Suojattu tila

Suojattu tila

Tekijä: Chris Giese
Suomentanut Jouni Kähkönen 2. huhtikuuta 2005
Muokattu: 13. syyskuuta 2005

Katso myös:
1. Prashant TR:n laaja-alainen ja havainnollinen suojattua tilaa käsittelevä opas
2. Yariv Kaplanin neljän kappaleen opas suojatusta tilasta

Mikä on suojattu tila?

8088-suoritin, jota käytettiin alkuperäisessä IBM PC:ssä, ei ollut kovin skaalautuva. Siinä ei pystynyt käyttämään – ilman lisäkonsteja – megatavua enempää fyysistä muistia. Ratkaistakseen tämän ongelman yhteensopivuuden kärsimättä taaksepäin Intel suunnitteli 80286-suorittimen, jossa oli käytettävissä kaksi toimintatilaa: reaalitila, jota käytettäessä 286 toimi kuin "nopeutettu 8088", ja suojattu tila (jota nykyisin kutsutaan 16-bittiseksi suojatuksi tilaksi). Suojattua tilaa käytettäessä ohjelmilla on käytössä fyysistä muistia enemmän kuin yksi megatavu ja lisäksi suojattu tila suojaa muistin väärinkäytöltä; ohjelmien ei muun muassa anneta suorittaa koodia datasegmentistä tai kirjoittaa dataa koodisegmenttiin. Kehittyneempi, 32-bittinen suojattu tila, tuli käyttöön 386-suorittimen myötä.

Mitä eroa on reaalitilalla ja suojatulla tilalla?

Taulukko 1: Erot reaali- ja suojatun tilan välillä.

	Reaalitila	Suojattu tila	32-bittinen suojattu tila
Segmentin kantaosoite	20-bittinen (1 Mt raja-arvo) = 16 * segmenttirekisteri	24-bittinen (16 Mt raja-arvo), deskriptorin kautta	32-bittinen (4 Gt raja-arvo), deskriptorin kautta
Segmentin koko (raja-arvo)	16-bittinen, 64 kt (kiinteä)	16-bittinen, 1 - 64 kt	20-bittinen, 1 kt - 1 Mt tai 4 kt - 4 Gt
Segmentin suojaus	ei	kyllä	kyllä
Segmenttirekisteri	segmentin kantaosoite / 16	valitsin	valitsin

Oletin, ettei suojattu tila käytä segmentoitua muistia...

Segmentit ovat edelleen olemassa 32-bittisessä suojatussa tilassa, mutta segmentin raja-arvon voi niissä asettaa 4 gigatavuun. Tämä on enimmäismäärä fyysistä muistia, jonka 32-bittistä osoitinväylää käyttävä suoritin pystyy enimmillään osoittamaan. Raja-arvomielessä segmentti ikään kuin "katoaa" tällöin (muut suojausjärjestelmät toki jäävät voimaan). Jo pelkästään tämä tekee 32-bittisestä suojatusta tilasta niin suositun.

Mikä on deskriptori?

Reaalitilan segmenteistä täytyy tietää jonkin verran. Ne ovat kukin 64 kilotavun kokoisia, ja niiden avulla pääsee tekemään käytännössä mitä vain: tallettaa siihen dataa, asettaa siihen pino tai suorittaa segmenttiin talletettua koodia. Reaalitilassa segmentin kantaosoite on yksinkertaisesti luku 16 kerrottuna halutun segmenttirekisterin arvolla.

Suojatussa tilassa tarvitsemme paitsi segmentin kantaosoitteen myös segmentin koon (raja-arvon) ja muutaman lipun ilmaisemaan segmentin käyttötarkoitusta. Nämä tiedot ovat 8-tavuisessa tietueessa, jota kutsutaan deskriptoriksi tai kuvaajaksi (eng. descriptor).

Taulukko 2: deskriptorin sisältö sekä koodi- että datasegmentille.

Alin tavu	Tavu 1	Tavu 2	Tavu 3	Tavu 4	Tavu 5	Tavu 6	Ylin tavu
Raja-arvo 7:0	Raja-arvo 15:8	Kanta 7:0	Kanta 15:8	Kanta 23:16	Käyttö	Liput, Raja-arvo 19:16	Kanta 31:24

HUOM: Löydät selkeämmät taulukot sivusta Johdanto suojattuun tilaan.

Tämä on 32-bittinen eli 386-deskriptori. 16-bittisten eli 286-deskriptoreiden tapauksessa kaksi ylintä tavua on asetettava nollaksi, nimittäin Raja-arvo 19:16, Liput ja Kanta 31:24. Käyttö-tavulla ilmaistaan mihin segmenttiä käytetään (datasegmentti, pinosegmentti, koodisegmentti jne.):

Taulukko 3: Käyttö-tavu koodi- ja datasegmenttien deskriptoreissa.

Ylin bitti	Bitit 6, 5	Bitti 4	Bitit 3	Bitti 2	Bitti 1	Alin bitti
Päällä	Etuoikeus	1	Ajettava	Laajenemisen suunta / muoto	Kirjoitettava/luettava	Käytössä

Päällä-bitti. Arvoksi asetettava 1 segmentin käytön sallimiseksi.
Etuoikeus. Nolla on korkein etuoikeustaso (Ring 0), kolme matalin (Ring 3).
Ajettava-bitti. Jos 1, niin tämä on koodisegmentti eli suoritettavaa koodia; muussa tapauksessa tämä on pino- tai datasegmentti.
Laajenemisen suunta (pino- ja datasegmenteille). Jos 1, niin segmentti kasvaa alaspäin, ja segmentin siirrosten täytyy olla suurempia kuin käytettävä raja-arvo.
Muoto (koodisegmentti). Liittyy Etuoikeus-bittiin.
Kirjoitettava (pino- ja datasegmentti). Jos 1, niin segmenttiin voi kirjoittaa.
Luettava (koodisegmenti). Jos 1, niin segmentistä voi lukea (Koodisegmentteihin ei voi kirjoittaa.)
Käytössä (accessed). Tämä bitti on asetettuna päälle aina, kun segmentistä ollaan lukemassa tai siihen ollaan kirjoittamassa.

4-bittinen Lippu-arvo on ei-nolla vain 32-bittisillä segmenteillä:

Taulukko 4: Lippu-nippu.

Ylin tavu	Bitti 6	Bitti 5	Bitti 4
Granulariteetti	Oletuskoko	0	0

Granulariteetti-bitti kertoo ilmaistaanko segmentin raja-arvo 4 kilotavun kokoisina sivuina (G = 1) vai tavuissa (G = 0).

Pinosegmenteillä Oletuskoko-bittiä kutsutaan myös B-bitiksi (Big-bitti). Se ohjaa, käytetäänkö pinoille 16-bittisiä vai 32-bittisiä arvoja. Koodisegmenteillä D-bitti ilmaisee, toimivatko käskyt oletusarvoisesti 16-bitin vain 32-bitin erissä. Tarkemmin sanottuna, kun D-bitti on päällä, segmentti on ns. USE32, mikä on saanut nimensä vastaavasta Assembler-direktiivistä. Tällöin suoritin käsittelee heksalukusarjaa

B8 90 90 90 90

32-bittisenä käskynä, eli se kääntyisi Assemblyksi seuraavasti:

mov eax, 90909090h

16-bittisessä (USE16) koodisegmentissä sama lukusarja vastaisi tätä:

mov ax,9090h

nop

nop

Kaksi erityistä käskykoodin tavua nimeltään Operand Size Prefix ja Address Length Prefix kääntävät vastaavasti D-bitin merkityksen, käskyn kohteen ja lähteen suhteen. Nämä etuliitteet vaikuttavat vain käskyyn, joka sijaitsee välittömästi niiden jäljessä.

Koodi- ja data/pino-segmenteissä Käyttö-tavun neljäs bitti on aina 1. Jos tämän bitin arvo on nolla, kyseessä on järjestelmäsegmentti (system segment). Järjestelmäsegmenttejä on usean tyyppisiä:

Task State Segment (TSS). Näiden avulla helpotetaan moniajoa. 386-suorittimilla ja sitä uudemmilla käytössä on neljä TSS:n alatyyppiä.
Local Descriptor Table (LDT). Ohjelmat voivat tallettaa tähän omia yksityisiä deskriptoreitaan, globaalin kuvaustaulun, GDT:n sijaan.
Portit. Näillä ohjataan suorittimen siirtymiä toisesta etuoikeustasosta toiseen. Porttideskriptorit eroavat muodoltaan muista deskriptoreista:

Taulukko 5: Porttideskriptori.

Alin tavu	Tavu 1	Tavu 2	Tavu 3	Tavu 4	Tavu 5	Tavu 6	Ylin tavu
Siirros 7:0	Siirros 15:8	Valitsin 7:0	Valitsin 15:8	Sanojen määrä 4:0	Käyttö	Siirros 23:16	Siirros 31:24

Huomaa Valitsin-kenttä. Portit toimivat epäsuorasti, eli ne vaativat toimiakseen erillisen koodin tai TSS-deskriptorin.

Taulukko 6: Järjestelmäsegmentin deskriptorin Käyttö-tavu.

Ylin bitti	Bitit 6, 5	Bitti 4	Bitit 3, 2, 1, 0
Päällä	Etuoikeus	0	Tyyppi

Taulukko 7: Järjestelmäsegmenttien tyypit.

Tyyppi	Segmentin tarkoitus	Tyyppi	Segmentin tarkoitus
0	(kelvoton)	8	(kelvoton)
1	'286 TSS saatavana	9	'386 TSS saatavana
2	LDT	10	(määrittelemätön, varattu)
3	Aktiivinen '286 TSS	11	Aktiivinen '386 TSS
4	'286 kutsuportti (Call Gate)	12	'386 kutsuportti
5	Tehtäväportti (Task Port)	13	(määrittelemätön, varattu)
6	'286 keskeytysportti	14	'386 keskeytysportti
7	'286 Trap-portti	15	'386 Trap-portti

Huh! Nyt vain muistat, että TSS:t, LDT:t ja portit ovat järjestelmäsegmentin kolme päätyyppiä.

Missä deskriptorit sijaitsevat?

Deskriptorit ovat talletettuna muistissa olevassa taulussa: Global Descriptor -taulussa (GDT), Interrupt Descriptor -taulussa (IDT) tai yhdessä Local Descriptor -tauluista. Suoritin sisältää kolme rekisteriä: GDTR jonka pitää osoittaa GDT:hen, IDTR jonka pitää osoittaa IDT:hen (jos keskeytykset on käytössä), ja LDTR jonka pitää osoittaa LDT:hen (jos LDT on käytössä). Jokainen näistä tauluista voi säilöä 8192 deskriptoria.

Mikä on valitsin?

Suojatussa tilassa segmenttirekisterit sisältävät valitsimen (engl. selector), joka osoittaa yhteen deskriptoritauluun. Tätä indeksiä varten käytetään valitsimesta vain 13 ylintä bittiä. Seuraava alempi bitti valitsee joko GDT:n tai LDT:n. Valitsimen kaksi alinta bittiä asettavat ns. etuoikeusarvon.

Miten suojattu tila otetaan käyttöön?

Suojatun tilan käynnistäminen on periaatteessa hyvin yksinkertaista, ja siitä kerrotaan useissa muissakin oppaissa. Suojattu tila käynnistetään:

luomalla toimiva Global Descriptor -taulu (GDT),
(valinnainen:) luomalla toimiva Interrupt Descriptor -taulu (IDT),
estämällä keskeytykset,
asettamalla GDTR osoittamaan omaan GDT-tauluun,
(valinnainen:) asettamalla IDTR osoittamaan omaan IDT-tauluun,
asettamalla MSW-rekisterin PE-bitti päälle,
hyppäämällä suojattuun tilaan, eli lataamalla sekä CS että IP/EIP (joista CS-rekisteriin (CS = Code Selector) ladataan koodisegmentin valitsin),
lataamalla DS- ja SS-rekistereihin data/pino-segmenttivalitsin,
asettamalla pystyyn suojatun tilan pino,
(valinnainen:) sallimalla lopuksi keskeytykset.

Miten pääsen takaisin reaalitilaan?

386-suorittimilla:

estä keskeytykset,
hyppää 16-bittiseen koodisegmenttiin (eli lyhyesti vaihda 16-bittiseen suojattuun tilaan),
lataa SS-rekisteri valitsimella, joka viittaa 16-bittiseen data/pinosegmenttiin,
nollaa PE-bitti,
hyppää reaalitilan osoitteeseen,
lataa rekisterit DS, ES, FS, GS ja SS reaalitilan arvoilla,
(valinnainen:) aseta IDTR:ään reaalitilan arvot (kanta 0, raja-arvo 0xFFFF),
salli keskeytykset jälleen.

Ennen palaamista reaalitilaan CS:n ja SS:n tulee sisältää valitsimet, jotka osoittavat reaalitilalle sopiviin deskriptoreihin. Niillä on 64 kilotavun raja-arvo, niiden granulariteetti eli rakeisuus on 1 tavu (Liput-nippu=0), ne ovat ylöspäin laajenevia, kirjoitettavia (ainoastaan data/pino-segmenttien tapauksessa) ja käytössä (Käyttö-tavu=1xx1001x).

286-suorittimissa suojatusta tilasta ei voi noin vain poistua pyyhkimällä PE-bitin arvon. Ainoa tapa on nollata suoritin. Tämän voi tehdä käskemällä näppäimistöohjainta lähettämään impulssin suorittimen reset-linjalle tai ns. "triple-faulttaamalla" suoritinta (katso Robert Collins’in kotisivut: www.x86.org).

Mitä ongelmia olet kohdannut?

Kiinnitä äärimmäistä huomiota mainittuihin yksityiskohtiin. Yksikin väärä bitti kaataa koko hoidon. Suojatun tilan virheet usein "triple-faulttaavat" suorittimen aiheuttaen suorittimen automaattisen nollautumisen. Varaudu kohtaamaan tämä kerta toisensa jälkeen.
Useimmat kirjastorutiinit eivät yleensä toimi. printf() ei esimerkiksi toimi, koska se kutsuu loppujen lopuksi joko DOS- tai BIOS-palvelua kirjoittaakseen tekstin näytölle. Jollei käytössäsi ole DOS-laajennusta, nämä palvelut eivät ole käytettävissä suojatussa tilassa. Itselleni oli paljon hyötyä siitä, että syötin formatoitua tekstiä puskuriin sprintf() –funktiota käyttäen, jonka sitten kirjoitin näytölle omalla, suojatussa tilassa toimivalla rutiinillani.
Ennen PE-bitin nollaamista segmenttirekistereiden pitää osoittaa deskriptoreihin, jotka ovat sopivia reaalitilalle. Tämä tarkoittaa täsmälleen 0xFFFF-raja-arvoa (katso muut rajoitukset ylempää). Yksi demo-ohjelmistani käytti ES:ää osoittamaan tekstivideosegmenttiin. 0xFFFF-raja-arvon kanssa asiat toimivat moitteetta. Raja-arvoa 3999 (80 * 25 * 2 - 1) käyttämällä järjestelmä jumiutui kuitenkin heti kun palasin reaalitilaan ja yritin käyttää ES-rekisteriä.

Itse asiassa DS-, ES-, FS- ja GS-rekistereillä segmenttiraja-arvon täytyy olla 0xFFFF tai suurempi. Jos asetat segmenttiraja-arvoksi 0xFFFFF ja teet siitä sivu-granulaarisen, voit käyttää reaalitilasta käsin muistia 4 Gt. Tätä on alettu kutsua epäreaalitilaksi. Joka tapauksessa muut raja-arvot kuin 0xFFFF (tai sivu-granularisuus) CS- tai SS-rekistereissö voivat aiheuttaa suuria ongelmia reaalitilassa.

Et voi käyttää '286-suorittimen LMSW-käskyä PE-bitin nollaamiseen. Käytä sen sijaan MOV CR0, nnn.
Lataa kaikki segmenttirekisterit oikeilla valitsimilla suojattuun tilaan astumisen jälkeen. Unohdin tehdä tämän ES:lle: Suojatun tilan rutiini vei ES-rekisterin pinoon, latasi sen toimivalla valitsimella ja käytti sitä. Kun yritin ottaa pinosta vanhaa, virheellinen (reaalitilan) valitsin palasi ES:ään, ja kone kaatui.
IDTR:n pitää myös olla esiasetettuna reaalitilalle kelpaavaan arvoon ennen keskeytysten kytkemistä takaisin päälle (ks. yllä).
Kaikki käskyt eivät ole laillisia reaalitilassa. Jos yrität käyttää ohjelman tilannesegmenttejä moniajoa varten, huomioi että LTR-käskyn suorittaminen reaalitilassa aiheuttaa laittoman käskyn keskeytyksen.
ROM:issa sijaitsevia deskriptoritauluja? Kappale 10.4.3 tiedostosta 386INTEL.TXT toteaa:

GDT:n (niin kuin LDT-taulujenkin) pitäisi jäädä RAM:iin, koska suoritin muuttaa deskriptoreiden accessed- eli käytössä-bittiä.

Yksi lähteeni kertoo kuitenkin (kiitos, Vinay), että uudemmat suorittimet eivät yritä asettaa deskriptorin käytössä-bittiä jos bitti on jo asetettu. Tarkista asia käyttämäsi suorittimen dokumentaatiosta.

Tässä kattu naiivi koodi kaatuu, jos tietokone on V86- eli 8086-virtuaalitilassa. Virtuaalitila on neljäs 386-suorittimesta löytyvä toimintatila, jossa osoittaminen vastaa reaalitilaa, mutta jossa on joitain suojatulle tilalle ominaisia suojausmekanismeja. Tietänet, että Windowsin (kuin myös OS/2:n tai Linuxin) DOS-ruutu toimii V86-tilassa, mutta et välttämättä ole oivaltanut, että muistinhallintasovellukset, kuten EMM386, asettavat myös suorittimen V86-tilaan.

Jos haluat aloittaa yksinkertaisesta, ota huomioon seuraavat seikat:

Älä pelkää palata reaalitilaan. Voit käyttää aina reset-painiketta :)
Jätä keskeytykset estetyiksi.
Älä käytä LDT:tä.
Pane GDT-tauluun vain neljä deskriptoria: null, koodi, pino/data, ja tekstivideo.
Aseta segmenttikannat reaalitilan arvoihin, kuten 16 * reaalitilan segmenttirekisterin arvo. Näin voit osoittaa muuttujia samalla tavalla niin reaali- kuin suojatussa tilassa.
Aseta kaikki segmenttiraja-arvot suurimmiksi mahdollisiksi (0xFFFF:ksi 16-bittisellä suojatulla tilalla).
Jätä kaikki etuoikeusarvot nollaksi (Ring 0, korkein etuoikeus).
Asenna yksinkertaisia poikkeuksenkäsittelijöitä, jotka vain kirjoittavat viestin videomuistiin ja sitten keskeyttävät ajon:

void unhand(void)

{
        static const char Msg[]="U n h a n d l e d   I n t e r r u p t ";

        disable();

        movedata(SYS_DATA_SEL, (unsigned)Msg,

                 LINEAR_SEL, 0xB8000,

                 sizeof(Msg)
                );

        while(1);

Viestissä vuorottelevia välimerkkejä PC-videolaitteisto käsittelee attribuuttitavuina. Näin viesti näkyy huomiota herättävänä musta-vihreänä tekstinä. Aseta sopivaan IDT-taulun deskriptoriin (jokaiseen?) keskeytysportti siten, että trap-portin valitsinkenttä viittaa käsittelijän koodisegmenttiin ja siirroskenttä tämän rutiinin muistiosoitteeseen.

Suomentanut: Jouni Kähkönen, 23. tammikuuta 2005

Tämä suomalainen versio on julkaistu Chris Giese'n myöntämällä luvalla.