80386マイクロコードが逆アセンブルされる

• 80386マイクロコードROMは94,720ビットで、8086の10,752ビットよりはるかに大きく、画像変換と検証が難しかった
• 高解像度のダイ画像から、画像処理・ニューラルネットワーク・人手支援の自動化を組み合わせて、数日でバイナリブロブを抽出し、相互検証した
• 逆アセンブルの過程で、μ-op配列、ビットフィールド、命令終了パターン、命令デコーダと保護テストPLAの構造が徐々に明らかになった
• 80386ではすべての命令に対応するマイクロコードがあり、多くのルーチンはアルゴリズムそのものより、乗算・除算ハードウェアやバレルシフタの設定を担っている
• 保護モードのIO権限ビットマップ処理では、4バイトのポートアクセス時に最初の3つのアドレスだけを検査しているように見える潜在的不具合が見つかったが、まだ確定ではない

80386マイクロコードの抽出と逆アセンブル

• 8086マイクロコード逆アセンブル の後、Ken Shirriff が80386のマイクロコードROMの高解像度画像を提供したが、80386のROMは94,720ビットで、8086の10,752ビットよりはるかに大きく、変換と検証はずっと困難だった
• 8086には全体構造と一部のコード断片を含む特許があり、探索の手がかりがあったが、80386は完全なブラックボックスに近く、大きなバイナリの塊の中から構造を見つけるのが難しかった
• Discordでは GloriousCow や Smartest Blob らが80386ダイの高解像度画像からマイクロコードを抽出する作業を進めており、画像→バイナリ→理解可能なマイクロコードへ変換する過程が中核的な難所だった
• 画像処理、ニューラルネットワーク、人手支援の自動化を組み合わせ、数日で画像からバイナリブロブを抽出し、相互検証した

逆アセンブルの過程で見えてきた構造

• バイナリ抽出後も逆アセンブルは容易ではなく、さまざまなパターンを突き合わせながら、一方の軸にμ-op、もう一方の軸にμ-opビットが来るよう再配置されていることを突き止めた
• 未使用のμ-opブロックが片端にあり、それがμ-opを読む順序を把握する手がかりになった
• μ-opビットを複数のフィールドに分割する過程では、8086マイクロコード解析の経験をもとに、ソースレジスタと宛先レジスタのフィールドを見つけていった
• 80386ではALU演算を2サイクルで実行できるため、1サイクル目で2つのオペランドをALUにロードし、2サイクル目で結果を宛先へ送るには、ALUの第2入力を指定するフィールドが必要だった
• 繰り返し現れるパターンは命令の終わりを示すものと推定され、その後、実際に正しいことが確認された
• Kenは80386ダイ上の複数の配線と論理ビットを追跡し、内部接続の仕組みを把握することに貢献した。新たに判明した構造は、同じ構成要素を使う別のマイクロコード断片を解釈する手がかりにもなった
• マイクロコードに加え、複数の小さなPLAで構成される命令デコーダと保護テストPLAも解読され、386命令をマイクロコード断片に対応付けられるようになった

8086と異なる80386の実行方式

• 80386はほとんどの命令で8086よりサイクル当たり大幅に高速で、そのためにより多くのトランジスタを使っている
• 8086でマイクロコード実装されていた複数のアルゴリズムは、80386では事実上ハードウェアアクセラレータが担っている
• 80386マイクロコードのかなりの部分は、アルゴリズム自体よりも、乗算・除算ハードウェア、バレルシフタ、保護テストユニットといったアクセラレータを設定する役割を持つ
• 逆アセンブル作業の大きな比重は、こうしたアクセラレータインターフェースとマイクロコードの接続方式を把握することにあった

マイクロコードのエントリと命令処理

• デコードROMから入るマイクロコードのエントリポイントは215個で、8086の60個より大幅に増えていた
• エントリ増加の理由は新命令の追加だけでなく、オペランドがレジスタかメモリか、CPUがリアルモードか保護モードか、REPプレフィックスを使用中かによって、同じ命令でも異なるルーチンで処理されるためでもある
• すべてのエントリ一覧は fields.txt にあり、サブルーチンや共有コードも含まれている
• 多くの上位マイクロコードルーチンはごく少ない処理だけを行った後、他のエントリポイントと共有するルーチンへジャンプするため、上位ルーチンのサイズだけでは意味を把握しにくい
• 命令デコーダは使用するルーチンを決める際にopcodeだけを使うわけではないため、各エントリポイントが処理するopcode数だけでも構造を説明しにくい

すべての命令はマイクロコードで処理される

• 80386は8086や現代CPUと異なり、常にμ-opを実行しており、すべての命令に対応するマイクロコードが存在する
• マイクロコードで処理されない命令は存在しないことが確認された

未使用コードと例外処理の痕跡

• 0x849 から 0x856 までのルーチンは、マイクロコード逆アセンブルでは unused? と表示されており、接続されたエントリポイントがないように見える
• このルーチンの正確な動作は完全には確定していないが、0x8e9 から 0x8f5 までの #PF(PAGE_FAULT) ルーチンと多くの共通点がある
• 両ルーチンとも paging unit の最後のエラーコードを設定した後、interrupt 0x0e へ進む
• 違いは、このルーチンでは fault linear address の代わりに、paging unit から出た正体不明の値を CR2 に設定する点にある
• それ以外のマイクロコードは、CPUの文書化された動作を実装するよう設計されているようで、低レベルデバッグ用の**ICE(In-Circuit Emulator)**ハードウェアと相互作用するルーチンは、文書化されていない動作に該当する

隠された機能と考えられるIO権限ビットマップ不具合

• まだ実機の386マシンで試験できていないため確定はできないが、保護モードOSの一部がユーザーモードプロセスにIOポートアクセスを限定的に許可する際に使っていたIO権限ビットマップ処理に、不具合の可能性がある
• 4バイトのポートアクセスが発生したとき、マイクロコードは最初の3つのアドレスの権限ビットしか検査していないように見える
• プロセスが権限を持つIOポート空間の境界でこのようなアクセスを行うと、最後の1バイトのアクセスが誤って成功し、OSがユーザーアクセスを意図していないハードウェアレジスタに到達する可能性がある
• このバグは非常に特殊な条件でしか起きず、マイクロコード逆アセンブルがなければ見落とされていた可能性があるが、40年以上広く使われたハードウェアのセキュリティバグが未発見だったというのは異例だ
• この挙動は一部のCPUバージョンにだけ存在した可能性もあり、あるいはルーチンの解釈が誤っていて、実際には正しく動作している可能性もある
• このマイクロコードは80386初期版のものではないようで、XBTS と IBTS 命令はデコーダを除けば痕跡がない

学習資料とダウンロード先

• nand2mario の80386内部構造に関する記事は、逆アセンブルを理解する出発点として有用だ
• 80386 Multiplication and Division
• 80386 Barrel shifter
• 80386 Protection
• 80386 Memory Pipeline
• 逆アセンブル結果は GitHubの x86 microcode リポジトリ から入手できる
• parts.txt はほかのファイルの役割を案内しており、microcode_10.txt はマイクロコード逆アセンブルそのものに直接入るファイルである