一、前言
本文以一个简单的例子来描述ARM linux下的stack frame。
本文也是对tigger网友问题的回复。
二、源代码
#include <stdio.h>
static int static_interface_leaf( int x, int y )
{
int tmp0 = 0x12;
int tmp1 = 0x34;
int tmp2 = 0x56;tmp0 = x;
tmp1 = y;return (tmp0+tmp1+tmp2);
}int public_interface_leaf( int x, int y )
{
int tmp0 = 0x12;
int tmp1 = 0x34;
int tmp2 = 0x56;tmp0 = x;
tmp1 = y;return (tmp0+tmp1+tmp2);
}void public_interface( int x )
{
int tmp0 = 0x12;
int tmp1 = 0x34;tmp0 = x;
public_interface_leaf( tmp0, tmp1 );
static_interface_leaf( tmp0, tmp1 );
}int main(int argc, char **argv)
{
int tmp0 = 0x12;public_interface( tmp0 );
return 0;
}
三、逐级stack frame分析
1、准备知识
根据AAPCS的描述,stack是full-descending并且需要满足两种约束:一种是通用约束,适用所有的场景,另外一种是针对public interface的约束。通用约束有3条:
(1)SP只能访问stack base和stack limit之间的memory,即Stack-limit < SP <= stack-base
(2)SP必须对齐在4个字节上,即SP mod 4 = 0
(3)函数只能访问自己能回溯的那些栈帧。例如f1调用f2,而f2函数又调用了f3,那么f3是可以访问自己的stack以及f2和f1的stack,也就是说,函数可以访问[SP, stack-base – 1]之间的内容
对public interface的约束多了一条,就是SP必须对齐在8个字节上,即SP mod 8 = 0
关于ARM的ABI,还有一份文档,IHI0046B_ABI_Advisory_1,这份文件中讲到,在调用所有的AAPCS兼容的函数的时候都要求SP是对齐在8个字节上。
2、起始点的用户栈的情况
在静态链接文档中,我们说过,函数的入口函数不是main函数而是_start函数,调用序列是_start()->__libc_start_main()->main()。main函数之前对于所有的程序都是一样的,因此不需要每一个程序员都重复进行那些动作,因此留给程序员一个main函数的入口,开始自己相关逻辑的处理。内核在start函数(我在这里以及后面的文档中省略了下划线)之前的stack frame并不是空的,内核会创建一些资料在stack上,具体如下:
具体怎么在用户栈上建立上面的数据结构,有兴趣的同学可以参考内核的create_elf_tables函数。此外,需要提醒的是这些数据内容虽然在栈上,但是不是stack frame的一部分,有点类似内核空间到用户空间参数传递的味道。为何这么说呢?因为在start函数中有一条汇编指令:mov fp, #0,该指令清除frame pointer,在debugger做栈的回溯的时候,当fp等于0的时候也就意味着到了最外层函数。
3、start函数的start frame
0000829c <_start>:
829c: e59fc024 ldr ip, [pc, #36] ; 82c8 <.text+0x2c>
82a0: e3a0b000 mov fp, #0 ; 0x0--------最外层函数,清除frame pointer
82a4: e49d1004 ldr r1, [sp], #4----------r1 = argc, sp=sp+4,sp指向了argv[]
82a8: e1a0200d mov r2, sp----------r2保存了stack end,也就是argv[]那个位置
82ac: e52d2004 str r2, [sp, #-4]!--------将stack end压入栈
82b0: e52d0004 str r0, [sp, #-4]!--------将rtld_fini压入栈
82b4: e59f0010 ldr r0, [pc, #16] ; 82cc <.text+0x30>
82b8: e59f3010 ldr r3, [pc, #16] ; 82d0 <.text+0x34>
82bc: e52dc004 str ip, [sp, #-4]!--------将fini压入栈
82c0: ebffffef bl 8284 <.text-0x18>-------call __libc_start_main
82c4: ebffffeb bl 8278 <.text-0x24>
82c8: 0000848c .word 0x0000848c
82cc: 00008454 .word 0x00008454
82d0: 00008490 .word 0x00008490
在调用__libc_start_main函数之前,stack frame的情况如下:
大家可以对照上面的汇编和图片,我这里只是描述基本知识点:
1、stack的确是full-descending的,SP指向了start函数的顶部,下一个函数必须先减SP,才能保存其栈上的数据。
2、内核到用户空间当然是public interface,因此在进入start函数的时候SP当前是8字节对齐。而start函数的栈有3个变量共计12个字节,在调用__libc_start_main函数这个public interface的时候当然也要8字节对齐,按理说这里start函数有一个小小的4字节的空洞,但实际上,代码是抹去了用户栈的argc这个参数,因此start的栈的细节如下:
虽然抹去了用户栈的argc这个参数,不过没有关系,反正它已经保存在了r1寄存器中了。
4、__libc_start_main函数的stack frame
__libc_start_main是libc定义的符号,我们动态链接的时候,这些代码没有进入我们测试的ELF文件。这里略过吧,毕竟查阅c库代码也是非常烦人的事情。
5、main函数的stack frame
00008454
:
8454: e92d4800 stmdb sp!, {fp, lr}---将上一个函数的 fp和lr寄存器压入stack, sp=sp-8
8458: e28db004 add fp, sp, #4 ; ---上一个函数的sp+4就是本函数stack frame的开始
845c: e24dd010 sub sp, sp, #16 ; 0x10
8460: e1a03000 mov r3, r0
8464: e50b1014 str r1, [fp, #-20]------保存argv
8468: e54b300d str r3, [fp, #-16]------保存argc
846c: e3a03012 mov r3, #18 ; 0x12---tmp0 = 0x12,[fp, #-8]就是源代码的tmp0
8470: e50b3008 str r3, [fp, #-8]
8474: e51b0008 ldr r0, [fp, #-8]-----传递tmp0参数
8478: ebffffe3 bl 840c
847c: e3a03000 mov r3, #0 ; 0x0
8480: e1a00003 mov r0, r3
8484: e24bd004 sub sp, fp, #4 ; 0x4
8488: e8bd8800 ldmia sp!, {fp, pc}
在调用public_interface之前,main函数的stack frame如下:
对照代码和图片,我们有下面的解释:
(1)第一条指令就是stmdb,这里db就是decrease before的意思,再次确认stack的确是full-descending的
(2)虽然只有一个临时变量tmp0,但是编译器还是传递了argc和argv这两个参数,具体为何我也没有考虑清楚,因此在分配main的stack frame的时候使用了sub sp, sp, #16,分配4个int型数据,当然是为了对齐8字节。
(3)在一个函数的执行过程中,sp和fp之间就是该函数的stack frame。sp执行stack frame的顶部(低地址),fp执行顶部。
(4)由于main函数的fp加4就是__libc_start_main的sp,因此在main函数的stack上不需要保存其sp,只要保存fp就OK了。
6、public_interface的stack frame
0000840c :
840c: e92d4800 stmdb sp!, {fp, lr}
8410: e28db004 add fp, sp, #4 ; 0x4
8414: e24dd010 sub sp, sp, #16 ; 0x10
8418: e50b0010 str r0, [fp, #-16]---------中间变量,保存传入的x参数
841c: e3a03012 mov r3, #18 ; 0x12
8420: e50b300c str r3, [fp, #-12]---------tmp0 = 0x12
8424: e3a03034 mov r3, #52 ; 0x34
8428: e50b3008 str r3, [fp, #-8]----------tmp1 = 0x34
842c: e51b3010 ldr r3, [fp, #-16]
8430: e50b300c str r3, [fp, #-12]---------tmp0 = x
8434: e51b000c ldr r0, [fp, #-12]
8438: e51b1008 ldr r1, [fp, #-8]
843c: ebffffda bl 83ac
8440: e51b000c ldr r0, [fp, #-12]
8444: e51b1008 ldr r1, [fp, #-8]
8448: ebffffbf bl 834c
844c: e24bd004 sub sp, fp, #4 ; 0x4
8450: e8bd8800 ldmia sp!, {fp, pc}
栈帧情况如下:
这里比较简单,大家自行分析就OK了。
7、调用static函数
根据AAPCS的描述,只有public接口才需要SP 8字节对齐。不过测试程序表明所有的都是8字节对齐的,我的编译器关于ABI的缺省设定是-mabi=aapcs-linux,猜想可能是所有的函数都被编译成AAPCS-comforming fuction。具体大家可以自己写代码练习一下。
参考文献
1、AAPCS。Procedure Call Standard for the ARM Architecture
2、IHI0046B_ABI_Advisory_1。ABI for the ARM Architecture Advisory Note – SP must be 8-byte aligned on entry to AAPCS-conforming functions