Microcódigo do 80386 foi desmontado

• A ROM de microcódigo do 80386 tem 94.720 bits, muito maior que os 10.752 bits do 8086, o que tornou a conversão e a verificação de imagens bem mais difíceis
• A partir de imagens de alta resolução do die, foi extraído e validado em poucos dias um blob binário combinando processamento de imagem, redes neurais e automação assistida por humanos
• No processo de desmontagem, foram sendo revelados gradualmente o arranjo de μ-ops, os campos de bits, os padrões de término de instrução, o decodificador de instruções e a estrutura da PLA de testes de proteção
• O 80386 possui microcódigo para todas as instruções, e muitas rotinas servem mais para configurar o hardware de multiplicação/divisão e o barrel shifter do que para implementar algoritmos
• Foi encontrado um possível defeito no tratamento do bitmap de permissão de E/S no modo protegido, no qual acessos de porta de 4 bytes aparentemente verificam apenas os 3 primeiros endereços, mas isso ainda não foi confirmado

Extração e desmontagem do microcódigo do 80386

• Após o microcódigo do 8086 ser desmontado, Ken Shirriff forneceu imagens em alta resolução da ROM de microcódigo do 80386, mas a ROM do 80386, com 94.720 bits, é muito maior que a do 8086, com 10.752 bits, tornando conversão e verificação bem mais difíceis
• O 8086 tinha uma patente com a estrutura geral e alguns trechos de código, o que dava pistas para a busca, mas o 80386 era praticamente uma caixa-preta completa, dificultando encontrar estrutura dentro de um grande bloco binário
• No Discord, GloriousCow, Smartest Blob e outros continuaram o trabalho de extrair o microcódigo a partir de imagens em alta resolução do die do 80386, e o principal obstáculo era transformar imagem → binário → microcódigo compreensível
• Combinando processamento de imagem, redes neurais e automação assistida por humanos, eles extraíram da imagem um blob binário e o validaram por verificação cruzada em poucos dias

Estruturas reveladas durante a desmontagem

• Mesmo após a extração do binário, a desmontagem não foi fácil, e ao ajustar vários padrões foi possível descobrir uma reorganização em que um eixo continha os μ-ops e o outro os bits dos μ-ops
• Havia um bloco de μ-ops não utilizado em uma das extremidades, o que serviu de pista para entender a ordem de leitura dos μ-ops
• Ao dividir os bits dos μ-ops em vários campos, a experiência anterior com o microcódigo do 8086 ajudou a identificar campos de registradores de origem e destino
• Como o 80386 pode executar operações da ALU em 2 ciclos, era necessário um campo que especificasse a segunda entrada da ALU para carregar os dois operandos no primeiro ciclo e enviar o resultado ao destino no segundo
• Padrões que apareciam repetidamente foram considerados marcadores de fim de instrução e depois se confirmou que isso estava correto
• Ken contribuiu rastreando vários fios e bits lógicos no die do 80386 para entender as conexões internas, e cada nova estrutura revelada ajudava a interpretar outros trechos de microcódigo que usavam os mesmos componentes
• Junto com o microcódigo, também foram decifrados o decodificador de instruções, composto por várias pequenas PLAs, e a PLA de testes de proteção, o que permitiu ligar instruções do 386 aos trechos correspondentes de microcódigo

Como a execução do 80386 difere da do 8086

• O 80386 é muito mais rápido por ciclo do que o 8086 na maioria das instruções, e para isso usa mais transistores
• Vários algoritmos que eram implementados em microcódigo no 8086 passaram, no 80386, a ser tratados por verdadeiros aceleradores de hardware
• Grande parte do microcódigo do 80386 serve mais para configurar aceleradores como o hardware de multiplicação/divisão, o barrel shifter e a unidade de testes de proteção do que para executar o algoritmo em si
• Uma parte importante do trabalho de desmontagem foi entender como essas interfaces dos aceleradores se conectam ao microcódigo

Pontos de entrada do microcódigo e processamento de instruções

• Há 215 pontos de entrada de microcódigo acessados a partir da ROM de decodificação, um aumento grande em relação aos 60 do 8086
• Esse aumento não se deve apenas a novas instruções, mas também ao fato de que a mesma instrução pode ser tratada por rotinas diferentes dependendo de o operando estar em registrador ou memória, de a CPU estar em modo real ou protegido e de um prefixo REP estar em uso
• A lista completa de entradas está no arquivo fields.txt, junto com sub-rotinas e código compartilhado
• Muitas rotinas de microcódigo de nível superior fazem pouco trabalho antes de saltar para rotinas compartilhadas com outros pontos de entrada, então o tamanho da rotina superior por si só não basta para entender seu significado
• Como o decodificador de instruções não usa apenas o opcode para escolher a rotina, também é difícil explicar a estrutura apenas pelo número de opcodes tratados por cada ponto de entrada

Todas as instruções são tratadas por microcódigo

• Diferentemente do 8086 ou de CPUs modernas, o 80386 sempre executa μ-ops, e existe microcódigo correspondente para todas as instruções
• Foi confirmado que não há instruções tratadas sem microcódigo

Código não utilizado e vestígios de tratamento de exceções

• As rotinas de 0x849 a 0x856 aparecem marcadas como unused? na desmontagem do microcódigo e parecem não ter pontos de entrada conectados
• O funcionamento exato dessas rotinas não é totalmente certo, mas elas têm muitas semelhanças com as rotinas #PF(PAGE_FAULT) de 0x8e9 a 0x8f5
• Em ambos os casos, o último código de erro da unidade de paginação é configurado e depois o fluxo segue para a interrupção 0x0e
• A diferença é que essas rotinas parecem gravar em CR2 um valor desconhecido vindo da unidade de paginação, em vez do fault linear address
• O restante do microcódigo parece ter sido projetado para implementar o comportamento documentado da CPU, enquanto rotinas que interagem com hardware ICE (In-Circuit Emulator) de depuração de baixo nível correspondem a comportamentos não documentados

Recursos ocultos e possível falha no bitmap de permissão de E/S

• Ainda não foi possível confirmar em uma máquina 386 real, mas pode haver uma falha no tratamento do bitmap de permissão de E/S, usado por alguns sistemas operacionais em modo protegido para permitir acesso limitado de processos em modo usuário a portas de E/S
• Quando ocorre um acesso de porta de 4 bytes, o microcódigo parece verificar apenas os bits de permissão dos 3 primeiros endereços
• Se um processo fizer esse acesso na fronteira de uma área de portas de E/S para a qual tem permissão, o acesso ao último byte pode acabar sendo aceito indevidamente, permitindo tocar em um registrador de hardware ao qual o SO não pretendia dar acesso
• Esse bug é muito específico e poderia ter passado despercebido sem a desmontagem do microcódigo, mas ainda assim é incomum que uma falha de segurança em hardware tão amplamente usado por mais de 40 anos não tenha sido descoberta
• Esse comportamento pode ter existido apenas em algumas versões da CPU, ou a interpretação da rotina pode estar errada e o funcionamento real ser o correto
• Este microcódigo não parece ser de uma versão inicial do 80386, e as instruções XBTS e IBTS não deixam vestígios além do decodificador

Material de estudo e onde baixar

• O texto sobre a estrutura interna do 80386 de nand2mario é um bom ponto de partida para entender a desmontagem
• 80386 Multiplication and Division
• 80386 Barrel shifter
• 80386 Protection
• 80386 Memory Pipeline
• O resultado da desmontagem pode ser baixado no repositório x86 microcode no GitHub
• parts.txt explica o papel dos outros arquivos, e microcode_10.txt é o arquivo que leva diretamente à própria desmontagem do microcódigo