程式碼 or 指令,淺析ARM架構下的函式的呼叫過程

華為雲開發者社群發表於2021-01-28
摘要:linux程式執行的狀態以及如何推導呼叫棧。

1、背景知識

1、ARM64暫存器介紹:

程式碼 or 指令,淺析ARM架構下的函式的呼叫過程

2、STP指令詳解(ARMV8手冊):

程式碼 or 指令,淺析ARM架構下的函式的呼叫過程

我們先看一下指令格式(64bit),以及指令對於寄存機執行結果的影響

程式碼 or 指令,淺析ARM架構下的函式的呼叫過程

型別1、STP <Xt1>, <Xt2>, [<Xn|SP>], #<imm>

將Xt1和Xt2存入Xn|SP對應的地址記憶體中,然後,將Xn|SP的地址變更為Xn|SP + imm偏移量的新地址

型別2、STP <Xt1>, <Xt2>, [<Xn|SP>, #<imm>]!

將Xt1和Xt2存入Xn|SP的地址自加imm對應的地址記憶體中,然後,將Xn|SP的地址變更為Xn|SP + imm的offset偏移量後的新地址

型別3、STP <Xt1>, <Xt2>, [<Xn|SP>{, #<imm>}]

將Xt1和Xt2存入Xn|SP的地址自加imm對應的地址記憶體中

手冊中有三種操作碼,我們只討論程式中涉及的後兩種

Pseudocode如下:

Shared decode for all encodings
integer n = UInt(Rn);
integer t = UInt(Rt);
integer t2 = UInt(Rt2);
if L:opc<0> == '01' || opc == '11' then UNDEFINED;
integer scale = 2 + UInt(opc<1>);
integer datasize = 8 << scale;
bits(64) offset = LSL(SignExtend(imm7, 64), scale);
boolean tag_checked = wback || n != 31;
Operation for all encodings
bits(64) address;
bits(datasize) data1;
bits(datasize) data2;
constant integer dbytes = datasize DIV 8;
boolean rt_unknown = FALSE;
if HaveMTEExt() then
         SetNotTagCheckedInstruction(!tag_checked);
if wback && (t == n || t2 == n) && n != 31 then
    Constraint c = ConstrainUnpredictable();
    assert c IN {Constraint_NONE, Constraint_UNKNOWN, Constraint_UNDEF, Constraint_NOP};
    case c of
        when Constraint_NONE rt_unknown = FALSE; // value stored is pre-writeback
        when Constraint_UNKNOWN rt_unknown = TRUE; // value stored is UNKNOWN
        when Constraint_UNDEF UNDEFINED;
        when Constraint_NOP EndOfInstruction();
if n == 31 then
 CheckSPAlignment();
    address = SP[];
else
    address = X[n];
if !postindex then
    address = address + offset;
if rt_unknown && t == n then
    data1 = bits(datasize) UNKNOWN;
else
    data1 = X[t];
if rt_unknown && t2 == n then
    data2 = bits(datasize) UNKNOWN;
else
    data2 = X[t2];
Mem[address, dbytes, AccType_NORMAL] = data1;
Mem[address+dbytes, dbytes, AccType_NORMAL] = data2;
if wback then
  if postindex then
        address = address + offset;
    if n == 31 then
        SP[] = address;
    else
        X[n] = address;

紅色部分對應推棧的關鍵邏輯,其他彙編指令含義可自行參考armv8手冊或者度娘。

2、一個例子

熟悉了上面的部分,接下來我們看一個例項:

C程式碼如下:

程式碼 or 指令,淺析ARM架構下的函式的呼叫過程

相關的幾個函式反彙編如下(和推棧相關的一般只有入口兩條指令):

main\f3\f4\strlen

程式碼 or 指令,淺析ARM架構下的函式的呼叫過程

我們通過gdb執行後,可以看到strlen地方會觸發SEGFAULT,引發程式掛掉

程式碼 or 指令,淺析ARM架構下的函式的呼叫過程

上述通過程式碼編譯後,沒有strip,因此elf檔案是帶著符號的

檢視執行狀態(info register):關注$29、$30、SP、PC四個暫存器

程式碼 or 指令,淺析ARM架構下的函式的呼叫過程

一個核心的思想:CPU執行的是指令而不是C程式碼,函式呼叫和返回實際是線上程棧上面的壓棧和彈棧的過程

接下來我們來看上面的呼叫關係在當前這個任務棧是如何玩的:

程式碼 or 指令,淺析ARM架構下的函式的呼叫過程

函式呼叫在棧中的關係(call function壓棧,地址遞減;return彈棧,地址遞增):

程式碼 or 指令,淺析ARM架構下的函式的呼叫過程

以下是推棧的過程(劃重點)

再回頭來看之前的彙編:

main\f3\f4\strlen

程式碼 or 指令,淺析ARM架構下的函式的呼叫過程

從當前的sp開始,frame 0是strlen,這塊沒有開棧,因此上一級的呼叫函式仍然是x30,因此推導:frame1呼叫為f3

程式碼 or 指令,淺析ARM架構下的函式的呼叫過程

函式f3的起始入口彙編:

(gdb) x/2i f3
   0x400600 <f3>: stp   x29, x30, [sp,#-48]!
   0x400604 <f3+4>:      mov x29, sp

可以看到,f3函式開闢的棧空間為48位元組,因此,倒推frame2的棧頂為當前的sp + 48位元組:0xfffffffff2c0

(gdb) x/gx 0xfffffffff2c0+8
0xfffffffff2c8:    0x000000000040065c
(gdb) x/i 0x000000000040065c
   0x40065c <f4+36>:    mov w0, #0x0                       // #0
frame2的函式為sp+80x000000000040065c -> <f4+36>

繼續從sp = 0xfffffffff2c0倒推frame1的函式

函式f4的起始入口彙編為:

(gdb) x/2i f4
   0x400638 <f4>: stp   x29, x30, [sp,#-48]!
   0x40063c <f4+4>:      mov x29, sp

可以看到,f4函式開闢的棧空間也是為48位元組,因此,倒推frame3的棧頂為當前的0xfffffffff2c0 + 48位元組:0xfffffffff2f0

frame2的函式為0xfffffffff2c0 + 80x000000000040065c -> <f4+36>
(gdb) x/gx 0xfffffffff2f0+8
0xfffffffff2f8:    0x0000000000400684
(gdb) x/i 0x0000000000400684
   0x400684 <main+28>:       mov w0, #0x0                       // #0

因此frame3的函式為main函式,main函式對應的棧頂為0xfffffffff320

至此推導結束(有興趣的同學可以繼續推導,可以看到libc如何拉起main的過程)

總結:

推棧的關鍵:

  • 當前的現場
  • 熟悉cpu體系架構的開棧的方式

3、實戰講解

現場有如下的core:可以看到,所有的符號找不到,載入了符號表依然不好使,解析不出來實際的呼叫棧

(gdb) bt
#0  0x0000ffffaeb067bc in ?? () from /lib64/libc.so.6
#1  0x0000aaaad15cf000 in ?? ()
Backtrace stopped: previous frame inner to this frame (corrupt stack?)

先看info register,關注x29、x30、sp、pc四個暫存器的值

程式碼 or 指令,淺析ARM架構下的函式的呼叫過程

推導任務棧:

先將sp內容匯出:

下圖實際已先將結果標出,我們下面來詳細描述如何推導

程式碼 or 指令,淺析ARM架構下的函式的呼叫過程

pc代表當前執行的函式指令,如果當前指令未開棧,一般情況x30代表上一級的frame呼叫當前函式的下一條指令,檢視彙編,可以反解為如下函式

(gdb) x/i 0xaaaacd3de4fc
   0xaaaacd3de4fc <PGXCNodeConnStr(char const*, int, char const*, char const*, char const*, char const*, int, char const*)+108>: mov x27, x0

找到棧頂函式後,檢視該函式的棧操作:

(gdb) x/6i PGXCNodeConnStr
   0xaaaacd3de490 <PGXCNodeConnStr(char const*, int, char const*, char const*, char const*, char const*, int, char const*)>: sub  sp, sp, #0xd0
   0xaaaacd3de494 <PGXCNodeConnStr(char const*, int, char const*, char const*, char const*, char const*, int, char const*)+4>:      stp   x29, x30, [sp,#80]
   0xaaaacd3de498 <PGXCNodeConnStr(char const*, int, char const*, char const*, char const*, char const*, int, char const*)+8>:      add  x29, sp, #0x50

可以看到,上一級的frame存在了當前的sp + 0xd0 - 0x80也就是0xfffec4cebd40 + 0xd0 - 0x80 = 0xfffec4cebd90的地方,而棧底在0xfffec4cebd40+ 0xd0 = 0xfffec4cebe10的地方

程式碼 or 指令,淺析ARM架構下的函式的呼叫過程

因此就找到了下一級的frame對應的棧頂和上一級的LR返回指令,反解,可以得到函式build_node_conn_str

(gdb) x/i 0x0000aaaacd414e08
   0xaaaacd414e08 <build_node_conn_str(Oid, DatabasePool*)+224>:     mov x21, x0

繼續重複上述推導,可以看到這個函式build_node_conn_str開了176位元組的棧,

(gdb) x/4i build_node_conn_str
   0xaaaacd414d28 <build_node_conn_str(Oid, DatabasePool*)>:     stp   x29, x30, [sp,#-176]!
   0xaaaacd414d2c <build_node_conn_str(Oid, DatabasePool*)+4>: mov x29, sp

因此繼續用0xfffec4cebe10 + 176 = 0xfffec4cebec0

程式碼 or 指令,淺析ARM架構下的函式的呼叫過程

檢視呼叫者0xfffec4cebe10+8為reload_database_pools

程式碼 or 指令,淺析ARM架構下的函式的呼叫過程

繼續看reload_database_pools

(gdb) x/8i reload_database_pools
   0xaaaacd4225e8 <reload_database_pools(PoolAgent*)>:       sub   sp, sp, #0x1c0
   0xaaaacd4225ec <reload_database_pools(PoolAgent*)+4>:  adrp x5, 0xaaaad15cf000
   0xaaaacd4225f0 <reload_database_pools(PoolAgent*)+8>:   adrp x3, 0xaaaacf0ed000
   0xaaaacd4225f4 <reload_database_pools(PoolAgent*)+12>: adrp x4, 0xaaaaceeed000 <_ZN4llvm18ConvertUTF8toUTF16EPPKhS1_PPtS3_NS_15ConversionFlagsE>
   0xaaaacd4225f8 <reload_database_pools(PoolAgent*)+16>: add  x3, x3, #0x9e0
   0xaaaacd4225fc <reload_database_pools(PoolAgent*)+20>: adrp x1, 0xaaaacf0ee000 <_ZZ25PoolManagerGetConnectionsP4ListS0_E8__func__+24>
   0xaaaacd422600 <reload_database_pools(PoolAgent*)+24>:         stp   x29, x30, [sp,#-96]!

實際開棧0x220位元組,因此這一層frame的棧底為0xfffec4cebec0 + 0x220 = 0xfffec4cec0e0

程式碼 or 指令,淺析ARM架構下的函式的呼叫過程

因此得到基本的呼叫關係的結構如下

程式碼 or 指令,淺析ARM架構下的函式的呼叫過程

以上基本可以夠用來分析問題了,因此不需要再繼續推導

TIPS:arm架構下一般呼叫都會使用這種指令,

stp x29, x30, [sp,#immediate]! 有歎號或者無歎號

因此在每一層的frame都儲存了上一層frame的棧頂地址和LR指令,通過準確找到底層的frame 0棧頂後,就可以快速推匯出所有的呼叫關係(紅色虛線圈出來的部分),函式的反解依賴符號表,只要原始的elf檔案的symbol段沒有strip掉,是都可以找到對應的函式符號(通過readelf -S檢視即可)

程式碼 or 指令,淺析ARM架構下的函式的呼叫過程

找到Frame後,每一層frame裡面的內容,結合彙編基本就可以用來推導過程變數了。

本文分享自華為雲社群《程式碼 or 指令,淺析ARM架構下的函式的呼叫過程》,原文作者:K______。

 

點選關注,第一時間瞭解華為雲新鮮技術~

相關文章