崩溃分析汇编基础
栈、调用栈、栈帧
栈
在当今多数计算机体系架构中,函数的参数传递、局部变量的分配和释放都是通过操纵栈来实现的。
Stack Frame
每次调用一个函数,都要为该次调用的函数实例分配栈空间。为单个函数分配的那部分栈空间就叫做栈帧。关于Stack Frame 更详细的内容请查看Peeking Stack Frame
Call Stack
调用栈就是正在使用的栈空间,由多个嵌套调用函数所使用的栈帧组成。具体来说,Call Stack 就是指存放某个程序的正在运行的函数的信息的栈。Call Stack 由 Stack Frames 组成,每个 Stack Frame 对应于一个未完成运行的函数。
在内存中,栈是从高地址向低地址延伸的,即栈底对应高地址,栈顶对应低地址。
几个重要的寄存器
- SP寄存器(x31/arm64,r11/armv7), Stack Pointer, 指向栈低的指针.
- PC寄存器(r15/armv7), Program Counter, 记录当前执行的代码的地址. 它是一个隐含的寄存器, 无法被直接访问, 只能被特定的指令隐含访问.
- LR寄存器 (x30/arm64,r14/armv7), Link Register, 指向返回地址, 即return时回到的地址.
*FP寄存器 (x29/arm64,r11/armv7), Frame Pointer, 指向上一次方法调用的frame的最高位地址, frame位于栈上。
在i386 下,对应的寄存器有:
ESP 寄存器为 Stack Pointer ,它始终指向栈顶的位置。
EIP 寄存器为返回地址,它是调用函数( Caller )在执行完 Call 指令后的下一条指令的地址。
EBP 寄存器为 Frame Pointer
Frame
frame其实就是一个按照方法调用顺序, 从栈的高地址向低地址依次存放的一组数据。stack frame的两个边界分别由FP和SP来限定:
常用指令
b 跳转到地址(无返回), 不会改变LR寄存器的值
bl 跳转到地址(有返回), 会改变LR寄存器的值为返回地址
ldr/ldur 地址对应的内容加载到寄存器
str/stur 寄存器内容存储到内存地址
cbz/cbnz 为零跳转到地址/不为零跳转到
add 加法运算
mov 寄存器之间内容移动
ldp/stp 从栈取/存数据
adrp, 用来定位数据段中的数据用, 因为aslr会导致代码及数据的地址随机化, 用adrp来根据pc做辅助定位
ldp 命令能一次获取给两个寄存器赋值。
add x0,x0,#1 x0 = x0 + 1
add x0,x0,#0x30 x0 = x0 + 0x30
add x0,x1,x3 x0 =x1+x3
add x0,x1,[x2] x0 =x1+[x2], 把x1的内容加上x2的内容作为地址取内存内容放入x0
ldr x0,[x1] x0 =[x1], 把x1的内容作为地址取内存内容放入x0
str x0,[x1] *x1 = x0 , 把x0的内容放入,x1的内容作为地址的内存中
ldr x0,[x1,#4] x0 =[x1+4], 把x1的内容加上4, 作为内存地址, 取其内容放入x0
ldr x0,[x1],#4 x0 =[x1] 、x1 =x1+4, 把x1的内容作为内存地址取内存内容放入x0, 并把x1的内容加上4放入x1
ldr x0,[x1,x2] x0 =[x1+x2], 把x1和x2的内容相加, 作为内存地址取内存内容放入x0
调用约定
31个 64位的通用(整数)寄存器, 在A64指令集里 全部可见,分别是r0-r30
在64位环境中, 这些寄存器 一般用x0-x30的名字
在32位环境中, 这些寄存器 使用 w0-w30的名字
相关更多信息点击查看
在iOS 上参数传递的顺序:self ,selector ,param....
x0 存self, 另外,x0也可以作为函数返回值时候的寄存器。
x1 selector
x2,x3,x4 参数
根据文档5.4.2,stage B 里面说到,当参数是一个大于16 bytes 的复合类型,caller会分配内存保存参数。然后这个内存地址的值会存入寄存器x8。callee可以随时修改x8 上的数据。
FYI
* callee: 指向正在执行的函数
* caller: 指向调用当前函数的函数
To be continue .....
Ref:
Assemble Language Function Calls
objc-msg-arm64
Procedure Call Standard for the ARM 64-bitArchitecture
ARM 64 bit mode
转载链接--作者其他文章也bu
有兴趣一起研究 群号:112365317
