この記事はひとりでCPUとエミュレータとコンパイラを作る Advent Calendar 2017の19日目の記事です。

今日は字句解析をやる。まず昨日のサンプルコードを人力で字句解析し、コツを掴んだところで実装を説明する。

字句解析とは

昨日のサンプルコード

// C言語風コード
int main () {
  int a ;
  a = 3 ;
  return 0 ;
}

コードに出現する各単語に対し、トークン属性を付与することを字句解析というのだった。

ここで(TYPE_KEYWORD, "int")のようなペアをトークンと呼び、緑字のTYPE_KEYWORDをトークン属性と呼ぶ。

属性の定義は、BNFで与えるのだった。

BNF (バッカス-ナウア記法)

BNFとは「文字列に属性を与える」ために「属性のマッチ条件を正規表現で定義」したものだった。 そこでは「定義済みの属性」を他の属性の定義式中に埋め込むことができた。いわば正規表現の代入だ。

昨日のBNFは簡易版だったので、ここに正式版のBNFを貼っておく。

パイプ記号|は 正規表現の or を表している。(hoge|piyo)*も正規表現と同じ。

また画像中にも書いたが * int や if という文字列の属性は、IDENTIFYではなくTYPE_KEYWORDやIF_KEYWORDとする * CHAR_ALPHABETとCHAR_NUMBERはIDENTIFYとNUMBERを定義するために導入した一時的属性なので、最終結果には残らない

という二点に気をつけよう。

minc言語誕生

ところで、ここで定義した言語はC言語のサブセットになっている。 いや、サブセットというのもおこがましい。 なんせ型はintしかないし、配列、ポインタ、構造体等は一切使えない。 #includeも#defineもないし、breakもswitchもない。

しかし、しかしだ！！

変数が使えて、整数が計算できて、関数を定義して呼び出すことも可能な言語になっている。 しかもifとwhileが使えるので、構造化定理が発動してgoto文が不要になる。構造化プログラミングができるのだ。 C言語はウルトラリッチな超高級言語だが、今回の言語だって必要不可欠な機能は全ておさえていると思う。 特に「アセンブラのコーディングが辛いのを改善する」という目的は十分に果たせる。 立派だ。

立派なので名前をつけてやろう。 名前はmincにしよう。 C言語を最小限にした言語という雰囲気で命名した。

字句解析 (人力)

字句解析のコツを掴むため、BNFで昨日のサンプルコードを人力解析してみる。

// C言語風コード
int main () {
  int a ;
  a = 3 ;
  return 0 ;
}

まず前処理として改行文字を空白文字に置換する。 もしコメント行 // comment や /* comment */があれば、それも空白文字に置換する。

int main () { int a ; a = 3 ; return 0 ; }

ここからBNFによる解析が始まる。 まず一番最初にintがある。BNFを上から順に眺めると

TYPE_KEYWORD := "int"

が目に入るだろう。左辺と右辺を := で繋いだ。

次はintとmainの間だが、空白文字を見つけたら、そこまでの単語で字句解析を行い、空白文字はスキップする。 つまりintとmainは別のトークンということだ。

次はmainが目に入る。 一見すると、BNFの中にmainは見当たらない。 しかしmやaといった単体の文字にはCHAR_ALPHABETという属性が定義されている。 従ってmainはCHAR_ALPHABETの4連打ということになる。 しかし注意したようにCHAR_ALPHABETは字句解析の最終結果に出現しないはずだった。 あらためてBNFを見返すと、

IDENTIFY := CHAR_ALPHABET ( CHAR_NUMBER | CHAR_ALPHABET )*

が目に入る。従って mainの属性はIDENTIFYだと分かる。

さて次は(という文字に到達するが、これはBNF表でLPARENになっている。 次は)で、RPARENだ。 ここで、()の間には空白文字が入っていないかった。 字句解析のコードを書く時は、 異なるトークンの間に空白文字が無いこともある ことに注意しなければならない。

この調子で進めていけば、記事冒頭の字句解析結果が得られる。 コツは掴めたと思うので、人力から自動化に移ろう。

字句解析の実装

今からC言語でmincの字句解析プログラムを作成する。 リポジトリはこれ 。

全部追うのは大変なので、大まかな流れだけ書くことにする。

列挙型で属性にエイリアスを貼る

まず以下のような 列挙型のTOKEN_KINDをinclude/common.hで宣言 した。

typedef enum {
  TERM_OPERATOR   ,
  FACTOR_OPERATOR ,
  COMPARE_OPERATOR,
  ...
} TOKEN_KIND      ;

列挙型(enum)は馴染みがないかもしれないが、要するにTERM_OPERATORのような属性に対し、エイリアスとして整数を割り当てているイメージだ。 雰囲気としては

#define TERM_OPERATOR    0
#define FACTOR_OPERATOR  1
#define COMPARE_OPERATOR 2
...

とするのに近い。

トークンの構造体

トークンは単語と属性のペアだった。 これを表すために /include/common.hでTOKEN 構造体を宣言 した。

typedef struct {
  int kind;
  char str[TOKEN_STRING_MAX_LENGTH];
} TOKEN;

kindの部分に、さっき列挙体で定義した整数(つまりトークンの属性)を入れ、 strの部分に、読んだ文字列を入れる。

コメントの読み飛ばし

mincコードの文字列を受け取り、「次の文字」を取得する関数を用意する。 もうすこしちゃんと言うと、

• コメント部分に遭遇すると、空白文字を返す
• 改行文字に遭遇すると、空白文字を返す
• その他の文字に遭遇すると、そのまま1文字返す

という関数を作る。

これを src/lexer.cのget_next_char関数 で定義した。

次のトークンを取得

mincコードの文字列を受け取り、「次のトークン」を返す関数を作る。 その際に、さっき作ったget_next_char関数を呼び出すことでコメントをスキップできる。

これを src/lexer.cのget_next_token関数 で定義した。

ここで、C言語のFILE構造体は「ファイルの中身の文字列」と「ファイルの読込現在地」という2つの情報を持つことに注意してほしい。 get_next_token関数は、ファイルの現在地から先方へと伸びるトークンを返す関数になっている。

extern TOKEN get_next_token(FILE *file) {
  TOKEN ret = initialize_token(); // TOKEN構造体を準備。

  int count = 0;
  char ch, ch_more;
  while (true) {          // 無限ループでファイルを1文字ずつ読み込む
    ch = get_next_char(file);

    // 空白文字を読み飛ばす
    if (isspace(ch)) {
      while (true) {
        ch = get_next_char(file);
        if (!isspace(ch)) break;
      }
    }

    if (ch == EOF) break; // ファイルの終端ならループを抜ける

    if      (ch == '+' || ch == '-') {
      add_char_to_token_str(&ret, &count, ch); // ret -> str[*count] = ch する関数
      ret.kind = TERM_OPERATOR;
      break;
    }

    else if (ch == '*' || ch == '/' || ch == '%') {
      add_char_to_token_str(&ret, &count, ch);
      ret.kind = FACTOR_OPERATOR;
      break;
    }
// 略
  }
  ret.str[count] = '\0';
  return ret;
}

全属性のパーサを貼るとえらいことになるので、 TERM_OPERATOR と FACTOR_OPERATOR の部分だけ抜粋した。

複雑な属性をパースするには文字列処理を工夫する必要がある。 BNFとにらめっこしながら頑張って作ろう。

全トークンの配列を取得

前節では、mincソースコードの文字列を入力し、トークンを1つ出力するget_next_token関数を作った。 これをループで回せば、ソースコードをトークンの配列が得られる。

このあたりの処理は main関数の最初の方 で行っている。

FILE *file;
file = fopen(argv[1], "r");

// 全トークンの数を数える。内部でget_next_tokenを回している
const int max_token_num = count_token_num(file);

// 全トークンの配列を作る
TOKEN *token;
token = (TOKEN *)malloc( sizeof(TOKEN)*max_token_num );
for (int i=0; i<max_token_num; i++) token[i] = get_next_token(file);

fclose(file);

• まずトークンの数を数える。これはget_next_token関数を使えば簡単だ。
• 次にmallocでトークンの配列領域を確保した後、全トークンの配列を読み込む。これもget_next_tokenを使えば簡単に実現できる。

どうでもいい話

今回はBNFの定義に始まり、人力で字句解析し、さらに字句解析プログラムを概要をざっくりと説明した。

今日のところは肩慣らし。明日からの構文解析が本番。 そこでは、今日作ったget_next_tokenの超絶複雑版を作る必要がある。 心してかかろう。

この記事はひとりでCPUとエミュレータとコンパイラを作る Advent Calendar 2017の17日目の記事です。

ちょうど1週間前に 単純なCPUをFPGAで作った。

そして昨日は x86のエミュレータを完成させた。

この2つを組み合わせて、FPGA上で動くx86のCPUを作ろう。 いよいよ本丸に切り込むぞ！！！

x86をHDLで記述する日本語書籍や解説記事は、いまのところ存在しないと思う。 先陣を切った。

仕様

全命令を実装するのは大変なので、以下の表の赤い命令にしぼろう。

これらの命令さえあれば、再帰呼出しでフィボナッチ数が計算できる。

基本戦略

負担を軽減するため、 前作CPU を改良し、機能を追加する形で実装しようと思う。

前作CPUの命令セットはこの記事に書いた。 こいつとx86の相違点をまとめると

相違点を中心に、今からソースコードを解説していく。

1. レジスタとフラグの拡張

レジスタの32bit化とフラグの拡張は簡単だ。 前作CPUの7だったインデックスを31に変えるだけで済む。 この処理は top.svの最初の方 で行っている。

// レジスタの宣言
logic [31:0] eax; // FF
// ecx, edx, ebx, esp, ebp, esi, ediを略

logic [31:0] eip; // FF
logic cf, zf, sf, of; // wire

// レジスタ直前のワイヤの宣言
logic [31:0] next_eax; // wire
// ecx, edx, ebx, esp, ebp, esi, ediを略

logic [31:0] next_eip; // wire
logic next_cf, next_zf, next_sf, next_of;

2. メモリフェッチの改善

CPUで演算を行いたい。 つまりクロックの立ち上がりでレジスタeaxを上書きしたい。 そのためには、更新用のワイヤnext_eaxの電圧を作る組み合わせ回路が必要だった。

この組み合わせ回路は、前作CPUも今作のx86もmake_next_regというモジュール名で統一した。 前回はこいつにメモリ全体を渡していた。 前回CPUを作ったときの記事 の下の方に書いたが、あまりにひどい処理だった。

メモリフェッチ処理を改善し、make_next_regに渡すメモリのサイズを小さくしたい。 そのためには top.svの中でオペコードのワイヤを作って

// オペコードのワイヤを作成
logic [7:0] opecode;
assign opecode = memory[eip];

make_next_regの引数に入れて 渡せば良い。

make_next_reg make_next_reg_0(
  // 略
  , opecode, imm8, imm32
  , mod, r, m, r_reg, m_reg
  // 略
  , eax, ecx, edx
  // 略
  , next_eax, next_ecx, next_edx
  // 略
);/*}}}*/

ここではopecode以外に、即値やらレジスタやら色々渡している。 前回はopecodeを渡す代わりにmemoryを渡していた。とんでもないことだ。

3. ModRMでオペランドを指定

opecodeをmake_next_regに渡し、メモリフェッチを改善することができた。 しかしメモリフェッチはopecodeと即値だけではない。ModRMを考慮しなければならない。

ModRMはややこしいので、make_next_regに渡す前に多数のワイヤを作成する必要がある。

そのため、まず top.svの中でModRM関連のワイヤを一挙に宣言 する。 これらをmake_modrmモジュールに渡すことで、ModRMに関する電圧値を得ている。

logic [ 1:0] mod;
logic [ 2:0] r;
logic [ 2:0] m;
logic [31:0] r_reg;
logic [31:0] m_reg;
logic [31:0] m_reg_plus_imm8 ; // M+imm8
logic [31:0] m_reg_plus_imm32; // M+imm32

logic [ 7:0] around_eip [6:0];
assign around_eip[0] = memory[eip+0];
assign around_eip[1] = memory[eip+1];
assign around_eip[2] = memory[eip+2];
assign around_eip[3] = memory[eip+3];
assign around_eip[4] = memory[eip+4];
assign around_eip[5] = memory[eip+5];

make_modrm make_modrm_0(
  around_eip,
  eax, ecx, edx, ebx, esp, ebp, esi, edi,
  // 略
  mod, r, m, r_reg, m_reg,
  m_reg_plus_imm8, m_reg_plus_imm32
);

modとrとmは分かるだろう。

r_regは3bitのrで指定されるレジスタの出口電圧を表している。m_regも同様。

m_reg_plus_imm8はm_regに1byteの即値imm8を足したものだ。 ModRMの絡んだ命令では、add [m_reg+imm8], Rのようにm_reg+imm8が頻出するので、あらかじめ作っておいた。

これらのワイヤの電圧値を、eip周辺のメモリの値around_eipを元に作成するモジュールがmake_modrmである。

make_modrmモジュールの実装 を見てみると

module make_modrm (
// 略
);

  logic  [7:0] modrm;
  assign modrm = memory_eip[1];
  assign mod = modrm[7:6];
  assign r   = modrm[5:3];
  assign m   = modrm[2:0];

  // 略

  // always_comb内では、モジュールのoutputに直接接続できない。
  // なのでワイヤの end_r_reg を宣言して r_reg にかます
  logic [31:0] end_r_reg;
  assign r_reg = end_r_reg;

  // 略

  // end_r_reg に線をつなぐ
  always_comb begin
    case(r)
      3'b000: end_r_reg = eax;
      3'b001: end_r_reg = ecx;
      // 以下、edx, ebx, esp, ebp, esi, ediを同様に処理
    endcase

    //略

  end
endmodule

簡単のために省略改変して記載した。 このコードは、ModRMの3bitのRに対応するレジスタを取得し、ワイヤのr_regに繋ぐモジュールだと思ってほしい。 処理を追うと

1. 入力のmodrmから、出力のmodとrとmを切り出す
2. ワイヤのend_r_regを宣言し、r_regの入力につなぐ
3. case文を使いたいので、always_combの中でend_r_regの入口に線をつなぐ

もちろんr_reg以外にも(m_regなど)作成すべき電圧値はある。 実際のmake_modrmモジュールの中では、それらの必要な電圧値を全て作成している。

4. 演算処理を各モジュールに分離

前回作ったCPUのmake_next_regモジュールでは、always_combの中でオペコードによる場合分けを行っていた。 System Verilogの仕様上、alwaysの中ではモジュールを呼び出せないので、必要な演算処理を全てalways_comb中にべた書きする必要があった。 いかにも不格好だ。

今回はスマートにやろう。命令毎にモジュールに分割する。

昨日のx86エミュレータ製作を思い出してほしい。 そこでは「演算処理の構造体を作り、配列にして、添字をオペコードにする」というテクニックを使っていた。

これと同様に 「演算処理のワイヤを作り、配列にして、添字をオペコードにする」というテクニックを使えば、always_comb内のcase文を使うことなく分岐することが可能になる。

つまり

1. クロック毎に全種類の演算を行う
2. 結果を「演算処理のワイヤの配列」に格納する。添字は計算種別に対応する1byteのオペコードにする
3. メモリから取得したオペコードをもとに、「欲しい計算結果のワイヤ」を得る
4. 取得したワイヤの電圧値で、次回クロック立ち上がりの瞬間にレジスタを上書き

こうすることで「演算処理のワイヤを作る」部分を命令毎にモジュール化できて、可読性が向上する。

説明が抽象的でわかりにくいかもしれない。コードを見よう。

make_next_reg.sv の全体像を見ると

// opecode, eax等からwrite_flag, next_eax等を作る組み合わせ回路

module make_next_reg(
  output   wire        write_flag
  , output wire [31:0] write_addr
  , output wire [31:0] write_value
  // 略
  , output wire [31:0] next_eax
  // 略
);

  // next 更新用の多重ワイヤを宣言
  logic        end_write_flag[255:0];
  logic [31:0] end_write_addr[255:0];
  logic [31:0] end_write_value[255:0];
  logic [31:0] end_eax [255:0];
  // 略

  // 多重ワイヤのうち、opecodeに合致するものをnextに繋ぐ
  assign write_flag  = end_write_flag[opecode];
  assign write_addr  = end_write_addr[opecode];
  assign write_value = end_write_value[opecode];
  assign next_eax    = end_eax[opecode];
  // 略

  // 全種類の計算を実行。まずはaddの結果をend_***[01]に入れる
  inst_01_add_M_imm_R inst_01_add_M_imm_R_0(
    , mod, m, r_reg, m_reg                // modRM関連の他の引数を略
    , end_write_flag[8'h01], end_write_addr[8'h01], end_write_value[8'h01]
    , eax, ecx                            // レジスタ関連の引数を略
    , end_eax[8'h01], end_ecx[8'h01]      // レジスタ更新用ワイヤの引数を略
  );

  // 略 (jmpやmovの結果も、end_***[***]に入れる)
endmodule

「演算処理のワイヤの配列」はend_eax [255:0]などの、endで始まるワイヤ配列を指している。 配列サイズを256にしたのは、オペコードが0x00から0xffまでの256種類(1byte)だからだ。

5. 条件付きジャンプ命令

さっきのコードの最後で、inst_01_add_M_imm_Rというモジュールをよtl出していた。 こいつはadd [M+imm], Rという命令を処理するモジュールなのだが、ModRMが入っていてややこしい。 詳細は記事の最後に回そう。

変わりに jcc imm32の命令を処理するモジュール の実装を見てみる。

// jcc imm32
module inst_0f_jcc_imm32(
  input    wire [31:0] imm8
  , input  wire [31:0] modrm_imm32
  , output wire        next_write_flag
  , output wire [31:0] next_write_addr
  , output wire [31:0] next_write_value
  , input  reg  [31:0] eax      // input ecx, edx, ... , of を略
  , output wire [31:0] next_eax // output next_ecx, next_edx, ... , next_of を略
);

  // eip以外は前回の値を保持
  assign next_write_flag  = 0;
  assign next_write_addr  = 0;
  assign next_write_value = 0;

  assign next_eax = eax;
  // ecx, edx, ... , of も同様に前回の値を保持する。略

  logic [31:0] e_eip;
  assign next_eip = e_eip;

  logic [31:0] no_jump;
  assign no_jump = eip + 6;

  logic [31:0] jump;
  assign jump = eip + 6 + modrm_imm32;

  always_comb begin
    case(imm8)
      8'h80: e_eip = (of == 1) ? jump : no_jump;
      8'h81: e_eip = (of == 0) ? jump : no_jump;
      8'h82: e_eip = (cf == 1) ? jump : no_jump;
      8'h83: e_eip = (cf == 0) ? jump : no_jump;
      // 他の条件付きジャンプは略
      default: e_eip = no_jump;
    endcase
  end
endmodule

jmp imm32の機械語命令を復習しよう。 例えばメモリアドレス 0x12345678 に条件付きジャンプする命令だと

このimm8の値に応じて、ジャンプの条件式(a>bかa<bか)が定まっている。

これを実現するために

1. メモリには何も書き込まない
2. eax, ecx 等のレジスタも前回の値を保持
3. フラグも変更しない
4. プログラムカウンタeipを、imm8とフラグを比較して書き換える

という処理を行っている。

6. 関数呼出

関数呼出の解説記事 を読み返してほしいのだが、関数を呼ぶにはcallしてleaveしてretすればよかった。

これらの実装をメモしておく。

call

実装はこれ。 この命令はpushで「callの次の命令」をスタックに積んだあと、jmp imm32するのと等価だった。

// module文を省略

assign next_write_flag  = 1;
assign next_write_addr  = esp-4;
assign next_write_value = eip+5; // call命令の一個下のeipを入れる

assign next_esp         = esp-4;
assign next_ebp         = ebp;
assign next_eip         = (eip+5) + imm32;
// 他のnext_***は前回の値を保持

leave

実装はこれ。 この命令はmov esp, ebpしたあとpop ebpするのと等価だった。

// module文を省略
// next_write_***は前回の値を保持

assign next_esp = ebp+4;
assign next_ebp = ebp_leave_value;
assign next_eip = eip+1;
// 他のnext_***は前回の値を保持

ret

実装はこれ。 この命令はpop eipと等価だった。

// module文を省略
// next_write_***は前回の値を保持

assign next_esp = esp+4;
assign next_ebp = ebp;
assign next_eip = stack_value;
// 他のnext_***は前回の値を保持

7. ModRMの入った演算

最後にadd [M+imm], R命令を処理するモジュールinst_01_add_M_imm_Rを説明する。

今日の記事の「4. 演算処理を各モジュールに分離」のところで出てきた命令だが、だいぶややこしい。 ModRMが入るとしんどいのだ。

inst_01_add_M_imm_Rの実装 を見てみると

module inst_01_add_M_imm_R(
  input    wire [ 1:0] mod              // modRMのmod (0,1,2,3)
  , input  wire [ 2:0] m                // modRMのM (0~7)
  , input  wire [31:0] r_reg            // modRMのRで指定されるレジスタの出口
  , input  wire [31:0] m_reg            // modRMのMで指定されるレジスタの出口
  , input  wire [31:0] m_reg_plus_imm8  // M+imm8のメモリアドレス
  , input  wire [31:0] m_reg_plus_imm32 // M+imm32のメモリアドレス
  , input  wire [31:0] memval_m_reg     // [M] のメモリの値
  // modrm系のinputを略

  , output wire        next_write_flag  // メモリに書き込む時は1, さもなくば0
  , output wire [31:0] next_write_addr  // メモリに書き込むアドレス
  , output wire [31:0] next_write_value // メモリに書き込む値
  , input  reg  [31:0] eax              // eaxレジスタの出口
  // レジスタ系のinputを略

  , output wire [31:0] next_eax         // 次回クロックのeaxレジスタの入口
  // 更新用ワイヤのoutputを略
);

  // always_comb内で直接next_***に繋ぐことはできないので、e_***をかます
  logic        e_write_flag;
  logic [31:0] e_write_addr;
  logic [31:0] e_write_value;
  logic [31:0] e_eax;
  // 略

  assign next_write_flag  = e_write_flag;
  assign next_write_addr  = e_write_addr;
  assign next_write_value = e_write_value;
  assign next_eax         = e_eax;
  // 略

  // e_***に線を繋いで、間接的にnext_***を書き換え
  always_comb begin
    case(mod[1:0])

      // add [M], R の処理
      2'b00: begin
        e_write_flag  = 1;     // メモリの書き込みフラグを立てる
        e_write_addr  = m_reg; // 書き込むアドレスはレジスタMの値そのもの
        e_write_value = memval_m_reg + r_reg; // [M]=[M]+R

        e_eax = eax;   // eax, ecx, ... は前回の値を保持
        e_ecx = ecx;
        // 略
        e_edi = edi;

        // プログラムカウンタの更新
        // メモリ上の機械語は (HERE_ope) (ModRM) (NEXT_ope) なので+2する
        e_eip = eip+2;

        // 略
      end
      // modが01, 10, 11の処理は略
    endcase
  end
endmodule

混乱した場合は、今日の記事の「5. 条件付きジャンプ命令」のセクションを再読して欲しい。 あそこではe_eipというワイヤを宣言し、always_comb中でその電圧値を作成していた。

そこで出てきたe_eipと全く同様に、e_write_flagやe_eaxを宣言し、always_comb中で電圧値を更新している。

重要なのはalways_combの中身だが、冗長になるので、mod=00に該当するadd [M], Rの処理だけを載せた。 この場合

e_write_flag  = 1;     // メモリの書き込みフラグを立てる
e_write_addr  = m_reg; // 書き込むアドレスはレジスタMの値そのもの
e_write_value = memval_m_reg + r_reg; // [M]=[M]+R

always_comb中で、e_write_***のメモリ更新用ワイヤに電圧値を設定することで、メモリに値を書き込んでいる。

どうでもいい話

x86のCPUをFPGA上に実装する方法を書いたけど、一回の記事としては分量が多すぎたと思う。

よくわからなかった場合は 前作CPUの作成記(前半) (後半)。 を読み直して欲しい。 複雑になっただけで、難しくなったわけではない。 ModRM周りを除けば前作CPUと全く変わらない。

今日でCPUの話題は終了だ。 x86のエミュレータも作ったし、FPGAで実装したし、一区切りつけるにはちょうどいい。 明日からはコンパイラの自作だ。 製作時の記憶がかなり失われているので、頑張らなきゃな。

この記事はひとりでCPUとエミュレータとコンパイラを作る Advent Calendar 2017の15日目の記事です。

昨日まではx86の命令セットの解説をしていた。 重要な命令 は概ね紹介できたと思う¹。 ざっくり振り返ると、CPUが実行できる命令は

• 機械語をメモリから読み込む
• メモリorレジスタから値を読む
• 値を算術演算する
• 値をメモリorレジスタに入れる

これらの動作の組み合わせになっていた。

せっかく x86の命令を調べた し、それを再現するようなCPUを作りたくなる。 いきなりFPGAで作っても良いのだが、あれはしんどいので、まず手始めにCPUと似た動作をするやつをソフトウェア的に作ろうと思う。 要するに機械語を読み込んで命令を解釈し、算術演算に基づいてレジスタ/メモリの値を操作し、処理を終えたら次の機械語を読む、、、という動作を繰り返す、CPUと似た動きをするプログラムを作りたい。 そうした疑似CPUのことをエミュレータという²。 一口にエミュレータと言っても、どのレベルでCPUを再現するかに応じて種類がある。ストイックな順に並べると

1. トランジスタの電圧変動をリアルタイムで忠実に再現(超ストイック)
2. クロック毎のNANDゲートのOn/Offを再現(かなりストイック)
3. 機械語を実行した結果、レジスタがどうなるかを再現

1や2のようなエミュレータを作るのは、FPGAでCPUを作るのと似た作業になるだろう。 たとえば機械語のadd命令を再現するために全加算器を作る必要が生じる。これは大変だ。

今回は3番目の機械語を実行した結果、レジスタがどうなるかを再現するようなエミュレータを作ろうと思う。 この場合、add命令を再現するのに全加算器はいらない。a=a+bのように普通に値を足せばよい。 つまりレジスタとメモリの状態を再現するのが目的であり、そのための手段は問わない。

こういうエミュレータは簡単に作れて、しかも役立つ。ご利益を列挙すると

• FPGAでCPUの回路を作る際に、回路シミュレータと自作エミュレータでメモリの値が一致するかチェックできる
• ある機械語を実機で動作させる前に、自作エミュレータで結果をチェックできる
• 自作コンパイラの吐いたコードが正しく動くかチェックできる

要するにCPUとコンパイラのデバッグを行う時に、ものすごく役立つのだ。 これらを自作したいのなら、あらかじめエミュレータを書いておくとスムーズに進むだろう。

タイトルでエミュレータなどと銘打ったが、実際に作るのはデバッガに近い。 C言語をgcc -gでコンパイルしてgdbでステップ実行し、i rでレジスタの状態を見るような感じ。

予定

今後の予定だが、まず今日はmain関数を解説し、エミュレータの大枠を説明する。 明日は機械語の解釈部分を説明し、完成する見込み。 前回FPGAでCPUを作ったときと全く同じ流れだ。

今日の内容を要約すると

1. エミュレータ本体の構造体 emu を初期化
2. 外部ファイルからemu.memoryに機械語を読み込む
3. 機械語を解釈する構造体 ope を初期化 (詳細は明日)
4. 機械語をemu.memoryを行ずつ実行 (詳細は明日)
5. emuとopeを解法

これらを実行するC言語のプログラムを書いた。 Cを選んだ深い理由はないけど、後にCで書いた自作コンパイラを解説する予定なので、あわせておいた。

エミュレータの本体部分

解説に移る。リポジトリは これ だ。

今日はmain関数の中身を追うと言ったが、その 最初の処理 は

EMULATOR emu;
initialize_EMULATOR(&emu);

エミュレータ本体を表す構造体を作り、初期化している。 この構造体は include/common.h で以下のように宣言されている。

typedef struct {
  uint32_t *eax;
  uint32_t *ecx;
  uint32_t *edx;
  uint32_t *ebx;
  uint32_t *esp;
  uint32_t *ebp;
  uint32_t *esi;
  uint32_t *edi;
  uint32_t *eip;
  uint32_t *eflags;
  uint8_t *memory;
} EMULATOR;

意味は 11日目の記事 のレジスタの種類のセクションを読めばわかると思う。各種レジスタは32bit(4byte)で、メモリは8bit(1byte)の配列として実装した。 initialize_EMULATOR ではレジスタやメモリ(ややこしいので以下ではemu.memoryと書く)をmallocしてゼロで初期化している。 ただしemu.espだけはemu.memoryのアドレスの最大値で初期化している。 理由はスタックがメモリ空間の末尾に準備されるせい³なのだが、忘れた人のために次のセクションで詳しく説明する。

エミュレータのメモリに機械語を読み込む

emuを初期化したので、次は emu.memoryに機械語を読み込む 。 機械語のファイルを開いて、サイズ(全体で何バイトか?)をbin_sizeに格納した後、fread関数を使ってemu.memoryに中身を読み込んでいる。

FILE *bin;
bin = fopen(argv[1], "rb");

// 機械語のサイズを取得
fseek(bin, 0, SEEK_END);
const int bin_size = ftell(bin);
rewind(bin);

// 機械語をemu.memoryに読み込み
// INIT_EIP_ADDRESSはデフォルトで0
fread(emu.memory + INIT_EIP_ADDRESS, 1, bin_size, bin);
fclose(bin);

ここで重要なのは、emu.memoryのどこに機械語を読み込むかだ。 例えば全メモリが1MB(0x000000から0xFFFFFF)だとすると

1. emu.memoryの0番地から正の方向に機械語ファイルの中身をコピー
2. 開始時点のeipは0x000000
3. emu.memoryの0xFFFFFF番地から負の方向にスタック領域を確保
4. 開始時点のespは0xFFFFFF

というメモリ配置になる。 「関数本体」と「グローバル変数」で分けられているが、これは気にしなくて良い⁴。 ひっくるめて「機械語ファイルの中身」だと思って欲しい。

ニーモニックの解釈

次は 機械語命令を解釈 する部分だ。これは配列と関数ポインタで実装した。

OPECODE ope[OPECODE_NUM];
initialize_OPECODE(ope);

たとえば1byteの機械語命令0x01を読み込んだ時に、ope[0x01]を使うことで処理が行えるようになっている。

構造体OPECODEは include/common.h で宣言されており

typedef struct {
  char     *mnemonic;
  void     (*func)();
} OPECODE;

重要なのはvoid (*func)());の部分。関数ポインタを使って、少々トリッキーなことをやっている。 この辺の詳細は明日話すことにしよう。

機械語を実行

最後に、 emu.memoryに読み込んだ機械語を実行 していく。

for (int i = 0; i < 100000; i++) {
  const int opecode = readmem_next_uint8(&emu);
  ope[opecode].func(&emu);
  if (opecode == 0xF4) break;
}

forループの中では、まずemu.memoryのemu.eip番地のアドレスを参照し、opecodeという変数に入れている。 たとえばopecodeの値が64の場合、16進数で0x40なので、ope[opecode]はinc eaxという処理に対応する。

ループの最後にbreak文がある。 これはもし読み込んだ機械語が0xF4ならばニーモニックはhltなので、停止処理を実行している。

以上でエミュレータの動作の大枠は説明できたと思う。

明日はOPECODEの構造体の中身を説明する予定。

この記事はひとりでCPUとエミュレータとコンパイラを作る Advent Calendar 2017の13日目の記事です。

昨日は数値についてまとめた。

今日はModRMを説明する。

ModRMを一言で表すと、必須オプションだ。 たとえばadd命令の場合、何と何を足すかを指定するのがModRMの役目と言える。

add命令

具体的に説明するため、考える対象をadd命令に絞る。 一昨日のx86の命令セット表 の最上段左側のadd命令を切り出すと

機械語の0x01はニーモニックのadd [M+imm], Rに対応し、0x03はadd R, [M+imm]に対応する。 ここで[hoge]はメモリのhoge番地を表している。 つまりadd [M+imm], Rを数式的に書くと(M+imm)番地のメモリ = (M+imm)番地のメモリ + Rになり、メモリの値を変更する命令になっている。

一方add R, [M+imm]ではメモリの値は変更されない。

これらを表に記すと

????の部分をうまく調整することで何と何を足すか指定できる。 この指定子がModRMだ。

[M+imm], R 型

add [M+imm], R命令(機械語0x01)を知るための画像を用意した。これをじーっくり眺めて欲しい。

右列は機械語を1byteずつ区切ったものだ。 最初に0x01、次に1byteのModRMが来て、最後に即値(無い場合もある)が来る。

ModRMについては、中央のカラフルな列を見れば分かるように、最初の2bitがmod、次の3bitがR、最後の3bitがMと命名されている。

左列の下四段のニーモニックを見ると、[M+imm]の形式が異なっている。これらの形式はmodで指定される。

RとMについては、以下のようにレジスタと対応している。

なんだかややこしいが、そういう仕様なので仕方ない。

R, [M+imm] 型

機械語0x03、つまりadd R, [M+imm]の命令を見てみる。

さっきの[M+imm], Rと比較すると、Rと[M+imm]の位置が入れ替わっただけだ。 ModRMの役割は全く同じなので、説明は略す。

なおadd以外の命令(subやcmpやmovなど)についても、命令セット表に[M+imm], RやR, [M+imm]が出てきたら、ModRMは今説明したadd命令とおなじ型になる。

ModRMの精神について述べると、modは挙動の種類を指定し、Rはレジスタを指定し、Mはメモリを指定する。 この雰囲気を掴むと納得しやすい。

Rで計算種別を指定する型

今までに解説した2タイプのModRMが分かれば、ほぼ困らない。 しかし他の型のModRMもいるので、軽く説明しておく。

命令セット表の8段目の左側0x81, 0x83の命令は、calcになっている。

これらはadd ecx, 即値やsub edx, 即値を計算する命令だ。

この場合は、ModRMのRで計算の種類を指定し、Mでレジスタを指定する。

なお、modは11に固定しておく¹。 最後に、calc eax, imm32型の命令については、機械語0x81ではなく機械語0x05等も使用できる。 つまりeaxだけ例外扱いされているのだ²。こういう例外は辛い。

即値を2つ取る型

mov [M+imm], imm32_next

というタイプのニーモニックは、アセンブルすると

0xc7 ModRM imm imm32_next

となる。この場合のModRMは:

どうでもいい話

今日のModRMの解説で、 x86の命令セット表 の大半は理解できるようになったと思う。

残りはcall, leave, retだけだ。これらは関数呼び出しのための命令で、少しややこしいので明日説明する。

今まで見てきたように、x86は各命令のサイズがバラバラだ。 hltのように1byteの命令もあれば、add [eax+0x12345678], 0x1234のような10byte命令もある。 これをちゃんと読み取るCPUをFPGAで書くのは、結構難しい。 3日前に作ったCPUは、異サイズの命令読み取りの部分でずるいことをして、問題を回避していた。

MIPSならば、この辺の面倒な問題が起きない³のでCPUを作りやすい。 逆に言うとx86がしんどいのだ。x86の辛さを表すエピソードを紹介すると

#低レイヤ x86-32bitの機械語で、movの引数に[esp]がくる場合が気持ち悪い。例えばmov [レジスタ] imm32型の命令で、[esa]や[ebp]ならModRMの後に即値がくる。しかし [esp]の場合はModRMのあとに余計な0x24が入る。こういう例外はやめて

— 解答略 (@kaitou_ryaku) 2017年2月1日

SIB拡張のためにどれかのレジスタを読み換える必要があったがESPが一番1バイト長くなっても支障なかったからね
スタック上にローカル変数展開するにもEBP相対のアドレッシングで読み書きすれば十分だしね https://t.co/a46ddBAzhq

— (:∠) まぐろ㌠ (@MagurosanTeam) 2017年4月10日

辛い。