首页 > 代码库 > [转载]segmentation 情景分析
[转载]segmentation 情景分析
用户程序 A 君,是某酒店公寓的新住户,该公寓有若干层,每层有若干寓所,还包括公用的日用百货仓库间,会所等公共设施,是一座自助式的电子化的公寓大厦。
这一天是用户程序 A 君,新入住公寓的日子,管理员 OS 交给了 A 君自己寓所的电子门匙,A 君要凭这条电子门匙在公寓的管理系统里找到自己的寓所。
5.1、寻找 room 的 key:segment registers 和 selectors
----------------------------------------------------------------------------------------
OS 载入用户程序 A,A 从 OS 里接过控制权,A 找到自己的执行代码然后跳转到自己的代码执行,OS 通过 call 跳转到用户程序 A 执行。
----------------------------------------------------------------------------------------
(1)用户程序 A 君从管理员 OS 接过属于自己的 key,A 君用这把电子门匙在公寓管理系统的检索模块进行验证,管理系统正在验证匹配中... ...
电子门匙内部是一块芯片,芯片存储着这条 key 对应的寓所的相关信息。管理系统从这条电子门匙中读取信息... ...
5.1.1、开启 room 的 key: segment registers(CS、DS、SS、ES、FS & GS)
segment registers 事实上就是这把电子门匙,不过 segment registers 仅仅是个载体,即:segment registers 是存储相关的 descriptors 信息的载体,光有载体而失去里面的 descriptors 信息,这把门匙等于是没用。 |
segment registers 是个 16 位宽的 registers,segment registers 里装载的是 selector 以及相应的 descriptors 信息。x86 体系使用分段式的内存管理机制,将线性的内存区域分成若干个区域,这个区域的起始地址,区域的大小及相关的属性信息将用一个 descriptors(描述符)的结构存储起来。
5.1.2、 key 里的索引信息: selectors
前面已经提过,光有 segment registers 这个载体是不够的,这个载体首先要存储索引信息,这就叫做 selector。通过 selectors 索引子到出相关的描述段结构的信息 descriptors (描述符) |
看一看 selector 的结构:
16 位宽的 selector 分成三个域:
0000000000000 X XX
--------------- - ---
| | |
| | +------------> RPL (Requestor Privilege Level)
| |
| +------------------> TI ( Table Index)
|
+-----------------------------> SI (Selector Index)
RPL (Requestor Privilege Level):实际上 RPL 的作用是构建一个集线器部件。
TI ( Table Index):指引在 GDT 表还是在 LDT 中寻找 descriptors,0 --- GDT 1 --- LDT
SI (Selector Index):这是真正的索引子,这个域形成一个数值,在相应的 descriptor table 中接这个数值寻找。
情景提示: x86 的权限级别分为 0 ~ 3 级,共 4 个权限级别。对于 segment 级保护措施来说,0 级为最高权限级别,依次是1、2 级,最低是 3 级。 对于 page 级的保护措施来说,只有 2 个级别:0 ~ 2 属于 supervisor 级别,3 级则属于 user 级。 |
用户程序通过使用不同的 RPL 来访问不同权限的代码段:
+---------> selector A(0x11) -----+
| |
| |
user A ------------> +---------> selector B (0x10) -----| ----+
| | |
| | |
+----------> selector C (0x13) -----+ |
|
|
|
+------------------------+
|
|
|
V
--------------------------------------------------
code 3
--------------------------------------------------
code 2
--------------------------------------------------
code 1
--------------------------------------------------
code 0
selector A 是 0x11,表示: RPL = 1,TI = 0,SI = 2
selector B 是 0x10,表示: RPL = 0,TI = 0,SI = 2
selector C 是 0x13,表示: RPL = 3,TI = 0,SI = 2
code 3 ~ code 0 分别是运行在权限级别为 3 ~ 0 的代码
这 3 个 selector 都是在 GDT 表上索引第 2 个 descriptor,所不同的是各自使用了不同的请求权限。
若当前 CPL = 2:
(1) 用户代码 A 可以使用 selector A 和 selector B 通过 call/jmp 来访问 code 2 ,效果是完全一样的。
(2) 用户代码 A 可使用 selector A、selector B 以及 selector C 通过 3 级的 gate 来访问 code 0 与 code 1 代码。
(3) 用户代码不能使用这 3 个 selector 来达到访问 code 3 代码。
使用同样的 descriptor index 但使用不同 RPL 的 selector 达到访问不同权限级别的代码。
特别的 selector: NULL selector
当 TI = 0,意味着将 GDT 寻找到 descriptor,当 RPL = 0 以及 SI = 0 时,即 selector 等于 0 时,这是一个特别的 selector,被称为 NULL selector。
NULL Selector: 在 GDT 表的第一个 entry,即索引为 0 的第 1 个 descriptor,这个 descriptor 是个无效的不可用的 descriptor,设计这样一个 selector 的目的,是防止 0 值被加载到 CS 和 SS。 当一个 0 值被加载到 CS 和 SS 时,将会产生 #GP 异常。 |
实际上,当 SI = 0、TI = 0 时,但 RPL 不等于 0,即 0x00 ~ 0x03 的 descriptors 也是 NULL selectors ,这样的 Null Selector 被加载到 CS 和 SS 同样会产生 #GP 异常。
5.1.3、 descriptor 的载体: segment register
前面已经提到:segment registers 相当于 key,而这把 key 内信息才是最重要的,才是最终的目的。
segment register 的结构:
segment register 在物理上分为 2 部分:用户可见的 selector 部分和用户不可见的隐藏部分,用户可见的 selector 为 16 位宽,这个 selector 就是被加载进 segment register 的 selector。 隐藏部分仅对 processor 可见,这部分存储着被加载的 descriptor 信息,包括:base、limit 以及 attribute 部分。 |
base 是 64 位宽,但在 x86 下 base 高 32 位不可用,意即为 32 位宽。limit 固定为 32 位宽,在 x64 下 limit 是无效的, limit 仅在是可用的,所以 limit 固定为 32 位。
接下来,attribute 推测为 16 位宽,Intel 和 AMD 都没明显说明 attribute 是多少。
descriptor 的载体:
当 selector 加载进 segment registers,processor 根据 Selector.TI 在 GDT 或者 LDT 搜索对应的 Descriptor,将 Descriptor 的相应部分加载到 segment register 的隐藏部分。 |
以 CS 为例:
当 selector 0x13 被 load 到 CS,Selector.TI = 0、Selector.SI = 2,那么 processor 在 GDT 中寻找第 2 个 descriptor,当通过了权限检查后,这个 descriptor 的 base、limit 及 attribute 被相应加载到 CS.base、CS.limit 及 CS.attribute 域。CS.selector 保持不变。
情景提示: 在实模式下,相关的保护模式的数据结构不可用,descriptors、GDT 等数据结构是不存在的。当 selector 0x13 被 load 到 CS 时,processor 作如下处理: CS.base = selector << 4,selector 左移 4 位加载到 base 域,即 base 变成了 0x00000130,Selector.RPL 及 Selector.TI 是不可用的。 |
这就是实模式分段管理模式的典型内存寻址:段寄存器左移 4 位 + offset。
有一点值得注意的是:
descriptor 里描述的 limit 只有 20 位宽,在加载到 segment register 里时,limit 被扩展到 32 位宽后再加载到 segment register 里。
具体的扩展措施是:descriptor 的 G 标志位代表粒度,G = 1 表示 limit 域的粒度为 4K (4096 bytes),G = 0 表示 limit 域的粒度为 1 byte。因此 G = 1 时:32 位 limit = 4096 * limit + 0xFFF,G = 0 时:32 位 limit = 1 * limit。
5.2、 descriptors 是怎样描述 segment 信息的?
descriptors 描述符,顾名思义就是描述 segment 相关信息的数据结构,定义了 segment 的基址,长度、类型及相关属性。不同类型的 descriptors 有不同的意义。
总体上有 2 种类型的 descriptors:user 描述符和 system 描述符。由 descriptors 结构的 S 标志位指出。user 描述符就是指基本的 segment descriptors,system 描述符包括有 LDT descripts、TSS descriptors 和各种 Gate descriptors。
5.2.1、理解 descriptors 结构是很容易的,基本上 descriptors 结构描述的无非就是以下几个信息:
(1) segment 的基址,即 base
(2) segment 的长度,即 limit
(3) segment 的类型,即 S(System 标志位)。
(4) segment 的具体类型,在确定 descriptors 是 System 还是 user 后,还要定义具体的类型,如:code segment / date segment、LDT / TSS 还是 Gate(什么类型的 gate)。
(5) segment 的属性,接下来就是 descriptors 相关的属性,如:G(粒度标志位)、D/B(缺省 operand)、L(long mode)等
(6) 最后就是访问该 segment 的权限,即 DPL(Descriptor Privlilege-Level)
下面是 x86 下的 segment descriptor 结构:
例 5.2.1.1
struct x86_descriptor_struct { /**** descriptor 的前 4 字节 ****/ int limit_lo : 16; /* low 2 bytes of segment limit */ int base_lo : 16; /* low 2 bytes of segment base */ /**** descriptor 的后 4 字节 ****/ int base_3rd : 8; /* 3rd byte of segment base */ int type : 4 ; /* descriptor type */ int S : 1; /* System flag bit */ int DPL : 3; /* Descriptor Privilege Level */ int P : 1; /* persent bit */ int AVL : 1; /* avallable bit */ int limit_hi : 4; /* hight one byte of segment limit */ int L : 1; /* x86: reserved bit, x64 : L bit : long bit */ int D : 1; /* Default bit */ int G : 1; /* Granularlty bit */ int base_hi : 8 /* hight one byte of segment base */ }; |
5.2.2、descriptor 结构的 size
这个也很好理解:
(1) base 是 32 位
(2) limit 是 20 位(前面已经说过 descriptors 结构里的 limit 域是 20 位)
(3) S 标志位占 1 位 加上相关的属性及类型
相信已经道结果了:x86 下的 descriptors 结构是 8 个字节,即 64 位,因为 base 已经是 4 个字节了,加上 limit 及其它域就是 8 个字节。这样 descriptors 结构是 8 bytes 边界对齐的。
那么,在 x64 的 long mode 下情况稍有些复杂:
(1)由于 long mode 下采用了单一内存管理模式,有效地屏蔽了 segmentation 分段机制的内存管理模式,base、limit 及相关的属性都是无效的,因此,在 long mode 下,user 描述符,即 segment descriptors 结构依旧是 8 bytes 长。
(2)对于 System 描述符,由于 base 需要指出具体值,因此,long mode 下,System 描述符是 16 bytes 长的。典型的如:Call Gate descriptors 结构,需要指出具体 64 位的 offset 值 及 16 位的 selector 值,因此它是 16 bytes 边界对齐的。
5.2.3、 segment 的 base
x86 下的 descriptor 描述 segments base 是 4 bytes 32 位地址。前面提到过 x86 下 descriptors 结构是 8 bytes 64 位结构。
由例 5.2.1 可知,4 bytes 的 segment base 分布在 descriptor 的 8 bytes 空间里的第 3 字节 ~ 第 5 字节以及第 8 个字节,两部分组成 4 个字节。
在 x64 long 模式下的 segment descriptor 它的 base 是无效的,因此,它不描述的 segment base。
5.2.4、 segment 的 limit
同样,segment limit 仅在 x86 & x64 的 32 位环境中才有效,在 long mode 是无效的。前面已经提到:limit 在 descriptor 结构是 20 bit,它如何描述 segment 的 32 位长度呢?
(1)G =1: limit = 4096 * limit + 0xFFF
(2)G = 0: limit = 1 * limit
最终,形成的 32 位的 limit 会被加载到 segment register 的 limit 域里。
5.2.4.1、processor 是怎样检查 segment 的 limit
对于 CS 来说,它描述的 segment 是 Expand-Up 类型的。那么,对于 Expand-Up 类型的 segment 来说,检查 limit 是否超限相对简单。
情景提示: 当 G = 0 时:segment 的范围是:base ~ base + limit 当 G = 1 时:segment 的范围是:base ~ base + limit * 4096 + 0xFFF |
这里有 2 个比较特殊的情况:
(1)、当 G = 0 时,若 limit = 0,那么 segment 的宽度是 1 byte,segment 范围是:base ~ base + 1
(2)、当 G = 1 时,若 limit = 0,那么 segment 的宽度是 0xFFF, segment 范围是:base ~ base + 0xFFF
对于描述 Expand-Up 类型的 segment descriptor,它描述的 segment 的宽度是在粒度内,因此:当 G = 0 时,segment 的宽度 1 byte,而 G =1,segment 宽度是 4095,也就是 0xFFF。
5.2.4.2、 下面解释一下为什么 G = 1 时要加上 0xFFF 这个值
以 descriptor 20 位的 limit 饱和时:limit = FFFFF 为例,若 G = 1,那么此时,它是描述饱和的 32 位空间,即 4G 空间。
看一看:
limit = 4096 * limit = 1000h * limit,也就是 limit << 12 结果是:FFFFF000,此时的还不足描述 4G 空间,因此必须加上 0xFFF 这个值,类似补码的特征。
此时:FFFFF000 + FFF = FFFFFFFF 这就能表示完整的 4G 空间。
5.3、 descriptors 存放的地方:descriptor table
没错!若干个 descriptors 存放在一个连续的空间,形成数组形式的结构,这个数组就被称为 descriptor table。以前面例 5.2.1.1 定义的 descriptor 结构来说,那么,descritptor table 结构就是这样的:
descriptor table 结构:
struct x86_descriptor_struct dtable[n]; /* descriptor table 结构*/ |
上面定义了 descriptor table 结构。
5.3.1、 descriptor table 的类型
有三种类型的的 descriptor table:GDT(Global Descriptor Table)、LDT(Local Descriptor Table)以及 IDT(Interrupt Descriptor Table)。这三种 descriptor table 能容纳的 descriptors 类型是不同的。
GDT 容纳所有类型的 descriptors,包括:segment descriptor(code segment & data segment)、system descriptors(LDT descriptor、TSS descritpor、所有的 gate descriptor)。
LDT 容纳 segment descriptor 以及 gate descriptor。
IDT 仅容纳 interrupt gate descriptor、trap gate descriptor 和 task gate descriptor,但不包含 call gate descriptor。
5.3.2、 descriptor table 的容量
descriptor table 的 base 存储在相应的 descriptor table register 中:
(1) GDT base 存放在 GDTR 中
(2) LDT base 存放在 LDTR 中
(3) IDT base 存放在 IDTR 中
同时,descriptor table register 还存储着 descriptor table 的 limit 值。descriptor table 的 limit 值是 16 位,即值为:FFFFh。
情景提示: (1)selector 中有 13 位是表示 index 值,1111111111111b = 1FFFh = 8191,也就是说:index 的范围是 0 ~ 8191,共可以寻址 8192 个 descriptors。 (2)另一个角度来看:descriptor table register 中的 limit 是 16 位,值为 FFFFh,这是一个字节值。在 x86 下 descriptor 的 size 是 8 bytes,那么它容纳的 descriptors 数是: FFFFh / 8 = 1FFFh = 8191,也就是 FFFFh >> 3 = 1FFFh 刚刚好是:8191,这和 selector 中的最大可容纳的 index 值是一样的。 (3)在 x64 的 long 模式下,system descriptor 和 gate descriptor 是 16 bytes。那么,它能容纳的 descriptors 数是:FFFFh / 16 = FFFF >> 4 = FFFh = 4095,selector 仅能索引到 4095,若是 selector 的 index 为 4096 时将产生越界,引发 #GP 异常。 |
以 GDT 为例,加载 base 到 GDTR 的指令是 LGDT,指令形式是 LGDT dword ptr [dtr]。这个 dtr 地址处存放着 descriptor table 的 base 和 limit 值。低 16 位是 limit,高 32 位是 base 值。
-------------------------------------------------------------------------------
GDTR 与 GDT 构建成公寓的数据库系统,descriptors 是数据库里的数据信息。管理系统就是从 GDTR 与 GDT 里检索 seleoctor 为 0x1b 的 descriptor 数据信息。
在用户程序中使用了指令 call 0x1b:0x00401000 进行接收控制权,执行自己的任务... ...
5.4、 查找 descriptor
selector 0x1b 的结构是:
0000000000011 0 11
--------------- - --
| | |
| | |
| | +-------> DPL = 3
| |
| +----------> TI = 0
|
+------------------> SI = 3
使用这个 selector 的结果是:以 DPL = 3 的权限,在 GDT 中寻找编号为 3 的 descriptor,
gdtr.base = 0x800f3000 gdtr.limit = 0x3ff
这是一段截取 xp 启动时瞬间情况。
5.4.1、 查找 descriptor 的规则。
下面是 C 代码表示:
1、获取 descriptor table base
/* * 假如 selector 的 TI 为 0 时,在 gdt 中索引。 * 假始 selector 的 TI 为 1 时,则在 LDT 中索引。 */ if (selector.TI == 0) base = gdtr.base; else base = ldtr.base; |
2、索引 descriptor 地址
/* * 根据 selector 的 SI (索引值)在 base 索引。 * 索引因子是 sizeof(descriptor),x86/x64 的 segment descriptor 是 8 个字节的 * 所以,等于乘上 8 */ descriptor = base + selector.SI * sizeof(descriptor); /* base + SI * 8 */ |
从更高级的 C 语言层面来描述是:
struct x86_descriptor_struct descriptor_table[gdtr.limit]; /* 定义 descriptor table 结构 */
descriptor = descriptor_table[selector.SI]; /* 获取 descriptor 结构 */
5.4.2、 加载 descriptor
当获得相应的 descriptor 后,processor 会将 descirptor 信息加载到相应的 segment registers 中。
以下是默认的 descriptor 加载到相应的 segment registers 列表。
code segment descriptor -----> cs
data segment descriptor -----> ds
data segment descriptor -----> ss
data segment descriptor -----> ss
data segment descriptor -----> fs
data segment descriptor -----> gs
前面已经提过:segment registers 分部两部分,一个是可见的 selector 部分,另一个是仅对 processor 可见的隐藏部分。因此 descriptor 被找到之后,通过仅限及相关的检查之后,会被 processor 加载到 segment registers 的隐藏部分。
正如所料:
1、descriptor 的 selector 是 segment register 的 selector 域。
2、descriptor 的 base 被加载到 segment register 的 base 域。
3、descriptor 的 limit 被扩屋到 32 位后,加载到 segment register 的 limit 域。
4、最后 descriptor 的相关 attribute 加载到 segment register 的 attribute 域。
segment register 的 base、limit 以及 attribute 域构成 segment register 的隐藏部分。这部分信息在下一次加载之前是保持恒值的。使用同样的 selector 来获取数据,无须做多次的 segmentation 转换过程。
下面是 descriptor 的寻扯过程示意图:
base+SI*8
selector ----------> GDT -------------> descritptor -------> segment register
| TI = 0 ^
| |
| |
+--------> LDT --+
TI = 1
5.5、 Linear Address 的产生
selector : offset 这种形式的地址被 Logic Address(逻辑地址)。Logic Address(逻辑地址)和 Linear Adress(线性地址)都应该被称为 Virtual Address(虚拟地址)。Logic Address 经过 segmentation(分段机制)转换为 Linear Address。
逻辑地址中的 offset 值实际上也被称为 Effective Address(有效地址)。
Linear Address 的形式是:LA = base + offset 或表达为: LA = base + EA。 在 32 位的地址空间中,linear address 的表达范围是:0x00000000 ~ 0xFFFFFFFF 共 4G 的地址空间。在 64 位地址空间范围是:0x00000000_00000000 ~ 0xFFFFFFFF_FFFFFFFF。
如前所述:linear address 的 base 地址是由 selector 寻址 descriptor 获取。
因此:
Logic Address 形式中的 selector 索引到相应的 descriptor,从而获得 base 地址值,再加上 Logic Address 形式中的 offset 值,就产生了 Linear Address 。
下面是 Linear Address 产生的示例图:
selector : offset
------- ------
| |
| +------------------------------+--------------> linear address
| |
| |
+--------> descriptor ------> base ------+
当第 1 次加载 descriptor 后,在 selector 不变的情况下,linear address 的产生已经成为 cs.base + offset 或 ds.base + offset ...
[转载]segmentation 情景分析