Mikrokode 80386 Berhasil Didisassemblikan Balik

• ROM mikrokode 80386 berukuran 94.720 bit, jauh lebih besar daripada 10.752 bit milik 8086, sehingga konversi dan verifikasi gambar menjadi jauh lebih rumit
• Dari gambar die beresolusi tinggi, dilakukan ekstraksi dan verifikasi silang atas blob biner hanya dalam beberapa hari dengan menggabungkan pemrosesan citra, jaringan saraf, dan otomasi berbantuan manusia
• Dalam proses disassembly balik, susunan μ-op, field bit, pola akhir instruksi, serta struktur decoder instruksi dan PLA uji proteksi terungkap secara bertahap
• 80386 memiliki mikrokode untuk semua instruksi, dan banyak rutinnya bertugas mengatur perangkat keras perkalian/pembagian serta barrel shifter, bukan mengimplementasikan algoritme itu sendiri
• Ditemukan potensi cacat pada penanganan bitmap izin IO di protected mode, yang tampaknya hanya memeriksa 3 alamat pertama saat akses port 4-byte, meski hal ini belum dipastikan

Ekstraksi dan disassembly balik mikrokode 80386

• Setelah disassembly balik mikrokode 8086, Ken Shirriff menyediakan gambar beresolusi tinggi dari ROM mikrokode 80386, tetapi ROM 80386 berukuran 94.720 bit, jauh lebih besar daripada 10.752 bit milik 8086, sehingga konversi dan verifikasinya jauh lebih sulit
• 8086 memiliki paten yang memuat keseluruhan struktur dan sebagian potongan kode, sehingga ada petunjuk untuk pencarian, tetapi 80386 nyaris merupakan kotak hitam sepenuhnya, sehingga sulit menemukan struktur di dalam gumpalan biner besar
• Di Discord, GloriousCow, Smartest Blob, dan lainnya melanjutkan pekerjaan mengekstrak mikrokode dari gambar beresolusi tinggi die 80386, dan tantangan utamanya adalah mengubah gambar → biner → mikrokode yang dapat dipahami
• Dengan menggabungkan pemrosesan citra, jaringan saraf, dan otomasi berbantuan manusia, mereka mengekstrak blob biner dari gambar dalam beberapa hari dan memverifikasinya secara silang

Struktur yang terungkap selama proses disassembly balik

• Bahkan setelah ekstraksi biner, disassembly balik tetap tidak mudah, dan dengan mencocokkan berbagai pola, akhirnya dipahami metode penyusunan ulang sehingga pada satu sumbu terdapat μ-op, dan pada sumbu lainnya terdapat bit μ-op
• Adanya blok μ-op yang tidak digunakan di salah satu ujung menjadi petunjuk untuk memahami urutan pembacaan μ-op
• Dalam proses membagi bit μ-op ke beberapa field, pengalaman dari pekerjaan mikrokode 8086 digunakan untuk menemukan field register sumber dan register tujuan
• Karena 80386 dapat menjalankan operasi ALU dalam 2 siklus, diperlukan field yang menentukan masukan kedua ALU agar dua operan dimuat ke ALU pada siklus pertama, lalu hasilnya dikirim ke tujuan pada siklus kedua
• Pola yang muncul berulang kali diduga menandakan akhir instruksi, dan kemudian terbukti memang benar
• Ken membantu memahami cara koneksi internal dengan menelusuri berbagai jalur dan bit logika pada die 80386, dan struktur yang baru terungkap menjadi petunjuk untuk menafsirkan potongan mikrokode lain yang memakai komponen yang sama
• Bersama mikrokode, decoder instruksi yang terdiri dari beberapa PLA kecil dan PLA uji proteksi juga berhasil diuraikan, sehingga instruksi 386 dapat dipetakan ke potongan mikrokode

Cara eksekusi 80386 yang berbeda dari 8086

• 80386 jauh lebih cepat per siklus dibanding 8086 untuk sebagian besar instruksi, dan untuk itu menggunakan lebih banyak transistor
• Berbagai algoritme yang diimplementasikan dengan mikrokode pada 8086 pada praktiknya ditangani oleh akselerator perangkat keras di 80386
• Sebagian besar mikrokode 80386 berfungsi mengatur akselerator seperti perangkat keras perkalian/pembagian, barrel shifter, dan unit uji proteksi, alih-alih algoritmenya sendiri
• Porsi besar dari pekerjaan disassembly balik adalah memahami cara antarmuka akselerator ini terhubung dengan mikrokode

Entri mikrokode dan pemrosesan instruksi

• Titik masuk mikrokode dari ROM decoding berjumlah 215, meningkat besar dari 60 pada 8086
• Peningkatan jumlah entri bukan hanya karena instruksi baru, tetapi juga karena instruksi yang sama diproses oleh rutin berbeda tergantung apakah operannya register atau memori, apakah CPU berada di real mode atau protected mode, dan apakah prefiks REP sedang digunakan
• Daftar lengkap semua entri ada di file fields.txt, bersama subrutin dan kode bersama
• Banyak rutin mikrokode tingkat atas hanya melakukan sedikit pekerjaan lalu melompat ke rutin yang dibagikan dengan titik masuk lain, sehingga maknanya sulit dipahami hanya dari ukuran rutin tingkat atas
• Karena decoder instruksi tidak hanya memakai opcode untuk menentukan rutin yang dipakai, struktur ini juga sulit dijelaskan hanya dari jumlah opcode yang ditangani tiap titik masuk

Semua instruksi diproses oleh mikrokode

• Tidak seperti 8086 atau CPU modern, 80386 selalu mengeksekusi μ-op, dan ada mikrokode yang sesuai untuk setiap instruksi
• Dipastikan tidak ada instruksi yang tidak diproses oleh mikrokode

Jejak kode yang tidak digunakan dan penanganan pengecualian

• Rutin dari 0x849 hingga 0x856 ditandai sebagai unused? dalam disassembly balik mikrokode, dan tampaknya tidak memiliki titik masuk yang terhubung
• Perilaku tepat dari rutin ini belum sepenuhnya pasti, tetapi memiliki banyak kesamaan dengan rutin #PF(PAGE_FAULT) dari 0x8e9 hingga 0x8f5
• Kedua rutin sama-sama mengatur kode kesalahan terakhir pada paging unit lalu berlanjut ke interrupt 0x0e
• Perbedaannya adalah rutin ini tampaknya menuliskan nilai tak dikenal dari paging unit ke CR2, alih-alih fault linear address
• Selebihnya, mikrokode tampak dirancang untuk mengimplementasikan perilaku CPU yang terdokumentasi, sementara rutin yang berinteraksi dengan perangkat keras ICE (In-Circuit Emulator) untuk debugging tingkat rendah termasuk perilaku yang tidak terdokumentasi

Fitur tersembunyi dan kemungkinan cacat pada bitmap izin IO

• Meski belum bisa dipastikan karena belum diuji pada mesin 386 nyata, ada kemungkinan cacat pada penanganan bitmap izin IO yang digunakan oleh sebagian OS protected mode untuk mengizinkan akses terbatas ke port IO bagi proses mode pengguna
• Saat terjadi akses port 4-byte, mikrokode tampaknya hanya memeriksa bit izin untuk 3 alamat pertama
• Jika sebuah proses melakukan akses seperti ini di batas ruang port IO yang diizinkan, akses byte terakhir bisa berhasil secara keliru dan memungkinkan OS menyentuh register perangkat keras yang sebenarnya tidak dimaksudkan untuk diakses pengguna
• Bug ini sangat tidak biasa sehingga mungkin terlewat tanpa disassembly balik mikrokode, tetapi tetap luar biasa bahwa bug keamanan pada perangkat keras yang telah digunakan luas lebih dari 40 tahun belum pernah ditemukan
• Perilaku ini mungkin hanya ada pada sebagian versi CPU, atau bisa juga interpretasi terhadap rutin ini keliru sehingga pada kenyataannya ia bekerja dengan benar
• Mikrokode ini tampaknya bukan milik versi awal 80386, dan instruksi XBTS serta IBTS tidak meninggalkan jejak selain pada decoder

Materi pembelajaran dan lokasi unduhan

• Tulisan tentang struktur internal 80386 dari nand2mario berguna sebagai titik awal untuk memahami disassembly balik
• 80386 Multiplication and Division
• 80386 Barrel shifter
• 80386 Protection
• 80386 Memory Pipeline
• Hasil disassembly balik dapat diunduh dari repositori mikrokode x86 di GitHub
• parts.txt menjelaskan peran file-file lain, dan microcode_10.txt adalah file untuk langsung masuk ke disassembly balik mikrokode itu sendiri