heanet.dl.sourceforge.net/sourceforge/gnude/gnude-arm-win.exe  - GNU compiler with all consequences - all through command line + debugging through gdb. 

http://www.goldroad.co.uk/grARM.html - unpretentious ARM assembler. 

http://www.arm.com/support/downloads/index.html  - official tools for ARM’s develpment. Here you can only buy them. 

http://www.iar.com/  - alternative to IDA for ARM. 30-day's trial version is offered. 
  下面講解一下由Ｃ＋＋的ＡＲＭ編譯器生成的ＡＲＭ彙編程式。
  一般地，分析不同程式的時候，經常碰到的並不是純粹的組合語言，而是由Ｃ＋＋編譯器生成的程式碼。當然，x86彙編程式設計師一般不會如此。
  函式呼叫：
  這裡不存在函式引數呼叫約定（例如cdecl，stdcall 等）！所有的函式呼叫約定類似於Borland的fastcall。引數由暫存器傳入，如果數目不夠，由堆疊傳入。
  例如：
ROM:0001F4E2   MOV R0, SP 

ROM:0001F4E4   MOV R2, *6 

ROM:0001F4E6   ADD R1, R4, *0 

ROM:0001F4E8  BL memcmp 
  引數的傳遞順序對應於暫存器編號，Ｒ０為第一個，Ｒ１為第二個，Ｒ２為第三個（譯註：比較有意思）。相當於：
int memcmp ( 

   const void *buf1, 

   const void *buf2, 

   size_t count 

); 
buf1 = R0 

buf2 = R1 

count = R2 

  函式返回值被存放在Ｒ０中：
ROM:0001F4E2   MOV R0, SP 

ROM:0001F4E4   MOV R2, *6 

ROM:0001F4E6   ADD R1, R4, *0 

ROM:0001F4E8  BL memcmp 

ROM:0001F4EC   CMP R0, *0 

ROM:0001F4EE   BNE loc_1F4F4 
  下面是一個利用堆疊傳遞引數的例子：
ROM:000BCDEC   MOV R2, *0 

ROM:000BCDEE   STR R2, [SP] 

ROM:000BCDF0   MOV R2, *128 

ROM:000BCDF2   MOV R3, *128 

ROM:000BCDF4  MOV R1, *14 

ROM:000BCDF6   MOV R0, *0 

ROM:000BCDF8   BL FillBoxColor 
  上面，Ｒ０－Ｒ３儲存座標，第５個引數（色彩）被存放在堆疊中。

  只有透過分析才可以確定運算元的數目。我們可以分析函式和它的呼叫部分。有時候，引數資訊可以透過對暫存器和堆疊的操作觀察出來。例如，在Thumb狀態下，程式對Ｒ０－Ｒ７和服務暫存器的操作。所以，如果看到類似於下面的程式碼：
ROM:00059ADA   getTextBounds                          

ROM:00059ADA   PUSH {R4-R7, LR}, 
  可以認為它的引數被存放在Ｒ０，Ｒ１，Ｒ２，Ｒ３和ＳＰ。如果見到：
ROM:0005924E   ADD R0, SP, *0x14 

ROM:00059250   ADD R1, SP, *0x6C 

ROM:00059252   ADD R2, SP, *0x68 

ROM:00059254   ADD R3, SP, *0x64 

ROM:00059256   BL getTextBounds 
  我們看到只有Ｒ０－Ｒ３被使用，就是說只有４個引數被傳遞過來。

轉移（Transitions ）
  一般，轉移分為條件轉移和無條件轉移。轉移目標可以存放在暫存器或者其他處。暫存器轉移一般用於Thumb/ARM 狀態轉換。無條件短轉移指令為Ｂ（branch）命令。長跳轉指令－BX（交換轉移）。函式呼叫採用BL（連線轉移），且呼叫時將返回地址存入ＬＲ暫存器。當然，改變ＰＣ暫存器內容也可以改變轉移地址：
ADD PC, *0x64
但是Ｃ編譯器通常不這樣處理，它們在轉移的時候，只是以寫入命令改變ＰＣ暫存器。

分支（Branches）
  也稱為轉換，一般用法如下：
ROM:0027806E   CMP R2, *0x4D; 'M' 

ROM:00278070   BCS loc_27807A 

ROM:00278072   ADR R3, word_27807C 

ROM:00278074   ADD R3, R3, R2 

ROM:00278076  LDRH R3, [R3, R2] 

ROM:00278078   ADD PC, R3 

ROM:0027807  A

ROM:0027807  A loc_27807A                               

ROM:0027807  A B loc_278766 

ROM:0027807  C word_27807C DCW 0xAA, 0xBE, 0xC6, 0x180, 0x186; 0 

ROM:0027807  C DCW 0x190, 0x1A0, 0x1A8, 0x1DE, 0x1E4; 5 

ROM:0027807  C DCW 0x1B0, 0x212, 0x276, 0x1FE, 0x294; 10 
  首先，檢查跳轉標記，該標記必須小於0x40，如果大於，則跳到預設處理位置，即：loc_27807A。
  然後執行位於word_27807C 的轉移控制表。這個表裡面存放的是偏移，並非地址。隨後，根據跳轉標記，取表中的偏移，擴充套件之，加操作放入ＰＣ暫存器。比如，如果跳轉標記為０，將會跳轉到地址：
0x278078 (current value PC) +0xAA (offset from the table) + 0x4 (!!!) = 0x278126
  之所以加４，是因為ＡＲＭ處理器的特徵：操作ＰＣ暫存器時，其值應該比預先確定的數值大４（在文件“to ensure it is word aligned ”中有說明）。
  
記憶體存取

  在Thumb狀態，處理器可以存取256 位元組的空間。因此，無法直接存取記憶體，而需要利用暫存器來引導。也就是無法直接定位到0x974170，而需要採用暫存器。例如：
ROM:00277FF6 LDR R0, =unk_974170 

ROM:00277FF8 LDR R0, [R0] 
  我們獲得了0x974170處的資料，但是事情還沒有結束！該有效地址（0x974170）處於有效的正負256 位元組中：
ROM:00278044 off_278044 DCD unk_974170
這樣，就是說，LDR指令的機器碼中儲存了該命令當前的地址。（譯註：就是說0x974170雖然看起來比較大，實際上還是那+-256位元組內，只不過透過LDR指令來定位）
  這裡存在一個很藝術的最佳化方法：如果一個地址和該函式中另外一個被用到的地址有關聯，那麼這個地址可以透過算術運算指令或者間接存取來獲取。舉例來說，如果一個函式需要用到0x100000處的變數，並且需要用到0x100150處的另外一個變數，那麼，編譯器可以將這2個變數建立關聯，或者採用以下程式碼：
LDR R0, =0x100000 

ADD    R0, *0xFF 

ADD    R0, *0x51 

LDR R0, [R0] 
  在x86裡面，這種方法應用於結構中獲取子結構介面。但是此處，卻是一個常用的最佳化，這有什麼好處呢？可以減小記憶體儲存，並且算術運算比資料載入快得多。可以認為整個ARM彙編程式充滿了不同的暫存器間算術運算。事實上，有多達16個暫存器用來進行此操作－減少記憶體和堆疊定位頻度。因此，只有在非常大的函式中才需要用堆疊儲存變數。對堆疊的操作和x86處理堆疊的方式一樣。

ＩＤＡ中的程式碼分析

  既然ＡＲＭ檔案沒有統一格式，那麼在載入ＡＲＭ二進位制映像的時候，有必要先載入該檔案。在載入的時候，需要確定處理器型別。如果處理器規定程式碼必須按照處理器模組處理順序，那麼你可以載入映像檔案並且指定需要的處理方式，ＡＲＭ處理方式（低位處理）或者ＡＲＭＢ（高位處理）。並且，有必要建立ＲＯＭ或者ＲＡＭ段。總之沒有固定的處理方式，具體的處理有賴於映像和每個ＡＲＭ處理器的架構。例如，在ＡＲＭ７中，記憶體一般有如下格式：
0x0 - 0x8000  of   RAM processor 

0x8000 -   0x1000000 ROM 

0x1000000 -   0x..... - SRAM （這裡看出自身數目）
  現在就可以分析程式碼了，在很多裝置中（一般都是行動電話），程式碼的入口設定為0x8000。ＡＲＭ模式下的程式碼從0x8000開始執行，所以，開始執行的指令和該處的一樣。處理器的ＩＤＡ模組可以簡單地分析此類switching語句，然後Thumb 程式碼在ＡＲＭ中執行。如果手工修改跳轉，可以按ALT-G，然後修改檔案中的標記，如果為ＡＲＭ檔案，設為０，Thumb檔案，設為１。