在main()之前，IAR都做了啥？

最近要在Cortex-M3上寫一個簡單的操作系統(tǒng)，打算使用IAR，為了寫好啟動代碼，花了一些時間了解了IAR在main()以前做了些什么事。

 

 

 

首先系統(tǒng)復(fù)位時，Cortex-M3從代碼區(qū)偏移0x0000'0000處獲取棧頂?shù)刂�，用來初始化MSP寄存器的值。

接下來從代碼區(qū)偏移0x0000'0004獲取第一個指令的跳轉(zhuǎn)地址。這些地址，是CM3要求放置中斷向量表的地方。

這里是一個程序的啟動區(qū)的反匯編：

__vector_table:
  08004000  2600      

  08004002  2000      

  08004004  7E1D      

  08004006  0800     

 

這個程序是由IAP程序來啟動的，IAP程序獲取0x0800'4000處的MSP值(0x20002600)，并設(shè)置為MSP的值，即主堆棧最大范圍是0x2000'0000~0x2000'25FF。接下來IAP程序獲取0x0800'4004處的Reset_Handler的地址(0x0800'7E1D)，并跳轉(zhuǎn)到Reset_Handler()執(zhí)行。

 

IAP在這里完全是模仿了Cortex-M3的復(fù)位序列，也就是說，在沒有IAP的系統(tǒng)上，CM3只能從0x0800'0000獲取MSP，從0x0800'0004獲取第一條指令所處地址。而IAP就存在在0x0800'0000這個地址上，IAP的啟動，已經(jīng)消耗掉了這個復(fù)位序列，所以IAP要啟動UserApp程序的時候，也是完全模仿Cortex-M3的復(fù)位序列的。

 

接下來我們看看復(fù)位后第一句指令——Reset_Handler()函數(shù)里有什么。

若我們使用的是ST公司標(biāo)準(zhǔn)外設(shè)庫，那么已經(jīng)有了現(xiàn)成的Reset_Handler，不過他是弱定義——PUBWEAK，可以被我們重寫的同名函數(shù)覆蓋。一般來說，我們使用的都是ST提供的Reset_Handler，在V3.4版本的庫中，可以在startup_stm32f10x_xx.s中找到這個函數(shù)：

 

        PUBWEAK Reset_Handler
        SECTION .text:CODE:REORDER(2)
Reset_Handler
        LDR     R0, =SystemInit
        BLX     R0
        LDR     R0, =__iar_program_start
        BX      R0

 

看來ST沒有做太多的事，他只調(diào)用了自家?guī)焯峁┑腟ystemInit函數(shù)進行系統(tǒng)時鐘、Flash讀取的初始化，并把大權(quán)交給了__iar_program_start這個IAR提供的“內(nèi)部函數(shù)”了，我們就跟緊這個__iar_program_start跳轉(zhuǎn)，看看IAR做了什么，上面一段代碼的反匯編如下：

 

       Reset_Handler:
__iar_section$$root:
  08007E1C  4801      LDR          R0, [PC, #0x4]; LDR     R0, =SystemInit
  08007E1E  4780      BLX          R0;BLX     R0
  08007E20  4801      LDR          R0, [PC, #0x4];LDR     R0, =__iar_program_start
  08007E22  4700      BX           R0;BX      R0
  08007E24  6C69      

  08007E26  0800      

  08007E28  7D8D      

  08007E2A  0800     

 

細(xì)心的觀眾會發(fā)現(xiàn)地址是0x0800'7E1C，比我們查到的0x0800'7E1D差了1，這是ARM家族的遺留問題，因為ARM處理器的指令至少是半字對齊的(16位THUMB指令集 or 32位ARM指令集)，所以PC指針的LSB是常為0的，為了充分利用寄存器，ARM公司給PC的LSB了一個重要的使命，那就是在執(zhí)行分支跳轉(zhuǎn)時，PC的LSB=1，表示使用THUMB模式，LSB=0，表示使用ARM模式，但在最新的Cortex-M3內(nèi)核上，只使用了THUMB-2指令集挑大梁，所以這一位要常保持1，所以我們查到的地址是0x0800'7E1D(C=1100,D=1101)，放心，我們的CM3內(nèi)核會忽略掉LSB(除非為0，那么會引起一個fault)，從而正確跳轉(zhuǎn)到0x0800'7E1C。

 

從0x0800'7E20處的加載指令，我們可以算出__iar_program_start所處的位置，就是當(dāng)前PC指針(0x0800'7E24)，再加上4，即0x0800'7E28處的所指向的地址——0x0800'7D8D(0x0800'7D8C)，我們跟緊著跳轉(zhuǎn)，__iar_program_start果然在這里：

 

__iar_program_start:
  08007D8C  F000F88C  BL           __low_level_init
  08007D90  2800      CMP          R0, #0x0
  08007D92  D001      BEQ          __iar_init$$done
  08007D94  F7FFFFDE  BL           __iar_data_init2

  08007D98  2000      MOVS         R0, #0x0
  08007D9A  F7FDFC49  BL           main

 

我們看到IAR提供了__low_level_init這個函數(shù)進行了“底層”的初始化，進一步跟蹤，我們可以查到__low_level_init這個函數(shù)做了些什么，不是不是我們想象中的不可告人。

 

__low_level_init:
  08007EA8  2001      MOVS         R0, #0x1
  08007EAA  4770      BX           LR

 

__low_level_init出乎想象的簡單，只是往R0寄存器寫入了1，就立即執(zhí)行"BX LR"回到調(diào)用處了，接下來，__iar_program_start檢查了R0是否為0，為0，則執(zhí)行__iar_init$$done，若不是0，就執(zhí)行__iar_data_init2。__iar_init$$done這個函數(shù)很簡單，只有2句話，第一句是把R0清零，第二句就直接"BL main"，跳轉(zhuǎn)到main()函數(shù)了。不過既然__low_level_init已經(jīng)往R0寫入了1，那么我們還是得走下遠(yuǎn)路——看看__iar_data_init2做了些什么，雖然距離main只有一步之遙，不過這中間隱藏了編譯器的思想，我們得耐心看下去。

 

__iar_data_init2:
  08007D54  B510      PUSH         {R4,LR}
  08007D56  4804      LDR          R0, [PC, #0x10]
  08007D58  4C04      LDR          R4, [PC, #0x10]
  08007D5A  E002      B            0x8007D62
  08007D5C  F8501B04  LDR          R1, [R0], #0x4
  08007D60  4788      BLX          R1
  08007D62  42A0      CMP          R0, R4
  08007D64  D1FA      BNE          0x8007D5C
  08007D66  BD10      POP          {R4,PC}
  08007D68  7C78      

  08007D6A  0800      

  08007D6C  7C9C     

  08007D6E  0800     

 

看來IAR遲遲不執(zhí)行main()函數(shù)，就是為了執(zhí)行__iar_data_init2，我們來分析分析IAR都干了些什么壞事~

 

首先壓R4，LR入棧，然后加載0x0800'7C78至R0，0x0800'7C9C至R4，馬上跳轉(zhuǎn)到0x0800'7D62執(zhí)行R0，R4的比較，結(jié)果若是相等，則彈出R4，PC，然后立即進入main()。不過IAR請君入甕是自不會那么快放我們出來的——結(jié)果不相等，跳轉(zhuǎn)到0x0800'7D5C執(zhí)行，在這里，把R0指向的地址——0x0800'7C78中的值——0x0800'7D71加載到R1，并且R0中的值自加4，更新為0x0800'7C7C，并跳轉(zhuǎn)到R1指向的地址處執(zhí)行，這里是另一個IAR函數(shù)：__iar_zero_init2：

 

__iar_zero_init2:
  08007D70  2300      MOVS         R3, #0x0
  08007D72  E005      B            0x8007D80
  08007D74  F8501B04  LDR          R1, [R0], #0x4
  08007D78  F8413B04  STR          R3, [R1], #0x4
  08007D7C  1F12      SUBS         R2, R2, #0x4
  08007D7E  D1FB      BNE          0x8007D78
  08007D80  F8502B04  LDR          R2, [R0], #0x4
  08007D84  2A00      CMP          R2, #0x0
  08007D86  D1F5      BNE          0x8007D74
  08007D88  4770      BX           LR
  08007D8A  0000      MOVS         R0, R0

 

__iar_data_init2還沒執(zhí)行完畢，就跳轉(zhuǎn)到了這個__iar_zero_inti2，且看我們慢慢分析這個幫兇——__iar_zero_inti2做了什么。

__iar_zero_inti2將R3寄存器清零，立即跳轉(zhuǎn)到0x0800'7D80執(zhí)行'LDR          R2, [R0], #0x4'，這句指令與剛才在__iar_data_init2見到的'LDR          R1, [R0], #0x4'很類似，都為“后索引”。這回，將R0指向的地址——0x0800'7C7C中的值——0x0000'02F4加載到R2寄存器，然后R0中的值自加4，更新為0x0800'7C80。接下來的指令檢查了R2是否為0，顯然這個函數(shù)沒那么簡單想放我我們，R2的值為2F4，我們又被帶到了0x0800'7D74處，隨后4條指令做了如下的事情：

1、將R0指向的地址——0x0800'7C80中的值——0x2000'27D4加載到R1寄存器，然后R0中的值自加4，更新為0x0800'7C84。

2、將R1指向的地址——0x2000'27D4中的值——改寫為R3寄存器的值——0，然后R1中的值自加4，更新為0x2000'27D8。

3、R2自減4

4、檢查R2是否為0，不為0，跳轉(zhuǎn)到第二條執(zhí)行。不為，則執(zhí)行下一條。

 

這簡直就是一個循環(huán)！——C語言的循環(huán)for(r2=0x2F4;r2-=4;r!=0){...}，我們看看循環(huán)中做了什么。

 

第一條指令把一個地址加載到了R1——0x2000'27D4 是一個RAM地址，以這個為起點，在循環(huán)中，對長度為2F4的RAM空間進行了清零的操作。那為什么IAR要做這個事情呢？消除什么記錄么？用Jlink查看這片內(nèi)存區(qū)域，可以發(fā)現(xiàn)這片區(qū)域是我們定義的全局變量的所在地。也就是說，IAR在每次系統(tǒng)復(fù)位后，都會自動將我們定義的全局變量清零0。

 

清零完畢后，接下來的指令"LDR          R2, [R0], #0x4"將R0指向的地址——0x0800'7C84中的值——0加載到R2寄存器，然后R0中的值自加4，更新為0x0800'7C88。隨后檢查R2是否為0，這里R2為0，執(zhí)行'BX LR'返回到__iar_data_init2函數(shù)，若是不為0，我們可以發(fā)現(xiàn)又會跳轉(zhuǎn)至“4指令”處進行一個循環(huán)清零的操作。

 

讀到這里，我們應(yīng)該可以猜到IAR的意圖了：__iar_data_init2一開始加載了0x0800'7C78至R0，0x0800'7C9C至R4，[R0,R4]就是一段啟動代碼區(qū)，在這個區(qū)域內(nèi)保存了要“處理”的所有地址與信息——執(zhí)行的函數(shù)地址或者參數(shù)，實際上，這片區(qū)域也有一個名字，叫做：Region$$Table$$。在這個區(qū)域內(nèi)，程序以R0為索引，R4為上限，當(dāng)R0=R4，__iar_data_init2執(zhí)行完畢，跳轉(zhuǎn)至main()函數(shù)。

 

好了，保持我們這個猜想，繼續(xù)跟蹤我們的PC指針——我們回到了__iar_data_init2函數(shù)中，第一件事就是比較R0，R4的值，可惜的是，仍然不相等，我們又被帶到了0x0800'7D5C，至此，我們應(yīng)該能看出這是一個__iar_data_init2的“主循環(huán)”，這也驗證了我們對IAR意圖的猜想~

  __iar_data_init2中的“主循環(huán)”:

  08007D5C  F8501B04  LDR          R1, [R0], #0x4
  08007D60  4788      BLX          R1
  08007D62  42A0      CMP          R0, R4

 

我們可以等價寫為:for(r0=0x0800'7C78,r4=0x0800'7C9C;r0!=r4;r0+=4){...}

此時，我們的R0為0x0800'7C88，經(jīng)過“指令1”，R0變?yōu)?x0800'7C8C，R1為0x0800'7C55。我們來看看，7C55處，IAR又要執(zhí)行何種操作。

 

__iar_copy_init2:
  08007C54  B418      PUSH         {R3,R4}
  08007C56  E009      B            0x8007C6C
  08007C58  F8501B04  LDR          R1, [R0], #0x4
  08007C5C  F8502B04  LDR          R2, [R0], #0x4
  08007C60  F8514B04  LDR          R4, [R1], #0x4
  08007C64  F8424B04  STR          R4, [R2], #0x4
  08007C68  1F1B      SUBS         R3, R3, #0x4
  08007C6A  D1F9      BNE          0x8007C60
  08007C6C  F8503B04  LDR          R3, [R0], #0x4
  08007C70  2B00      CMP          R3, #0x0
  08007C72  D1F1      BNE          0x8007C58
  08007C74  BC12      POP          {R1,R4}
  08007C76  4770      BX           LR

 

這是一個名為__iar_copy_init2的函數(shù)，他執(zhí)行了什么"copy"操作呢？

首先壓R3,R4入棧，然后跳轉(zhuǎn)到0x0800'7C6C，從R0——Region$$Table$$Base中取出參數(shù)0x238放入R3，接下來的指令大家應(yīng)該都熟悉了，0x238不為0，所以我們被帶至7C58處，再次從Region$$Table$$Base中取出參數(shù)0x0800'7F14放入R1，從Region$$Table$$Base取出參數(shù)0x2000'2AC8放入R2處。細(xì)心的觀眾應(yīng)該能察覺這和__iar_zero_init2中取參數(shù)的幾乎一樣：先取出大小，隨后取出了地址——只不過這里多出了1個地址，沒錯這就是"copy"，隨后的指令

  08007C60  F8514B04  LDR          R4, [R1], #0x4
  08007C64  F8424B04  STR          R4, [R2], #0x4
  08007C68  1F1B      SUBS         R3, R3, #0x4
  08007C6A  D1F9      BNE          0x8007C60
則是另一個“4指令”，指令1將R1指向地址的數(shù)據(jù)讀到R4，指令2將R2指向地址的數(shù)據(jù)改寫為R4的數(shù)據(jù)，指令3、4是完成一個循環(huán)。

說到這里大家都應(yīng)該明白了——這就是一個"copy"的操作，從Flash地址0x0800'7F14起，將長度0x238的數(shù)據(jù)拷貝到RAM地址0x2000'2AC8中。

通過Jlink，我們可以看到這片區(qū)域是我們定義的并且已初始化的全局變量。也就是說，每次復(fù)位后，IAR在此處進行全局變量的初始化。

 

在這“4指令”執(zhí)行完畢后，再次從Region$$Table$$Base中取出參數(shù)，為0，比較之后條件符合，函數(shù)返回__iar_data_init2。

此時的R0已經(jīng)為0x0800'7C9C與R4相等，__iar_data_init2終于完成它的使命。

 

  08007D98  2000      MOVS         R0, #0x0
  08007D9A  F7FDFC49  BL           main

 

將R0清零以后，IAR放棄主動權(quán)，把PC指針交給了用戶程序的入口——main()。

 

但請注意，這里使用的是BL指令進行main跳轉(zhuǎn)，也就是說，main函數(shù)只是IAR手中的一個子程序，若是main函數(shù)執(zhí)行到了結(jié)尾，接下來則會執(zhí)行exit等IAR提供的“退出”函數(shù)。這些函數(shù)，等待下回分解~

 

總之，IAR在啟動main()函數(shù)以前，執(zhí)行了Reset_Handler，調(diào)用SystemInit()(ST庫提供)進行時鐘，F(xiàn)lash讀取初始化，并轉(zhuǎn)入__iar_program_start中執(zhí)行__low_level_init與__iar_data_init2，并在__iar_data_init2中，先后調(diào)用__iar_zero_init2與__iar_copy_init2對全局變量、全局已初始化變量進行相應(yīng)的初始化操作。最后，調(diào)用main()函數(shù)執(zhí)行。

 

這就是IAR在啟動main()函數(shù)之前做的事情，它并沒有那么神秘，只要花些時間，就可以跟跟蹤分析出這個過程。