你可能听过这样一个说法:计算机加电开机后,CS寄存器被设为0xFFFF,IP设为0x0000,两者组合出来的地址就是0xFFFF0——据说这就是BIOS的入口地址。CPU从那里开始读取代码,然后噼里啪啦就启动起来了。但细想一下,这个0xFFFF0到底是在主板的ROM芯片上,还是在系统内存(RAM)里?这才是让人困惑的地方。
如果是统一编址的话,那0xFFFF0很可能指向主板上的ROM,CPU直接去那里拿指令。可有些书上的示意图又把它画在RAM区域里。如果真在RAM里,那是什么时候、由哪段程序把ROM里的内容拷过去的呢?自己瞎猜的话,大概是一个固定的硬件过程:加电瞬间,硬件自动把ROM里的全部内容拷贝到内存最高端的某一段,之后0xFFFF0自然就指向RAM了。
去网上搜了搜,还真有文章专门讲这个。640KB到1MB这段区域被称为“上位内存”,原本分配给ROM,对应的384KB RAM被屏蔽掉。所谓“影子内存”(Shadow RAM)技术,就是把ROM的内容读到同样地址的RAM里,以后系统直接从RAM里读,而不是从慢的ROM里读——速度自然就上去了。影子内存用的物理芯片还是普通的CMOS DRAM,地址范围是C0000~FFFFF,也就是1MB主存里的768KB到1024KB这一段。这段区域也叫内存保留区,普通用户程序不能直接访问。影子内存里存的就是各种ROM BIOS的副本,所以也叫ROM Shadow。现在从开机加电那一刻起,BIOS信息就会被自动装载到影子内存的指定区域里。因为影子内存的物理编址和ROM完全相同,访问BIOS时直接读RAM就行了,不用再碰ROM。要知道,访问ROM大概要200纳秒,而访问DRAM不到100纳秒,甚至60纳秒以下——效率提升很明显。
说到具体地址,386之前和之后的系统是不一样的,但都在系统内存的最高地址段。386下是0xFFFFFFF0。为什么?因为CS是16位的,EIP是32位的,为了得到一个32位地址,386给CS段增加了几个隐藏字段。这些字段平时看不到,但系统可以通过GDT、IDT来改变段选择子里的字段。这时地址转换就不再是“段地址左移4位+偏移地址”那么简单了,而是用CS的Base字段加上偏移地址。
举个具体的例子。系统加电复位时,386以前的系统:CS=0xF000,IP=0xFFF0,BIOS地址 = 段地址左移4位 + 偏移地址 = 0xF0000 + 0xFFF0 = 0xFFFF0。在386以前,系统可寻址范围只有1MB(0x00000~0xFFFFF)。
到了386,CS和IP的值看起来还是0xF000和0xFFF0,没变。但这时CS里隐藏的部分还不好用——因为还在实地址模式下,所以BIOS地址和386以前是一样的,也是0xFFFF0。但386能寻址4GB(0x00000000~0xFFFFFFFF),如果直接用0xFFFF0作为BIOS地址,系统内存就不连续了。于是386用硬件把A20~A31地址线强制置成1,结果地址变成了0xFFFFFFF0,这就是386下的BIOS入口地址。
这个硬件置1的效果是,CS隐藏字段里的Base被设成了0xFFFF0000。注意,这不是通过修改描述符表实现的——因为还没进保护模式,描述符表根本没建立。完全是硬件干的。而且,一旦执行了一次段间跳转,这个硬件置1的结果就会消失(因为硬件设计会在跳转后自动清零),所以执行完0xFFFFFFF0处的指令(比如jmp)之后,Base就变成了0x00000000,BIOS转而使用1MB以下的内存。
关于入口地址的具体组合,有的文章说是CS=0xFFFF、IP=0x0000,有的说是CS=0xF000、IP=0xFFF0。我猜这可能是不同硬件初始化方式不同,只要最后形成的地址是0xFFFF0就行了。如果不是这样,回头再补充吧。
