深入特权级转移

引言

• 本章节需要自己通过实际实验来摸索 DPL、RPL、CPL 三者之间的关系，实验方式就是尝试改变不同的 DPL、RPL 的值，然后观察程序的运行状态及结果
• 实验过程在这里就不一一记录了，建议自己摸索，这样才能较为深入的体会特权级相关知识

特权级转移小建议

• 建议绝大多数情况下同一个类段的相关特权级保持一致，即如果代码段 DPL = 0，那么与之对应的栈段、数据段等的 DPL 也要设置为 0，又或者不要出现对应的 RPL != DPL 的情况
• 我们在上一章节实现的 loader.asm 这个代码基础上做个小实验看一下
• 仅将栈段描述符 STACK32_DESC 的特权级改为 3

; STACK32_DESC : Descriptor 0, TOP_OF_STACK32, DA_DRW + DA_32

STACK32_DESC : Descriptor 0, TOP_OF_STACK32, DA_DRW + DA_32 + DA_DPL3

• 运行一下，程序并不能正确执行
• 不是满足 CPL <= DPL 并且 RPL <= DPL 这个条件吗？怎么程序还是不能执行成功呢？
• 原因就在于特权级 0 的代码段使用了特权级 3 的栈，CPU 肯定不会同意你这么干的
• 所以绝大多数情况下相关特权级定义一致能够有效的避免很多错误

段的分类

• 从 保护模式 中我们知道，描述符分系统描述符和非系统描述符
• 系统段和非系统段的区分方式就是段描述符中的 S 位，系统描述符（S=0），非系统描述符（S=1）
• 系统描述符包含 LDT，TSS 和各种门等
• 非系统描述符其实说的就是代码段或数据段描述符
• 对于代码段，又可以分为两类，一致性代码段和非一致性代码段
• 那么怎么区分一致性代码段和非一致性代码段呢？
• 见下图，段描述符中 TYPE 字段中的 C 位为 1，则为一致性代码段， C 位为 0，则为非一致性代码段
• 说了等于没说，那么如何直观理解一致性代码段和非一致性代码段的区别的呢？
• 在不借助调用门的情况下：

• 非一致性代码段：代码段之间只能平级转移（CPL == DPL，RPL <= DPL）
• 一致性代码段：支持低特权级代码段向高特权级代码段转移（CPL >= DPL），虽然可以成功转移到高特权级的代码段，但是当前特权级 CPL 不变

• 注意：数据段只有一种，没有一致性和非一致性的区分，并且数据段不允许被低特权级的代码段访问

验证一致性代码段特性

• 目的：验证一致性代码段是否支持低特权级代码段向高特权级代码段转移，当前特权级 CPL 是否发生改变
• 首先我们实验所用的基础代码依旧是上面实验所用的基础代码：loader.asm
• 原程序中 Task A（特权级 3）通过调用门跳转到特权级 0 执行打印，现在我们先把打印程序代码段属性改为一致性代码段即可

; FUNC_DESC : Descriptor 0, FUNC_SEG_LEN - 1, DA_C + DA_32
FUNC_DESC : Descriptor 0, FUNC_SEG_LEN - 1, DA_CCO + DA_32

• Task A 中原调用门方式要改为 jmp 直接跳转

; call FUNC_PRINT_SELECTOR : 0
jmp FUNC_SELECTOR : printOffset

• 实验结果，程序成功运行，现象与所期待的一致
• 用反汇编方式断点调试，发现跳转后特权级并未改变，验证我们上面所说的理论

深入理解调用门

• 调用门用于低特权级代码段向高特权级代码段转移
  
• 调用门描述符的特权级低于或小于当前特权级（DPL(Gate) >= CPL）
  
• 用图形的形式直观理解
  
  
• 关于调用门的注意事项

• 调用门支持特权级同级转移
• 调用门同级转移被处理位普通函数调用或直接调用
• call 通过调用门提升特权级，jmp 只能同级转移
• 通过调用门降特权级返回（retf）时，CPU 会对目标代码段及栈段进行特权级检查；对相关段寄存器强制清零

• 通过反汇编后断点调试，发现执行 retf 指令（特权级降低）后，相关段寄存器都被清零了，这是为什么呢？
  
• 原因就是处理器为了内核数据的安全，当发生高特权级代码段向低特权级代码段转移时，CPU 会将这些寄存器全部自动清零，这样子低特权级程序就没有机会非法的访问内核数据了
  

IO 特权级

• 在保护模式下，特权级检查保护机制不光体现在数据和代码的访问，还体现在 I/O 读写控制上
• I/O 读写特权是由标志寄存器 eflags 中的 IOPL 位（bit12-bit13）和 TSS 中的 IO 位图决定的，它们用来指定执行IO 操作的最小特权级。I/O 相关的指令只有在当前特权级大于等于 IOPL 时才能执行。如果当前特权级小于 IOPL 时执行这些指令会引发处理器异常。这类指令有 in、out、cli、sti
• CPL 为 0 的时候 I/O 操作是不受限制的
• 做个小实验验证一下，我们在上一章节实现的 loader.asm 代码上 TASK A 中添加如下指令

mov al, 0x0A

out 0x20, al

• 不用在乎这个指令是什么意义，知道这是 I/O 操作就可以了
• 结果程序运行崩溃

...
(0).[16768112] [0x00002065] 0007:0000002d (unk. ctxt): out 0x20, al              ; e620
00016768112e[CPU0 ] exception(): 3rd (13) exception with no resolution, shutdown status is 00h, resetting
00016768112i[SYS  ] bx_pc_system_c::Reset(HARDWARE) called
00016768112i[CPU0 ] cpu hardware reset

• 从打印提示中可以看出程序死在 out 指令处
• 那么，如何才能操作 eflags 的 IOPL 位呢？
• 可惜汇编中没有直接读写 eflags 寄存器的指令，不过可以使用如下指令迂回实现 eflags 读写操作

pushf
pop eax 
or eax, 0x3000 ; bit12-bit13:11b
push eax
popf

• 解释一下，pushf 作用是将 eflags 寄存器入栈，再利用 pop eax 将刚刚入栈的 eflags 值弹出到 eax 寄存器中，然后改动 eax 的值，接下来 push eax 再将改动后的 eax 值入栈，最后再利用 popf 指令把改动过后的值弹出的 eflags 寄存器中
• 接下来就将上面的指令写到 TASK A 代码中，发现还是报错了，而且通过reg 指令发现 eflags 中 IOPL 位还是 0，并没有改变，这又是怎么回事呢？
• 只有在 0 特权下才能执行上面的指令。如果在其他特权级下执行此指令，处理器也不会引发异常，只是没任何反应
• 于是我们再把指令复制到 CODE32_START 代码段（特权级为 0）下，这回程序运行一切正常了。Ctrl+C 强制退出程序，再用 reg 命令查看 IOPL=3
• 最后提供一下实验完整代码：loader.asm