Solución:
Modo kernel
En el modo Kernel, el código de ejecución tiene acceso completo y sin restricciones al hardware subyacente. Puede ejecutar cualquier instrucción de la CPU y hacer referencia a cualquier dirección de memoria. El modo kernel generalmente está reservado para las funciones de nivel más bajo y más confiables del sistema operativo. Los bloqueos en el modo kernel son catastróficos; detendrán toda la PC.
Modo de usuario
En el modo de usuario, el código de ejecución no tiene la capacidad de acceder directamente al hardware o la memoria de referencia. El código que se ejecuta en modo de usuario debe delegarse en las API del sistema para acceder al hardware o la memoria. Debido a la protección que brinda este tipo de aislamiento, los bloqueos en el modo de usuario siempre son recuperables. La mayor parte del código que se ejecuta en su computadora se ejecutará en modo de usuario.
Lee mas
Comprensión del modo de usuario y kernel
Estos son dos modos diferentes en los que puede funcionar su computadora. Antes de esto, cuando las computadoras eran como una gran sala, si algo fallaba, se paraba toda la computadora. Entonces, los arquitectos informáticos deciden cambiarlo. Los microprocesadores modernos implementan en hardware al menos 2 estados diferentes.
Modo de usuario:
- modo en el que se ejecutan todos los programas de usuario. No tiene acceso a RAM ni hardware. La razón de esto es que si todos los programas se ejecutaran en modo kernel, podrían sobrescribir la memoria de los demás. Si necesita acceder a alguna de estas funciones, realiza una llamada a la API subyacente. Cada proceso iniciado por Windows, excepto el proceso del sistema, se ejecuta en modo de usuario.
Modo kernel:
- modo donde se ejecutan todos los programas del kernel (diferentes controladores). Tiene acceso a todos los recursos y hardware subyacente. Se puede ejecutar cualquier instrucción de la CPU y se puede acceder a todas las direcciones de memoria. Este modo está reservado para los conductores que operan en el nivel más bajo.
Cómo ocurre el cambio.
El cambio del modo de usuario al modo de kernel no lo realiza automáticamente la CPU. La CPU es interrumpida por interrupciones (temporizadores, teclado, E / S). Cuando ocurre una interrupción, la CPU deja de ejecutar el programa en ejecución actual, cambia al modo kernel y ejecuta el controlador de interrupciones. Este controlador guarda el estado de la CPU, realiza sus operaciones, restaura el estado y vuelve al modo de usuario.
http://en.wikibooks.org/wiki/Windows_Programming/User_Mode_vs_Kernel_Mode
http://tldp.org/HOWTO/KernelAnalysis-HOWTO-3.html
http://en.wikipedia.org/wiki/Direct_memory_access
http://en.wikipedia.org/wiki/Interrupt_request
Los anillos de CPU son la distinción más clara
En el modo protegido x86, la CPU siempre está en uno de los 4 anillos. El kernel de Linux solo usa 0 y 3:
- 0 para kernel
- 3 para usuarios
Esta es la definición más dura y rápida de kernel vs userland.
Por qué Linux no usa los anillos 1 y 2: Anillos de privilegios de la CPU: ¿Por qué no se usan los anillos 1 y 2?
¿Cómo se determina el anillo actual?
El anillo actual se selecciona mediante una combinación de:
-
tabla de descriptor global: una tabla en memoria de entradas GDT, y cada entrada tiene un campo
Privlque codifica el anillo.La instrucción LGDT establece la dirección en la tabla de descriptores actual.
Véase también: http://wiki.osdev.org/Global_Descriptor_Table
-
el segmento registra CS, DS, etc., que apuntan al índice de una entrada en el GDT.
Por ejemplo,
CS = 0significa que la primera entrada del GDT está actualmente activa para el código de ejecución.
¿Qué puede hacer cada anillo?
El chip de la CPU está construido físicamente para que:
-
ring 0 puede hacer cualquier cosa
-
el anillo 3 no puede ejecutar varias instrucciones y escribir en varios registros, en particular:
-
no puede cambiar su propio anillo! De lo contrario, podría configurarse para que suene 0 y los anillos serían inútiles.
En otras palabras, no se puede modificar el descriptor de segmento actual, que determina el anillo actual.
-
no se pueden modificar las tablas de páginas: ¿Cómo funciona la paginación x86?
En otras palabras, no se puede modificar el registro CR3 y la propia paginación evita la modificación de las tablas de la página.
Esto evita que un proceso vea la memoria de otros procesos por razones de seguridad / facilidad de programación.
-
no se pueden registrar controladores de interrupciones. Estos se configuran escribiendo en ubicaciones de memoria, lo que también se evita mediante la paginación.
Los controladores se ejecutan en el anillo 0 y romperían el modelo de seguridad.
En otras palabras, no puede usar las instrucciones LGDT y LIDT.
-
no puedo hacer instrucciones IO como
inyout, y por tanto tener accesos arbitrarios al hardware.De lo contrario, por ejemplo, los permisos de archivo serían inútiles si cualquier programa pudiera leer directamente desde el disco.
Más precisamente gracias a Michael Petch: en realidad es posible que el sistema operativo permita instrucciones IO en el anillo 3, esto en realidad está controlado por el segmento de estado de la tarea.
Lo que no es posible es que el anillo 3 se dé permiso para hacerlo si no lo tenía en primer lugar.
Linux siempre lo rechaza. Consulte también: ¿Por qué Linux no usa el cambio de contexto de hardware a través del TSS?
-
¿Cómo cambian los programas y los sistemas operativos entre anillos?
-
cuando la CPU está encendida, comienza a ejecutar el programa inicial en el anillo 0 (bueno, pero es una buena aproximación). Puede pensar que este programa inicial es el kernel (pero normalmente es un gestor de arranque que luego llama al kernel aún en el anillo 0).
-
cuando un proceso de espacio de usuario quiere que el kernel haga algo por él, como escribir en un archivo, usa una instrucción que genera una interrupción como
int 0x80osyscallpara señalar el kernel. x86-64 Linux syscall hello world ejemplo:.data hello_world: .ascii "hello worldn" hello_world_len = . - hello_world .text .global _start _start: /* write */ mov $1, %rax mov $1, %rdi mov $hello_world, %rsi mov $hello_world_len, %rdx syscall /* exit */ mov $60, %rax mov $0, %rdi syscallcompilar y ejecutar:
as -o hello_world.o hello_world.S ld -o hello_world.out hello_world.o ./hello_world.outGitHub en sentido ascendente.
Cuando esto sucede, la CPU llama a un controlador de devolución de llamada de interrupción que el kernel registró en el momento del arranque. Aquí hay un ejemplo concreto de baremetal que registra un controlador y lo usa.
Este controlador se ejecuta en el anillo 0, que decide si el kernel permitirá esta acción, ejecutará la acción y reiniciará el programa de usuario en el anillo 3. x86_64
-
cuando el
execse utiliza la llamada al sistema (o cuándo se iniciará el kernel/init), el kernel prepara los registros y la memoria del nuevo proceso de área de usuario, luego salta al punto de entrada y cambia la CPU al anillo 3 -
Si el programa intenta hacer algo malo como escribir en un registro prohibido o en una dirección de memoria (debido a la paginación), la CPU también llama a algún controlador de devolución de llamada del kernel en el anillo 0.
Pero dado que el espacio de usuario era malo, el kernel podría matar el proceso esta vez, o darle una advertencia con una señal.
-
Cuando el kernel arranca, configura un reloj de hardware con una frecuencia fija, que genera interrupciones periódicamente.
Este reloj de hardware genera interrupciones que ejecutan el anillo 0 y le permiten programar qué procesos de usuario deben despertarse.
De esta manera, la programación puede ocurrir incluso si los procesos no están realizando ninguna llamada al sistema.
¿Cuál es el punto de tener múltiples anillos?
Hay dos ventajas principales de separar kernel y userland:
- Es más fácil crear programas, ya que está más seguro de que uno no interferirá con el otro. Por ejemplo, un proceso de área de usuario no tiene que preocuparse por sobrescribir la memoria de otro programa debido a la paginación, ni por poner hardware en un estado no válido para otro proceso.
- es más seguro. Por ejemplo, los permisos de archivos y la separación de la memoria podrían evitar que una aplicación de piratería lea sus datos bancarios. Esto supone, por supuesto, que confía en el kernel.
¿Cómo jugar con él?
He creado una configuración básica que debería ser una buena forma de manipular anillos directamente: https://github.com/cirosantilli/x86-bare-metal-examples
Desafortunadamente, no tuve la paciencia para hacer un ejemplo de la zona de usuario, pero fui tan lejos como para configurar la paginación, por lo que la zona de usuario debería ser factible. Me encantaría ver una solicitud de extracción.
Alternativamente, los módulos del kernel de Linux se ejecutan en el anillo 0, por lo que puede usarlos para probar operaciones privilegiadas, por ejemplo, leer los registros de control: ¿Cómo acceder a los registros de control cr0, cr2, cr3 desde un programa? Obteniendo falla de segmentación
Aquí hay una configuración conveniente de QEMU + Buildroot para probarlo sin matar a su host.
La desventaja de los módulos del kernel es que se están ejecutando otros kthreads y podrían interferir con sus experimentos. Pero, en teoría, puede hacerse cargo de todos los controladores de interrupciones con su módulo del kernel y ser dueño del sistema, ese sería un proyecto interesante en realidad.
Anillos negativos
Si bien los anillos negativos en realidad no se mencionan en el manual de Intel, en realidad hay modos de CPU que tienen más capacidades que el anillo 0 en sí, por lo que se ajustan bien al nombre de “anillo negativo”.
Un ejemplo es el modo de hipervisor utilizado en la virtualización.
Para obtener más detalles, consulte:
- https://security.stackexchange.com/questions/129098/what-is-protection-ring-1
- https://security.stackexchange.com/questions/216527/ring-3-exploits-and-existence-of-other-rings
BRAZO
En ARM, los anillos se denominan niveles de excepción, pero las ideas principales siguen siendo las mismas.
Existen 4 niveles de excepción en ARMv8, comúnmente usados como:
-
EL0: tierra de usuarios
-
EL1: kernel (“supervisor” en terminología ARM).
Entrado con el
svcinstrucción (SuperVisor Call), anteriormente conocida comoswiantes del ensamblaje unificado, que es la instrucción utilizada para realizar llamadas al sistema Linux. Ejemplo de Hello world ARMv8:hola. S
.text .global _start _start: /* write */ mov x0, 1 ldr x1, =msg ldr x2, =len mov x8, 64 svc 0 /* exit */ mov x0, 0 mov x8, 93 svc 0 msg: .ascii "hello syscall v8n" len = . - msgGitHub en sentido ascendente.
Pruébelo con QEMU en Ubuntu 16.04:
sudo apt-get install qemu-user gcc-arm-linux-gnueabihf arm-linux-gnueabihf-as -o hello.o hello.S arm-linux-gnueabihf-ld -o hello hello.o qemu-arm helloAquí hay un ejemplo concreto de baremetal que registra un controlador SVC y realiza una llamada SVC.
-
EL2: hipervisores, por ejemplo Xen.
Entrado con el
hvcinstrucción (llamada de HyperVisor).Un hipervisor es para un sistema operativo, lo que un sistema operativo es para el espacio de usuario.
Por ejemplo, Xen le permite ejecutar varios sistemas operativos, como Linux o Windows, en el mismo sistema al mismo tiempo, y aísla los sistemas operativos entre sí para mayor seguridad y facilidad de depuración, tal como lo hace Linux para los programas de espacio de usuario.
Los hipervisores son una parte clave de la infraestructura de la nube actual: permiten que varios servidores se ejecuten en un solo hardware, manteniendo el uso del hardware siempre cerca del 100% y ahorrando mucho dinero.
AWS, por ejemplo, usó Xen hasta 2017, cuando su cambio a KVM fue noticia.
-
EL3: otro nivel más. Ejemplo de TODO.
Entrado con el
smcinstrucción (llamada en modo seguro)
El modelo de referencia de arquitectura ARMv8 DDI 0487C.a – Capítulo D1 – Modelo del programador a nivel de sistema AArch64 – La figura D1-1 ilustra esto de manera hermosa:
La situación de ARM cambió un poco con la llegada de ARMv8.1 Virtualization Host Extensions (VHE). Esta extensión permite que el kernel se ejecute en EL2 de manera eficiente:
VHE se creó porque las soluciones de virtualización en el kernel de Linux, como KVM, han ganado terreno sobre Xen (consulte, por ejemplo, el cambio de AWS a KVM mencionado anteriormente), porque la mayoría de los clientes solo necesitan máquinas virtuales Linux y, como puede imaginar, estar todos en una sola proyecto, KVM es más simple y potencialmente más eficiente que Xen. Así que ahora el kernel de Linux del host actúa como hipervisor en esos casos.
Observe cómo ARM, tal vez debido al beneficio de la retrospectiva, tiene una mejor convención de nomenclatura para los niveles de privilegios que x86, sin el necesidad de niveles negativos: 0 es el más bajo y 3 el más alto. Los niveles más altos tienden a crearse con más frecuencia que los más bajos.
El EL actual se puede consultar con el MRS instrucción: ¿cuál es el modo de ejecución actual / nivel de excepción, etc.?
ARM no requiere que estén presentes todos los niveles de excepción para permitir implementaciones que no necesitan la función para ahorrar área de chip. ARMv8 “Niveles de excepción” dice:
Es posible que una implementación no incluya todos los niveles de excepción. Todas las implementaciones deben incluir EL0 y EL1. EL2 y EL3 son opcionales.
QEMU, por ejemplo, tiene como valor predeterminado EL1, pero EL2 y EL3 se pueden habilitar con opciones de línea de comando: qemu-system-aarch64 ingresando el1 al emular el encendido de a53
Fragmentos de código probados en Ubuntu 18.10.