TI-84 Plus 固件逆向工程：Z80 汇编分析与内存映射重建

TI-84 Plus 系列计算器作为教育市场的标杆产品，其固件逆向工程一直是嵌入式系统研究领域的经典案例。这款发布于 2004 年的设备搭载 Zilog Z80 处理器，在 15 MHz 主频和 32KB RAM 的严苛约束下运行完整的图形计算操作系统。二十余年来，全球开发者社区通过系统性的逆向分析，不仅重建了其内存映射和系统调用接口，更催生了 KnightOS、zkeme80 等完整的替代操作系统项目，为受限环境下的固件分析提供了可复现的方法论框架。

硬件架构与内存模型

TI-84 Plus 的核心是一颗 8 位 Z80 处理器，采用经典的冯・诺依曼架构。该处理器每 4 个时钟周期完成一条指令的取指 - 译码 - 执行流程，在 15 MHz 主频下理论性能约为 3.75 MIPS。这一性能水平对于图形计算和矩阵运算而言堪称捉襟见肘，但正是这一约束催生了大量底层优化实践。

内存子系统采用分层设计：32KB 静态 RAM 作为工作内存，100KB 至 2MB 的 Flash 存储器用于持久化存储。关键的架构限制在于 Z80 的 16 位地址总线仅能直接寻址 64KB 空间，因此 Flash 存储器必须通过 bank switching 机制以 16KB 页为单位映射到地址空间的高位窗口（通常位于 0x4000-0x7FFF）。这种设计使得固件分析必须首先识别页表切换逻辑，才能完整还原跨页调用的控制流。

显示子系统采用 96×64 像素的单色 LCD，由专用控制器通过内存映射 I/O 端口驱动。在逆向分析中，显示缓冲区的定位通常是识别系统调用入口的首要线索，因为图形操作涉及大量的显存写入模式，在汇编层面呈现为对特定端口地址的重复访问序列。

固件提取与 ROM 结构

固件逆向的第一步是获取完整的 ROM 镜像。TI-84 Plus 的固件分布在多个 Flash 页中，包括启动代码、操作系统核心、数学库和用户数据区。早期社区通过链接端口协议（2.5mm 耳机接口改造）实现了内存转储，后来更发展出利用 USB OTG 端口直接读取 Flash 的硬件方案。

ROM 的结构分析揭示了几个关键区域：复位向量表位于 0x0000，中断向量表紧随其后；系统调用入口通常以 RST 指令的形式集中分布在低地址区域；数学函数库和图形例程则分散在各个 Flash 页中，通过远调用（far call）机制实现跨页跳转。识别这些边界需要结合静态分析和动态调试，观察页切换寄存器的写入模式和控制流转移目标。

TI 曾对固件实施签名验证机制，采用 Rabin 密码系统保护操作系统镜像和应用程序的完整性。2009 年，社区通过分布式计算在数周内完成了 512 位公钥的因数分解，这一事件成为密码学强度评估的经典案例，也直接促成了 TI 后续机型的安全策略调整。

Z80 汇编分析技术

Z80 指令集的设计哲学强调代码密度而非执行速度，这一特性使得手工编写的固件代码在逆向分析中呈现出高度规律的模式。分析工作通常从识别标准库函数开始：字符串操作、内存拷贝、数学运算等例程在不同版本的固件中保持高度相似性，可作为定位其他功能的锚点。

调用约定的识别是控制流重建的关键。TI-84 Plus 的固件采用寄存器传参为主、栈传参为辅的混合模式，关键寄存器（BC、DE、HL）的保存与恢复责任由调用方承担。通过追踪函数入口处的 PUSH 指令和返回前的 POP 指令序列，可以逐步绘制出完整的调用图。

对于跨页调用的分析，需要特别关注内存映射寄存器的操作。Z80 的 I/O 指令（IN/OUT）用于与外部硬件通信，而 TI-84 Plus 的 ASIC 将页切换控制映射到特定的 I/O 端口。识别这些端口的访问模式，可以还原出 Flash 页的动态映射关系，进而理解大容量固件的分页加载机制。

替代操作系统与仿真实现

基于对原生固件的深入理解，社区开发了多个替代操作系统项目。KnightOS 采用类 Unix 的设计理念，实现了抢占式多任务、动态链接库和分层文件系统，其内核完全以 Z80 汇编编写，展示了在 8 位平台上构建现代操作系统抽象的可行性。

zkeme80 项目则采用了更为激进的技术路线，在 Z80 汇编底层之上构建了一个符合 ANS Forth 标准的解释器环境。这种分层架构允许用户以高级语言扩展系统功能，同时保持接近裸机的执行效率。该项目的汇编器以 Scheme 实现，利用宏系统提供了灵活的代码生成能力，其设计思路对于嵌入式 DSL 开发具有参考价值。

在仿真器层面，Tilem 和 jsTIfied 等项目实现了完整的 Z80 指令集模拟和 TI-84 Plus 外设建模。这些工具不仅是游戏运行的载体，更是固件分析的调试平台，支持断点设置、内存查看和 I/O 追踪等功能。

工程实践要点

对于希望开展类似逆向工程的开发者，以下技术要点可供参考：

固件获取：优先尝试通过官方 SDK 或社区工具获取 ROM 镜像，避免对物理设备进行侵入性操作。注意不同型号（TI-83 Plus、TI-84 Plus、Silver Edition、CE）的固件格式存在差异。

静态分析：推荐使用支持 Z80 的 IDA Pro 插件或 Ghidra 处理器模块。从复位向量和中断处理程序入手，逐步向外扩展分析范围。注意识别编译器生成的代码模式与手工优化代码的区别。

动态调试：利用仿真器的跟踪功能观察页切换行为，记录关键系统调用的参数和返回值。对于涉及硬件时序的代码（如显示驱动），需要在真实设备上验证。

文档参考：ticalc.org 和 Cemetech 社区维护了大量技术文档，包括内存映射表、系统调用索引和硬件寄存器定义。这些资源可显著降低分析工作的重复劳动。

TI-84 Plus 的逆向工程实践表明，即使在资源受限的 8 位平台上，系统性的分析方法仍能揭示完整的软件架构。这一案例对于理解嵌入式系统的内存管理、固件保护机制和社区驱动的开源替代方案开发均具有重要的参考价值。

参考来源

• zkeme80: An assembler and operating system for the TI-84+ written in Scheme, Forth and Z80 assembly. GitHub.
• "The Insane Innovation of TI Calculator Hobbyists", thirtythreeforty.net, 2021.

systems