我们在写单片机裸机程序时，在主函数之前，会有一段启动代码，而启动代码是用汇编写的，有些朋友可能看到汇编头都大了，当时要想深入研究底层架构，这快硬骨头就必须去啃。

汇编 ：汇编文件转换为目标文件(里面是机器码)。

反汇编 ：可执行文件(目标文件，里面是机器码)，转换为汇编文件。

关于汇编的基础知识，请看笔者以前的文章。

今天笔者以STM32F1的点灯程序为例，带领大家进行反汇编，并阅读反汇编后的代码。

1 新建LED裸机程序

关于STM32裸机程序的创建，请看笔者博文：

https://bruceou.blog.csdn.net/article/details/78244735

但是今天这个程序非常简单，不应那么复杂。

1.新建文件夹

新建文件夹“STM32F1”，当然名字也可以另取，在 STM32F1文件夹下，我们新建五个文件夹，分别为CMSIS、Listing、Output、Project、User。

其中CMSIS文件夹放启动文件：

笔者的开发板芯片是STM32F103ZE，这个文件是根据STM32的固件库startup_stm32f10x_md.s文件修改而来。

2.新建工程

打开Keil，在工具栏 Project->New μVision Project…新建我们的工程文件。

输入工程名，保存即可。

窗口是让我们选择公司跟芯片的型号，我们用的芯片是 ST 公司的STM32F103ZE，有64K SRAM,512K Flash，属于高集成度的芯片。按如下选择即可。

然后点击项目管理。

最后修改后的内容如下：

并添加相应的文件。

其中main.c的内容如下所示：

/**
  * @brief  延时函数
  * @param  d
  * @retval None
  */
void delay(int d)
{
    while(d--);
}

/**
  * @brief  main
  * @param  None
  * @retval int
  */
int main(void)
{
    unsigned int *pReg;
    
    /* 使能GPIOB */
    pReg = (unsigned int *)(0x40021000 + 0x18);
    *pReg |= (1<<3);
    
    /* 设置GPIOB0为输出引脚 */
    pReg = (unsigned int *)(0x40010C00 + 0x00);
    *pReg |= (1<<0);

    pReg = (unsigned int *)(0x40010C00 + 0x0C);
    
    while (1)
    {
        /* 设置GPIOB0输出1 */
        *pReg |= (1<<0);
        
        delay(1000000);

        /* 设置GPIOB0输出0 */
        *pReg &= ~(1<<0);
        
        delay(1000000);
    }
}

startup.s文件的内容如下：

;************************************ STM32F1 ************************************
;* File Name          : startup.s
;* Author             : BruceOu
;* Version            : V1.0
;* Date               : 2021-06-27
;* Description        : STM32F10x Medium Density Devices vector table for MDK-ARM 
;*                      toolchain.  
;*                      This module performs:
;*                      - Set the initial SP
;*                      - Set the initial PC == Reset_Handler
;*                      - Set the vector table entries with the exceptions ISR address
;*                      - Configure the clock system
;*                      - Branches to __main in the C library (which eventually
;*                        calls main()).
;*                      After Reset the CortexM3 processor is in Thread mode,
;*                      priority is Privileged, and the Stack is set to Main.
;*******************************************************************************
                PRESERVE8
                THUMB


; Vector Table Mapped to Address 0 at Reset
                AREA    RESET, DATA, READONLY
				EXPORT  __Vectors
					
__Vectors       DCD     0                  
                DCD     Reset_Handler              ; Reset Handler

				AREA    |.text|, CODE, READONLY

; Reset handler
Reset_Handler   PROC
				EXPORT  Reset_Handler             [WEAK]
                IMPORT  main

				LDR SP, =(0x20000000+0x10000)
				BL main

                ENDP 
                
                END

接下来还有配置工程。

选择Output文件夹。

选择Listing文件夹。

基本配置就这些，接下来编译工程。

只要没有错误就可以了，最后就是下载程序，笔者使用的是J-Link，最后的现象如下：

LED会不停闪烁。

2 Keil反汇编

接下来才是今天正题，反汇编。

在KEIL的User选项中，如下图添加这两项：

fromelf --bin --output=STM32F1.bin ../Output/STM32F1.axf

fromelf --text -a -c --output=STM32F1.dis ../Output/STM32F1.axf

然后重新编译，即可得到二进制文件STM32F1.bin(以后会分析)、反汇编文件STM32F1.dis。

如下图所示：

正常编译过程是分为四个阶段进行的，即预处理(也称预编译，Preprocessing)、编译(Compilation)、汇编 (Assembly)和链接(Linking)。

但是反编译是讲为二进制文件反编译成汇编文件，因此反汇编的流程如下：

3 反汇编代码解析

接下来就是查看反编译代码，打开反编译文件Project/STM32F1.dis。这里只截取一段查看，因为格式都是一样的，知识每条内容不同罢了。

第一列是链接地址，第二列是机器码，第三列是汇编指令。

根本汇编指令，我们找到ARM®v7-M Architecture Reference Manual_DDI 0403E.d (ID070218)中的LDR指令。

我们将F8DFD004变成二进制。

这个使用的32位的Thumb2指令集。

其中b0~b11是立即数，这里是4，对应的汇编代码的也是4，这里要注意的是，ARM指令采用流水线机制，当前执行地址A的指令，同时已经在对下一条指令进行译码同时已经在读取下下一条指令：PC = A +4 (Thumb/Thumb2指令集)。

B12~b15是寄存器，这段大小是0XC，对应的寄存器就是sp；

后面16bit除了23位意外，全是固定的，其中‘U’表示无条件执行，这里置为1。

其他的汇编指令对应的机器码也是类似的，值得注意的是，不同的架构对应的机器码也是不同的，这也就回答了为了不同的处理器架构会对应不同的指令集。

有兴趣的可以对比Cortex-M系列和Cortex-A系列的的指令集。请参考以下手册：

ARM Architecture Reference Manual ARMv7-A and ARMv7-R edition.pdf

ARM®v7-M Architecture Reference Manual.pdf

4 反汇编代码全解析

进入debug模式，在View下选择disassembly window。

这样就可将机器码和对应的代码对应起来。当程序运行起来了，也就从异常向量表中跳转到Reset_Handler中，然后跳转到main函数中，而main函数是在栈中，因此需要设置占空间的起始位置。根据STM32的参考手册，SRAM的其起始地址和大小如下：

因此栈顶为起始位置加上栈的大小即可，只要不超过SRAM即可。

值得注意的是，栈是__向低地址扩展的数据结构__，是一块连续的内存区域，栈顶的地址和栈的最大容量是在通过LDR设置，因此需要根据应用需求合理分配栈空间。

接下来往下走，如果在汇编中不打断点，会默认进入main函数的一条指令，就从这里分析。为了分析方便，这里还有使用上一节方便出来的文件。

【C代码33行】

从内存地址0x0800 017c拷贝数据0x40021018到r3中，也就是

r3 = * 0x0800 017c

也就是将pReg指针保存到r3中。

【C代码34行】

这里对应3条指令

首先将r3拷贝到r0中，然后将r0或上1左移3位，也就是

ORR r0,r0,#8

最后将r0的值写入r3所指地址中。

【C代码37行】

同33行，从内存地址0x0800 0180拷贝数据40010c00到r3中

【C代码38行】

同34行，这里也对应3条指令：

【C代码40行】

和33行不同的是，这里分了两条指令：

笔者认为前面是编译器优化了。根据ARM指令采用流水线机制，当前执行地址A的指令，同时已经在对下一条指令进行译码同时已经在读取下下一条指令：PC = A +4 (Thumb/Thumb2指令集)。因此前面类似的代码被优化了。

接下来就进入循环中。

后面就移植在死循环中，不断操作GPIO的亮灭。

【C代码45行】

这里是将B0设置为1，和34行类似。

【C代码47行】

这里将进入延时函数。

进入延时函数：

NOP是字节对齐，减少指令的内存访问次数。首先将变量d保存到r0，然后将r0赋给r1，接着是r0自减1，紧接着是r1与0比较，如果r1等于0，则会返回，否则，又从头开始，值得注意的是，这里先比较，然后r0才自减的。

为了进一步说明，可以看--d的汇编代码。

这里就是相当于r1先减1，然后再比较的。

【C代码50行】

这行代码对应一下指令，很简单。

5 总结

在前面使用Keil进行了反汇编，也对相应的C代码进行了分析。我们看到的反汇编代码如下：

根据反汇编的代码，可将其对应到Flash，在Flash上的内容如下表所示：

最后总结下点灯的流程：

第一步：设置栈 ：CPU会从0x08000000读取值，用来设置SP。

第二步：跳转 ：CPU从0x08000004得到地址值，根据它的BIT0切换为ARM状态或Thumb状态，然后跳转。

__第三步：__对于cortex M3/M4，它只支持Thumb状态，所以0x08000004上的值bit0必定是1，0x08000004上的值 = Reset_Handler + 1。从Reset_Handler继续执行。

第四步 ：然后进入到主函数中执行相应C代码。