c - 从 GDB 解码 ARM 指令

Question

我想在我的 aarch64 设备上理解/解码 ARM 指令。

我有以下用C语言编写的代码:

void test_function(int a, int b, int c, int d) {
  int flag;
  char buffer[10];

  flag = 31337;
  buffer[0] = 'A';
}

int main() {
  test_function(1, 2, 3, 4);
}

gcc -g stack_example.c 和 gdb -q ./a.out 产生以下程序集:

(gdb) disass main
Dump of assembler code for function main:
   0x00000000000016d4 <+0>:     stp     x29, x30, [sp, #-16]!
   0x00000000000016d8 <+4>:     mov     x29, sp
   0x00000000000016dc <+8>:     mov     w0, #0x1                        // #1
   0x00000000000016e0 <+12>:    mov     w1, #0x2                        // #2
   0x00000000000016e4 <+16>:    mov     w2, #0x3                        // #3
   0x00000000000016e8 <+20>:    mov     w3, #0x4                        // #4
   0x00000000000016ec <+24>:    bl      0x16a8 <test_function>
   0x00000000000016f0 <+28>:    mov     w0, wzr
   0x00000000000016f4 <+32>:    ldp     x29, x30, [sp], #16
   0x00000000000016f8 <+36>:    ret
End of assembler dump.
(gdb) disass test_function
Dump of assembler code for function test_function:
   0x00000000000016a8 <+0>:     sub     sp, sp, #0x20
   0x00000000000016ac <+4>:     str     w0, [sp, #28]
   0x00000000000016b0 <+8>:     str     w1, [sp, #24]
   0x00000000000016b4 <+12>:    str     w2, [sp, #20]
   0x00000000000016b8 <+16>:    str     w3, [sp, #16]
   0x00000000000016bc <+20>:    mov     w8, #0x7a69                     // #31337
   0x00000000000016c0 <+24>:    str     w8, [sp, #12]
   0x00000000000016c4 <+28>:    mov     w8, #0x41                       // #65
   0x00000000000016c8 <+32>:    strb    w8, [sp, #2]
   0x00000000000016cc <+36>:    add     sp, sp, #0x20
   0x00000000000016d0 <+40>:    ret
End of assembler dump.

当我现在执行 break 10、break test_function、run 和 disass main 时，我得到了

(gdb) disass main
Dump of assembler code for function main:
   0x00000055907a86d4 <+0>:     stp     x29, x30, [sp, #-16]!
   0x00000055907a86d8 <+4>:     mov     x29, sp
   0x00000055907a86dc <+8>:     mov     w0, #0x1                        // #1
   0x00000055907a86e0 <+12>:    mov     w1, #0x2                        // #2
   0x00000055907a86e4 <+16>:    mov     w2, #0x3                        // #3
   0x00000055907a86e8 <+20>:    mov     w3, #0x4                        // #4
=> 0x00000055907a86ec <+24>:    bl      0x55907a86a8 <test_function>
   0x00000055907a86f0 <+28>:    mov     w0, wzr
   0x00000055907a86f4 <+32>:    ldp     x29, x30, [sp], #16
   0x00000055907a86f8 <+36>:    ret
End of assembler dump.

现在根据Arm Architecture Reference Manual Armv8, for A-profile architecture, page 934 BL 指令以 100101 开始，后跟一个 26 位立即数。

用 yield 检查程序计数器所在位置的内存

(gdb) x/16b 0x55907a86ec
0x55907a86ec <main+24>: 11101111        11111111        11111111        10010111        11100000        00000011        00011111        00101010
0x55907a86f4 <main+32>: 11111101        01111011        11000001        10101000        11000000        00000011        01011111        11010110

我想，指令从第四个字节开始，但我不确定。我试图重建地址 0x55907a86a8，但没有成功。有人可以帮忙吗？

Answer 1

AArch64 指令采用小尾数法编码，因此如果您一次转储一个字节的代码，每个 4 字节的字将具有倒序的字节。因此，从您的输出中，您必须取前 4 个字节，反转它们的顺序(但不要反转字节中的位)，然后连接它们。 (您可以通过执行 x/tw 0x55907a86ec 让调试器为您完成它。)这给出:

10010111111111111111111111101111

实际上最高 6 位是操作码 100101。立即数是 11111111111111111111101111。这是一个二进制补码的负数(回想一下，立即数是符号扩展的)，值为 -17 或 -0x11。这个数字乘以 4(左移两位)，产生 -0x44 并添加到 bl 指令本身的地址以找到分支目标。事实上 0x00000055907a86ec - 0x44 = 0x55907a86a8，这是调试器向您显示的地址，也是 test_function 的第一条指令的地址。

请注意 ASLR在您开始运行程序时完成，这就是反汇编在run 前后显示不同地址的原因。如果您在运行 之后执行反汇编test_function，您应该会看到它从0x55907a86a8 开始。尽管如此，如果您查看 ASLR 前的反汇编，您会注意到 bl test_function 指令的地址 (0x16ec) 和 的地址之间的相对位移code>test_function 本身 (0x16a8) 与 -0x44 相同。 (其实ASLR是以page为单位做的，所以低12位是不会被它改变的。)