背景：

????最近在某個(gè)RTOS上遇到一個(gè)系統(tǒng)BUG，幾經(jīng)折騰，終于將其斬于馬下。結(jié)局美好，過程卻很曲折，在分析定位問題的時(shí)候，順便把ARM上C函數(shù)調(diào)用stack frame機(jī)制捋了一遍，記錄并分享一下。

概念：

棧：

1）從數(shù)據(jù)結(jié)構(gòu)的角度來理解，棧是一種描述先進(jìn)后出的數(shù)據(jù)結(jié)構(gòu)；

2）從進(jìn)程的內(nèi)存空間角度來理解，棧是一種特殊的內(nèi)存段，用于存放局部變量、函數(shù)參數(shù)、返回值等；

第一種角度，用來描述本身的特性，第二種角度，是將這種數(shù)據(jù)結(jié)構(gòu)的特性用于實(shí)際的內(nèi)存空間中。

棧幀：每個(gè)進(jìn)程都會有自己的?？臻g，而進(jìn)程中的各個(gè)函數(shù)也會維護(hù)自己本身的一個(gè)棧的區(qū)域，這個(gè)區(qū)域就是棧幀。那么一個(gè)函數(shù)的棧幀的區(qū)域是如何來界定的呢？當(dāng)然，我首先會普及ARM的幾個(gè)特殊寄存器功能。

R11：frame pointer，F(xiàn)P寄存器

R12：IP寄存器，用于暫存SP

R13：stack pointer，SP寄存器

R14：link register，LR寄存器

R15：PC寄存器

而在ARM上，函數(shù)的棧幀是由SP寄存器和FP寄存器來界定的，相信你應(yīng)該見過下邊這張比較經(jīng)典的圖了：

? ? 上圖描述的是main函數(shù)調(diào)用func1函數(shù)的棧幀情況，從圖可知，當(dāng)main函數(shù)調(diào)用func1函數(shù)時(shí)，func1函數(shù)會先將PC、LR、SP、FP四個(gè)寄存器壓到棧上邊，其中SP和FP的值分別指向main函數(shù)棧幀的兩個(gè)邊界，LR的值保存的是func1調(diào)用結(jié)束之后的返回值，PC值表示的是當(dāng)前執(zhí)行到的指令地址，放置的是進(jìn)入func1后的指令地址。緊接著就會在棧上分配一片區(qū)域，用于放置局部變量等。

? ? 如果func1中還調(diào)用了func2子函數(shù)，那么也會為func2創(chuàng)建一個(gè)棧幀，并且func2的SP和FP會指向func1棧幀的兩個(gè)邊界。這樣當(dāng)函數(shù)返回的時(shí)候，參數(shù)進(jìn)行出棧，也能找到Caller函數(shù)，這個(gè)也就是backtrace的原理了。

示例：

????反匯編分析某段代碼，如下圖所示：

紅色部分，表明進(jìn)入到函數(shù)時(shí)先將幾個(gè)特殊的寄存器壓棧

黃色部分，sub sp, sp, #16，表明開辟一個(gè)4 x 32bit大小的棧區(qū)域

藍(lán)色部分，將傳入的參數(shù)壓棧，在ARM ATPCS中規(guī)定，寄存器R0-R3用來傳參

綠色部分，調(diào)用子函數(shù)

????那么，我們順道看看子函數(shù)的棧幀區(qū)域吧：

? ? 從圖中可以看出，機(jī)制是一樣的，當(dāng)最終queue_push函數(shù)調(diào)用結(jié)束后，棧上的數(shù)據(jù)進(jìn)行出棧，根據(jù)fp和ip，便能找到workflow_gather_input函數(shù)的棧幀了。

????當(dāng)然，并不是所有函數(shù)調(diào)用都需要先push? {fp, ip, lr, pc}，當(dāng)子函數(shù)調(diào)用過程中，并不會去改變這些值的時(shí)候，就不需要壓棧，說白了，壓棧的目的就是為了在使用完的時(shí)候能恢復(fù)原來的狀態(tài)。我會再次提供一個(gè)例子：

? ? strlen函數(shù)中沒有子函數(shù)的調(diào)用，所以進(jìn)入函數(shù)后，直接就在棧上分配4 * 32bit大小的區(qū)域了。

????棧里邊能分析出每個(gè)參數(shù)的值，以及函數(shù)調(diào)用時(shí)的傳參，這對分析與定位問題很有幫助。成熟的系統(tǒng)可能會提供一堆工具來dump stack，并去分析調(diào)用關(guān)系，但是在RTOS上，很多卻并不完善，需要一定的低層知識去分析才能解決問題。