保護模式
保護模式提供了實模式中所不具備的豐富多彩的內容。Pentium處理器是為保護模式而特別設計的。它內部的執行管道流水線,執行32位指令的效率優于執行16位指令。
電腦在啟動時候,Pentium被設計運行在實模式下,是為了便于電腦在啟動時候操作系統的啟動引導程序的執行。
運行在保護模式下的Intel處理器支持受保護的分段機制,同樣也支持分頁機制。這意味著地址解析會變得更加復雜。在實模式中,我們只需要在段地址上添加一個偏移地址便獲得一個直接與物理內存對應的地址值。在保護模式中,處理器要求在相應的位置加載特定的數據結構。此外段地址和偏移地址對,可能不再直接對應物理地址,好吧,讓我們繼續下面對內容...
保護模式下的分段機制
對Intel平臺上的分段機制理解的最好方法是圖片示例,來解釋它是如何實現的。一幅好的圖例,勝過長篇大論,對于這本問題,尤其如此。所以請認真仔細的看下圖1.9,并跟圖1.8做下比較。你也可以將圖1.9收藏起來,當你想看的候可以隨時看到它。
圖1.9
首先注意到保護模式中,使用了圖1.2中所有的完整Pentium寄存器。是的,我們又回到32位寄存器了。同樣,段地址寄存器不再存儲16位的段地址值。而是保存段選擇器。段選擇器是一個16位的數據結構,它包含三個字段。它的組成形式如圖1.10所示。真正重要的字段是索引(index)字段。索引字段存儲了一個描述符表的索引。索引值由0開始。
圖1.10
注釋:索引字段在段選擇器中不是地址值。它跟你在C語言中訪問數據元素時使用的索引類似。處理器取得索引值,并通過內部必要的計算將該索引值與該索引值對應的線性地址匹配。注意我這里說的線性地址(linear address),不是指物理地址。此時(保護模式下的分段),線性地址和物理地址是一致的,當啟用分頁機 制以后,它們就不一致了,記住這一點。
描述符表是一個入口數組,數組中每個入口(稱之為段描述符)描述對應內存段的相關屬性。段描述符中包含它所描述內存段的基地值。32位的偏移地址加上段描述符的基地值用以指定內存字節的內存地址。有兩種描述符表:全局描述符表(Global Descriptor Table -- GDT)和局部描述符表(Local Descriptor Table--LDT)。所有的操作系統必須具備一個GDT,但是具備一個可配置多個LDT。通常,如果一個LDT被使用,它將用于標識內段段所屬的進程。GDT的基地址保存在GDTR的系統寄存器中。同樣,LDT的基地值保存在LDTR寄存器中。當然,還有一些特定的系統指令用于裝載這些值(例如,LGDT和LLDT指令)。
注意:本書中討論的大部分操作系統都集中于使用GDT而且很少使用LDT(即使有使用LDT的地方)。
GDTR的大小為48位。GDTR有一個很明顯的特點是,它存儲兩個不同的值。第一個大小為16位的值,用于保存GDT大小,單位是字節。另一個32位的值,用于存儲GDT在物理內存中的線性基地址。如圖1.11
圖1.11
問題:1.處理器如何映射一個段選擇器的索引到一個段描述符上呢
答案:處理器從段選擇器取得其指定的索引值,將該值乘以8(因為段描述符是64位的緣故,所以該值要為8字節)然后將結果加上由GTDR或者LDTR提供的基地址值。
注釋:當你在看圖1.2時,或許對另外兩個內存管理寄存器產生了疑惑,其實我并沒有忘記它們。它們對于我
們的討論話題來說并不如GDTR和LDTR這樣重要。IDTR寄存器和IR寄存器是用于管理硬件中斷和多任務的。本
書集中討論內存管理,所以不會對此類寄存器做更深入的討論。如果你對它們有興趣,我建議你去選一本我
在本章末尾提供的相關Intel的手冊資料
之前我提到過的 段描述符存儲著它所描述的內存的線性基地址。然而,段描述符同樣保存著其他完整的元數據。圖1.12更好的展示了在一個段描述符中陳列的內容。在該圖中,我將64位的描述符切分為兩個32位大小。高階部分位于低階部分的頂部。
圖1.12
在這個段描述符64位值中打包了大量信息。正如你所看到的,有些字段被分開存儲在描述符的不同位置。在圖1.11中或許有兩個字段沒有明顯標出。首先是SS標志,它標識描述符對應的內存段是系統內存段還是普通的代碼/數據段。系統段,或許看到這個名詞,你在抓頭皮了,系統段是用于提供中斷處理和多任務服務的。我不會介入這些話題。
注意:在接下來的某些部分你會看到大量的1-bit的標志。這里預先說明一下,以供后面參考。當bit標志為1的時候,它表示被置位,當bit標志為0的時候,它表示被清除。底層的操作系統代碼涵蓋大量基于bit的操作。沒有其他方法。使用高級語言的工程師們總是輕視這類底層代碼的工程師。他們稱這些人為bit-bashers或者bit-twiddlers。程序員真是很命苦呀。
假定SS標志被置位,描述符中4位類型的字段描述內存段的特定屬性:
表 1.1
|
Bit 位
|
Type類型
|
Description 描述
|
|
11
|
10
|
9
|
8
|
|
0
|
0
|
0
|
0
|
data
|
read-only
|
|
0
|
0
|
0
|
1
|
data
|
read-only, accessed
|
|
0
|
0
|
1
|
0
|
data
|
read-write
|
|
0
|
0
|
1
|
1
|
data
|
read-write, accessed
|
|
0
|
1
|
0
|
0
|
data
|
read-only, expand down
|
|
0
|
1
|
0
|
1
|
data
|
read-only, expand down, accessed
|
|
0
|
1
|
1
|
0
|
data
|
read-write, expand down
|
|
0
|
1
|
1
|
1
|
data
|
read-write, expand down, accessed
|
|
1
|
0
|
0
|
0
|
code
|
execute-only
|
|
1
|
0
|
0
|
1
|
code
|
execute-only, accessed
|
|
1
|
0
|
1
|
0
|
code
|
execute-read
|
|
1
|
0
|
1
|
1
|
code
|
execute-read, accessed
|
|
1
|
1
|
0
|
0
|
code
|
execute-only, conforming
|
|
1
|
1
|
0
|
1
|
code
|
execute-only, conforming, accessed
|
|
1
|
1
|
1
|
0
|
code
|
execute-read, conforming
|
|
1
|
1
|
1
|
1
|
code
|
execute-read, conforming, accessed
|
已訪問內存段是指最近被訪問過的內存段,所以這些內存段描述符位于8bit上的標志被置位。‘Expand down’ 段用于創建堆棧,因為這些段支持內存堆棧創建,創建由高端內存向低端內存延伸(故名Expand down段)。‘Conforming code’段允許較低權限的代碼段跳轉進來,并以允許這些代碼以較低的權限在該段內運行。
具備安全意識到系統工程師會適時的發出警告,謹慎對待當他們處于允許操作系統內存段設置為Conforming code’段時的環境的時。
問題:1.好了,我們明白了這些內存段的分類和段描述符中存儲的元數據的種類。那么這些內存段是如何被保護的呢
答案: 原來是,段選擇器和段描述符包含大部分用于實現保護方案所需的大量信息。處理器充分的利用了這些元數據信息跟蹤內存訪問的違規行為。例如,段描述符里的大小限定字段用于保存內存段內存引用的起始位置到結束位置。同樣段描述符內的類型字段確保該內端段指定為只讀不能寫入。處理器利用段選擇器和段描述符內的權限字段防止非法的可執行代碼或者非法數據獲得較高權限。
注釋:這點很容易混淆--0x00是最高權限,雖然它是最小的數
權限級別是操作系統用于防止用戶應用程序操縱內核文件并危及系統安全。在實模式的討論中,你見過使實模式系統被破壞和崩潰是如何的簡單。我只是在中斷向量表上跳了一小段華爾茲并擦除了里面的數據。在保護模式中,這樣的威脅,已經被化解了。重要的數據結構和操作系統代碼可以在硬件層得到很好的保護。
Intel平臺支持四種不同的權限級別(0-3)。另一種說法是Intel支持四種保護環。這些保護環如圖1.13所示。這是到目前以來涉及內存保護到結構中極其簡潔的一種了。很多年前當Control Data在編寫NOSVE操作系統的時候,系統構架師想要15個內存保護環!同時代古怪的事情類似Linux和Windows,它們只實現了兩個內存保護換(一個給系統內核,另一個給系統內核以外的所有部分)。他們都沒有充分利用Pentium所提供的內存保護功能。
圖1.13 當一個內存被使用,處理器會執行一系列的檢查。這些檢查是在內存地址解析到它的實際物理位置中同時進行。因為這些檢查和地址解析并發執行在相同時鐘周期中,因此不會產生性能問題。將內存管理的任務交由硬件來完成真是再好不過了。如果處理器的某項檢查偵測到內存保護的非法操作,處理器會產生一個異常。異常是由處理器發出的一個信號。處理器的各種中斷處理功能會捕獲并且處理這些異常。詳細的過程已經超出了我們的話題。籠統的來說,處理器利用特定的數據結構——類似中斷描述符表(IDT),將異常轉交給操作系統,由操作系統來決定采取何種處理方式。當操作系統啟動時候,它有負責為處理器進行類似IDT的初始化和設置工作。這使得操作系統可以自由的在IDT注冊特定的處理程序,當發生非法內存操作的時候,相關的處理程序能夠被調用。 當Windows中發生一個內存異常時,一個典型對話框會出現,提示非法內存訪問,并且Windows會終止你的程序,如果想知道我所要表達的意思,那就在Windows編譯并且運行下面的代碼:
* --overflow.c-- */
#include<stdio.h>
void main()
{
int array[4];
int i;
for(i=0;i<100;i++)
{
array[i]=i;
printf("set array[%d]=%d\n",i);
}
return;
}
上面的代碼中有一個明目張膽的數組越界。當你運行這個程序時,程序會崩潰,Windows會顯示一個如圖1.14中所示的對話框。如果你以前還沒有見過這樣的對話框,好好看看吧。如果你在Windows上進行某種大量指針相關的程序開發,你遲早會看到它。
圖1.14
我沒有對控制寄存器說太多。跟目前這部分內容最相關的寄存器是是CR0寄存器。我們會在下一部分看到另一對寄存器。CR0寄存器的第一位(最低順序位)被稱為PE標志位(作為保護模式開啟的標志)。通過將PE標志位置1,我們將處理器切換至保護模式開啟所有我們前面討論的段保護機制。下面是一個完成這個關鍵工作的匯編代碼的片段
如果分頁還沒有被啟用,由圖1.9中的結構所生成的最終地址同樣也是物理地址,該地址值與處理器放置到它的32位地址線的值是相同的。如果啟動了分頁,情況不會再是這樣,引導我們進入下一個部分:保護模式下的分頁機制。