分享一个HardFault分析软件，，初始版本

XIVN1987

HardFault，，搞Cortex-M单片机的都清楚，，我就不介绍了

一、先看下软件执行效果：
Keil中显示的Call Stack：


我这个小工具的解析结果：



二、使用方法
1、通过某种方式知芯片已进入HardFault（比如在HardFault_Handler()中点亮个LED，指示已发生HardFault）
2、HardFault_Handler()程序中不能有栈操作，即要保护进入HardFault的环境
3、将JLink连接到发生HardFault的芯片上，打开HFView软件并设置JLinkARM.dll路径、和工程.map文件路径
4、需要设置Keil工程生成反汇编文件，且反汇编文件需要和.map文件在相同路径下，，可通过如下配置生成

5、点击按钮“读取 & 解析”就可以看到结果了

三、实现方法简析
0、最基本的原理是Python通过JLinkARM.dll文件控制JLink，从而对单片机进行读写控制
更详细的说明可以看这里：Python实现RTT客户端，源码+详细讲解，绝对原创！申请置酷！

1、能够通过JLink读写控制单片机，那么实现对单片机CPU寄存器和栈内容的读取就非常简单了，，基本就是体力劳动
读CPU寄存器并显示


CPU寄存器的编号可以在JLink的控制面板上查到：


读栈内容并显示

上面还根据读到的CPU寄存器的值判断了当前是否在HardFault状态、进入HardFault时使用的哪个栈寄存器（MSP、PSP），并检查了是否发生栈溢出
其中Stack_Limit、Stack_Top的值是通过解析.map文件的内容得到的

2、已经读到了CPU寄存器和栈的内容，，下面就是最关键的部分了，即分析Call Stack，，也就是发生HardFault前函数是怎么一层、一层调用的，，想要分析出这个调用层次，，就必须要对单片机程序本身的结构足够了解
经分析发现，Keil编译生成的.map文件和反汇编生成的反汇编文件中有函数调用结构的详细，，因此要解析这两个文件、获得单片机程序的结构信息
其中.map文件主要记录了每个函数的名称、地址、大小：


反汇编文件记录了每个函数在某个地址调用另一个函数的信息，，从而也可以分析出一个函数可能被哪几个函数调用


这些信息都是通过正则表达式来提取的，比如对.map文件的信息提取：


3、现在已经知到了程序的结构，那么当在栈底发现一个函数时，怎么分析它是怎么被调用的呢？？
首先分析出这个函数是哪个函数（比如叫funcA)，然后找出所有会调用这个函数的函数(比如有funcB funcC funcD三个)，，然后逐次从栈底向栈顶找这几个函数的地址，，如果找到了其中一个（比如funcC)，则说明funcA是被funcC调用的，，然后再按照这个方法找出所有可能调用funcC的函数，继续向栈顶寻找调用funcC的函数的地址

当然，，这个方法也是可能会产生错误的，，因为栈里不只有函数地址，还有数据，有可能有个数据恰好和funcD的地址完全一样，，那么就会误判成funcD调用了funcA，，这样整个Call Stack就分析错了，，，不过现在也没想到更好的方法，，只能先这么搞了

4、还有一个更麻烦的事情：栈里不光有函数调用和数据，还可能有中断嵌套导致的中断压栈，，这个就完全没有办法用前面的方法分析了，，因为中断可能发生在任何时候，，
这个问题暂时使用的下面这个方法解决：中断压栈的结构是固定的

最后三个字依次LR、PC和XPSR，，这三个值有一些特征：LR和PC都在程序空间范围内，且LR肯定是奇数、PC肯定是偶数，XPSR的第24位肯定是1，，现在每向栈顶 分析递进一个字，就先按照这三个特征判断接下来的这8个字是否是中断栈帧，，如果是则解析之，如果不是则按照第三步的函数调用解析

个人感觉这种方法挺容易和数据冲突，，不过暂时也没想到更好的判断方法，


程序源码：
第一版本，刚刚写完，，还不太完善，，欢迎各位大神一起研究、搞出更加健壮、方便的HardFault分析工具

运行需要安装Python 2.7 和 PyQt4，，都可去官网下载，，我就不浪费论坛的宝贵网盘空间了 ，，欢迎坛友试用，，

kms2hh

沙发，调试神器！大神辛苦了

山外メ雲ジ

之前也尝试过，不同Coertx-M内核，尤其是带浮点和不带浮点，很难做兼容处理，中断栈也不好处理，耗时太久做兼容性了，所以放弃了。自己人肉去查，反而更容易弄好

山外メ雲ジ

可以通过LR和SP，找到PUSH和PUSHW、VPUSH.32、VPUSH.64指令，过滤栈里面的数据，仅保留函数。
而中断栈，浮点数，还有如果调用一些外部非map里的函数，也比较麻烦的

wzavr

研究很深入，但是一般人看着还是挺难的，lz能最终搞出一个比较方便的分析软件造福大伙就好了

darkness27

大神。。。膜拜。。。

XIVN1987

山外メ雲ジ 发表于 2017-12-24 14:13
可以通过LR和SP，找到PUSH和PUSHW、VPUSH.32、VPUSH.64指令，过滤栈里面的数据，仅保留函数。
而中断栈，浮 ...

通过分析指令分析压栈、弹栈？？实现难度指数级提升啊

guolun

如果用IAR这个编译软件，可以使用吗？

XIVN1987

guolun 发表于 2017-12-24 19:58
如果用IAR这个编译软件，可以使用吗？

不可以，因为分析Call Stack需要提取Keil生成的.map文件和反汇编文件中的信息，，IAR的.map文件和反汇编文件格式应该跟Keil不一样，，

AndersonLeee

好东西，感谢楼主！

VAN

这个思路真厉害

justdomyself

好帖  iar支持就好了

bailangcn

如果仿真器能试到，也是很容易分析得到，就怕是像以前我们软件，客户就很容易试到，我们自己就试不到，
最后去到客户那里连接仿真器之后跟踪了好长时间才分析出来，像LZ的需要MCU也不加密才行，我们的代码都加密了的

security

解题思路挺新颖的，关注一下黑科技。

security

bailangcn 发表于 2017-12-25 09:42
如果仿真器能试到，也是很容易分析得到，就怕是像以前我们软件，客户就很容易试到，我们自己就试不到，
最 ...

是的，
很多情况，只能靠 log 来溯源的。

对应的，可以看看这边「【开源】ARM Cortex-M 错误追踪库，让 HardFault 不再可怕 」。
对此，并没有完美的解决方案，这些只是辅助手段，最终要靠 log trace + 我们的人工智能来解决。

XIVN1987

bailangcn 发表于 2017-12-25 09:42
如果仿真器能试到，也是很容易分析得到，就怕是像以前我们软件，客户就很容易试到，我们自己就试不到，
最 ...

程序加密把SW口封掉，出了hardfault在HardFault_Handler()中软件再把SW口打开怎么样？？
反正有HardFault的程序也不怕别人拷贝、盗版

bailangcn

XIVN1987 发表于 2017-12-25 10:17
程序加密把SW口封掉，出了hardfault在HardFault_Handler()中软件再把SW口打开怎么样？？
反正有HardFaul ...

不是封掉SW口 而是RPD了。。。

huangqi412

还是mdk调用窗口直接观察简单粗暴吧 在故障中断放断点

huangqi412

遇到过的故障一个是硬件浮点没开 一个是U8缓冲没跟U16对齐

XIVN1987

bailangcn 发表于 2017-12-25 10:28
不是封掉SW口 而是RPD了。。。

RDP是保护Flash不被读取的，，分析HardFault只需要读取CPU寄存器和RAM中的栈，，不受RDP影响

bailangcn

XIVN1987 发表于 2017-12-25 10:38
RDP是包含Flash不被读取的，，分析HardFault只需要读取CPU寄存器和RAM中的栈，，不受RDP影响 ...

照你的意思，是不是就算我RDP了 也是可以用RTT的？一直想把RTT加到程序里面

XIVN1987

huangqi412 发表于 2017-12-25 10:33
还是mdk调用窗口直接观察简单粗暴吧 在故障中断放断点

这个软件的作用是将分析过程用上位机代码实现，，这样不用每次HardFault都从头分析，，
当然，现在还是初始阶段、功能还不完善，，

XIVN1987

bailangcn 发表于 2017-12-25 10:41
照你的意思，是不是就算我RDP了 也是可以用RTT的？一直想把RTT加到程序里面 ...

可以啊，RTT又不读Flash，，不过批量产品一般会把SW口封掉吧，那就没法用SEGGER-RTT了

dreambox

厉害，支持支持

pingdan32

之前在GitHub上看到一个也是分析Cortex M的hardfault项目，不过它需要直接将源码嵌入到项目中，hardfault后会自动将所有信息存储到flash，重启时再分析。

sunnydragon

厉害啊~~兄弟

这个工具一直是我想要的，之前我在做 CmBacktrace （ https://github.com/armink/CmBacktrace ） 时，也有过类似想法，毕竟 CmBacktrace 还需要 addr2line 工具来二次分析函数调用栈，属于半自动。

你这个全自动分析方式太实用了。

XIVN1987

sunnydragon 发表于 2017-12-26 12:08
厉害啊~~兄弟

这个工具一直是我想要的，之前我在做 CmBacktrace （ https://github.com/armink/CmBacktrac ...

多谢支持！！

我这个工具锁了SW就没法用了（大批量的产品估计很多都会锁SW），所以两个工具各有长处

另外，我也在加入脚本调用“addr2line”来解析更多信息出来显示，，不过现在还有问题，输出的路径汉字都是乱码，，还在调，，

Elex

这个不错。当年我从国外论坛转了用过寄存器查找hardfault的方法，9年过去了，可惜看到的人不多
https://www.amobbs.com/thread-2013982-1-1.html

不过这种方法不太适合M0这种内核，如果是M0就别浪费时间折腾了

leonliu_1128

mark, 谢谢分享

justdomyself

你这个对最新的jlink驱动库支持么，有有没有jlinkarm.dll的接口函数   真想自己vc弄个

XIVN1987

justdomyself 发表于 2017-12-27 22:03
你这个对最新的jlink驱动库支持么，有有没有jlinkarm.dll的接口函数   真想自己vc弄个 ...

只要JLinkARM.dll的API不变，应该就能支持

接口函数的话，你可以参考下这个：c#的 JLINK API，自己用的

yick

沙发，调试神器！大神辛苦了

zhxlx

这个很牛啊！

justdomyself

XIVN1987 发表于 2017-12-27 22:48
只要JLinkARM.dll的API不变，应该就能支持

接口函数的话，你可以参考下这个：c#的 JLINK API，自己用的 ...

我看过这个帖子，

也用defend分析过6.16和之前4.28的dll的函数接口，多了好多函数。

现在急需搞定6.16的接口函数参数列表及用法。

XIVN1987

justdomyself 发表于 2017-12-28 15:21
我看过这个帖子，

也用defend分析过6.16和之前4.28的dll的函数接口，多了好多函数。

这个我没有，，

不过我想只用其中一小部分API也能实现很多功能了，，不一定非要所有函数API

justdomyself

XIVN1987 发表于 2017-12-28 15:29
这个我没有，，

不过我想只用其中一小部分API也能实现很多功能了，，不一定非要所有函数API ...

我用c++ 搞的，每次程序一上来就调用JLINKARM_ReadMem函数读取固定内存的值，但是每次运行前总是跑出这个界面，怎么破，是不是应该先调用某个初始化或者建立连接之类的函数




选好芯片信号就可以正确的读取内存中的值了。

就差一步了。。。。。

XIVN1987

justdomyself 发表于 2017-12-28 16:59
我用c++ 搞的，每次程序一上来就调用JLINKARM_ReadMem函数读取固定内存的值，但是每次运行前总是跑出这个 ...

找到了，，在Python里的方法如下：

huy666

能同时装py2.7+pyqt4和py3.6+pyqt5吗。

XIVN1987

huy666 发表于 2017-12-31 10:34
能同时装py2.7+pyqt4和py3.6+pyqt5吗。

可以啊，，我就装了py2.7和py3.6两个版本

justdomyself

XIVN1987 发表于 2017-12-28 18:08
找到了，，在Python里的方法如下：

按照你说的弄可以了，感谢之情无以言表。。。。。
你那边有没有主要函数的接口文档之类的。

zhonggp

看到这里，我想起了一个事情。以前做过一个堆栈分析的文档。可以在异常的时候打印出程序的栈情况。这样就不用模拟仿真就能分析异常的地方了

XIVN1987

justdomyself 发表于 2018-1-2 10:46
按照你说的弄可以了，感谢之情无以言表。。。。。
你那边有没有主要函数的接口文档之类的。 ...

我没有接口文档，，我都是参考别人的代码找到的操作方法
之前参考的jlink.py
https://github.com/markrages/jlinkpy


JLINKARM_ExecCommand()函数是在pylink里面找到的，，似乎pylink比jlink.py里面的内容多很多
https://github.com/square/pylink

guolun

hardfault时不时会遇到。就是习惯了IAR，瞧不起MDK。无法用了。

308594151

mark一下

resethdd

感觉好强大

gyd0317

XIVN1987 发表于 2017-12-28 18:08
找到了，，在Python里的方法如下：

非常感谢

xiaotaodzgzs

mark一下

lworldstar

可惜我用的是iar

strongbaby

好东西，感谢楼主，收藏