如果把冷啟動固件編址在 F000h 段內，就會把整個地址空間隔離成不連續的兩段，一段是 F000h 以前的地址，一段是 1M 以后的地址，這很不方便。 intel 采用的辦法是，還是默認將執行啟動代碼的 BIOS ROM 編址在系統可尋址空間的最后（如 32 位 x86 機的話，這段地址就位于 4GB 的最后一個 64K 內），在系統復位時， CPU 進入實模式，并將 CS 寄存器設置成 F000h ，而將它的 shadow register 的 Base 設置成 FFFF0000h （理論上正常情況下 CS 為 F000h 的話，其 shadow register 的 Base 應該設置成 000F 0000h ，但 intel 有意識的將高 12 位觸發成 1 了，除了這樣他也沒有什么好辦法讓機器一啟動就跑道 4GB 那么高的地址上去執行），而偏移量 EIP 置成 0000FFF0h ，所以機器執行的第一條指令的固件安排的物理地址顯然就變成了 FFFFFFF0h 。 BIOS 代碼和以前還是要兼容的，也就是說此時從 FFFFFFF0h 處取出的還是一條遠跳轉指令 jmp F000 : XXXX （我跟蹤調試過好幾款 BIOS ，這里的 XXXX 似乎都是 E05B ），問題隨之而來。這個遠跳轉指令是要更新 CS 寄存器和它的 shadow register 的，也就是說執行這條 jmp F000 : E05B 之后（也就是 CPU 執行第一條指令之后）， CS 將被更新成 F000 ，其實 CS 原來就是這個值，這里說不上是更新，但 CS 的 shadow register 就不一樣了，它被真正的更新了，它的 Base 域被更新成 000F 0000h 了（高 12 不再具有觸發成 1 的功能，那個功能只在機器啟動到第一次更新 CS 的內容期間有效）。這個 Base 再加上虛擬地址中的偏移量 E05B ，得到物理地址 000FE05Bh ，這就是 CPU 執行的第二條指令的地址，但是這條指令的地址已經是 1M 以內了。但我們不要忘記，這時的 F000h 段內可不再是 BIOS ROM 了，這一段此時安排的事實上是我們的 RAM 空間，這一段 RAM 需不需要初始化才能使用那還另說，關鍵是此時此刻這個地方不應該有可以執行的代碼才對啊？ CPU 第二條指令就跳到這里不是自尋死路嗎 ?

似乎走進了死胡同，但我翻閱了很多資料，找到了一點線索。在很久以前出現過一個叫著 Chips & Technoloqies 的公司，他設計出一組被稱著 neat 的芯片組， 可以將內存高端的 BIOS ROM 映射到 1M 以內的 RAM 空間里 ， 并且可以使這一段被映射的 RAM 空間具有與 ROM 類似的只讀屬性。 這個公司后來被 intel 收購。但后來這種映射似乎就成為了一種標準。由于這種映射關系我們有理由相信，機器啟動的時候， 4G 的最后一個 64K 里與 1M 的最后一個 64K 里應該具有相同的東西， 所以即使從 FFFFFFF0h 用一條 jmp 跳到 000FE05Bh ，也仍然能夠找到正確的代碼去執行。

那么 BIOS 接下來要干一些什么事呢？它有很多事情要做，我只舉幾件有代表性的，其中有兩件事是 DRAM 的初始化和 memory sizing 。按理說這個時候 CPU 還處在實模式下， BIOS 還沒有辦法去確定超過 1M 的內存量。另外還有一件事就是代碼和數據拷貝，因為映射到 1M 以內來的 BIOS ROM 容量有限，事實上還有很大一部分沒有映射過來，以壓縮的形式存放在高端的 ROM 中了， BIOS 在 1M 以內執行初始化時難免需要將高端的那些內容拷過來使用，這也是不容易做到的。但不要忘了，我們可以使用前面說的將段 break 成 4G 的方法來做成這幾件事。當然，似乎還存在著這樣一種可能性，那就是 切換到保護模式 ，這些事情就都可以做了，并且好像沒有必要再切換回實模式。情況沒有想象中那么簡單，從我前面的那個實驗看，我切換到保護模式之后只執行了幾行非常必要的將段 break 成 4G 的代碼，其他的事情一律不做，因為保護模式下有非常嚴格的特權檢查，并且需要設置 GDT ， IDT ， LDT 等一系列的表格，一般的代碼是不容易在保護模式下跑起來的，所以想在保護模式下完成整個 BIOS 的初始化，工程過于浩大，幾乎等于寫一套小型的保護模式操作系統了（ FreeBios 可能就是這么干的）。