1、回顾

在保护模式下，通过将内存分成大小不等的段，并用描述符对每个段的用途、类型、长度进行指定，就可以在程序运行时由处理器硬件施加访问保护。比如，当程序试图去写一个可执行程序的代码段时，处理器就会阻止这种企图；再比如当程序试图让处理器反问超过段的界限内存区域，处理器会引发异常中断。

首先一个程序老老实实地访问只属于它自己的段时，基本的段保护机制是有效的。但是一个失控的程序，或者一个恶意的程序，依然可以通过追踪和修改描述符表来达到它访问任何内存段的目的。比如用户程序知道GDT的位置，它可以通过向段寄存器加载操作系统的段描述符，或者在GDT中添加一个指向操作系统的数据段的描述符，来修改只属于操作系统的私有数据。

我们肯定是不能允许有以上的事情发生。

现在都是多任务系统。对于多任务系统，首先就必须保证任务的隔离和保护以及任务与操作系统之间的隔离。这是我们首要的任务（此任务非彼任务）。其次，由于操作系统主要是为各个任务服务，负责加载、创建和执行环境的管理，并执行各个任务的调度，最操作系统的保护显得尤为重要。我们之前学习过的基本的段保护机制已经无法满足以上那些要求。

所以新的机制就要出现。比如任务的隔离，特权级与特权级访问规则等，这些都是在以上新的保护要求下被创造出来的规则。

当然本文不是一下子就将这些机制学习完。本文先学习任务的隔离，以及特权级的基本概念。

2、任务描述符的隔离

所谓任务。程序是记录在载体（比如硬盘）上的指令和数据，总是为了完成某个特定的工作，其正在执行的一个副本，叫做任务（Task）。当然，一个程序，它可以有多个在运行的副本，那么就会有多个任务在同时执行。不同的程序也可以同在在内存中运行，这也是多个任务。

在以前的学习中，我们只接触到了GDT，我们把所有的任务的描述符以及操作系统的描述符都放在这个全局描述符表里面。这样显得不是很好。为了让任务与任务，任务与操作系统之间能够更好的隔离，便有了局部描述符表（LDT）。每一个任务都有自己的独立的描述符表,叫做LDT，LDT里面存放的是各个任务自己的描述符。各个任务自己的描述符不再放在GDT中，而是放在自己的独立的LDT中，这样更加有利于任务的隔离。

类似于GDTR是指向GDT的寄存器，对于LDT来说，也有一个寄存器叫做LDTR指向LDT。这个LDTR指向的是当前正在执行的任务的LDT。当任务切换时，对应的LDT肯定会变，那么LDTR也会更新指向新的任务的LDT。

具体的LDT的大小以及各个如何从LDT中加载描述符，与GDT类似，只不过在段选择子的TI位为1的时候表示从LDT中加载描述符，TI位为0的时候表示从GDT中加载描述符。具体的步骤参考书籍。