QEMU code translate

原创 已于 2024-09-18 08:02:03 修改 · 992 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

于 2024-09-14 20:17:14 首次发布

 参考x86_64 registers-优快云博客

%rax 作为函数返回值使用。
%rsp 栈指针寄存器,指向栈顶
%rdi,%rsi,%rdx,%rcx,%r8,%r9 用作函数参数,依次对应第1参数,第2参数。。。
%rbx,%rbp,%r12,%r13,%14,%15 用作数据存储,遵循被调用者使用规则,简单说就是随便用,调用子函数之前要备份它,以防他被修改
%r10,%r11 用作数据存储,遵循调用者使用规则,简单说就是使用之前要先保存原值

首先可以理解为 包装一个函数,入参为%rdi,%rsi,%rdx,%rcx,%r8,%r9,

其中rdi为上下文,其中保护各种寄存器,也就是后续的env;

rsi为翻译之后汇编执行代码的地址

PROLOGUE: [size=45]
0x7fcfd4000000:  push   %rbp   #* 55//存储数据register rbp
0x7fcfd4000001:  push   %rbx   #* 53//存储数据register rbx
0x7fcfd4000002:  push   %r12   #* 41 54//存储数据register r12
0x7fcfd4000004:  push   %r13   #* 41 55//存储数据register r13
0x7fcfd4000006:  push   %r14   #* 41 56//存储数据register r14
0x7fcfd4000008:  push   %r15   #* 41 57//存储数据register r15
0x7fcfd400000a:  mov    %rdi,%rbp   #* 48 8b ef//把上下文保持到rbp
0x7fcfd400000d:  add    $0xfffffffffffffb78,%rsp   #* 48 81 c4 78 fb ff ff//rsp减去0x488($0xfffffffffffffb78对应补码),可以视为预留0x488的栈空间
0x7fcfd4000014:  jmpq   *%rsi   #* ff e6//跳转到rsi
0x7fcfd4000016:  xor    %eax,%eax   #* 33 c0//32位的eax异或值
0x7fcfd4000018:  add    $0x488,%rsp   #* 48 81 c4 88 04 00 00//计算好了,恢复rsp
0x7fcfd400001f:  emms      #* c5 f8 77//使用完MMX指令后一定要用emms指令将浮点寄存器复位
0x7fcfd4000022:  pop    %r15   #* 41 5f
0x7fcfd4000024:  pop    %r14   #* 41 5e
0x7fcfd4000026:  pop    %r13   #* 41 5d
0x7fcfd4000028:  pop    %r12   #* 41 5c
0x7fcfd400002a:  pop    %rbx   #* 5b
0x7fcfd400002b:  pop    %rbp   #* 5d
0x7fcfd400002c:  retq      #* c3

----------------
IN:
0x0000000040000000:  580000c0      ldr x0, pc+24 (addr 0x40000018)
0x0000000040000004:  aa1f03e1      mov x1, xzr
0x0000000040000008:  aa1f03e2      mov x2, xzr
0x000000004000000c:  aa1f03e3      mov x3, xzr
0x0000000040000010:  58000084      ldr x4, pc+16 (addr 0x40000020)
0x0000000040000014:  d61f0080      br x4

OP:
 ld_i32 tmp0,env,$0xfffffffffffffff0
 movi_i32 tmp1,$0x0
 brcond_i32 tmp0,tmp1,lt,$L0//if tmp0 lt tmp1 then jmp $L0

 ---- 0000000040000000 0000000000000000 0000000000000f02
 movi_i64 tmp2,$0x40000018
 qemu_ld_i64 x0,tmp2,leq,1//使用小端序(leq)来解释内存数据。1 可能是用于指示加载行为的一个附加参数,如访问方式、对齐方式或者其他标志

 ---- 0000000040000004 0000000000000000 0000000000000000
 movi_i64 tmp2,$0x0
 mov_i64 x1,tmp2

 ---- 0000000040000008 0000000000000000 0000000000000000
 movi_i64 tmp2,$0x0
 mov_i64 x2,tmp2

 ---- 000000004000000c 0000000000000000 0000000000000000
 movi_i64 tmp2,$0x0
 mov_i64 x3,tmp2

 ---- 0000000040000010 0000000000000000 0000000000000f12
 movi_i64 tmp2,$0x40000020
 qemu_ld_i64 x4,tmp2,leq,1

 ---- 0000000040000014 0000000000000000 0000000000000000
 mov_i64 pc,x4//翻译跳转,先保存跳转地址到pc寄存器
 call lookup_tb_ptr,$0x6,$1,tmp2,env//这个是找下一个tb的,见accel/tcg/tcg-runtime.c:void *HELPER(lookup_tb_ptr)(CPUArchState *env), 如果下一个pc对应的tb存在则返回起始地址。否则返回tcg_ctx->code_gen_epilogue,它增加了返回值赋0的动作。

函数lookup_tb_ptr参数$0x6,$1,tmp2为用于存储找到pc对应的地址,env为上下文
 goto_ptr tmp2//根据找到的地址跳转。goto_ptr一般前面跟着call lookup_tb_ptr查找的结果,跳转到tmp2
 set_label $L0
 exit_tb $0x7fcfd4000043

OUT: [size=248]
0x7fcfd4000100:  mov    -0x10(%rbp),%ebx   #* 8b 5d f0
0x7fcfd4000103:  test   %ebx,%ebx   #* 85 db//TEST AX,BX 与AND AX,BX命令有相同效果,只是Test指令不改变AX和BX的内容,而AND指令会把结果保存到AX中
0x7fcfd4000105:  jl     0x7fcfd40001a1   #* 0f 8c 96 00 00 00//有符号小于则跳转


0x7fcfd400010b:  mov    $0x40000018,%ebx   #* bb 18 00 00 40//
0x7fcfd4000110:  mov    %rbx,%rdi   #* 48 8b fb//rbx为ebx的64位
0x7fcfd4000113:  shr    $0x7,%rdi   #* 48 c1 ef 07
0x7fcfd4000117:  and    -0x80(%rbp),%rdi   #* 48 23 7d 80
0x7fcfd400011b:  add    -0x78(%rbp),%rdi   #* 48 03 7d 88
0x7fcfd400011f:  lea    0x7(%rbx),%rsi   #* 48 8d 73 07//tcg_out_modrm_offset(s, OPC_LEA + trexw, r1, addrlo, s_mask - a_mask);
0x7fcfd4000123:  and    $0xfffffffffffff000,%rsi   #* 48 81 e6 00 f0 ff ff//tgen_arithi(s, ARITH_AND + trexw, r1, tlb_mask, 0);
0x7fcfd400012a:  cmp    (%rdi),%rsi   #* 48 3b 37//tcg_out_modrm_offset(s, OPC_CMP_GvEv + trexw, r1, r0, which); //与tlb缓存中的地址比较?
0x7fcfd400012d:  mov    %rbx,%rsi   #* 48 8b f3//tcg_out_mov(s, ttype, r1, addrlo);
0x7fcfd4000130:  jne    0x7fcfd40001ad   #* 0f 85 77 00 00 00//tcg_out_opc(s, OPC_JCC_long + JCC_JNE, 0, 0, 0); 
0x7fcfd4000136:  add    0x18(%rdi),%rsi   #* 48 03 77 18//tcg_out_modrm_offset(s, OPC_ADD_GvEv + hrexw, r1, r0, offsetof(CPUTLBEntry, addend)); 
0x7fcfd400013a:  mov    (%rsi),%rbx   #* 48 8b 1e///* TLB Hit.  */tcg_out_qemu_ld_direct(s, datalo, datahi, TCG_REG_L1, -1, 0, 0, is64, opc);
0x7fcfd400013d:  mov    %rbx,0x40(%rbp)   #* 48 89 5d 40


0x7fcfd4000141:  movq   $0x0,0x48(%rbp)   #* 48 c7 45 48 00 00 00 00
0x7fcfd4000149:  movq   $0x0,0x50(%rbp)   #* 48 c7 45 50 00 00 00 00
0x7fcfd4000151:  movq   $0x0,0x58(%rbp)   #* 48 c7 45 58 00 00 00 00


0x7fcfd4000159:  mov    $0x40000020,%ebx   #* bb 20 00 00 40
0x7fcfd400015e:  mov    %rbx,%rdi   #* 48 8b fb
0x7fcfd4000161:  shr    $0x7,%rdi   #* 48 c1 ef 07
0x7fcfd4000165:  and    -0x80(%rbp),%rdi   #* 48 23 7d 80
0x7fcfd4000169:  add    -0x78(%rbp),%rdi   #* 48 03 7d 88
0x7fcfd400016d:  lea    0x7(%rbx),%rsi   #* 48 8d 73 07
0x7fcfd4000171:  and    $0xfffffffffffff000,%rsi   #* 48 81 e6 00 f0 ff ff
0x7fcfd4000178:  cmp    (%rdi),%rsi   #* 48 3b 37
0x7fcfd400017b:  mov    %rbx,%rsi   #* 48 8b f3
0x7fcfd400017e:  jne    0x7fcfd40001ca   #* 0f 85 46 00 00 00
0x7fcfd4000184:  add    0x18(%rdi),%rsi   #* 48 03 77 18
0x7fcfd4000188:  mov    (%rsi),%rbx   #* 48 8b 1e
0x7fcfd400018b:  mov    %rbx,0x60(%rbp)   #* 48 89 5d 60


0x7fcfd400018f:  mov    %rbx,0x140(%rbp)   #* 48 89 9d 40 01 00 00
0x7fcfd4000196:  mov    %rbp,%rdi   #* 48 8b fd
0x7fcfd4000199:  callq  *0x51(%rip)        # 0x7fcfd40001f0   #* ff 15 51 00 00 00
0x7fcfd400019f:  jmpq   *%rax   #* ff e0
0x7fcfd40001a1:  lea    -0x165(%rip),%rax        # 0x7fcfd4000043   #* 48 8d 05 9b fe ff ff
0x7fcfd40001a8:  jmpq   0x7fcfd4000018   #* e9 6b fe ff ff


0x7fcfd40001ad:  mov    %rbp,%rdi   #* 48 8b fd
0x7fcfd40001b0:  mov    $0x31,%edx   #* ba 31 00 00 00
0x7fcfd40001b5:  lea    -0x7f(%rip),%rcx        # 0x7fcfd400013d   #* 48 8d 0d 81 ff ff ff
0x7fcfd40001bc:  callq  *0x26(%rip)        # 0x7fcfd40001e8   #* ff 15 26 00 00 00
0x7fcfd40001c2:  mov    %rax,%rbx   #* 48 8b d8
0x7fcfd40001c5:  jmpq   0x7fcfd400013d   #* e9 73 ff ff ff


0x7fcfd40001ca:  mov    %rbp,%rdi   #* 48 8b fd
0x7fcfd40001cd:  mov    $0x31,%edx   #* ba 31 00 00 00
0x7fcfd40001d2:  lea    -0x4e(%rip),%rcx        # 0x7fcfd400018b   #* 48 8d 0d b2 ff ff ff
0x7fcfd40001d9:  callq  *0x9(%rip)        # 0x7fcfd40001e8   #* ff 15 09 00 00 00
0x7fcfd40001df:  mov    %rax,%rbx   #* 48 8b d8
0x7fcfd40001e2:  jmpq   0x7fcfd400018b   #* e9 a4 ff ff ff


0x7fcfd40001e7:  nop       #* 90
0x7fcfd40001e8:  .quad  0x000055ebab75a2d6
0x7fcfd40001f0:  .quad  0x000055ebab75af17

sunyun1990
关注
QEMU理解与分析系列(1):QEMU简介
swh547的博客
08-07 1681
QEMU是一种通用的开源计算机仿真器和虚拟软件。TCG(tiny code generator),这种方式的基本思路是用纯软件的方式把targetCPU的指令先翻译成所谓的中间码,然后再把中间码翻译成host CPU 的指令,把targetCPU指令翻译成中间码的过程叫整个过程的前端,中间码翻译成hostCPU的过程对应的叫做后端。给qemu增加一个新CPU的模型需要既增加前端也增加后端,如果要把整个系统支持起来,还要增加基础设备以及user mode的支持。。
QEMU软件虚拟化-TCG源码分析
个人笔记
04-04 6636
早在 QEMU 0.10.0 时代,TCG(Tiny Code Generator) 就已成为 QEMU 的翻译引擎。TCG 起源于 C 编译器后端,后来被简化为 QEMU 的动态代码生成器。实际上,TCG 和一个真实的编译器后端一样,负责分析、优化已经生成 Host 代码。
函数调用栈以及函数调用过程 for x86
ssmale的专栏
08-26 726
Call 指令的实现 Near Call. When executing a near call, the processor pushes the value of the EIP register (which contains the offset  of the instruction following the CALL instruction) on the stack (for
X86_64 栈和函数调用
日常学习记录
10-15 1085
Intel 系列处理器通常称为x86,目前常用的笔记本或台式机都是 64 位的处理器,这些处理器使用的机器语言一般都是 x86_64,我记得以前学习微机原理课的时候,学习的还是 8086 处理器上的汇编。8086 是Intel的第一代16位的处理器,只有8个16位的寄存器,而现在的 64 位处理器对其进行了扩展,共有16个64位的寄存器。需要注意这里的栈是倒着画的,栈顶在下面,栈顶的内存地址是更小的,换句话说栈增长的方向是内存地址减小的方向。寄存器,这个寄存器中存储着栈顶的地址。到这里,函数栈情况如下图。
微机原理--控制转移指令
weixin_42638401的博客
11-02 9015
转移指令 1.JMP(unconditional jump)无条件转移 程序转移到目的操作数指定的地址执行,不需要满足任何条件. 操作数可以是标号、立即数,也可以是寄存器操作数或存储器操作数 Short jump 段内直接短转移 Near jump 段内直接近转移 Far jump 段间转移 Indirect jump 间接转移(段内、段间)...
x86函数调用堆栈的操作
u013982161的专栏
12-31 5021
这篇blog试图讲明当一个c函数被调用时,一个栈帧(stack frame)是如何被建立,又如何被消除的。这些细节跟操作系统平台及编译器的实现有关,下面的描述是针对运行在Intel奔腾芯片上Linux的gcc编译器而言。c语言的标准并没有描述实现的方式,所以,不同的编译器,处理器,操作系统都可能有自己的建立栈帧的方式。   一个典型的栈帧        ESP==>|         
函数调用时函数栈状态分析
Amao_come_on 的专栏
07-01 520
http://www.cnblogs.com/quark/archive/2012/03/20/2407487.html
QEMU 进出code cache流程 (qemu-1.3.0,i386为例)
CurtisGuo的专栏
12-08 2871
首先要知道的是,VCPU从哪里进入code cache: 在$QEMUDIR/cpu-exec.c的函数cpu_exec(),这个函数是VCPU模拟CPU功能的主函数,包括异常,中断等的处理、binary translate、TB(translate block)管理查找以及真正CPU指令的执行。在跳过一大段中断异常的处理后,在代码599行(qemu-1.3.0):
QEMU Detailed Study(学习笔记)
兰钧的博客
04-01 1793
网络上介绍QEMU原理的资料中大多会提及这份资料,即:QEMU Detailed Study,据笔者调研,这份文档是由cs专业的学生,Renjith Ravindran总结的。但是现在只有第七章流传开来,而其他章节据作者所述,并没有讨论任何关于 QEMU 或翻译过程的内容。 因此,本篇博文focus on第七章QEMU Detailed Study内容的学习。
QEMU中taget code翻译为TCG 中间码的过程
sinat_38205774的博客
11-29 1462
目录 1.TCG中间码的宏定义 2. 代码翻译过程(gen_intermediate_code函数的解析,这里以PPC体系架构为例) 1.TCG中间码的宏定义 该头文件位于tcg/tcg-opc.h文件下,部分定义如下所示: DEF(mov_i32, 1, 1, 0, TCG_OPF_NOT_PRESENT) DEF(movi_i32, 1, 0, 1, TCG_OPF_NOT_P...
X86和X86-64的函数栈帧结构以及调用约定
astrotycoon
01-19 2968
写在前头 对于函数栈帧(stack frame)的概念我是早就知道的,对x86的栈帧结构也算的上熟悉,之所以写这篇文章是因为我发现X64平台函数参数传递与X86有很大不同,X64增加了很多寄存器的使用。索性总结一下,供自己以后查阅学习!如有错误的地方,还请读者指出! 写这篇文章主要参考了Eli Bendersky的两篇文章,个人非常喜欢他的文章,总能用探索式的博文将技术细节呈现在我的眼前! ...
IA32 architecture 学习笔记 (二)
happylong123hehe的专栏
11-22 1065
指针数据类型 在非64bits模式下,体系结构定义了两种指针: near pointer :在一个段中32bits (or 16bits) 的offset。near pointer被用来  flat memory 模式。(比如在win32保护模式下Ring3,用户看到是flag memory,DS段描述符指定的DS段基地址是0x00000000, limit是整个4G,所以nea
x86 指令集介绍 - Call 过程调用指令
Rprop
04-14 1万+
Description     Saves procedure linking information on the stack and branches to the procedure (called procedure) specified with the destination (target) operand. The target operand specifies the add
汇编语言中的call指令
qq_23880193的专栏
01-01 4万+
在汇编语言中,call指令和ret,retf指令联合起来使用是模块化编程的基本方法,下面就介绍一下个人总结的call指令的用法 call指令有多种使用格式: 这里先看看所有的用法,然后来总结一下: 1、call + 标号 这个指令是先将call + 标号的下一条语句的IP放入栈中,然后使当前的IP+16位位移 看到上面的解释会让你想到什么?会想到jmp指令吧,jmp有个指令格式是:jmp
x86-64 下函数调用及栈帧原理
奔跑的企鹅
06-10 1万+
一蓑一笠一扁舟,一丈丝纶一寸钩。 一曲高歌一樽酒,一人独钓一江秋。 ——题秋江独钓图缘起在 C/C++ 程序中,函数调用是十分常见的操作。那么,这一操作的底层原理是怎样的?编译器帮我们做了哪些操作?CPU 中各寄存器及内存堆栈在函数调用时是如何被使用的?栈帧的创建和恢复是如何完成的?针对上述问题,本本文进行了探索和研究。通用寄存器使用惯例函数调用时,在硬件层面我们
函数调用栈 剖析+图解
热门推荐
wangyezi19930928的专栏
11-25 5万+
栈: 在函数调用时,第一个进栈的是主函数中函数调用后的下一条指令(函数调用语句的下一条可执行语句)的地址,然后是函数的各个参数,在大多数的C编译器中,参数是由右往左入栈的,然后是函数中的局部变量。注意静态变量是不入栈的。 当本次函数调用结束后,局部变量先出栈,然后是参数,最后栈顶指针指向最开始存的地址,也就是主函数中的下一条指令,程序由该点继续运行。 当发生函数调用的时候,栈空
Python3 对象存储到本地与恢复演示
yunjie167的专栏
10-30 628
       在做网络请求实验的时候,假如请求的数据量较大,每次修改代码,再潇洒的啪一下,半天结果才出来,且不说浪费流量,多次的长时间的等待也会令我们感到疲惫,所以我在想能不能将请求到的数据先存到文件里,下次运行再从文件里恢复,这样就快多了,好了也不多说了,直接上菜: import requests import pygal import os from pygal.style import ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值