ARM芯片详解翻译

译者注：这篇文章主要介绍了Risc结构的PDA芯片组成和汇编程序，翻译不周，肯定有错误，请多包涵，另外我忘记了出处，这里向作者表示歉意。
  
  RISC处理器被广泛应用在小型设备上，例如PDA，移动电话，智能热水器等。有很多关于RISC处理器的汇编程序，但最常见的还是ARM。
  下面我要谈的是ARM 7，因为我研究的是这个。
  让我们先了解一下ARM的架构。ARM处理器包含37个寄存器：31个通用的32位寄存器，以及6个状态寄存器。寄存器的设置取决于处理器状态。ARM状态执行32位指令，Thumb状态执行16位指令集。
  在ARM状态，有18个寄存器可用：可供直接存储的R0―R15，CPSR（当前程序状态寄存器），SPSR（被存储程序状态）。其中3个可直接存储器被称为服务寄存器。
  
  （R13）SP ??堆栈指针
  （Ｒ14）LR??连接寄存器，用来存储调用过程的函数地址（译注：可简单理解为过程返回地址）。并且，ＬＲ并非存储在堆栈中－它存在于寄存器中。
  （Ｒ15）PC??当前指令指针。用一般的ｍｏｖ指令就可以改变它的值，从而执行它所指向的命令。
  
  在Thumb 状态，有13个寄存器可用：R0-R8, R13-R15, CPSR, SPSR

  状态的改变，不会影响寄存器内容的变化。
  如果想进入Thumb状态，可以先将操作寄存器的状态位设为１（bit 1），然后执行BX指令。如果想进入ARM （译注：原文误为APM）状态，可以先将操作寄存器的状态位设为０（bit 0），然后执行BX指令。
  ２种状态的指令集是不同的，但是很多指令都是类似的。Thumb指令集长度为２bytes，ARM－4bytes。关于２种状态指令的具体资料可以参考： http://www.atmel.com/dyn/resources/p...ts/doc0673.pdf 
  有趣的是很多指令可以同时操作多个寄存器。例如：
ADD     R3, SP, #4     相当于：　R3:=SP+4 
  或者，用来存储寄存器入栈的指令：
PUSH {R2-R4, R7, LR} 　这和x86汇编里面的pushad指令不同，在ARM汇编里面，这种将寄存器存入堆栈的方式是可行的。
  内存中，数据存储方式可以是低位存储（例如Intel寄存器）或者高位存储（例如Motorola寄存器）。所以，写代码时候，有必要指明数据存放方式。
  下面是一些ＡＲＭ编译器的资料：
http://heanet.dl.sourceforge.net/sou...de-arm-win.exe  - GNU compiler with all consequences - all through command line + debugging through gdb. 

http://www.goldroad.co.uk/grARM.html - unpretentious ARM assembler. 

http://www.arm.com/support/downloads/index.html  - official tools for ARM’s develpment. Here you can only buy them. 

http://www.iar.com/  - alternative to IDA for ARM. 30-day's trial version is offered. 
  下面讲解一下由Ｃ＋＋的ＡＲＭ编译器生成的ＡＲＭ汇编程序。
  一般地，分析不同程序的时候，经常碰到的并不是纯粹的汇编语言，而是由Ｃ＋＋编译器生成的代码。当然，x86汇编程序员一般不会如此。
  函数调用：
  这里不存在函数参数调用约定（例如cdecl，stdcall 等）！所有的函数调用约定类似于Borland的fastcall。参数由寄存器传入，如果数目不够，由堆栈传入。
  例如：
ROM:0001F4E2   MOV R0, SP 

ROM:0001F4E4   MOV R2, *6 

ROM:0001F4E6   ADD R1, R4, *0 

ROM:0001F4E8  BL memcmp 
  参数的传递顺序对应于寄存器编号，Ｒ０为第一个，Ｒ１为第二个，Ｒ２为第三个（译注：比较有意思）。相当于：
int memcmp ( 

   const void *buf1, 

   const void *buf2, 

   size_t count 

); 
buf1 = R0 

buf2 = R1 

count = R2 

  函数返回值被存放在Ｒ０中：
ROM:0001F4E2   MOV R0, SP 

ROM:0001F4E4   MOV R2, *6 

ROM:0001F4E6   ADD R1, R4, *0 

ROM:0001F4E8  BL memcmp 

ROM:0001F4EC   CMP R0, *0 

ROM:0001F4EE   BNE loc_1F4F4 
  下面是一个利用堆栈传递参数的例子：
ROM:000BCDEC   MOV R2, *0 

ROM:000BCDEE   STR R2, [SP] 

ROM:000BCDF0   MOV R2, *128 

ROM:000BCDF2   MOV R3, *128 

ROM:000BCDF4  MOV R1, *14 

ROM:000BCDF6   MOV R0, *0 

ROM:000BCDF8   BL FillBoxColor 
  上面，Ｒ０－Ｒ３存储坐标，第５个参数（色彩）被存放在堆栈中。

  只有通过分析才可以确定操作数的数目。我们可以分析函数和它的调用部分。有时候，参数信息可以通过对寄存器和堆栈的操作观察出来。例如，在Thumb状态下，程序对Ｒ０－Ｒ７和服务寄存器的操作。所以，如果看到类似于下面的代码：
ROM:00059ADA   getTextBounds                          

ROM:00059ADA   PUSH {R4-R7, LR}, 
  可以认为它的参数被存放在Ｒ０，Ｒ１，Ｒ２，Ｒ３和ＳＰ。如果见到：
ROM:0005924E   ADD R0, SP, *0x14 

ROM:00059250   ADD R1, SP, *0x6C 

ROM:00059252   ADD R2, SP, *0x68 

ROM:00059254   ADD R3, SP, *0x64 

ROM:00059256   BL getTextBounds 
  我们看到只有Ｒ０－Ｒ３被使用，就是说只有４个参数被传递过来。

转移（Transitions ）
  一般，转移分为条件转移和无条件转移。转移目标可以存放在寄存器或者其他处。寄存器转移一般用于Thumb/ARM 状态转换。无条件短转移指令为Ｂ（branch）命令。长跳转指令－BX（交换转移）。函数调用采用BL（连接转移），且调用时将返回地址存入ＬＲ寄存器。当然，改变ＰＣ寄存器内容也可以改变转移地址：
ADD PC, *0x64
但是Ｃ编译器通常不这样处理，它们在转移的时候，只是以写入命令改变ＰＣ寄存器。

分支（Branches）
  也称为转换，一般用法如下：
ROM:0027806E   CMP R2, *0x4D; 'M' 

ROM:00278070   BCS loc_27807A 

ROM:00278072   ADR R3, word_27807C 

ROM:00278074   ADD R3, R3, R2 

ROM:00278076  LDRH R3, [R3, R2] 

ROM:00278078   ADD PC, R3 

ROM:0027807  A

ROM:0027807  A loc_27807A                               

ROM:0027807  A B loc_278766 

ROM:0027807  C word_27807C DCW 0xAA, 0xBE, 0xC6, 0x180, 0x186; 0 

ROM:0027807  C DCW 0x190, 0x1A0, 0x1A8, 0x1DE, 0x1E4; 5 

ROM:0027807  C DCW 0x1B0, 0x212, 0x276, 0x1FE, 0x294; 10 
  首先，检查跳转标记，该标记必须小于0x40，如果大于，则跳到默认处理位置，即：loc_27807A。
  然后执行位于word_27807C 的转移控制表。这个表里面存放的是偏移，并非地址。随后，根据跳转标记，取表中的偏移，扩展之，加操作放入ＰＣ寄存器。比如，如果跳转标记为０，将会跳转到地址：
0x278078 (current value PC) +0xAA (offset from the table) + 0x4 (!!!) = 0x278126
  之所以加４，是因为ＡＲＭ处理器的特征：操作ＰＣ寄存器时，其值应该比预先确定的数值大４（在文档“to ensure it is word aligned ”中有说明）。
  
内存存取

  在Thumb状态，处理器可以存取+/-256 字节的空间。因此，无法直接存取内存，而需要利用寄存器来引导。也就是无法直接定位到0x974170，而需要采用寄存器。例如：
ROM:00277FF6 LDR R0, =unk_974170 

ROM:00277FF8 LDR R0, [R0] 
  我们获得了0x974170处的数据，但是事情还没有结束！该有效地址（0x974170）处于有效的正负256 字节中：
ROM:00278044 off_278044 DCD unk_974170
这样，就是说，LDR指令的机器码中存储了该命令当前的地址。（译注：就是说0x974170虽然看起来比较大，实际上还是那+-256字节内，只不过通过LDR指令来定位）
  这里存在一个很艺术的优化方法：如果一个地址和该函数中另外一个被用到的地址有关联，那么这个地址可以通过算术运算指令或者间接存取来获取。举例来说，如果一个函数需要用到0x100000处的变量，并且需要用到0x100150处的另外一个变量，那么，编译器可以将这2个变量建立关联，或者采用以下代码：
LDR R0, =0x100000 

ADD    R0, *0xFF 

ADD    R0, *0x51 

LDR R0, [R0] 
  在x86里面，这种方法应用于结构中获取子结构接口。但是此处，却是一个常用的优化，这有什么好处呢？可以减小内存存储，并且算术运算比数据加载快得多。可以认为整个ARM汇编程序充满了不同的寄存器间算术运算。事实上，有多达16个寄存器用来进行此操作－减少内存和堆栈定位频度。因此，只有在非常大的函数中才需要用堆栈存储变量。对堆栈的操作和x86处理堆栈的方式一样。

ＩＤＡ中的代码分析

  既然ＡＲＭ文件没有统一格式，那么在加载ＡＲＭ二进制映像的时候，有必要先加载该文件。在加载的时候，需要确定处理器类型。如果处理器规定代码必须按照处理器模块处理顺序，那么你可以加载映像文件并且指定需要的处理方式，ＡＲＭ处理方式（低位处理）或者ＡＲＭＢ（高位处理）。并且，有必要建立ＲＯＭ或者ＲＡＭ段。总之没有固定的处理方式，具体的处理有赖于映像和每个ＡＲＭ处理器的架构。例如，在ＡＲＭ７中，内存一般有如下格式：
0x0 - 0x8000  of   RAM processor 

0x8000 -   0x1000000 ROM 

0x1000000 -   0x..... - SRAM （这里看出自身数目）
  现在就可以分析代码了，在很多设备中（一般都是移动电话），代码的入口设定为0x8000。ＡＲＭ模式下的代码从0x8000开始执行，所以，开始执行的指令和该处的一样。处理器的ＩＤＡ模块可以简单地分析此类switching语句，然后Thumb 代码在ＡＲＭ中执行。如果手工修改跳转，可以按ALT-G，然后修改文件中的标记，如果为ＡＲＭ文件，设为０，Thumb文件，设为１。