c - C和内存中的资源保护

Question

当我们编译一个 C 程序时，它只是生成一些机器可以理解的代码。这段代码可以直接在硬件上运行，从这个问题可以看出。

所以我的问题是：

1. 如果 C 程序可以直接在硬件上运行，内核如何处理该程序的资源分配？

2. 如果编译器生成的可执行文件是纯机器可理解的形式，那么特权模式和非特权模式如何工作？

3. 如果程序可以不通过内核直接在硬件上运行，那么内核如何管理硬件资源的权限？

Answer 1

如果 C 程序可以直接在硬件上运行，内核如何处理分配给该程序的资源。

内核负责管理整个计算机的资源，包括硬件等资源。这意味着，为了让用户级应用程序能够访问硬件设备、写入终端或读取文件，它们必须向内核请求许可。正如@Marcus 所提到的，这是通过使用操作系统公开的系统调用来完成的。

但是，我不会说程序直接在硬件上运行，因为它不像内核模块/驱动程序那样直接与硬件交互。客户端程序将为系统调用设置参数，然后中断内核并等待内核服务程序发出的中断请求。

这就是为什么今天的操作系统被称为在受保护模式下运行的原因，而不是过去它们在实模式下运行的原因，例如，一个程序可能会直接弄乱硬件资源——并可能把事情搞砸。

如果您尝试在 x86 汇编中编写一个简单的“hello world”程序，这种区别就会变得非常明显。几年前我写并记录了这一点，转载如下：

;
; This program runs in 32-bit protected mode.
;  build: nasm -f elf -F stabs name.asm
;  link:  ld -o name name.o
;
; In 64-bit long mode you can use 64-bit registers (e.g. rax instead of eax, rbx instead of ebx, etc.)
; Also change "-f elf " for "-f elf64" in build command.
;
section .data                           ; section for initialized data
str:     db 'Hello world!', 0Ah         ; message string with new-line char at the end (10 decimal)
str_len: equ $ - str                    ; calcs length of string (bytes) by subtracting the str's start address
                                            ; from this address ($ symbol)

section .text                           ; this is the code section
global _start                           ; _start is the entry point and needs global scope to be 'seen' by the
                                            ; linker --equivalent to main() in C/C++
_start:                                 ; definition of _start procedure begins here
    mov eax, 4                   ; specify the sys_write function code (from OS vector table)
    mov ebx, 1                   ; specify file descriptor stdout --in gnu/linux, everything's treated as a file,
                                             ; even hardware devices
    mov ecx, str                 ; move start _address_ of string message to ecx register
    mov edx, str_len             ; move length of message (in bytes)
    int 80h                      ; interrupt kernel to perform the system call we just set up -
                                             ; in gnu/linux services are requested through the kernel
    mov eax, 1                   ; specify sys_exit function code (from OS vector table)
    mov ebx, 0                   ; specify return code for OS (zero tells OS everything went fine)
    int 80h                      ; interrupt kernel to perform system call (to exit)

请注意程序如何设置 write 系统调用，sys_write然后指定要写入的位置的文件描述符、being stdout、要写入的字符串等。

也就是说，程序本身并不执行写操作；它设置了一些东西并要求内核通过使用一个特殊的中断来代表它做这件事，int 80h.

一个可能的类比可能是当你去餐馆的时候。服务器将接受您的订单，但厨师将负责烹饪。在这个类比中，您是用户级应用程序，为您点餐的服务器是系统调用，厨房里的厨师是操作系统内核。

如果从 gcc 生成的可执行文件是纯机器可理解的形式，那么特权模式和非特权模式如何工作？

从上一节开始，用户级程序总是在用户模式下运行。当程序需要访问某些东西（例如终端、读取文件等）时，它会像sys_write上面的示例一样设置这些东西，并要求内核通过中断代表它完成它。中断导致程序进入内核模式并一直保持在那里，直到内核完成对客户端请求的服务——这可能包括完全拒绝它（例如，尝试读取用户无权读取的文件）。

在内部，负责发出int 80h指令的是系统调用。用户级应用程序只看到系统调用，这是客户端和操作系统之间的通用接口。

当程序可以不通过内核直接在硬件上运行时，内核如何管理硬件资源的权限？

如果您按照前面的说明进行操作，您现在可以看到内核充当了看门人，并且程序通过使用该int 80h指令“敲”了这个门。

Answer 2

虽然程序是机器码，但要在它自己的内存区域内做任何事情，它需要通过syscalls调用内核。

CPU实际上有代码特权的概念。非特权代码不能直接访问物理内存等；它必须通过操作系统并要求它授予访问权限。

因此，每个程序都直接在 CPU 上运行，但这并不意味着它可以对硬件做任何事情——有硬件测量。您需要做某些事情的特权就是其中之一。

Answer 3

内核如何处理该程序的资源分配

内核提供函数和机制来分配内存、执行 I/O（写入屏幕、与网络/声卡交互）等，称为对用户程序的系统调用。这些系统调用是内核和用户程序之间的接口，也是硬件和用户程序之间的接口。

特权模式和非特权模式如何工作？

用户程序处于非特权模式（用户空间），而内核运行在特权模式（内核空间）。用户不能被信任，所以如果他搞砸了（例如，访问更高特权的内存或取消引用空指针），他就会被阻止（例如，由于分段错误和随后的程序终止）。

另一方面，内核在特权模式下运行。它可以为所欲为：写入用户空间程序，从用户程序中窃取数据（如密码），写入处理器的固件——一切。此外，还有不同种类的内核：单片内核和微内核是最重的（这个词是否存在？）使用的内核。

Linux（由 Linus Torvalds 发起）是单片内核的一个例子。在这里，内核是一个大系统，每个内核代码都可以最终访问系统。

Minix（由 Andrew S. Tanenbaum 发起）是微内核的一个例子。可以访问所有内容的部分相当小。它仅包含必须具有特权的功能（管理 MMU、访问硬件）等。其他功能，例如文件系统，在非特权模式下运行，在这种模式下，它们通过用户空间中采用的常用保护机制（非特权模式），如分段错误。

关于单体内核和微内核的优点/缺点的有趣读物是Linus Torvalds（当时是某个创建操作系统的人）和 Andrew S. Tanenbaum（当时是 CS 的知名教授；写了一些很棒的书）之间的辩论， 顺便提一句）。

程序可以不通过内核直接在硬件上运行

它确实直接在硬件上运行，由 CPU 执行。但是，它不能直接访问某些资源，例如内存，并且为了访问这些资源，需要与内核交互。这是 DOS 等早期操作系统的主要改进之一（可能是虚拟处理器，即进程）：用户空间程序不能直接在硬件上运行。如果可以的话，他们可能会因为无法弥补的原因（有意地 - 像病毒，或无意地）搞砸整个机器。相反，如本答案开头所述，使用系统调用。

在 DOS 中，您可以选择使用 OS 提供的例程（通常是在 IV（中断向量，实模式 IDT（中断描述符表）中的偏移量（和物理内存地址））0x21（通过int 0x21/调用）处的陷阱int 21h，而ax包含标识对系统的调用的功能号¹ )。与现在可用但未严格执行的机制大致相同。可以覆盖整个操作系统，用自己的程序替换它并破坏机器（例如，将随机值加载到 CMOS 寄存器中）。也可以只使用 BIOS 提供的例程，绕过操作系统。

---

¹我在这里故意使用“调用系统”而不是“系统调用”。在这里，系统调用只表示从用户空间到内核空间的请求，为它做点什么。由于 DOS（即实模式）没有提供用户空间和内核空间之间的真正区别，因此它实际上没有系统调用。

Answer 4

所以我的第一个问题是如果 C 程序可以直接在硬件上运行，内核如何处理该程序的资源分配。

CPU 在执行代码时带有特权的概念。例如，在 x86 上，存在允许代码访问任何资源的实模式，以及在不同安全环中执行代码的保护模式。大多数操作系统将切换到保护模式，其中数字较低的环意味着更高的权限。

内核通常在环 0 中执行，它可以直接访问硬件，而用户程序在限制访问的环 3 中运行。当用户程序需要访问特权资源时，CPU 通过系统调用指令（例如syscall在 x86-64 汇编中）隐式或直接调用具有特权的操作系统。

如果从 gcc 生成的可执行文件是纯机器可理解的形式，那么特权模式和非特权模式如何工作？

同样，CPU 会检查诸如内存访问之类的事情。因此，例如，如果程序试图访问它没有权限的虚拟地址SIGSEGV，操作系统会捕获无效页面访问并通常向进程发出信号（即）。

当程序可以不通过内核直接在硬件上运行时，内核如何管理硬件资源的权限？

CPU 必须通过特定的控制寄存器和表直接与操作系统交互。例如，虚拟地址页表的地址存储在CR3x86 的寄存器中。