1. BL LDR指令簡介

2. 分析絕對跳轉過程

3. BL（B）和LDR跳轉范圍是如何規定的

4. BL執行過程分析

5. LDR執行過程分析

6. 總結

1. BL LDR指令簡介

??LDR和BL在啟動程序中，都是可以負責pc跳轉的指令。

??BL是地址無關指令，即和當前的運行地址無關。鏈接器腳本中標明了一個運行地址，但是arm中的代碼實際是從地址0開始運行的。這個時候，實際的地址和運行地址是不符的。

??如果想讓程序正常的運行，就得使用地址無關指令。比如在完成將程序復制到內存之前想要跳轉到一個函數里，就得使用BL。因為BL跳轉依靠的是相對地址，和運行地址無關，所以能完成跳轉。

??LDR是地址有關指令。如果這個時候使用“ldr pc，=函數名”來跳轉，實際上是跳轉到這個函數在鏈接器腳本中標明的地址上了。所以使用地址相關指令之前，要把代碼復制到鏈接器腳本中指明的那個地址上，否則的話程序就跑飛了。復制完成之后再使用LDR跳轉到內存中，使程序繼續運行。

2. 分析絕對跳轉過程

??我們以一個例子具體分析下絕對跳轉過程。

??假設程序被放在0x00000000位置開始執行，編譯鏈接后的結果為：

絕對跳轉分析

??當這段程序被放在0xC000000空間（如右圖）時，開始執行指令1，然后采用相對尋址的方法就可以運行到指令6，在指令6執行時也可以使用絕對尋址的方法從0xC0000014正確跳轉到指令8所在的0xC00001C位置，這段代碼運行正常。

??當這段代碼被放在0x00000000空間（如左圖）時，開始執行指令1，然后采用相對尋址的方法就可以運行到指令6，但在指令6執行時使用絕對尋址的方法從0x0000014跳轉到了0xC000001C，但0xC000001C空間沒有代碼，這樣程序就跑飛了。

??因此，當編譯地址（加載地址）和運行地址相同時，絕對跳轉和相對跳轉都可以正確執行。比如，程序在NORFLASH存儲時。

??但是，當編譯地址（加載地址）和運行地址不相同時，相對跳轉就會出現問題。比如，代碼存儲在NANDFLASH，由于NANDFLASH并不能運行代碼，所以需要重定位代碼到內部的SRAM。

3. BL（B）和LDR跳轉范圍是如何規定的

??下圖為B(BL）指令的格式

BL指令編碼格式

??BL指令的[23,0]位存放的是要跳轉的相對地址，由于指令所在地址必須是4字節對齊的，因此跳轉的地址最低位必然是0。

??BL指令[23,0]位保存的是省略這最低2位的地址，如果補全了這2位,BL指令就可以表示26位的跳轉地址。在這26位中需要使用1位表示向前跳還是向后跳，那么剩下的25位就可以表示32 MBts的范圍了，225=32M因此，B（BL）指令的跳轉范圍為-32MBytes~+32MBytes。

??下圖為LDR指令的格式。

LDR指令編碼格式 LDR指令編碼格式

??圖中的LDR的跳轉范圍計算方式和B指令的類似，其中Rn和Address_mode共同構成第二個操作數的內存地址。由Address_mode的9種格式可以知道，Address_mode表示的就是偏移地址的范圍大小，為212=4K。（不理解的可以對比下ldrpc, [pc, #804]和Address_mode的九種格式，很明顯可以看出Address_mode就是當前地址的偏移范圍）

4. BL執行過程分析

??下圖為B(BL）指令的格式。

BL指令編碼格式

??28~31位（cond）是條件碼，就是表明這條語句里是否有大于、等于、非零等的條件判斷，這4位共有16種狀態，分別為：

條件碼

??我們以Uboot啟動過程中的這句跳轉代碼分析下BL指令具體的執行過程。

#ifndefCONFIG_SKIP_LOWLEVEL_INIT
blcpu_init_crit
#endif

??上述代碼對應的反匯編代碼如下：

33f000ac:eb000017bl33f00110

33f00110:
33f00110:e3a00000movr0,#0;0x0
33f00114:ee070f17mcr15,0,r0,cr7,cr7,{0}

??當指令執行到33f000ac時，對應的機器碼為eb000017（1110_1011_0000_0000_0000_0000_0001_0111?），其中[31,28]高四位為條件碼，1110表示無條件執行。[25,27]位保留區域,24位表示是否帶有返回值，1表示帶有返回值，也就是BL指令。[23,0]為指令的操作數，0000_0000_0000_0000_0001_0111。

??BL指令的跳轉地址是按照如下方式計算：

??1、將指令中24位帶符號的補碼立即數擴展為32位(擴展其符號位)原數變成 0000_0000_0000_0000_0000_0000_0001_0111。

??2、將此數左移兩位0000_0000_0000_0000_0000_0010_1000_0000 變成 0000_0000_0000_0000_0000_0000_0101_1100 = 0x0000005c

?? 3、將得到的值加到PC寄存器中得到目標地址，由于ARM為3級流水線，此時的 pc = 33f000ac+8 = 33F000B4，pc = 33F000B4 + 0x0000005c = 33F00110?與圖中的cpu_init_crit的地址相等。

?? 在算的過程中我們使用的始終是PC的值，假設程序在 0 地址處執行，那么計算方法一樣，pc 的值變了，計算出來的結果也隨之改變。所以 BL 的跳轉時是與位置無關的。

5. LDR執行過程分析

??下圖為LDR指令的格式。

LDR指令編碼格式

??我們以下圖中的代碼作為例子分析下。

ldrpc,=call_board_init_f

??對應的反匯編代碼如下：

33f000d0:e59ff324ldrpc,[pc,#804];33f003fc

33f003fc:33f000d4.word0x33f000d4
........
33f000d4:
33f000d4:e3a00000movr0,#0;0x0

?? ldrpc, [pc, #804]這條指令為偽指令，編譯的時候會將call_board_init_f的鏈接地址存入一個固定的地址（鏈接時確定的），對于本條指令，這個地址就是33f000d4 。

??上面的反匯編出來的 ldr pc,=call_board_init_f就變成了ldrpc, [pc, #804]，由于ARM使用了流水線的原因，所以在執行 ldr pc,[ pc, #4 ]的時候 pc 不在這句代碼這里了，而是跑到了 pc+8的地方，這句代碼相當于 pc= *(pc+804+8)=33f000d0+32C=33f003fc ，所以會跳轉到33f003fc 地址取33f000d4 ，而 33f000d4 是存在代碼段中的一個常量，并不是計算出來的，不會隨程序的位置而改變，所以無論代碼和pc怎么變 *(pc+804) 的值時不會變的。

6. 總結

??這樣，絕對跳轉中的固定地址就很好理解了，要跳轉地址的值在鏈接時就已經確定了，存在了一塊內存中。

相對跳轉時，反匯編bl33f00110中的33f00110是根據pc計算出來的，當pc改變時，結果也會改變。所以，稱為相對跳轉，與當前位置無關。

原文標題：分析下BL(B)/LDR指令

文章出處：【微信公眾號：FPGA之家】歡迎添加關注！文章轉載請注明出處。