Noções básicas do ABI Arm64EC e do código de assembly
Arm64EC ("Emulation Compatible") é uma nova ABI (interface binária de aplicativo) para criar aplicativos para Windows 11 no Arm. Para obter uma visão geral do Arm64EC e como começar a criar aplicativos Win32 como Arm64EC, consulte Usando o Arm64EC para criar aplicativos para Windows 11 em dispositivos Arm.
A finalidade deste documento é fornecer uma exibição detalhada da ABI do Arm64EC com informações suficientes para um desenvolvedor de aplicativos escrever e depurar o código compilado para o Arm64EC, incluindo depuração de baixo nível/assembler e gravação de código assembly direcionado à ABI do Arm64EC.
O Arm64EC foi projetado para fornecer funcionalidade e desempenho de nível nativo, ao mesmo tempo em que fornece interoperabilidade transparente e direta com código x64 em execução sob emulação.
O Arm64EC é principalmente aditivo à ABI do Arm64 clássico. Muito pouco da ABI clássica foi alterado, mas partes foram adicionadas para permitir a interoperabilidade x64.
Neste documento, a ABI Arm64 padrão original deve ser referida como "ABI clássica". Isso evita a ambiguidade inerente a termos sobrecarregados como "Nativo". Arm64EC, para ser claro, é tão nativo quanto o ABI original.
A lista a seguir aponta onde o Arm64EC divergiu da ABI Clássica do Arm64.
- Mapeamento de registros e registros bloqueados
- Verificadores de chamadas
- Verificadores de pilha
- Convenção de chamada variadic
Essas são pequenas mudanças quando vistas em perspectiva de quanto toda a ABI define.
Para que haja interoperabilidade em nível de tipo com o código x64, o código Arm64EC é compilado com as mesmas definições de arquitetura de pré-processador que o código x64.
Em outras palavras, _M_AMD64
e _AMD64_
são definidos. Um dos tipos afetados por essa regra é a CONTEXT
estrutura. A CONTEXT
estrutura define o estado da CPU em um determinado ponto. É usado para coisas como Exception Handling
e GetThreadContext
APIs. O código x64 existente espera que o contexto da CPU seja representado como uma estrutura x64 CONTEXT
ou, em outras palavras, a estrutura como ela é definida durante a CONTEXT
compilação x64.
Essa estrutura deve ser usada para representar o contexto da CPU durante a execução do código x64, bem como o código Arm64EC. O código existente não entenderia um conceito novo, como o conjunto de registros da CPU mudando de função para função. Se a estrutura x64 CONTEXT
for usada para representar estados de execução Arm64, isso implica que os registros Arm64 são efetivamente mapeados em registros x64.
Isso também implica que todos os registros Arm64 que não podem ser ajustados ao x64 CONTEXT
não devem ser usados, pois seus valores podem ser perdidos sempre que ocorre uma operação de uso CONTEXT
(e alguns podem ser assíncronos e inesperados, como a operação de Coleta de Lixo de um Managed Language Runtime ou um APC).
As regras de mapeamento entre os registros Arm64EC e x64 são representadas pela ARM64EC_NT_CONTEXT
estrutura nos cabeçalhos do Windows, presentes no SDK. Essa estrutura é essencialmente uma união da CONTEXT
estrutura, exatamente como é definida para x64, mas com uma sobreposição de registro Arm64 extra.
Por exemplo, RCX
mapeia para X0
, RDX
para X1
, RSP
para SP
, RIP
para PC
, etc. Também podemos ver como os registradores x13
, x14
, x23
, x24
, x28
, não v16
-v31
têm representação e, portanto, não podem ser usados no Arm64EC.
Essa restrição de uso de registro é a primeira diferença entre as ABIs Arm64 Classic e EC.
Os verificadores de chamadas fazem parte do Windows desde que o CFG (Control Flow Guard) foi introduzido no Windows 8.1. Os verificadores de chamadas são desinfetantes de endereço para ponteiros de função (antes essas coisas eram chamadas de desinfetantes de endereço). Toda vez que o código é compilado com a opção /guard:cf
, o compilador gerará uma chamada extra para a função de verificação antes de cada chamada/salto indireto. A função de verificador em si é fornecida pelo Windows e, para CFG, executa uma verificação de validade em relação aos destinos de chamada conhecidos como bons. Essas informações também estão incluídas em binários compilados com /guard:cf
.
Este é um exemplo de uso de um verificador de chamadas no Arm64 Clássico:
mov x15, <target>
adrp x16, __guard_check_icall_fptr
ldr x16, [x16, __guard_check_icall_fptr]
blr x16 ; check target function
blr x15 ; call function
No caso do CFG, o verificador de chamadas simplesmente retornará se o destino for válido ou falhará rapidamente no processo se não for. Os verificadores de chamadas têm convenções de chamada personalizadas. Eles usam o ponteiro de função em um registro não usado pela convenção de chamada normal e preservam todos os registros de convenção de chamada normal. Dessa forma, eles não introduzem derramamento de registro ao seu redor.
Os verificadores de chamadas são opcionais em todas as outras ABIs do Windows, mas obrigatórios no Arm64EC. No Arm64EC, os verificadores de chamadas acumulam a tarefa de verificar a arquitetura da função que está sendo chamada. Eles verificam se a chamada é outra função EC ("Emulation Compatible") ou uma função x64 que deve ser executada sob emulação. Em muitos casos, isso só pode ser verificado em tempo de execução.
Os verificadores de chamada Arm64EC são criados com base nos verificadores Arm64 existentes, mas têm uma convenção de chamada personalizada ligeiramente diferente. Eles recebem um parâmetro extra e podem modificar o registro que contém o endereço de destino. Por exemplo, se o destino for o código x64, o controle deverá ser transferido para a lógica do scaffolding de emulação primeiro.
No Arm64EC, o mesmo uso do verificador de chamadas se tornaria:
mov x11, <target>
adrp x9, __os_arm64x_check_icall_cfg
ldr x9, [x9, __os_arm64x_check_icall_cfg]
adrp x10, <name of the exit thunk>
add x10, x10, <name of the exit thunk>
blr x9 ; check target function
blr x11 ; call function
Pequenas diferenças do Arm64 clássico incluem:
- O nome do símbolo para o verificador de chamadas é diferente.
- O endereço de destino é fornecido em
x11
vez dex15
. - O endereço de destino (
x11
) é[in, out]
em vez de[in]
. - Existe um parâmetro extra, fornecido por meio de
x10
, chamado "Exit Thunk".
Um Thunk de Saída é um funclet que transforma parâmetros de função da convenção de chamada Arm64EC em convenção de chamada x64.
O verificador de chamadas Arm64EC está localizado por meio de um símbolo diferente do usado para as outras ABIs no Windows. Na ABI Arm64 clássica, o símbolo do verificador de chamadas é __guard_check_icall_fptr
. Esse símbolo estará presente no Arm64EC, mas está lá para o código x64 vinculado estaticamente usar, não o próprio código Arm64EC. O código Arm64EC usará ou __os_arm64x_check_icall
__os_arm64x_check_icall_cfg
.
No Arm64EC, os verificadores de chamadas não são opcionais. No entanto, o CFG ainda é opcional, como é o caso de outras ABIs. O CFG pode ser desabilitado em tempo de compilação ou pode haver um motivo legítimo para não executar uma verificação de CFG mesmo quando o CFG está habilitado (por exemplo, o ponteiro de função nunca reside na memória RW). Para uma chamada indireta com verificação CFG, o __os_arm64x_check_icall_cfg
verificador deve ser usado. Se o CFG estiver desabilitado ou desnecessário, __os_arm64x_check_icall
deve ser usado em seu lugar.
Abaixo está uma tabela de resumo do uso do verificador de chamadas no Arm64 clássico, x64 e Arm64EC, observando o fato de que um binário Arm64EC pode ter duas opções, dependendo da arquitetura do código.
Binário | Código | Chamada indireta desprotegida | Chamada indireta protegida CFG |
---|---|---|---|
x64 | x64 | sem verificador de chamadas | __guard_check_icall_fptr ou __guard_dispatch_icall_fptr |
Arm64 Clássico | Arm64 | sem verificador de chamadas | __guard_check_icall_fptr |
Arm64EC | x64 | sem verificador de chamadas | __guard_check_icall_fptr ou __guard_dispatch_icall_fptr |
Arm64EC | __os_arm64x_check_icall |
__os_arm64x_check_icall_cfg |
Independentemente da ABI, ter o código habilitado para CFG (código com referência aos verificadores de chamada CFG) não implica proteção CFG em tempo de execução. Os binários protegidos por CFG podem ser executados em nível inferior, em sistemas que não suportam CFG: o verificador de chamadas é inicializado com um auxiliar não operacional em tempo de compilação. Um processo também pode ter o CFG desabilitado pela configuração. Quando o CFG estiver desabilitado (ou o suporte ao sistema operacional não estiver presente) em ABIs anteriores, o sistema operacional simplesmente não atualizará o verificador de chamadas quando o binário for carregado. No Arm64EC, se a proteção CFG estiver desabilitada, o sistema operacional definirá __os_arm64x_check_icall_cfg
o mesmo __os_arm64x_check_icall
que , que ainda fornecerá a verificação de arquitetura de destino necessária em todos os casos, mas não a proteção CFG.
Assim como acontece com o CFG no Arm64 Clássico, a chamada para a função de destino (x11
) deve seguir imediatamente a chamada para o Verificador de Chamadas. O endereço do Verificador de Chamadas deve ser colocado em um registro volátil e nem ele, nem o endereço da função de destino, devem ser copiados para outro registro ou derramados na memória.
__chkstk
é usado automaticamente pelo compilador sempre que uma função aloca uma área na pilha maior que uma página. Para evitar ignorar a página de proteção de pilha que protege o final da pilha, __chkstk
é chamado para garantir que todas as páginas na área alocada sejam investigadas.
__chkstk
geralmente é chamado do prólogo da função. Por esse motivo, e para geração de código ideal, ele usa uma convenção de chamada personalizada.
Isso implica que o código x64 e o código Arm64EC precisam de suas próprias funções distintas __chkstk
, pois as conversões de entrada e saída assumem convenções de chamada padrão.
x64 e Arm64EC compartilham o mesmo namespace de símbolo, portanto, não pode haver duas funções chamadas __chkstk
. Para acomodar a compatibilidade com o código x64 pré-existente, __chkstk
o nome será associado ao verificador de pilha x64. O código Arm64EC será usado __chkstk_arm64ec
em vez disso.
A convenção de chamada personalizada para __chkstk_arm64ec
é a mesma do Arm64 __chkstk
Clássico: x15
fornece o tamanho da alocação em bytes, dividido por 16. Todos os registros não voláteis, bem como todos os registros voláteis envolvidos na convenção de chamada padrão são preservados.
Tudo o que foi dito acima __chkstk
se aplica igualmente a __security_check_cookie
e sua contraparte Arm64EC: __security_check_cookie_arm64ec
.
O Arm64EC segue a convenção de chamada de ABI do Arm64 Clássico, exceto para funções Variadic (também conhecidas como varargs, também conhecidas como funções com a palavra-chave de parâmetro de reticências (. . .) ).
Para o caso específico variádico, Arm64EC segue uma convenção de chamada muito semelhante à variável x64, com apenas algumas diferenças. Abaixo estão as principais regras para a variável Arm64EC:
- Apenas os primeiros 4 registradores são usados para passagem de parâmetros:
x0
,x1
,x2
,x3
. Os parâmetros restantes são derramados na pilha. Isso segue exatamente a convenção de chamada variadic x64 e difere do Arm64 Classic, em que osx0
registros são>x7
usados. - Os parâmetros de ponto flutuante / SIMD que estão sendo passados pelo registro usarão um registro de uso geral, não um SIMD. Isso é semelhante ao Arm64 Classic e difere do x64, em que os parâmetros FP/SIMD são passados em um registro de uso geral e SIMD. Por exemplo, para uma função
f1(int, …)
chamada comof1(int, double)
, em x64, o segundo parâmetro será atribuído a ambosRDX
eXMM1
. No Arm64EC, o segundo parâmetro será atribuído a apenasx1
. - Ao passar estruturas por valor por meio de um registrador, aplicam-se as regras de tamanho x64: Estruturas com tamanhos exatamente 1, 2, 4 e 8 serão carregadas diretamente no registrador de uso geral. Estruturas com outros tamanhos são derramadas na pilha e um ponteiro para o local derramado é atribuído ao registrador. Isso essencialmente rebaixa por valor para por referência, no nível baixo. Na ABI Arm64 clássica, estruturas de qualquer tamanho de até 16 bytes são atribuídas diretamente a registros de uso geral.
- O registro X4 é carregado com um ponteiro para o primeiro parâmetro passado via pilha (o 5º parâmetro). Isso não inclui estruturas derramadas devido às restrições de tamanho descritas acima.
- O registro X5 é carregado com o tamanho, em bytes, de todos os parâmetros passados pela pilha (tamanho de todos os parâmetros, começando com o 5º). Isso não inclui estruturas passadas por valor derramado devido às restrições de tamanho descritas acima.
No exemplo a seguir: pt_nova_function
below usa parâmetros em uma forma não variada, portanto, seguindo a convenção de chamada Classic Arm64. Em seguida, ele chama pt_va_function
exatamente os mesmos parâmetros, mas em uma chamada variadic.
struct three_char {
char a;
char b;
char c;
};
void
pt_va_function (
double f,
...
);
void
pt_nova_function (
double f,
struct three_char tc,
__int64 ull1,
__int64 ull2,
__int64 ull3
)
{
pt_va_function(f, tc, ull1, ull2, ull3);
}
pt_nova_function
usa 5 parâmetros que serão atribuídos seguindo as regras da convenção de chamada do Arm64 clássico:
- 'f' é um duplo. Ele será atribuído a d0.
- 'tc' é uma estrutura, com um tamanho de 3 bytes. Ele será atribuído a x0.
- ull1 é um inteiro de 8 bytes. Ele será atribuído a x1.
- ull2 é um inteiro de 8 bytes. Ele será atribuído a x2.
- ull3 é um inteiro de 8 bytes. Ele será atribuído a x3.
pt_va_function
é uma função variadica, portanto, seguirá as regras variadic Arm64EC descritas acima:
- 'f' é um duplo. Ele será atribuído a x0.
- 'tc' é uma estrutura, com um tamanho de 3 bytes. Ele será derramado na pilha e sua localização carregada em x1.
- ull1 é um inteiro de 8 bytes. Ele será atribuído a x2.
- ull2 é um inteiro de 8 bytes. Ele será atribuído a x3.
- ull3 é um inteiro de 8 bytes. Ele será atribuído diretamente à pilha.
- x4 é carregado com o local de ull3 na pilha.
- x5 é carregado com o tamanho de ull3.
A seguir, é mostrada uma possível saída de compilação para pt_nova_function
, que ilustra as diferenças de atribuição de parâmetro descritas acima.
stp fp,lr,[sp,#-0x30]!
mov fp,sp
sub sp,sp,#0x10
str x3,[sp] ; Spill 5th parameter
mov x3,x2 ; 4th parameter to x3 (from x2)
mov x2,x1 ; 3rd parameter to x2 (from x1)
str w0,[sp,#0x20] ; Spill 2nd parameter
add x1,sp,#0x20 ; Address of 2nd parameter to x1
fmov x0,d0 ; 1st parameter to x0 (from d0)
mov x4,sp ; Address of the 1st in-stack parameter to x4
mov x5,#8 ; Size of the in-stack parameter area
bl pt_va_function
add sp,sp,#0x10
ldp fp,lr,[sp],#0x30
ret
Para obter interoperabilidade transparente com o código x64, muitas adições foram feitas à ABI Arm64 clássica. Eles lidam com as diferenças de convenções de chamada entre Arm64EC e x64.
A lista a seguir inclui estas adições:
- Thunks de entrada e saída
- Thunks de saída
- Thunks de entrada
- Thunks do Ajustador
- Sequências de avanço rápido
Os Thunks de entrada e saída cuidam da conversão da convenção de chamada Arm64EC (principalmente a mesma que o Arm64 clássico) na convenção de chamada x64 e vice-versa.
Um equívoco comum é que as convenções de chamada podem ser convertidas seguindo uma única regra aplicada a todas as assinaturas de função. A realidade é que as convenções de chamada têm regras de atribuição de parâmetros. Essas regras dependem do tipo de parâmetro e são diferentes de ABI para ABI. Uma consequência é que a conversão entre ABIs será específica para cada assinatura de função, variando com o tipo de cada parâmetro.
Considere a seguinte função:
int fJ(int a, int b, int c, int d);
A atribuição de parâmetros ocorrerá da seguinte forma:
- Arm64: a -> x0, b -> x1, c -> x2, d -> x3
- x64: a -> RCX, b -> RDX, c -> R8, d -> r9
- Arm64 -> translação x64: x0 -> RCX, x1 -> RDX, x2 -> R8, x3 -> R9
Agora considere uma função diferente:
int fK(int a, double b, int c, double d);
A atribuição de parâmetros ocorrerá da seguinte forma:
- Arm64: a -> x0, b -> d0, c -> x1, d -> d1
- x64: a -> RCX, b -> XMM1, c -> R8, d -> XMM3
- Arm64 -> translação x64: x0 -> RCX, d0 -> XMM1, x1 -> R8, d1 -> XMM3
Esses exemplos demonstram que a atribuição e a conversão de parâmetros variam de acordo com o tipo, mas também dependem dos tipos dos parâmetros anteriores na lista. Este detalhe é ilustrado pelo 3º parâmetro. Em ambas as funções, o tipo do parâmetro é "int", mas a tradução resultante é diferente.
Os Thunks de entrada e saída existem por esse motivo e são especificamente adaptados para cada assinatura de função individual.
Ambos os tipos de thunks são, eles próprios, funções. Os Thunks de entrada são invocados automaticamente pelo emulador quando as funções x64 chamam funções Arm64EC (execução entra no Arm64EC). Os Thunks de saída são invocados automaticamente pelos verificadores de chamada quando as funções Arm64EC chamam funções x64 (a execução sai do Arm64EC).
Ao compilar o código Arm64EC, o compilador gerará um Thunk de entrada para cada função Arm64EC, correspondendo à sua assinatura. O compilador também gerará um Thunk de Saída para cada função que uma função Arm64EC chama.
Considere o seguinte exemplo:
struct SC {
char a;
char b;
char c;
};
int fB(int a, double b, int i1, int i2, int i3);
int fC(int a, struct SC c, int i1, int i2, int i3);
int fA(int a, double b, struct SC c, int i1, int i2, int i3) {
return fB(a, b, i1, i2, i3) + fC(a, c, i1, i2, i3);
}
Ao compilar o código acima direcionado ao Arm64EC, o compilador gerará:
- Código para 'fA'.
- Thunk de entrada para 'fA'
- Saída Thunk para 'fB'
- Thunk de saída para 'fC'
O fA
Entry Thunk é gerado em caso fA
e chamado do código x64. Thunks de saída para fB
e fC
são gerados em caso fB
e/ou fC
e acabam sendo código x64.
O mesmo Thunk de Saída pode ser gerado várias vezes, dado que o compilador os gerará no local de chamada em vez da função em si. Isso pode resultar em uma quantidade considerável de thunks redundantes, portanto, na realidade, o compilador aplicará regras de otimização triviais para garantir que apenas os thunks necessários cheguem ao binário final.
Por exemplo, em um binário em que a função A
Arm64EC chama a função B
Arm64EC , B
não é exportado e seu endereço nunca é conhecido fora de A
. É seguro eliminar o Thunk de saída de A
para B
, junto com o Thunk de entrada para B
. Também é seguro unir alias de todas as conversões de saída e entrada que contêm o mesmo código, mesmo que tenham sido geradas para funções distintas.
Usando as funções fA
de exemplo e fC
fB
acima, é assim que o compilador geraria ambos fB
e fC
Exit Thunks:
Saia do Thunk para int fB(int a, double b, int i1, int i2, int i3);
$iexit_thunk$cdecl$i8$i8di8i8i8:
stp fp,lr,[sp,#-0x10]!
mov fp,sp
sub sp,sp,#0x30
adrp x8,__os_arm64x_dispatch_call_no_redirect
ldr xip0,[x8]
str x3,[sp,#0x20] ; Spill 5th param (i3) into the stack
fmov d1,d0 ; Move 2nd param (b) from d0 to XMM1 (x1)
mov x3,x2 ; Move 4th param (i2) from x2 to R9 (x3)
mov x2,x1 ; Move 3rd param (i1) from x1 to R8 (x2)
blr xip0 ; Call the emulator
mov x0,x8 ; Move return from RAX (x8) to x0
add sp,sp,#0x30
ldp fp,lr,[sp],#0x10
ret
Saia do Thunk para int fC(int a, struct SC c, int i1, int i2, int i3);
$iexit_thunk$cdecl$i8$i8m3i8i8i8:
stp fp,lr,[sp,#-0x20]!
mov fp,sp
sub sp,sp,#0x30
adrp x8,__os_arm64x_dispatch_call_no_redirect
ldr xip0,[x8]
str w1,[sp,#0x40] ; Spill 2nd param (c) onto the stack
add x1,sp,#0x40 ; Make RDX (x1) point to the spilled 2nd param
str x4,[sp,#0x20] ; Spill 5th param (i3) into the stack
blr xip0 ; Call the emulator
mov x0,x8 ; Move return from RAX (x8) to x0
add sp,sp,#0x30
ldp fp,lr,[sp],#0x20
ret
fB
No caso, podemos ver como a presença de um parâmetro 'double' fará com que a atribuição de registro GP restante seja reorganizada, resultado das diferentes regras de atribuição do Arm64 e do x64. Também podemos ver que x64 atribui apenas 4 parâmetros aos registradores, portanto, o 5º parâmetro deve ser derramado na pilha.
fC
No caso, o segundo parâmetro é uma estrutura de comprimento de 3 bytes. O Arm64 permitirá que qualquer estrutura de tamanho seja atribuída diretamente a um registro. x64 permite apenas os tamanhos 1, 2, 4 e 8. Esse Thunk de Saída deve transferi-lo struct
do registro para a pilha e atribuir um ponteiro ao registro. Isso ainda consome um registro (para carregar o ponteiro) para que não altere as atribuições para os registros restantes: nenhuma reorganização de registro ocorre para o 3º e 4º parâmetro. Assim como no fB
caso, o 5º parâmetro deve ser derramado na pilha.
Considerações adicionais para Thunks de saída:
- O compilador os nomeará não pelo nome da função que eles traduzem de-para>, mas sim pela assinatura que eles abordam. Isso torna mais fácil encontrar redundâncias.
- O Thunk de Saída é chamado com o registro
x9
que carrega o endereço da função de destino (x64). Isso é definido pelo verificador de chamadas e passa pelo Exit Thunk, sem perturbações, para o emulador.
Depois de reorganizar os parâmetros, o Exit Thunk chama o emulador via __os_arm64x_dispatch_call_no_redirect
.
Vale a pena, neste ponto, revisar a função do verificador de chamadas e detalhar sobre sua própria ABI personalizada. É assim que uma chamada indireta para fB
seria:
mov x11, <target>
adrp x9, __os_arm64x_check_icall_cfg
ldr x9, [x9, __os_arm64x_check_icall_cfg]
adrp x10, $iexit_thunk$cdecl$i8$i8di8i8i8 ; fB function's exit thunk
add x10, x10, $iexit_thunk$cdecl$i8$i8di8i8i8
blr x9 ; check target function
blr x11 ; call function
Ao chamar o verificador de chamadas:
x11
fornece o endereço da função de destino a ser chamada (fB
neste caso). Pode não ser conhecido, neste momento, se a função de destino é Arm64EC ou x64.x10
fornece um Thunk de saída correspondente à assinatura da função que está sendo chamada (fB
neste caso).
Os dados retornados pelo verificador de chamadas dependerão da função de destino ser Arm64EC ou x64.
Se o destino for Arm64EC:
x11
retornará o endereço do código Arm64EC para chamar. Isso pode ou não ser o mesmo valor que foi fornecido em.
Se o destino for o código x64:
x11
retornará o endereço do Thunk de saída. Isso é copiado da entrada fornecida nox10
.x10
retornará o endereço do Thunk de saída, sem interrupções de entrada.x9
retornará a função x64 de destino. Isso pode ou não ser o mesmo valor que foi fornecido viax11
.
Os verificadores de chamadas sempre deixarão os registros de parâmetros de convenção de chamada inalterados, portanto, o código de chamada deve seguir a chamada para o verificador de chamadas imediatamente com blr x11
(ou br x11
no caso de uma chamada final). Estes são os verificadores de chamadas de registros. Eles sempre preservarão acima e além dos registros não voláteis padrão: x0
-x8
, x15
(chkstk
) e .q0
-q7
Os Thunks de entrada cuidam das transformações necessárias das convenções de chamada x64 para Arm64. Isso é, essencialmente, o inverso de Exit Thunks, mas há mais alguns aspectos a serem considerados.
Considere o exemplo anterior de compilação fA
, um Thunk de entrada é gerado para que fA
possa ser chamado pelo código x64.
Entrada Thunk para int fA(int a, double b, struct SC c, int i1, int i2, int i3)
$ientry_thunk$cdecl$i8$i8dm3i8i8i8:
stp q6,q7,[sp,#-0xA0]! ; Spill full non-volatile XMM registers
stp q8,q9,[sp,#0x20]
stp q10,q11,[sp,#0x40]
stp q12,q13,[sp,#0x60]
stp q14,q15,[sp,#0x80]
stp fp,lr,[sp,#-0x10]!
mov fp,sp
ldrh w1,[x2] ; Load 3rd param (c) bits [15..0] directly into x1
ldrb w8,[x2,#2] ; Load 3rd param (c) bits [16..23] into temp w8
bfi w1,w8,#0x10,#8 ; Merge 3rd param (c) bits [16..23] into x1
mov x2,x3 ; Move the 4th param (i1) from R9 (x3) to x2
fmov d0,d1 ; Move the 2nd param (b) from XMM1 (d1) to d0
ldp x3,x4,[x4,#0x20] ; Load the 5th (i2) and 6th (i3) params
; from the stack into x3 and x4 (using x4)
blr x9 ; Call the function (fA)
mov x8,x0 ; Move the return from x0 to x8 (RAX)
ldp fp,lr,[sp],#0x10
ldp q14,q15,[sp,#0x80] ; Restore full non-volatile XMM registers
ldp q12,q13,[sp,#0x60]
ldp q10,q11,[sp,#0x40]
ldp q8,q9,[sp,#0x20]
ldp q6,q7,[sp],#0xA0
adrp xip0,__os_arm64x_dispatch_ret
ldr xip0,[xip0,__os_arm64x_dispatch_ret]
br xip0
O endereço da função de destino é fornecido pelo emulador no x9
.
Antes de chamar o Entry Thunk, o emulador x64 colocará o endereço de retorno da pilha no LR
registro. Em seguida, espera-se que LR
ele aponte para o código x64 quando o controle for transferido para o Entry Thunk.
O emulador também pode executar outro ajuste na pilha, dependendo do seguinte: As ABIs Arm64 e x64 definem um requisito de alinhamento de pilha em que a pilha deve ser alinhada a 16 bytes no ponto em que uma função é chamada. Ao executar o código Arm64, o hardware impõe essa regra, mas não há nenhuma imposição de hardware para x64. Ao executar o código x64, chamar erroneamente funções com uma pilha desalinhada pode passar despercebido indefinidamente, até que alguma instrução de alinhamento de 16 bytes seja usada (algumas instruções SSE o fazem) ou o código Arm64EC seja chamado.
Para resolver esse possível problema de compatibilidade, antes de chamar o Entry Thunk, o emulador sempre alinhará o Stack Pointer para 16 bytes e armazenará seu valor original no x4
registro. Dessa forma, os Thunks de entrada sempre começam a ser executados com uma pilha alinhada, mas ainda podem referenciar corretamente os parâmetros passados na pilha, por meio de x4
.
Quando se trata de registros SIMD não voláteis, há uma diferença significativa entre as convenções de chamada Arm64 e x64. No Arm64, os 8 bytes (64 bits) baixos do registro são considerados não voláteis. Em outras palavras, apenas a Dn
parte dos Qn
registros não é volátil. Em x64, todos os 16 bytes do XMMn
registro são considerados não voláteis. Além disso, em x64, e XMM7
são registros não voláteis, XMM6
enquanto D6 e D7 (os registros Arm64 correspondentes) são voláteis.
Para resolver essas assimetrias de manipulação de registro SIMD, os Thunks de entrada devem salvar explicitamente todos os registros SIMD que são considerados não voláteis em x64. Isso só é necessário em Thunks de entrada (não Thunks de saída) porque x64 é mais rigoroso que Arm64. Em outras palavras, as regras de salvamento/preservação de registro em x64 excedem os requisitos do Arm64 em todos os casos.
Para abordar a recuperação correta desses valores de registro ao desenrolar a pilha (por exemplo, setjmp + longjmp ou throw + catch), um novo opcode de desenrolamento foi introduzido: save_any_reg (0xE7)
. Este novo opcode de desenrolamento de 3 bytes permite salvar qualquer registro de uso geral ou SIMD (incluindo os considerados voláteis) e incluindo registros de tamanho Qn
normal. Este novo opcode é usado para as operações de derramamento/preenchimento de Qn
registro acima. save_any_reg
é compatível com save_next_pair (0xE6)
.
Para referência, abaixo estão as informações de desenrolamento correspondentes pertencentes ao Thunk de entrada apresentado acima:
Prolog unwind:
06: E76689.. +0004 stp q6,q7,[sp,#-0xA0]! ; Actual=stp q6,q7,[sp,#-0xA0]!
05: E6...... +0008 stp q8,q9,[sp,#0x20] ; Actual=stp q8,q9,[sp,#0x20]
04: E6...... +000C stp q10,q11,[sp,#0x40] ; Actual=stp q10,q11,[sp,#0x40]
03: E6...... +0010 stp q12,q13,[sp,#0x60] ; Actual=stp q12,q13,[sp,#0x60]
02: E6...... +0014 stp q14,q15,[sp,#0x80] ; Actual=stp q14,q15,[sp,#0x80]
01: 81...... +0018 stp fp,lr,[sp,#-0x10]! ; Actual=stp fp,lr,[sp,#-0x10]!
00: E1...... +001C mov fp,sp ; Actual=mov fp,sp
+0020 (end sequence)
Epilog #1 unwind:
0B: 81...... +0044 ldp fp,lr,[sp],#0x10 ; Actual=ldp fp,lr,[sp],#0x10
0C: E74E88.. +0048 ldp q14,q15,[sp,#0x80] ; Actual=ldp q14,q15,[sp,#0x80]
0F: E74C86.. +004C ldp q12,q13,[sp,#0x60] ; Actual=ldp q12,q13,[sp,#0x60]
12: E74A84.. +0050 ldp q10,q11,[sp,#0x40] ; Actual=ldp q10,q11,[sp,#0x40]
15: E74882.. +0054 ldp q8,q9,[sp,#0x20] ; Actual=ldp q8,q9,[sp,#0x20]
18: E76689.. +0058 ldp q6,q7,[sp],#0xA0 ; Actual=ldp q6,q7,[sp],#0xA0
1C: E3...... +0060 nop ; Actual=90000030
1D: E3...... +0064 nop ; Actual=ldr xip0,[xip0,#8]
1E: E4...... +0068 end ; Actual=br xip0
+0070 (end sequence)
Depois que a função Arm64EC retorna, a __os_arm64x_dispatch_ret
rotina é usada para inserir novamente o emulador, de volta ao código x64 (apontado por LR
).
As funções Arm64EC têm os 4 bytes antes da primeira instrução na função reservada para armazenar informações a serem usadas em runtime. É nesses 4 bytes que o endereço relativo de Entry Thunk para a função pode ser encontrado. Ao executar uma chamada de uma função x64 para uma função Arm64EC, o emulador lerá os 4 bytes antes do início da função, mascarará os dois bits inferiores e adicionará essa quantidade ao endereço da função. Isso produzirá o endereço do Thunk de entrada para chamar.
Thunks de ajuste são funções sem assinatura que simplesmente transferem o controle para outra função, depois de realizar alguma transformação em um dos parâmetros. O tipo do(s) parâmetro(s) que está(ão) sendo transformado(s) é conhecido, mas todos os parâmetros restantes podem ser qualquer coisa e, em qualquer número – o Adjustor Thunks não tocará em nenhum registrador potencialmente contendo um parâmetro e não tocará na pilha. Isso é o que torna as funções sem assinatura do Adjustor Thunks.
Os Thunks do Ajustador podem ser gerados automaticamente pelo compilador. Isso é comum, por exemplo, com a herança múltipla do C++, em que qualquer método virtual pode ser delegado à classe pai, sem modificações, além de um ajuste no this
ponteiro.
Abaixo está um exemplo do mundo real:
[thunk]:CObjectContext::Release`adjustor{8}':
sub x0,x0,#8
b CObjectContext::Release
A conversão subtrai 8 bytes para o this
ponteiro e encaminha a chamada para a classe pai.
Em resumo, as funções Arm64EC que podem ser chamadas de funções x64 devem ter um Thunk de Entrada associado. O Thunk de entrada é específico da assinatura. As funções sem assinatura do Arm64, como Thunks do Ajustador, precisam de um mecanismo diferente que possa lidar com funções sem assinatura.
O Thunk de entrada de um Thunk de ajuste usa o __os_arm64x_x64_jump
auxiliar para adiar a execução do trabalho real do Thunk de entrada (ajustar os parâmetros de uma convenção para outra) para a próxima chamada. É nesse momento que a assinatura se torna aparente. Isso inclui a opção de não fazer ajustes de convenção de chamada, se o destino do Thunk do Ajustador for uma função x64. Lembre-se de que, no momento em que um Entry Thunk começa a ser executado, os parâmetros estão em sua forma x64.
No exemplo acima, considere a aparência do código no Arm64EC.
Thunk do ajustador em Arm64EC
[thunk]:CObjectContext::Release`adjustor{8}':
sub x0,x0,#8
adrp x9,CObjectContext::Release
add x11,x9,CObjectContext::Release
stp fp,lr,[sp,#-0x10]!
mov fp,sp
adrp xip0, __os_arm64x_check_icall
ldr xip0,[xip0, __os_arm64x_check_icall]
blr xip0
ldp fp,lr,[sp],#0x10
br x11
Baú de entrada do Ajustador Thunk
[thunk]:CObjectContext::Release$entry_thunk`adjustor{8}':
sub x0,x0,#8
adrp x9,CObjectContext::Release
add x9,x9,CObjectContext::Release
adrp xip0,__os_arm64x_x64_jump
ldr xip0,[xip0,__os_arm64x_x64_jump]
br xip0
Alguns aplicativos fazem modificações em tempo de execução em funções que residem em binários que não possuem, mas dos quais dependem – geralmente binários do sistema operacional – com a finalidade de desviar a execução quando a função é chamada. Isso também é conhecido como enganchar.
No alto nível, o processo de engate é simples. Em detalhes, no entanto, o gancho é específico da arquitetura e bastante complexo, dadas as variações potenciais que a lógica do gancho deve abordar.
Em termos gerais, o processo envolve o seguinte:
- Determine o endereço da função a ser conectada.
- Substitua a primeira instrução da função por um salto para a rotina do gancho.
- Quando o gancho estiver pronto, volte para a lógica original, que inclui a execução da instrução original deslocada.
As variações surgem de coisas como:
- O tamanho da 1ª instrução: É uma boa ideia substituí-la por um JMP do mesmo tamanho ou menor, para evitar a substituição da parte superior da função enquanto outro thread pode estar executando-a em andamento.
- O tipo da primeira instrução: Se a primeira instrução tiver alguma natureza relativa ao PC, realocá-la pode exigir a alteração de coisas como os campos de deslocamento. Como é provável que eles transbordem quando uma instrução é movida para um local distante, isso pode exigir o fornecimento de lógica equivalente com instruções completamente diferentes.
Devido a toda essa complexidade, é rara encontrar uma lógica de gancho robusta e genérica. Freqüentemente, a lógica presente nos aplicativos só pode lidar com um conjunto limitado de casos que o aplicativo espera encontrar nas APIs específicas nas quais está interessado. Não é difícil imaginar o quanto isso é um problema de compatibilidade de aplicativos. Mesmo uma simples alteração no código ou otimizações do compilador pode tornar os aplicativos inutilizáveis se o código não tiver mais a aparência exata esperada.
O que aconteceria com esses aplicativos se eles encontrassem o código Arm64 ao configurar um gancho? Eles certamente falhariam.
As funções FFS (Sequência de Avanço Rápido) atendem a esse requisito de compatibilidade no Arm64EC.
FFS são funções x64 muito pequenas que não contêm lógica real e chamada final para a função Arm64EC real. Eles são opcionais, mas habilitados por padrão para todas as exportações de DLL e para qualquer função decorada com __declspec(hybrid_patchable)
.
Para esses casos, quando o código obtém um ponteiro para uma determinada função, seja por GetProcAddress
no caso de exportação ou por &function
no __declspec(hybrid_patchable)
caso, o endereço resultante conterá código x64. Esse código x64 passará por uma função x64 legítima, satisfazendo a maior parte da lógica de hooking atualmente disponível.
Considere o seguinte exemplo (tratamento de erros omitido para fins de brevidade):
auto module_handle =
GetModuleHandleW(L"api-ms-win-core-processthreads-l1-1-7.dll");
auto pgma =
(decltype(&GetMachineTypeAttributes))
GetProcAddress(module_handle, "GetMachineTypeAttributes");
hr = (*pgma)(IMAGE_FILE_MACHINE_Arm64, &MachineAttributes);
O valor do pgma
ponteiro de função na variável conterá o endereço de GetMachineTypeAttributes
FFS de .
Este é um exemplo de uma sequência de avanço rápido:
kernelbase!EXP+#GetMachineTypeAttributes:
00000001`800034e0 488bc4 mov rax,rsp
00000001`800034e3 48895820 mov qword ptr [rax+20h],rbx
00000001`800034e7 55 push rbp
00000001`800034e8 5d pop rbp
00000001`800034e9 e922032400 jmp 00000001`80243810
A função FFS x64 tem um prólogo e um epílogo canônicos, terminando com uma chamada final (salto) para a função real GetMachineTypeAttributes
no código Arm64EC:
kernelbase!GetMachineTypeAttributes:
00000001`80243810 d503237f pacibsp
00000001`80243814 a9bc7bfd stp fp,lr,[sp,#-0x40]!
00000001`80243818 a90153f3 stp x19,x20,[sp,#0x10]
00000001`8024381c a9025bf5 stp x21,x22,[sp,#0x20]
00000001`80243820 f9001bf9 str x25,[sp,#0x30]
00000001`80243824 910003fd mov fp,sp
00000001`80243828 97fbe65e bl kernelbase!#__security_push_cookie
00000001`8024382c d10083ff sub sp,sp,#0x20
[...]
Seria bastante ineficiente se fosse necessário executar 5 instruções x64 emuladas entre duas funções Arm64EC. As funções FFS são especiais. As funções FFS realmente não são executadas se permanecerem inalteradas. O auxiliar do verificador de chamadas verificará com eficiência se o FFS não foi alterado. Se for esse o caso, a chamada será transferida diretamente para o destino real. Se o FFS tiver sido alterado de alguma forma possível, ele não será mais um FFS. A execução será transferida para o FFS alterado e executará qualquer código que possa estar lá, emulando o desvio e qualquer lógica de gancho.
Quando o gancho transfere a execução de volta para o final do FFS, ele eventualmente alcançará a chamada final para o código Arm64EC, que será executado após o gancho, assim como o aplicativo está esperando.
Os cabeçalhos do SDK do Windows e o compilador C podem simplificar o trabalho de criação do assembly Arm64EC. Por exemplo, o compilador C pode ser usado para gerar Thunks de entrada e saída para funções não compiladas do código C.
Considere o exemplo de um equivalente à função fD
a seguir que deve ser criada no Assembly (ASM). Essa função pode ser chamada pelo código Arm64EC e x64 e o ponteiro da função também pode apontar para o pfE
código Arm64EC ou x64.
typedef int (PF_E)(int, double);
extern PF_E * pfE;
int fD(int i, double d) {
return (*pfE)(i, d);
}
Escrever fD
em ASM seria algo como:
#include "ksarm64.h"
IMPORT __os_arm64x_check_icall_cfg
IMPORT |$iexit_thunk$cdecl$i8$i8d|
IMPORT pfE
NESTED_ENTRY_COMDAT A64NAME(fD)
PROLOG_SAVE_REG_PAIR fp, lr, #-16!
adrp x11, pfE ; Get the global function
ldr x11, [x11, pfE] ; pointer pfE
adrp x9, __os_arm64x_check_icall_cfg ; Get the EC call checker
ldr x9, [x9, __os_arm64x_check_icall_cfg] ; with CFG
adrp x10, |$iexit_thunk$cdecl$i8$i8d| ; Get the Exit Thunk for
add x10, x10, |$iexit_thunk$cdecl$i8$i8d| ; int f(int, double);
blr x9 ; Invoke the call checker
blr x11 ; Invoke the function
EPILOG_RESTORE_REG_PAIR fp, lr, #16!
EPILOG_RETURN
NESTED_END
end
No exemplo acima:
- O Arm64EC usa a mesma declaração de procedimento e macros de prólogo/epílogo que o Arm64.
- Os nomes das funções devem ser encapsulados
A64NAME
pela macro. Ao compilar o código C/C++ como Arm64EC, o compilador marca o comoARM64EC
contendo oOBJ
código Arm64EC. Isso não acontece comARMASM
. Ao compilar o código ASM, há uma maneira alternativa de informar ao vinculador que o código produzido é Arm64EC. Isso ocorre prefixando o nome da função com#
. AA64NAME
macro executa esta operação quando_ARM64EC_
está definida e deixa o nome inalterado quando_ARM64EC_
não está definida. Isso possibilita o compartilhamento de código-fonte entre Arm64 e Arm64EC. - O
pfE
ponteiro de função deve primeiro ser executado por meio do verificador de chamadas EC, juntamente com o Exit Thunk apropriado, caso a função de destino seja x64.
A próxima etapa é gerar o Thunk de entrada para fD
e o Thunk de saída para pfE
. O compilador C pode executar essa tarefa com o mínimo de esforço, usando a palavra-chave compiler _Arm64XGenerateThunk
.
void _Arm64XGenerateThunk(int);
int fD2(int i, double d) {
UNREFERENCED_PARAMETER(i);
UNREFERENCED_PARAMETER(d);
_Arm64XGenerateThunk(2);
return 0;
}
int fE(int i, double d) {
UNREFERENCED_PARAMETER(i);
UNREFERENCED_PARAMETER(d);
_Arm64XGenerateThunk(1);
return 0;
}
A _Arm64XGenerateThunk
palavra-chave informa ao compilador C para usar a assinatura da função, ignorar o corpo e gerar um Thunk de Saída (quando o parâmetro é 1) ou um Thunk de Entrada (quando o parâmetro é 2).
Recomenda-se colocar a geração de conversão em seu próprio arquivo C. Estar em arquivos isolados torna mais simples confirmar os nomes dos símbolos despejando os símbolos correspondentes OBJ
ou até mesmo desmontando.
Macros foram adicionadas ao SDK para ajudar na criação de Thunks de entrada personalizados e codificados manualmente. Um caso em que isso pode ser usado é ao criar Thunks de Ajustador personalizados.
A maioria dos Thunks do Ajustador é gerada pelo compilador C++, mas também pode ser gerada manualmente. Isso pode ser encontrado nos casos em que um retorno de chamada genérico transfere o controle para o retorno de chamada real, identificado por um dos parâmetros.
Abaixo está um exemplo no código Arm64 Classic:
NESTED_ENTRY MyAdjustorThunk
PROLOG_SAVE_REG_PAIR fp, lr, #-16!
ldr x15, [x0, 0x18]
adrp x16, __guard_check_icall_fptr
ldr x16, [x16, __guard_check_icall_fptr]
blr xip0
EPILOG_RESTORE_REG_PAIR fp, lr, #16
EPILOG_END br x15
NESTED_END
Neste exemplo, o endereço da função de destino é recuperado do elemento de uma estrutura, fornecido por referência, através do 1º parâmetro. Como a estrutura é gravável, o endereço de destino deve ser validado por meio do CFG (Control Flow Guard).
O exemplo abaixo demonstra como o Thunk do Ajustador equivalente ficaria quando portado para Arm64EC:
NESTED_ENTRY_COMDAT A64NAME(MyAdjustorThunk)
PROLOG_SAVE_REG_PAIR fp, lr, #-16!
ldr x11, [x0, 0x18]
adrp xip0, __os_arm64x_check_icall_cfg
ldr xip0, [xip0, __os_arm64x_check_icall_cfg]
blr xip0
EPILOG_RESTORE_REG_PAIR fp, lr, #16
EPILOG_END br x11
NESTED_END
O código acima não fornece um Thunk de Saída (no registro x10). Isso não é possível, pois o código pode ser executado para muitas assinaturas diferentes. Esse código está aproveitando o fato de o chamador ter definido x10 para o Exit Thunk. O chamador teria feito a chamada direcionada a uma assinatura explícita.
O código acima precisa de um Thunk de entrada para resolver o caso quando o chamador é o código x64. Veja como criar o Entry Thunk correspondente, usando a macro para Entry Thunks personalizados:
ARM64EC_CUSTOM_ENTRY_THUNK A64NAME(MyAdjustorThunk)
ldr x9, [x0, 0x18]
adrp xip0, __os_arm64x_x64_jump
ldr xip0, [xip0, __os_arm64x_x64_jump]
br xip0
LEAF_END
Ao contrário de outras funções, esse Thunk de entrada não transfere o controle para a função associada (o Thunk do Ajustador). Nesse caso, a própria funcionalidade (executando o ajuste de parâmetro) é incorporada ao Entry Thunk e o controle é transferido diretamente para o destino final, por meio do __os_arm64x_x64_jump
auxiliar.
Nos processos Arm64EC, há dois tipos de memória executável: código Arm64EC e código x64.
O sistema operacional extrai essas informações dos binários carregados. Os binários x64 são todos x64 e o Arm64EC contém uma tabela de intervalos para páginas de código Arm64EC versus x64.
E quanto ao código gerado dinamicamente? Os compiladores JIT (just-in-time) geram código, em tempo de execução, que não é apoiado por nenhum arquivo binário.
Normalmente, isso implica:
- Alocando memória gravável (
VirtualAlloc
). - Produzindo o código na memória alocada.
- Protegendo novamente a memória de Leitura/Gravação para Leitura-Execução (
VirtualProtect
). - Adicione entradas de função de desenrolamento para todas as funções geradas não triviais (não folha) (
RtlAddFunctionTable
ouRtlAddGrowableFunctionTable
).
Por motivos triviais de compatibilidade, qualquer aplicativo que execute essas etapas em um processo Arm64EC resultará no código sendo considerado código x64. Isso acontecerá para qualquer processo usando o runtime Java x64 não modificado, o runtime do .NET, o mecanismo JavaScript etc.
Para gerar o código dinâmico Arm64EC, o processo é basicamente o mesmo, com apenas duas diferenças:
- Ao alocar a memória, use mais recente
VirtualAlloc2
(em vez deVirtualAlloc
ouVirtualAllocEx
) e forneça oMEM_EXTENDED_PARAMETER_EC_CODE
atributo. - Ao adicionar entradas de função:
- Eles devem estar no formato Arm64. Ao compilar o código Arm64EC, o
RUNTIME_FUNCTION
tipo corresponderá ao formato x64. Para o formato Arm64 ao compilar Arm64EC, use oARM64_RUNTIME_FUNCTION
tipo. - Não use a API mais antiga
RtlAddFunctionTable
. Sempre use a API mais recenteRtlAddGrowableFunctionTable
.
- Eles devem estar no formato Arm64. Ao compilar o código Arm64EC, o
Abaixo está um exemplo de alocação de memória:
MEM_EXTENDED_PARAMETER Parameter = { 0 };
Parameter.Type = MemExtendedParameterAttributeFlags;
Parameter.ULong64 = MEM_EXTENDED_PARAMETER_EC_CODE;
HANDLE process = GetCurrentProcess();
ULONG allocationType = MEM_RESERVE;
DWORD protection = PAGE_EXECUTE_READ | PAGE_TARGETS_INVALID;
address = VirtualAlloc2 (
process,
NULL,
numBytesToAllocate,
allocationType,
protection,
&Parameter,
1);
E um exemplo de adição de uma entrada de função de desenrolamento:
ARM64_RUNTIME_FUNCTION FunctionTable[1];
FunctionTable[0].BeginAddress = 0;
FunctionTable[0].Flags = PdataPackedUnwindFunction;
FunctionTable[0].FunctionLength = nSize / 4;
FunctionTable[0].RegF = 0; // no D regs saved
FunctionTable[0].RegI = 0; // no X regs saved beyond fp,lr
FunctionTable[0].H = 0; // no home for x0-x7
FunctionTable[0].CR = PdataCrChained; // stp fp,lr,[sp,#-0x10]!
// mov fp,sp
FunctionTable[0].FrameSize = 1; // 16 / 16 = 1
this->DynamicTable = NULL;
Result == RtlAddGrowableFunctionTable(
&this->DynamicTable,
reinterpret_cast<PRUNTIME_FUNCTION>(FunctionTable),
1,
1,
reinterpret_cast<ULONG_PTR>(pBegin),
reinterpret_cast<ULONG_PTR>(reinterpret_cast<PBYTE>(pBegin) + nSize)
);
Comentários do Windows on Arm
O Windows on Arm é um projeto código aberto. Selecione um link para fornecer comentários: