主要内容
1.Thumb指令集详解
2.Thumb直接访问的寄存器
3.Thumb指令集组成部分详解
4.Thumb和arm状态切换
5.Thumb的常见应用场景
1.Thumb指令集详解
•ARM处理器支持两种指令集:ARM指令集和Thumb指令集。•ARM指令集指令长度为32位,Thumb指令集指令长度为16位。在16位外部数据总线宽度下,ARM处理器上使用Thumb指令的性能要比使用ARM指令的性能更好。•存在Thumb指令的意义:兼容数据总线宽度为16位的应用系统。
2.Thumb直接访问的寄存器
3.Thumb指令集组成部分
•3.1.Thumb数据处理指令
•3.2.分支跳转指令
•3.3.寄存器加载存储指令(单寄存器、多寄存器)
•3.4.杂项指令•SWI:软中断指令
指令格式如下:
SWI immed_8
其中:immed_8 8 位立即数,值为0~255 之间的整数。
SWI 指令举例如下:
SWI 1 ;软中断,中断立即数为0
SWI 0x55 ;软中断,中断立即数为0x55
使用SWI 指令时,通常使用以下两种方法进行传递参数,SWI 异常中断处理程序可以提供相关的服务,这两种方法均是用户软件协定。SWI 异常中断处理程序要通过读取引起软中断的SWI 指令。以取得8 位立即数。
(A)指令中8 位的立即数指定了用户请求的服务类型,参数通过用寄存器传递。
MOV R0,#34 ;设置子功能号为34
SWI 18 ;调用18 号软中断
(B)指令中的8 位立即数被忽略,用户请求的服务类型由寄存器R0 的值决定,参数通过其它的通用寄存器传递。
MOV R0,#18 ;调用18 号软中断
MOV R1,#34 ;设置子功能号为34
SWI 0
4.Thumb和ARM状态切换
•ARM/Thumb之间的状态切换是通过一条专用的转移交换指令BX来实现的
汇编格式:BX{
功能:BX 指令跳转到指令中所指定的目标地址,并实现状态的切换。Rm 是一个表达目标地址的寄存器。当Rm 中的最低位Rm[0] 为 1 时,强制程序从ARM 指令状态跳到Thumb 指令状态;当 Rm 中的最低位Rm[0]为0 时,强制程序从Thumb 指令状态跳到ARM 指令状态。
BX 指令示例
CODE32 ;ARM 程序段,32 位编码
arm1 ADR R0,thumb1+1 ;把thumb1 所在地址赋给R0 ,末位R0[0] 置1 ,要跳转THUMB 指令集
MOV LR,PC ;设置返回地址
BX R0 ;跳转
ADD R1,R2,#2 ;返回地址处,第4 条指令
CODE16 ;THUMB 程序段, 16 位编码
thumb1 ADD R1,R3,#1 ;THUMB 程序
BX LR ;跳转到返回地址处,执行第4 条指令
以上示例分析:说明了带状态切换的子程序调用和返回结构,ARM 程序段执行MOV LR,PC 语句时将返回地址保存到了LR 寄存器中。执行到BX 语句时 ,PC 指向下一个要执行的语句,此时PC(R15) 中的值为下一个语句ADD 指令所在的地址,并根据R0 中的bit[0] 实现了由ARM 状态切换到Thumb 状态。从而调用Thumb 子程序,子程序调用完后使用BX LR 指令,从而实现了子程序调用的返回并切换到ARM 状态。
5.Thumb指令一些应用情况
•在ida中识别Thumb指令和ARM指令的方法
•CODE32表示的采用ARM汇编指令,CODE16表示采用的是THUMB汇编指令。
•Thumb汇编的主要应用场景:逆向调试So文件的时候,编写ARM的shellcode代码的时候。•以下是arm的shellcode的应用
更多文章,关注我的公众号,一起学习,一起进步。
原文始发于微信公众号(哆啦安全):安卓逆向:重温Thumb汇编指令的细节
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论