首页
社区
课程
招聘
ARM芯片详解[翻译]
发表于: 2004-12-20 19:45 13906

ARM芯片详解[翻译]

nbw 活跃值
24
2004-12-20 19:45
13906

ARM芯片详解
作者:不详
翻译:nbw

        译者注:这篇文章主要介绍了Risc结构的PDA芯片组成和汇编程序,翻译不周,肯定有错误,请多包涵,另外我忘记了出处,这里向作者表示歉意。
       
        RISC处理器被广泛应用在小型设备上,例如PDA,移动电话,智能热水器等。有很多关于RISC处理器的汇编程序,但最常见的还是ARM。
        下面我要谈的是ARM 7,因为我研究的是这个。
        让我们先了解一下ARM的架构。ARM处理器包含37个寄存器:31个通用的32位寄存器,以及6个状态寄存器。寄存器的设置取决于处理器状态。ARM状态执行32位指令,Thumb状态执行16位指令集。
        在ARM状态,有18个寄存器可用:可供直接存储的R0―R15,CPSR(当前程序状态寄存器),SPSR(被存储程序状态)。其中3个可直接存储器被称为服务寄存器。
       
        (R13)SP ??堆栈指针
        (R14)LR??连接寄存器,用来存储调用过程的函数地址(译注:可简单理解为过程返回地址)。并且,LR并非存储在堆栈中-它存在于寄存器中。
        (R15)PC??当前指令指针。用一般的mov指令就可以改变它的值,从而执行它所指向的命令。
       
        在Thumb 状态,有13个寄存器可用:R0-R8, R13-R15, CPSR, SPSR

        状态的改变,不会影响寄存器内容的变化。
        如果想进入Thumb状态,可以先将操作寄存器的状态位设为1(bit 1),然后执行BX指令。如果想进入ARM (译注:原文误为APM)状态,可以先将操作寄存器的状态位设为0(bit 0),然后执行BX指令。
        2种状态的指令集是不同的,但是很多指令都是类似的。Thumb指令集长度为2bytes,ARM-4bytes。关于2种状态指令的具体资料可以参考: http://www.atmel.com/dyn/resources/prod_documents/doc0673.pdf
        有趣的是很多指令可以同时操作多个寄存器。例如:
ADD     R3, SP, #4                 相当于: R3:=SP+4
        或者,用来存储寄存器入栈的指令:
PUSH {R2-R4, R7, LR}  这和x86汇编里面的pushad指令不同,在ARM汇编里面,这种将寄存器存入堆栈的方式是可行的。
        内存中,数据存储方式可以是低位存储(例如Intel寄存器)或者高位存储(例如Motorola寄存器)。所以,写代码时候,有必要指明数据存放方式。
        下面是一些ARM编译器的资料:
http://heanet.dl.sourceforge.net/sourceforge/gnude/gnude-arm-win.exe  - GNU compiler with all consequences - all through command line + debugging through gdb.

http://www.goldroad.co.uk/grARM.html - unpretentious ARM assembler.

http://www.arm.com/support/downloads/index.html  - official tools for ARM’s develpment. Here you can only buy them.

http://www.iar.com/  - alternative to IDA for ARM. 30-day's trial version is offered.
        下面讲解一下由C++的ARM编译器生成的ARM汇编程序。
        一般地,分析不同程序的时候,经常碰到的并不是纯粹的汇编语言,而是由C++编译器生成的代码。当然,x86汇编程序员一般不会如此。
        函数调用:
        这里不存在函数参数调用约定(例如cdecl,stdcall 等)!所有的函数调用约定类似于Borland的fastcall。参数由寄存器传入,如果数目不够,由堆栈传入。
        例如:
ROM:0001F4E2         MOV R0, SP

ROM:0001F4E4         MOV R2, *6

ROM:0001F4E6         ADD R1, R4, *0

ROM:0001F4E8        BL memcmp
        参数的传递顺序对应于寄存器编号,R0为第一个,R1为第二个,R2为第三个(译注:比较有意思)。相当于:
int memcmp (

   const void *buf1,

   const void *buf2,

   size_t count

);
buf1 = R0

buf2 = R1

count = R2

        函数返回值被存放在R0中:
ROM:0001F4E2         MOV R0, SP

ROM:0001F4E4         MOV R2, *6

ROM:0001F4E6         ADD R1, R4, *0

ROM:0001F4E8        BL memcmp

ROM:0001F4EC         CMP R0, *0

ROM:0001F4EE         BNE loc_1F4F4
        下面是一个利用堆栈传递参数的例子:
ROM:000BCDEC         MOV R2, *0

ROM:000BCDEE         STR R2, [SP]

ROM:000BCDF0         MOV R2, *128

ROM:000BCDF2         MOV R3, *128

ROM:000BCDF4        MOV R1, *14

ROM:000BCDF6         MOV R0, *0

ROM:000BCDF8         BL FillBoxColor
        上面,R0-R3存储坐标,第5个参数(色彩)被存放在堆栈中。

        只有通过分析才可以确定操作数的数目。我们可以分析函数和它的调用部分。有时候,参数信息可以通过对寄存器和堆栈的操作观察出来。例如,在Thumb状态下,程序对R0-R7和服务寄存器的操作。所以,如果看到类似于下面的代码:
ROM:00059ADA         getTextBounds                          

ROM:00059ADA         PUSH {R4-R7, LR},
        可以认为它的参数被存放在R0,R1,R2,R3和SP。如果见到:
ROM:0005924E         ADD R0, SP, *0x14

ROM:00059250         ADD R1, SP, *0x6C

ROM:00059252         ADD R2, SP, *0x68

ROM:00059254         ADD R3, SP, *0x64

ROM:00059256         BL getTextBounds
        我们看到只有R0-R3被使用,就是说只有4个参数被传递过来。

转移(Transitions )
        一般,转移分为条件转移和无条件转移。转移目标可以存放在寄存器或者其他处。寄存器转移一般用于Thumb/ARM 状态转换。无条件短转移指令为B(branch)命令。长跳转指令-BX(交换转移)。函数调用采用BL(连接转移),且调用时将返回地址存入LR寄存器。当然,改变PC寄存器内容也可以改变转移地址:
ADD PC, *0x64
但是C编译器通常不这样处理,它们在转移的时候,只是以写入命令改变PC寄存器。

分支(Branches)
        也称为转换,一般用法如下:
ROM:0027806E         CMP R2, *0x4D; 'M'

ROM:00278070         BCS loc_27807A

ROM:00278072         ADR R3, word_27807C

ROM:00278074         ADD R3, R3, R2

ROM:00278076        LDRH R3, [R3, R2]

ROM:00278078         ADD PC, R3

ROM:0027807        A

ROM:0027807        A loc_27807A                              

ROM:0027807        A B loc_278766

ROM:0027807        C word_27807C DCW 0xAA, 0xBE, 0xC6, 0x180, 0x186; 0

ROM:0027807        C DCW 0x190, 0x1A0, 0x1A8, 0x1DE, 0x1E4; 5

ROM:0027807        C DCW 0x1B0, 0x212, 0x276, 0x1FE, 0x294; 10
        首先,检查跳转标记,该标记必须小于0x40,如果大于,则跳到默认处理位置,即:loc_27807A。
        然后执行位于word_27807C 的转移控制表。这个表里面存放的是偏移,并非地址。随后,根据跳转标记,取表中的偏移,扩展之,加操作放入PC寄存器。比如,如果跳转标记为0,将会跳转到地址:
0x278078 (current value PC) +0xAA (offset from the table) + 0x4 (!!!) = 0x278126
        之所以加4,是因为ARM处理器的特征:操作PC寄存器时,其值应该比预先确定的数值大4(在文档“to ensure it is word aligned ”中有说明)。
       
内存存取

        在Thumb状态,处理器可以存取+/-256 字节的空间。因此,无法直接存取内存,而需要利用寄存器来引导。也就是无法直接定位到0x974170,而需要采用寄存器。例如:
ROM:00277FF6 LDR R0, =unk_974170

ROM:00277FF8 LDR R0, [R0]
        我们获得了0x974170处的数据,但是事情还没有结束!该有效地址(0x974170)处于有效的正负256 字节中:
ROM:00278044 off_278044 DCD unk_974170
这样,就是说,LDR指令的机器码中存储了该命令当前的地址。(译注:就是说0x974170虽然看起来比较大,实际上还是那+-256字节内,只不过通过LDR指令来定位)
        这里存在一个很艺术的优化方法:如果一个地址和该函数中另外一个被用到的地址有关联,那么这个地址可以通过算术运算指令或者间接存取来获取。举例来说,如果一个函数需要用到0x100000处的变量,并且需要用到0x100150处的另外一个变量,那么,编译器可以将这2个变量建立关联,或者采用以下代码:
LDR R0, =0x100000

ADD    R0, *0xFF

ADD    R0, *0x51

LDR R0, [R0]
        在x86里面,这种方法应用于结构中获取子结构接口。但是此处,却是一个常用的优化,这有什么好处呢?可以减小内存存储,并且算术运算比数据加载快得多。可以认为整个ARM汇编程序充满了不同的寄存器间算术运算。事实上,有多达16个寄存器用来进行此操作-减少内存和堆栈定位频度。因此,只有在非常大的函数中才需要用堆栈存储变量。对堆栈的操作和x86处理堆栈的方式一样。

IDA中的代码分析

        既然ARM文件没有统一格式,那么在加载ARM二进制映像的时候,有必要先加载该文件。在加载的时候,需要确定处理器类型。如果处理器规定代码必须按照处理器模块处理顺序,那么你可以加载映像文件并且指定需要的处理方式,ARM处理方式(低位处理)或者ARMB(高位处理)。并且,有必要建立ROM或者RAM段。总之没有固定的处理方式,具体的处理有赖于映像和每个ARM处理器的架构。例如,在ARM7中,内存一般有如下格式:
0x0 - 0x8000        of         RAM processor

0x8000 -         0x1000000 ROM

0x1000000 -         0x..... - SRAM (这里看出自身数目)
        现在就可以分析代码了,在很多设备中(一般都是移动电话),代码的入口设定为0x8000。ARM模式下的代码从0x8000开始执行,所以,开始执行的指令和该处的一样。处理器的IDA模块可以简单地分析此类switching语句,然后Thumb 代码在ARM中执行。如果手工修改跳转,可以按ALT-G,然后修改文件中的标记,如果为ARM文件,设为0,Thumb文件,设为1。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 7
支持
分享
最新回复 (15)
雪    币: 97697
活跃值: (200834)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
2
支持!!!
2004-12-20 20:17
0
雪    币: 409
活跃值: (40)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
顶!多谢个位大哥!
2004-12-20 21:29
0
雪    币: 383
活跃值: (786)
能力值: ( LV12,RANK:730 )
在线值:
发帖
回帖
粉丝
4
赞一个,一只英语会夸啦啦的:D
2004-12-25 10:39
0
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
5
最初由 askformore 发布
赞一个,一只英语会夸啦啦的:D


兄弟是哪位?回头俺牛头也顶你一把 :D :D
2004-12-26 00:26
0
雪    币: 239
活跃值: (478)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
6
牛头,你有心思在这里灌,我的东东加快进度!
2004-12-27 12:41
0
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
7
最初由 hmimys 发布
牛头,你有心思在这里灌,我的东东加快进度!


兄弟,会死人的。。。。
2004-12-27 21:17
0
雪    币: 257
活跃值: (369)
能力值: ( LV12,RANK:370 )
在线值:
发帖
回帖
粉丝
8
这篇文章不错,楼主新苦了。

最初由 hmimys 发布
牛头,你有心思在这里灌,我的东东加快进度!


有好东东就共享出来哦,兄弟先谢了!
2004-12-27 22:24
0
雪    币: 0
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
9
辛苦 楼主 了 强
2004-12-29 19:06
0
雪    币: 251
活跃值: (260)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
10
怎么翻译开这个了,最近也再学arm,有空切磋一下 :)
2005-1-1 13:17
0
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
11
最初由 yesky1 发布
怎么翻译开这个了,最近也再学arm,有空切磋一下 :)


我只是翻译一下,了解一下,没怎么专门学习。呵呵
2005-1-1 14:39
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
看着好累,有中文的就好多了
2009-6-24 17:12
0
雪    币: 14
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
学习了,值得收藏
好东西要顶起来,让大家都看到
2009-6-26 01:35
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
MARK一下.
2009-6-26 18:05
0
雪    币: 295
活跃值: (461)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
15
逆向过一个,RAM和ROM的位置确定不好的话,IDA翻译的代码是错误的。那个位置让我头疼了几天
2009-7-20 08:43
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
汇编看的头疼啊。。。
2009-7-20 11:24
0
游客
登录 | 注册 方可回帖
返回
//