存储器的保护（一）——《x86汇编语言：从实模式到保护模式》读书笔记18

本文是原书第12章的学习笔记。

说句题外话，这篇博文是补写的，因为让我误删了，可恶的是CSDN的回收站里找不到！ 好吧，那就再写一遍，我有坚强的意志。司马迁曰：“文王拘而演《周易》；仲尼厄而作《春秋》；屈原放逐，乃赋《离骚》；左丘失明，厥有《国语》；孙子膑脚，《兵法》修列；不韦迁蜀，世传《吕览》……”好了，不煽情了，进入正题。

第12章的代码如下。

1         ;代码清单12-1
2         ;文件名：c12_mbr.asm
3         ;文件说明：硬盘主引导扇区代码
4         ;创建日期：2011-10-27 22:52
5
6         ;设置堆栈段和栈指针
7         mov eax,cs
8         mov ss,eax
9         mov sp,0x7c00
10
11         ;计算GDT所在的逻辑段地址
12         mov eax,[cs:pgdt+0x7c00+0x02]      ;GDT的32位线性基地址
13         xor edx,edx
14         mov ebx,16
15         div ebx                            ;分解成16位逻辑地址
16
17         mov ds,eax                         ;令DS指向该段以进行操作
18         mov ebx,edx                        ;段内起始偏移地址
19
20         ;创建0#描述符，它是空描述符，这是处理器的要求
21         mov dword [ebx+0x00],0x00000000
22         mov dword [ebx+0x04],0x00000000
23
24         ;创建1#描述符，这是一个数据段，对应0~4GB的线性地址空间
25         mov dword [ebx+0x08],0x0000ffff    ;基地址为0，段界限为0xfffff
26         mov dword [ebx+0x0c],0x00cf9200    ;粒度为4KB，存储器段描述符
27
28         ;创建保护模式下初始代码段描述符
29         mov dword [ebx+0x10],0x7c0001ff    ;基地址为0x00007c00，512字节
30         mov dword [ebx+0x14],0x00409800    ;粒度为1个字节，代码段描述符
31
32         ;创建以上代码段的别名描述符
33         mov dword [ebx+0x18],0x7c0001ff    ;基地址为0x00007c00，512字节
34         mov dword [ebx+0x1c],0x00409200    ;粒度为1个字节，数据段描述符
35
36         mov dword [ebx+0x20],0x7c00fffe
37         mov dword [ebx+0x24],0x00cf9600
38
39         ;初始化描述符表寄存器GDTR
40         mov word [cs: pgdt+0x7c00],39      ;描述符表的界限
41
42         lgdt [cs: pgdt+0x7c00]
43
44         in al,0x92                         ;南桥芯片内的端口
45         or al,0000_0010B
46         out 0x92,al                        ;打开A20
47
48         cli                                ;中断机制尚未工作
49
50         mov eax,cr0
51         or eax,1
52         mov cr0,eax                        ;设置PE位
53
54         ;以下进入保护模式... ...
55         jmp dword 0x0010:flush             ;16位的描述符选择子：32位偏移
56
57         [bits 32]
58  flush:
59         mov eax,0x0018
60         mov ds,eax
61
62         mov eax,0x0008                     ;加载数据段(0..4GB)选择子
63         mov es,eax
64         mov fs,eax
65         mov gs,eax
66
67         mov eax,0x0020                     ;0000 0000 0010 0000
68         mov ss,eax
69         xor esp,esp                        ;ESP <- 0
70
71         mov dword [es:0x0b8000],0x072e0750 ;字符'P'、'.'及其显示属性
72         mov dword [es:0x0b8004],0x072e074d ;字符'M'、'.'及其显示属性
73         mov dword [es:0x0b8008],0x07200720 ;两个空白字符及其显示属性
74         mov dword [es:0x0b800c],0x076b076f ;字符'o'、'k'及其显示属性
75
76         ;开始冒泡排序
77         mov ecx,pgdt-string-1              ;遍历次数=串长度-1
78  @@1:
79         push ecx                           ;32位模式下的loop使用ecx
80         xor bx,bx                          ;32位模式下，偏移量可以是16位，也可以
81  @@2:                                      ;是后面的32位
82         mov ax,[string+bx]
83         cmp ah,al                          ;ah中存放的是源字的高字节
84         jge @@3
85         xchg al,ah
86         mov [string+bx],ax
87  @@3:
88         inc bx
89         loop @@2
90         pop ecx
91         loop @@1
92
93         mov ecx,pgdt-string
94         xor ebx,ebx                        ;偏移地址是32位的情况
95  @@4:                                      ;32位的偏移具有更大的灵活性
96         mov ah,0x07
97         mov al,[string+ebx]
98         mov [es:0xb80a0+ebx*2],ax          ;演示0~4GB寻址。
99         inc ebx
100         loop @@4
101
102         hlt
103
104;-------------------------------------------------------------------------------
105     string           db 's0ke4or92xap3fv8giuzjcy5l1m7hd6bnqtw.'
106;-------------------------------------------------------------------------------
107     pgdt             dw 0
108                      dd 0x00007e00      ;GDT的物理地址
109;-------------------------------------------------------------------------------
110     times 510-($-$$) db 0
111                      db 0x55,0xaa

1.设置堆栈段和栈指针

6         ;设置堆栈段和栈指针
7         mov eax,cs
8         mov ss,eax
9         mov sp,0x7c00

第7、8两行，你可能觉得有点怪异，但是这么写是可以的。关于原因，作者已经在书中说明了。

[bits 16]
mov ds,ax        ;8E D8

[bits 32]
mov ds,ax        ;66 8E D8

mov ds,eax       ;8E D8

以上代码每一行的注释是指令编译后产生的机器码。

对于某些老式的编译器，在编译“mov ds,ax”这条指令时，16位和32位的编译结果是不同的：在32位模式下，会添加前缀0x66（因为编译器认为源操作数AX是16位的，所以要添加0x66以反转默认操作数的大小）。

但是，如果添加了0x66，处理器在执行时就会多花去一个时钟周期，这样的指令又用得很频繁，所以不管是16位还是32位模式，它们被设计为相同的机器指令，都是8ED8，不需要指令前缀。可是某些编译器太固执了，它们依然会加上指令前缀0x66. 好吧，为了照顾它们，程序员想出了一个办法，就是用这样的形式：

mov ds,eax

你别说，还真的有效，果然生成了不加前缀的8ED8！

说到这里，NASM编译器还是非常优秀的，至少他不会那么固执。不管处理器模式怎么变化，也不管指令形式如何，以下代码编译后都是一个结果：

[bits 16]
mov ds,ax       ;8E D8
mov ds,eax      ;8E D8

[bits 32]
mov ds,ax        ;8E D8
mov ds,eax       ;8E D8

说了这么多，其实我就是把作者讲的内容又讲了一遍。不管你理解了没有，反正我是有点糊涂了。

因为刚开始的这段代码，是在16位模式下执行的，编译也是按照16位来编译的，所以按照16位的写法就可以了。以下这样写，简单明了。

7         mov ax,cs
8         mov ss,ax

反汇编后，生成的机器码如下：

可是，如果按照配书程序，那么反汇编后成了：

看到了吗，第一行多了前缀0x66，执行时会多用掉一个指令周期。

我个人认为，写代码用通俗的写法就好，能让人看懂的代码才是好代码。OK，这个问题就到这里，我们继续。

2.创建GDT

11         ;计算GDT所在的逻辑段地址
12         mov eax,[cs:pgdt+0x7c00+0x02]      ;GDT的32位线性基地址
13         xor edx,edx
14         mov ebx,16
15         div ebx                            ;分解成16位逻辑地址
16
17         mov ds,eax                         ;令DS指向该段以进行操作
18         mov ebx,edx                        ;段内起始偏移地址

106;-------------------------------------------------------------------------------
107     pgdt             dw 0
108                      dd 0x00007e00      ;GDT的物理地址
109;-------------------------------------------------------------------------------

第12行，就是把GDT的物理地址0x7e00传送到EAX，至于为什么给标号pgdt加上(0x7c00+0x02)，相信你已经明白了，如果不明白，看看我的图。

第13行到15行，其实是做除法运算，把物理地址分解为段地址和偏移地址： EDX：EAX / 16 = EAX（得到段地址） …EDX（得到偏移地址）

第17到18行，DS：EBX就指向了GDT的开头。

20         ;创建0#描述符，它是空描述符，这是处理器的要求
21         mov dword [ebx+0x00],0x00000000
22         mov dword [ebx+0x04],0x00000000
23
24         ;创建1#描述符，这是一个数据段，对应0~4GB的线性地址空间
25         mov dword [ebx+0x08],0x0000ffff    ;基地址为0，段界限为0xfffff
26         mov dword [ebx+0x0c],0x00cf9200    ;粒度为4KB，存储器段描述符
27
28         ;创建2#描述符，保护模式下初始代码段描述符
29         mov dword [ebx+0x10],0x7c0001ff    ;基地址为0x00007c00，512字节
30         mov dword [ebx+0x14],0x00409800    ;粒度为1个字节，代码段描述符
31
32         ;创建3#描述符，上面代码段的别名描述符
33         mov dword [ebx+0x18],0x7c0001ff    ;基地址为0x00007c00，512字节
34         mov dword [ebx+0x1c],0x00409200    ;粒度为1个字节，数据段描述符

第20~30行分别创建了3个描述符，相信大家都很熟悉了。需要说明的是33~34行，创建了一个代码段的别名描述符。这样做用意何在呢？

在保护模式下，代码段是不可写入的，所谓不可写入不是说改变了内存的物理性质，使内存写不进去，而是说通过代码段描述符访问对应的内存区域时，处理器不允许向里面写数据或者更改数据。

但是，如果非要修改代码段，有没有办法呢？有，那就是为该代码段建立一个新描述符，比如说可读可写的数据段描述符，这样，通过这个数据段描述符，我们就可以堂而皇之地修改代码段了。像这样，当两个或以上的描述符都指向同一个段时，把另外的那些描述符就成为别名描述符。

3.栈操作时的保护

36         mov dword [ebx+0x20],0x7c00fffe
37         mov dword [ebx+0x24],0x00cf9600

第36、37行安装了栈段描述符。用我们的小程序分析一下（参见数据段描述符和代码段描述符（二）——《x86汇编语言：从实模式到保护模式》读书笔记11），结果是：

-----------------------
seg_base = 0X7C00
seg_limit = 0XFFFFE
S =
1
DPL = 0
G = 1
D/B = 1
TYPE = 6
数据段: 向下扩展，可读可写

------------------------

得知，基地址是0x7c00，描述符中的界限值是0xFFFFE，G=1，是向下扩展的可读写数据段（一般作为栈段）。

有效界限（effective limit）

段的有效界限取决于G标志。

G=0：有效界限就是描述符中的界限值

G=1：有效界限 = 描述符中的段界限值* 0x1000 +
0xFFF

请牢记这个概念，因为我们会多次用到。

对于下扩（E=1）数据段，有效界限指定了段中最后一个不允许访问的偏移地址。

B=0：偏移地址的有效范围是 [有效界限+1，0xFFFF] ,为了叙述方便，这里用闭区间表示。

B=1：偏移地址的有效范围是 [有效界限+1，0xFFFF_FFFF]

如果要想访问向下扩展的栈段，那么SP或者ESP的值必须要在偏移地址的有效范围内。

结合本文的代码，seg_base = 0X7C00，seg_limit = 0XFFFFE，G = 1，于是有效界限是

0xFFFFE * 0x1000 + 0xFFF = 0xFFFF_EFFF;

那么偏移地址的有效范围是 [ 0xFFFF_F000, 0xFFFF_FFFF]

假设ESP的初始值为0，这时候执行 push eax, 请问合法吗？

分析：ESP先减去4，等于0xFFFF_FFFC,然后（假如合法）EAX的值会被写入 偏移为
0xFFFF_FFFC~0xFFFF_FFFF的四个存储单元，因为这些偏移值在有效范围内，所以没有问题。

假设ESP的初始值为1，这时候执行push eax, 请问合法吗？

分析：ESP先减去4，等于0xFFFF_FFFD,然后（假如合法）EAX的值会被写入 偏移为
0xFFFF_FFFD~0xFFFF_FFFF，0x0000_0000的四个存储单元，因为偏移0不在有效范围内，所以会引发异常。

在Bochs中模拟这种情况，我们发现CPU重启了。

对于POP指令，也是这个道理。

假设ESP的初始值为0xFFFF_FFFC，这时候执行 pop eax, 请问合法吗？

分析：如果合法，那么偏移为
0xFFFF_FFFC~0xFFFF_FFFF的四个存储单元中的内容会传送到eax，之后ESP+4=0；显然0xFFFF_FFFC~0xFFFF_FFFF是有效的偏移，所以允许执行。如下图：

假设ESP的初始值为0xFFFF_FFFD，这时候执行 pop eax, 请问合法吗？

分析：如果合法，那么偏移为
0xFFFF_FFFD~0xFFFF_FFFF，0x0000_0000的四个存储单元中的内容会传送到eax，之后ESP+4=1；显然其中0不是有效的偏移，所以不允许执行。如下图：

再回到我们的代码，因为ESP仅提供偏移地址，真正的物理地址 = 偏移地址 + 段基地址；所以，对于本代码中的栈，结合段基地址=
0x7c00，有效偏移地址= [ 0xFFFF_F000, 0xFFFF_FFFF]，所以

最低端有效物理地址 = 0x7c00 + 0xFFFF_F000 = 0x6c00（进位被丢弃）

最高端有效物理地址 = 0x7c00 + 0xFFFF_FFFF = 0x7BFF （进位被丢弃）

也就是说，当前程序定义的栈空间介于物理地址0x6c00~0x7bff 之间。大小为（0x7BFF- 0x6C00 + 0x01 =0x1000
）4KB;

4.修改段寄存器时的保护

54         ;以下进入保护模式... ...
55         jmp dword 0x0010:flush             ;16位的描述符选择子：32位偏移

57         [bits 32]
58  flush:
59         mov eax,0x0018
60         mov ds,eax
61
62         mov eax,0x0008                     ;加载数据段(0..4GB)选择子
63         mov es,eax
64         mov fs,eax
65         mov gs,eax
66
67         mov eax,0x0020                     ;0000 0000 0010 0000
68         mov ss,eax
69         xor esp,esp                        ;ESP <- 0

第55行，这条指令会隐式地修改CS；同样，会修改寄存器的指令还出现在58~68行（粗体部分）。

以上的指令涉及所有的段寄存器，当这些指令执行时，处理器把指令中给出的选择子传送到段寄存器的选择器部分（就是16位可见部分）。但是，处理器的固件在完成传送之前，会进行如下检查：

（1）检查索引号

要求：段选择子中的描述符索引 * 8 + 7 <= GDT（或LDT）的界限值

如果不符合要求，则产生异常13，同时段寄存器中的原值不变。

（2）检查描述符的类别

原书表12-1，我在这里绘制一份。

Y：表示允许

N：表示不允许

举例：SS只允许加载可读写的数据段。

另外，还需要注意：

• 代码段在任何时候都是不可写的
• 对于DS,ES,FS,GS,可以向其加载数值为0的选择子（但是访问时会导致异常）
• 对于CS和SS，不允许向其传送数值为0的选择子

（3）检查P位

如果P=0，表示描述符指向的段并不存在于物理内存中。此时，处理器中止处理，引发异常。

如果P=1，则处理器将段描述符加载到描述符高速缓存寄存器，同时置A位（仅限于当前讨论的存储器段描述符）

本博文的内容就到这里。第12章余下的内容，请参考存储器的保护（二）——《x86汇编语言：从实模式到保护模式》读书笔记19