本文共 7026 字，大约阅读时间需要 23 分钟。

基于ARM的芯片多数为复杂的片上系统，这种复杂系统里的多数硬件模块都是可配置的，需要由软件来设置其需要的工作状态。因此在用户的应用程序之前，需要由专门的一段代码来完成对系统的初始化。由于这类代码直接面对处理器内核和硬件控制器进行编程，一般都是用汇编语言。一般通用的内容包括：

中断向量表初始化存储器系统初始化堆栈初始化有特殊要求的断口，设备初始化用户程序执行环境改变处理器模式呼叫主应用程序中断向量表ARM要求中断向量表必须放置在从0地址开始，连续8X4字节的空间内。每当一个中断发生以后，ARM处理器便强制把PC指针置为向量表中对应中断类型的地址值。因为每个中断只占据向量表中1个字的存储空间，只能放置一条ARM指令，使程序跳转到存储器的其他地方，再执行中断处理。中断向量表的程序实现通常如下表示：AREA Boot ,CODE, READONLYENTRYB    ResetHandlerB    UndefHandlerB    SWIHandlerB    PreAbortHandlerB    DataAbortHandlerBB    IRQHandlerB    FIQHandler其中关键字ENTRY是指定编译器保留这段代码，因为编译器可能会认为这是一段亢余代码而加以优化。链接的时候要确保这段代码被链接在0地址处，并且作为整个程序的入口。初始化存储器系统存储器类型和时序配置通常Flash和SRAM同属于静态存储器类型，可以合用同一个存储器端口；而DRAM因为有动态刷新和地址线复用等特性，通常配有专用的存储器端口。存储器端口的接口时序优化是非常重要的，这会影响到整个系统的性能。因为一般系统运行的速度瓶颈都存在于存储器访问，所以存储器访问时序应尽可能的快；而同时又要考虑到由此带来的稳定性问题。存储器地址分布一种典型的情况是启动ROM的地址重映射。初始化堆栈因为ARM有7种执行状态，每一种状态的堆栈指针寄存器（SP）都是独立的。因此，对程序中需要用到的每一种模式都要给SP定义一个堆栈地址。方法是改变状态寄存器内的状态位，使处理器切换到不同的状态，让后给SP赋值。注意：不要切换到User模式进行User模式的堆栈设置，因为进入User模式后就不能再操作CPSR回到别的模式了，可能会对接下去的程序执行造成影响。这是一段堆栈初始化的代码示例，其中只定义了三种模式的SP指针：MRS   R0,CPSRBIC    R0,R0,#MODEMASK  安全起见，屏蔽模式位以外的其他位ORR   R1,R0,#IRQMODEMSR   CPSR_cxfs,R1LDR   SP,=UndefStackORR   R1,R0,#FIQMODEMSR   CPSR_cxsf,R1LDR   SP,=FIQStackORR   R1,R0,#SVCMODEMSR   CPSR_cxsf,R1LDR   SP,=SVCStack初始化有特殊要求的端口，设备初始化应用程序执行环境映像一开始总是存储在ROM／Flash里面的，其RO部分即可以在ROM／Flash里面执行，也可以转移到速度更快的RAM中执行；而RW和ZI这两部分是必须转移到可写的RAM里去。所谓应用程序执行环境的初始化，就是完成必要的从ROM到RAM的数据传输和内容清零。下面是在ADS下，一种常用存储器模型的直接实现：LDR    r0,=|Image$$RO$$Limit| 得到RW数据源的起始地址LDR    r1,=|Image$$RW$$Base| RW区在RAM里的执行区起始地址LDR    r2,=|Image$$ZI$$Base|  ZI区在RAM里面的起始地址CMP    r0,r1                 比较它们是否相等      BEQ    %F10     CMP    r1,r3      LDRCC  r2,[r0],#4      STRCC  r2,[r1],#4      BCC    %B01     LDR    r1,=|Image$$ZI$$Limit|      MOV   r2,#02     CMP    r3,r1      STRCC  r2,[r3],#4      BCC    %B2程序实现了RW数据的拷贝和ZI区域的清零功能。其中引用到的4个符号是由链接器第一输出的。|Image$$RO$$Limit|：表示RO区末地址后面的地址，即RW数据源的起始地址|Image$$RW$$Base|：RW区在RAM里的执行区起始地址，也就是编译器选项RW_Base指定的地址|Image$$ZI$$Base|：ZI区在RAM里面的起始地址|Image$$ZI$$Limit|：ZI区在RAM里面的结束地址后面的一个地址程序先把ROM里|Image$$RO$$Limt|开始的RW初始数据拷贝到RAM里面|Image$$RW$$Base|开始的地址，当RAM这边的目标地址到达|Image$$ZI$$Base|后就表示RW区的结束和ZI区的开始，接下去就对这片ZI区进行清零操作，直到遇到结束地址|Image$$ZI$$Limit|改变处理器模式因为在初始化过程中，许多操作需要在特权模式下才能进行（比如对CPSR的修改），所以要特别注意不能过早的进入用户模式。内核级的中断使能也可以考虑在这一步进行。如果系统中另外存在一个专门的中断控制器，这么做总是安全的。呼叫主应用程序当所有的系统初始化工作完成之后，就需要把程序流程转入主应用程序。最简单的一种情况是：IMPORT mainB      main直接从启动代码跳转到应用程序的主函数入口，当然主函数名字可以由用户随便定义。在ARM ADS环境中，还另外提供了一套系统级的呼叫机制。IMPORT __mainB     __main__main()是编译系统提供的一个函数，负责完成库函数的初始化和初始化应用程序执行环境，最后自动跳转到main()函数。

 

 

/b

/b

/b

/b

 

/b

 

ARM芯片详解

作者：不详翻译：nbw  译者注：这篇文章主要介绍了Risc结构的PDA芯片组成和汇编程序，翻译不周，肯定有错误，请多包涵，另外我忘记了出处，这里向作者表示歉意。    RISC处理器被广泛应用在小型设备上，例如PDA，移动电话，智能热水器等。有很多关于RISC处理器的汇编程序，但最常见的还是ARM。  下面我要谈的是ARM 7，因为我研究的是这个。  让我们先了解一下ARM的架构。ARM处理器包含37个寄存器：31个通用的32位寄存器，以及6个状态寄存器。寄存器的设置取决于处理器状态。ARM状态执行32位指令，Thumb状态执行16位指令集。  在ARM状态，有18个寄存器可用：可供直接存储的R0—R15，CPSR（当前程序状态寄存器），SPSR（被存储程序状态）。其中3个可直接存储器被称为服务寄存器。    （R13）SP ――堆栈指针  （Ｒ14）LR――连接寄存器，用来存储调用过程的函数地址（译注：可简单理解为过程返回地址）。并且，ＬＲ并非存储在堆栈中－它存在于寄存器中。  （Ｒ15）PC――当前指令指针。用一般的ｍｏｖ指令就可以改变它的值，从而执行它所指向的命令。    在Thumb 状态，有13个寄存器可用：R0-R8, R13-R15, CPSR, SPSR  状态的改变，不会影响寄存器内容的变化。  如果想进入Thumb状态，可以先将操作寄存器的状态位设为１（bit 1），然后执行BX指令。如果想进入ARM （译注：原文误为APM）状态，可以先将操作寄存器的状态位设为０（bit 0），然后执行BX指令。  ２种状态的指令集是不同的，但是很多指令都是类似的。Thumb指令集长度为２bytes，ARM－4bytes。关于２种状态指令的具体资料可以参考：    有趣的是很多指令可以同时操作多个寄存器。例如：ADD     R3, SP, #4     相当于：　R3:=SP+4   或者，用来存储寄存器入栈的指令：PUSH {R2-R4, R7, LR} 　这和x86汇编里面的pushad指令不同，在ARM汇编里面，这种将寄存器存入堆栈的方式是可行的。  内存中，数据存储方式可以是低位存储（例如Intel寄存器）或者高位存储（例如Motorola寄存器）。所以，写代码时候，有必要指明数据存放方式。  下面是一些ＡＲＭ编译器的资料：  - GNU compiler with all consequences - all through command line + debugging through gdb.  - unpretentious ARM assembler.   - official tools for ARM’s develpment. Here you can only buy them.   - alternative to IDA for ARM. 30-day's trial version is offered.   下面讲解一下由Ｃ＋＋的ＡＲＭ编译器生成的ＡＲＭ汇编程序。  一般地，分析不同程序的时候，经常碰到的并不是纯粹的汇编语言，而是由Ｃ＋＋编译器生成的代码。当然，x86汇编程序员一般不会如此。  函数调用：  这里不存在函数参数调用约定（例如cdecl，stdcall 等）！所有的函数调用约定类似于Borland的fastcall。参数由寄存器传入，如果数目不够，由堆栈传入。  例如：ROM:0001F4E2   MOV R0, SP ROM:0001F4E4   MOV R2, *6 ROM:0001F4E6   ADD R1, R4, *0 ROM:0001F4E8  BL memcmp   参数的传递顺序对应于寄存器编号，Ｒ０为第一个，Ｒ１为第二个，Ｒ２为第三个（译注：比较有意思）。相当于：int memcmp (    const void *buf1,    const void *buf2,    size_t count ); buf1 = R0 buf2 = R1 count = R2   函数返回值被存放在Ｒ０中：ROM:0001F4E2   MOV R0, SP ROM:0001F4E4   MOV R2, *6 ROM:0001F4E6   ADD R1, R4, *0 ROM:0001F4E8  BL memcmp ROM:0001F4EC   CMP R0, *0 ROM:0001F4EE   BNE loc_1F4F4   下面是一个利用堆栈传递参数的例子：ROM:000BCDEC   MOV R2, *0 ROM:000BCDEE   STR R2, [SP] ROM:000BCDF0   MOV R2, *128 ROM:000BCDF2   MOV R3, *128 ROM:000BCDF4  MOV R1, *14 ROM:000BCDF6   MOV R0, *0 ROM:000BCDF8   BL FillBoxColor   上面，Ｒ０－Ｒ３存储坐标，第５个参数（色彩）被存放在堆栈中。  只有通过分析才可以确定操作数的数目。我们可以分析函数和它的调用部分。有时候，参数信息可以通过对寄存器和堆栈的操作观察出来。例如，在Thumb状态下，程序对Ｒ０－Ｒ７和服务寄存器的操作。所以，如果看到类似于下面的代码：ROM:00059ADA   getTextBounds                          ROM:00059ADA   PUSH {R4-R7, LR},   可以认为它的参数被存放在Ｒ０，Ｒ１，Ｒ２，Ｒ３和ＳＰ。如果见到：ROM:0005924E   ADD R0, SP, *0x14 ROM:00059250   ADD R1, SP, *0x6C ROM:00059252   ADD R2, SP, *0x68 ROM:00059254   ADD R3, SP, *0x64 ROM:00059256   BL getTextBounds   我们看到只有Ｒ０－Ｒ３被使用，就是说只有４个参数被传递过来。转移（Transitions ）  一般，转移分为条件转移和无条件转移。转移目标可以存放在寄存器或者其他处。寄存器转移一般用于Thumb/ARM 状态转换。无条件短转移指令为Ｂ（branch）命令。长跳转指令－BX（交换转移）。函数调用采用BL（连接转移），且调用时将返回地址存入ＬＲ寄存器。当然，改变ＰＣ寄存器内容也可以改变转移地址：ADD PC, *0x64但是Ｃ编译器通常不这样处理，它们在转移的时候，只是以写入命令改变ＰＣ寄存器。分支（Branches）  也称为转换，一般用法如下：ROM:0027806E   CMP R2, *0x4D; 'M' ROM:00278070   BCS loc_27807A ROM:00278072   ADR R3, word_27807C ROM:00278074   ADD R3, R3, R2 ROM:00278076  LDRH R3, [R3, R2] ROM:00278078   ADD PC, R3 ROM:0027807  AROM:0027807  A loc_27807A                               ROM:0027807  A B loc_278766 ROM:0027807  C word_27807C DCW 0xAA, 0xBE, 0xC6, 0x180, 0x186; 0 ROM:0027807  C DCW 0x190, 0x1A0, 0x1A8, 0x1DE, 0x1E4; 5 ROM:0027807  C DCW 0x1B0, 0x212, 0x276, 0x1FE, 0x294; 10   首先，检查跳转标记，该标记必须小于0x40，如果大于，则跳到默认处理位置，即：loc_27807A。  然后执行位于word_27807C 的转移控制表。这个表里面存放的是偏移，并非地址。随后，根据跳转标记，取表中的偏移，扩展之，加操作放入ＰＣ寄存器。比如，如果跳转标记为０，将会跳转到地址：0x278078 (current value PC) +0xAA (offset from the table) + 0x4 (!!!) = 0x278126  之所以加４，是因为ＡＲＭ处理器的特征：操作ＰＣ寄存器时，其值应该比预先确定的数值大４（在文档“to ensure it is word aligned ”中有说明）。  内存存取  在Thumb状态，处理器可以存取+/-256 字节的空间。因此，无法直接存取内存，而需要利用寄存器来引导。也就是无法直接定位到0x974170，而需要采用寄存器。例如：ROM:00277FF6 LDR R0, =unk_974170 ROM:00277FF8 LDR R0, [R0]   我们获得了0x974170处的数据，但是事情还没有结束！该有效地址（0x974170）处于有效的正负256 字节中：ROM:00278044 off_278044 DCD unk_974170这样，就是说，LDR指令的机器码中存储了该命令当前的地址。（译注：就是说0x974170虽然看起来比较大，实际上还是那+-256字节内，只不过通过LDR指令来定位）  这里存在一个很艺术的优化方法：如果一个地址和该函数中另外一个被用到的地址有关联，那么这个地址可以通过算术运算指令或者间接存取来获取。举例来说，如果一个函数需要用到0x100000处的变量，并且需要用到0x100150处的另外一个变量，那么，编译器可以将这2个变量建立关联，或者采用以下代码：LDR R0, =0x100000 ADD    R0, *0xFF ADD    R0, *0x51 LDR R0, [R0]   在x86里面，这种方法应用于结构中获取子结构接口。但是此处，却是一个常用的优化，这有什么好处呢？可以减小内存存储，并且算术运算比数据加载快得多。可以认为整个ARM汇编程序充满了不同的寄存器间算术运算。事实上，有多达16个寄存器用来进行此操作－减少内存和堆栈定位频度。因此，只有在非常大的函数中才需要用堆栈存储变量。对堆栈的操作和x86处理堆栈的方式一样。ＩＤＡ中的代码分析  既然ＡＲＭ文件没有统一格式，那么在加载ＡＲＭ二进制映像的时候，有必要先加载该文件。在加载的时候，需要确定处理器类型。如果处理器规定代码必须按照处理器模块处理顺序，那么你可以加载映像文件并且指定需要的处理方式，ＡＲＭ处理方式（低位处理）或者ＡＲＭＢ（高位处理）。并且，有必要建立ＲＯＭ或者ＲＡＭ段。总之没有固定的处理方式，具体的处理有赖于映像和每个ＡＲＭ处理器的架构。例如，在ＡＲＭ７中，内存一般有如下格式：0x0 - 0x8000  of   RAM processor 0x8000 -   0x1000000 ROM 0x1000000 -   0x..... - SRAM （这里看出自身数目）  现在就可以分析代码了，在很多设备中（一般都是移动电话），代码的入口设定为0x8000。ＡＲＭ模式下的代码从0x8000开始执行，所以，开始执行的指令和该处的一样。处理器的ＩＤＡ模块可以简单地分析此类switching语句，然后Thumb 代码在ＡＲＭ中执行。如果手工修改跳转，可以按ALT-G，然后修改文件中的标记，如果为ＡＲＭ文件，设为０，Thumb文件，设为１。

  

转载地址：http://mknfb.baihongyu.com/