如何从用户态进入内核态

1. 前置知识

1.1 GDT

• global （segment）descriptor table
• 全局段号记录表（全局段号描述符表），以数组的形式存放在内存的某个地方
• 该块内存的起始地址和有效设定个数放在CPU内的一个名为GDTR（48位）的特殊寄存器中。
• GDT中每一项（每一个描述符）表示一个段的信息，占8个字节（64位）
  • 段的大小（20位）
  • 段的起始地址（32位）
  • 段的管理属性（12位）

•  DPL（目标段优先级）：占两位，可能取值位00 和11
  • 内核态的优先级为3
  • 用户态的优先级为0

1.2 两种寻址模式

• 16位模式：DS、CS等寄存器中存放的是段起始地址
• 32为模式：DS、CS等寄存器中存放的是GDT数组的下标。然后通过GDT找到该下标对应的段描述符从而得到段起始地址。

1.3 IDT

• 中断描述符表，与GDT类似，记录了0~255个中断描述符
• 以数组的形式存储在内存中
• 每个中断描述符表项占64位，（8字节）
  • Offest：中断处理函数地址的偏移量
  • Selector：用于查找中断处理程序的基址。
  • DPL：目标段优先级

• Selector结构 
  • GDT的索引号（13位）

1.4 中断 

• CPU每次执行完一条指令后，总会先检查有无中断请求，无则执行下一条指令，有则在总线上读取中断向量号
• 通过查找IDT表定位到该中断向量号对应的中断描述符。
• 设当前进程的代码段特权级为CPL，找到的中断描述符的特权级为DPLd，中断服务程序所在段的特权级为DPLs,中断的特权级检查有两道关卡，只有通过了这两道检查后才能进入中断服务函数
  • CPL与DPLs进行比较，若CPL>=DPLs则检查通过，否则异常
  • CPL与DPLd进行比较，若CPL<=DPLd则检查通过，否则异常 
  • 第一次比较一般都能通过，因为中断服务函数所在段都是内核代码段，所以DPLs为0；而大多数中断描述符的特权级是为0，只有CPL=0时才能让CPL<=DPLd成立，即大多数情况下能通过第二次比较的只有内核代码段。所以Linux中提供了少量的中断描述符的特权级为3，这些中断描述符对应的中断向量号分别是0x03,0x04,0x05,x080。对应的四个终端服务函数分别为断点，溢出，边界检查，系统调用。

1.5 TSS

• task state segment，任务状态段
• X86体系从硬件上支持任务间的切换，因此它新增了一个段，任务状态段（TSS）
• 它与数据段，代码段一样也是一种段，记录了任务（进程或线程）的状态信息
• 和其他段一样，TSS也有描述它的结构：TSS描述符表，同时还有一个TR寄存器，它指向了当前任务的TSS描述符号。
• 当任务切换的时候，CPU会将原来寄存器的内容写出到相应的TSS中，同时将新的TSS的内容填到寄存器中，这样就实现了任务的切换。
• 这是硬件厂商提供的一种实现方式，但是如今我们实际并不是使用这种方式，我们会将任务的寄存器值压入到该任务所对应的内核栈中，而不是TSS中。
• 实际上linux2.6之后的实现方式为：
  • 一个CPU使用唯一一个TSS段，TR寄存器保存该段。而且CPU只会使用TSS段中的额esp0和iomap字段
  • 当CPU有用户态切换的内核态，则运行的还是当前线程或进程，则通过当前线程的数据结构找到内核栈地址，从CPU唯一的TSS段找到该内核栈的栈顶指针esp0，然后即可将用户态下的CPU各个寄存器保存到内核栈中。
  • 如果发生进程的切换，则会先将TSS中的esp0保存当前线程信息结构体中。然后将要的切换的线程结构体中的esp赋给TSS中的esp0，从而实现不同进程的内核栈的切换。

2. 通过系统调用如何从用户态切换到内核态

int main(){
    // C库函数
    fork();
}

// c库函数
pid_t fork(){
    ...
    int 0x80    // 80号中断
    ...
    ret
}

// 80号中断的处理函数
system_call:
    call *sys_cal_table(0,%eax,4)
    ...
    iret

// 系统调用函数
sys_fork(){
    ...
}

1. 用户运行C库函数fork()。函数里面会执行int 0x80指令。
   1. 在执行中断指令之前会先把系统调用号（2，代表sys_fork()系统调用）保存在ebx寄存器中
   2. 然后才会去执行int 0x80指令
2. 查找中断向量表，找到80号中断对应的中断处理程序（int  0x80后CPU硬件处理过程）
   1. 处理器临时保存用寄存器中SS和ESP的值，记作SS_old,ESP_old
   2. 从TSS中找到当前程序对应的内核栈加载到寄存器SS和ESP中
   3. 在内核栈中一次性压入用户状态寄存器SS_old、ESP_old、eflags、cs、ip（由CPU硬件完成）
   4. 进入中断处理程序（切换cs和ip）(完成用户态到内核太切换)
3. 执行中断处理程序（system_call）
   1. 检查系统调用号（存于eax中）的有效性
   2. 将ds，es，fs，edx，ecx，ebx等寄存器压入内核栈
   3. 根据系统调用号（2）从系统调用表上找到系统调用sys_fork()
   4. 执行系统调用sys_fork()
   5. 将内核栈的数据弹出到ds，es，fs，edx，ecx，ebx等寄存器中
   6. 中断返回iret
      1. 由CPU硬件完成SS_old、ESP_old、eflags、cs、ip弹出到指定寄存器。

3. 总结

• 中断号是有限的，操作系统不舍得每个系统调用对应一个中断号
• 在linux中使用int 0x80 来触发所有的系统调用。每个系统调用对应一个系统调用号。
• 在执行int 0x80指令前将系统调用号放在某个固定的寄存器中（eax），然后int 0x80的中断处理程序会根据这个系统调用号找到相应的系统调用并执行。