大家好，今天来聊聊对于ARM几个特殊寄存器的理解，FP、SP和LR。

1、介绍

• FP：栈顶指针，指向一个栈帧的顶部，当函数发生跳转时，会记录当时的栈的起始位置。

• SP：栈指针（也称为栈底指针），指向栈当前的位置，

• LR：链接寄存器，保存函数返回的地址。

关于gcc就有一个关于stack frame的优化选项，加上该选项则忽略掉FP栈顶指针，（记得高版本默认是不加FP的，gcc4.8以上吧（待确认））

• -fomit-frame-pointer

Don’t keep the frame pointer in a register for functions that don’t need one. This avoids the instructions to save, set up and restore frame pointers; it also makes an extra register available in many functions. It also makes debugging impossible on some machines.

（大概意思 ）不需要栈帧的时候不要加这个编译选项，这可以节省很多指令去保存，传递和恢复，同时也省出一个寄存器可以在函数中做更多事情，也使得在某些机制下更容易去debug

arm cc5编译也有关于FP生成的编译选项，默认是不加的。

• –use_frame_pointer, --no_use_frame_pointer

Sets the frame pointer to the current stack frame. Using the --use_frame_pointer option reserves a register to store the 「frame pointer」. For newer processors that support Thumb-2 technology (ARMv6T2 and later), the reserved register is always R11. （arm v7）如果是arm v8 -a 系列，则是X29来表示。For older processors that do not support Thumb-2 technology, the reserved register is R11 in ARM code and R7 in Thumb code. Default「The default is --no_use_frame_pointer」. That is, register R11 (or register R7 for Thumb code on older processors) is available for use as a general-purpose registe

2、作用

2.1 FP的作用

关于APCS（ARM Procedure Call Standard，ARM 程序调用标准）的说法 ，

• 除非子程序没有修改链接寄存器，否则FP都需要记录有效的栈帧位置

• 其寄存器（r11或者x29）不能被用做一个通用型的寄存器

FP的主要作用就是用来「栈回溯」，找到子程序的调用关系，也成为backtrace，当然一级一级的子程序调用时，FP的记录也在变化，也会一级一级的保存到栈中，最后通过FP的值来反推出一级一级的调用关系。

以ARM CC5 编译器为例，其栈回溯的主要逻辑如下图所示：

通过上图可以看出，main->fun1->fun2，每调用一级的时候，都会将FP、LR以及参数等压栈，而每个FP指向了上一级的栈顶，通过保存关系，可以找到LR，从而找到上一级的调用函数。

具体的流程图就如右图所示，按照这样的方法可以找到backtrace，再比如可以通过stack memory查找调用栈信息，

左图为栈memory 右图为寄存器信息。

上图中：backtrace 第一级是寄存器中的LR，之后就是从栈中进入回溯来找到的。（FP、LR） 1、0x1F7BC 0x40BBAA4 2、0x1F7E4 0x18A3C 3、0x1F7EC 0x18818 4、 0x1F7F4 0x40A4108 5、 0x1F7FC 0x1594 6、 0x184BC 0x40A0015

图中 LR地址都-4 这是因为LR总是保存PC的下一个运行地址，所以找到PC进函数的位置，则需要LR-4可以得到。

图中 最后栈停止回溯，可以看到栈的边界到了0x1f800，所以停止，不然会继续一直进行回溯。

backtrace的C代码如下

void get_backtrace(u32 lr， u32 fP）
{
 u8 backtrace_deep = 0
 u32 stack_limit=getStackLimit()
 u32 stack_base=getStackBase()
 
 printf("Bactrace info:\n")
 do{
  if((fp <= stack_base) &&(fp >= stack_limit))
   break;
  lr = *(u32*)(fp)
  lr (lr == OxFFFFFFFF || lr == 0x0）
   break;
  fp=*(u32*)(fp-sizeof(u32))
  if(backtrace_deep++>MAX_BACKTRACE_DEPTH)
   break;
 }while(1);
 printf("\n")；
}
12345678910111213141516171819

2.2 SP的作用

sp 为栈指针，通过push pop 实现对栈存储的访问，栈主要是用来存储局部变量 中间值 等数据，同样和全部变量等存储的区域一样，也是一块memory，没有任何区别，只是使用的方式不一样。

接下来简单介绍一下各个处理器架构的SP指针。

• CortexM3/4（ARMv7）

1. CortexM3/4中，「SP分为MSP与PSP」，主栈与线程栈，任何时刻只有一个栈指针有效，通过「CONTROL 寄存器」来选择栈指针。

2. 程序刚运行时就处在主栈（特权模式），之后可以切到线程栈（非特权模式），之所以设置这样的原因是，一般OS会运行在主栈，而应用程序出在线程栈，应用程序即使出错，也不会影响OS的运行，也不会影响主栈。通过简单的程序无需这样运行，直接在主栈特权模式下面运行就可以。

3. MSP的初值通过存储器的第一个DWORD中获取。

4. MSP与PSP 都是32位，低两位均是0.

• CortexR5（Cortexv7）

1. Cortex R5系列比较复杂，继承了多种工作模式的特性，大多数模式下都有独立的栈。

   

2. 总共七种工作模式，SYS/FIQ/SYS/SVC/ABORT/IRQ/UND 以及USER，前面六种都是特权模式 后面是用户模式也是非特权模式。可以看到基本都有独立的栈寄存器，意味着每个模式下可以设置独立的栈空间

3. 

• CortexA53 (ARMv8 -A系列)

1. 其有变化了 分为EL1 EL2 EL3 EL4四种模式（AArch64状态）。每种模式下有自己的SP指针，SP_EL0，SP_EL1，SP_EL2，SP_EL3。通过SPSel来选择是哪一种的SP指针。

2. 

3. SP_EL1t 代表SP_EL0的指针，SP_ELxH代表相应等级下的SP指针。

4. 如果用作基址运算时，SP的低四位[3:0]必须为0，否则会产生SP非对齐异常，系统自动会进行check。

CheckSPAlignment()
 bits(64) sp = SP[];
 if PSTATE.EL == EL0 then
  stack_align_check = (SCTLR[].SA0 != '0');
 else
  stack_align_check = (SCTLR[].SA != '0');
 if stack_align_check && sp != Align(sp, 16) then
  AArch64.SPAlignmentFault();
return;
123456789

由下图可以看到EL3下的SP有值，且与系统的SP值相同（X15下面），则处于EL3模式。

2.3 LR的作用

1. LR为程序跳转时需要用到的寄存器，用来保存「返回地址」（同时也包含异常返回地址）。

2. 程序经常会存在调用关系，当程序执行完子程序之后，肯定会返回到主程序，这是返回到主程序的地址就是在LR保存。

3. 在一些CorteM系列的处理，LR的第0位会置1 表示，表示Thumb状态。

4. 当然没有LR这个寄存器也可以的，直接将返回地址保存到栈中，最后执行完之后弹出到PC也行，但是寄存器的访问速度可以远高于栈（存储器SRAM），所以LR的作用还是很明显的。

5. 此外对应ARMv8系列，还有ELR寄存器，对应的是异常状态下的返回地址。

   a. 当程序执行到异常时，异常的返回地址保存到ELR中，当然ARMv8有四种模式，EL0没有异常处理，所以只有三个ELR寄存器，处理三种异常时的返回地址。b. AArch32到AArch64状态时，保存的是32位的地址，高8位均为0。

6. 

2.3.1 LR的地址保存

当假如程序A->B->C，

void A()
{
 ....  //1地址
 B();  //;BL B
 .... //2地址
 return;
}
void B()
{
 .... //3地址
 C(); //BL C
 .... //4地址
 return;  //pop lr->PC
}
void C()
{
 ....
 return; //B LR
}
12345678910111213141516171819

1. 程序A调用B程序，此时LR更新为「2地址」，

2. 跳转到B程序时，B发现还要跳转到C程序，所以LR会被覆盖，所以在B程序开始的时候，会讲LR保存到栈中。

3. 挑转到C程序时，此时LR更新到「4地址」，

4. C程序执行开始时，发现没有子程序跳转了，所以此时的LR不会被覆盖，所以也不需要将LR保存，退出时直接跳转到「4地址」即可。

5. B程序执行完时，发现LR还是错的，会将压栈的LR弹出，这样程序就可以回到「2地址」。

6. 如此一来，程序就完成调用过程，全部执行完毕。

2.3.2 接着来说跳转的指令

• B

  • 用法：B Lable，直接跳转Lable处的地址，不改变LR，有限范围内的跳转，是不返回的跳转。可以看到上图B跳转的地址 就是在附近，说明可能是跳到后面的程序的指令，不带返回的。

  • 

• BL

  • 用法：BL Lable，将LR=PC+4，（比如在32位程序上+4，Thumb是+2，64位程序上可能是+8）然后跳转到Lable地址，带链接的挑战，说明还会回来的。图中0x8000F300 地址不在该程序范围内，说明是跳到其他地址处 执行完成之后，w0是返回值，然后再跳到此次，是带链接的跳转。

  • 

• BX：

  • 用法：BX Lable，跳转到对应Label地址，Lable中最后一位（bit）为指令集标志，1表示Thumb，0表示ARM状态，可能会进行模式切换，是不返回的跳转。

  • 用法：BX reg，跳转到 reg里面保存的地址，同上，可能会切换模式。该程序直接跳到lr所指示的地址，即返回地址。

  • 

• BLX：

  • 用法：BLX Lable，跳转到对应Label地址，可能会切换模式，同时LR保存了返回的地址。

  • 用法：BLX reg，跳转到 reg里面保存的地址，可能会切换模式，同时LR保存了返回的地址。

• BR：

  • 用法：BR reg，跳转到 reg里面保存的地址，是不返回的跳转。

• BLR：

  • 用法：BLR reg，跳转到 reg里面保存的地址，同时LR保存了返回的地址。

• B.

  • 用法：B.Cond label，根据状态位进行跳转，比如 ZCNV 等状态位，

  • 例如：BHI Lable 、BCS Lable

  • 

  • b.cs 如果w8 >= 0x397 则跳到0x800c0988地址处。

  •