1.發(fā)生中斷時(shí)處理器的行為

不考慮其他細(xì)節(jié)，M3內(nèi)核在發(fā)生中斷時(shí)首先自動(dòng)將如下8個(gè)寄存器壓棧。因此在中斷處理函數(shù)中，發(fā)生中斷時(shí)正常執(zhí)行時(shí)的寄存器數(shù)值已經(jīng)被壓入了堆棧中。在中斷處理函數(shù)開始執(zhí)行時(shí)，除了PC，LR，SP等控制寄存器，從r0-r12等這些通用寄存器的數(shù)據(jù)是沒有變化的。下圖描述了M3內(nèi)核將寄存器壓棧的順序：

2.編譯器通過棧來實(shí)現(xiàn)函數(shù)調(diào)用

C編譯器通過棧來實(shí)現(xiàn)函數(shù)的調(diào)用，即在棧中記錄程序執(zhí)行的軌跡并輔助寄存器進(jìn)行參數(shù)傳遞。具體如何實(shí)現(xiàn)C函數(shù)的調(diào)用，歷史上有很多的規(guī)范，這些規(guī)范叫做調(diào)用慣例。
對(duì)于ARM處理器來說，有一個(gè)官方的規(guī)范AAPCS（Procedure Call Standard for the ARM? Architecture）詳細(xì)描述了進(jìn)行函數(shù)調(diào)用時(shí)如何進(jìn)行參數(shù)的傳遞和調(diào)用路徑的記錄等。
如下僅對(duì)使用棧記錄調(diào)用路徑的行為進(jìn)行簡(jiǎn)單描述：查看編譯器生成的匯編代碼可以得知，大多數(shù)的函數(shù)調(diào)用通過BL語句實(shí)現(xiàn)，BL語句將當(dāng)前程序下一條指令的地址存入LR寄存器，并跳轉(zhuǎn)到指定的地方（子函數(shù)開始的地方）開始執(zhí)行。子函數(shù)中如果還需要調(diào)用孫子函數(shù)，就會(huì)在函數(shù)的入口處將LR的值壓棧，以便函數(shù)執(zhí)行結(jié)束后能夠返回父函數(shù)。因此依次找到棧中LR的數(shù)值，就能找到調(diào)用路徑中各個(gè)函數(shù)的地址。最后根據(jù)map文件翻譯出各函數(shù)的名稱，就可以得到函數(shù)的調(diào)用路徑了。
如下是一個(gè)簡(jiǎn)單函數(shù)匯編代碼的例子，函數(shù)OnPowerOff調(diào)用了函數(shù)FS_Deinit，函數(shù)FS_Deinit調(diào)用了SPIFFS_unmount?？梢钥闯鯫nPowerOff函數(shù)的入口如將LR壓入棧中（此時(shí)LR中保存的是函數(shù)OnPowerOff的返回地址，也就是調(diào)用OnPowerOff的父函數(shù)中的某條指令的地址），然后調(diào)用了FS_Deinit。同樣FS_Deinit也在入口處將LR壓入棧中（此時(shí)LR中保存的是OnPowerOff函數(shù)中POP指令的地址），然后再調(diào)用SPIFFS_unmount。返回的過程，依次將棧中保存的返回地址直接出棧到PC寄存器，完成函數(shù)的返回。這樣，如果某個(gè)函數(shù)將棧中的返回地址寫壞，則函數(shù)在返回時(shí)就會(huì)跳轉(zhuǎn)到某個(gè)隨機(jī)的地方，這就是常說的“程序跑飛了”。

OnPowerOff PROC
;;;202 void OnPowerOff(void)
0001b2 b510 PUSH {r4,lr}
;;;203 {
;;;204 FS_Deinit();
0001b4 f7fffffe BL FS_Deinit
;;;205 }
0001b8 bd10 POP {r4,pc}
;;;206
ENDP
FS_Deinit PROC
;;;166 void FS_Deinit(void)
000158 b510 PUSH {r4,lr}
;;;167 {
;;;168 SPIFFS_unmount(&g_fs);
00015a 4810 LDR r0,|L1.412|
00015c f7fffffe BL SPIFFS_unmount
;;;169 return;
;;;170 }
000160 bd10 POP {r4,pc}
;;;171
ENDP

3.對(duì)信息的繼續(xù)挖掘

• 通用寄存器
  通用寄存器中可供挖掘的信息并不多，通常情況下r0-r3寄存器保存著函數(shù)的前四個(gè)參數(shù)（其余的參數(shù)在棧中保存），需要注意的是：這四個(gè)寄存器的數(shù)值僅在函數(shù)開始執(zhí)行的時(shí)候是可靠的，在函數(shù)執(zhí)行的過程中可能被改變。在函數(shù)返回時(shí)，寄存器r0和r1用于保存返回值（根據(jù)返回?cái)?shù)據(jù)的大小，決定僅使用r0還是同時(shí)使用r0和r1）。同樣這兩個(gè)寄存器僅在子函數(shù)剛返回時(shí)數(shù)值才是可靠的。
• 特殊功能寄存器
  特殊功能寄存器就是PC、LR和SP了。
  SP指向當(dāng)前的棧頂，在知曉棧的結(jié)構(gòu)時(shí)，可以根據(jù)SP訪問棧中的數(shù)據(jù)。
  在中斷處理函數(shù)中LR有特殊用法，其中保存了返回被中斷地點(diǎn)的方法，而不是通常情況下的返回地址。因此在Hardfault處理函數(shù)中寄存器LR和PC的值沒有太多參考意義，被處理器自動(dòng)壓棧的LR和PC最有用，PC記錄了被中斷打斷前正在執(zhí)行的指令地址（也是正在執(zhí)行的函數(shù)地址），LR記錄了被中斷打斷前，正在執(zhí)行的函數(shù)的父函數(shù)的地址。根據(jù)這兩個(gè)地址，可以找到引發(fā)Hardfault異常的函數(shù)和語句，以及其父函數(shù)（如果輔以匯編代碼繼續(xù)對(duì)棧的內(nèi)容進(jìn)行分析，則可以回溯整個(gè)調(diào)用路徑）。
  而具體引發(fā)Hardfault異常的原因，可以根據(jù)下面章節(jié)介紹的SCB寄存器來查看。
• SCB寄存器
  在M3/M4處理器標(biāo)準(zhǔn)外設(shè)中，有一個(gè)叫做SCB（System Control Block）的部分，其中有6個(gè)寄存器記錄了發(fā)生Hardfault異常的原因。
  CMSIS規(guī)范中對(duì)SCB寄存器的定義：

typedef struct
{
    __I uint32_t CPUID;
    __IO uint32_t ICSR;
    __IO uint32_t VTOR;
    __IO uint32_t AIRCR;
    __IO uint32_t SCR;
    __IO uint32_t CCR;
    __IO uint8_t SHP[12];
    __IO uint32_t SHCSR;
    __IO uint32_t CFSR;  //主要關(guān)注
    __IO uint32_t HFSR; //主要關(guān)注
    __IO uit32_t DFSR;
    __IO uint32_t MMFAR; //主要關(guān)注
    __IO uint32_t BFAR; //主要關(guān)注
    __IO uint32_t AFSR;
    __I uint32_t PFR[2];
    __I uint32_t DFR;
    __I uint32_t ADR;
    __I uint32_t MMFR[4];
    __I uint32_t ISAR[5];
    uint32_t RESERVED0[5];
    __IO uint32_t CPACR;
} SCB_Type;

CFSR、HFSR、MMFAR、BFAR幾個(gè)寄存器是我們需要關(guān)注的，AFSR是平臺(tái)相關(guān)的暫時(shí)忽略。上述寄存器中CFSR又可以分為三個(gè)寄存器分別是：UFSR，BFSR，MFSR。上述寄存器的內(nèi)存分布如下表所示：

各寄存器數(shù)據(jù)的描述如下：
MFSR 中可能出現(xiàn)的錯(cuò)誤及原因：

BFSR 中可能出現(xiàn)的錯(cuò)誤及原因：

UFSR 中可能出現(xiàn)的錯(cuò)誤及原因：

解讀SCB寄存器時(shí)應(yīng)首先根據(jù)HFSR寄存器判斷產(chǎn)生Hardfault的原因，如果確認(rèn)是fault上訪的情況，則依次檢查BFSR、UFSR和HFSR確定具體的錯(cuò)誤原因和地址。