iot漏洞mips汇编基础

1 基础概念

MIPS（Microprocessor without Interlocked Piped Stages architecture），是一种采取精简指令集（RISC）的处理架构，由MIPS科技公司开发并授权，广泛应用在许多电子产品、网络设备、个人娱乐装置与商业装置上。最早的MPS架构是32位，最新的版本已经变成64位。

MIPS结构的基本特点是：包含大量的寄存器、指令数和字符、可视的管道延时间隙，这些特性使得MIPS架构能够提供最高的每平方毫米性能和当今SoC设计中最低的能耗。

我们平时听到很多CISC、RISC指令集，那么他们之间有什么关联呢？

CISC（Complex Instruction Set Computer）复杂指令计算机。Intel的Pentium、AMD的K5、K6为该类型。
RISC（Reduced Instruction Set Computer）精简指令集计算机。Acorn公司的ARM、IBM的PowerPC、MIPS公司的MIPS为该类型。

2 寄存器

2.1 通用寄存器

在MIPS体系结构中有32个通用寄存器（每个寄存器大小根据芯片型号不同而不同，在一般情况下，32位处理器中每个寄存器的大小是32位，即4字节），在汇编程序中可以用编号$0~$31表示，也可以用寄存器的名字表示，如$sp、$t1、$ra等。堆栈是从内存的高地址方向向低地址方向增长的。

编号	名称	说明	备注
$0	$zero	和0值作比较运算是常用该寄存器
$1	$at	汇编保留保留寄存器，不可做其他用途	Assembler Temporary
$2~$3	$v0~v1	存储函数的返回值。如果返回值为1字节，则只有$v0有效	Values
$4~$7	$a0~a3	作为函数调用时传递的前4个参数，不够时才使用堆栈传递	Arguments
$8~$15	$t0~t7	临时寄存器，无需保证函数调用的恢复	Temporaries
$16~$23	$s0~s7	函数调用后这些寄存器需要被恢复	Saved Values
$24~$25	$t8~t9	临时寄存器的拓展补充	Temporaries
$26~$27	$k0~k1	系统保留寄存器，请勿使用	Kernel reserved
$28	$gp	全局指针，静态数据访问时需要保证在gp指定的64kb范围	Global Pointer
$29	$sp	堆栈指针	Stack Pointer
$30	$s8/fp		Saved value / Frame Pointer
$31	$ra	存放函数调用返回的地址	Return Address

2.2 特殊寄存器

MIPS32架构中定义了3个特殊寄存器，分别是PC、HI、和LO。这几个用的比较少，暂时先不介绍啦。

3 字节序

数据在存储器中是按照字节存放的，处理器也是按照字节访问存储器中的指令或数据的。如果要读出一个WORD（4bytes），那么有两种结果：

大端模式（Big-Endian），也称MSB（Most Significant Byte)，低地址存放高字节。
小端模式（Little-Endian），也称LSB（Least Significant Byte），低地址存放低字节。

例如0x12345678在两种模式下的存储情况如下：

低地址                    高地址

大端        12        34        56        78

小端        78        56        34        12

4 MIPS指令集

4.1 MIPS指令特点

MIPS指令有一些特别的地方：

MIPS固定4字节指令长度；
内存中的数据访问（load/store）必须严格对其（至少4字节对齐）；
跳转指令只有26位目标地址，加上2位对齐位，可寻址28位的空间，即256MB；
条件分支指令只有16位跳转地址，加上2位对齐位，可寻址18位的空间，即256KB；
流水线效应。MIPS采用了高度的流水线，其中最重要的就是分支延迟效应。在分支跳转语句后面那条语句叫分支延迟槽。实际上，在程序执行到分支语句时，当他刚把要跳转的地址填充好（填充到代码计数器里），还没有完成本条指令时，分支语句后面的那个指令就已经执行了，其原因就是流水线效应——几条指令同时执行，只是处于不同的阶段。

4.2 指令格式

MIPS指令长度为32位，其中指令位均为6位，其余的26位可以分为R型、I型、J型共3种类型。

R型 Opcode(6) Rd(5) Rs(5) Rt(5) Shamt(5) Funct(6)

I型 Opcode(6) Rd(5) Rs(5) Immediate(16)

J型 Opcode(6) Address(26)

各字段含义如下：

Opcode：指令基本操作，成为操作码；
Rs：第一个源操作数寄存器；
Rt：第二个源操作数寄存器；
Rd：存放操作结果的目的操作数；
Shamt：位移量；
Funct：函数，这个字段选择Opcode操作的某个特定变体。

4.3 常用指令

在下文语法表述中寄存器前面使用”$”符号进行标注，“imm”表示立即数，“MEM[]”表示RAM中的一段内存，”offset“表示偏移量。

4.3.1 LOAD/STORE指令

la(Load Address)：用于将一个地址或标签存入一个寄存器

语法：

la $Rd, Label

示例：

la $t0, val_1    //复制val_1表示的地址到$t0寄存器中，其中val_1是一个Label

li(Load Immediate)：用于将一个立即数存入一个寄存器

语法：

li $Rd, imm

示例：

la $t0, 40        //将寄存器$t1赋值为40

lui(Load Upper halfword Immediate)：读取一个16位立即数放入寄存器的高16位，低16位补0。如果加载一个32位立即数（DWORD）则需要lui和addi两条指令配合完成。因为作为32位定长指令没有足够的空间存储32位立即数，只能用16位代替。

lui $Rd, imm

示例：

/*

byte 1字节    8位

word 2字节    16位

dword 4字节    32位

以小端格式，0x42为例

*/

lui $a1, 0x42    //将0x42放入$a1的高16位

lw(Load Word)：用于从一个指定的地址加载一个word类型的值到寄存器中

语法：

lw $Rt, offset($Rs)

示例：

lw $s0, 0($sp)    //取堆栈地址偏移0内存word长度的值到$s0中，$s0 = MEM[$sp+0]

sw(Load Word)：用于将源寄存器中的值存入指定的地址

语法：

sw $Rt, offset($Rs)

示例：

sw $a0, 0($sp)    //将$a0寄存器中的一个word大小的值存入堆栈，且$sp自动抬栈

move：用于寄存器之间值的传递

语法：

move $Rt, $Rs

示例：

move $t5, $t1    //$t5 = $t1

4.3.2 算数运算指令

MIP汇编指令的特点如下：

算数运算指令的所有操作数都是寄存器，不能直接使用RAM地址或间接寻址
操作数的大小都为word（4 Byte）

add $t0, $t1, $t2        //$t0 = $t1 + $t2，带符号数相加

sub $t0, $t1, $t2        //$t0 = $t1 - $t2，带符号数相减

addi $t0, $t1, 5        //$t0 = $t1 + 5

addu $t0, $t1, $t2        //$t0 = $t1 + $t2，无符号数相加

subu $t0, $t1, $t2        //$t0 = $t1 - $t2，无符号数相减

mult $t3, $t4            //(Hi, Lo) = $t3 * $t4

div $t5, $t6            //$Lo = $t5 / $t6 $Lo为商的整数部分， $Hi为商的余数部分

mfhi $t0                //$t0 = $Hi

mflo $t1                //$t1 = $Lo

4.3.3 类比较指令

在MIPS寄存器中没有标志寄存器，但是再MIPS指令中有一种指令——SLT系列指令，可以通过比较设置某个寄存器后与分支跳转指令联合使用。

slt(Set on Less Than)：有符号比较

slt $Rd, $Rs, $Rt        //if ($Rs < $Rt):$Rd=1 else $Rd=0

slti(Set on Less Than Immediate)：有符号比较

slti $Rd, $Rs, imm        //if ($Rs < imm):$Rd=1 else $Rd=0

sltu(Set on Less Than Unsigned)：无符号比较

sltu $Rd, $Rs, $Rt        //if ($Rs < $Rt):$Rd=1 else $Rd=0

sltiu(Set on Less Than Immediate Unsigned)：有符号比较

slt $Rd, $Rs, $Rt        //if ($Rs < $Rt):$Rd=1 else $Rd=0

4.3.4 系统调用指令

SYSCALL可以产生一个软中断，从而实现系统调用。

语法：

//系统调用号存放在$v0中

//参数存放在$a0~$a3中（如果参数过多，会有另一套机制来处理）

//系统调用的返回值通常放在$v0中

//如果系统调用出错，则会在$a3中返回一个错误号

syscall

4.3.5 分支跳转指令

在MIPS中，分支跳转指令本身可通过比较两个寄存器中的值来决定是否跳转。要想实现与立即数比较的跳转，可以结合类跳转指令实现。

b target                    //goto target

beq $Rs, $Rt, target        //if ($Rs == $Rt): goto target

blt $Rs, $Rt, target        //if ($Rs < $Rt): goto target

ble $Rs, $Rt, target        //if ($Rs <= $Rt): goto target

bgt $Rs, $Rt, target        //if ($Rs > $Rt): goto target

bge $Rs, $Rt, target        //if ($Rs >= $Rt): goto target

bne $Rs, $Rt, target        //if ($Rs != $Rt): goto target

4.4.6 跳转指令

//直接跳转到target标签处

j target

//跳转到$Rs寄存器指向的地址处

//常用于子函数返回

//如果子函数内又调用了其他子函数，那么$Rs的值应该被保存到堆栈中

jr $Rs                        

//跳转到target标签处，并保存返回地址到$ra

//常用于子函数的调用

//1、复制当前PC值（即子函数的返回地址）到$ra寄存器中

//2、程序跳转到子程序标签target处

jal target

5 MIPS函数调用

5.1 基本栈帧结构

完整的栈帧结构具有5个部分：

Low Address        Top of Stack frame

+----------------------------------+

|    Local Data Storage Section    |

+----------------------------------+

|                Pad               |

+----------------------------------+

|    Return Address Section        |

+----------------------------------+

|    Saved Registers Section       |

+----------------------------------+

|        Argument Section          |

+----------------------------------+

High Address    Bottom of Stack frmae

参数段（Argument Section）。参数段旨在函数调用子函数（非叶子函数）时出现。
- 编译器在生成这个段的时候保证了它的大小足够所有的参数存放。
- 参数段最小4*4 byte 大小。
- 参数寄存器$a0~$a3用于传递子函数的前4个参数。这几个参数将不会复制到栈帧空间中去（注意：栈帧空间仍将为其预留等额空间），额外的参数将复制进入参数段（偏移为16，20，24等等）。
- 参数端在栈帧的低地址端（栈顶位置）。
寄存器保存段（Saved Registers Section）。当函数需要使用到$s0~$s7中的寄存器时出现。
- 寄存器保存端将为每个需要保存的寄存器准备4 byte大小的的空间。
- 函数的开场白（Prologue）会在函数入口处将每一个需要保存的寄存器的值保存到寄存器保存段中，然后在返回前将其恢复到对应的寄存器中。
- 如果函数本身没有对寄存器的内容进行改变，则不需要进行保存/恢复这个过程。
- 寄存器保存段在参数段后面（栈底方向）。
返回地址段（Return Address Section）。当函数调用了其他子函数时出现。
- 返回地址段只有1字节大小，即用1字节来保存返回地址。
- 返回地址寄存器$ra将在函数入口处被复制到返回地址段，再函数返回前恢复到$ra中。
- 返回地址段在寄存器保存段后面（栈底方向）。
填充段（Pad）。当参数段+寄存器保存段+返回地址段的大小不是8的倍数时出现。
- 填充段只有1字节大小（要么就没有）。
- 填充段不存数据。
- 填充段在返回地址段后面（栈底方向）。
局部数据存储段（Local Data Storage Section）。当函数使用了局部参数或必须保存寄存器参数时出现。
- 局部数据存储段的大小是由子程序对于局部数据存储的需求决定的，它总是8的倍数。
- 局部数据存储段的数据是函数私有的，是被调用函数和函数的子函数都无法访问的数据。

局部数据存储段在填充段后面（栈底方向），是栈帧的最后一部分

5.2 简单叶子函数

简单叶子函数指的是不调用任何子函数，不访问任何堆栈上的内存空间的函数。

考虑如下C语言代码：

int g(int x, int y){

  return (x + y);

}

用汇编语言显示其调用过程如下：

g:    add $v0, $a0, $a1    #result of args

    jr $ra                #return

5.3 带数据访问的叶子函数

带数据访问的叶子函数指的是访问栈空间但是不再调用子函数的函数。

考虑如下C语言代码：

int g(int x, int y){

  int a[32];

  #(...calculate using x, y, a)

  return a[0];

}

用汇编语言显示其调用过程如下（假设计算过程中改变了$s0, $s1, $s3的值）：

#start of prologue

addiu $sp, $sp, (-128)        #push stack frame

sw $s0, 0($sp)                #save value of $s0

sw $s1, 4($sp)                #save value of $s1

sw $s3, 8($sp)                #save value of $s3

#end of prologue

#calculate using $a0, $a1, and a array is stored at address 16($sp) to 140($sp)

...

lw $v0, 0($sp)                #result is a[0]

#start of epilogue

lw $s0, 0($sp)                #restore value of $s0

lw $s1, 4($sp)                #restore value of $s1

lw $s3, 8($sp)                #restore value of $s3

addiu $sp, $sp, 128            #pop stack frame

#end of epilogue

jr $ra                        #return

栈帧结构如下：

Low Address        Top of Stack frame

+-----------------------------------+

|            $s0                    |    0($sp)

+-----------------------------------+

|            $s1                    |    4($sp)

+-----------------------------------+

|            $s3                    |    8($sp)

+-----------------------------------+

|            empty (4 byte)         |    12($sp)

+-----------------------------------+

|            a[0]                   |    16($sp)

+-----------------------------------+

|            a[1]                   |    20($sp)

+-----------------------------------+

|            ...                    |

+-----------------------------------+

|            a[30]                  |    136($sp)

+-----------------------------------+

|            a[31]                  |    144($sp)

+-----------------------------------+

High Address    Bottom of Stack frmae

注意：如果函数在计算过程中并没有改变$s0，$s1，$s3的值，那么编译器就不会对其进行保存操作。

5.4 非叶子函数

非叶子函数指的是将会调用子函数的函数，这样的函数栈帧空间将具有所有栈帧节区属性。

考虑如下C语言代码：

int g(int x, int y){

  int a[32];

  #(...calculate using x, y, a)

  a[1] = f(y, x, a[2], a[3], a[4]);

  a[0] = f(x, y, a[1], a[2], a[3]);

  return a[0];

}

用汇编语言显示其调用过程如下：

#start of prologue

addiu $sp, $sp, (-168)        #push stack frame

sw $ra, 32($sp)                #save the return address

sw $s0, 20($sp)                #save value of $s0

sw $s1, 24($sp)                #save value of $s1

sw $s3, 28($sp)                #save value of $s3

#end of prologue

#start of body

#calculate using $a0, $a1, and a array is stored at address 40($sp) to 164($sp)

...

#save $a0, and $a1 in caller's stack frame

sw $a0, 168($sp)            #save $a0 (variable x)

sw $a1, 172($sp)            #save $a1 (variable y)

#first call to function f

lw $a0, 172($sp)            #arg0 is variable y

lw $a1, 168($sp)            #arg1 is variable x

lw $a2, 48($sp)                #arg2 is a[2]

lw $a3, 52($sp)                #arg3 is a[3]

lw $t0, 56($sp)                #arg4 is a[4]

sw $t0, 16($sp)                #BUT it is passed on the stack!

jal f                        #call f

sw $v0, 44($sp)                #store value of f into a[1]

#second call to function f

lw $a0, 168($sp)            #arg0 is variable x

lw $a1, 172($sp)            #arg1 is variable y

lw $a2, 44($sp)                #arg2 is a[1]

lw $a3, 48($sp)                #arg3 is a[2]

lw $t0, 52($sp)                #arg4 is a[3]

sw $t0, 16($sp)                #BUT it is passed on the stack

jal f                        #call f

sw $v0, 40($sp)                #store value of f into a[0]

#load return value of g into $v0

lw $v0, 40($sp)                #result is a[0]

#end of body

#start of epilogue

lw $s0, 20($sp)                #restore value of $s0

lw $s1, 24($sp)                #restore value of $s1

lw $s3, 28($sp)                #restore value of $s3

lw $ra, 32($sp)                #restore the return address

addiu $sp, $sp, 168            #pop stack frame

#end of epilogue

jr $ra                        #return

栈帧结构如下：

Low Address        Top of Stack frame

+-----------------------------------+

|            (arg 0)                |    0($sp)

+-----------------------------------+

|            (arg 1)                |    4($sp)

+-----------------------------------+

|            (arg 2)                |    8($sp)

+-----------------------------------+

|            (arg 3)                |    12($sp)

+-----------------------------------+

|            arg 4                  |    16($sp)

+-----------------------------------+

|            $s0                    |    20($sp)

+-----------------------------------+

|            $s1                    |    24($sp)

+-----------------------------------+

|            $s3                    |    28($sp)

+-----------------------------------+

|            $ra                    |    32($sp)

+-----------------------------------+

|            empty (4 byte)         |    36($sp)

+-----------------------------------+

|            a[0]                   |    40($sp)

+-----------------------------------+

|            a[1]                   |    44($sp)

+-----------------------------------+

|            ...                    |

+-----------------------------------+

|            a[30]                  |    160($sp)

+-----------------------------------+

|            a[31]                  |    164($sp)

+-----------------------------------+

High Address    Bottom of Stack frmae

6 寻址方式

模式3是基址偏移量寻址，例如lw和sw，是将16位地址字段做符号扩展成32位与PC相加
模式4是PC相对寻址，将16位地址左移2位与PC（已更新为PC+4）相加。为什么要左移2位？16位偏移量左移2位以指示以字为单位的偏移量，这样做将偏移量能表示的有效范围扩大了4倍。其次，16位地址看作有符号数，一般在流水线设计时，先将16位地址符号扩展成32位，然后左移2位，再与PC相加
模式5是伪直接寻址，把26位地址左移2位与PC高4位相连。这里的26位地址是无符号的，PC是加4之后的，在流水线设计中，就是将PC+4的高4位、26位地址、末尾00拼接成32位跳转目标

转载自：https://juejin.cn/post/6844903702730375176