从用户态到内核态move_to_user_mode

void main(void) {... move_to_user_mode();if (!fork()) {init();}for(;;) pause();
}

今天我们就重点讲这第一句代码&＃xff0c;move_to_user_mode。

让进程无法逃出用户态

这行代码的意思直接说非常简单&＃xff0c;就是从内核态转变为了用户态&＃xff0c;但要解释清楚这个意思&＃xff0c;还需要听我慢慢道来。

我相信你肯定听说过操作系统的内核态与用户态&＃xff0c;用户进程都在用户态这个特权级下运行&＃xff0c;而有时程序想要做一些内核态才允许做的事情&＃xff0c;比如读取硬盘的数据&＃xff0c;就需要通过系统调用&＃xff0c;来请求操作系统在内核态特权级下执行一些指令。

我们现在的代码&＃xff0c;还是在内核态下运行&＃xff0c;之后操作系统达到怠速状态时&＃xff0c;是以用户态的 shell 进程运行&＃xff0c;随时等待着来自用户输入的命令。

所以&＃xff0c;就在这一步&＃xff0c;也就是 move_to_user_mode 这行代码&＃xff0c;作用就是将当前代码的特权级&＃xff0c;从内核态变为用户态。

一旦转变为了用户态&＃xff0c;那么之后的代码将一直处于用户态的模式&＃xff0c;除非发生了中断&＃xff0c;比如用户发出了系统调用的中断指令&＃xff0c;那么此时将会从用户态陷入内核态&＃xff0c;不过当中断处理程序执行完之后&＃xff0c;又会通过中断返回指令从内核态回到用户态。

整个过程被操作系统的机制拿捏的死死的&＃xff0c;始终让用户进程处于用户态运行&＃xff0c;必要的时候陷入一下内核态&＃xff0c;但很快就会被返回而再次回到用户态&＃xff0c;是不是非常无奈&＃xff1f;这样操作系统就掌控了控制权&＃xff0c;而用户进程再怎么折腾也无法逃出这个模式。

相关视频推荐

LinuxC&＃43;&＃43;丨内存泄漏的3个解决方案与原理实现

解决遇到的内存问题丨 虚拟内存分布图 丨 内存池的设计

90分钟了解 Linux内存架构

LinuxC&＃43;&＃43;后台服务器开发架构师免费学习地址

【文章福利】&＃xff1a;小编整理了一些个人觉得比较好的学习书籍、视频资料共享在群文件里面&＃xff0c;有需要的可以自行添加哦&＃xff01;~点击832218493加入&＃xff08;需要自取&＃xff09;

内核态与用户态的本质-特权级

首先从一个最大的视角来看&＃xff0c;这一切都源于 CPU 的保护机制。CPU 为了配合操作系统完成保护机制这一特性&＃xff0c;分别设计了分段保护机制与分页保护机制。

当我们将 cr0 寄存器的 PE 位开启时&＃xff0c;就开启了保护模式&＃xff0c;也即开启了分段保护机制。

当我们将 cr0 寄存器的 PG 位开启时&＃xff0c;就开启了分页模式&＃xff0c;也即开启了分页保护机制。

​

有关特权级的保护&＃xff0c;实际上属于分段保护机制的一种。具体怎么保护的呢&＃xff1f;由于这里的细节比较繁琐&＃xff0c;所以我举个例子简单理解下即可&＃xff0c;实际上的特权级检查规则要比我说的多好多内容。

我们目前正在执行的代码地址&＃xff0c;是通过 CPU 中的两个寄存器 cs : eip 指向的对吧&＃xff1f;cs 寄存器是代码段寄存器&＃xff0c;里面存着的是段选择子&＃xff0c;还记得它的结构么&＃xff1f;

这里面的低端两位&＃xff0c;此时表示 CPL&＃xff0c;也就是当前所处的特权级&＃xff0c;假如我们现在这个时刻&＃xff0c;CS 寄存器的后两位为 3&＃xff0c;二进制就是 11&＃xff0c;就表示是当前处理器处于用户态这个特权级。

假如我们此时要跳转到另一处内存地址执行&＃xff0c;在最终的汇编指令层面无非就是 jmp、call 和中断。我们拿 jmp 跳转来举例。

如果是短跳转&＃xff0c;也就是直接 jmp xxx&＃xff0c;那不涉及到段的变换&＃xff0c;也就没有特权级检查这回事。

如果是长跳转&＃xff0c;也就是 jmp yyy : xxx&＃xff0c;这里的 yyy 就是另一个要跳转到的段的段选择子结构。

这个结构仍然是一样的段选择子结构&＃xff0c;只不过这里的低端两位&＃xff0c;表示 RPL&＃xff0c;也就是请求特权级&＃xff0c;表示我想请求的特权级是什么。同时&＃xff0c;CPU 会拿这个段选择子去全局描述符表中寻找段描述符&＃xff0c;从中找到段基址。

​

那还记得段描述符的样子么&＃xff1f;

​

你看&＃xff0c;这里面又有个 DPL&＃xff0c;这表示目标代码段特权级&＃xff0c;也就是即将要跳转过去的那个段的特权级。

好了&＃xff0c;我们总结一下简图&＃xff0c;就是这三个玩意的比较。

​

这里的检查规则比较多&＃xff0c;简单说&＃xff0c;绝大多数情况下&＃xff0c;要求 CPL 必须等于 DPL&＃xff0c;才会跳转成功&＃xff0c;否则就会报错。

也就是说&＃xff0c;当前代码所处段的特权级&＃xff0c;必须要等于要跳转过去的代码所处的段的特权级&＃xff0c;那就只能用户态往用户态跳&＃xff0c;内核态往内核态跳&＃xff0c;这样就防止了处于用户态的程序&＃xff0c;跳转到内核态的代码段中做坏事。

这只是代码段跳转时所做的特权级检查&＃xff0c;还有访问内存数据时也会有数据段的特权级检查&＃xff0c;这里就不展开了。最终的效果是&＃xff0c;处于内核态的代码可以访问任何特权级的数据段&＃xff0c;处于用户态的代码则只可以访问用户态的数据段&＃xff0c;这也就实现了内存数据读写的保护。

说了这么多&＃xff0c;其实就是&＃xff0c;代码跳转只能同特权级&＃xff0c;数据访问只能高特权级访问低特权级。

特权级转换的方式

诶不对呀&＃xff0c;那我们今天要讲的是&＃xff0c;从内核态转变为用户态&＃xff0c;那如果代码跳转只能同特权级跳&＃xff0c;我们现在处于内核态&＃xff0c;要怎么样才能跳转到用户态呢&＃xff1f;

Intel 设计了好多种特权级转换的方式&＃xff0c;中断和中断返回就是其中的一种。

处于用户态的程序&＃xff0c;通过触发中断&＃xff0c;可以进入内核态&＃xff0c;之后再通过中断返回&＃xff0c;又可以恢复为用户态。

就是刚刚的图所表示的。

​

而系统调用就是这么玩的&＃xff0c;用户通过 int 0x80 中断指令触发了中断&＃xff0c;CPU 切换至内核态&＃xff0c;执行中断处理程序&＃xff0c;之后中断程序返回&＃xff0c;又从内核态切换回用户态。

但有个问题是&＃xff0c;我们当前的代码&＃xff0c;此时就是处于内核态&＃xff0c;并不是由一个用户态程序通过中断而切换到的内核态&＃xff0c;那怎么回到原来的用户态呢&＃xff1f;答案还是&＃xff0c;通过中断返回。

没有中断也能中断返回&＃xff1f;可以的&＃xff0c;Intel 设计的 CPU 就是这样不符合人们的直觉&＃xff0c;中断和中断返回的确是应该配套使用的&＃xff0c;但也可以单独使用&＃xff0c;我们看代码。

void main(void) {... move_to_user_mode();...
}#define move_to_user_mode() \
_asm { \_asm mov eax,esp \_asm push 00000017h \_asm push eax \_asm pushfd \_asm push 0000000fh \_asm push offset l1 \_asm iretd /* 执行中断返回指令*/ \
_asm l1: mov eax,17h \_asm mov ds,ax \_asm mov es,ax \_asm mov fs,ax \_asm mov gs,ax \
}

你看&＃xff0c;这个方法里直接就执行了中断返回指令 iretd。

那么为什么之前进行了一共五次的压栈操作呢&＃xff1f;因为中断返回理论上就是应该和中断配合使用的&＃xff0c;而此时并不是真的发生了中断到这里&＃xff0c;所以我们得假装发生了中断才行。

怎么假装呢&＃xff1f;其实就把栈做做工作就好了&＃xff0c;中断发生时&＃xff0c;CPU 会自动帮我们做如下的压栈操作。而中断返回时&＃xff0c;CPU 又会帮我们把压栈的这些值返序赋值给响应的寄存器。

​

去掉错误码&＃xff0c;刚好是五个参数&＃xff0c;所以我们在代码中模仿 CPU 进行了五次压栈操作&＃xff0c;这样在执行 iretd 指令时&＃xff0c;硬件会按顺序将刚刚压入栈中的数据&＃xff0c;分别赋值给 SS、ESP、EFLAGS、CS、EIP 这几个寄存器&＃xff0c;这就感觉像是正确返回了一样&＃xff0c;让其误以为这是通过中断进来的。

压入栈的 CS 和 EIP 就表示中断发生前代码所处的位置&＃xff0c;这样中断返回后好继续去那里执行。

压入栈的 SS 和 ESP 表示中断发生前的栈的位置&＃xff0c;这样中断返回后才好恢复原来的栈。

其中&＃xff0c;特权级的转换&＃xff0c;就体现在 CS 和 SS 寄存器的值里&＃xff0c;都是细节&＃xff01;

CS 和 SS 寄存器是段寄存器的一种&＃xff0c;段寄存器里的值是段选择子&＃xff0c;其结构上面已经提过两遍了

对着这个结构&＃xff0c;我们看代码。

#define move_to_user_mode() \
_asm { \_asm mov eax,esp \_asm push 00000017h \ ; 给 SS 赋值_asm push eax \_asm pushfd \_asm push 0000000fh \ ; 给 CS 赋值_asm push offset l1 \_asm iretd /* 执行中断返回指令*/ \
_asm l1: mov eax,17h \_asm mov ds,ax \_asm mov es,ax \_asm mov fs,ax \_asm mov gs,ax \
}

拿 CS 举例&＃xff0c;给它赋的值是&＃xff0c;0000000fh&＃xff0c;用二进制表示为&＃xff1a;

0000000000001111

最后两位 11 表示特权级为 3&＃xff0c;即用户态。而我们刚刚说了&＃xff0c;CS 寄存器里的特权级&＃xff0c;表示 CPL&＃xff0c;即当前处理器特权级。

所以经过 iretd 返回之后&＃xff0c;CS 的值就变成了它&＃xff0c;而当前处理器特权级&＃xff0c;也就变成了用户态特权级。

除了改变特权级之外

除了改变了特权级之外&＃xff0c;还做了什么事情呢&＃xff1f;

刚刚我们关注段寄存器&＃xff0c;只关注了特权级的部分&＃xff0c;我们再详细看看。

刚刚说了 CS 寄存器为 0000000000001111&＃xff0c;最后两位表示用户态的含义。

添加图片注释&＃xff0c;不超过 140 字&＃xff08;可选&＃xff09;

那继续解读&＃xff0c;倒数第三位 TI 表示&＃xff0c;前面的描述符索引&＃xff0c;是从 GDT 还是 LDT 中取&＃xff0c;1 表示 LDT&＃xff0c;也就是从局部描述符表中取。

前面的描述符索引为 1&＃xff0c;表示从局部描述符表中取到代码段描述符&＃xff0c;如果你熟悉前面我讲过的内容&＃xff0c;你将会直接得出上述结论。不过我还是帮你回忆一下。

将 0 号 LDT 作为当前的 LDT 索引&＃xff0c;记录在了 CPU 的 lldt 寄存器中。

#define lldt(n) __asm__("lldt %%ax"::"a" (_LDT(n)))void sched_init(void) {...lldt(0);...
}

​

所以&＃xff0c;一目了然。

再看这行代码&＃xff0c;把 EIP 寄存器赋值为了那行标号的地址。

void main(void) {... move_to_user_mode();...
}#define move_to_user_mode() \
_asm { \_asm mov eax,esp \_asm push 00000017h \_asm push eax \_asm pushfd \_asm push 0000000fh \_asm push offset l1 \_asm iretd /* 执行中断返回指令*/ \
_asm l1: mov eax,17h \_asm mov ds,ax \_asm mov es,ax \_asm mov fs,ax \_asm mov gs,ax \
}

这里刚好设置的是下面标号 l1 的位置&＃xff0c;所以 iretd 之后 CPU 就乖乖去那里执行了。所以其实从效果上看&＃xff0c;就是顺序往下执行&＃xff0c;只不过利用了 iretd 做了些特权级转换等工作。

同理&＃xff0c;这里的栈段 ss 和数据段 ds&＃xff0c;都被赋值为了 17h&＃xff0c;大家可以展开二进制算一下&＃xff0c;他们又是什么特权级&＃xff0c;对应的描述符又是谁。

总结

所以其实&＃xff0c;最终效果上看就是按顺序执行了我们所写的指令&＃xff0c;仿佛没有经过什么中断和中断返回的过程&＃xff0c;但却通过中断返回实现了特权级的翻转&＃xff0c;也就是从内核态变为了用户态&＃xff0c;顺便设置了栈段、代码段和数据段的基地址。

好了&＃xff0c;我们兜兜转转终于把这个 mov_to_user_mode 讲完了&＃xff0c;特权级这块的检查细节非常繁琐&＃xff0c;为了理解操作系统&＃xff0c;我们只需要暂且记住如下一句话就好了&＃xff1a;

数据访问只能高特权级访问低特权级&＃xff0c;代码跳转只能同特权级跳转&＃xff0c;要想实现特权级转换&＃xff0c;可以通过中断和中断返回来实现。

原文来源于闪客大佬地址&＃xff1a;https://mp.weixin.qq.com/s/AVl6R2N9d_sldkhfvC6aEw

https://ffmpeg.0voice.com/forum.php?mod&＃61;viewthread&tid&＃61;257