关于 ARM64 汇编：调用流程与栈帧结构解析

一、ARM64 函数调用分析（汇编级）

寄存器规则（AArch64 ABI）

函数调用指令流程

bl target_func     ; 跳转并将返回地址保存到 x30（link register）
ret                ; 返回上一级，等价于 br x30

举例

mov x0, #2
mov x1, #3
bl  add_func        ; 调用 add_func(2, 3)

二、栈帧结构详解

每个函数调用会建立自己的“栈帧”，用于：

• 保存 caller 的寄存器（尤其是 x29, x30）

• 为局部变量腾出空间

• 管理多层调用时的上下文切换

标准函数前后结构

函数入口

stp x29, x30, [sp, #-16]!    ; 保存 fp 和 lr，栈顶向下扩展 16 字节
mov x29, sp                  ; 新帧指针 = 当前栈顶

函数返回

ldp x29, x30, [sp], #16      ; 恢复帧指针和返回地址
ret                          ; 返回上一层

示例完整函数

func:stp x29, x30, [sp, #-16]!    ; 建栈帧mov x29, sp// 函数体ldp x29, x30, [sp], #16      ; 恢复ret

三、栈帧结构图解（栈向下增长）

高地址 ↑
───────────────上一帧 fp      ← x29返回地址（lr） ← x30
───────────────局部变量区参数传递区（x8+）
───────────────当前 sp（栈底）
低地址 ↓

分析技巧：

• IDA 里找 stp x29, x30, [sp,#-xxx]! 是函数入口特征

• 栈帧大小往往是 16 的倍数（对齐）

四、系统调用实现（Linux syscall in ARM64）

在裸汇编中实现 syscall 需要：

• 把 syscall 参数放入 x0~x5

• 把 syscall 编号放入 x8

• 执行 svc #0 发起系统调用

系统调用号对照

示例：调用 write 输出字符串

汇编代码（写到 stdout）

.global _start.section .data
msg:    .ascii "Hello ARM64!\n"
len = . - msg.section .text
_start:mov x0, #1              // stdoutldr x1, =msg            // buf addressmov x2, #12             // lengthmov x8, #64             // syscall number: writesvc #0                  // trigger syscall// exit(0)mov x0, #0mov x8, #93             // syscall number: exitsvc #0

编译运行方式（Linux ARM64 模拟器或真机）

aarch64-linux-gnu-as hello.s -o hello.o
aarch64-linux-gnu-ld hello.o -o hello
qemu-aarch64 ./hello

五、逆向视角：系统调用识别

在 IDA 中看到以下指令，基本可以确认是系统调用：

mov x8, #64       ; syscall 编号
svc #0            ; 系统调用

结合调用前的 mov x0, #1, ldr x1, =addr, mov x2, #len 可以还原 syscall 是写 stdout。

汇总图（函数调用 → 栈帧 → syscall）

main:stp x29, x30, [sp, #-16]!      // 保存mov x29, spmov x0, #1                     // arg0: stdoutldr x1, =msg                   // arg1: buffer addrmov x2, #13                    // arg2: lengthmov x8, #64                    // syscall writesvc #0                         // 发起调用ldp x29, x30, [sp], #16        // 恢复ret

六、总结