Microcode du 80386 désassemblé

• La ROM de microcode du 80386 contient 94 720 bits, bien plus que les 10 752 bits du 8086, ce qui a rendu la conversion des images et la validation particulièrement difficiles
• À partir d’images haute résolution du die, une combinaison de traitement d’image, réseaux neuronaux et automatisation assistée par l’humain a permis d’extraire un blob binaire en quelques jours et de le valider par recoupement
• Au fil du désassemblage, l’organisation du tableau de μ-op, des champs de bits, des motifs de fin d’instruction, du décodeur d’instructions et de la PLA de tests de protection s’est progressivement révélée
• Le 80386 dispose de microcode pour toutes les instructions, et de nombreuses routines servent moins à implémenter des algorithmes qu’à piloter le matériel de multiplication/division et le barrel shifter
• Un défaut potentiel a été repéré dans le traitement de la bitmap de permissions d’E/S en mode protégé : lors d’un accès port sur 4 octets, seules les 3 premières adresses semblent être vérifiées, sans que cela soit encore confirmé

Extraction et désassemblage du microcode du 80386

• Après le désassemblage du microcode du 8086, Ken Shirriff a fourni des images haute résolution de la ROM de microcode du 80386, mais avec 94 720 bits contre 10 752 pour le 8086, sa conversion et sa validation étaient nettement plus difficiles
• Le 8086 disposait d’un brevet décrivant sa structure générale et quelques fragments de code, offrant des indices de recherche, mais le 80386 était proche d’une boîte noire complète, ce qui rendait difficile l’identification de structures dans un gros bloc binaire
• Sur Discord, GloriousCow, Smartest Blob et d’autres ont poursuivi le travail d’extraction du microcode à partir d’images haute résolution du die du 80386, l’obstacle principal étant de transformer l’image en binaire puis en microcode compréhensible
• En combinant traitement d’image, réseaux neuronaux et automatisation assistée par l’humain, ils ont extrait en quelques jours un blob binaire à partir des images, puis l’ont validé par recoupement

Structures révélées pendant le désassemblage

• Même après l’extraction binaire, le désassemblage n’a pas été simple, et il a fallu faire correspondre divers motifs pour comprendre la réorganisation où un axe contient les μ-op et l’autre les bits de μ-op
• La présence d’un bloc de μ-op inutilisé à une extrémité a fourni un indice sur l’ordre de lecture des μ-op
• Pour découper les bits de μ-op en plusieurs champs, l’expérience acquise lors du travail sur le microcode du 8086 a permis d’identifier progressivement les champs des registres source et destination
• Comme le 80386 peut exécuter une opération ALU en 2 cycles, il fallait un champ indiquant la seconde entrée de l’ALU afin de charger les deux opérandes au premier cycle puis d’envoyer le résultat vers la destination au second
• Des motifs récurrents ont été supposés marquer la fin d’une instruction, ce qui a ensuite été confirmé
• Ken a contribué à comprendre les connexions internes en retraçant plusieurs lignes et bits logiques du die du 80386, et chaque nouvelle structure découverte a servi d’indice pour interpréter d’autres fragments de microcode utilisant les mêmes éléments
• Avec le microcode, le décodeur d’instructions composé de plusieurs petites PLA ainsi que la PLA de tests de protection ont aussi été décodés, ce qui a permis de relier les instructions 386 à des fragments de microcode

Un mode d’exécution différent de celui du 8086

• Le 80386 est bien plus rapide par cycle que le 8086 pour la plupart des instructions, ce qui a nécessité davantage de transistors
• Plusieurs algorithmes implémentés en microcode sur le 8086 sont, sur le 80386, pris en charge en pratique par des accélérateurs matériels
• Une part importante du microcode du 80386 sert moins à l’algorithme lui-même qu’à configurer des accélérateurs comme le matériel de multiplication/division, le barrel shifter et l’unité de tests de protection
• Une grande partie du travail de désassemblage a consisté à comprendre la façon dont ces interfaces d’accélérateurs étaient reliées au microcode

Points d’entrée du microcode et traitement des instructions

• La ROM de décodage fournit 215 points d’entrée de microcode, contre 60 pour le 8086
• Cette hausse ne s’explique pas seulement par l’ajout de nouvelles instructions : une même instruction peut aussi être traitée par des routines différentes selon que l’opérande est un registre ou de la mémoire, que le CPU est en mode réel ou protégé, ou qu’un préfixe REP est actif
• La liste complète des points d’entrée se trouve dans le fichier fields.txt, avec les sous-routines et le code partagé
• Beaucoup de routines de microcode de haut niveau effectuent très peu de travail avant de sauter vers une routine partagée avec d’autres points d’entrée, ce qui rend leur rôle difficile à déduire à partir de leur seule taille
• Comme le décodeur d’instructions ne choisit pas la routine uniquement à partir de l’opcode, il est difficile de décrire la structure seulement par le nombre d’opcodes traités par chaque point d’entrée

Toutes les instructions passent par le microcode

• Contrairement au 8086 ou aux CPU modernes, le 80386 exécute toujours des μ-op, et chaque instruction dispose d’un microcode correspondant
• Il semble qu’aucune instruction ne soit traitée sans microcode

Code inutilisé et traces de gestion d’exceptions

• Les routines de 0x849 à 0x856 sont marquées unused? dans le désassemblage du microcode et semblent ne correspondre à aucun point d’entrée relié
• Leur fonctionnement exact n’est pas totalement certain, mais elles présentent de nombreux points communs avec la routine #PF(PAGE_FAULT) située de 0x8e9 à 0x8f5
• Dans les deux cas, le dernier code d’erreur est défini dans l’unité de pagination puis l’exécution se poursuit vers l’interruption 0x0e
• La différence est qu’ici CR2 semble recevoir une valeur inconnue issue de l’unité de pagination au lieu de l’adresse linéaire en faute
• Le reste du microcode semble conçu pour implémenter le comportement documenté du CPU, tandis que les routines interagissant avec le matériel ICE (In-Circuit Emulator) de débogage bas niveau relèvent d’un comportement non documenté

Fonctionnalités cachées et défaut possible de la bitmap de permissions d’E/S

• Cela n’a pas encore pu être confirmé sur une vraie machine 386, mais il pourrait exister un défaut dans le traitement de la bitmap de permissions d’E/S utilisée par certains OS en mode protégé pour autoriser partiellement l’accès aux ports d’E/S depuis des processus en mode utilisateur
• Lors d’un accès port sur 4 octets, le microcode semble ne vérifier les bits de permission que pour les 3 premières adresses
• Si un processus effectue un tel accès à la frontière d’une plage de ports d’E/S autorisée, le dernier accès octet pourrait réussir à tort et atteindre un registre matériel que l’OS ne voulait pas exposer à l’utilisateur
• Ce bug serait extrêmement particulier et aurait pu passer inaperçu sans le désassemblage du microcode, mais il serait étonnant qu’une faille de sécurité sur un matériel utilisé aussi largement depuis plus de 40 ans n’ait jamais été découverte
• Ce comportement a peut-être existé seulement sur certaines versions du CPU, ou bien l’interprétation de la routine est erronée et le fonctionnement réel est correct
• Ce microcode ne semble pas provenir d’une toute première version du 80386, et les instructions XBTS et IBTS n’y laissent pratiquement aucune trace en dehors du décodeur

Ressources d’apprentissage et emplacement des téléchargements

• L’article de nand2mario sur la structure interne du 80386 constitue un bon point de départ pour comprendre le désassemblage
• 80386 Multiplication and Division
• 80386 Barrel shifter
• 80386 Protection
• 80386 Memory Pipeline
• Le résultat du désassemblage est disponible dans le dépôt GitHub x86 microcode
• parts.txt décrit le rôle des autres fichiers, tandis que microcode_10.txt permet d’entrer directement dans le désassemblage du microcode lui-même