（第三章 9）“调用门” 和 “利用调用门在高低特权级的转移”

    在此之前，先要熟悉汇编指令“长/短jmp”、“长/短call”、ret、retf.

 

一、调用门“纯粹”作为入口地址

    调用门本质上就是个入口地址，只是增加若干属性而已。例子pmtest5a.asm完全将其作为一个地址使用。

 

二、使用调用门，在不同特权级间转移

    使用调用门分为以下两个阶段，难点无非就是“TSS”和“堆栈的变化”。本质上，TSS就是记录了不同特权级堆栈的SS和ESP；堆栈的变化无非就是无非就是短跳转压入SS&ESP，长跳转再多加CS&EIP，有时候也要压入和弹出参数，并且需要相关的检验。详见书上P55~60，或者这里http://www.cnblogs.com/Aoysme/archive/2011/01/17/1937796.html

 

    1. 从高特权级别到低特权级别，通过ret指令实现；

 

关键代码：

 

	[SECTION .s32]
	...
	; Load TSS(Task-State Stack) to register TR
	mov	ax, SelectorTSS
	ltr	ax
 
	; Ring0 -> Ring3，历史性转移！将打印数字'3'
	push	SelectorStack3
	push	TopOfStack3
	push	SelectorCodeRing3
	push	0
	retf
	...

 

    2. 从低特权级别到高特权级别，通过调用门和call指令来实现。

 

关键代码：

 

	[SECTION .ring3]
	...
	;	打印数字'3'
	
	call SelectorCallGateTest:0	;Ring3 -> Ring0
	jmp $

 

以上调用门指向下面的段[SECTION .sdest]（称为“调用门目标段”），而该目标段是ring0级别的——

LABEL_DESC_CODE_DEST:  Descriptor 0,  SegCodeDestLen-1, DA_C+DA_32 ；默认DA_DPL0

LABEL_DESC_CODE_RING3: Descriptor 0, SegCodeRing3Len-1, DA_C+DA_32+DA_DPL3

 

    下面这个实验(pmtest5c.asm)将展示 “1. 高特权级别-->低特权级别” & “2. 低特权级别-->高特权级别”。主要流程如下。在第三部分将详细赏析每个代码段代码。

 

 

 

跳入保护模式
[SECTION .s32]-->
[SECTION .ring3]-->
调用门-->[SECTION .sdest]-->
[SECTION .la]
 
跳回实模式

和TSS相关用红色标记；

调用门本身用深绿色标记；

调用门指向的段用浅绿色标记；

 

; ==========================================

; pmtest5.asm

; 编译方法：nasm pmtest5.asm -o pmtest5.com

; ==========================================

 

%include "pm.inc" ; 常量, 宏, 以及一些说明

 

org 0100h

jmp LABEL_BEGIN

 

[SECTION .gdt]

; GDT

;                            段基址,           段界限     , 属性

LABEL_GDT:             Descriptor 0,                 0, 0   ;空描述符

LABEL_DESC_NORMAL:     Descriptor 0,            0ffffh, DA_DRW   ;Normal描述符

LABEL_DESC_CODE32:     Descriptor 0,    SegCode32Len-1, DA_C+DA_32   ;非一致,32

LABEL_DESC_CODE16:     Descriptor 0,            0ffffh, DA_C   ;非一致,16

LABEL_DESC_CODE_DEST:  Descriptor 0,  SegCodeDestLen-1, DA_C+DA_32   ;非一致,32

LABEL_DESC_CODE_RING3: Descriptor 0, SegCodeRing3Len-1, DA_C+DA_32+DA_DPL3

LABEL_DESC_DATA:       Descriptor 0,     DataLen-1, DA_DRW             ;Data

LABEL_DESC_STACK:      Descriptor 0,        TopOfStack, DA_DRWA+DA_32   ;Stack,32

LABEL_DESC_STACK3:     Descriptor 0,       TopOfStack3, DA_DRWA+DA_32+DA_DPL3

LABEL_DESC_LDT:        Descriptor 0,          LDTLen-1, DA_LDT   ;LDT

LABEL_DESC_TSS:        Descriptor 0,          TSSLen-1, DA_386TSS   ;TSS

LABEL_DESC_VIDEO:      Descriptor 0B8000h,      0ffffh, DA_DRW+DA_DPL3

 

; 门                                            目标选择子,       偏移, DCount, 属性

LABEL_CALL_GATE_TEST: Gate  SelectorCodeDest,          0,      0, DA_386CGate + DA_DPL3

; GDT 结束

 

GdtLen equ $ - LABEL_GDT ; GDT长度

GdtPtr dw GdtLen - 1 ; GDT界限

dd 0 ; GDT基地址

 

; GDT 选择子

SelectorNormal equ LABEL_DESC_NORMAL - LABEL_GDT

SelectorCode32 equ LABEL_DESC_CODE32 - LABEL_GDT

SelectorCode16 equ LABEL_DESC_CODE16 - LABEL_GDT

SelectorCodeDest equ LABEL_DESC_CODE_DEST - LABEL_GDT

SelectorCodeRing3 equ LABEL_DESC_CODE_RING3 - LABEL_GDT + SA_RPL3

SelectorData equ LABEL_DESC_DATA - LABEL_GDT

SelectorStack equ LABEL_DESC_STACK - LABEL_GDT

SelectorStack3 equ LABEL_DESC_STACK3 - LABEL_GDT + SA_RPL3

SelectorLDT equ LABEL_DESC_LDT - LABEL_GDT

SelectorTSS equ LABEL_DESC_TSS - LABEL_GDT

SelectorVideo equ LABEL_DESC_VIDEO - LABEL_GDT

 

SelectorCallGateTest equ LABEL_CALL_GATE_TEST - LABEL_GDT + SA_RPL3

; END of [SECTION .gdt]

 

[SECTION .data1] ; 数据段

ALIGN 32

[BITS 32]

LABEL_DATA:

SPValueInRealMode dw 0

; 字符串

PMMessage: db "In Protect Mode now. ^-^", 0 ; 进入保护模式后显示此字符串

OffsetPMMessage equ PMMessage - $$

StrTest: db "ABCDEFGHIJKLMNOPQRSTUVWXYZ", 0

OffsetStrTest equ StrTest - $$

DataLen equ $ - LABEL_DATA

; END of [SECTION .data1]

 

 

; 全局堆栈段

[SECTION .gs]

ALIGN 32

[BITS 32]

LABEL_STACK:

times 512 db 0

TopOfStack equ $ - LABEL_STACK - 1

; END of [SECTION .gs]

 

 

; 堆栈段ring3

[SECTION .s3]

ALIGN 32

[BITS 32]

LABEL_STACK3:

times 512 db 0

TopOfStack3 equ $ - LABEL_STACK3 - 1

; END of [SECTION .s3]

 

 

; TSS ---------------------------------------------------------------------------------------------

[SECTION .tss]

ALIGN 32

[BITS 32]

LABEL_TSS:

DD 0 ; Back

DD TopOfStack ; 0 级堆栈 -->除了0级堆栈外，其他字段没做任何初始化。因为本例中只用到这部分

DD SelectorStack ;         -->除了0级堆栈外，其他字段没做任何初始化。因为本例中只用到这部分

 

DD 0 ; 1 级堆栈

DD 0 ; 

DD 0 ; 2 级堆栈

DD 0 ; 

DD 0 ; CR3

DD 0 ; EIP

DD 0 ; EFLAGS

DD 0 ; EAX

DD 0 ; ECX

DD 0 ; EDX

DD 0 ; EBX

DD 0 ; ESP

DD 0 ; EBP

DD 0 ; ESI

DD 0 ; EDI

DD 0 ; ES

DD 0 ; CS

DD 0 ; SS

DD 0 ; DS

DD 0 ; FS

DD 0 ; GS

DD 0 ; LDT

DW 0 ; 调试陷阱标志

DW $ - LABEL_TSS + 2 ; I/O位图基址

DB 0ffh ; I/O位图结束标志

TSSLen equ $ - LABEL_TSS

; TSS ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

 

 

[SECTION .s16]

[BITS 16]

LABEL_BEGIN:

mov ax, cs

mov ds, ax

mov es, ax

mov ss, ax

mov sp, 0100h

 

mov [LABEL_GO_BACK_TO_REAL+3], ax

mov [SPValueInRealMode], sp

 

; 初始化 16 位代码段描述符

mov ax, cs

movzx eax, ax

shl eax, 4

add eax, LABEL_SEG_CODE16

mov word [LABEL_DESC_CODE16 + 2], ax

shr eax, 16

mov byte [LABEL_DESC_CODE16 + 4], al

mov byte [LABEL_DESC_CODE16 + 7], ah

 

; 初始化 32 位代码段描述符

xor eax, eax

mov ax, cs

shl eax, 4

add eax, LABEL_SEG_CODE32

mov word [LABEL_DESC_CODE32 + 2], ax

shr eax, 16

mov byte [LABEL_DESC_CODE32 + 4], al

mov byte [LABEL_DESC_CODE32 + 7], ah

 

; 初始化测试调用门的代码段描述符

xor eax, eax

mov ax, cs

shl eax, 4

add eax, LABEL_SEG_CODE_DEST

mov word [LABEL_DESC_CODE_DEST + 2], ax

shr eax, 16

mov byte [LABEL_DESC_CODE_DEST + 4], al

mov byte [LABEL_DESC_CODE_DEST + 7], ah

 

; 初始化数据段描述符

xor eax, eax

mov ax, ds

shl eax, 4

add eax, LABEL_DATA

mov word [LABEL_DESC_DATA + 2], ax

shr eax, 16

mov byte [LABEL_DESC_DATA + 4], al

mov byte [LABEL_DESC_DATA + 7], ah

 

; 初始化堆栈段描述符

xor eax, eax

mov ax, ds

shl eax, 4

add eax, LABEL_STACK

mov word [LABEL_DESC_STACK + 2], ax

shr eax, 16

mov byte [LABEL_DESC_STACK + 4], al

mov byte [LABEL_DESC_STACK + 7], ah

 

; 初始化堆栈段描述符(ring3)

xor eax, eax

mov ax, ds

shl eax, 4

add eax, LABEL_STACK3

mov word [LABEL_DESC_STACK3 + 2], ax

shr eax, 16

mov byte [LABEL_DESC_STACK3 + 4], al

mov byte [LABEL_DESC_STACK3 + 7], ah

 

; 初始化 LDT 在 GDT 中的描述符

xor eax, eax

mov ax, ds

shl eax, 4

add eax, LABEL_LDT

mov word [LABEL_DESC_LDT + 2], ax

shr eax, 16

mov byte [LABEL_DESC_LDT + 4], al

mov byte [LABEL_DESC_LDT + 7], ah

 

; 初始化 LDT 中的描述符

xor eax, eax

mov ax, ds

shl eax, 4

add eax, LABEL_CODE_A

mov word [LABEL_LDT_DESC_CODEA + 2], ax

shr eax, 16

mov byte [LABEL_LDT_DESC_CODEA + 4], al

mov byte [LABEL_LDT_DESC_CODEA + 7], ah

 

; 初始化Ring3描述符

xor eax, eax

mov ax, ds

shl eax, 4

add eax, LABEL_CODE_RING3

mov word [LABEL_DESC_CODE_RING3 + 2], ax

shr eax, 16

mov byte [LABEL_DESC_CODE_RING3 + 4], al

mov byte [LABEL_DESC_CODE_RING3 + 7], ah

 

; 初始化 TSS 描述符

xor eax, eax

mov ax, ds

shl eax, 4

add eax, LABEL_TSS

mov word [LABEL_DESC_TSS + 2], ax

shr eax, 16

mov byte [LABEL_DESC_TSS + 4], al

mov byte [LABEL_DESC_TSS + 7], ah

 

; 为加载 GDTR 作准备

xor eax, eax

mov ax, ds

shl eax, 4

add eax, LABEL_GDT ; eax <- gdt 基地址

mov dword [GdtPtr + 2], eax ; [GdtPtr + 2] <- gdt 基地址

 

; 加载 GDTR

lgdt [GdtPtr]

 

; 关中断

cli

 

; 打开地址线A20

in al, 92h

or al, 00000010b

out 92h, al

 

; 准备切换到保护模式

mov eax, cr0

or eax, 1

mov cr0, eax

 

; 真正进入保护模式

jmp dword SelectorCode32:0 ; 执行这一句会把 SelectorCode32 装入 cs, 并跳转到 Code32Selector:0  处

 

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

 

LABEL_REAL_ENTRY: ; 从保护模式跳回到实模式就到了这里

mov ax, cs

mov ds, ax

mov es, ax

mov ss, ax

 

mov sp, [SPValueInRealMode]

 

in al, 92h ; ┓

and al, 11111101b ; ┣ 关闭 A20 地址线

out 92h, al ; ┛

 

sti ; 开中断

 

mov ax, 4c00h ; ┓

int 21h ; ┛回到 DOS

; END of [SECTION .s16]

 

 

[SECTION .s32]; 32 位代码段. 由实模式跳入.

[BITS 32]

 

LABEL_SEG_CODE32:

mov ax, SelectorData

mov ds, ax ; 数据段选择子

mov ax, SelectorVideo

mov gs, ax ; 视频段选择子

 

mov ax, SelectorStack

mov ss, ax ; 堆栈段选择子

 

mov esp, TopOfStack

 

 

; 下面显示一个字符串

mov ah, 0Ch ; 0000: 黑底    1100: 红字

xor esi, esi

xor edi, edi

mov esi, OffsetPMMessage ; 源数据偏移

mov edi, (80 * 10 + 0) * 2 ; 目的数据偏移。屏幕第 10 行, 第 0 列。

cld

.1:

lodsb

test al, al

jz .2

mov [gs:edi], ax

add edi, 2

jmp .1

.2: ; 显示完毕

 

call DispReturn

 

; Load TSS

mov ax, SelectorTSS

ltr ax ; 在任务内发生特权级变换时要切换堆栈，而内层（高特权级）堆栈的指针存放在当前任务的TSS中，所以要设置任务状态段寄存器TR。

 

push SelectorStack3

push TopOfStack3

push SelectorCodeRing3

push 0

retf ; Ring0 -> Ring3，历史性转移！将打印数字 '3'。

 

; ------------------------------------------------------------------------

DispReturn:

push eax

push ebx

mov eax, edi

mov bl, 160

div bl

and eax, 0FFh

inc eax

mov bl, 160

mul bl

mov edi, eax

pop ebx

pop eax

 

ret

; DispReturn 结束---------------------------------------------------------

 

SegCode32Len equ $ - LABEL_SEG_CODE32

; END of [SECTION .s32]

 

 

[SECTION .sdest]; 调用门目标段

[BITS 32]

LABEL_SEG_CODE_DEST:

mov ax, SelectorVideo

mov gs, ax ; 视频段选择子(目的)

mov edi, (80 * 12 + 0) * 2 ; 屏幕第 12 行, 第 0 列。

mov ah, 0Ch ; 0000: 黑底    1100: 红字

mov al, 'C'

mov [gs:edi], ax

; Load LDT

mov ax, SelectorLDT

lldt ax

jmp SelectorLDTCodeA:0 ; 跳入局部任务，将打印字母 'L'。

;retf

SegCodeDestLen equ $ - LABEL_SEG_CODE_DEST

; END of [SECTION .sdest]

 

 

; 16 位代码段. 由 32 位代码段跳入, 跳出后到实模式

[SECTION .s16code]

ALIGN 32

[BITS 16]

LABEL_SEG_CODE16:

; 跳回实模式:

mov ax, SelectorNormal

mov ds, ax

mov es, ax

mov fs, ax

mov gs, ax

mov ss, ax

 

mov eax, cr0

and al, 11111110b

mov cr0, eax

 

LABEL_GO_BACK_TO_REAL:

jmp 0:LABEL_REAL_ENTRY ; 段地址会在程序开始处被设置成正确的值

 

Code16Len equ $ - LABEL_SEG_CODE16

 

; END of [SECTION .s16code]

 

 

; LDT

[SECTION .ldt]

ALIGN 32

LABEL_LDT:

;                                         段基址       段界限     ,   属性

LABEL_LDT_DESC_CODEA: Descriptor       0,     CodeALen - 1,   DA_C + DA_32 ; Code, 32 位

 

LDTLen equ $ - LABEL_LDT

 

; LDT 选择子

SelectorLDTCodeA equ LABEL_LDT_DESC_CODEA - LABEL_LDT + SA_TIL

; END of [SECTION .ldt]

 

 

; CodeA (LDT, 32 位代码段)

[SECTION .la]

ALIGN 32

[BITS 32]

LABEL_CODE_A:

mov ax, SelectorVideo

mov gs, ax ; 视频段选择子(目的)

 

mov edi, (80 * 13 + 0) * 2 ; 屏幕第 13 行, 第 0 列。

mov ah, 0Ch ; 0000: 黑底    1100: 红字

mov al, 'L'

mov [gs:edi], ax

 

; 准备经由16位代码段跳回实模式

jmp SelectorCode16:0

CodeALen equ $ - LABEL_CODE_A

; END of [SECTION .la]

 

 

; CodeRing3

[SECTION .ring3]

ALIGN 32

[BITS 32]

LABEL_CODE_RING3:

mov ax, SelectorVideo

mov gs, ax ; 视频段选择子(目的)

 

mov edi, (80 * 14 + 0) * 2 ; 屏幕第 14 行, 第 0 列。

mov ah, 0Ch ; 0000: 黑底    1100: 红字

mov al, '3'

mov [gs:edi], ax

 

call SelectorCallGateTest:0 ; 测试调用门（有特权级变换），将打印字母 'C'。

jmp $

SegCodeRing3Len equ $ - LABEL_CODE_RING3

; END of [SECTION .ring3]

 

 

三、逐段赏析pmtest5.asm

1、本段（[SECTION .s32]）属性：

[SECTION .gdt]

LABEL_DESC_CODE32:     Descriptor 0,    SegCode32Len-1, DA_C+DA_32    ;非一致,32

SelectorCode32 equ LABEL_DESC_CODE32 - LABEL_GDT

 

[SECTION .s32];32位代码段，由实模式跳入
	...
	（10行0列显示PMMessage，即"In Protect Mode now. ^-^"）
	...
	mov	ax,	SelectorTSS
	ltr	ax	; 在任务内发生特权级变换时要切换堆栈，而内层堆栈的指针存放在当前任务的TSS中，所以要设置任务状态段寄存器TR

	push	SelectorStack3	;ss
	push	TopOfStack3	;esp
	push	SelectorCodeRing3	;cs
	push	0		;eip
	retf			;ring0~~>ring3跳转

     从[SECTION .s32]跳到[SECTION .ring3]是从高到低特权级的跳转！

     本来ret（retf）是和call配合使用的指令，用来返回断点。这里单独使用，可以理解为“从[SECTION .32]返回[SECTION .ring3]”，用来从高特权级跳转到低特权级，具体过程如书P59叙述，P60图3.21所示：

1）检查被调用者堆栈中保存的CS中的RPL（对应代码push SelectorCodeRing3），以判断返回时是否要变换特权级。

      此时发现当前特权级为0，转到特权级为3的代码段，发生了特权级变化（高-->低）。

 

2）加载被调用者堆栈上的cs和eip（SelectorCodeRing3和0）。

      （此时怎么进行特权级检验？？？）

此时，就返回断点了——在本程序中cs和eip已经指向[SECTION .ring3]段了。

 

3）此retf不含参数，不用增加esp跳过参数。当前堆栈是被调用者([SECTION .s32])堆栈。

 

4）加载被调用者([SECTION .s32)堆栈中的ss和esp，切换到调用者([SECTION .ring3])堆栈。此时，被调用者([SECTION .s32)堆栈中的ss和esp被丢弃，但由于等会儿还要从低特权级转换回高特权级，故需要将“0级堆栈的SelectorStack和TopOfStack”提前放入TSS。

 

此时，当前堆栈从被调用者([SECTION .s32])堆栈变成了调用者([SECTION .ring3)堆栈了。

5）此retf不含参数，不用增加esp跳过参数。当前堆栈是调用者([SECTION .ring3)堆栈。

6）检查ds、es、fs、gs的值，如果其中哪一个寄存器指向的段的DPL小于CPL（此规则不适用于一致代码段），那么一个空描述符被加载到该寄存器。我想：此时这几个寄存器都被置空描述符了吧～（？？？）

 

2、本段（[SECTION .ring3]）属性：

[SECTION .gdt]

LABEL_DESC_CODE_RING3: Descriptor 0, SegCodeRing3Len-1, DA_C+DA_32+DA_DPL3

LABEL_DESC_STACK3:     Descriptor 0,       TopOfStack3, DA_DRWA+DA_32+DA_DPL3

 

SelectorCodeRing3 equ LABEL_DESC_CODE_RING3 - LABEL_GDT + SA_RPL3

SelectorStack3 equ LABEL_DESC_STACK3 - LABEL_GDT + SA_RPL3 

 

 

[SECTION .ring3]
	...
	（14行0列显示'3'）
	...
	call	SelectorCallGateTest:0	;调用调用门中的目标代码段，如果在目标段最后有retf可以返回这个断点，但我们不这么做。我们在目标段中继续进入局部段[SECTION .la]，然后返回实模式
	...

     这个跳转是“通过调用门 从低到高特权级”！

 

     1）step1:   指示调用门的选择子的RPL<=门描述符DPL & 当前代码段的CPL<=门描述符的DPL。

     此时,在[SECTION .ring3]中。因为[SECTION .ring3]是非一致代码段，故在从[SECTION .s32]跳转到该段时，已经设置CPL=3  (参见http://chuanwang66.iteye.com/admin/blogs/1075472)。即是说，此时CPL=3。

     call SelectorCallGateTest:0调用调用门，由SelectorCallGateTest equ LABEL_CALL_GATE_TEST - LABEL_GDT + SA_RPL3）可知，调用门的RPL为3。即是说，此时RPL=3。

     又调用门的DPL=3。

     由上面三段的描述有： CPL<=调用门DPL & RPL<=调用门DPL。故可以访问到调用门中的目标段选择子了^_^

 

     2）step2:   CPL>=DPL，RPL不作检查（因为RPL总被清0）

     现在，CPL=3； 目标段[SECTION .sdest]的DPL=0，且为非一致代码段。故CPL>=DPL(RPL不作检查)，满足特权级检查，跳转到[SECTION .sdest]，哈哈

 

     3）跳转后，CPL被修改为0(原来为3)

     因为CPL=目标段[SECTION .sdest]的DPL(=0)，因此，跳转到[SECTION .sdest]后CPL=0

 

3、本段（[SECTION .sdest]）属性：

[SECTION .gdt]

 

; 门                                            目标选择子,       偏移, DCount, 属性

LABEL_CALL_GATE_TEST: Gate   SelectorCodeDest,          0,      0, DA_386CGate + DA_DPL3

LABEL_DESC_CODE_DEST:  Descriptor 0,  SegCodeDestLen-1, DA_C+DA_32    ;非一致,32

 

SelectorCallGateTest equ LABEL_CALL_GATE_TEST - LABEL_GDT + SA_RPL3

SelectorCodeDest equ LABEL_DESC_CODE_DEST - LABEL_GDT

 

 

 

[SECTION .sdest]	;调用门目标段
	...
	（12行0列显示'C'）
	...
	mov	ax,	SelectorLDT
	lldt	ax

	jmp SelectorLDTCodeA:0	;跳到LDT中定义的局部段

     [SECTION .sdest]段是非一致32位段，而且DPL=0，并且当前CPL=0。而此后用到的“DPL”和“选择子中的RPL”都为0，均在最高特权级上跳转，不需要设计权限检查了！啊，是不是突然感觉轻松许多了呢^_^

 

4、本段（[SECTION .la]）属性：

[SECTION .gdt]

LABEL_DESC_LDT:        Descriptor 0,          LDTLen-1, DA_LDT    ;LDT

SelectorLDT equ LABEL_DESC_LDT - LABEL_GDT

 

 

[SECTION .ldt]

LABEL_LDT_DESC_CODEA: Descriptor        0,     CodeALen - 1,   DA_C + DA_32 ; Code, 32 位

SelectorLDTCodeA equ LABEL_LDT_DESC_CODEA - LABEL_LDT + SA_TIL

 

 

 

[SECTION .la]
	...
	（13行0列显示'L'）
	...
	jmp	SelectorCode16:0	;准备经由16位代码段跳回实模式

 

参考：

http://www.socvista.com/bbs/viewthread.php?tid=1748&extra=page%3D2    整个程序简要流程

http://blog.csdn.net/axman/archive/2009/12/09/4969131.aspx                           retf指令实现从高特权级到低特权级的跳转