最新 x86_64 系统调用入口分析 (基于 5.7.0)

最新 x86_64 系统调用入口分析 (基于5.7.0)

整体概览

最近的工作涉及系统调用入口，但网上的一些分析都比较老了，这里把自己的分析过程记录一下，仅供参考。

x86_64位系统调用使用 SYSCALL 指令进入内核空间，使CPU切换到ring 0。SYSCALL 指令主要工作为从MSR寄存器加载CS/SS，以及系统调用入口(entry_SYSCALL_64)，从而进入系统调用处理流程。

MSR寄存器相关这里不再介绍，需要相关知识的指路 寄存器总结 以及
Model-specific register。

SYSCALL 指令

IF (CS.L ≠ 1 ) or (IA32_EFER.LMA ≠ 1) or (IA32_EFER.SCE ≠ 1) (* Not in 64-Bit Mode or SYSCALL/SYSRET not enabled in IA32_EFER *)     THEN #UD; FI; RCX ← RIP; (* Will contain address of next instruction *) RIP ← IA32_LSTAR; R11 ← RFLAGS; RFLAGS ← RFLAGS AND NOT(IA32_FMASK); CS.Selector ← IA32_STAR[47:32] AND FFFCH (* Operating system provides CS; RPL forced to 0 *) (* Set rest of CS to a fixed value *) CS.Base ← 0;         (* Flat segment *) CS.Limit ← FFFFFH;         (* With 4-KByte granularity, implies a 4-GByte limit *) CS.Type ← 11;         (* Execute/read code, accessed *) CS.S ← 1; CS.DPL ← 0; CS.P ← 1; CS.L ← 1;         (* Entry is to 64-bit mode *) CS.D ← 0;         (* Required if CS.L = 1 *) CS.G ← 1;         (* 4-KByte granularity *) CPL ← 0; SS.Selector ← IA32_STAR[47:32] + 8;         (* SS just above CS *) (* Set rest of SS to a fixed value *) SS.Base ← 0;         (* Flat segment *) SS.Limit ← FFFFFH;         (* With 4-KByte granularity, implies a 4-GByte limit *) SS.Type ← 3;         (* Read/write data, accessed *) SS.S ← 1; SS.DPL ← 0; SS.P ← 1; SS.B ← 1;         (* 32-bit stack segment *) SS.G ← 1;         (* 4-KByte granularity *) (代码引自 https://www.felixcloutier.com/x86/syscall) 

这里主要做了三个工作：

• 将RIP保存到RCX寄存器，即将SYSCALL指令下一条指令地址保存到RCX，后续用到。
• 从 IA32_LSTAR MSR 寄存器加载系统调用入口地址。64 位寄存器名为MSR_LSTAR。
• 从 IA32_STAR MSR 寄存器47-32到加载CS/SS段。64 位寄存器名为 MSR_STAR，其在内核启动过程中初始化。

MSR寄存器初始化源码点这
核心为：

wrmsr(MSR_STAR, 0, (__USER32_CS << 16) | __KERNEL_CS); wrmsrl(MSR_LSTAR, (unsigned long)entry_SYSCALL_64); 

入口地址

接下来就是进入 entry_SYSCALL_64处理流程，源码在这。
但是这里有一个问题：在较新版内核中，都已支持 PTI 机制，用户态与内核态使用不同页表，而这里 entry_SYSCALL_64 已经属于内核代码，而我们仔细观察entry_SYSCALL_64 实现，在第四行才切换内核页表。想要 entry_SYSCALL_64 能被执行，就需要 cpu_entry_area 的作用了。

SYM_CODE_START(entry_SYSCALL_64)         UNWIND_HINT_EMPTY         /*     * Interrupts are off on entry.     * We do not frame this tiny irq-off block with TRACE_IRQS_OFF/ON,     * it is too small to ever cause noticeable irq latency.     */          swapgs         /* tss.sp2 is scratch space. */         movq        %rsp, PER_CPU_VAR(cpu_tss_rw + TSS_sp2)         SWITCH_TO_KERNEL_CR3 scratch_reg=%rsp   

cpu_entry_area 包括了CPU进入内核需要的所有数据/代码，会被映射到用户态页表。了解点着，但是要注意较新版本cpu_entry_area已经不包含其中的 a set of trampolines;，至于为什么看这。

那又是怎么实现？
翻来覆去，终于在 pti 初始化处找到了关键点，其实现为

/* * Clone the populated PMDs of the entry and irqentry text and force it RO. */ static void pti_clone_entry_text(void){         pti_clone_pgtable((unsigned long) __entry_text_start,                           (unsigned long) __irqentry_text_end,                           PTI_CLONE_PMD);} 

其将 __entry_text_start 开头的地址复制，而这又与 entry_SYSCALL_64 有什么关系？我们继续往下找

#define ENTRY_TEXT							 		ALIGN_FUNCTION();					 		__entry_text_start = .;					 		*(.entry.text)						 		__entry_text_end = .; 

而再看 entry_SYSCALL_64 定义的文件头部

.code64 .section .entry.text, "ax" 

所以这里就会把 entry_SYSCALL_64 等一众函数地址拷贝到用户页表，从而实现可访问。具体定义展开这里就不进行了。

继续执行

回到 entry_SYSCALL_64，我们跳过一系列处理，可以看到一个关键点：

call    do_syscall_64        

很显然了，接下来就是执行 do_syscall_64 了。后面就是常规操作了。