Программирование процессоров Intel x86 в защищённом режиме
Теоретическое введение в защиту

Автор: sergh
The RSDN Group

Версия текста: 1.0

Jah love, Jah love - protect us

Vincent Ford (performed by Bob Marley)
 
Ты должен быть сильным, 
Ты должен уметь сказать 
«Руки прочь, прочь от меня».
Ты должен быть сильным, 
Иначе зачем тебе быть.

Виктор Цой

Нет защиты, кроме любви.

Борис Гребенщиков

Если вы успешно дочитали курс до этой главы, то, во-первых, вас можно и нужно поздравить! Поздравляю! Во-вторых, скорее всего, вы уже понимаете, зачем нужна подсистема защиты – в каждой из предыдущих глав были ссылки приблизительно следующего вида: «чтобы всё было хорошо, пользователь не должен иметь возможность …, подробнее этот вопрос рассмотрен в главах, посвящённых защите». Что ж, пришло время выполнять обещания. Но сначала, как обычно, ещё немного о «зачем».

Зачем

- Ты хочешь поговорить об этом?

Собирательный образ психолога

Как вы могли заметить, все описанные до сих пор возможности более-менее повторяют реальный режим: память есть и там, прерывания и исключения – тоже. Защита – первое и решающее отличие. Да, я хочу поговорить об этом :)

Лирическое наступление

Не случайно режим называется «Protected» – защищённый. Не Advanced, не Extended, не Improved, и даже не ++ или #, а именно Protected. Защита – его соль и суть. Ради неё всё и затевалось, именно она склеивает воедино всё остальное, без неё не было бы ни современных ОС, ни современных приложений. И это притом, что защита не даёт каких-то невероятных новых возможностей, наоборот, она отнимает многие старые. Нелогично? Ну, например, можно провести аналогию с переходом от «макаронного» кода, изобилующего goto, к структурному программированию. Или с ассемблера на язык высокого уровня. Только наличие правильно заданных ограничений позволяет системе оставаться управляемой и стабильной, и, как следствие, развиваться и расти дальше.

«Старый» подход упёрся в свой потолок: при появлении многозадачности, графических интерфейсов и т.п., система «компьютер + ОС + запущенное ПО» становится слишком сложной, утверждение «программисты умные, всё будет в порядке» перестаёт работать, и, если других гарантий надёжности нет, всё начинает падать с удручающим постоянством.

Для примера, допустим, что вы всё-таки написали многозадачную ОС реального режима:

• Все приложения, включая вашу ОС, разделяют общее адресное пространство, доступное на чтение и на запись. Это имеет катастрофические последствия. Во-первых, ошибочная запись в память никогда не будет обнаружена непосредственно в момент записи – писать можно везде. Во-вторых, она может привести к краху совсем другого приложения или даже ОС, то есть невозможно не только отследить момент ошибки, практически невозможно отыскать её автора, некорректное приложение.
• Одновременно нескольким приложениям срочно понадобился принтер. Или модем. Или экран. Они все попытались управлять этими устройствами, получилось плохо. А теперь представьте, что им потребовался винчестер. Тут плохо будет всем, включая ОС и пользователя. И даже если ваша ОС предоставляет специальный сервис для корректного, синхронизируемого ввода/вывода, всегда найдётся программа, которая лезет напрямую… А её автор посмотрит на вас чистыми честными глазами и скажет: «Потому что так эффективнее». И он будет прав! Каждой части в отдельности ограничения обычно мешают. Но система в целом без них существовать не может.
• И конечно кому-то захочется убрать переключение процессов. Что бы время не тратилось на какие-то лишние программы, не им написанные… Что может быть проще – перехватил прерывание таймера и рули. Пользователь ОС будет в восторге, безусловно.
• Перехват прерываний это вообще дивная тема. Особенно если несколько программ перехватывают одно прерывание. Самое интересное начнётся, когда они будут выгружаться в неправильном порядке.

• И последний штрих – приложение «выполнило недопустимую операцию». В реальном режиме это, конечно, непросто, но, допустим, процессору встретился неизвестный код инструкции. То есть, генерируется исключение #UD. Вы, конечно, его перехватите, но что делать дальше? Выгружать приложение? А вдруг оно наставило обработчиков прерываний? А вдруг из-за этой же ошибки оно уже записало в общее адресное пространство что-нибудь плохое? В общем, нет никаких гарантий, что даже после успешной выгрузки приложения система будет работоспособна.

Согласитесь, так жить нельзя. Очевидны две проблемы:

• отсутствие принудительного централизованного контроля использования ресурсов (память, прерывания, ввод/вывод)
• возрастание сложности системы и связанное с этим повышение вероятности ошибки, при сохранении низкой устойчивость к ошибкам.

Классическим решением проблемы сложности является абстракция, в данном случае это отделение ОС от пользовательских приложений, и самих пользовательских приложений друг от друга. Кроме того, введение уровня абстракции над системными механизмами позволяет реализовать принудительный контроль ресурсов. В общем-то, этим и занимается защита – отделяет. В нашем случае это понижает сложность и одновременно повышает устойчивость (в грамотно написанной ОС приложение можно почти безболезненно выгрузить).

Так что защита в защищённом режиме играет одну из ключевых ролей. Пытаться абстрагироваться можно и без неё… Но только работать это не будет.

Виды защит

Описанный в предыдущих главах механизм управления памятью тоже относится к «необходимым ограничениям». Проверки существования дескриптора, типа дескриптора, размеров, разрешения чтения/записи, дают большую структурированность, в частности становится невозможно писать по случайному адресу. И в общем-то всё это тоже относится к защите, в том числе и с точки зрения Intel. Согласно терминологии Intel, система защиты в целом называется «protection» и все перечисленные выше проверки относятся к «просто protection» (это не термин). Но есть еще один раздел системы защиты, называемый privilege level protection (а это термин, он довольно неуклюже переводится на русский как «защита по привилегиям»), и именно ему посвящена эта и следующие главы.

Если проводить аналогии, то «просто protection» это стены, крыша и дверь дома, а privilege level protection – возможность запереть дверь на ключ. Если дверь не запирать, дом прекрасно защищён от ветра, снега и дождя, но практически не защищён от человека. С другой стороны, «возможность запереть дверь» сама по себе не существует и появляется только тогда, когда дом и дверь уже есть. Это некоторая дополнительная надстройка над существующими проверками, отделяющая тех, у кого есть ключ, от тех, у кого ключа нет. И, конечно, если у дома разваливаются стены, даже запертая дверь плохо поможет (в качестве примера: по непроверенным слухам, в ОС семейства Windows 9x IDT находится в области памяти, доступной на запись для обычных приложений).

Насущные проблемы

Но спустимся с небес к нашим баранам. Начнём со списка потребностей в защите, которые «всплыли» в предыдущих главах.

• Глава «Обзор защищённого режима»: переключение в реальный режим контролирует ОС, пользователь не может самостоятельно переключить режим (сбросить младший бит регистра cr0).
• Глава «Управление памятью: сегменты и дескрипторы»: управление памятью – задача ОС, пускать сюда пользовательские приложения нельзя. Пользователь не может создать «свою» GDT, то есть, ему запрещено выполнять инструкцию lgdt.
• Глава «Программные прерывания»: точно так же, как и в случае с lgdt, пользовательские приложения не имеют доступа к инструкции lidt.
• Глава «Исключения»: пользователь не может напрямую, через int n вызывать обработчики исключений, ОС регулирует, какие обработчики можно так вызывать, какие – нет.
• Глава «Внешние прерывания»: пользователь не может напрямую управлять ПКП.

Обобщая, получаем следующее:

• Нужно уметь отличать пользовательское приложение от ОС
• Некоторые инструкции пользовательским приложениям выполнять запрещено.
• Нужно уметь разделять ресурсы, к которым пользователю обращаться можно, и ресурсы, к которым пользователю обращаться нельзя (в данном случае – обработчики прерываний).
• Нужно уметь запрещать пользователю обращаться к заданным портам ввода-вывода. Причём список «опасных» портов не фиксирован, а запретить сразу для всех – слишком крутое решение.

Снова дескрипторы

Как вы помните, дескрипторы сегментов и дескрипторы шлюзов довольно сильно отличаются по формату. Единственное, что объединяет форматы абсолютно всех дескрипторов, это формат пятого байта (напоминаю, нумеруем байты от нуля). Рассмотрим его подробнее.

На картинке:

Рисунок 1. Формат пятого байта дескриптора.

С точки зрения защиты, ключевое поле – DPL, Descriptor Privilege Level. Название переводится как «уровень привилегий дескриптора», и очень точно отражает предназначение поля.

Уровни привилегий

Царь-царевич, 
Король-королевич, 
Сапожник, портной. 
Кто ты будешь такой?

Считалка

Процессоры Intel x86 поддерживают четыре уровня привилегий.

• 00b – 0-й уровень привилегий – самый привилегированный.
• 01b – 1-й уровень привилегий – менее привилегированный.
• 10b – 2-й уровень привилегий – ещё менее привилегированный.
• 11b – 3-й уровень привилегий – наименее привилегированный.

Под разными названиями, поле, содержащее уровень привилегий, встречается в нескольких системных структурах. Смыслы тоже разные, хотя и близкие.

[Лирическое отступление] Картинка-с-кольцами

Читатель ждёт уж рифму «розы»;
На вот, возьми её скорей!

Александр Сергеевич Пушкин

Самое известное изображение уровней привилегий.

Рисунок 2. Она. Скопирована из [Intel 2004]

Все просмотренные мною источники по защищённому режиму содержат эту картинку (кроме [Зубков 1999], но у него вообще ни одной картинки нет). Я не знаю зачем, видимо так сложилось по каким-то историческим причинам. Скорее всего, где-нибудь в 1982 году, при создании 80286 неизвестный автор рекламной брошюры Intel попытался таким образом донести свою мысль до покупателей. Видимо, брошюра пользовалась успехом, и с тех пор это изображение так и кочует из документа в документ.

Помимо картинки обычно вводится соответствующая терминология:

• нулевой уровень привилегий – нулевое кольцо защиты (ring 0, нулевое кольцо)
• первый уровень привилегий – первое кольцо защиты (ring 1, первое кольцо)
• и т.п.

Конечно, ни картинка, ни терминология ничего не объясняют, только вводят новые сущности. Тем не менее, эта терминология очень широко распространена, знать её нужно, собственно ради неё и сделана эта врезка. Ну и чтобы не нарушать традицию :)

DPL

DPL это пятый и шестой биты пятого байта дескриптора. Для разных дескрипторов DPL имеет разный смысл, по этому признаку все дескрипторы можно разбить на три класса и одно исключение из правил.

Дескриптор сегмента кода

Значение DPL это уровень привилегий, которыми обладает находящийся в сегменте код. Именно этим отличается ОС и пользовательские приложения: код ОС находится в сегментах с нулевым DPL и обладает максимальным (нулевым) уровнем привилегий, код приложений – минимальным (третьим).

Дескриптор «подчинённого» сегмента кода

Кроме дескрипторов «обычного» сегмента кода, существуют дескрипторы подчинённого (conforming) сегмента кода. Их описание вынесено в приложение.

Дескриптор «ресурса»

В поле DPL хранится минимальный (численно максимальный) уровень привилегий, необходимый для доступа к ресурсу. Если к ресурсу обращается код с недостаточными привилегиями, процессор генерирует исключение #GP.

Из описанных в предыдущих главах, к этому классу относятся дескрипторы сегментов данных и обработчиков прерываний (оба варианта). Сюда же можно отнести и дескрипторы сегментов кода (только «обычные», подчинённые будут работать иначе), при использовании с сегментными регистрами DS, ES, FS, GS, то есть не для передачи управления, а как «данные-только-для-чтения». Все неизученные типы дескрипторов также относятся к этому классу.

Например, такое прерывание может вызвать только код с нулевым уровнем привилегий:

        gate_descriptor <int26_handler, 8, 0, 10001111b, 0>

А такое – любой:

        gate_descriptor <int26_handler, 8, 0, 11101111b, 0>

Аналогично с любыми другими дескрипторами ресурсов.

Исключение: дескриптор сегмента данных с регистром SS

Сначала рассмотрим ситуацию (ситуация предполагает периодическое изменение привилегий, сейчас нам не важно как это происходит). Пусть имеется:

• Прикладной код «A», работает на низшем уровне привилегий (3). Занят сложными расчётами.
• Системный код «S», работает на высшем уровне привилегий (0). Обрабатывает прерывания и исключения.
• Стек, используемый и тем и другим. DPL сегмента стека равен 3, и «A» и «S» имеют к нему доступ.

Два варианта развития событий:

• В результате расчётов «A» получил переполнение стека, то есть процессор сгенерировал исключение #SS. Но вряд ли он сможет направить его не обработку, так как для этого нужно положить в стек адрес ошибочкой команды, регистр EFLAGS и код ошибки, а стек и так уже переполнен. Скорее всего, это закончится сбросом процессора и перезагрузкой.
• Более мягкий вариант. «A» вовсю работает, переполнения стека пока нет, хотя он уже почти на пределе. Возникает прерывание таймера, успешно вызывается обработчик из «S». И всё могло бы закончиться хорошо, если бы обработчику не нужно было 8 байт стека, которых уже не осталось. Опять переполнение, сброс и перезагрузка.

Для предотвращения таких ситуаций системный код должен использовать свой сегмент стека. А, видимо, для повышения мотивации использования разных стеков, разработчики Intel просто запретили использовать один и тот же: при загрузке селектора в регистр SS, текущий уровень привилегий должен точно совпадать с DPL дескриптора сегмента.

Подробнее о переключении стеков при смене уровней привилегий написано в главе «Защита: передача управления».

CPL

Текущий уровень привилегий (Current Privilege Level, CPL) – уровень привилегий исполняемого в данный момент кода, или, другими словами, уровень привилегий, на котором в данный момент находится процессор. Обычно CPL совпадает со значением двух младших битов регистра CS.

Рисунок 3. Регистр CS и CPL.

Именно CPL определяет, что разрешено, а что запрещено, именно он проверяется при попытке выполнения привилегированных команд (см. ниже), сравнивается с DPL ресурса (см. выше) и с IOPL (см. ниже). В общем, несколько упрощая, при нулевом CPL можно сделать с системой вообще всё, в любом другом случае придётся спрашивать разрешения.

Значение CPL определяется в соответствии с двумя простыми правилами (подчинённые сегменты кода добавят третье, но пока – два):

• После переключения из реального режима процессор оказывается на максимальном (нулевом) уровне привилегий. Кстати, из этого можно сделать вывод, что внутренние механизмы используют какой-то иной способ определения CPL, так как младшие биты унаследованного от реального режима CS могут оказаться вовсе не 0.
• В дальнейшем CPL равен DPL текущего сегмента кода.

Изменение CPL тоже рассмотрено в главе «Защита: передача управления».

RPL

Два младших бита «нормального» селектора (не загруженного в CS) называются уровень привилегий запроса (Request Privilege Level, RPL), и примерно в 99% ситуаций, единственно разумным значением этого поля будет 0. Тем не менее, поле придумано разработчиками не совсем напрасно, и ситуация, когда ненулевой RPL имеет смысл, всё-таки существует.

Рисунок 4. Селектор и RPL

Ситуация

Рассмотрим следующий сценарий:

• Приложение «A» вызывает системную функцию «F» (вопрос «что значит вызывает системную функцию» пока оставим), передаёт в параметре адрес <SEG:OFFSET>
• «F» читает/пишет по этому адресу
• Управление возвращается к «A», все довольны.

Теперь добавим уровни привилегий:

• «A» работает с минимальным уровнем привилегий (3)
• «F» работает с максимальным уровнем привилегий (0)
• DPL сегмента SEG равен Х

Поскольку «F» выполняется с нулевым уровнем привилегий, она может читать/записывать данные независимо от значения DPL сегмента SEG. Может быть, это как раз то поведение, которое требуется, но может быть, нужно ограничить возможности работы только теми сегментами, которые доступны «A». И вот тут-то на помощь приходит RPL! С ним сценарий выглядит так:

• Приложение «A» вызывает системную функцию «F», передаёт в параметре адрес <SEG:OFFSET>
• Перед использованием адреса, «F» модифицирует его, устанавливая значение поля RPL селектора SEG равным уровню привилегий «A» (как именно она это делает – в следующих главах, в этой главе важна суть).
• «F» читает/пишет по этому адресу. Если селектор SEG ссылается на дескриптор, который недоступен при уровне привилегий, указанном в поле RPL селектора, будет сгенерировано исключение #GP.
• Если всё в порядке, управление возвращается к «A», все довольны. Если было исключение, оно обрабатывается, «F» возвращает ошибку а-ля E_ACCESSDENIED, хакер посрамлён, все довольны.

Строгое описание

Описанное выше применение RPL сводится к следующему правилу: при загрузке селектора сегмента в сегментный дескриптор, система защиты сравнивает c DPL сегмента не только CPL, но и RPL селектора.

Это единственный разумный случай использования RPL. К сожалению, есть ещё несколько не очень разумных, в которых значение RPL всё-таки играет роль:

• При загрузке сегмента стека. RPL должен точно совпадать с CPL и DPL
• При передаче управления сегменту кода. RPL учитывается, как именно – описано в главе «Защита: передача управления».

IOPL

Уровень привилегий ввода-вывода (Input-Output Privilege Level, IOPL), находится в 13-м и 12-м битах регистра EFLAGS. IOPL подробно описано в главе «Защита: ввод-вывод», а здесь упомянуто просто для комплекта.

VIP only

Следующие инструкции в защищённом режиме можно выполнять только при нулевом CPL (в реальном режиме таких проблем нет, можно всем, всё и всегда):

• lgdt – загрузка регистра GDTR, инициализация GDT
• lidt – загрузка регистра IDTR, инициализация IDT
• mov (в управляющие регистры) – изменение различных флагов, в том числе флага PE.
• ltr – см. следующую главу
• hlt – сброс процессора
• Ещё несколько инструкций, которые вам не понадобятся, полный список есть в [Intel 2004]

Эти инструкции называются привилегированными (privileged instructions), попытка выполнить их при ненулевом CPL приведёт к генерации исключения #GP.

Итого

Если вернуться к началу главы, к разделу «Насущные проблемы», и вспомнить, чего требовалось достичь, то окажется, что практически всё уже успешно достигнуто. Список результатов приведён в Таблице 2.

Для сегментов кода предложенные решения порождают проблему следующего уровня: отделять мы уже умеем, теперь надо как-то наладить связь между кодом с разными уровнями привилегий. Этому вопросу посвящена глава «Защита: передача управления».

А с сегментами данных новых проблем нет, получена логичная законченная система проверок, даже две – для обычного сегментного регистра и для SS. В качестве некоторого подведения итогов, ниже они приведены полностью.

Дескриптор сегмента данных, регистр не SS

При загрузке селектора в регистр:

1. Если селектор нулевой, он просто загружается, никаких проверок не проводится.
2. Если находящийся в селекторе индекс дескриптора выходит за границы GDT, генерируется исключение #GP.
3. Анализируется тип дескриптора. Флаг S должен быть установлен в 1, дескриптор должен описывать либо сегмент данных, либо доступный для чтения сегмент кода, иначе генерируется исключение #GP.
4. Анализируется поле DPL дескриптора. Должны выполняться неравенства DPL >= CPL и DPL >= RPL селектора (для подчинённых сегментов кода этот пункт будет отличаться), иначе генерируется исключение #GP.
5. Анализируется флаг P дескриптора, он должен быть установлен в 1, подробнее – см. приложение.

При выполнении операции:

1. Если в регистре нулевой селектор, исключение #GP.
2. Если попытка записи в read-only сегмент, исключение #GP.
3. Если адрес выходит за границы сегмента, исключение #GP.

Дескриптор сегмента данных, регистр SS

При загрузке селектора в регистр:

1. Если селектор нулевой, генерируется исключение #GP.
2. Если находящийся в селекторе индекс дескриптора выходит за границы GDT, генерируется исключение #GP.
3. Анализируется тип дескриптора. Дескриптор должен описывать доступный для записи сегмент данных, иначе генерируется исключение #GP.
4. Анализируется поле DPL дескриптора. Должны выполняться равенства DPL == CPL и DPL == RPL селектора, иначе генерируется исключение #GP.
5. Анализируется флаг P дескриптора, он должен быть установлен в 1, подробнее – см. приложение.

При выполнении операции – то же, что и в случае обычного сегментного регистра, отличие только в том, что две первые проверки никогда не сработают: в SS не может находиться нулевой селектор или селектор read-only сегмента.

Пример

Программа выполняет следующие действия:

• Стандартно инициализирует защищённый режим, при этом в GDT оказываются дескрипторы двух сегментов, а в IDT дескриптор обработчика исключения #GP
• Пытается поместить в регистр fs селектор второго дескриптора GDT с RPL равным 3
• Так как поле DPL дескриптора равно 0, генерируется исключение #GP.
• Обработчик исключения выводит на экран восклицательный знак, инкрементирует DPL дескриптора и возвращает управление, позволяя попытаться ещё раз.
• Так как поле теперь DPL дескриптора равно 1, что всё ещё меньше чем 3, опять генерируется исключение #GP, вызывается обработчик, и т.п. Это продолжается до тех пор, пока DPL не станет равен 3.
• Наконец удаётся установить значение fs
• Программа завершается.

В итоге на экране будет три восклицательных знака.

; rpl.asm
; Программа, проверяющая действие поля RPL

        .model tiny
        .code
        .386p
        org     100h

;;;;;;;;;;;;;;;;;;;;;;;;;;;        
;
; Структуры
;
;;;;;;;;;;;;;;;;;;;;;;;;;;;

; Сегментный дескриптор
segment_descriptor struct
    limit_low   dw      0    ; Младшие два байта поля Segment limit
    base_low    dw      0    ; Младшие два байта поля Base Address
    base_high0  db      0    ; Второй байт поля Base Address
    type_and_permit db  0    ; Флаги
    flags       db      0    ; Ещё одни флаги
    base_high1  db      0    ; Старший байт поля Base Address
segment_descriptor ends

; Дескриптор шлюза
gate_descriptor struct
    offset_low  dw      0    ; Два младших байта поля Offset
    selector    dw      0    ; Поле Segment Selector
    zero        db      0
    type_and_permit db  0    ; Флаги
    offset_high dw      0    ; Старшие байты поля Offset
gate_descriptor ends

; Регистр, описывающий таблицу
table_register struct
    limit       dw      0    ; Table Limit
    base        dd      0    ; Linear Base Address
table_register ends

;;;;;;;;;;;;;;;;;;;;;;;;;;
;
; Код
;
;;;;;;;;;;;;;;;;;;;;;;;;;;

start:
        ; Подготавливаем DS
        push    cs
        pop     ds

        ; В es - начало видеобуфера. Можно было сделать то же
        ; самое средствами защищённого режима, но так проще
        push    0b800h
        pop     es

        ; Устанавливаем правильный сегмент в long-jmp-to-RM
        mov     ax, cs
        mov     cs:rm_cs, ax

        ; Прописываем адрес начала cs в качестве базового адреса сегментов
        call    cs_to_eax
        mov     cs_dsc.base_low, ax
        shr     eax, 16
        mov     cs_dsc.base_high1, al

        ; Сохраняем IDTR реального режима
        sidt    fword ptr old_idtr

        ; Запрешаем прерывания
        call disable_interrupts
        ; Инициализируем IDT
        call initialize_idt
        ; Инициализируем GDT
        call initialize_gdt
        ; Переключаем режим
        call set_PE

        ; 16-разрядный дальний переход. Перключает содержимое cs из нормального
        ; для реального режима (адрес) в нормальное для защищённого (селектор).
        ; Базовый адрес целевого сегмента совпадает с cs,
        ; поэтому смещение можно прописать сразу
        db      0EAh   ; код команды дальнего перехода
        dw      $ + 4  ; смещение
        dw      8      ; селектор

        ; В данный момент сегмент кода - 64 Кб, базовый адрес равен
        ; адресу сегмента кода до переключения в защищённый режим,
        ; потому можно без проблем переключаться обратно

        ; Селектор второго дескриптора GDT, RPL равен 3
        mov ax, 10011b
        ; Попытка поместить селектор в сегментный регистр
        mov fs, ax

        call clear_PE

        ; Мы в реальном режиме, осталось разобраться с
        ; значением регистра cs

        ; 16-разрядный дальний переход. Перключает содержимое cs из нормального
        ; для защищённог режима (селектор) в нормальное для реальног (адрес).
        ; Адрес сегмента вычисляется и прописывается во время выполнения.
        db      0EAh   ; код команды дальнего перехода
        dw      $ + 4  ; смещение
rm_cs   dw      0      ; сегмент

        ; восстанавливаем IDTR реального режима
        lidt    fword ptr old_idtr

        call enable_interrupts
        ret

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;
;; Обработчики
;;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

intGpf_handler:
        push   eax
        push   ebx

        mov     bh, 07h       ; белый текст на чёрном фоне
        mov     bl, '!'

        mov     eax, 80 * 24 * 2
        mov     word ptr es:[eax], bx

        call upscroll_screen  ; прокручивает экран на строчку вверх

        ; Запоминаем пятый байт дескриптора в al и ah
        mov     al, res_dsc.type_and_permit
        mov     ah, al

        ; Оставляем в al только DPL (биты 5-6), инкрементируем это поле
        and     al, 01100000b
        add     al, 00100000b
        and     al, 01100000b

        ; Обнуляем в ah поле DPL
        and     ah, 10011111b

        ; Совмещаем
        or      ah, al
        
        ; И кладём в дескриптор
        mov     res_dsc.type_and_permit, ah

        pop     ebx
        pop     eax
        add     esp, 4

        iretd

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;
;; Данные
;;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

; Глобальная таблица дескрипторов
GDT     label byte
        ; Нулевой дескриптор
        segment_descriptor <>
        ; Дескриптор сегмента кода, размер 64 Kb
cs_dsc  segment_descriptor <0ffffh, 0, 0, 10011010b, 0, 0>
        		; 10011010b - 1001, C/D - 1, 0, R/W - 1, 0
        		; 0         - G - 0, 000, Limit - 0
        ; Дескриптор ресурса, в данном случае – сегмента данных
res_dsc  segment_descriptor <0ffffh, 0, 0, 10010010b, 10001111b, 0>
        		; 10011010b - 1001, C/D - 0, 0, R/W - 1, 0
        		; 10001111b - G - 1, 000, Limit - 1111
       		
; Данные для загрузки в GDTR
gdtr    table_register <$ - GDT - 1, 0>


; Таблица дескрипторов прерываний
IDT     label byte
        db    13 dup (  8 dup (0)) ; 0 – 12
        ; Дескриптор шлюза ловушки, обработчик #GP
        gate_descriptor <intGpf_handler, 8, 0, 8Fh, 0>

; Данные для загрузки в IDTR
idtr    table_register <$ - IDT - 1, 0>

; Место для хранения IDTR реального режима
old_idtr table_register <>  

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;;
;; Служебные функции
;;
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

; Инициализирует GDT
initialize_gdt:
        ; Вычисляем линейный адрес начала массива дескрипторов
        call    cs_to_eax
        add     eax, offset GDT
        ; Записываем его в структуру
        mov     dword ptr gdtr.base, eax

        ; Загружаем GDTR
        lgdt    fword ptr gdtr
        ret

; Инициализирует IDT
initialize_idt:
        ; Вычисляем линейный адрес начала массива дескрипторов
        call    cs_to_eax
        add     eax, offset IDT
        ; Записываем его в структуру
        mov     dword ptr idtr.base, eax

        ; Загружаем GDTR
        lidt    fword ptr idtr
        ret

; Запрещает маскируемые и немаскируемые прерывания
disable_interrupts:
        cli              ; запретить прерывания
        in      al, 70h  ; индексный порт CMOS
        or      al, 80h  ; установка бита 7 в нем запрещает NMI
        out     70h, al
        ret

; Разрешает маскируемые и немаскируемые прерывания
enable_interrupts:
        in      al, 70h  ; индексный порт CMOS
        and     al, 7Fh  ; сброс бита 7 отменяет блокирование NMI
        out     70h, al
        sti              ; разрешить прерывания
        ret

; Устанавливает флаг PE
set_PE:
        mov     eax, cr0 ; прочитать регистр CR0
        or      al, 1    ; установить бит PE,
        mov     cr0, eax ; с этого момента мы в защищенном режиме
        ret

; Сбрасывает флаг PE
clear_PE:
        mov     eax, cr0 ; прочитать CR0
        and     al, 0FEh ; сбросить бит PE
        mov     cr0, eax ; с этого момента мы в реальном режиме
        ret

; Вычисляет линейный адрес начала сегмента кода
cs_to_eax:
        mov     eax, 0
        mov     ax, cs
        shl     eax, 4
        ret

; Прокручивает экран на строчку вверх
upscroll_screen:
        push   eax
        push   ecx
        push   edx

        mov    eax, 0         ; Текущий символ
        mov    ecx, 80 * 24   ; Колическтво символов на экране
                              ; (без последней строки, она отдельно)
screen_loop:
        mov    dx, word ptr es:[eax * 2 + 80*2]
        mov    word ptr es:[eax * 2], dx      ; Меняем символ
        inc    eax
        loop   screen_loop

        mov    ecx, 80        ; Длинна последней строки
        mov    dx,  0720h     ; символ, которым заполняется строка

last_line_loop:
        mov    word ptr es:[eax * 2], dx      ; Меняем символ
        inc    eax
        loop   last_line_loop

        pop    edx
        pop    ecx
        pop    eax
        ret

        end     start

Задания

• Измените поведение обработчика исключения, пусть он не инкрементирует DPL, а декрементирует RPL, т.е. уменьшает на единицу значение регистра ax.
• Реализуйте аналогичный пример для сегмента стека, проверьте необходимость равенства всех трёх значений: CPL, DPL, RPL. Учтите, что после перехода в защищённый режим CPL равен 0, и изменять его вы пока не умеете.