trace linux kernel source - ARM - 02

gogojesse

開始跳進去head.S之前
9 G' |0 _2 O; K( w先來看看bootloader
8 F5 o7 Y9 Y' |$ n% m% ^- ?當板子通電,最先被執行到的通常是bootloader
+ \8 v" v/ t+ m, W9 \( E2 l& c透過它才有機會去改變載入過程
% M5 K' D" C( ~1 b' `- m例如更換這次使用的kernel image
6 o' p* C! G: e. d或者是選擇要用tftp download image還是從flash上的某個image跑起來
, ]9 k7 j2 x/ }& m' y2 j. J0 akernel為了讓這個變數盡量單純
$ Q) G: p2 p( {- R8 D因此linux也有限制bootloader必須在進入到kernel之前必須設置好的狀態
! S# M5 h+ a  K- j1 Q; T" N0 Q
! O/ c8 s1 P4 I7 ]6 b, }: ]1. r0 = 0
( d3 b0 z: ]3 e' z/ L3 N7 ~2. r1 = architecture ID
3. r2 = atag list
4. mmu off
- ~' b' D8 w4 c; T; J) p2 ~' d5. I&D cache off
4 p& u+ O. p) @% i0 D: F& k
! W* K) p9 D1 H7 X- p如此一來kernel就可以在已知的狀態去講好的暫存器拿資料，有了這個概念有助於看head.S。
( v4 d9 C8 u! P; u& K) r我們首先來看一開始的程式碼進入點

1.     114 start:
   
2.     115         .type   start,#function
   
3.     116         .rept   8
   ) [, d" F5 c& g
4.     117         mov r0, r0
   0 U1 c; x) a# c
5.     118         .endr
   * `% L# g* Q1 Z# E: k6 j
6.     119
   4 ?9 Z3 O, I5 k# p0 E+ \7 D# g( f
7.     120         b   1f
   
8.     121         .word   0x016f2818      @ Magic numbers to help the loader
   
9.     122         .word   start           @ absolute load/run zImage address
   : `3 }- {6 j1 T. q
10.     123         .word   _edata          @ zImage end address
    
11.     124 1:      mov r7, r1          @ save architecture ID
    6 ^2 O. l7 U( o
12.     125         mov r8, r2          @ save atags pointer

複製代碼

line 116~118, rept = repeat, endr = end of repeat, 意思是將move r0, r0的程式碼
6 X. [* f" P: x9 m/ L% [$ T重複八次，也就是說build成kernel image的時候這邊一開始的code會有8個指令都在作
『move r0, r0』的事情，很怪!!還看不出是做什麼的。可能之後會看到如何被運用。
' h( L" Z2 `: W(有些文章寫說是作出中斷向量表的空間，我們這邊先不預先作猜測~)
% j$ J5 O1 \/ p* p7 b
# K1 ]& ^) {, p6 M9 ^line 120, branch到1的地方，f是指forward的方式找branch。
+ Q7 u$ m9 l( k; Z/ f
line 124, 125, 分別將r1, r2的資料丟到r7, r8存起來，回想兩件事情。
1. init.S執行的過程中，始終沒有用到r1, r2，那r1, r2的資料到底放著什麼東西。
2. 一開始我們提到，bootloader會預先設定好狀態才跳到kernel，原來!!
r1, r2就是bootloader準備好的。  

( P9 ]- _5 L( Y3 ^. E) \這讓我想到一個問題，假設我們不想跑bootloader，是不是可以寫一小段程式碼，直接將
0 E, l9 Z/ {; m" F" |狀態設置好，就直接進入linux kernel呢??
* E" d$ ^. P: @0 y* x1 Z( U. ]
line 121~123, 純粹將一些資訊記住，.start就是 kernel 起始位置，這邊看起來是
9 ?) M) I4 C- u" E忽略掉init.S和initrd.S佔去的位置，直接將.start這個section當成kernel image的開始起點。
) R, A* w9 q# v( V
1 I2 M& Z* n+ Z& z$ j# p接著繼續往下看(我們預設arch已經超過v2，現在應該大多是v4以上)

1. 133         mrs r2, cpsr        @ get current mode
   
2.     134         tst r2, #3          @ not user?
   
3.     135         bne not_angel
   
4.     136         mov r0, #0x17       @ angel_SWIreason_EnterSVC
   6 o  M' a, Q' v, d1 c3 x  m+ ?" E
5.     137         swi 0x123456        @ angel_SWI_ARM
   # E7 `$ E6 K1 W2 k" n) m
6.     138 not_angel:
   6 e" h8 W* u1 k3 O, F: k! q
7.     139         mrs r2, cpsr        @ turn off interrupts to
   
8.     140         orr r2, r2, #0xc0       @ prevent angel from running
   
9.     141         msr cpsr_c, r2
   1 v5 G0 R4 a6 p& u1 Q: l) }
10.    

複製代碼

line 133, mrs 是特殊用來讀取cpsr和spsr暫存器裡頭紀錄processor模式值的指令，這兩個reg是
用來控制和表示processor目前狀態的。
1ine 134, tst = test, 看看r2是不是等於3。
% t6 d( Z/ A1 z+ e4 dline 135, r2不等於3的話就跳到 not_angel 這個地方開始執行，記得以前有個angelboot可以用
來boot armlinux，應該是angelboot會特別跑在3這個mode。
) k4 v+ C+ c  |, Cline 136, 137, 用來觸發angelboot裡頭的swi的function，作用應該是要切回去SVC mode。SVC mode
是一開始ARM processor預設執行模式。
0 R% l6 A  D$ J! o8 s* |$ \4 S9 h; S3 b
( V# d8 U' s1 c3 i6 E/ G9 B1 ~line 139~141, 用來關掉interrupt，避免被中斷booting的過程。(因為複雜一點的bootloader通
常會已經support很多driver，中斷也很頻繁。

gogojesse

原帖由 kkbbs 於 2008-10-11 10:39 PM 發表
) R' Q" ~& |. J" f4 E$ X很棒的分析....
. V' k. f& }/ R8 A2 _& U非常據有參考價值
感謝大大分享    感恩

謝謝  
& Q: M" @1 j8 ?" J3 L! N. N有哪邊寫錯或是有怪怪的地方
  V1 C" h, w2 G  D" X歡迎提出來一起想想...

kkbbs

很棒的分析....
非常據有參考價值
感謝大大分享    感恩

gogojesse

由於解壓縮不是我們的重點
沒有trace
假設一切都順利
decompress_kernel結束後
, ?6 J  i- q' O  E/ l& [% Q+ a我們就得到一個解壓縮完的kernel放在r4指向的位置
line 286,會jump到call_kernel，如下:
# _: H& D% X7 m9 O4 ~, Z" uline 516, flush cache
  {7 O( `- M" F' hline 517, 關掉 cache
line 518~520,將r0, r1, r2分別填值。
9 t2 S. Q7 _1 H1 p) Pline 521,將program counter指到r4，也就是解壓縮的kernel的一開頭。
% R! O5 }% A% s: ^. s5 z& ~, l
到這邊我們終於結束head.S的工作，解壓縮並且跳到另外一個object code的開始。跳到解壓縮的開始位置，究竟會進入哪一個function？

1.     516 call_kernel:    bl  cache_clean_flush
   
2.     517         bl  cache_off
   
3.     518         mov r0, #0          @ must be zero
   
4.     519         mov r1, r7          @ restore architecture number
   : `" f9 r& v: e3 d) K7 F
5.     520         mov r2, r8          @ restore atags pointer
   % a( ]' `) i* D& ?0 u
6.     521         mov pc, r4          @ call kernel

複製代碼

gogojesse

忙了好一陣子∼
% D9 w4 B' T2 D之前trace到 ./arch/arm/boot/compressed/head.S的 line 224
" v* m& t9 a  P7 E呼叫了cache_on之後就沒寫了
; x( r" K: `4 x$ d1 g現在接著開始
3 y+ v' [5 i& \9 E; y6 ~! G  S
首先我們偷看一下code，
! W5 y9 X. o9 T% p1 k6 @/ Rline 226, 將sp的值放到r1。
5 {; z2 G: q* a) \( I7 ~line 227 將sp的值加上0x10000放到sp。
' ]' T# ^' l5 ~% v
  K! i  L9 s/ J% X# w: d為什麼kernel之前花了一些功夫將自己relocate到某個位置之後，要把cache打開，然後要開始對stack pointer(sp)做動作？目前還看不出來，所以接著trace下去。
& R/ p. q! e) c/ T5 `; K  O
line 238，比較r4和r2的值，r4的值從line 158載入之後就一直沒被用到過，這個值是從一些makefile或是被makefile include進來的，然後在linking time的時候會被帶入，每個平台不一定一樣，通常你可到./arch/arm/mach-xxx/Makefile.boot去設定，這個值是用來指定kernel應該要被load到哪個位址上面執行。以omap1來說，
zreladdr-y       := 0x10008000
就是表示kernel會被載入到 0x10008000 的地方。這邊將r2和r4比較的用意是看看sp+0x10000之後會不會超過zreladdr的位置，應該是怕stack爆掉了會蓋到kernel的地方。(記住我們現在的kernel其實還在壓縮狀態，zreladdr是指解壓縮完要開始執行的狀態。）
  D% ?' h! O( J# J; f: F- G
line238~line243, 比較了r4和r2，假如不會蓋到，就會跳到wont_overwrite去執行，假如會蓋到，就看目前sp到之後解壓縮image位址之間的距離有沒有比image四倍的大小來得大，假如有，表示空間還夠用，還是可以跳去wont_overwrite去，假如不到四倍大，就跑到line 262去把kernel搬到遠一點的地方，試看看能不能正常boot起來，line262先不做解釋，一般來說位址設錯的話，這邊的correction失敗的機率還是很大，著眼在correction的意義不大。所以我們就直接跳去wont_overwrite吧！

1.     226         mov r1, sp          @ malloc space above stack
   $ b. G* H% j/ D6 D1 z
2.     227         add r2, sp, #0x10000    @ 64k max
   
3. 
   
4.     238         cmp r4, r2
   # q4 ]5 S  E" O. t* J5 D6 S
5.     239         bhs wont_overwrite
   ! F! k! r; j. k5 t  ~2 }6 Z1 j
6.     240         sub r3, sp, r5      @ > compressed kernel size
   9 m0 I: A+ I: _  `0 R
7.     241         add r0, r4, r3, lsl #2  @ allow for 4x expansion
   ! e; ~. r* F" U9 t/ n0 F$ ?  C8 w
8.     242         cmp r0, r5
   
9.     243         bls wont_overwrite
   " F$ Y* [( a* ~$ a4 F1 o8 b; [
10.     244
    
11.     245         mov r5, r2          @ decompress after malloc space
    ; l8 M4 U4 G7 p0 i1 w1 O5 _
12.     246         mov r0, r5
    
13.     247         mov r3, r7
    - q/ D" h7 ]) ~$ K4 d' ^) H
14.     248         bl  decompress_kernel
    
15.     249
    
16.     250         add r0, r0, #127 + 128  @ alignment + stack
    # j6 Y3 X9 U7 F
17.     251         bic r0, r0, #127        @ align the kernel length

複製代碼

跳到wont_overwrite之後，當然就是要開始把kernel解壓縮，
line 283,把r4搬到r0,r4就是我們剛剛說的kernel被解壓縮之後的位址。（也就是解完之後應該要執行的位置）
line 284,把r7搬到r3,r7從一開始讀進來之後，也沒用過，理論上是architecture ID。
# a$ f0 ^% y5 C; A6 k2 D; hline 285,是跳到decompress_kernel，這邊我們發現decompress_kernel是被定義在misc.c檔，所以這是第一次從assembly code跳到c code的地方。這樣一來我們就知道原來剛剛要把cache打開和設定好sp的用意，原來就是為了要執行c code，因為c的程式碼有固定的執行方式，會需要用到sp，這部份可以參考『procedure call standard for the ARM architecture』，這也是r4和r7被搬到r0, r3的原因，因為r0~r3是用來傳遞C function的參數用的，r0就是arg0, r1=arg1, etc.

1.     283 wont_overwrite: mov r0, r4
   
2.     284         mov r3, r7
   9 m: }" |7 _3 e/ ]
3.     285         bl  decompress_kernel
   ( |* l6 q7 i8 V' `# Z) C! g  x& P& u
4.     286         b   call_kernel

複製代碼

偷看misc.c

1. 346 decompress_kernel(ulg output_start, ulg free_mem_ptr_p, ulg free_mem_ptr, int arch_id)

複製代碼

果然r0~r3就是的參數。

gogojesse

很棒的分析....讓我能有機會可以瞭解bootloader的一些流程.............感謝

) ]7 T, x( \/ {9 ~% ^
謝謝  
最近突然忙起來
% m- |* p8 K& t0 w& Q/ ^改天有空再繼續study....

0 l- x. ~9 R! e  S) ?另外，這篇是kernel booting的過程的程式碼，應該不能稱呼bootloader，不過
+ `0 w# z1 T- f5 z% H2 N有些概念跟bootloader差不多，可以幫助閱讀bootloader的code就是。  

rogerho

很棒的分析....讓我能有機會可以瞭解bootloader的一些流程.............感謝

gogojesse

放了兩天假出去happy  
接著繼續trace

1.     211 not_relocated:  mov r0, #0
   
2.     212 1:      str r0, [r2], #4        @ clear bss
   
3.     213         str r0, [r2], #4
   / K) K& H3 x+ ~1 Y2 x* Z
4.     214         str r0, [r2], #4
   
5.     215         str r0, [r2], #4
   # Z# E/ J% ~  m; v5 N5 u: L
6.     216         cmp r2, r3
   * s$ k4 ]9 Y# {4 e2 g  t% I/ ?
7.     217         blo 1b
   
8.     218
   ; D8 N/ u7 v4 M. \# x5 ?
9.     224         bl  cache_on

複製代碼

恢復記憶一下，上次trace到kernel做了一些判斷，如果被載入的位址和compile time決定的位址不同，就會
自己做relocate的動作，將一些ELF binary的特定pointer和value加上offset。那做完初步的relocate之後要做什麼?
2 g$ q; a  [1 S0 t
line 212~215, 都是做store的動作，把r0存到r2所指到的位址，做完之後r2=r2+4。r2= bss start的位址.
* J5 k" k8 P( i0 M換句話說，開始將bss裡頭的值都初始化成0。
lin3 216, 217, 確認一下是不是到了bss的底部,不到底部的話，jump到line 212繼續做搬移的動作。
3 |8 N: i- V) i
line 224, 做完bss初始化，jump cache_on

1.     328 cache_on:   mov r3, #8          @ cache_on function
   - M2 Y/ g8 ?" e5 B
2.     329         b   call_cache_fn
   0 d" H: i) c. k( Z: _( y; ^
3. 
   
4.     537 call_cache_fn:  adr r12, proc_types
   $ L6 m! B: {4 u7 D& I5 p: p
5.     539         mrc p15, 0, r6, c0, c0  @ get processor ID
   , p+ D  n$ E3 c2 ^& p5 q
6. 
   
7.     543 1:      ldr r1, [r12, #0]       @ get value
   & o8 s, G; E! \, b8 _
8.     544         ldr r2, [r12, #4]       @ get mask
   
9.     545         eor r1, r1, r6      @ (real ^ match)
   % ?% {" z& O" L* I/ s/ ?6 k
10.     546         tst r1, r2          @       & mask
    0 X1 x5 Y, A( t, M; `
11.     547         addeq   pc, r12, r3     @ call cache function
    : C5 o+ T0 C- H3 F1 G; o/ p" Z
12.     548         add r12, r12, #4*5
    
13.     549         b   1b

複製代碼

line 328, 將r3填入8, 不知道r3會拿做什麼用，繼續看。
. |1 ~2 g9 z" Y# A1 ?8 j. L- Lline 329, jump到call_cache_fn。
line 537, 將proc_types的位址讀到r12。
line 539, 將coprocessor裡頭的CPU id讀出來放到r6
% ]: B$ v  t6 \0 I% Cline 543, 544, 將r12所指到的第一個位址的資料放到r1, offset 4bytes的資料放到r2，我們可以先觀
/ @, B% a. n1 {) \2 o- [察一下proc_types的長相(如下)，註解上面寫了很多arm的家族的名稱，例如arm 6, armv5te等等，而且不
8 z3 N1 ?, l+ ^" ^7 S難發現都是先兩個.word，然後跟著三個『b xxxx_cache_xxx』，感覺很像是一組一組的資料。
line 545, 546, 將r6裡頭的CPU ID和讀出來的r1做exclusive OR，並且取mask，看看是否相等，相等的
5 F* q' T$ s; ]; f# I& F. w& m話，就將pc設定r12+r3。換句話說，就是用CPU ID去確認值是否相等，值相等的話，就jump到r12+r3的位址。
line 548, 549, 不相等的話，就把r12加上5x4byte的offset跳回去繼續找。
整理一下，這邊的程式碼就是去proc_types的地方，比對CPU ID，比對成功的話，就呼叫該筆資料裡面的
) m! {% y. I3 E" T8 n* h& kcache function，至於呼叫第幾個function，就由r3控制，那所有CPU對應到的data structure就
從proc_types開始。
* M4 @% o- b1 N
1 I6 Q/ x/ K; B7 x' t以ARMv5TE來說，r3=8，就剛好是cache_on的function。所以我們知道如果我自己發明了一個新的ARM CPU，也弄了一個新的id，這邊就需要修改出相對應的CPU的infomation，不然可能會找不到CPU ID。

1.     566 proc_types:
   : M$ `' o& a! ~. _2 V' |0 G  `
2.     567         .word   0x41560600      @ ARM6/610
   . U8 t# W% n' t3 I1 M5 T
3.     568         .word   0xffffffe0
   
4.     569         b   __arm6_mmu_cache_off    @ works, but slow
   & ~$ d2 K0 l5 f' I
5.     570         b   __arm6_mmu_cache_off
   
6.     571         mov pc, lr
   
7.     ......
   
8.     640         .word   0x00050000      @ ARMv5TE
   
9.     641         .word   0x000f0000
   
10.     642         b   __armv4_mmu_cache_on
    * I2 a7 w( e! |8 T1 N7 x4 W5 t4 n
11.     643         b   __armv4_mmu_cache_off
    
12.     644         b   __armv4_mmu_cache_flush

複製代碼

到這邊我們，找到了CPU對應的cache on的function，必且要準備呼叫它。

gogojesse

程式繼續往下跑
這邊插點符號跳過文繞圖
4 O. c! r- r7 d5 H.
.
1 M* A# e+ q+ C9 U5 n( J. J.
.
.
.
! d* D% t/ S- c$ i+ F; o.
9 c: ?" i& S* Z: u+ C; g" x9 {.
9 a, {5 H! s; G/ O  P8 `( B.
.

1. 157         adr r0, LC0
   5 V% g8 C. c, @1 s" h  ~% }( b$ d- z
2.     158         ldmia   r0, {r1, r2, r3, r4, r5, r6, ip, sp}
   . N* N- p  O' e) w$ w2 J
3.     159         subs    r0, r0, r1      @ calculate the delta offset
   " A2 ^7 t5 ^" A. a
4.     160
   
5.     161                         @ if delta is zero, we are
   
6.     162         beq not_relocated       @ running at the address we
   $ ]4 }4 m! T4 `' W9 W6 S, \& O
7.     163                         @ were linked at.

複製代碼

1.     288         .type   LC0, #object
   3 E* I5 F+ c( b: o, g  C& w
2.     289 LC0:        .word   LC0         @ r1
   2 O; o7 G+ f4 R; z$ ^
3.     290         .word   __bss_start     @ r2
   
4.     291         .word   _end            @ r3
   / z1 V+ m0 |; a7 E% I* t; H/ B
5.     292         .word   zreladdr        @ r4
   
6.     293         .word   _start          @ r5
   
7.     294         .word   _got_start      @ r6
   2 F( D, G4 q: Z: N1 d' T
8.     295         .word   _got_end        @ ip
   
9.     296         .word   user_stack+4096     @ sp
   5 b/ X% Z8 m' l$ z9 W
10.     297 LC1:        .word   reloc_end - reloc_start
    
11.     298         .size   LC0, . - LC0

複製代碼

line 157, 將LC0的位址當作值放到r0。
line 158, 從r0指到的位址開始，將值依序讀到r1, r2, r3, r4, r5, r6, ip, sp, 其中 ip=r12, sp=r13
line 159, 將r0-r1，這邊的意思是說r0是真正被載入到記憶體上的address,r1是被compile完就已經決定好的位
9 i+ [8 I; C9 N. e  m) U- l; y址(也就是line 289中LC0這個symbole的address)，兩個相減，剛好可以算出『compile好』跟『被load到位址』
之間的offset，這樣做有什麼意義? 繼續往下看。
, R/ N: }" Z4 \- g0 J
line 162, 如果相減等於0，表示載入的位址和complie好的位址是一樣的，那程式碼就可以被直接執行，要是不為0
, b$ J5 h5 s6 b$ O' T6 m的話，表示compile本來以為這些執行碼會被放到 r1 的位址，可是卻被放到r0的位址去，這樣一來，有一些預先compile好的程式碼，可以會找不到一些symbol的所在位置，因為整個image被load到不對的offset的地方。那...
* m! X! J& i! a2 w& u2 V0 B/ G怎麼辦勒??
) j% |* ^6 s0 m& C* J# c
- X- T; j  j. Z; H0 u往下看

1.     172         add r5, r5, r0
   
2.     173         add r6, r6, r0
   
3.     174         add ip, ip, r0
   
4. 
   $ H) e( p! U2 F$ n  F
5. 202 1:      ldr r1, [r6, #0]        @ relocate entries in the GOT
   
6.     203         cmp r1, r2          @ entry < bss_start ||
   
7.     204         cmphs   r3, r1          @ _end < entry
   
8.     205         addlo   r1, r1, r0      @ table.  This fixes up the
   " V4 r$ }8 k0 X
9.     206         str r1, [r6], #4        @ C references.
   , t2 I- `( P& e' D: Z' y- I
10.     207         cmp r6, ip
    
11.     208         blo 1b

複製代碼

line 172~174, 將r0這個offset，加到r5, r6, ip,也就是r5=zImage base address, r6=GOT start, ip=GOT end. GOT全名是global offset table, 它是ELF format執行檔裡面用來放一些和位址無關的code的地方。詳細的東西可以參照http://www.itee.uq.edu.au/~emmerik/elf.html。總之，可以看得出來我們將一些位址加上
2 C0 L9 e! m6 X; b了offset，很明顯的是因為我們載入的位置跟原本執行碼所預期的位址不同，因此必須做一些relocate的動作，若是不
0 h4 [- a2 I  S- ^/ G# G' _5 y做的話，很可能程式碼會拿到不對的資料，我是jump到錯誤的地方執行。

. S& H9 k# p# X4 U' \7 n+ ?line 202~208, r1指向GOT table start，在沒有寫錯到bss區塊的情況下，將GOT裡面的資料都作relocate的動作。
line 203, 204,應該是用來避免r1只到bss區塊。關於BSS也必須參考ELF format的東西, BSS是用來放置，未經初始
化的變數的地方。
0 t. \' h7 o: t' t/ r
- J& t5 D3 z+ H# r0 R以上，我們發現kernel意識到自己被載入到某個地方，並且查看被載入到的地方是不是和compile
$ w+ g3 ^8 {  b% M. rtime決定一樣，不一樣的話，自己手動修改一些需要做offset的資訊，等於是手動作relocate的事情。

gogojesse

原帖由 jacky002 於 2008-8-9 07:40 AM 發表
* W3 @( O6 |' K# y建議可在加上UBoot or Redboot的部分，應該可以造福更多初學者。

+ G) [$ y6 E8 g
  i& B4 `. I/ s# c5 Y: D/ ~看完kernel應該會花上一些時間
6 \% _# f/ f8 N! d, P看看有沒有哪位大大要認領
; o/ q; y: K  ?6 _開一篇bootloader的文章   

5 i+ U# {# y# p; y另外，有人要trace x86 or MIPS的架構應該也不錯
這樣主要的幾種processor都可以搞定
這樣要跨平台  跳槽也容易許多

jacky002

補充資料 - ARCH: ARM11 -> v5
% u* n  w. I: I1 Z/ h$ D$ c可參考
5 s1 K/ |3 u/ _2 T' Ehttp://tech.digitimes.com.tw/pri ... FE2482571DD006E9DC5

建議可在加上UBoot or Redboot的部分，應該可以造福更多初學者。