详解ARM几个常见的寄存器

大家好，今天来聊聊对于ARM几个特殊寄存器的理解，FP、SP和LR。

介绍

• FP：栈顶指针，指向一个栈帧的顶部，当函数发生跳转时，会记录当时的栈的起始位置。

• SP：栈指针（也称为栈底指针），指向栈当前的位置，

• LR：链接寄存器，保存函数返回的地址。

关于gcc就有一个关于stack frame的优化选项，加上该选项则忽略掉FP栈顶指针，（记得高版本默认是不加FP的，gcc4.8以上吧（待确认））

• -fomit-frame-pointer

停止例程：EUC在接收到停止例程的请求后，停止指定的例程。

arm cc5编译也有关于FP生成的编译选项，默认是不加的。

• –use_frame_pointer,

  --no_use_frame_pointer

作用

关于APCS（ARM Procedure Call Standard，ARM 程序调用标准）的说法 

• 除非子程序没有修改链接寄存器，否则FP都需要记录有效的栈帧位置

• 其寄存器（r11或者x29）不能被用做一个通用型的寄存器

FP的主要作用就是用来「栈回溯」，找到子程序的调用关系，也成为backtrace，当然一级一级的子程序调用时，FP的记录也在变化，也会一级一级的保存到栈中，最后通过FP的值来反推出一级一级的调用关系。

以ARM CC5 编译器为例，其栈回溯的主要逻辑如下图所示：

通过上图可以看出，main->fun1->fun2，每调用一级的时候，都会将FP、LR以及参数等压栈，而每个FP指向了上一级的栈顶，通过保存关系，可以找到LR，从而找到上一级的调用函数。

具体的流程图就如右图所示，按照这样的方法可以找到backtrace，再比如可以通过stack memory查找调用栈信息，

左图为栈memory 右图为寄存器信息。

上图中：backtrace 第一级是寄存器中的LR，之后就是从栈中进入回溯来找到的。（FP、LR） 1、0x1F7BC 0x40BBAA4 2、0x1F7E4 0x18A3C 3、0x1F7EC 0x18818 4、 0x1F7F4 0x40A4108 5、 0x1F7FC 0x1594 6、 0x184BC 0x40A0015

图中 LR地址都-4 这是因为LR总是保存PC的下一个运行地址，所以找到PC进函数的位置，则需要LR-4可以得到。

图中 最后栈停止回溯，可以看到栈的边界到了0x1f800，所以停止，不然会继续一直进行回溯。

backtrace的C代码如下

sp 为栈指针，通过push pop 实现对栈存储的访问，栈主要是用来存储局部变量 中间值 等数据，同样和全部变量等存储的区域一样，也是一块memory，没有任何区别，只是使用的方式不一样。

接下来简单介绍一下各个处理器架构的SP指针。

• CortexM3/4（ARMv7）

1. CortexM3/4中，「SP分为MSP与PSP」，主栈与线程栈，任何时刻只有一个栈指针有效，通过「CONTROL 寄存器」来选择栈指针。

2. 程序刚运行时就处在主栈（特权模式），之后可以切到线程栈（非特权模式），之所以设置这样的原因是，一般OS会运行在主栈，而应用程序出在线程栈，应用程序即使出错，也不会影响OS的运行，也不会影响主栈。通过简单的程序无需这样运行，直接在主栈特权模式下面运行就可以。

3. MSP的初值通过存储器的第一个DWORD中获取。

4. MSP与PSP 都是32位，低两位均是0.

MSP的初值通过存储器的第一个DWORD中获取。

• CortexR5（Cortexv7）

1. Cortex R5系列比较复杂，继承了多种工作模式的特性，大多数模式下都有独立的栈。

2. 总共七种工作模式，SYS/FIQ/SYS/SVC/ABORT/IRQ/UND 以及USER，前面六种都是特权模式 后面是用户模式也是非特权模式。可以看到基本都有独立的栈寄存器，意味着每个模式下可以设置独立的栈空间
   

• CortexA53 (ARMv8 -A系列)

1. 其有变化了 分为EL1 EL2 EL3 EL4四种模式（AArch64状态）。每种模式下有自己的SP指针，SP_EL0，SP_EL1，SP_EL2，SP_EL3。通过SPSel来选择是哪一种的SP指针。

2. 
   

3.SP_EL1t 代表SP_EL0的指针，SP_ELxH代表相应等级下的SP指针。

4.如果用作基址运算时，SP的低四位[3:0]必须为0，否则会产生SP非对齐异常，系统自动会进行check。

由下图可以看到EL3下的SP有值，且与系统的SP值相同（X15下面），则处于EL3模式。

LR为程序跳转时需要用到的寄存器，用来保存「返回地址」（同时也包含异常返回地址）。

程序经常会存在调用关系，当程序执行完子程序之后，肯定会返回到主程序，这是返回到主程序的地址就是在LR保存。

在一些CorteM系列的处理，LR的第0位会置1 表示，表示Thumb状态。

当然没有LR这个寄存器也可以的，直接将返回地址保存到栈中，最后执行完之后弹出到PC也行，但是寄存器的访问速度可以远高于栈（存储器SRAM），所以LR的作用还是很明显的。

此外对应ARMv8系列，还有ELR寄存器，对应的是异常状态下的返回地址。

• 当程序执行到异常时，异常的返回地址保存到ELR中，当然ARMv8有四种模式，EL0没有异常处理，所以只有三个ELR寄存器，处理三种异常时的返回地址。b. AArch32到AArch64状态时，保存的是32位的地址，高8位均为0。

2.3.1 LR的地址保存

• 程序A调用B程序，此时LR更新为「2地址」，

• 跳转到B程序时，B发现还要跳转到C程序，所以LR会被覆盖，所以在B程序开始的时候，会讲LR保存到栈中。

• 挑转到C程序时，此时LR更新到「4地址」，

• C程序执行开始时，发现没有子程序跳转了，所以此时的LR不会被覆盖，所以也不需要将LR保存，退出时直接跳转到「4地址」即可。

• B程序执行完时，发现LR还是错的，会将压栈的LR弹出，这样程序就可以回到「2地址」。

• 如此一来，程序就完成调用过程，全部执行完毕。

2.3.2 接着来说跳转的指令

B：

用法：B Lable，直接跳转Lable处的地址，不改变LR，有限范围内的跳转，是不返回的跳转。可以看到上图B跳转的地址 就是在附近，说明可能是跳到后面的程序的指令，不带返回的。

BX：

用法：BX Lable，跳转到对应Label地址，Lable中最后一位（bit）为指令集标志，1表示Thumb，0表示ARM状态，可能会进行模式切换，是不返回的跳转。

用法：BX reg，跳转到 reg里面保存的地址，同上，可能会切换模式。该程序直接跳到lr所指示的地址，即返回地址。

BLX：

用法：BLX Lable，跳转到对应Label地址，可能会切换模式，同时LR保存了返回的地址。

用法：BLX reg，跳转到 reg里面保存的地址，可能会切换模式，同时LR保存了返回的地址。

BR：

用法：BR reg，跳转到 reg里面保存的地址，是不返回的跳转。

BLR：

用法：BLR reg，跳转到 reg里面保存的地址，同时LR保存了返回的地址。

B.

用法：B.Cond label，根据状态位进行跳转，比如 ZCNV 等状态位，

例如：BHI Lable 、BCS Lable

b.cs 如果w8 >= 0x397 则跳到0x800c0988地址处。

来源：

https://mp.weixin.qq.com/s/itj7IFf_rlesd7Kcmu1rPw

-  THE END  -

因文章部分文字及图片涉及到引用，如有侵权，请及时联系17316577586，我们将删除内容以保证您的权益。