参考:http://lists.gnu.org/archive/html/qemu-devel/2011-04/pdfhC5rVdz7U8.pdf
1. qemu与Bochs的区别:
1. Bochs
Bochs和qemu都是以软件仿真为主的虚拟软件,二者的区别何在?
Bochs完全是以软件的方式对目标程序(OS以及运行在其上的应用程序)进行仿真。Bochs在自己的内部维护着CPU、内存、IO设备的数据结构,每当Bochs仿真一条指令,就会按照这条指令在真实硬件上运行时应当产生的效果,对这些软件维护硬件数据结构产生相应的影响。
这种逐条处理的方式,可以保持与真实运行时完全相同的粒度,便于学习和调试。但是由于这是一种一对多的映射方式,即一条机制指令,会被解释成N条指令执行,因此效率的下降是在所难免。
2. qemu
qemu采取的是另外一种粒度的仿真。
qemu会从目标程序中,截取当前需要运行的一段代码(被称作Translation Block),将这段代码先翻译成中间语言(Intermediate Code),再将中间语言翻译成主机体系相关的二进制代码。
由于Translation Block的粒度大于单条机制指令的粒度,qemu相当于是batch处理指令的仿真操作的,因此会比逐条处理的Bochs性能上快一些。
除此之外,qemu还会优化对于Translation Block的缓存,以及将多个连接执行的Translation Block链接起来在同一批次进行处理;这两种方式对于反复执行的代码段的仿真性能有很大的提升。
3. 总结
简而言之,Bochs适合用于学习,以及比较简单的任务处理,Bochs自带的调试器也很给力,用Bochs调试Linux内核是不错的选择(可以参考:http://www.cnblogs.com/long123king/p/3559816.html等等),但是Bochs不适合用于真实地仿真大型的操作系统,比如Windows,基本上无法做到。
qemu由于处理方式上有优化,不像Bochs那样可以“原汁原味”地展现指令级别的执行过程,因此不太适合于学习;但是由于qemu性能上的提升,还可以配合内核虚拟化模块kvm,甚至xen,因此qemu可以像主流的虚拟桌面软件(VirtualBox, Vmware等等)一样流畅地运行多种操作系统。如果你需要在Linux上面虚拟化Windows,肯定是qemu更加适合一些。
tb_find_fast: 查找下一个TB(Translation Block),并且生成主机代码;
tcg_qemu_tb_exec:执行生成的主机代码,主机代码由三部分组成:
2. qemu的处理流程
qemu的仿真主循环位于cpu-exec.c:cpu_exec函数中
for(;;){......
tb = tb_find_fast(env);
......
next_tb = cpu_tb_exec(cpu, tc_ptr);
......
}
1. tb_find_fast:
用来准备Translation Block;如果缓存中已经准备好的Translation Block,就直接返回;否则调用tb_find_slow函数来构造一个新的TB。
tb_find_fast
|
tb_find_slow
|
tb_gen_code
|
cpu_gen_code
|
gen_intermediate_code 【Guest Code --> tcg op(中间代码)】
|
tcg_gen_code【tcg op(中间代码) --> Host Code】
其中,gen_intermediate_code是与体系相关的函数实现,x86的实现位于target-i386/translate.c中,内部调用disas_insn逐条指令处理。
而tcg_gen_code会调用tcg_gen_code_common,从TB中取出中间代码,将其转换成主机代码。
2. cpu_tb_exec:
用来执行生成好的TB。
cpu_tb_exec
|
tcg_qemu_tb_exec
#define tcg_qemu_tb_exec(tb_ptr) ((long REGPARM (*)(void *))code_gen_prologue)(tb_ptr)
prologue和epilogue是compiler在生成目标代码时,对函数栈帧的保存与恢复的代码,我们信手拈来一个例子
objdump -d vl.o
下面代码中红色的部分就分别是函数的prologue和epilogue。
000000000000013a <bitmap_empty>:
13a: 55 push %rbp
13b: 48 89 e5 mov %rsp,%rbp
13e: 53 push %rbx
13f: 48 83 ec 28 sub $0x28,%rsp
143: 48 89 7d d8 mov %rdi,-0x28(%rbp)
147: 89 75 d4 mov %esi,-0x2c(%rbp)
14a: 64 48 8b 04 25 28 00 mov %fs:0x28,%rax
151: 00 00
153: 48 89 45 e8 mov %rax,-0x18(%rbp)
157: 31 c0 xor %eax,%eax
159: 8b 45 d4 mov -0x2c(%rbp),%eax
15c: 83 f8 40 cmp $0x40,%eax
15f: 77 42 ja 1a3 <bitmap_empty+0x69>
161: 48 8b 45 d8 mov -0x28(%rbp),%rax
165: 48 8b 10 mov (%rax),%rdx
168: 8b 45 d4 mov -0x2c(%rbp),%eax
16b: 48 98 cltq
16d: 83 e0 3f and $0x3f,%eax
170: 48 85 c0 test %rax,%rax
173: 74 19 je 18e <bitmap_empty+0x54>
175: 8b 45 d4 mov -0x2c(%rbp),%eax
178: 83 e0 3f and $0x3f,%eax
17b: be 01 00 00 00 mov $0x1,%esi
180: 89 c1 mov %eax,%ecx
182: 48 d3 e6 shl %cl,%rsi
185: 48 89 f0 mov %rsi,%rax
188: 48 83 e8 01 sub $0x1,%rax
18c: eb 07 jmp 195 <bitmap_empty+0x5b>
18e: 48 c7 c0 ff ff ff ff mov $0xffffffffffffffff,%rax
195: 48 21 d0 and %rdx,%rax
198: 48 85 c0 test %rax,%rax
19b: 0f 94 c0 sete %al
19e: 0f b6 c0 movzbl %al,%eax
1a1: eb 11 jmp 1b4 <bitmap_empty+0x7a>
1a3: 8b 55 d4 mov -0x2c(%rbp),%edx
1a6: 48 8b 45 d8 mov -0x28(%rbp),%rax
1aa: 89 d6 mov %edx,%esi
1ac: 48 89 c7 mov %rax,%rdi
1af: e8 00 00 00 00 callq 1b4 <bitmap_empty+0x7a>
1b4: 48 8b 5d e8 mov -0x18(%rbp),%rbx
1b8: 64 48 33 1c 25 28 00 xor %fs:0x28,%rbx
1bf: 00 00
1c1: 74 05 je 1c8 <bitmap_empty+0x8e>
1c3: e8 00 00 00 00 callq 1c8 <bitmap_empty+0x8e>
1c8: 48 83 c4 28 add $0x28,%rsp
1cc: 5b pop %rbx
1cd: 5d pop %rbp
1ce: c3 retq
qemu的执行流程中,本来属于qemu的代码,我们可以称之为static code;而通过TB生成的主机代码,我们可以称之为dynamic code,因此必定要有一个入口点,让static code将dynamic code调用起来。qemu采用的是类似函数prologue的方式,这也是为什么我们会看到code_gen_prologue的原因。
code_gen_prologure指向的是TB中动态生成的相对于整个TB的prologue。