PowerPC栈帧分析报告.docx
- 文档编号:9201752
- 上传时间:2023-02-03
- 格式:DOCX
- 页数:13
- 大小:149.60KB
PowerPC栈帧分析报告.docx
《PowerPC栈帧分析报告.docx》由会员分享,可在线阅读,更多相关《PowerPC栈帧分析报告.docx(13页珍藏版)》请在冰豆网上搜索。
PowerPC栈帧分析报告
PowerPC栈帧分析
1.PowerPC寄存器的使用规则
通用寄存器的用途:
r0 在函数开始(functionprologs)时使用。
r1 堆栈指针,相当于ia32架构中的esp寄存器,idapro把这个寄存器反汇编标识为sp。
r2 内容表(toc)指针,idapro把这个寄存器反汇编标识为rtoc。
系统调用时,它包含系统调用号(这个好像跟系统有关吧)。
r3 作为第一个参数和返回值。
r4-r10 函数或系统调用开始的参数。
r11 用在指针的调用和当作一些语言的环境指针。
r12 它用在异常处理和glink(动态连接器)代码。
r13 保留作为系统线程ID。
r14-r31作为本地变量,非易失性。
专用寄存器的用途:
lr 链接寄存器,它用来存放函数调用结束处的返回地址。
ctr 计数寄存器,它用来当作循环计数器,会随特定转移操作而递减。
xer 定点异常寄存器,存放整数运算操作的进位以及溢出信息。
msr 机器状态寄存器,用来配置微处理器的设定。
cr 条件寄存器,它分成8个4位字段,cr0-cr7,它反映了某个算法操作的结果并且提供条件分支的机制。
2.栈帧的使用规则
PowerPC寄存器没有专用的Pop,Push指令来执行堆栈操作,所以PowerPC构架使用存储器访问指令stwu,lwzu来代替Push和Pop指令。
PowerPC处理器使用GPR1来将这个堆栈段构成一个单向链表,这个单链表的每一个数据成员,我们称之为堆栈帧(StackFrame),每一个函数负责维护自己的堆栈帧。
PowerPC体系结构中栈的增长方向是从高地址到低地址,堆的增长方式是从低地址到搞地址,当两者相遇时就会产生溢出。
堆栈帧的格式如下:
各部分名词解释:
函数参数域(FunctionParameterArea):
这个区域的大小是可选的,即如果如果调用函数传递给被调用函数的参数少于六个时,用GPR4至GPR10这个六个寄存器就可以了,被调用函数的栈帧中就不需要这个区域;但如果传递的参数多于六个时就需要这个区域。
局部变量域(LocalVariablesArea):
通上所示,如果临时寄存器的数量不足以提供给被调用函数的临时变量使用时,就会使用这个域。
CR寄存器:
即使修改了CR寄存器的某一个段CRx(x=0至7),都有保存这个CR寄存器的内容。
通用寄存器GPR:
当需要保存GPR寄存器中的一个寄存器器GPRn时,就需要把从GPRn到GPR31的值都保存到堆栈帧中。
浮点寄存器FPR:
使用规则共GPR寄存器。
3. PowerPC的汇编指令和栈操作
PowerPC寄存器没有专用的push和pop指令来执行堆栈操作,所以PowerPC构架使用存储器访问指令stwu、lwzu来代替push和pop指令。
4.函数执行时栈帧的建立与消亡过程
函数栈的建立与消亡过程如下图所示:
4.1函数栈的建立与消亡过程说明
如前所属,PowerPC体系结构中栈的增长方向是从高地址到低地址,故形成过程可以概括为如下几点:
1)调用函数r1指向栈顶(SP),用间接寻址方式分配一定大小栈空间;
2)r31指向栈顶,以r31为基值将参数压入栈内;
3)进入被调函数,跳转到被调函数的SP处;
4)被调函数同样进行栈分配及参数压栈操作;
5)被调函数执行完毕之后,跳转LR,返回到被调用处的下一条指令,继续后续操作(此时的SP即为调用函数的SP)
4.2举例说明栈操作过程
以下以一个简单的函数调用,说明PowerPC栈的操作过程。
函数例子如下:
intcalltest2(inta)
{
intt1=5;
intt2=6;
intresult=0;
char*p=0;
*p=a;
}
intcalltest1(inta)
{
intt1=3;
intt2=4;
intresult=0;
result=calltest2(t2);
t1=3;
}
voidcalltest()
{
intt1=7;
intt2=9;
intresult=0;
result=calltest1(t1);
t1=3;
}
利用反汇编工具,生成汇编代码及分析如下:
intcalltest2(inta)
{
Calltest2栈帧建立分析:
stwur1,-48(r1):
分配48字节的栈帧,r1指向栈顶;(powerpc省略了EBP,所以一上来即进行一次间接寻址)
stwr31,44(r1):
保存r31的原值,以后恢复;
orr31,r1,r1:
让r31指向栈顶r1(r31=r1orr31)
stwr3,8(r31):
第一个形参
0x401d4f0calltest2:
stwur1,-48(r1)
0x401d4f4+0x004:
stwr31,44(r1)
0x401d4f8+0x008:
orr31,r1,r1
0x401d4fc+0x00c:
stwr3,8(r31)
局部变量赋值:
lir05(t1,t2.result)
intt1=5;
0x401d500+0x010:
lir0,0x5#5
0x401d504+0x014:
stwr0,12(r31)
intt2=6;
0x401d508+0x018:
lir0,0x6#6
0x401d50c+0x01c:
stwr0,16(r31)
intresult=0;
0x401d510+0x020:
lir0,0x0#0
0x401d514+0x024:
stwr0,20(r31)
char*p=0;
0x401d518+0x028:
lir0,0x0#0
0x401d51c+0x02c:
stwr0,24(r31)
加载函数调用参数到r9
*p=a;
0x401d520+0x030:
lwzr9,24(r31)
0x401d524+0x034:
lbzr0,11(r31)
保存r9到r0
0x401d528+0x038:
stbr0,0(r9)
}
r11=r1,r31=r11-4=r1-4,恢复r31的值
0x401d52c+0x03c:
lwzr11,0(r1)
0x401d530+0x040:
lwzr31,-4(r11)
0x401d534+0x044:
orr1,r11,r11
blr:
跳转到LR地址,返回calltest1中调用calltest2的下一条指令地址0x401d57c的继续指向
0x401d538+0x048:
blr
intcalltest1(inta)
{
0x401d53ccalltest1:
stwur1,-48(r1)
将LR内容存入r0(存在函数调用时需要用到LR,用来存放函数调用结束处的返回地址)
0x401d540+0x004:
mfsprr0,LR
0x401d544+0x008:
stwr31,44(r1)
0x401d548+0x00c:
stwr0,52(r1)
0x401d54c+0x010:
orr31,r1,r1
0x401d550+0x014:
stwr3,8(r31)
局部变量赋值(t1,t2,result)
intt1=3;
0x401d554+0x018:
lir0,0x3#3
0x401d558+0x01c:
stwr0,12(r31)
intt2=4;
0x401d55c+0x020:
lir0,0x4#4
0x401d560+0x024:
stwr0,16(r31)
intresult=0;
0x401d564+0x028:
lir0,0x0#0
0x401d568+0x02c:
stwr0,20(r31)
函数调用
result=calltest2(t2);
0x401d56c+0x030:
lwzr3,16(r31)
0x401d570+0x034:
bl0x401d4f0#calltest2
0x401d574+0x038:
orr0,r3,r3
0x401d578+0x03c:
stwr0,20(r31)
t1=3;
0x401d57c+0x040:
lir0,0x3#3
0x401d580+0x044:
stwr0,12(r31)
}
0x401d584+0x048:
lwzr11,0(r1)
0x401d588+0x04c:
lwzr0,4(r11)
0x401d58c+0x050:
mtsprLR,r0
0x401d590+0x054:
lwzr31,-4(r11)
0x401d594+0x058:
orr1,r11,r11
返回calltest函数的下一条指令地址0x401d5d8的继续指向
0x401d598+0x05c:
blr
voidcalltest()
{
0x401d59ccalltest:
stwur1,-48(r1)
0x401d5a0+0x004:
mfsprr0,LR
0x401d5a4+0x008:
stwr31,44(r1)
0x401d5a8+0x00c:
stwr0,52(r1)
0x401d5ac+0x010:
orr31,r1,r1
intt1=7;
0x401d5b0+0x014:
lir0,0x7#7
0x401d5b4+0x018:
stwr0,8(r31)
intt2=9;
0x401d5b8+0x01c:
lir0,0x9#9
0x401d5bc+0x020:
stwr0,12(r31)
intresult=0;
0x401d5c0+0x024:
lir0,0x0#0
0x401d5c4+0x028:
stwr0,16(r31)
调用函数calltrst1:
将t1(r31+8)加载到r3中,然后跳转到calltest1地址处(0x401d53c)
result=calltest1(t1);
0x401d5c8+0x02c:
lwzr3,8(r31)
0x401d5cc+0x030:
bl0x401d53c#calltest1
0x401d5d0+0x034:
orr0,r3,r3
保存result返回值
0x401d5d4+0x038:
stwr0,16(r31)
调用完成,开始后续指令操作
t1=3;
0x401d5d8+0x03c:
lir0,0x3#3
0x401d5dc+0x040:
stwr0,8(r31)
}
0x401d5e0+0x044:
lwzr11,0(r1)
0x401d5e4+0x048:
lwzr0,4(r11)
0x401d5e8+0x04c:
mtsprLR,r0
0x401d5ec+0x050:
lwzr31,-4(r11)
0x401d5f0+0x054:
orr1,r11,r11
0x401d5f4+0x058:
blr
下面利用断点调试跟踪栈内存执行过程
1)在进入calltest但未执行任何指令(参数还未赋值)时,查看寄存器及内存分布如下:
r0=c7cbd8r1/sp=a8ce6c0r2=0r3=0
r4=0r5=0r6=0r7=0
r8=0r9=0r10=0r11=a8ce738
r12=401d59cr13=0r14=0r15=0
r16=0r17=0r18=0r19=0
r20=0r21=0r22=0r23=0
r24=0r25=0r26=0r27=0
r28=0r29=0r30=0r31=a8ce6c0
msr=b030lr=c7cbd8ctr=0pc=401d5b0
cr=0xer=0mq=eeeeeeee
内存空间为
此时sp=0xa8ce6c0,r31指向r1,pc=0x401d5b0
2)执行到result=0(局部变量赋值完成,但没有调用caltest1)
在紧跟SP之后,SP+8即为局部变量存储区,此时此时sp=0xa8ce6c0
3)再执行result=calltest(t1),跳进calltest1之后但未进行任何操作
r0=401d5d0r1/sp=a8ce690r2=0r3=7
r4=0r5=0r6=0r7=0
r8=0r9=0r10=0r11=a8ce738
r12=401d59cr13=0r14=0r15=0
r16=0r17=0r18=0r19=0
r20=0r21=0r22=0r23=0
r24=0r25=0r26=0r27=0
r28=0r29=0r30=0r31=a8ce690
msr=b030lr=401d5d0ctr=0pc=401d554
cr=0xer=0mq=0
此时SP=0Xa8ce690,相对于原SP。
正好移动48字节(即calltest栈空间)。
内存分布为
执行函数到result=calltest2
对于有函数参数的函数,SP+8之后存储函数参数,之后紧跟局部变量。
综上所述,函数栈帧是以SP为基准,采用间接寻址方式申请一段栈空间。
对于没有函数参数的函数,SP+8即为局部变量存储区。
对于带有函数参数的函数,SP+8为函数参数存储区,之后为局部变量存储区。
被调函数(calltest1)的SP为调用函数(calltest)SP减去调用函数申请的空间。
上例中SP1=0xa8ce6c0;SP2=0xa8ce690;SP3=0xa8ce660
问题:
x86有两个寄存器,esp,ebp,ppc只用一个寄存器是怎么实现定位堆栈位置的?
分析:
栈是单端伸缩的表,因此,从原理上说,只要有一个栈顶指针就可以操作堆栈了。
X86里的EBP起辅助作用,使栈在函数调用中的应用更方便,更高效。
栈底是固定不变的,因此只要存一个数来指示栈底。
对大多数CPU内置的硬件栈来说,栈底都是全1(可寻址空间的最高地址)。
当栈空时,你还要做弹出,状态寄存器的溢出位也可以用来指示栈溢出。
因此,甚至根本不需要保存栈底。
一个栈指针寄存器完全够用了,实际上大部分架构都用一个寄存器。
x86上ebp也不是必须的,你在编译的时候加上-fomit-frame-pointer参数,ebp就不用了,只用esp。
cpu不需要知道,操作系统知道就可以了。
溢出后会产生pagefault,操作系统只需要在这个时候判断访问的时候是非法地址就可以产生segfault终止程序。
汇编指令参考:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- PowerPC 分析 报告