Программирование процессоров Intel x86 в защищённом режиме
Исключения

Автор: sergh
The RSDN Group

Версия текста: 1.0

Мне и больно, мне и сладко, что он не такой как все

Сергей Чиграков

Приложение выполнило недопустимую операцию и будет закрыто

Microsoft Windows

Человеку свойственно ошибаться

Истина

Очередная особенность защищённого режима – важность исключений. В отличие от реального режима, в котором исключения используются довольно слабо, для ОС защищённого режима они важны так же, как и остальные виды прерываний, то есть исключительно важны. Уважающая себя ОС защищённого режима просто вынуждена корректно обрабатывать все возможные исключения. Причины три:

• Необработанные исключения приводят к краху системы, а этого (уважающая себя) ОС позволить не может (в реальном режиме обрушить систему настолько просто, что обработка исключений никак не покрывает потребностей в надёжности).
• Некоторые возможности, необходимые (уважающей себя) ОС, доступны только через механизм исключений (из описываемых в курсе – виртуальная память).
• Некоторые возможности, необходимые пользовательскому ПО, доступны только через механизм исключений (отладка, в курсе не описана). Поскольку разрешать пользовательскому ПО самостоятельно обрабатывать исключения (уважающая себя) ОС не может, разумно будет обрабатывать соответствующие исключения и предоставлять пользователям аналогичный сервис.

Глава начинается с абстрактных (не относящихся к конкретному процессору) размышлений на тему «Исключения: что, зачем и почему?», продолжается описанием реализации обработки исключений на базе Intel x86 и завершается примером программы, обрабатывающей исключение #GP.

Что, зачем и почему

Знаете, почему стиральная машина лучше персонального компьютера? Вот почему:

• Стиральная машина умеет стирать :)
• Большинство стиральных машин никогда не выполняют «недопустимую операцию».

И, если первая проблема решается разработкой соответствующих периферийных устройств, не представляет интереса и не рассматривается в курсе, то вторая напрямую связана с темой главы, зато, видимо, практически не решаема.

Завидная устойчивость стиральных машин к программным сбоям, связана не с тем, что они «проще» (это может быть не так, особенно если сравнивать с PC XT), а с тем, что они всегда работают по одному из нескольких предопределённых сценариев, и никогда не исполняют «пользовательское программное обеспечение». Примерно то же можно сказать и про холодильники, пылесосы, телефоны, автомобили и т.п.

В отличие от всей перечисленной техники, компьютеры задуманы относительно универсальными.

На компьютере исполняются самые разные программы, написанные ещё более разными людьми, имевшими совершенно различные цели (иногда – деструктивные) и квалификацию (часто – недостаточную). И ни кому из них процессор ни в коем случае не должен доверять слишком сильно. Что характерно, защищённый режим всё только усложняет: в случае работы под управлением многозадачной ОС, процессор должен доверять пользовательским программам ещё меньше, так как некорректное поведение одной программы ставит под угрозу не только её, но и все остальные запущенные программы.

Ошибки

Поскольку объекты «пользователь» и «процессор» обладают очень разными характеристиками, понятие «ошибка» для пользователя и для процессора – очень разные вещи. Поясняю на примере:

• Если написанный вами калькулятор на ввод «2+2» даёт ответ «5» вместо запланированного «4», то это ошибка с точки зрения пользователя. С точки зрения процессора всё нормально: программа состоит из корректных команд, каждую команду процессор в состоянии выполнить. А то, что эти команды в совокупности образуют неверный алгоритм, его абсолютно не волнует. Он же не знает, какой алгоритм верный.
• Если написанный вами калькулятор пытается вывести результат в файл «ответ.txt», а ваша любимая ОС не поддерживает русские буквы в именах файлов, и файл открыть не удаётся, то это ошибка с точки зрения ОС. Процессор ничего не знает ни про файлы, ни про буквы и, естественно, не считает это ошибкой.
• А вот если тот же самый калькулятор, работающий в защищённом режиме, попытается напрямую модифицировать собственный сегмент кода (писать такие калькуляторы гораздо интереснее), процессор окажется в сложной ситуации: программа пытается изменить read-only сегмент и, с одной стороны, этого делать нельзя, с другой стороны, что-то делать всё-таки надо. Это и будет ошибкой с точки зрения процессора.
• Но и это ещё не всё. Если такое поведение калькулятора и соответствующая реакция процессора предполагались пользователем заранее, то, с точки зрения пользователя, это не ошибка, всё идёт по плану.

Отсюда можно сделать два вывода:

• Для процессора «ошибка» это состояние, когда он по какой-либо причине не может выполнить текущую команду.
• Поскольку все остальные ситуации процессор ошибками не считает, их обработка остаётся на совести ОС и прикладного ПО. Процессор тут помочь не может, не зависимо от своей архитектуры: у него нет механизма, позволяющего отличить «правильную» программу от «неправильной».

Случилось страшное. Ну, и?..

Мама, мама, что мы будем делать,
Когда настанут зимние холода.

Из фильма «Кин-дза-дза»

Поскольку ошибки неизбежны, на них надо как-то разумно реагировать. Рассмотрим варианты (для определённости, предположим, что команда mov пытается писать в read-only сегмент).

[Лирическое отступление] Плохие варианты

а) Физическое самоуничтожение. В соответствии с кодексом чести самурая, процессор, не способный выполнить поставленную перед ним задачу, делает себе харакири (сеппуку, если получится). Без комментариев.

б) Автоматически перезагрузиться или, наоборот, зависнуть до аппаратного сброса. В некоторых ситуациях, такая реакция допустима для (почти?) любых процессоров. А какой-нибудь микроконтроллер вполне может «обрабатывать» так вообще все ошибки. Процессор компьютера общего назначения не должен использовать подобный подход слишком часто, так как пользователи хотят работать/играть/…, но уж точно не любоваться каждые пять минут на загрузку любимой ОС.

в) Выполнить команду. Во-первых, это не всегда возможно, например, не ясно, что делать при обращении к несуществующему сегменту. Во-вторых, непонятно зачем нужны ограничения, которые так просто обходятся.

г) Проигнорировать команду. Представьте себе, что в вашей программе некоторые ассемблерные команды иногда (не стабильно) просто не исполняются. И никому об этом не сообщают… И все последующие команды полагают, что всё в порядке… Сомневаюсь, что такой процессор завоюет популярность. В некоторых ситуациях такая стратегия обработки ошибок работает, но, видимо, процессоры – не тот случай.

д) Проигнорировать команду и выставить флаг ошибки. Несколько лучше… Но теперь после каждого mov придётся проверять, успешно ли он выполнился. Печально? Это ещё цветочки, ведь ошибка может быть не только в mov. Например, push и pop могут выйти за границу сегмента, call и jmp могут попытаться передать управление по «неправильному» адресу, и т.п. Фактически, придётся проверять все команды, кроме тех, которые имеют дело только с регистрами общего назначения (с прочими регистрами тоже не всё просто). В принципе, с учётом того, что сейчас большая часть кода генерируется компиляторами, это допустимый вариант. Но у него слишком много недостатков:

• При последовательном применении значительно увеличится размер кода, так как почти после каждой команды будет следовать проверка.
• По тем же причинам и примерно во столько же раз уменьшится скорость выполнения.
• Поскольку такие ошибки происходят относительно редко, большую часть времени проверки будут просто лишними.
• Ну, допустим, вы обнаружили, что предыдущая команда не выполнилась, и что дальше? В случае таких ошибок очень сложно вести себя разумно, а, скорее всего, уже всё, можно завершаться.
• Есть ещё и «меньшая часть кода», которую приходится писать руками.

е) Просто завершить процесс и переключиться на следующий (пусть у нас многозадачная ОС). Соблазнительно, но, во-первых, плохо, во-вторых, невозможно. Плохо, потому что некоторые ошибки всё-таки не фатальны. Плохо и невозможно, потому что, даже если ошибка фатальна, закрытие процесса должно сопровождаться некоторыми специальными действиями: освобождение занятых ресурсов, удаление процесса из списка запущенных процессов и т.п. Процессор «сам» не в состоянии это сделать, так как он ничего не знает ни про ресурсы, ни про списки, ни про любые другие структуры, которые может использовать ОС для управления процессами. Он даже не сможет корректно «переключиться на следующий».

Хороший вариант

Help me if you can, I'm feeling down
And I do appreciate you being round.
Help me, get my feet back on the ground,
Won't you please, please help me. 

John Lennon

Поскольку, как видите, сам по себе процессор практически не способен адекватно реагировать на ошибки, остаётся последний вариант:

ё) Обратиться за помощью к программисту. Примерно так:

• Вызывается некоторая зарегистрированная в системе подпрограмма.
• Этой подпрограмме как-то сообщается причина ошибки и, возможно, адрес ошибочной команды.
• Действия, предпринимаемые подпрограммой, оставляются на усмотрение программиста (обычно, программиста, писавшего ОС). Например, она может попытаться исправить ошибку и вернуть управление на начало той же команды, может передать управление куда-либо ещё, может завершить процесс.

Это называется обработкой исключений (exception handling), и именно этот прогрессивный подход используется в процессорах Intel x86, начиная с 8086. Поэтому особого выбора у разработчиков Intel 386 не было: обратная совместимость это святое. Но, конечно, защищённый режим всё расширил и углубил.

Смотрим шире

Понятно, что подобный алгоритм можно использовать в любой ситуации, когда необходимо прервать текущий поток выполнения и вызвать некоторый системный код. Можно выделить несколько частных случаев:

• Автор программы сознательно передает управление системе и выказывает своё желание явно. Это программное прерывание, вызывается обработчик прерывания (они были рассмотрены ранее, в главе «Программные прерывания»).
• Судя по коду, автор программы хотел передать управление, возможно, осознанно, возможно нет («опечаточка по Фрейду»). Это ошибка, вызывается обработчик исключения.
• Автор программы даже и не думал передавать кому-то управление, за него подумал другой программист, установивший соответствующее событие отладки (тема отладки в курсе не рассматривается, просто поверьте, что такое бывает). Отладочные события Intel относит к исключениям.
• Программа обращается к ресурсу, который в данный момент временно недоступен. При этом происходит ошибка, управление передаётся обработчику исключения, который подгружает нужный ресурс и возвращает управление на начало невыполненной команды. На этом принципе основана реализация виртуальной памяти, подробнее – в главе «Страничная адресация».
• Программисты не при чём, виноват разработчик аппаратуры. Это аппаратное (hardware generated) или внешнее (external) прерывание (interrupt), они рассмотрены в следующей главе.
• Разработчик аппаратуры не просто виноват, а сильно виноват – произошла аппаратная ошибка, которая привела к генерации исключения #MC (Machine Check), чуть более подробно оно описано ниже. Несмотря на аппаратное происхождение, Intel относит #MC именно к исключениям.

Всё это вместе, обычно, называется прерываниями (interrupts) и, соответственно, обработкой прерываний (interrupt handling). При этом аппаратные прерывания относят к отдельному классу (они будут обсуждаться в следующей главе), а всё остальное (обычно) называют исключениями.

Основы обработки исключений

К «основам» я отнёс то, что объединяет все типы исключений: базовую терминологию и общие сведения о регистрации/обработке.

Терминология Intel

Исключение (exception) это нештатная ситуация, вызванная обработкой текущей команды. Обычно это связано с невозможностью выполнить команду по причине некорректности самой команды, параметров, или состояния системных структур, но есть несколько специальных случаев (например, команды into, bound; подробнее – ниже). Говорят, что процессор генерирует (generate) исключение.

Подпрограмма, зарегистрированная в системе и вызываемая при возникновении исключения, называется обработчиком исключения (exception handler). В различных ситуациях процессоры Intel x86 генерируют различные исключения, в результате вызываются различные обработчики. Типы и причины исключений документированы, программисту остаётся только соответствующим образом написать и зарегистрировать обработчик.

Регистрация

Обработчики исключений регистрируются точно так же, как обработчики программных прерываний: в таблице дескрипторов прерываний, при помощи дескриптора шлюза ловушки. Для исключений в IDT предназначены дескрипторы с номерами от 0 до 31, кроме 2 (о нём – в приложении, в описании NMI).

Описание наиболее интересных, на мой взгляд, исключений приведено в таблице.

Обработчики

Обработчик исключения очень похож на обработчик прерывания: более-менее обычная подпрограмма, заканчивающаяся вызовом iretd (скорее всего, действия, выполняемые обработчиками, должны отличаться по смыслу, но сейчас это нас не касается). Некоторые отличия между обработчиками связаны с тем, что процессор их немного по-разному вызывает. К началу работы обработчика прерывания на вершине стека находится содержимое регистров CS, EIP и EFLAGS (по 4 байта на регистр, и того 12 байт). Это относится и к обработчикам исключений, но:

• Сохранённое в стеке значение CS:EIP не обязательно является адресом команды, следующей за командой, вызвавшей исключение. Наоборот, для большинства исключений там будет адрес именно той команды, которая привела к возникновению исключения.
• Некоторым исключениям в стеке передаётся ещё и четырёхбайтный код ошибки. Даже если обработчик не собирается анализировать этот код, он должен вытолкнуть его из стека, иначе iretd не сможет корректно вернуть управление.

Ещё одно отличие связано с тем, что возникновение программного прерывания, обычно, планируется программистом заранее, а возникновение исключения, обычно, нет. Поэтому «обычный» обработчик исключения не предполагает, что в регистрах программист передал ему какие-то дополнительные параметры. Но, конечно, никто не мешает вам написать «необычный» обработчик и использовать его «необычным» образом.

Классификация исключений

Есть люди у которых обращаются на Вы,
Есть люди у которых сто четыре головы,
Есть загадочные девушки с магнитными глазами,
Есть большие пассажиры мандариновой травы...  

Борис Гребенщиков

Выше, в разделе «Обработчики» описаны основные отличия обработчика исключения от обработчика программного прерывания. С технической точки зрения, именно они и являются основой классификации. Правда, к первому «отличию» (значение адреса возврата в стеке) мы подойдём с неожиданной стороны, так как оно является следствием общего признака классификации: существования трёх типов исключений

Fault

Fault-исключение генерируется процессором до начала выполнения команды. Поэтому:

• Эта команда ещё не успела изменить состояние регистров/стека/памяти.
• В частности, не изменилось значение EIP, и адрес, сохранённый в стеке, это адрес команды, вызвавшей исключение.

После возврата из fault-исключения (если обработчик не поменяет в стеке адрес возврата) процессор попытается ещё раз выполнить ту же самую команду. Это наиболее часто используемый вид исключений, практически в любой ошибочной ситуации процессор с неизменным оптимизмом предлагает «попробовать ещё разик».

Trap

Trap-исключение генерируется процессором сразу после исполнения команды. Соответственно:

• Команда уже изменила всё, что могла.
• В частности, изменилось значение EIP, и адрес, сохранённый в стеке, это адрес команды, следующей за командой, вызвавшей исключение.

К типу trap (на данный момент) относятся только исключения, вызванные успешно исполнившимися командами, например int 3 или into. Сюда же можно отнести и int n, то есть все программные прерывания. По каким-то причинам (видимо, особенности реализации) bound генерирует fault-исключение.

Abort

Abort-исключение генерируется процессором в самом крайнем случае: когда, с его точки зрения, восстановление и нормальная работа уже невозможны, и системе (ну, как минимум, задаче) остаётся только красиво уйти. Поскольку значение адреса возврата в стеке не определено, скорее всего, ОС придётся смириться с диагнозом процессора.

К счастью для разработчиков ОС, пользовательские приложения не способны самостоятельно вызвать abort-исключение. Причиной такого исключения может быть либо аппаратный сбой, либо ошибка в ОС, либо серьёзный недочёт в архитектуре/реализации ОС, дающий пользовательскому ПО лишние возможности.

Код ошибки

Он может либо присутствовать, либо отсутствовать. Это и является признаком классификации: к первой группе относятся исключения, которым в стеке передаётся дополнительная информация, ко второй группе исключения, обходящиеся адресом возврата.

Табличка

Описанные выше исключения классифицируются следующим образом:

И несколько комментариев к ней:

• Если вам кажется, что у всех старых исключений (с номерами меньше 8) кода ошибки нет, а у всех новых (с номерами от 8) – есть, то это не совсем так. Некоторые новые исключения тоже не имеют кода ошибки, просто они не попали в таблицу.
• Исключение #DB может оказаться fault- или trap-исключением, это зависит от того, какое отладочное событие произошло (т.е. какое условие сработало).
• Присутствие/отсутствие кода ошибки в стеке при вызове обработчика исключения #MC зависит от источника ошибки и модели процессора.

Всё вместе

- Каждому исключению – уважительное отношение и полноценную обработку!
- Ура!!!
... 
Из популистского выступления разработчиков ОС
на собрании процессоров.

Комбинируя признаки классификации, можно насчитать шесть типов исключений:

• Fault без кода
• Fault с кодом
• Trap без кода
• Trap с кодом
• Abort без кода
• Abort с кодом

Все они вызываются немножко по-разному, и все их можно было бы рассмотреть. Но, поскольку:

• Среди исключений, определённых разработчиками Intel, на данный момент отсутствуют trap-исключения с кодом ошибки.
• Обработчики trap-исключений без кода ошибки вызываются точно так же, как обработчики программных прерываний.

Рассмотрены только fault- и abort-исключения. Оговорки те же, что и в случае программных прерываний:

• Соответствующая ячейка IDT содержит именно дескриптор шлюза ловушки.
• Несколько условий, связанных с защитой. Если дескрипторы в GDT и IDT такие, как рекомендовано (то есть, в описанные части дескрипторов записано что-то разумное, для «пока неважных» частей взяты значения, приведённые в таблицах), все условия выполняются. Подробнее эта тема рассмотрена в главах, посвящённых защите.

Fault

Примерно так:

1. По номеру исключения в IDT отыскивается нужный дескриптор, из него извлекается селектор сегмента и смещение начала обработчика.
2. Проверяется корректность селектора (указывает на дескриптор в пределах GDT, это дескриптор сегмента кода, и т.п.) и смещения (попадает в сегмент).
3. В стеке сохраняются регистр EFLAGS и дальний указатель на команду, вызвавшую исключение.
4. [Для исключений с кодом ошибки] В стеке сохраняется код ошибки.
5. CS и EIP загружаются новыми значениями.
6. Начинается выполнение обработчика.
7. [Для исключений с кодом ошибки] Во время выполнения обработчик обязан вытолкнуть из стека код ошибки, иначе корректная передача управления обратно будет невозможна.
8. После своего завершения обработчик возвращает управление командой iretd.
9. Возврат к исходной программе. В регистры EFLAGS, CS и EIP загружается значение из стека, при этом происходит обращение к GDT и проверка корректности устанавливаемого селектора и смещения.

И на картинке, на примере исключения #GP:

Рисунок 1. Алгоритм вызова обработчика fault-исключения на примере General Protection.

Abort

Так как корректный возврат даже и не планируется, алгоритм упрощается:

1. По номеру исключения в IDT отыскивается нужный дескриптор, из него извлекается селектор сегмента и смещение начала обработчика.
2. Проверяется корректность селектора (указывает на дескриптор в пределах GDT, это дескриптор сегмента кода, и т.п.) и смещения (попадает в сегмент).
3. В стеке сохраняется EFLAGS и какие-то значения на месте адреса возврата.
4. [Для исключений с кодом ошибки] В стеке сохраняется код ошибки.
5. CS и EIP загружаются новыми значениями.
6. Начинается выполнение обработчика.

Соответствующая картинка:

Рисунок 2. Алгоритм вызова обработчика abort-исключения на примере Double Fault.

Случилось страшное. Ну, и?.. - II

Итак, процессор обнаружил ошибку, сгенерировал исключение, нашёл в IDT адрес обработчика и передал ему управление… ну и что с ним делать дальше? Допустим, понятно, как обрабатывать исключения, не являющиеся ошибками (в списке это #DB, #BP и #PF, соответственно нужно либо передать управление отладчику, либо подкачивать в память требуемую страницу), но что делать с остальными? Мы уже выяснили, что процессор «сам» не в состоянии справиться с обработкой и просит помощи у ОС, но ведь и ОС тоже далеко не всегда может предложить что-то разумное (например, что вы будете делать, если произошло исключение #DE?). Однако у ОС есть преимущества:

• Если ОС предоставляет пользователям некоторый интерфейс для обработки исключений, в большинстве случаев можно просто передать управление зарегистрированному пользователем обработчику. Обработчик по умолчанию будет, например, выводить сообщение и завершать текущий процесс (в отличие от процессора, ОС в состоянии справиться с такой задачей).
• Если исключение произошло в отлаживаемом приложении, можно передать управление отладчику и переложить ответственность за выбор решения на него.
• В крайнем случае, можно более-менее корректно завершить процесс.
• В самом крайнем случае, можно более-менее корректно завершить работу системы и перезагрузиться.

Программные прерывания vs. Исключения

Остерегайтесь подделок!

Поскольку обработчики исключений регистрируются в той же таблице и по тем же правилам, что и обработчики программных прерываний, выполнение команды int n с соответствующим значением n приведёт к вызову обработчика исключения (кстати, пример из главы «Программные прерывания», обрабатывающий нулевое прерывание – по совместительству исключение #DE, именно так и поступает). А, поскольку, (насколько я знаю) простого способа определить причину вызова изнутри обработчика не существует, скорее всего, обработчик примет всё за чистую монету.

Это была завязка. А теперь представьте, что пользователь вызвал обработчик #GP через int 13. Как вы помните, #GP это fault-исключение с кодом ошибки, то есть обработчик рассчитывает увидеть в стеке код ошибки, адрес вызвавшей исключение команды и EFLAGS. К сожалению, ожидания не оправдаются: процессор, обрабатывающий команду int 13 как программное прерывание (trap-исключение без кода ошибки), положит в стек только адрес следующей команды и EFLAGS. В результате:

• Если обработчик читает и как-то интерпретирует код ошибки, вместо кода ошибки он прочитает из стека значение EIP. И начнёт действовать в соответствии…
• Если обработчик читает и как-то интерпретирует предполагаемый адрес возврата из стека, он прочитает CS и EFLAGS вместо EIP и CS. Скорее всего, адрес будет просто некорректный (несуществующий сегмент или что-то подобное).
• Даже если обработчик ничего не читает и не интерпретирует, при возврате произойдёт сразу несколько интересных эффектов. Во-первых, вместо того, чтобы вытолкнуть из стека значение кода ошибки, обработчик вытолкнет из стека значение EIP. Во-вторых, если вызвать iretd сразу после этого, управление вернётся по адресу, состоящему из CS и EFLAGS (смещение – CS и два младших байта EFLAGS, сегмент – старшие байты EFLAGS). Скорее всего, адрес будет некорректным. В-третьих, даже если обработчик меняет адрес возврата по собственному разумению, стек будет испорчен (удалено лишнее слово), а в регистр EFLAGS окажется загруженным слово, лежавшее на вершине стека перед вызовом int 13 (это упрощение, что именно будет с EFLAGS – большой вопрос, подробнее см. главу «Защита: ввод-вывод»).

Так как обработчик #GP это часть ОС, скорее всего, всё это приведёт к падению системы. Печально? Это ещё что, ведь пользователь может вызвать int 8 и обработчик #DF, который просто завершит систему!

К счастью, разработчики процессора предусмотрели решение этой проблемы: дескриптор шлюза ловушки в IDT может запрещать пользователю явный вызов обработчика прерывания командой int n, но разрешать обработку соответствующего исключения (точнее, при генерации исключения проверка прав производиться не будет). При нарушении будет сгенерировано исключение #GP.

Подробнее эта тема рассмотрена в главе «Теоретическое введение в защиту».

Пример

Обработчик #GP

Программа устанавливает обработчик исключения #GP и генерирует соответствующее исключение при попытке изменить сегмент кода. Код полностью повторяет пример int0.asm из предыдущей главы, кроме следующих отличий:

• Обработчик регистрируется в 13-й ячейке IDT, соответствующей исключению #GP.
• Для генерации исключения используется не int n, а mov cs:[0], eax.
• Поскольку #GP – исключение с кодом ошибки, перед возвратом управления нужно удалить из стека значение кода ошибки. Это достигается командой add esp, 4.
• Поскольку #GP – fault-исключение, простой вызов iretd в конце обработчика вернёт управление на начало команды, вызвавшей исключение. Иногда это именно то, что нужно, но не в нашем случае – так как обработчик даже не пытается ничего исправить, повторное выполнение команды приведёт к повторной генерации исключения и программа попадёт в бесконечный цикл. Поэтому перед завершением обработчик меняет значение адреса в стеке: увеличивает сохранённый EIP на 5 – размер команды mov cs:[0], eax, с помощью которой было сгенерировано исключение.

; gpf.asm
; Программа, устанавливающая и вызывающая обработчик исключения #GP

        .model tiny
        .code
        .386p
        org     100h

;;;;;;;;;;;;;;;;;;;;;;;;;;;        
;
; Структуры
;
;;;;;;;;;;;;;;;;;;;;;;;;;;;

; Сегментный дескриптор
segment_descriptor struct
    limit_low   dw      0    ; Младшие два байта поля Segment limit
    base_low    dw      0    ; Младшие два байта поля Base Address
    base_high0  db      0    ; Второй байт поля Base Address
    type_and_permit db  0    ; Флаги
    flags       db      0    ; Ещё одни флаги
    base_high1  db      0    ; Старший байт поля Base Address
segment_descriptor ends

; Дескриптор шлюза
gate_descriptor struct
    offset_low  dw      0    ; Два младших байта поля Offset
    selector    dw      0    ; Поле Segment Selector
    zero        db      0
    type_and_permit db  0    ; Флаги
    offset_high dw      0    ; Старшие байты поля Offset
gate_descriptor ends

; Регистр, описывающий таблицу
table_register struct
    limit       dw      0    ; Table Limit
    base        dd      0    ; Linear Base Address
table_register ends

;;;;;;;;;;;;;;;;;;;;;;;;;;
;
; Код
;
;;;;;;;;;;;;;;;;;;;;;;;;;;

start:
        ; Подготавливаем DS
        push    cs
        pop     ds

        ; В es - начало видеобуфера. Можно было сделать то же
        ; самое средствами защищённого режима, но так проще
        push    0b800h
        pop     es

        ; Устанавливаем правильный сегмент в long-jmp-to-RM
        mov     ax, cs
        mov     cs:rm_cs, ax

        ; Прописываем адрес начала cs в качестве базового адреса сегмента
        call    cs_to_eax
        mov     dsc64kb.base_low, ax
        shr     eax, 16
        mov     dsc64kb.base_high0, al

        ; Сохраняем IDTR реального режима
        sidt    fword ptr old_idtr

        ; Запретили прерывания
        call disable_interrupts

        ; Инициализируем GDT
        call initialize_gdt

        ; Инициализируем IDT
        call initialize_idt

        ; Переключаем режим
        call set_PE

        ; 16-разрядный дальний переход. Перключает содержимое cs из нормального
        ; для реального режима (адрес) в нормальное для защищённого (селектор).
        ; Базовый адрес целевого сегмента совпадает с cs,
        ; поэтому смещение можно прописать сразу
        db      0EAh   ; код команды дальнего перехода
        dw      $ + 4  ; смещение
        dw      8      ; селектор

        ; В данный момент сегмент кода - 64 Кб, базовый адрес равен
        ; адресу сегмента кода до переключения в защищённый режим.

        mov cs:[0], eax ; Вызываем обработчик исключения

        call clear_PE

        ; Мы в реальном режиме, осталось разобраться с
        ; значением регистра cs

        ; 16-разрядный дальний переход. Перключает содержимое cs из нормального
        ; для защищённог режима (селектор) в нормальное для реальног (адрес).
        ; Адрес сегмента вычисляется и прописывается во время выполнения.
        db      0EAh   ; код команды дальнего перехода
        dw      $ + 4  ; смещение
rm_cs   dw      0      ; сегмент

        ; восстанавливаем IDTR реального режима
        lidt    fword ptr old_idtr

        ; разрешаем прерывания
        call enable_interrupts

        ret

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;
;; Обработчик прерывания
;;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

; Обработчик исключения #GP, меняет символы и их атрибуты по всему экрану,
; Перед завершением увеличивает адрес возврата в стеке 
; на размер команды mov cs:[0] (5 байт)
gpf_handler:

        ; В данный момент, в стеке:
        ; esp +  0 - error code
        ; esp +  4 - EIP
        ; esp +  8 - CS
        ; esp + 12 - EFLAGS

        push   eax
        push   ecx

        mov    eax, 0         ; Текущий символ
        mov    ecx, 80 * 25   ; Колическтво сиволов на экране

screen_loop:
        inc    byte ptr es:[eax]          ; Меняем символ
        inc    eax
        inc    byte ptr es:[eax]          ; Меняем атрибут
        inc    eax
        loop   screen_loop

        pop    ecx
        pop    eax

        ; Удаляем из стека код ошибки
        add    esp, 4             
        ; Добавляем к адресу возврата 5 – размер команды mov cs:[0], eax
        ; В результате возврат произойдёт на начало следующей команды
        add    dword ptr [esp], 5 

        iretd

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;
;; Данные
;;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

; Глобальная таблица дескрипторов
GDT     label byte
        ; Нулевой дескриптор
        segment_descriptor <>
        ; Дескриптор сегмента кода, размер 64 Kb
dsc64kb segment_descriptor <0ffffh, 0, 0, 10011010b, 0, 0>
        		; 10011010b - 1001, C/D - 1, 0, R/W - 1, 0
        		; 0         - G - 0, 000, Limit - 0
       		
; Данные для загрузки в GDTR
gdtr    table_register <$ - GDT - 1, 0>


; Таблица дескрипторов прерываний
IDT     label byte

        gate_descriptor <>  ;0 - #DE
        gate_descriptor <>  ;1 - #DB
        gate_descriptor <>  ;2
        gate_descriptor <>  ;3 - #BP
        gate_descriptor <>  ;4 - #OF
        gate_descriptor <>  ;5 - #BR
        gate_descriptor <>  ;6
        gate_descriptor <>  ;7
        gate_descriptor <>  ;8 - #DF
        gate_descriptor <>  ;9 
        gate_descriptor <>  ;10
        gate_descriptor <>  ;11
        gate_descriptor <>  ;12 - #SS

        ; 13 - #GP
        ; Дескриптор шлюза ловушки. 
        ; Обработчик исключения находится в сегменте, соответствующем первому
        ; дескриптору GDT. Поскольку базовый адрес сегмента такой же, как
        ; в реальном режиме, смещение обработчика тоже совпадает.
        gate_descriptor <gpf_handler, 8, 0, 8Fh, 0>

; Данные для загрузки в IDTR
idtr    table_register <$ - IDT - 1, 0>

; Место для IDTR реального режима
old_idtr table_register <>  

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;
;; Служебные функции
;;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

; Инициализирует IDT
initialize_idt:
        ; Вычисляем линейный адрес начала массива дескрипторов
        call    cs_to_eax
        add     eax, offset IDT
        ; Записываем его в структуру
        mov     idtr.base, eax

        ; Загружаем IDTR
        lidt    fword ptr idtr
        ret

; Инициализирует GDT
initialize_gdt:
        ; Вычисляем линейный адрес начала массива дескрипторов
        call    cs_to_eax
        add     eax, offset GDT
        ; Записываем его в структуру
        mov     gdtr.base, eax

        ; Загружаем GDTR
        lgdt    fword ptr gdtr
        ret

; Запрещает маскируемые и немаскируемые прерывания
disable_interrupts:
        cli              ; запретить прерывания
        in      al, 70h  ; индексный порт CMOS
        or      al, 80h  ; установка бита 7 в нем запрещает NMI
        out     70h, al
        ret

; Разрешает маскируемые и немаскируемые прерывания
enable_interrupts:
        in      al, 70h  ; индексный порт CMOS
        and     al, 7Fh  ; сброс бита 7 отменяет блокирование NMI
        out     70h, al
        sti              ; разрешить прерывания
        ret

; Устанавливает флаг PE
set_PE:
        mov     eax, cr0 ; прочитать регистр CR0
        or      al, 1    ; установить бит PE,
        mov     cr0, eax ; с этого момента мы в защищенном режиме
        ret

; Сбрасывает флаг PE
clear_PE:
        mov     eax, cr0 ; прочитать CR0
        and     al, 0FEh ; сбросить бит PE
        mov     cr0, eax ; с этого момента мы в реальном режиме
        ret

; Вычисляет линейный адрес начала сегмента кода
cs_to_eax:
        mov     eax, 0
        mov     ax, cs
        shl     eax, 4
        ret

        end     start

Задания

• Разные варианты нарушения работы примера: уберите из обработчика изменение адреса в стеке, уберите из обработчика удаление из стека кода ошибки, вызовите обработчик командой int 13, командой mov cs:[12345678h], eax.
• Возьмите программу int0.asm из прошлой главы, переименуйте её в de.asm и замените в ней команду int 0 на команды mov ax, 10, mov bx, 0 и div bl. Посмотрите, что получится. А теперь добавьте в обработчик команду mov bx,1.
• В обработчике #GP выведите на экран значения кода ошибки, EIP, CS и EFLAGS из стека. Где возможно – проверьте, что это именно они.
• Напишите программу, вызывающую из обработчика исключения программное прерывание.
• Напишите программу, генерирующую в обработчике исключения ещё одно исключение.
• Напишите программу, генерирующую при первом входе в обработчик исключения такое же исключение (храните количество входов в глобальной переменной или регистре, чтобы избежать вечного цикла).
• Переделайте пример gpf.asm. Во-первых, поменяйте mov cs:[0], eax на int 0 и измените в обработчике #GP размер команды на 2 (размер инструкции int 0). Убедитесь, что пример работает. Во-вторых, перепишите программу так, чтобы исключение возникало, но обработчик #GP исправлял ситуацию, возвращал управление, не меняя адреса, и вторая попытка проходила бы успешно. Например, исключение может возникать из-за того, что в нулевой ячейке IDT некорректный дескриптор, а обработчик #GP его исправляет.
• Попытайтесь сделать то же, что и во второй части предыдущего пункта, но вместо int 0 используйте деление на 0. У вас не должно получиться, так как не вызовется обработчик #GP, эта ситуация трактуется процессором как Double Fault и вызывается обработчик #DF. Не смотря на то, что «по правилам» адрес, сохранённый в стеке abort-исключения, не определён, в данной ситуации это будет адрес команды div, и исключение можно нормально обработать и вернуть управление. Ниоткуда из документации этого не следует, установлено опытным путём на одной конкретной машине, так что может и не воспроизвестись. Тем не менее, попробуйте. Подробнее про исключение #DF смотрите в приложении.