80386-Mikrocode disassembliert

• Das 80386-Mikrocode-ROM umfasst 94.720 Bit und ist damit deutlich größer als die 10.752 Bit des 8086, wodurch Bildumwandlung und Verifikation wesentlich schwieriger waren
• Aus hochauflösenden Die-Bildern wurden durch die Kombination aus Bildverarbeitung, neuronalen Netzen und menschenunterstützter Automatisierung innerhalb weniger Tage binäre Blobs extrahiert und gegengeprüft
• Im Verlauf der Disassemblierung wurden nach und nach das μ-op-Array, Bit-Felder, Muster zum Befehlsende sowie die Struktur von Befehlsdecoder und Protection-Test-PLA sichtbar
• Der 80386 besitzt für alle Befehle passenden Mikrocode; viele Routinen dienen weniger dem Algorithmus selbst als der Konfiguration von Multiplikations-/Divisions-Hardware und Barrel Shifter
• Bei der Verarbeitung der IO-Berechtigungsbitmap im Protected Mode wurde ein möglicher Fehler entdeckt: Bei 4-Byte-Portzugriffen scheinen nur die ersten drei Adressen geprüft zu werden, bestätigt ist das aber noch nicht

Extraktion und Disassemblierung des 80386-Mikrocodes

• Nach 8086 microcode disassembled stellte Ken Shirriff hochauflösende Bilder des Mikrocode-ROMs des 80386 bereit, aber das 80386-ROM ist mit 94.720 Bit viel größer als das des 8086 mit 10.752 Bit, wodurch Umwandlung und Verifikation deutlich schwieriger wurden
• Für den 8086 gab es ein Patent mit der Gesamtstruktur und einigen Codefragmenten, also Anhaltspunkte für die Suche; beim 80386 handelte es sich dagegen fast um eine vollständige Blackbox, sodass es schwierig war, in einem großen Binärblock Struktur zu finden
• Auf Discord führten GloriousCow, Smartest Blob und andere die Arbeit fort, aus hochauflösenden Bildern des 80386-Die den Mikrocode zu extrahieren; die zentrale Hürde war die Umwandlung von Bild → Binärdaten → verständlichem Mikrocode
• Durch die Kombination aus Bildverarbeitung, neuronalen Netzen und menschenunterstützter Automatisierung wurden innerhalb weniger Tage binäre Blobs aus den Bildern extrahiert und gegengeprüft

Strukturen, die beim Disassemblieren sichtbar wurden

• Auch nach der Binärextraktion war die Disassemblierung nicht einfach; durch das Abgleichen verschiedener Muster wurde herausgefunden, wie die Daten so umzuordnen sind, dass auf einer Achse die μ-ops und auf der anderen die μ-op-Bits liegen
• Nicht verwendete μ-op-Blöcke an einem Ende lieferten einen Hinweis auf die Lesereihenfolge der μ-ops
• Beim Aufteilen der μ-op-Bits in mehrere Felder half die Erfahrung aus der Arbeit am 8086-Mikrocode dabei, Felder für Quell- und Zielregister zu identifizieren
• Da der 80386 ALU-Operationen in 2 Zyklen ausführen kann, war ein Feld nötig, das den zweiten Eingang der ALU angibt, damit im ersten Zyklus beide Operanden in die ALU geladen und im zweiten Zyklus das Ergebnis an das Ziel gesendet werden kann
• Wiederkehrende Muster wurden als Markierungen für das Ende eines Befehls vermutet und später als korrekt bestätigt
• Ken trug dazu bei, interne Verschaltungen nachzuvollziehen, indem er verschiedene Leitungen und Logikbits im 80386-Die verfolgte; neu aufgedeckte Strukturen wurden wiederum zu Hinweisen für die Interpretation anderer Mikrocodefragmente mit denselben Bausteinen
• Zusammen mit dem Mikrocode wurden auch der aus mehreren kleinen PLAs bestehende Befehlsdecoder und die Protection-Test-PLA entschlüsselt, wodurch sich 386-Befehle mit Mikrocodefragmenten verknüpfen ließen

Die vom 8086 abweichende Ausführungsweise des 80386

• Der 80386 ist bei den meisten Befehlen pro Zyklus deutlich schneller als der 8086 und verwendet dafür mehr Transistoren
• Mehrere Algorithmen, die beim 8086 noch in Mikrocode implementiert waren, werden beim 80386 praktisch von Hardware-Beschleunigern übernommen
• Ein erheblicher Teil des 80386-Mikrocodes dient weniger dem Algorithmus selbst als der Konfiguration von Beschleunigern wie Multiplikations-/Divisions-Hardware, Barrel Shifter und Protection-Test-Einheit
• Ein großer Teil der Disassemblierungsarbeit bestand darin, zu verstehen, wie diese Beschleuniger-Schnittstellen mit dem Mikrocode verbunden sind

Mikrocode-Einstiegspunkte und Befehlsverarbeitung

• Es gibt 215 Einstiegspunkte in den Mikrocode aus dem Decoding-ROM, deutlich mehr als die 60 des 8086
• Die höhere Zahl liegt nicht nur an neuen Befehlen, sondern auch daran, dass derselbe Befehl je nach Operandenart Register oder Speicher, CPU-Modus Real Mode oder Protected Mode und Nutzung eines REP-Präfixes von unterschiedlichen Routinen verarbeitet wird
• Die vollständige Liste aller Einstiegspunkte steht in der Datei fields.txt; enthalten sind außerdem Subroutinen und gemeinsam genutzter Code
• Viele Mikrocode-Routinen auf oberster Ebene erledigen nur wenig Arbeit und springen dann in Routinen, die mit anderen Einstiegspunkten geteilt werden, sodass sich ihre Bedeutung nicht allein aus ihrer Größe ableiten lässt
• Da der Befehlsdecoder bei der Wahl der zu verwendenden Routine nicht nur den Opcode heranzieht, lässt sich die Struktur auch nicht einfach über die Anzahl der von einem Einstiegspunkt verarbeiteten Opcodes beschreiben

Alle Befehle werden per Mikrocode verarbeitet

• Anders als der 8086 oder moderne CPUs führt der 80386 immer μ-ops aus, und für jeden Befehl existiert entsprechender Mikrocode
• Es wurde bestätigt, dass es keine Befehle gibt, die nicht per Mikrocode verarbeitet werden

Nicht verwendeter Code und Spuren der Ausnahmebehandlung

• Die Routinen von 0x849 bis 0x856 sind in der Mikrocode-Disassemblierung als unused? markiert und scheinen keine verknüpften Einstiegspunkte zu haben
• Ihre genaue Funktion ist nicht vollständig gesichert, sie weisen jedoch viele Gemeinsamkeiten mit den #PF-(PAGE_FAULT-)Routinen von 0x8e9 bis 0x8f5 auf
• Beide Routinen setzen zunächst den letzten Fehlercode der Paging Unit und führen dann zu interrupt 0x0e weiter
• Der Unterschied besteht darin, dass diese Routinen CR2 nicht mit der fehlerhaften linearen Adresse, sondern mit einem unbekannten Wert aus der Paging Unit setzen
• Der übrige Mikrocode scheint für die Implementierung des dokumentierten CPU-Verhaltens ausgelegt zu sein; Routinen, die mit der ICE-(In-Circuit-Emulator-)Hardware für Low-Level-Debugging interagieren, entsprechen undokumentiertem Verhalten

Versteckte Funktionen und möglicher Fehler in der IO-Berechtigungsbitmap

• Es lässt sich noch nicht sicher bestätigen, weil es noch nicht auf echter 386-Hardware getestet wurde, aber in der Verarbeitung der IO-Berechtigungsbitmap, die einige Protected-Mode-Betriebssysteme nutzten, um User-Mode-Prozessen eingeschränkten Zugriff auf IO-Ports zu erlauben, könnte ein Fehler stecken
• Bei einem 4-Byte-Portzugriff scheint der Mikrocode nur die Berechtigungsbits der ersten drei Adressen zu prüfen
• Führt ein Prozess einen solchen Zugriff an der Grenze eines erlaubten IO-Port-Bereichs aus, könnte der Zugriff auf das letzte Byte fälschlich erfolgreich sein und so Hardware-Register erreichen, die das Betriebssystem für Benutzerzugriffe nicht vorgesehen hat
• Dieser Bug wäre ein sehr spezieller Sonderfall und hätte ohne die Mikrocode-Disassemblierung leicht unentdeckt bleiben können; bemerkenswert wäre allerdings, dass ein Sicherheitsfehler in einer seit über 40 Jahren weit verbreiteten Hardware bisher nicht entdeckt worden wäre
• Es ist auch möglich, dass dieses Verhalten nur in bestimmten CPU-Versionen existierte oder dass die Interpretation der Routine falsch ist und die Hardware tatsächlich korrekt arbeitet
• Dieser Mikrocode scheint nicht von einer frühen Version des 80386 zu stammen; von den Befehlen XBTS und IBTS gibt es außer im Decoder keine Spuren

Lernmaterial und Download-Orte

• Der Artikel zur internen Struktur des 80386 von nand2mario ist ein nützlicher Ausgangspunkt, um die Disassemblierung zu verstehen
• 80386 Multiplication and Division
• 80386 Barrel shifter
• 80386 Protection
• 80386 Memory Pipeline
• Die Disassemblierungsergebnisse können aus dem x86 microcode repository auf GitHub heruntergeladen werden
• parts.txt erklärt die Rolle der anderen Dateien, und microcode_10.txt ist die Datei, die direkt die Mikrocode-Disassemblierung selbst enthält