调试kernel时对bios加电后过程的一些心得

最新推荐文章于 2023-07-05 09:25:47 发布
最新推荐文章于 2023-07-05 09:25:47 发布
阅读量3.9k 收藏 6
点赞数 2
文章标签: byte c ibm 汇编 linux 存储
 前几天折腾了一下kernel 并debug了引导和初始化部分,有一些心得,更正了一直以来的很多错误认识。
这里还是拿linux 0.00 的代码来实验,制作好引导盘后启动 bochs (已重新编译加了 –enable-debugger –enable-disasm 参数)
 
下图是IBM PC内存的分布状况:
(注意: 0xA0000 is the pointer address to the Graphical Mode and 0xB8000 is the pointer address to the Color Text Mode and 0xB0000 is the pointer to the Monochrome text Mode. 
 
尽管上面很多区域在bios初始化后填充了内容但其实是可以将kernel 载入 除640KB – 1MB 以及4G高位内存附近的任何存储空间中。因为BIOS提供的参数数据和中断向量kernel并不使用,可以被直接覆盖。
 
下面总结一下整个过程:
 
  1.
加电后cpu 的 状态是:
eax:0×00000000, ebx:0×00000000, ecx:0×00000000, edx:0×00000543
ebp:0×00000000, esp:0×00000000, esi:0×00000000, edi:0×00000000
eip:0x0000fff0, eflags:0×00000002, inhibit_mask:0
cs:s=0xf000, dl=0x0000ffff, dh=0xff009bff, valid=1
ss:s=0×0000, dl=0x0000ffff, dh=0×00009300, valid=1
ds:s=0×0000, dl=0x0000ffff, dh=0×00009300, valid=1
es:s=0×0000, dl=0x0000ffff, dh=0×00009300, valid=1
fs:s=0×0000, dl=0x0000ffff, dh=0×00009300, valid=1
gs:s=0×0000, dl=0x0000ffff, dh=0×00009300, valid=1
ldtr:s=0×0000, dl=0×00000000, dh=0×00000000, valid=0
tr:s=0×0000, dl=0×00000000, dh=0×00000000, valid=0
gdtr:base=0×00000000, limit=0xffff
idtr:base=0×00000000, limit=0xffff
dr0:0×00000000, dr1:0×00000000, dr2:0×00000000
dr3:0×00000000, dr6:0xffff0ff0, dr7:0×00000400
cr0:0×00000010, cr1:0×00000000, cr2:0×00000000
cr3:0×00000000, cr4:0×00000000

通过cs:ip可以发现第一条指令是在0xf000:0xfff0 执行的. 如果只读过大学那些涉及皮毛的书你肯定会认为其物理地址就是0xffff0 (0xf000<<1+0xfff0)。但这样的认识仅仅是针对i8086 ,真正的x86 架构即i80386 之后是这样的:cpu刚刚设置cs:0xf000的时候其实并不是像课本上说的那样在实模式下。此时的物理地址需要根据cs中的隐藏寄存器dl=0x0000ffff, dh=0xff009bff中去查。这个其实就是段描述符(至少在保护模式下是,这里也暂时这样称呼吧) dh的最高8位和最低8位以及dl的高16位组成了32位段基址:0xffff0000 再加上ip:0xfff0 那么物理地址就是0xfffffff0 正好是4GB空间的最后16Byte。
即执行的第一条指令也在这里:
(0) [0xfffffff0] f000:fff0 (unk. ctxt): jmp far f000:e05b         ; ea5be000f0
跳转到真正BIOS程序的入口地址

这里做很精妙,因为intel考虑到兼容性问题设置了cpu加电后cs:ip=0xf000:0xfff0: 如果是i8086那么该跳转指令将在16位cpu可寻址最大空间1MB(基本内存)的最后16Byte,如果是i80386则将在32位cpu可寻址最大空间4GB的最后16Byte。

再反汇编看一下:

<bochs:3> x /10 0xf000:0xfff0
[bochs]:
0x000ffff0 <bogus+       0>:    0x00e05bea      0x2f3730f0      0x302f3630      0xe4fc0035
0×00100000 <bogus+      16>:    0×00000000      0×00000000      0×00000000      0×00000000
0×00100010 <bogus+      32>:    0×00000000      0×00000000

<bochs:4> u /10
000ffff0: (                    ): jmp far f000:e05b         ; ea5be000f0
000ffff5: (                    ): xor byte ptr ds:[bx], dh  ; 3037
000ffff7: (                    ): das                       ; 2f
000ffff8: (                    ): xor byte ptr ds:0x302f, dh ; 30362f30
000ffffc: (                    ): xor ax, 0xfc00            ; 3500fc
000fffff: (                    ): in al, 0×0                ; e400
00100001: (                    ): add byte ptr ds:[bx+si], al ; 0000
00100003: (                    ): add byte ptr ds:[bx+si], al ; 0000
00100005: (                    ): add byte ptr ds:[bx+si], al ; 0000
00100007: (                    ): add byte ptr ds:[bx+si], al ; 0000

这里应为CR0的PE标志复位所以会显示不正确的物理地址(000ffff0,00100007等)

2.

但刚才那种即非实模式也非保护模式的特殊寻址方式不会持续很久,因为intel规定当这时cs再次载入值时cpu将完全进入实模式。也就是说刚才jmp far f000:e05b 导致cs载入0xf000(注意这个是长跳转哦) 这就使cpu进入实模式,而且物理地址即0xf000<1+0xe05b=0xfe05b (实模式段长64KB)
反汇编看一下代码:
(0) [0x000fe05b] f000:e05b (unk. ctxt): xor ax, ax                ; 31c0
<bochs:3> n
Next at t=2
(0) [0x000fe05d] f000:e05d (unk. ctxt): out 0xd, al               ; e60d
<bochs:4>
Next at t=3
(0) [0x000fe05f] f000:e05f (unk. ctxt): out 0xda, al              ; e6da
现在的代码都是在1MB空间里执行的。

3.
执行完BIOS代码后(现在的BIOS 都相当大和复杂)默认从fd0(IBM PC传承的传统)将第一扇区的内容copy到物理地址0x7c00。 但有趣的是这里0x7c00处是一个长跳转指令,而且呈现的虚拟地址是0×0:0x7c00:
(0) [0x00007c00] 0000:7c00 (unk. ctxt): jmpfar 07c0:0005         ; ea0500c007
单步执行后:
(0) [0x00007c05] 07c0:0005 (unk. ctxt): mov ax, cs                ; 8cc8

可以看到重新加载了cs寄存器,但物理地址还是紧接着跳转指令。从dump_cpu中也可以看到:

eax:0x0fffaa55, ebx:0×00000000, ecx:0×00110001, edx:0×00000000
ebp:0×00000000, esp:0x0000fffe, esi:0×00007362, edi:0x0000ffde
eip:0×00000005, eflags:0×00000082, inhibit_mask:0
cs:s=0x07c0, dl=0x7c00ffff, dh=0x00009b00, valid=1
ss:s=0×0000, dl=0x0000ffff, dh=0×00009300, valid=7
ds:s=0×0000, dl=0x0000ffff, dh=0×00009300, valid=1
es:s=0×0000, dl=0x0000ffff, dh=0×00009300, valid=1
fs:s=0×0000, dl=0x0000ffff, dh=0×00009300, valid=1
gs:s=0×0000, dl=0x0000ffff, dh=0×00009300, valid=1
ldtr:s=0×0000, dl=0×00000000, dh=0×00000000, valid=0
tr:s=0×0000, dl=0×00000000, dh=0×00000000, valid=0
gdtr:base=0×00000000, limit=0xffff
idtr:base=0×00000000, limit=0xffff
dr0:0×00000000, dr1:0×00000000, dr2:0×00000000
dr3:0×00000000, dr6:0xffff0ff0, dr7:0×00000400
cr0:0×00000010, cr1:0×00000000, cr2:0×00000000
cr3:0×00000000, cr4:0×00000000

不过这样做的目的还真的不太清楚了

4.
进入保护模式后bochs的偏移地址会变更为32位 :
(0) [0x00007c46] 07c0:0046 (unk. ctxt): mov ax, 0×1               ; b80100         
<bochs:1407>                                                                       
Next at t=483362698                                                                
(0) [0x00007c49] 07c0:0049 (unk. ctxt): lmsw ax                   ; 0f01f0         
<bochs:1408>                                                                       
Next at t=483362699                                                                
(0) [0x00007c4c] 07c0:0000004c (unk. ctxt): jmp far 0008:0000         ; ea00000800

中国在能够输出自己的价值观之前不会成为真正的强国
tianwailaibin
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Kernel启动到Android系统整个过程源码分析
04-29
Kernel启动到Android系统整个过程源码分析
H3平台单独编译kernel以及调试驱动的过程
09-06
该文档描述了如何方便的调试全志(H3)平台下添加自己的驱动并方便调试,旋转按钮的添加
BCT看来的--关于BIOS注入!的讨论
weixin_34337265的博客
12-06 286
不知道大家是否想过把BIOS改造成后门?!因为BIOS是最先获得启动权的动动,也是最先获得系统控制权的!如果我们改造BIOS,这样是不是就能永久占领目标机呢?不是的,因为BIOS是先于操作系统运行的,在操作系统运行后就把控制权交给了OS,而且如果操作系统不同,我们注入的程序要怎么做?在说下修改思路(来源于病毒),就是BIOS有个东西叫ISA模块,来自ISA协议,是靠挂...
操作系统的引导过程
yoongrui
07-05 96
学习操作系统的引导过程
2 Day:启动,BIOS,MBR
GeniusLS的博客
11-21 734
推开操作系统世界的大门,开始写一个MBR吧
OJ题[选择题] -- "进制转换"
asdx1020的博客
02-01 538
在java中以0x开头的数表示十六进制(如0x1, 0xa), 其中以字母a~f表示10~15的数字 如:0xf表示十进制数15 在java中以0开头的数表示八进制(如012,03), 没有前缀的数才表示十进制数(如123,4) 16进制转化为10进制: 如:123: 3*16^0+2*16^1+1*16^2 对应位数乘以16的对应次方 一个例子: 变量a是一个64位有符号的...
深入理解 x86/x64 的中断体系
fivedoumi的专栏
01-03 9266
实模式下的中断机制 中断向量表(IVT)改变中断向量表地址设置自己的中断服务例程 保护模式下的中断机制 查找 interrupt handler 入口IDT 表中 descriptor 类型的检查使用 16-bit gate descriptorIDT 表的 limit 检查请求访问 interrupt handler 的权限检查 gate 的权限设置interrupt ha
bc.rar_cognitive_kernel debugging_调试 经验
09-23
在《bc.chm》这份资料中,作者分享了自己在内核调试过程中的认知和经验,这些宝贵的经验不仅包括技术层面的技巧,还包括了问题解决的思维方式和面对挑战的态度。通过阅读和实践,我们可以学习如何从一个初学者成长为...
Pintos调试心得
11-12
Pintos 调试心得 Pintos 调试心得是一篇关于如何使用 GDB 调试开源操作系统 Pintos 的经验分享文章。下面将详细介绍文章中的知识点: 一、如何用 GDB 调试内核 文章首先介绍了如何使用 GDB 调试 Pintos 内核。...
UBOOT启动后到KERNEL过程
03-11
这些文档可能还涵盖了如何调试KERNEL启动过程的技巧,以及在遇到问题如何分析日志和解决问题。 通过《UBoot源码分析.pdf》,我们可以了解到UBOOT启动流程的细节,比如如何解析设备树,如何处理各种存储设备(如...
用debug命令初始化硬盘!
03-31
用debug命令初始化硬盘!这是快速将硬盘初始到初厂状态的方法,效果很好!
操作系统的启动流程
ZZHinclude的博客
10-29 908
1.大致流程 1.按下开机键 2.BIOS加电自检 3.BIOS找到硬盘上的第一个扇区 --> MBR 4.MBR在第一个扇区中找到分区表,并发现了活动分区的内核加载器 5.内核加载器加载内核 2.MBR 主引导记录 446字节的引导程序及参数 64字节的分区表信息 2字节的结束标志 0x55 0xaa 3.分区表 1.一个分区表需要占用16个字节 所以只有四个分区,称为一级分区或者是主分区 2.四个分区中只能有一个是活动分区,也就是说只能有一个是被激活的 3.活动分区就是这个分区中存放着操作系统
ucore lab1笔记
Dedsec_G的博客
03-10 357
phase2 1.修改gdbinit(gdb初始化): file bin/kernel set architecture i8086 target remote :1234 设为i8086模式,并且通过1234端口与qemu通信 2.在lab1目录下执行 make debug 3.此CS=0xf000,EIP= 0xfff0, 则[CS:EIP] = (CS << 4) + (EIP) = 0xffff0 输出0xffff0 处的指令 果然是一条跳向0xf...
计算机的启动原理
谈成(C/C++)
05-06 690
1.开启电源 2.启动自检 3.初始化所有寄存器,其中的CS:0xF000、IP:0xFFF0 4.如果存在异常,则将异常写入EAX中。 5.检测EAX的值是否正常。如果不为0,则发生错误。 6.CPU开始执行CS:IP处代码。 注意:在64位CPU环境下,平的工作都是在保护模式下进行的。使用的都是虚拟地址来访问内存。由内存管理单元MMU负责做地址转换(虚拟地址->物理地址)。但在开机,虚拟地址转换所需的页目录、页表等数据都尚未加载,所以MMU暂无法使用。因此开机使用的都是16位寄存器。在实地
操作系统启动流程分析
weixin_33866037的博客
02-15 133
计算机通电启动,第一件事需要找到BIOS的入口地址,首先cpu 的 cs:ip 寄存器被强制初始化为 0xF000:0xFFF0,由实模式下寻址可知,BIOS的入口地址即为0xFFFF0,而这个地址并不是BIOS的起始代码而是一个长跳转指令 jmp far f000:e05b,如下图: 而f000:e05b处才是真正的BIOS起始代码,然后接下来 BIOS 便马不停蹄地检测内存、显卡等...
x86架构系统启动过程
u012418573的博客
06-25 3483
x86结构下操作系统启动: 计算机加电后,代码段寄存器CS=0xF000h,指令指针寄存器EIP=FFF0h,在CS寄存器中隐含的一个基址BASE=FFFF0000h,80386中实际地址是BASE+EIP=FFFF0000h+0000FFF0h=fffffff0h(在8086中最初执行的地址是PC=16×CS+IP,其实在GDB下调试ffffffff0h地址下的命令和ffff0地址处的命令相同,
x86的启动过程
yazhouren的专栏
12-13 1421
1. 上电,首先执行ljmp   $0xf000,$0xe05b 即地址0xffff0,调转到bios,开始 执行bios      bios负责PCI,显卡之类设备的初始化,并把可启动设备(软盘,硬盘,光盘)的引导扇区boot loader(第一个sector)拷贝到内存地址[0x7c00--0x7dff]之间,最后跳转到 CS:IP to0000:7c00,开始执行boot loader,将
计算机启动过程
potatotamato的博客
05-01 908
关于这一个问题,网上有很多答案,但是说法都比效官方: BIOS 按照“启动顺序”,把控制权转交给排在第一位的存储设备:硬盘。然后在硬盘里寻找主引导记录的分区,这个分区告诉电脑操作系统在哪里,并把操作系统被加载到内存中,然后你就能看到经典的启动界面了,这个开机过程也就完成了。 看完这一段话,你肯定会有很多疑问:为什么是 BIOS 主导这一切?怎么叫按照启动顺序?这个分区咋就被加载到内存了,有咋告诉电脑操作系统在哪里了? 对于以上的官方回答,我们来说说人话。 但是在说人话之前,我们得先了解一些前置知识: 1、内
树莓派4b jlink 调试 kernel
最新发布
01-25
调试过程中,可以使用JLink提供的功能来设置断点、单步执行、查看寄存器和内存等,帮助我们定位和解决kernel中的问题。通过不断的调试和分析,可以逐步改进kernel的代码,提高系统的稳定性和性能。 总的来说,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值