1. 内存操作:从内存中加载数据 ldr、ldur、ldp
ldr介绍,ldur 和 ldp 类似
2. 如何通过程序代码来理解 ldr?
// ARM64.s
.text
.global _test
_test:
ldr x9, [x0] // 寻得 x0 地址所在的值,赋给 x9
ret
// main.m
#import
#import "AppDelegate.h"
#import "ARM64.h"
int main(int argc, char * argv[]) {
NSString * appDelegateClassName;
@autoreleasepool {
int a = 8;
int b = 4;
test();
appDelegateClassName = NSStringFromClass([AppDelegate class]);
}
return UIApplicationMain(argc, argv, nil, appDelegateClassName);
}
- 操作说明:在
main.m文件中test();行打上断点,然后如下操作
(lldb) p &b // 获取 b 的地址值
(int *) $4 = 0x000000016f137860
(lldb) s // 进入 test 函数
(lldb) register write x0 0x000000016f137860 // 将&b 写入 x0
(lldb) ni
(lldb) register read x9 // 获取 x9 的内容
x9 = 0x0000000800000004
思考,为什么我们原本只是将&b的值读了,赋给 x9 ,为什么 x9 里面的值还有一个 8,如果能思考清楚,我想 ldr 的指令就掌握得差不多了。
解答:因为 ldr 的指令含义是寻得 x0 的地址,将从 x0 地址所在的值赋予 x9,int 通常是占 4 个字节,而 x9 是 8 个字节的,所以 x9 不仅仅读取了 b 的内容,还多读取了四个字节。如何证明呢?
(lldb) x 0x000000016f137860 // x 指令:从指定地址开始打印存储内容
0x16f137860: 04 00 00 00 08 00 00 00 00 00 00 00 00 00 00 00 ................
0x16f137870: c8 78 13 6f 01 00 00 00 01 00 00 00 00 00 00 00 .x.o............
我们发现 &b 后续的内容,就是 a 的内容,这就解答了我们的疑惑。那么我们只想去四个字节呢?把 x9 换成 w9 即可。
3. 内存操作:往内存中写入数据 str、stur、stp
str用法与 ldr 用法思想一致
4. 零寄存器 wzr、xzr
因为我们在使用 str 的是没法使用立即数 0 给寄存器赋值,所以 wzr xzr就是干这个事情的。是一个比较特殊又常常见到的寄存器。
5. pc 寄存器 lr 寄存器
- pc:Program Counter,用于记录当前汇编存储执行到那一条了,存储的是对应汇编指令所在的地址值:
(lldb) register read pc
pc = 0x0000000100cda958 TestARM64`test
- lr:Link Register(x30),链接寄存器。存储着函数的返回地址
6. bl 指令的本质
- 先将
bl所在汇编指令的下一个指令存储到pc 寄存器中 - 然后运行 bl 指令,跳到指定函数内部
- 运行完指定函数,执行
ret时候,会跳到pc所存的汇编指令地址,继续执行
7. 叶子函数和非叶子函数
- 叶子函数:函数里面没有再调用其他函数的函数。
- 非叶子函数:函数里面还有调用其他函数的函数。
8. 叶子函数的汇编情况分析
编写如下 CTest.c 文件
#include
void haha(){
int a = 5;
int b = 7;
}
使用指令xcrun -sdk iphoneos clang -arch arm64 -S CTest.c生成 ARM64 汇编代码 CTest.s,去掉一些无用注释得到如下汇编代码:
_haha:
sub sp, sp, #16 //函数开始:sp 是栈指针寄存器,这句等价于 `sp=sp-16` 开辟了 16 字节的栈空间
mov w8, #5 //将 5 赋值给 w8
str w8, [sp, #12] //将 w8 的字数据存储到 sp-12 这个地址开始的位置,占据四个字节
mov w8, #7 //将 7 赋值给 w8
str w8, [sp, #8] //将 w8 的字数据存储到 sp-8 这个地址开始的位置,占据四个字节
add sp, sp, #16 //函数马上结束: 这句话等价于 `sp=sp+16`,将 sp 复位,释放栈空间
ret //函数结束
9. 非叶子函数的汇编情况分析
编写如下 CTest.c 文件
#include
#include
void haha(){
int a = 5;
int b = 7;
}
void hehe(){
int c = 1;
int d = 3;
haha();
}
使用指令xcrun -sdk iphoneos clang -arch arm64 -S CTest.c生成 ARM64 汇编代码 CTest.s,去掉一些无用注释得到如下汇编代码:
_haha:
sub sp, sp, #16 //_haha函数开始:sp 是栈指针寄存器,这句等价于 `sp=sp-16` 开辟了 16 字节的栈空间
mov w8, #5 //将 5 赋值给 w8
str w8, [sp, #12] //将 w8 的字数据存储到 sp-12 这个地址开始的位置,占据四个字节
mov w8, #7 //将 7 赋值给 w8
str w8, [sp, #8] //将 w8 的字数据存储到 sp-8 这个地址开始的位置,占据四个字节
add sp, sp, #16 //这句话等价于 `sp=sp+16`,将 sp 复位,释放栈空间 [这一步和本函数第一步相呼应]
ret //_haha函数结束
_hehe:
sub sp, sp, #32 //_hehe函数开始:sp 是栈指针寄存器,这句等价于 `sp=sp-32` 开辟了 32 字节的栈空间
stp x29, x30, [sp, #16] //将 x29(fp 寄存器) x30(lr 寄存器)的地址存储到栈空间 sp+16 地址开始的字数据中
add x29, sp, #16 //将 x29(fp 寄存器) 指向栈空间 sp+16 地址
mov w8, #1 //将 1 赋值给 w8
stur w8, [x29, #-4] //将 w8 赋值给 x29-4 地址开始的字数据中
mov w8, #3 //将 3 赋值给 w8
str w8, [sp, #8] //将 w8 赋值给 sp+8 地址开始的字数据中
bl _haha //程序进入 _haha 函数中
ldp x29, x30, [sp, #16] //将空间 sp+16 地址开始的字数据按顺序赋值给 x29(fp 寄存器) x30(lr 寄存器) [这一步和本函数第二步相呼应]
add sp, sp, #32 //等价于 sp=sp+32 释放栈空间 [这一步和本函数第一步相呼应]
ret //_hehe函数结束
x29(fp 帧指针寄存器) x30(lr 链接寄存器) 以及 sp 栈指针寄存器是维护
栈平衡的主要角色。iOS 系统分配栈空间常常以 16 字节的倍数进行分配 16、32、64
什么情况下栈空间会出现不够用?通常出现在递归调用的时候,不断嵌套
为什么有时候访问野指针会报错?因为访问到了操作系统不允许你范围的内存,放着不愿意让用户知道的信息,所以给你一个
EXEC_BAD_ADDRESS。