背景:
????最近在某個RTOS上遇到一個系統(tǒng)BUG,幾經(jīng)折騰通砍,終于將其斬于馬下冤灾。結(jié)局美好前域,過程卻很曲折,在分析定位問題的時候韵吨,順便把ARM上C函數(shù)調(diào)用stack frame機(jī)制捋了一遍匿垄,記錄并分享一下。
概念:
棧:
1)從數(shù)據(jù)結(jié)構(gòu)的角度來理解归粉,棧是一種描述先進(jìn)后出的數(shù)據(jù)結(jié)構(gòu)椿疗;
2)從進(jìn)程的內(nèi)存空間角度來理解,棧是一種特殊的內(nèi)存段糠悼,用于存放局部變量变丧、函數(shù)參數(shù)、返回值等绢掰;
第一種角度,用來描述本身的特性童擎,第二種角度滴劲,是將這種數(shù)據(jù)結(jié)構(gòu)的特性用于實際的內(nèi)存空間中。
棧幀:每個進(jìn)程都會有自己的椆烁矗空間班挖,而進(jìn)程中的各個函數(shù)也會維護(hù)自己本身的一個棧的區(qū)域,這個區(qū)域就是棧幀芯砸。那么一個函數(shù)的棧幀的區(qū)域是如何來界定的呢萧芙?當(dāng)然,我首先會普及ARM的幾個特殊寄存器功能假丧。
R11:frame pointer双揪,F(xiàn)P寄存器
R12:IP寄存器,用于暫存SP
R13:stack pointer包帚,SP寄存器
R14:link register渔期,LR寄存器
R15:PC寄存器
而在ARM上,函數(shù)的棧幀是由SP寄存器和FP寄存器來界定的渴邦,相信你應(yīng)該見過下邊這張比較經(jīng)典的圖了:
? ? 上圖描述的是main函數(shù)調(diào)用func1函數(shù)的棧幀情況疯趟,從圖可知,當(dāng)main函數(shù)調(diào)用func1函數(shù)時谋梭,func1函數(shù)會先將PC信峻、LR、SP瓮床、FP四個寄存器壓到棧上邊盹舞,其中SP和FP的值分別指向main函數(shù)棧幀的兩個邊界产镐,LR的值保存的是func1調(diào)用結(jié)束之后的返回值,PC值表示的是當(dāng)前執(zhí)行到的指令地址矾策,放置的是進(jìn)入func1后的指令地址磷账。緊接著就會在棧上分配一片區(qū)域,用于放置局部變量等贾虽。
? ? 如果func1中還調(diào)用了func2子函數(shù)逃糟,那么也會為func2創(chuàng)建一個棧幀,并且func2的SP和FP會指向func1棧幀的兩個邊界蓬豁。這樣當(dāng)函數(shù)返回的時候绰咽,參數(shù)進(jìn)行出棧,也能找到Caller函數(shù)地粪,這個也就是backtrace的原理了取募。
示例:
????反匯編分析某段代碼,如下圖所示:
紅色部分蟆技,表明進(jìn)入到函數(shù)時先將幾個特殊的寄存器壓棧
黃色部分玩敏,sub sp, sp, #16,表明開辟一個4 x 32bit大小的棧區(qū)域
藍(lán)色部分质礼,將傳入的參數(shù)壓棧旺聚,在ARM ATPCS中規(guī)定,寄存器R0-R3用來傳參
綠色部分眶蕉,調(diào)用子函數(shù)
????那么砰粹,我們順道看看子函數(shù)的棧幀區(qū)域吧:
? ? 從圖中可以看出,機(jī)制是一樣的造挽,當(dāng)最終queue_push函數(shù)調(diào)用結(jié)束后碱璃,棧上的數(shù)據(jù)進(jìn)行出棧,根據(jù)fp和ip饭入,便能找到workflow_gather_input函數(shù)的棧幀了嵌器。
????當(dāng)然,并不是所有函數(shù)調(diào)用都需要先push? {fp, ip, lr, pc}谐丢,當(dāng)子函數(shù)調(diào)用過程中嘴秸,并不會去改變這些值的時候,就不需要壓棧庇谆,說白了岳掐,壓棧的目的就是為了在使用完的時候能恢復(fù)原來的狀態(tài)。我會再次提供一個例子:
? ? strlen函數(shù)中沒有子函數(shù)的調(diào)用饭耳,所以進(jìn)入函數(shù)后串述,直接就在棧上分配4 * 32bit大小的區(qū)域了。
????棧里邊能分析出每個參數(shù)的值寞肖,以及函數(shù)調(diào)用時的傳參纲酗,這對分析與定位問題很有幫助衰腌。成熟的系統(tǒng)可能會提供一堆工具來dump stack,并去分析調(diào)用關(guān)系觅赊,但是在RTOS上右蕊,很多卻并不完善,需要一定的低層知識去分析才能解決問題吮螺。
