LoongArch指令编码拆解：手把手教你读懂龙芯汇编的‘密码本’

LoongArch指令编码拆解：手把手教你读懂龙芯汇编的‘密码本’

在二进制分析的黑暗森林里，每一条机器指令都是带着面具的舞者。当你在龙芯平台上用调试器打断点，看到那一串0x28800024时，是否好奇过这组十六进制数字如何对应到人类可读的ld.w $r4, $r0, 0？本文将带你像密码学家破译恩尼格玛机那样，逐比特解析LoongArch指令的加密逻辑。

1. 龙芯指令集的密码学特征

龙芯架构的指令编码像精心设计的摩尔斯电码，每个比特位都有严格语义。与x86的变长指令不同，LoongArch采用32位定长编码，这种规整性让逆向工程变得像解九宫格——只要掌握规律，再复杂的指令也能拆解。

典型的LoongArch指令包含三个关键域：

• 操作码域（31-24位）：决定指令类型，相当于密码本的目录页
• 操作数域（23-0位）：包含寄存器编号或立即数，如同密码正文
• 功能码（特定位置）：细化指令行为，类似密码的校验位

例如在add.w $r12, $r13, $r14这条指令中：

| 31-24 | 23-18 | 17-12 | 11-6 | 5-0 | |-------+-------+-------+-------+-------| | 操作码 | r13 | r14 | 功能码 | r12 |

这种布局使得通过机器码反推汇编指令成为可能。我们来看个实际案例：

当你在调试器看到0x002a9834时：

1. 先转换为二进制：00000000 00101010 10011000 00110100
2. 按域切割：
   • 31-26位：000000→ 主操作码
   • 25-22位：0000→ 子操作码
   • 21-15位：1010101→ 源寄存器1（r21）
   • 14-8位：0011000→ 源寄存器2（r24）
   • 7-0位：00110100→ 功能码+目的寄存器

通过查表可知这是条addu16i.d $r12, $r21, 0x18指令，其中立即数藏在特定比特位。

2. 九大指令格式深度解析

龙芯架构的指令可分为9种编码格式，每种都是不同的密码本结构。我们重点分析最常用的三种：

2.1 3R型指令：寄存器间的数学游戏

这是最基础的算术指令格式，典型代表是add.w、sub.d等。其二进制结构像俄罗斯方块：

[ opcode ][ rj ][ rk ][ sa ][ rd ] 6 bits 5 bits 5 bits 3 bits 5 bits

实战案例：解码0x002c3033

1. 二进制展开：000000 00010 11000 00110 00000 110011
2. 按格式解析：
   • opcode=000000：对应ALU操作
   • rj=00010：r2
   • rk=11000：r24
   • sa=000：无移位
   • rd=110011：r3
3. 查功能码表确认这是sll.w $r3, $r2, $r24

提示：龙芯的寄存器编号从低位开始存放，这种设计让指令解码器可以优先提取寄存器号，提升解码效率。

2.2 I12型指令：立即数的艺术

这类指令包含12位立即数，常用于内存访问。以ld.w为例：

[ opcode ][ rj ][ rd ][ immediate ] 6 bits 5 bits 5 bits 12 bits

特殊之处在于立即数采用符号扩展，支持负数偏移。例如解码0x28c00024：

1. 二进制：001010 00110 00000 00000 00000 100100
2. 解析：
   • opcode=001010：load指令
   • rj=00110：r6
   • rd=00000：r0（实际忽略）
   • immediate=00000000100100：0x24
3. 最终对应ld.w $r4, $r6, 36（注意立即数要×4）

2.3 I26型指令：长跳转的桥梁

这是龙芯最特殊的指令格式，26位立即数支持大范围跳转：

[ opcode ][ immediate ] 6 bits 26 bits

典型代表是b指令。解码0x5400000c：

1. 二进制：010101 000000000000000000001100
2. 立即数需要左移2位：0x30
3. 计算跳转地址：PC + 0x30

3. 逆向工程实战技巧

3.1 离线解码三板斧

在没有调试器的情况下，可以这样手动解析：

1. 十六进制转二进制：

   echo "obase=2; ibase=16; 28800024" | bc

2. 制作位域切割模板：

   def decode_3r(insn): opcode = (insn >> 26) & 0x3f rj = (insn >> 15) & 0x1f rk = (insn >> 10) & 0x1f rd = insn & 0x1f return (opcode, rj, rk, rd)

3. 使用官方编码手册： [龙芯架构参考手册]中提供了完整的操作码映射表，例如：

   操作码	指令类型	功能码范围
   0x00	ALU	0x00-0x3F
   0x28	Load	0x00-0x07

3.2 常见指令速查表

为方便逆向工作，建议保存这些高频指令特征：

4. 高级解码技术

4.1 向量指令解析

龙芯的SIMD指令采用特殊编码，例如vadd.b指令：

[ 111011 ][ rj ][ rk ][ vd ][ 000 ][ 000101 ] 6 bits 5 bits 5 bits 5 bits 3 bits 6 bits

解码要点：

1. 操作码前导位总是111
2. 功能码决定具体操作（加/减/乘等）
3. 向量寄存器编号从vr0到vr31

4.2 自动化解码脚本

使用Capstone引擎可以快速构建解码工具：

from capstone import * md = Cs(CS_ARCH_LOONGARCH, CS_MODE_LOONGARCH64) for insn in md.disasm(b"\x28\x80\x00\x24", 0x1000): print(f"{insn.address:x}: {insn.mnemonic} {insn.op_str}")

输出示例：

1000: ld.w $r4, $r0, 0

在实际漏洞分析中，我曾遇到过一个有趣的案例：某段加密算法的关键指令0x0380000d被误判为nop，实际是movgr2fr.d $f13, $r0，这个发现直接导致算法逆向成功。