继续上一章的分析,0x8200地址处的代码定义在startup_raw.S文件中。
_start
grub-core/boot/i386/pc/startup_raw.S
_start:
LOCAL (base):
ljmp $0, $ABS(LOCAL (codestart))
...
LOCAL (codestart):
cli
xorw %ax, %ax
movw %ax, %ds
movw %ax, %ss
movw %ax, %es
movl $GRUB_MEMORY_MACHINE_REAL_STACK, %ebp
movl %ebp, %esp
sti
movb %dl, LOCAL(boot_drive)
int $0x13
calll real_to_prot
.code32
cld
call grub_gate_a20
movl LOCAL(compressed_size), %edx
addl $(LOCAL(decompressor_end) - LOCAL(reed_solomon_part)), %edx
movl reed_solomon_redundancy, %ecx
leal LOCAL(reed_solomon_part), %eax
cld
call EXT_C (grub_reed_solomon_recover)
jmp post_reed_solomon
首先长跳转到地址LOCAL (codestart)处执行,将cs段寄存器清0。然后通过cli指令关闭中断,将ds、es、ss段寄存器也清0。
接着设置实模式下的堆栈,设置堆栈地址为GRUB_MEMORY_MACHINE_REAL_STACK,默认值为0x1ff0,初始化堆栈大小为0。
#define GRUB_MEMORY_MACHINE_REAL_STACK (0x2000 - 0x10)
接着通过sti指令开中断。
设置当前引导设备号dl到boot_drive地址处,boot_drive默认为0xff,如果不为0xff,根据上一章的分析,这里boot_drive处的值就等于dl的值,无需赋值。
接着进行0x13中断,此时参数ah为0x0,表示对硬盘进行重置,包括重置硬盘控制器,将磁头重新指向第0柱面等等。
然后调用real_to_prot,从实模式切换到保护模式,注意这里使用了calll指令(多了一个“l”),虽然目前还在实模式下,但此时需要强制将eip寄存器入栈,因为在函数real_to_prot中切换到保护模式后,会通过ret返回执行下一行代码,ret指令会从堆栈中读取4个字节保存在eip寄存器中,如果此时不使用calll指令,使用普通的call指令,则只会保存ip(eip寄存器的低2字节)到栈中(具体的情况和计算机体系结构有关)。
.code32伪指令用来告诉编译器接下来的就是32-bit的代码了。
接下来调用grub_gate_a20函数检测并打开A20地址线,在默认情况下,A20地址线处于关闭状态,即为0。进入保护模式后,需要访问更高的地址空间(虽然A20地址位为0也可以访问部分高地址内存)。
再往下调用grub_reed_solomon_recover函数对grub受保护数据进行检测,最后跳转到post_reed_solomon处继续执行。这两个函数留在下一章再分析。
_start->real_to_prot
grub-core/kern/i386/realmode.S
real_to_prot:
.code16
cli
xorw %ax, %ax
movw %ax, %ds
lgdtl gdtdesc
movl %cr0, %eax
orl $GRUB_MEMORY_CPU_CR0_PE_ON, %eax
movl %eax, %cr0
ljmpl $GRUB_MEMORY_MACHINE_PROT_MODE_CSEG, $protcseg
.code16伪指令用来告诉编译器接下来的是16-bit的代码。首先将ds段寄存器清0,然后通过lgdtl指令装载GDTR寄存器。
gdt描述符gdtdesc的定义如下,
gdtdesc:
.word 0x27
.long gdt
gdt:
.word 0, 0
.byte 0, 0, 0, 0
.word 0xFFFF, 0
.byte 0, 0x9A, 0xCF, 0
.word 0xFFFF, 0
.byte 0, 0x92, 0xCF, 0
.word 0xFFFF, 0
.byte 0, 0x9E, 0, 0
.word 0xFFFF, 0
.byte 0, 0x92, 0, 0
其中0x27表示gdt表的大小,最终的gdt表位于gdt标号地址处,下面详细来看。
首先gdt表项一共有5项,第1项不用管它,从第2项开始,分别是32-bit对应的代码段、数据段,以及16-bit对应的代码段、数据段。
0~15位,48~51位对应段限长,对于32位的代码段和数据段,其限长为0xfffff,单位为4K字节,因此为4GB。对于16位的代码段和数据段,其限长为0xffff,单位为字节,对应64KB。
16~39位,55~63位组成段基址,4个段的基地址base都为0x00000000。
第40位A默认值都为0,表示该段是否已被访问,默认都未被访问,当将该段装载进段寄存器时,该bit位被置1。
41位都为1,表示该段只读。
当为代码段时,32位保护模式下42位为0,表示非一致代码段,16位实模式下42位为1,表示一致代码段。一致代码段和非一致代码段的区别在于低特权级能否访问高特权级对应的资源。当为数据段时,都为0,表示段的拓展方向,表示向高地址拓展。
43位表示当为代码段时为1,数据段时为0。
44位都为1,表示为存储段描述符,为0表示系统描述符(TSS、LDT)、门描述符。
45~46位DPL都为00,为最高特权级,表示cpu访问该段时应该具有最高特权级。
47位P都为1,表示该段有效。
52位AVL和53位L默认值都位0,当52位为0,53位为1时,表示64位的段描述符。
对于32-bit,55位G=1,单位为4K字节,第54位D为1,表示使用32位地址,32/8位操作数。对于16-bit,55位G=0,单位为字节,第54位D为0,使用16位地址,16/8位操作数。
回到real_to_prot函数中,接着将cr0寄存器的PE标志置1,打开保护模式。
#define GRUB_MEMORY_CPU_CR0_PE_ON 0x1
最后ljmpl长跳转到protcseg地址处执行,cs段寄存器被设置为GRUB_MEMORY_MACHINE_PROT_MODE_CSEG,其默认定义如下,
#define GRUB_MEMORY_MACHINE_PROT_MODE_CSEG 0x8
0x08对应00001000,其中第一位第二位表示请求特权级(RPL),都位0,表示最高特权级,一共4个特权级,和前面分析的gdt表项中的45、46位的DPL对应。第三位为0表示指向GDT,如果是1,则指向LDT。
剩下的高5位为1,表示指向GDT的第一项。gdt的第一项,也即32-bit位的代码段描述符,因为其基地址位0x00000000,因此最终跳转到protcseg地址处执行。
_start->real_to_prot->protcseg
grub-core/kern/i386/realmode.S
.code32
protcseg:
movw $GRUB_MEMORY_MACHINE_PROT_MODE_DSEG, %ax
movw %ax, %ds
movw %ax, %es
movw %ax, %fs
movw %ax, %gs
movw %ax, %ss
movl (%esp), %eax
movl %eax, GRUB_MEMORY_MACHINE_REAL_STACK
movl protstack, %eax
movl %eax, %esp
movl %eax, %ebp
movl GRUB_MEMORY_MACHINE_REAL_STACK, %eax
movl %eax, (%esp)
xorl %eax, %eax
sidt LOCAL(realidt)
lidt protidt
ret
进入protcseg标号处,首先设置ds、es、fs、gs和ss段寄存器。
#define GRUB_MEMORY_MACHINE_PROT_MODE_DSEG 0x10
GRUB_MEMORY_MACHINE_PROT_MODE_DSEG宏定义展开为0x00010000,和前面的分析类似,该值指向gdt表中的第二项,也即32-bit下的数据段。
接着将原来堆栈的返回地址(%esp)保存在绝对地址GRUB_MEMORY_MACHINE_REAL_STACK下,注意这里的movl是4字节传输,对应前面的calll指令。
然后为保护模式建立一个新的堆栈,栈底地址为protstack标号处的GRUB_MEMORY_MACHINE_PROT_STACK。
最后将刚刚在GRUB_MEMORY_MACHINE_REAL_STACK地址处的返回地址放入新的堆栈的栈顶指针(%esp)处。,其实就是将返回地址从实模式的堆栈放入保护模式下的堆栈,然后通过ret指令返回。
sidt保存实模式下的中断IDTR寄存器值到地址LOCAL(realidt),再通过lidt指令加载protidt标号处新的中断描述符到IDTR寄存器中,中断描述符包含48个字节,低16位保存中断表的大小,高32位存储了中断表的基址。
最后通过ret指令返回到标号LOCAL (codestart)中继续执行。
_start->grub_gate_a20
grub-core/boot/i386/pc/startup_raw.S
grub_gate_a20:
gate_a20_test_current_state:
call gate_a20_check_state
testb %al, %al
jnz gate_a20_try_bios
ret
首先通过gate_a20_check_state函数检查A20是否已经打开,如果没有打开,就跳转到gate_a20_try_bios处常识通过BIOS中断打开A20,否则直接通过ret返回。
从gate_a20_try_bios函数开始会首先常识通过BIOS的int 0x15中断打开A20,如果失败就通过0x92端口打开A20,如果再失败就使用PS/2控制器。下面一一分析。
_start->grub_gate_a20->gate_a20_check_state
grub-core/boot/i386/pc/startup_raw.S
gate_a20_check_state:
movl $100, %ecx
1:
call 3f
testb %al, %al
jz 2f
loop 1b
2:
ret
3:
pushl %ebx
pushl %ecx
xorl %eax, %eax
movl $GRUB_BOOT_MACHINE_KERNEL_ADDR, %ebx
pushl %ebx
movb (%ebx), %cl
addl $0x100000, %ebx
movb (%ebx), %al
popl %ebx
movb %al, %ch
decb %ch
movb %ch, (%ebx)
outb %al, $0x80
outb %al, $0x80
pushl %ebx
addl $0x100000, %ebx
movb (%ebx), %ch
subb %ch, %al
popl %ebx
movb %cl, (%ebx)
popl %ecx
popl %ebx
ret
首先ecx寄存器存储了循环次数,最高需要检查256次。
首先进入标号3处,GRUB_BOOT_MACHINE_KERNEL_ADDR的默认值为0x8000,首先该地址处的值保存在堆栈上,然后将0x108000地址处的值给al寄存器,接着从堆栈取出刚刚0x8000地址处的值,通过dec指令将该值减1,再保存到0x8000地址处。out指令将al寄存器的值输出到0x80的IO端口上,具体对应哪一个设备暂时不清楚。
然后再次将0x108000地址处的值给ch寄存器。将al减去ch,如果为0,则A20为打开状态,如果为1,则A20为关闭状态。
因为如果A20处于关闭状态,则0x108000地址处的值其实就是0x8000地址处的值,此时al寄存器的值是0x8000处的值,ch寄存器的值是0x8000处的值减1,因此两者的差是1;如果A20处于打开状态,则al寄存器和ch寄存器都是0x108000地址处的值,因此两者的差是0。
检测完成后,ret返回到标号1处,测试返回值,如果为0,则A20打开,跳转到标号2处返回,如果不为0,则继续执行标号3处的代码。这里需要循环检测是因为可能碰巧0x108000的值前后两次检测不一致,在一些电脑主板上有可能会发生这种情况(具体什么原因暂时就不清楚了)。因此在第一次读取0x108000时产生问题时,需要继续读取,直到某一次读取到正确的值。简而言之,最高循环256次进行检测是因为在a20打开的情况下,最终返回的al有可能不为0。
_start->grub_gate_a20->gate_a20_try_bios
grub-core/boot/i386/pc/startup_raw.S
gate_a20_try_bios:
pushl %ebp
call prot_to_real
.code16
movw $0x2401, %ax
int $0x15
calll real_to_prot
.code32
popl %ebp
call gate_a20_check_state
testb %al, %al
jnz gate_a20_try_system_control_port_a
ret
如果检测的结果表明A20处于关闭状态,此时就需要打开A20了。比较新的BIOS版本提供了int 0x15中断用于打开A20,虽然0x92端口也能打开中断,但是容易和其他硬件设备有冲突。所以首先尝试使用int 15中断。
因为要使用BIOS中断,首先通过prot_to_real函数进入实模式,注意这里进入prot_to_real函数使用了call指令,因为默认是32-bit操作,在进入实模式后,最后会通过调用retl指令返回4字节的eip指令指针。
进入实模式后,调用int 0x15中断,参数ax为0x2401,表示打开A20。中断返回后,通过real_to_prot再次进入到保护模式,然后再次调用gate_a20_check_state函数检查A20是否打开,如果还没打开,就调用gate_a20_try_system_control_port_a通过0x92端口尝试打开A20。
_start->grub_gate_a20->gate_a20_try_bios->prot_to_real
grub-core/kern/i386/realmode.S
prot_to_real:
lgdt gdtdesc
sidt protidt
lidt LOCAL(realidt)
movl %esp, %eax
movl %eax, protstack
movl (%esp), %eax
movl %eax, GRUB_MEMORY_MACHINE_REAL_STACK
movl $GRUB_MEMORY_MACHINE_REAL_STACK, %eax
movl %eax, %esp
movl %eax, %ebp
movw $GRUB_MEMORY_MACHINE_PSEUDO_REAL_DSEG, %ax
movw %ax, %ds
movw %ax, %es
movw %ax, %fs
movw %ax, %gs
movw %ax, %ss
ljmp $GRUB_MEMORY_MACHINE_PSEUDO_REAL_CSEG, $tmpcseg
首先通过lgdt指令再装载一次gdt,暂时不知道有什么用。sidt指令保存实模式的IDTR寄存器的内容到protidt地址处。lidt指令从LOCAL(realidt)地址处加载实模式的IDTR寄存器值。
然后保存当前的栈顶指针esp到protstack地址处。
(%esp)保存了函数的返回地址,将其存入GRUB_MEMORY_MACHINE_REAL_STACK地址处,也即0x1ff0地址。然后将GRUB_MEMORY_MACHINE_REAL_STACK设置为实模式的栈底,初始化堆栈大小为0。
因为PE未还是处于置1状态,因此需要将ds、es、fs、gs、ss段寄存器设置为GRUB_MEMORY_MACHINE_PSEUDO_REAL_DSEG,并将cs段寄存器设置为GRUB_MEMORY_MACHINE_PSEUDO_REAL_CSEG,定义如下
#define GRUB_MEMORY_MACHINE_PSEUDO_REAL_DSEG 0x20
#define GRUB_MEMORY_MACHINE_PSEUDO_REAL_CSEG 0x18
GRUB_MEMORY_MACHINE_PSEUDO_REAL_DSEG为00100000,表示最高特权级,gdt表,第4个段,也即gdt表中16-bit数据段。
GRUB_MEMORY_MACHINE_PSEUDO_REAL_CSEG位00011000,表示最高特权级,gdt表,第3个段,也即gdt表中16-bit代码段。
最后长跳转到tmpcseg标号处继续执行。
_start->grub_gate_a20->gate_a20_try_bios->prot_to_real->tmpcseg
grub-core/kern/i386/realmode.S
tmpcseg:
.code16
movl %cr0, %eax
andl $(~GRUB_MEMORY_CPU_CR0_PE_ON), %eax
movl %eax, %cr0
ljmpl $0, $realcseg
realcseg:
xorl %eax, %eax
movw %ax, %ds
movw %ax, %es
movw %ax, %fs
movw %ax, %gs
movw %ax, %ss
retl
tmpcseg函数首先将cr0寄存器中的PE位置0,关闭保护模式。然后将cs段寄存器清0,长跳转到realcseg处继续执行。再往下将ds、es、fs、gs、ss寄存器也清0。最后通过retl指令返回,注意此时虽然是实模式,retl从堆栈会返回32位的地址到eip寄存器中(实模式下只使用低16位)。
_start->grub_gate_a20->gate_a20_try_bios->gate_a20_try_system_control_port_a
grub-core/boot/i386/pc/startup_raw.S
gate_a20_try_system_control_port_a:
inb $0x92
andb $(~0x03), %al
orb $0x02, %al
outb $0x92
call gate_a20_check_state
testb %al, %al
jnz gate_a20_try_keyboard_controller
ret
如果BIOS的int 0x15打开A20失败。就尝试通过0x92端口打开A20,该端口由较新的主板提供。
首先通过in指令将0x92端口的数据读入al寄存器。bit0和系统重置有关,打开a20的时候需要清0。接下来将bit1置1,表示打开A20。最后通过out指令将al寄存器中的数据写入0x92端口。
如果A20还是处于关闭状态,最后就调用gate_a20_try_keyboard_controller,利用键盘控制器打开A20,该方法速度最慢,所以放在最后尝试。
_start->grub_gate_a20->gate_a20_try_bios->gate_a20_try_system_control_port_a->gate_a20_try_keyboard_controller
grub-core/boot/i386/pc/startup_raw.S
gate_a20_try_keyboard_controller:
call gate_a20_flush_keyboard_buffer
movb $0xd1, %al
outb $0x64
4:
inb $0x64
andb $0x02, %al
jnz 4b
movb $0xdf, %al
outb $0x60
call gate_a20_flush_keyboard_buffer
movb $0xff, %al
outb $0x64
call gate_a20_flush_keyboard_buffer
call gate_a20_check_state
testb %al, %al
jnz gate_a20_try_bios
ret
如果int 15中断和0x92端口都不能打开a20,则尝试比较老的方法,通过PS/2控制器,例如8042芯片打开A20。8042芯片,位于主板上,CPU 通过 IO 端口直接和这个芯片通信,获得按键的扫描码或者发送各种键盘命令。8042芯片除了控制键盘外,还另外提供了控制A20和系统重置的功能。
8042芯片的0x64端口用于向8042命令寄存器发送指令,并且还可以读取状态寄存器。0x60端口用于读写数据。gate_a20_flush_keyboard_buffer函数检测8042芯片的输入和输出缓存,确保两个缓存都为空。
首先向0x64端口端口写入0xd1指令,表示接下来写入的数据(0xdf)要写在输出端口上(不是缓存)。输出端口对应着A20地址线。然后读状态寄存器,确保第2个比特位空,即输入缓冲区为空。最后向0x60写入0xdf,最终写到输出端口上,输出端口的第二个比特用来控制A20,0xdf的第二个比特位1,表示将其打开。对应的关闭A20的指令为0xdd。将0xff写入0x64端口和系统总线的兼容性有关,这里不关心。
最后如果还不行,就跳到最开始的标号处gate_a20_try_bios,重新尝试通过BIOS中断打开A20。
_start->grub_gate_a20->gate_a20_try_bios->gate_a20_try_system_control_port_a->gate_a20_try_keyboard_controller->gate_a20_flush_keyboard_buffer
grub-core/boot/i386/pc/startup_raw.S
gate_a20_flush_keyboard_buffer:
inb $0x64
andb $0x02, %al
jnz gate_a20_flush_keyboard_buffer
2:
inb $0x64
andb $0x01, %al
jz 3f
inb $0x60
jmp 2b
3:
ret
首先读0x64端口,获得状态寄存器的值,第二个比特表示键盘的输入缓冲区中是否还有数据,如果有,即al不为0,则循环调用gate_a20_flush_keyboard_buffer直到缓冲区为空。因为如果输入缓冲区已满,是不允许向0x60和0x64端口写数据的。
接着检查输出缓存是否有数据,如果有,也即al的第一个比特被置位,则读0x60端口,直到数据读完。否则,跳到标号3处返回。