借り初めのひみつきち

仮ブログです。

ACPI で電源を切るの補足

前回の ACPI 記事が当初の予定より長くなってしまって説明を省略した部分の補足したいと思います。

neriring.hatenablog.jp

FADT

FADT というのは Fixed ACPI Description Table の略で、 ACPI のもっとも基本的で重要なテーブルのひとつで、電源制御などの多くの情報が記述されています。 ACPI ではこのようなテーブルが他にも多数登場します。

FADT を実際に取得するにはまず RSDP (RSD PTR) という構造体を探します。

f:id:neriring16:20190311202535p:plain

RSDP の取得方法は efi_mainの引数の EFI System Tableの中にある ConfigurationTable という配列をスキャンします。
ここには ACPI 以外のファームウェアのテーブルも含まれており ACPI 1.x 系と ACPI 2.x 系でも内容が異なるので、例えば以下のように GUID が一致するかどうか調べながらスキャンします。
なお、 ExitBootServices API を呼び出すと ConfigurationTable の内容は無効になります。ExitBootServices API を呼び出す前に RSDP のポインターを保存しておきましょう。

#define EFI_ACPI_TABLE_GUID \
    {0x8868e871,0xe4f1,0x11d3, {0xbc,0x22,0x00,0x80,0xc7,0x3c,0x88,0x81}}

void* efi_find_config_table(EFI_SYSTEM_TABLE *st, CONST EFI_GUID* guid) {
    for (int i = 0; i < st->NumberOfTableEntries; i++) {
        EFI_CONFIGURATION_TABLE* tab = st->ConfigurationTable + i;
        if (IsEqualGUID(&tab->VendorGuid, guid)) {
            return tab->VendorTable;
        }
    }
    return NULL;
}

EFI_STATUS EFIAPI efi_main(IN EFI_HANDLE image, IN EFI_SYSTEM_TABLE *st) {
    rsdp = efi_find_config_table(st, &efi_acpi_20_table_guid);
}

レガシーBIOSのやり方はここでは省略します。(UEFI の方が簡単です!)

RSDP を取得できたらその中にある RSDT または XSDT のポインターを取得します。 RSDP は以下のような構造になっています。

typedef struct {
    char       signature[8];
    uint8_t    checksum;
    char       oemid[6];
    uint8_t    revision;
    uint32_t   rsdtaddr;
    uint32_t   length;
    uint64_t   xsdtaddr;
    uint8_t    checksum2;
    uint8_t    reserved[3];
} __attribute__((packed)) acpi_rsd_ptr_t;

レガシーBIOSの時代はメモリを広範囲にスキャンする必要があったので signature を確認したあと checksum や revision を確認する必要がありましたが、 UEFI では最初から GUID で ACPI のバージョンを特定しているので細かいチェックは省略して構いません。
rsdtaddr が RSDT のアドレス、 xsdtaddr が XSDT のアドレスとなります。

RSDT というのは Root System Description Table の略で、他のテーブルへのポインターの配列が格納された ACPI のすべてのテーブルの起点となるテーブルです。
XSDT は RSDT を64ビットに拡張したもので、以下のような構造になります。
これ以降のほとんどの ACPI テーブルは先頭に Header という共通構造があります。

typedef struct {
    char        signature[4];
    uint32_t    length;
    int8_t      revision;
    uint8_t     checksum;
    char        oemid[6];
    char        oem_table_id[8];
    uint32_t    oem_rev;
    uint32_t    creator_id;
    uint32_t    creator_rev;
} __attribute__((packed)) acpi_header_t;

typedef struct {
    acpi_header_t   Header;
    uint64_t    Entry[];
} __attribute__((packed)) acpi_xsdt_t;

古い ACPI 1.x の時代は RSDT しかサポートされていませんでしたが、現代の PC は ACPI 2.x になり XSDT をサポートしています。特別な事情がない限り通常は XSDT を使いましょう。

XSDT が見つかったら Entry の中には ACPI Header を持ったテーブルのポインターが並んでいるので、必要なテーブルのシグネチャをチェックしながら探します。

void* acpi_find_table(const char* signature) {
    for (int i = 0; i < n_entries_xsdt; i++) {
        acpi_header_t* entry = (acpi_header_t*)xsdt->Entry[i];
        if (is_equal_signature(entry->signature, signature)) {
            return entry;
        }
    }
    return NULL;
}

fadt = acpi_find_table("FACP");

注意点として Entry の要素数は XSDT では直接定義されておらず、 Header にある Length フィールドからオフセット (36) や要素のサイズ (64bitなので8バイト) を考慮して計算する必要があります。また、 64bit 値の配列ですが直前のヘッダーが 64bit でアラインされていないので注意が必要な場合があります。
なお、 ACPI のテーブルはほとんどが名称とシグネチャが一致しますが、 FADT は歴史的な事情で名称が「FADT」でもシグネチャは「FACP」という異なる名前になるので注意が必要です。

ここまでの手順で FADT が取得できました。

S5 オブジェクト

S5 オブジェクトには SLP_TYPx に出力するべき値が格納されたパッケージになっているというのはすでに書いた通りですが、これを AML にすると「08 5F 53 35 5F 12」 という並びから始まるバイト列になります。 ACPI では名前に「_」(0x5F) を詰めて強引に4文字にするルールがあるようです。
FADT にある DSDT というテーブルに格納されている AML から該当するバイト列パターンを検索します。ほとんどのオブジェクトはもっと複雑なツリー構造になっているのでこのような手段でアクセスできるオブジェクトは限られています。
なお、 0x08 と 「_」 (0x5F) の間に「\」(0x5C) が入ることもあるようです。(筆者はまだ見たことないです)

S5 のパースに必要な AML バイトコードは 0x08 (NameOP) 0x12 (PackageOP) 0x00 (ZeroOP) 0x0A (BytePrefix) の4種類です。

いくつかの S5 オブジェクトの例を見てみましょう。

実機では以下のパターンがよく見られるようです。

08 5F 53 35 5F 12 07 04 0A 07 00 00 00

これを展開すると以下のようになります。

08 (NameOP)
  5F 53 35 5F (名前 "_S5_")
12 (PackageOP)
  07 (以下の長さ)
  04 (要素数)
    0A (BytePrefix)
      07 (値1)
    00 (ZeroOP)
    00 (ZeroOP)
    00 (ZeroOP)

オブジェクト名「S5」で { 0x07, 0x00, 0x00, 0x00 } のパッケージということがわかります。

QEMU では以下のような内容になります。

08 5F 53 35 5F 12 06 04 00 00 00 00

これを展開すると以下のようになります。

08 (NameOP)
  5F 53 35 5F (名前 "_S5_")
12 (PackageOP)
  06 (以下の長さ)
  04 (要素数)
    00 (ZeroOP)
    00 (ZeroOP)
    00 (ZeroOP)
    00 (ZeroOP)

オブジェクト名「S5」で { 0x00, 0x00, 0x00, 0x00 } のパッケージということがわかります。

VirtualBox では以下のような内容になります。

08 5F 53 35 5F 12 06 02 0A 05 0A 05

これを展開すると以下のようになります。

08 (NameOP)
  5F 53 35 5F (名前 "_S5_")
12 (PackageOP)
  06 (以下の長さ)
  02 (要素数)
    0A (BytePrefix)
      05 (値1)
    0A (BytePrefix)
      05 (値2)

オブジェクト名「S5」で { 0x05, 0x05 } のパッケージということがわかります。
なぜか要素数が2になっています。

このように環境によってたった3ビットの SLP_TYPx の値は異なることがわかります。

tl;dr

たったふたつの OUT 命令にたどり着くまでにはこんなに色々あるのでした。

ACPI で電源を切る

いまどきの PC はすべて ACPI に対応しています。

ACPI について学習する大きなモチベーションのひとつが、 ACPI による電源切断だと思います。
これを覚えれば ACPI に対応した全てのコンピューターで電源を切断することができるようになり、自作 OS に shutdown コマンドが実装できるようになります!

長くなったので補足の記事を追加しておきます。

ACPI で電源を切るの補足 - 借り初めのひみつきち

※ この記事の方法では AML の処理を端折っているので、実機でそのまま実行するとハングアップしたりうまく動作しない機種があるようです。

ふたつの OUT 命令

その方法はこちらです。

out dx, al
out dx, ax

なんと、ACPI ではたった2つの OUT 命令で電源を切断することができます。
もちろん、実際には前処理があるので本当に OUT 命令だけで電源を切ることはできませんが。。

では、このふたつの OUT 命令は一体何なのでしょうか。

ひとつめの OUT 命令

ひとつめの OUT 命令はレガシーモードから ACPI モードに移行するために ACPI ENABLE というコマンドを SMI_CMD というポートに出力しています。
SMI_CMD という名前の通り SMM で動作しているファームウェアに対して通知するコマンドです。このコマンドが正常に終了すると ハードウェアがレガシーモードから ACPI モードに移行し、すべての ACPI 機能が OS の制御下になります。
HW reduced ACPI の機種は常に ACPI モードで動作しているためこの操作は定義されていません。

よくあるわかりやすい変化が、レガシーモードのときは電源ボタンを軽く押してすぐに電源切れたのが ACPI モードになると長押ししないと電源が切れなくなります。これは、 ACPI の電源ボタンが実は単なるボタンで、 ACPI モードでは押下時の処理がファームウェアから OS に移譲されるためです。
ACPI aware OS では起動時に実行されるコマンドですが、そうでない場合は電源を切る直前に実行した方が良いでしょう。
ACPI ENABLEを実行した後実際に有効になるまで PM1 Control Register の SCI_EN ビットが1かどうか調べます。

実際の SMI_CMD のアドレスや ACPI ENABLE コマンドの値は FADT テーブルに記述されています。

つまり、実際にはひとつめの OUT 命令は以下のようなシーケンスになります(これでも端折っていますが)

    mov dx, [FADT+SMI_CMD]
    mov al, [FADT+ACPI_ENABLE]
    out dx, al

    mov dx, [FADT+PM1a_CNT_BLK]
.loop:
    in ax, dx
    and ax, 0x0001 ; SCI_EN
    jz .loop

なお、 SMM で実装されている USB HID の PS/2 エミュレーションなども ACPI ENABLE を実行すると終了してしまいます。

ふたつめの OUT 命令

ふたつめの OUT 命令は、 PM1 Control Register に対してこれから S5 状態に遷移することを指示しています。
ACPI ではいろいろな電源状態が定義されていて例えば S0 は通常動作している状態で S5 は Soft Off 、つまり実際に電源を切断するということになります。

PM1 Control Register の実際のポートアドレスは FADT の PM1a_CNT_BLK から取得できます。 PM1a と PM1b の2種類定義するようになっていますが通常は PM1a の方を使います。 PM1b の存在理由はよくわかりません。

PM1 Control Register のフィールドは以下のように仕様書に定義されています。(抜粋)

f:id:neriring16:20190307235813p:plain

SLP_EN ビットを1にし、 SLP_TYPx を S5 ステートに相当する値にして PM1 Control Register に出力すれば S5 ステートに移行できることがわかります。
HW reduced ACPI の機種には PM Control Register が存在しない代わりに SLP_EN ビットとSLP_TYPx ビットのみ独立した Sleep Control Register というものがありますが、基本的な考え方はほとんど同じです。

しかし、ここまで細かく決まっているのに S5 のときに SLP_TYPx に具体的に何の値を出力すればいいのかは仕様では決まっていません。FADT にもこれ以上の情報はありません。
SLP_TYPx はたったの3ビットで取り得る値も8種類しかないので総当りしてみたくなるところですが、 S5 以外の電源状態でもこのコントロールポートを使用するため、よくわからない値を適当に出力すると誤動作の原因となります。

じゃあどこから情報を探せばいいのかというと、ここで AML が登場します。

AML というのは ACPI Machine Language の略で、 ACPI で管理された各種デバイスの構成情報や ACPI で決められた操作に対するメソッドの定義などが収められた規格です。
主に仕様書にテキストで表記されている ASL に対し、 AML は ASL をバイナリに翻訳して ACPI テーブルに実際に格納されているデータになります。

AML はツリー構造で PC に接続されているあらゆるデバイスの情報が定義された巨大なデータ構造です。
真面目に自力でパースすると大変すぎて死んでしまいますが、今は電源を切断したいだけなので「S5」という名前のオブジェクトを単純にスキャンするだけで十分です。

実際の AML では「S5」オブジェクトは「_S5_」という名前で記述されています。 S5 オブジェクトが見つかったら、それに続く中身は4つのバイト値のパッケージになっていることが規格で決まっています。
1つ目の値が PM1a に出力するべき値、2つめの値が PM1b に出力するべき値となっているのでこれをデコードします。

S5 を探すコードはこんな感じになります。

uint8_t *p = (uint8_t*)&dsdt->Structure;
size_t maxlen = (dsdt->Header.length - 0x24);
for (size_t i = 0; i < maxlen; i++) {
    if (!is_equal_signature(p+i, "_S5_")) continue;
    if ((p[i+4] != 0x12) || ((p[i-1] != 0x08) && (p[i-2] != 0x08 || p[i-1] != '\\'))) continue;
    i += 5;
    i += ((p[i] & 0xC0) >> 6) + 2;

    if (p[i] == 0x0A) i++;
    SLP_TYP5a = 0x07 & p[i++];

    if (p[i] == 0x0A) i++;
    SLP_TYP5b = 0x07 & p[i++];

    break;
}

S5 に切り替えるための値がわかったら、実際に OUT 命令で出力すると電源が落ちます。

mov dx, [FADT+PM1a_CNT_BLK]
mov ax, [SLP_TYP5a]
shl ax, 10
or ax, 0x2000
out dx, ax

なお、PM1b が存在する機種では同じことを PM1b に対しても実行する必要があるようです。

値を求めるまでが長いだけで、実際の処理はたったひとつの OUT 命令で電源が落ちました。

x86の割り込みが遅いワケ

CPUが現在実行中のプログラムを中断して処理しなければならない事象が発生した時、一般に「割り込み」というメカニズムを使ってその事象を処理します。

広義の割り込みは実際には以下の3種類に分類できます。

  • 例外

CPUが命令の実行を継続できない事象が発生したときにOSに判断を委ねるために例外が発生します。
多くの場合はプログラムのミスによるエラーや悪意あるプログラムによる不正な特権操作を行おうとした場合に例外が発生してアプリケーションが終了しますが、全ての例外が必ずしもエラー終了となるわけではなく、ページフォールトのようにOSの処理によって命令実行が続行可能な場合もある例外もあります。

  • 外部割り込み

外部デバイスのデータ転送が終了したり、データ転送要求があったり、タイマーの状態が変化したときなどにCPUに通知するために割り込みが発生します。狭義の割り込みはこれを指します。
x86は歴史的事情により通常のマスク可能割り込み(IRQ)とマスク不可能割り込み(NMI)の2種類に大別されます。マスク可能割り込みはフラグレジスターのIFフラグで割り込みをマスク(禁止)することができることからこの名前で呼ばれます。IRQはデバイスから直接通知される場合とPICやAPICを介して割り込みが通知される場合があります。Local APICを使ってIPIを送信する場合もマスク可能割り込みの一種として通知されます。

  • ソフトウェア割り込み

専用の命令を使って任意のタイミングでソフトウェア的に割り込みを発生させる場合に使います。
多くの場合はOSを呼び出すために使われるのでシステムコールと同一視されることもあります。

それぞれの詳細については今回の記事では重要ではないので省略します。

x86の場合、ほとんどの割り込みは割り込みベクターと呼ばれる0番〜255番までの256種類の番号で割り込みの要因を区別します。*1割り込みベクターの0番〜31番まではIntelによって例外のために予約されているため、通常のOSは外部割り込みやソフトウェア割り込みをこの範囲外のものを割り当てます。なお、レガシーBIOSが使用する割り込みは例外が多数定義されて予約のルールが徹底される前に設計されたので定義済みの例外と被っているものがたくさんあります。

さて、割り込みが発生するとCPUはまずメモリ上のIDTというテーブルからゲートディスクリプターというものを探します。
ゲートディスクリプターには割り込み先のCS,xIPレジスタの値やディスクリプターの属性などの情報が記述されています。
ゲートディスクリプターには割り込みで使えない種類のものも存在するので、CPUはディスクリプターが本当に存在するか、割り込みに適合したものかなどをチェックします。このチェックで不適切なディスクリプターと判断されると一般保護例外が発生します。一般保護例外も処理できないとダブルフォールトやトリプルフォールトという擬似的な例外が発生してCPUが停止し、通常はトリプルフォールトが発生するとリセットがかかるようにハードウェア設計されています。開発途中のOSでは例外がうまく処理できないとよくリセット地獄に陥りデバッグが困難です。

ゲートディスクリプターのチェックが終わると、そこに記述されているコードセグメントをロードしようとします。
セグメントのロードはメモリにあるGDTやLDTというテーブルに記述されたセグメントディスクリプターというものを読み込みます。
ここでもIDTのときのようにディスクリプターが適切なものかどうかチェックされ、不適切だった場合は一般保護例外などの例外が発生します。

多くの場合、割り込みが発生した時のコンテキストはユーザーモードのアプリケーションプログラムであるのに対し、割り込みを処理するプログラムはカーネルモードのシステムプログラムであるケースがほとんどです。
カーネルモードとユーザーモードを切り替えるときはお互いのスタックに不適切にアクセスされないようにスタックを自動的に切り替える機能がCPUにあります。このときTSSという構造体から新しいスタックセグメントとスタックポインターを読み込みます。
スタックセグメントはコードセグメントと同様にGDTやLDTからセグメントディスクリプターをロードしてチェックが行われ、不適切だった場合はスタック例外が発生します。

ここまで準備が終わると、割り込み処理のためのCS,xIPの内容がゲートディスクリプターからロードされ、割り込み発生前のCS,xIP,フラグレジスターなどがスタックにPUSHされ、やっと割り込み処理プログラムに制御が移ります。
割り込みを終了するときはIRET命令を実行するとスタックからCS,xIP,フラグレジスターを復元し、必要な場合は追加でSS,xSPも復元します。このときもセグメントレジスターは前述のようにセグメントディスクリプターから読み込んでチェックが行われます。

とても複雑ですね。

x86IDTには割り込みゲート、トラップゲート、タスクゲートを置くことができ、それぞれに16bitと32bitのバージョンが存在しました。また、大昔はメモリ空間の保護にセグメンテーション機構が使われており、これらのディスクリプターの内容が非常に重要だったため厳密にチェックする必要がありました。

x64になるとIDTに配置できるディスクリプターの種類が減り、64ビット固定の割り込みゲートとトラップゲートのみになりました。この2つの違いは自動的に割り込みを無効に設定するかどうかだけなので実質的にはほとんど同じものです。また、セグメンテーションも大幅に機能縮小され、通常の状態ではほぼ意識する必要がなくなりました。
にも関わらず、x64の割り込みのメカニズムはx86の時代とほとんど変わっていません。
拡張を繰り返した結果ゲートディスクリプターの構造は複雑奇怪になっています。
本来割り込みゲートに必要な情報は割り込み先のRIPとわずかな追加情報、セグメントの切り替えもカーネルモードかユーザーモードかのフラグを1ビットを切り替えるだけで必要十分なはずですが、互換性のためかx86の複雑な機構をほぼそのまま継承して引きずっています。

システムコールに関しては現代のOSでは割り込み命令を使わず専用の命令(sysenter,syscallなど)を使ってディスクリプターのロードやチェックなどを省略できるものが主流になっています。

通常の割り込みでもこの辺りが改良されると高速に割り込み処理できるようになると思うのですが…

*1:SMIやLocal APICのStartup IPIなどのようにベクター番号の存在しない特殊な割り込みも一部存在します。

ACPI BGRT

昔同じタイトルの記事を書いたところ結構googleしてる人がいるみたいなので、ちゃんとした記事のせときますね:;(∩´﹏`∩);:

win8くらいの時からPCが起動する時にメーカーロゴが表示された状態のままwindowsが起動してることにお気づきでしょうか?

この仕組みは ACPI にある BGRT (Boot Graphics Resource Table) というテーブルで実現されています。

このテーブルは以下のような構造になっています。

typedef struct {
    acpi_header_t   Header;
    uint16_t    Version;
    uint8_t     Status, Image_Type;
    uint64_t    Image_Address;
    uint32_t    Image_Offset_X, Image_Offset_Y;
} __attribute__((packed)) acpi_bgrt_t;

この中で重要なのは Image_Address, Image_Offset_X, Image_Offset_Y の3つです。
Image_Address の指しているアドレスには BMP ファイルがそのまま格納されています。
Image_Offset_X/Y は実際にイメージを表示する左上の座標になります。解像度を変更した場合は不正な座標になります。
残りの項目は ACPI 共通のお作法だったり、将来拡張があった時のためだったりします。(たぶん使われないでしょう)

実際にこれを使う場合、 EFI_SYSTEM_TABLE の ConfigurationTable から ACPI テーブル(RSD Ptr)を検索し、 XSDT から BGRT を探し、 BGRT から画像を取り出すという手順になります。
ということで表示するプログラムを作ってみました。

github.com

f:id:neriring16:20181220212425p:plain

最小のEXEファイル?

EXEファイルにはいろいろ形式がありますが、現在主流なのはPEという形式です。

これはもともとUN*X方面で使われていたCOFFという実行ファイルの形式にWindowsのために必要な機能を拡張したもので、PE-COFFなどの名称で呼ばれることもあります。
本家UN*X系OSではCOFFでは機能が不十分になったために現在ではELF形式が主流となっていますが、Windowsの世界ではCOFFを独自拡張したPE形式をそのまま使い続けています。
そもそもEXE形式はMS-DOS用の実行ファイル形式だったMZ形式から始まり、いくつかの追加ヘッダをつけた亜種があり、最終的に追加でPEヘッダを付けたPE形式が現在の主流となっています。

そういう経緯で生まれた形式のため、MZからPEに辿るまでの互換性のための項目があったり、元々のCOFFにあった今では使われていない機能があったり、PEで拡張された項目にもあまり使われていない機能があったり・・・よく見るとけっこうスカスカです。

そして、スカスカのヘッダーの使われていない部分を切り詰めて小さい EXE ファイルを作る遊びが一時期流行りました。
世界レコードが何バイトかは知らないですが、ハローワールドが256バイト切れた時代もありました。

Windows XP SP2 がでたとき、実は密かにヘッダーのチェックが厳しくなっていて、それまで使えたテクニックのいくつかは修正が必要でした。その後、遊びも下火になってぼく自身もほとんど忘れたまま何年も経ちました。

EXE ファイルはどこまで小さくできるか限界を探すという懐かしい話題を見かけ、昔を懐かしんで古い最小バイナリたちを見てみると Windows 10 ではどれも動かなくなっていました。

そこで現在の最小らしいバイナリを改良していったところ、ある程度小さくすることには成功しました。
しかし、いじっていくと突然バイナリを生成した瞬間マルウェアに感染しましたと出てきてバイナリが消滅しました。

どうもマルウェアの中にはヘッダの値がでたらめなものがあるため、最近はチェックが厳しくなっているのだそうな・・・

ぼくはただゴルフを遊んでいただけなのに、突然警察が来てこの場所は違法になったってボールを没収して行くのです。
ぼくの目にはこないだまで普通に遊べたただの空き地にしか見えないのに。

世界一有名な人。

世界で最も有名な人は誰だろう?

候補をあげるなら一人目は Phil Katz だと思う。
彼は PKZIP を開発し、彼のイニシャルはたくさんの ZIP ファイルの先頭に刻まれている。
また、 ZIP ファイルはしばしば名前を隠して至る所に存在している。
何億台だかの PC で走るのに客先の PC ではさっぱり走らないあのソフトウェアとかね。

もう一人候補を挙げるなら Mark Zbikowski かな。
MS-DOS version 2 に数々の革新的機能を実装した彼のイニシャルはたくさんの EXE ファイルの先頭に刻まれている。
アンチ M$ 教徒のあなたも安心してほしい。
ROM-BIOS やブートパーティションにある EFI ファイルには確かに彼のイニシャルが刻まれている。

他に有名な人は誰がいるだろう。

フォントのお話

さいきん進行中のUEFIプロジェクトをはじめるにあたってちょうど良いフォントがなくてフリーで使えるフォントを探していたのですが、FONTX2フォントってだいぶ配布してるところが減ってきて、ライセンスも不明瞭だったり作者も行方不明で配布元も閉鎖したり・・・

全盛期に比べるとだいぶ廃れてしまった感じのあるビットマップフォントですが、

そういえばmegosのフォントも現在は入手不可能だったなと気付きました。

megosは当時の他の自作OSに比べてフォントにも拘っていましたが、現在となってはサンプルも見れないし、どんなフォントがあるかすら明らかになっていない。
手元には全てあるんですけどね。

これらについて近日正式に公開する予定です。