【我所認知的BIOS】—>SMM(System management mode学习笔记)By LightSeed2009-9-11 1、System management mode综述这篇文章里面我主要是谈谈对IA32的了解,而且也纯粹是笔记而已,没有太多的组织语言。1.1什么是SMMSMM是一种特殊用途的运行模式,他是用来处理影响整个系统功能的模式。影响整个系统功能的东东大致有:电源管理,系统硬件的控制等,或者也可用用这个模式来处理专有OEM designed代码。这种模式的运行只面向系统固件,而不是由软件来申请使用的。SMM的好处有很多后主要有,它提供了一个比较清楚的,容易孤立的处理的环境。这种模式对于系统或应用软件是透明的(我的理解呀,透明就是没有任何影响的意思^^,如果不正确还往高手不吝指教)。1.2 SMM能够完成的事情当SMM通过SMI而被调用(或者说进入更合适点吧),处理器就会保存处理器的当前状态(处理器的上下文,发觉英文翻译过来真别扭,还是建议大家看E文原版比较好。-_-<),然后切换到SMRAM中这个独立的运行环境中来。当CPU的模式是SMM的时候,CPU去执行SMI handler代码,来完成相应的操作。比如:①关闭未使用的磁盘驱动器或显示器,执行专有的代码;②将整个系统进入挂起状态(suspended state)。③处理DOS下的USB等等相关的东东。④相关的定时器的刷新(在DOS下有Go Stop grant,的选择它也是通过SMI来计时的。)⑤等等,,,用SMI来处理的相关操作真是太多了。这里例举不完。当在SMI处理程序已完成其规定的操作后,它会执行恢复(RSM)指令。这指令会使处理器重新加载处理器之前已经保存了的上下文,切换到之前的保护模式或实模式下,恢复(应该说是进入SMM之前的程序,继续执行此程序)去执行中断应用程序(ISR)或操作系统程序(program)或任务(task)。1.3 SMM的特点SMM的以下机制(也许翻译成“特点”更加有味道),使之对于应用程序和操作系统而言都是透明的:①进入SMM的唯一途径是触发了SMI信号。②处理器执行SMM代码的时候是在一个单独的地址空间(SMRAM)下完成的,并且这段地址空间在其他模式下是绝对不能被访问的(inaccessible)。③在进入SMM的时候,处理器保存了中断程序(interrupted program)或者任务(task)的上下文。④通常由OS来处理的所有中断,在进入SMM后都会被disabled。(当然这里说的是通常,其实在后面我们会进一步探讨,这些中断也是可以打开的,只是要考虑的情况就比较多,比较复杂罢了。)⑤RSM指令只能在SMM里执行。(有人会问,那如果在其他模式下执行RSM,结果会怎样呢?笔者觉得你可以尝试一下,结果你自然就知道了。^^)SMM是类似于实地址模式中,不存在任何权限级别或地址映射。一个SMM的程序可以处理多达4G内存且可以执行所有I / O和指令。2、SMM和SMI2.1 SYSTEM MANAGEMENT INTERRUPT (SMI)系统管理中断进入SMM的唯一途径是产生了SMI信号。这个信号会通过处理器的SMI# pin产生,或者直接从APIC bus上收到了SMI信号。SMI是一个不可屏蔽的外部中断,SMI的运作独立于处理器的其他中断,异常处理机制,本地(local)APIC。SMI的优先级要高于NMI(不可屏蔽中断)和可屏蔽中断。SMM是不可重入的,这就是说,当处理器在SMM里的时候,SMI是被disabled了的。2.2 SMM和其他模式之间的联系2.2.1SMM和其他模式之间的切换图1显示了SMM与其他处理器运行模式(保护模式,实模式和虚拟- 8086)之间的切换过程。SMI信号产生后,不管处理器是实模式,还是保护模式,甚至虚拟8086模式都会导致处理器切换到SMM。执行指令(RSM)后,处理器总是回到进入到SMM模式之前的那个模式。 图1处理器各种模式之间的切换示意图2.2.2进入SMM当处理器收到一个SMI信号,它会等待所有指令就绪,同时等待所有保存完成。处理器会保存它的上下文到SMRAM(后面小节会介绍),然后进入SMM的,并开始执行SMI handler(处理程序)。当处理器在进入SMM的时候,它会通知处理器的外部硬件说:“SMM已经开始了”(或者SMI pin会呈三态。或者SMIACT#会被访问等等,只是各种处理器的表达方式不太一样罢了,但是宗旨都是一样的。这和我们人的语言比较相像,虽然我们和外国都说不同的语言,但是我们的目的都是相互交流。)。SMI的优先级高于调试异常(debug exceptions)和外部中断。因此,如果NMI,可屏蔽硬件中断,或出现调试指令,和SMI同时向CPU发送信号的时候,只有SMI会被处理。随后CPU不再会响应SMI请求,因为处理器已经在SMM里面了。当处理器已经在SMM里面的时候,第一个SMI请求将会被锁存,并且当处理器执行RSM指令退出SMM后,马上会响应这个SMI(就是再一次进入SMM。)。不过需要说的是,当处理器在SMM中时它只能,仅仅只能锁存一个SMI信号。2.2.3退出SMM退出SMM的唯一方法是执行RSM指令。RSM指令只能是在SMI的处理程序中有效;如果处理器没有处于SMM,而试图执行RSM指令,那么这将会导致操作码异常。RSM指令可以恢复处理器的上下文,这些上下文的信息被做成镜像存入到SMRAM里面了。RSM就是通过加载这个镜像,恢复处理器的寄存器从而恢复状态的。然后处理器返回SMIACK信息到系统总线,并把控制权交还给被中断的程序。RSM指令成功完成后,处理器会通知外部硬件SMM已经退出。对于不同的CPU有不同的反应这个和进入SMM的时候是相对应的。如果处理器检测到无效的状态信息保存在SMRAM,它将会进入关闭状态并生成一个特殊的总线周期表明它已经关闭。这种关闭状态只发生在下列情况下:①在写CR4的时候,控制寄存器CR4的预留位被设置为1。这种错误一般来说是不会发生的,除非SMI处理程序的代码修改了SMRAM保存处理器上下文区域的保存状态,从而修改了CR4的保存所在的位置。不过值得注意的是,它所在的位置也是无法读取或修改其保存状态的。②一个非法的位组合写入到控制寄存器CR0,特别是PG设置为1和PE设置为0,或NW为1和CD设置为0。③(仅对于奔腾处理器和英特尔486处理器)当执行RSM的时候,如果存入SMBASE地址寄存器的地址不是32Kbyte边界对齐。这条限制不适用P6系列处理器。在关闭状态,英特尔处理器停止执行指令,直到RESET#,或NMI#的INT#是有效。然而在关闭状态,奔腾系列处理器可以识别SMI#信号,P6系列的处理器和Intel486处理器却不行。英特尔的任何系列的CPU均不支持使用SMI#把CPU从关闭状态恢复。处理器在这种情况下的反应是不明确的。在奔腾4和后来处理器上,关闭将抑制INTR和A20M,但不会改变任何其他抑制。在这些处理器上,如果在SMM的处理程序中没有做任何动作去解除对NMI的抑制,那么NMI将被一直抑制。3、SMRAM3.1 SMRAM的综述当处理器在SMM里的时候,处理器执行代码和存储数据都是在SMRAM空间里发生的。SMRAM空间映射到处理器的物理地址空间,它可多达4GBytes。处理器使用这个空间来保存处理器的上下文和存储SMI的处理程序代码,数据和堆栈。它也可以用来存储系统管理信息(如系统配置和关闭设备的具体信息)和OEM的具体信息。默认SMRAM大小为64Kbytes,并且它的开始会有一个物理基地址(又叫做SMBASE)。当然这一切都是在物理内存上的。SMBASE的默认值是30000H(硬件复位就是这个值。)。处理器会到[SMBASE+8000H]处去找SMI处理程序的第一条指令。[SMBASE + FE00H]至[SMBASE + FFFFH]存储着处理器的状态。(见后面3.2的详细说明。)该系统的逻辑是需要解码的SMRAM最低限度物理地址范围,自[SMBASE + 8000H]至[SMBASE + FFFFH]。如果需要的话,处理器可以解码更大的地址空间。SMRAM大小最小可是32 KB(笔者:知道这里是怎么来的么?其实就是8000H~FFFFH)最大可以是4 Gbytes。SMRAM位置可以通过改变SMBASE值来改变(后面会说。)。应当指出,在一个多处理器的系统中,所有处理器初始时SMBASE值相同(30000H)。初始化软件必须按顺序让每个处理器进入SMM并改变其SMBASE,以便它不和其他的处理器重叠。(笔者:在这里只是这么说而已,其实在后面的探讨中,我们会发现也不是说一定不能重叠,在某些情况下是可以重叠的。)实际SMRAM的物理位置,可以在系统内存中,或在一个单独的RAM存储器里。当处理器收到一个SMI后,它产生一个SMI确认信号。(这和之前说的是同一回事。)系统的逻辑可以使用SMI确认或SMIACT#引脚有效,来解码SMRAM重定向并访问他们(如果需要)。如果一个单独的RAM内存用于SMRAM,当处理器没有在SMM的时候,系统的逻辑应提供能映射到系统内存的SMRAM可编程方法。当处理器进入SMM后,并执行SMI处理程序之前,上句提的机制将使能启动程序来初始化SMRAM空间(因为它是load SMI处理程序的地方),3.1 SMRAM State Save Map当IA - 32处理器最初进入SMM,它会写入自己的状态到SMRAM的相应区域。([SMBASE + 8000H + 7FFFH]~[SMBASE + 8000H +7E00H])。存在这些地方的有些寄存器是只读的,并不得修改(修改这些寄存器将导致不可预知的行为,比如正如之前说的CR4)。SMI处理程序不应依赖任何存储在这个区域的数据的值。图2是SMRAM的大致描述。 图2 SMRAM的用处图3是寄存器被保存示意图 图3寄存器被保持的示意图需要说明的是后面的这些寄存器也被保存了,但是是不可读的,并且他们在退出SMM后同样会被恢复:①控制寄存器CR4(在SMM中是,这个寄存器被全部清零。)②段选择子的隐藏部分被保存到了CS,DS,ES,FS,GS,和SS中。下面的这些状态是不会自动保存和恢复的。他们是①调试寄存器DR0~DR3。②在x87 FPU的寄存器。③MTRRs。④控制寄存器CR2。⑤MSR(P6系列处理器和Pentium处理器)TR3~TR7(奔腾和Intel486处理器)。⑥陷阱控制器的状态。⑦The machine-check architecture registers(不知道该怎么翻译>.<)。⑧APIC内部中断状态(ISR,IRR等)。⑨microcode(微代码)更新状态。3.2 SMI HANGDLER的执行环境保存完处理器的当前上下文后,处理器开始初始化其核心寄存器的value,正如表1所示。表1 在处理器进入SMM的时候,PE和PG在控制寄存器CR0的标志(flag)被清除,这使的处理器是在一个类似的实模式的环境中。不过他们之间又有不少的差异,如下:①SMRAM的寻址可以从从0到FFFFFFFFH(4 Gbytes)不等。(在SMM下,物理地址扩展(使能CR4的PAE)不支持。)②正常的64Kbyte实模式段界限提高到4 Gbytes。(直观去理解其实就是进入了Big real mode的模式了或者说Flat mode。)③默认的操作数和地址大小为16位,这就限制了SMRAM地址空间的1Mbyte实地址模式界限。然而,操作数大小和地址大小可以通过覆盖前缀来访问超过1Mbyte的地址空间。(笔者:我的理解起是就是Big real mode的原理啦。只是这里表达的比较含蓄不好理解而已,起是就是指段选择子的隐藏部分,这是确定段基地址的。)④如果使用32位操作数大小覆盖前缀,那么可以用近jmp或者call跳向可向4 GByte地址空间的任何地方。(CS:EIP去访问,理解其原理哦。)⑤数据和堆栈可以被放在4 GByte的地址空间的任何地方。但如果他们被放在了1Mbyte以上的地方,那么他们只能被32位地址的寻址方式访问。同代码段一样,数据或堆栈段基址不能超过20位。(笔者:其实我想一般都会设成是0,这样比较方便访问和计算地址,Big real mode不也就是这样么?)段寄存器CS的值是自动设置为30000H(它是默认将SMBASE左移4位得到的)。EIP寄存器设置为8000H。当EIP的值加到CS上后产生了一个线性地址,这个线性地址就是SMI处理程序的第一条指令所在。其他段寄存器(DS,SS,ES,FS和GS)均被清除为0,且他们的段界限设置为4 Gbytes。在这种情况下,SMRAM地址空间可被视为一个平坦的4 GByte的线性地址空间。(笔者:这不就是Flat mode的定义么,呵呵。。。)如果一个段寄存器被加载16位的值,该值被左移4位后加载到段基地址(段寄存器的隐藏部分)(笔者:前面个括号可是原文里面出现了的哦,再一次印证了我说的,确实是Flat mode)。段的属性和解析那都不会被修改。(笔者:这里也是Flat mode的一个强调,因为在flat mode中如果显示地修改段选择子,那么段的基地址会被重新加载。)4、中断在SMM里的特殊情况4.1 SMM里的中断处理之前我们一直都说在SMM这种模式下CPU是不会再响应其他中断的,其实呀这也是有特殊情况的。容我慢慢道来。当处理器进入SMM了后,所有的硬件中断都被disabled,如下面的动作:①EFLAGS寄存器的IF标志被清除,这样可以屏蔽硬件产生的中断。②EFLAGS寄存器的TF标志被清除,这样可以disabled单步陷阱(Single-step traps)。③调试寄存器DR7被清除,这样可以disabled断点陷阱(Breakpoint traps)。④NMI,SMI,A20M中断被内部SMM的逻辑封锁。(见后面小节有叙述。)软件调用中断和异常仍有可能发生,屏蔽硬件中断可以通过设置IF标志而被使能。英特尔建议,SMM的代码尽量写的不调用软件中断(如INT N,INTO,BOUND指令)或产生异常。如果SMM的处理程序需要中断和异常处理,那么必须要在SMM内部创建和初始化SMM的中断表以及必要的异常和中断处理程序。在中断表是正确初始化(使用LIDT指令)完成之前,任何异常和软件中断将导致不可预知的处理器行为。4.2 SMM里中断的限制我们在设计SMM的中断和异常(exception)处理机制的时候有以下的限制:①中断表应被设置于线性地址0,必须是实模式的中断向量表类型。(4bytes包含CS和IP)。②由于是实模式类型的基地址信息,中断或异常不能控制段的基地址位数超过20位的的段基地址。③中断或异常无法控制一个段偏移超过16位(64Kbyte)的子程序。④当异常或中断发生时,返回地址的EIP只有最低16位会作为有效位被压入了堆栈。如果中断程序的偏移大于64Kbytes,那么当CPU执行完中断子程序后就不能正确返回到中断发生前的中断点。(在这种情况下的话,我们有一种解决方法就是,手动去修改在堆栈中的返回地址。)⑤当SMI handler正在执行的时候(Cpu在SMM下的另一种说法),SMBASE的重定位这种特性会影响处理器中断或者异常的返回。例如,如果SMBASE重定位的地址高于1MByte的时候,但是异常处理程序却在低于1 MByte的内存中,一个正常的SMI handler的返回就会出问题了。不过到是有一种解决方案:提供一个计算异常处理子程序的机制,这种机制可以计算当子程序的返回地址是在1Mbyte以上,而返回地址是16位的情况下的子程序的返回地址。当然了,这种修改返回地址的机制肯定是修改堆栈中的相应位置来实现的。修改完这个地址后,我们就可以通过far call去return到中断前的程序了。⑥如果SMI handler需要进入调试陷阱机制,必须确保SMM访问调试处理程序可行,并且保存了当前内容调试寄存器DR0~DR3(为了等下好恢复)。调试寄存器DR0~DR3的和DR7必须初始化为适当的值。⑦如如果需要单步的机制,我们必须要保证SMM访问调试处理程序可用。且设置EFLAGS的TF标志位。⑧同样如果CPU在SMM的时候,我们还要求CPU能响应可屏蔽的硬件中断或者软件触发的中断。(笔者:当然这种SMI设计是可以实现的)。那么我们必须确保SMM访问中断处理程序可行的(笔者:为什么要特别加上这句,就是应该SMBASE的重定位有可能会让ISR不能正常访问到。),然后将EFLAGS寄存器的IF标志置1(用STI指令)。软件中断其实并没有被阻止,所以他们不需要被特别的使能(enabled)。(笔者:这里有两点要说明一下,如果不说明估计很多人会头晕了。首先,软件中断本身就属于OS的范畴,那么SMM本身对它来说就是透明的,就是不存在的。再次,我们要理解软件中断的概念,它是直接到中断向量表中取相应地址然后call的。基于这两点,我想应该比较清楚了。)5、NMI HANDLING WHILE IN SMM在SMI Handler中,NMI(不可屏蔽中断)都将被屏蔽。如果在SMI handler里有NMI(不可屏蔽中断)请求发生,那么它将被锁存,待处理器退出SMM后再来处理这个被锁存的中断。需要提醒的是,当CPU进入SMM后可以且仅仅可以锁存一个NMI(不可屏蔽中断)请求。有这样一种情况比较特殊,假如CPU正在执行RSM指令的时候,同时又有NMI的请求发生,那么这种情况的话NMI的请求将会等待,并且当CPU执行完RSM后会优先响应NMI的请求(换言之,原本CPU会中断已经在指令预取队列中的指令顺序,先响应NMI。)。当然这一切都是我们首先假设在SMI发生之前NMI均没有被阻止。如果在SMI发生之前NMI均被阻止,那么CPU在执行RSM的时候全部NMI也均会被阻止。(笔者:聪明的你肯定会觉得这里怪怪的,那你知道这个地方哪里怪了么?在5.2中找答案。)5.1 IRET虽然处理器进入SMM后,NMI(不可屏蔽中断)请求会被阻止,但是他们可能会通过软件被enabled,比如说执行IRET这条指令。如果SMM handler需要使用NMI(不可屏蔽中断),那么它应该先调用一个虚拟(dummy)中断服务来处理IRET指令的目的地址。一旦执行了IRET指令,NMI(不可屏蔽中断)的中断服务就会像在实模式下面的行为一样去执行ISR。可以这么说,这就已经不再是SMM了。(不知道大家理解了没有?)(笔者:后来我认真研究了一下,为什么CPU会有这种机制,一旦执行IRET这条指令的话,那么NMI的阻止状态就会被打开。这其实是和NMI的中断机制决定的。因为当CPU在处理NMI handler的时候,会disable另外的NMI handler的call,知道CPU执行了IRET这条指令后,CPU才会把这个disable打开。这种阻止的机制其实就是为了防止NMI的嵌套调用而做的处理。)5.2一种更特殊的情况(也得考虑进去哦)还有一种更特殊的情况可能会发生:本身SMI handler就已经嵌套了一个NMI,恰好在处理NMI的时候,另外一个NMI也同时发生了。一般来说,当我们在处理NMI的时候,我们会关掉NMI中断,所以一般情况下而言当NMI发生后CPU就能完整的去处理这个NMI中断,并且通过IRET返回。(笔者:而且一次只能处理一个NMI中断哦。)当正常执行NMI handler的时候,CPU进入了SMM,CPU此时会保存上下文到SMRAM,但是不会保存继续关闭NMI的这种属性。所以潜在地,当CPU还在SMM里面或者正在执行RSM的时候,就会有可能有一个NMI被锁存,并且根据SMM的特性,当CPU退出SMM后不会执行之前预取队列里的指令,优先执行这个被锁存的NMI handler。(要知道,纵使进入SMM之前的那个NMI还没有被处理完。)所以,有可能就会有一个甚至更多的NMI被嵌套进了第一个NMI handler。当我们在设计NMI中断服务子程序(ISR)的时候应该把这种可能考虑进去。(笔者:归根结底,其实这样还是由于CPU的SMM特性造成。如果SMM不会锁存NMI的话,那么就不会有这些事情发生了。呵呵,,,但是intel的CPU就是有这个特性呢,故我们应该考虑的全面点。)6、SMBASE RELOCATION(重定位)6.1 SMBASE重置综述SMRAM默认的基地址是30000H。此值被存在处理器一个内部寄存器中,被称为SMBASE register。操作系统或可执行程序可以重置的SMRAM里的相应位置来改变SMBASE(这个位置就是SMRAM偏移量7EF8H)从而得到一个新的值(见图4)。 图4 SMBASE在SMRAM中的位置在执行RSM指令的时候会重新加载CPU内部的SMBASE register。而这个值就是offset 7EF8H处的值,然后退出SMM。所有后续SMI请求都会使用这个新的SMBASE的值来作为基地址去搜索SMI handler的第一条指令。(这条指令会在SMBASE+8000H处。)并且SMRAM的状态保存区域会从SMBASE + FE00H到SMBASE + FFFFH处。(当RESET的时候,处理器重置内部SMBASE register的值,复位成30000H,但执行CPU initial的时候不会改变它。)在多处理器系统,初始化软件必须为每个处理器设置SMBASE一个合适的值,让SMRAM保存各自的上下文的时候不会重叠。(对于奔腾处理器和Intel486处理器,SMBASE值必须在32Kbyte的边界。否则,在执行RSM指令的时候,处理器将进入关闭状态。)当然了,要让SMBASE重置的话,也必须要一个开关,见图5 图5 SMM identifier6.2 SMRAM重定位到1 MByte以上的内存当CPU在SMM的时候,所有的段基寄存器只能通过改变段寄存器值来更新。段寄存器是16位的,能够用的也就最多才20位,这20位就是平常理解的段基址(段寄存器左移4位确定段基址址)。如果SMRAM被重置到了1MByte以上的内存地址,当软件在实模式下运行的时候是不能初始化段寄存器(Segment register)指向SMRAM的基地址(SMBASE)的。如果使用32位地址,覆盖前缀而产生的偏移就可计算出SMRAM的正确地址。(笔者:我的理解其实这里就是指修改了段选择子的隐藏部分啦。只是表述不同罢了。)例如,如果SMBASE已经被重置到了FFFFFFH且DS,ES,FS,和GS寄存器被初始化为0,SMRAM里的数据可以通过使用32位偏移寄存器来访问,如下面的例子:MOV esi,00FFxxxxH ; 16M一下的一个64K段立即数MOV ax,ds:[esi]如果是DS的话,也可以用同样的方法来访问1MByte以上的内存空间。(笔者:最后不的不说一句,这其实就是big real mode在SMM里的运用。)7、多处理器的系统SMM应该考虑的情况以下指出了在设计多处理器系统应考虑的情况:①在多处理器系统上的任何处理器都可以响应任何一个SMM。②每个处理器需要自己独立的SMRAM空间。这个空间可以是系统内存的一部分,也可以是单独的内存。③在同一内存空间不同处理器的SMRAM可以重叠(不要惊讶,继续往后看,也不是说一点约束都没有)。唯一的规定是,每个处理器需要能够保存自己的上下文的区域和自己的动态数据存储区。(另外再次强调一下,对于奔腾和Intel486处理器,SMBASE地址必须位于一个32Kbyte的边界。)代码和静态数据,多个处理器可以相互共享。重叠的SMRAM空间部分,在P6系列的处理器上会更有效率,因为他们不再需要SMBASE必须是32Kbyte的边界。④在SMI handler需要初始化每个处理器的SMBASE。⑤每个处理器都能够响应它本身的SMI(通过SMI#),也可用响应从APIC接口处收到的SMI信号。APIC接口可以把SMI分配给不同的处理器。⑥两个或更多的处理器可以同时进入的SMM。⑦对于奔腾处理器有点不同,当它运行在DP(dual processing)模式下时,详细的要参考一下Pentium Processor Family User’s Manual,Volume 1。SMM是不可重入,因为SMRAM保存上下文的区域是相对固定的,这个区域主要是由SMBASE决定。如果有需要同时去支持两个或两个以上处理器均进入SMM,那么每个处理器应该有自己独立的SMRAM空间。 (未完,待续。。。。)