羽夏看Linux内核——门相关入门知识
写在前面
此系列是本人一个字一个字码出来的,包括示例和实验截图。如有好的建议,欢迎反馈。码字不易,如果本篇文章有帮助你的,如有闲钱,可以打赏支持我的创作。如想转载,请把我的转载信息附在文章后面,并声明我的个人信息和本人博客地址即可,但必须事先通知我。
你如果是从中间插过来看的,请仔细阅读 羽夏看Linux系统内核——简述 ,方便学习本教程。
练习及参考
- 为什么
20位
的寻址可以达到1MB
?
点击查看答案
2^20 B = 2^10 * 2^10 B = 1 MB
- 拆分如下的段描述符:
00000000`00000000 00cf9b00`0000ffff
00cf9300`0000ffff 00cffb00`0000ffff
00cff300`0000ffff 80008b04`200020ab
ffc093df`f0000001 0040f300`00000fff
0000f200`0400ffff 00000000`00000000
80008955`22000068 80008955`22680068
00009302`2f40ffff 0000920b`80003fff
ff0092ff`700003ff 80009a40`0000ffff
80009240`0000ffff 00009200`00000000
点击查看答案
本答案仅提供一个样例,其余自行校验:
对于段描述符 0040f300`00000fff :
P:1
S:1
G:0
Type:3
DB:1
Base:0
Limit:FFF
DPL:3
- 拆分如下段选择子:
002B 0023 0010 001B 003B
点击查看答案
002B:
RPL:3
TI:0
Index:5
0023:
RPL:3
TI:0
Index:4
0010:
RPL:0
TI:0
Index:2
001B:
RPL:3
TI:0
Index:3
003B:
RPL:3
TI:0
Index:7
- 快速辨别
问题2
给定段描述符是否可用以及段基址、段长(至少10个)
点击查看答案
略
- 记住代码段间跳转的执行流程。
点击查看答案
略
门
本篇文章涉及调用门、中断门、陷阱门这三个重要的“门”,那么“门”到底是什么。打个比方,“门”就类似于你去办理身份证必须要进入派出所的门一样。你想办理身份证就必须通过这个门,如果你进不了门就办理不了。调用门、中断门、陷阱门也是如此,通过它们你可以修改段的属性,甚至能提权去做一些应用层做不了的事情。
调用门
在将所有的知识之前,先讲一下调用门,因为后面的知识频繁用到了调用门的概念,调用门的结构如下图所示。它和普通的段描述符结构十分相似。低四个字节改为段选择子,如果指向的段描述符的DPL
小于CPL
,则会提权。高四个字节低5个位是调用调用门需要的参数数目。低四个字节的低16位和高四个字节的高16位拼接为跳转后新的在段中的偏移,也就是调用后EIP
的位置。
它的具体细节将会在长调用讲完后继续讲解。
长调用
介绍长调用,我先来讲一下什么是短调用
。短调用就是我们在汇编常见的CALL
指令,调用格式为:CALL 立即数/寄存器/内存
。为什么是短调用,我们来看一下执行该指令时堆栈的变化:
调用CALL
指令之后,CPU
只将当前的EIP
压入堆栈后跳转到目标地址,发生改变的寄存器只有ESP
和EIP
,即所谓的短调用。
长调用分为两种,一种提权,一种不提权,调用格式为:指令格式:CALL CS:EIP
,其中EIP
是废弃的,CS
为指向调用门
的段选择子。但是值得注意的是CS
一旦更换,它的EIP
和SS
要同时更换。为什么EIP
需要更换我就不说了。在代码执行的时候,一定会用到堆栈,堆栈的段权限必须与CS
匹配,这就是为什么SS
必须更换。我们接下来看看长调用到底是何方神圣。
长调用不提权
当段选择子指向的调用门不提权时。发生改变的寄存器有ESP
、EIP
和CS
,比短调用多一个CS
。执行情况如下图所示:
长调用提权
当段选择子指向的调用门不提权时。发生改变的寄存器有ESP
、EIP
、CS
和SS
。执行情况如下图所示:
心细的你获取发现,SS
并没有压入堆栈之中,还有ESP0
也没用通过已知方式获取得到。它从哪里来呢?下一节教程将会讲解。
调用门(续)
本篇开头简单介绍了调用门,接下来将会详细介绍它的调用流程。先把上面的调用门结构图贴到下面,以供方便学习:
调用门执行流程如下所示:
指令格式:
CALL CS:EIP (EIP是废弃的)
执行步骤(具体详情请看长调用):
- 根据
CS
的值查GDT表
,找到对应的段描述符且该描述符是一个调用门。 - 在调用门描述符中存储另一个代码段的段选择子,将其加载到
CS
中。 - 选择子指向的段的
Base + 偏移地址
就是真正要执行的地址。
- 根据
当然段选择子加载段描述符的过程都会有权限检查,不懂的话请不要再继续了,回去查看上一篇复习,懂了再回来学习。
中断门
讲中断门之前,我先来介绍一个新的表,称之为IDT表
。IDT表
与GDT表
不同,它的第一个元素不是NULL
。IDT表
包含3种门描述符:任务门描述符、中断门描述符、陷阱门描述符,这里面的几种类型都会在后面讲到。中断门的结构如下图所示(图中的D
表示是否为32位
,如果是则为1
):
IDT也是由一系列描述符组成的,每个描述符占8个字节
。Windows没有使用调用门,但是使用了中断门用于系统调用和调试用途。在WinDbg
下可用r idtr
读取IDT表
的首地址,r idtl
读取IDT表
的大小。
中断门的结构和调用门结构几乎一样,只是调用门用来写参数数目的位被清空不再使用和Type域不一样而已。
既然中断门的结构知道了,我们来看一下中断门的执行流程:
指令格式:
INT N (N为中断门索引号)
执行步骤:
- 在没有权限切换时,会向堆栈顺次压入
EFLAG
、CS
和EIP
;如果有权限切换,会向堆栈顺次压入SS
、ESP
、EFLAG
、CS
和EIP
。 CPU
会索引到IDT
表。后面的N
表示查IDT表
项的下标。对比调用门,中断门没有了RPL
,故CPU
只会校验CPL
。- 在中断门中,不能通过
RETF
返回,而应该通过IRET
/IRETD
指令返回。
- 在没有权限切换时,会向堆栈顺次压入
陷阱门
陷阱门的结构和中断门结构几乎一样,只是Type域不同而已,如下图所示(图中的D
表示是否为32位
,如果是则为1
):
陷阱门执行流程一模一样。与中断门的区别,中断门执行时,将IF位
清零,但陷阱门不会。
本篇小结
- CS的权限一旦改变,SS的权限也要随着改变,CS与SS的等级必须一样。
JMP FAR
只能跳转到同级非一致代码段,但CALL FAR
可以通过调用门提权,提升CPL
的权限。- 调用门总结:
- 当通过门,权限不变的时候,只会
PUSH
两个值:CS
和返回地址
,新的CS的值由调用门决定。 - 当通过门,权限改变的时候,会
PUSH
四个值:SS
、ESP
、CS
和返回地址
,新的CS
的值由调用门决定,新的SS
和ESP
由TSS
提供。 - 通过门调用时,要执行哪行代码由调用门决定,但使用
RETF
返回时,由堆栈中压入的值决定,这就是说,进门时只能按指定路线走,出门时可以FQ,即只要改变堆栈里面的值就可以想去哪去哪。 - 可不可以再建个门出去呢?当然可以了。前门进,后门出。
- 当通过门,权限不变的时候,只会
任务段
什么是任务段
我们回顾一下之前所学内容,在调用门、中断门与陷阱门中,一旦出现权限切换,那么就会有堆栈的切换。而且,由于CS
的CPL
发生改变,也导致了SS
也必须要切换。切换时,会有新的ESP
和SS
从哪里来的呢?那就是任务状态段提供的。任务状态段简称任务段,英文缩写为TSS
,Task-state segment
。
TSS
是一块内存,大小为104
字节,内存结构如下图所示:
TSS 的作用
Intel
的设计TSS
目的,用官方的话说就是实现所谓的任务切换。CPU
的任务在操作系统的方面就是线程。任务一切换,执行需要的环境就变了,即所有寄存器里面的值,需要保存供下一次切换到该任务的时候再换回去重新执行。
说到底,TSS
的意义就在于可以同时换掉一堆寄存器。本质上和所谓的任务切换没啥根本联系。而操作系统嫌弃Intel
的设计过于麻烦,自己实现了所谓的任务切换,即线程切换。具体将会在后面的教程进行讲解。
CPU 如何找到 TSS
TSS
是一个内存块,并不在CPU
中,那么它是怎样找到正确的TSS
呢?那就是之前提到的TR
段寄存器。CPU
通过TR
寄存器索引TSS
是示意图如下图所示:
TSS段描述符
TSS段描述符
的结构和普通的段描述符没啥区别,就不详细介绍了,如下图所示:
TR寄存器读写
加载TSS
- 指令:
LTR
- 说明:用
LTR
指令去装载,仅仅是改变TR
寄存器的值(96位),并没有真正改变TSS
。LTR
指令只能在系统层使用,加载后TSS
段描述符会状态位会发生改变。
读取TR寄存器
- 指令:
STR
- 说明:如果用
STR
去读的话,只读了TR
的16位,即选择子。
修改TR寄存器途径
- 在0环可以通过LTR指令去修改TR寄存器。
- 在3环可以通过CALL FAR或者JMP FAR指令来修改。用JMP去访问一个任务段的时候,如果是TSS段描述符,先修改TR寄存器,在用TR.Base指向的TSS中的值修改当前的寄存器。
CALL 和 JMP 实现任务切换的不同之处
用CALL
和JMP
实现任务切换,它们之间有什么不同呢?答案就不用说了。如果用CALL
,它会把Previous Task Link
填写数值,并EFLAGS
寄存器的NT
位改为1
。如果这个位被改为1
,iret
指令会被当做任务返回,从TSS里的取出Previous Task Link
返回;反之则为正常的中断返回,从堆栈读值返回。而JMP
指令不会做上述事情。
任务门
任务门的结构如下图所示:
任务门的结构我就不想再赘述了,来看看它的执行过程:
- 通过
INT N
的指令进行触发任务门 - 查
IDT
表,找到任务门描述符 - 通过任务门描述符,查
GDT
表,找到TSS
段描述符 - 使用
TSS
段中的值修改TR
寄存器 IRETD
返回
练习与思考
本节的答案将会在下一节进行讲解,务必把本节练习做完后看下一个讲解内容。不要偷懒,实验是学习本教程的捷径。
俗话说得好,光说不练假把式,如下是本节相关的练习。如果练习没做好,就不要看下一节教程了,越到后面,不做练习的话容易夹生了,开始还明白,后来就真的一点都不明白了。本节练习只是概念性的,就不单独给出参考了。
- 熟练掌握门提权/非提权的堆栈变化过程。
下一篇
羽夏看Linux内核——中断相关入门知识
羽夏看Linux内核——门相关入门知识的更多相关文章
- 羽夏看Linux内核——段相关入门知识
写在前面 此系列是本人一个字一个字码出来的,包括示例和实验截图.如有好的建议,欢迎反馈.码字不易,如果本篇文章有帮助你的,如有闲钱,可以打赏支持我的创作.如想转载,请把我的转载信息附在文章后面,并 ...
- 羽夏看Linux内核——启动那些事
写在前面 此系列是本人一个字一个字码出来的,包括示例和实验截图.如有好的建议,欢迎反馈.码字不易,如果本篇文章有帮助你的,如有闲钱,可以打赏支持我的创作.如想转载,请把我的转载信息附在文章后面,并 ...
- 羽夏看Linux内核——中断与分页相关入门知识
写在前面 此系列是本人一个字一个字码出来的,包括示例和实验截图.如有好的建议,欢迎反馈.码字不易,如果本篇文章有帮助你的,如有闲钱,可以打赏支持我的创作.如想转载,请把我的转载信息附在文章后面,并 ...
- 羽夏看Linux内核——引导启动(下)
写在前面 此系列是本人一个字一个字码出来的,包括示例和实验截图.如有好的建议,欢迎反馈.码字不易,如果本篇文章有帮助你的,如有闲钱,可以打赏支持我的创作.如想转载,请把我的转载信息附在文章后面,并 ...
- 羽夏看Linux内核——环境搭建
写在前面 此系列是本人一个字一个字码出来的,包括示例和实验截图.如有好的建议,欢迎反馈.码字不易,如果本篇文章有帮助你的,如有闲钱,可以打赏支持我的创作.如想转载,请把我的转载信息附在文章后面,并 ...
- 羽夏看Linux内核——引导启动(上)
写在前面 此系列是本人一个字一个字码出来的,包括示例和实验截图.如有好的建议,欢迎反馈.码字不易,如果本篇文章有帮助你的,如有闲钱,可以打赏支持我的创作.如想转载,请把我的转载信息附在文章后面,并 ...
- 羽夏看Win系统内核—— VT 入门番外篇
写在前面 此系列是本人一个字一个字码出来的,包括示例和实验截图.由于系统内核的复杂性,故可能有错误或者不全面的地方,如有错误,欢迎批评指正,本教程将会长期更新. 如有好的建议,欢迎反馈.码字不易, ...
- 羽夏看Win系统内核——驱动篇
写在前面 此系列是本人一个字一个字码出来的,包括示例和实验截图.由于系统内核的复杂性,故可能有错误或者不全面的地方,如有错误,欢迎批评指正,本教程将会长期更新. 如有好的建议,欢迎反馈.码字不易, ...
- 羽夏看Win系统内核——同步篇
写在前面 此系列是本人一个字一个字码出来的,包括示例和实验截图.由于系统内核的复杂性,故可能有错误或者不全面的地方,如有错误,欢迎批评指正,本教程将会长期更新. 如有好的建议,欢迎反馈.码字不易, ...
随机推荐
- Linux版 MySql57安装教程
这里介绍的是CentOS7.4安装mysql57的教程 创建MySQL文件包 使用mkdir -p 文件夹路径创建以下目录: 文件夹路径 用途 /usr/local/mysql MySQL安装路径 / ...
- [NOI2011]阿狸打字机
题意:一开始是个空串s,有三种操作:(1.末尾加一个字符 2.末尾减一个字符 3.存储该字符串) 思路: 一开始在trie树上动态加点很好处理,3操作的时候记录一下此时trie树上的pos,同时记录d ...
- Java到底是解释型还是编译型语言
Java到底是解释型还是编译型语言? 定义 回答这个问题,我们首先来看下概念: 开发人员编写代码,语言是人类可理解的方式,是具有语义的,然而计算机无法理解和执行,因此需要做一层转换. 解释型语言: 运 ...
- Java 线程创建与常用方法
进程与线程 进程 程序由指令和数据组成,但这些指令要运行,数据要读写,就必须将指令加载至 CPU,数据加载至内存.在指令运行过程中还需要用到磁盘.网络等设备.进程就是用来加载指令.管理内存.管理 IO ...
- React简单教程-2-ts和组件参数
前言 在上一章:React 简单教程-1-组件 我们知道了 React 的组件是什么,长什么样,用 js 和 HTML 小小体验了一下组件.在这一章,我们将使用 typescript(简称 ts) 来 ...
- MVC - MVC的工作流程
MVC 是Model-View-Controller的简写."Model" 代表的是应用的业务逻辑(通过JavaBean,EJB组件实现), "View" 是应 ...
- Jenkins之配置GitHub-Webhook
前提条件1: 运行Jenkins的机器需要安装git,并且git.exe文件在系统的环境变量里面,或者手动在 Manage Jenkins -> Global Tool Configuratio ...
- 使用PowerShell压缩和解压ZIP包
更新记录 本文迁移自Panda666原博客,原发布时间:2021年7月13日. 解压ZIP包 使用PowerShell的Expand-Archive命令.PowerShell官方文档地址. 命令格式: ...
- 方法(method)
方法是可以完成某个特定的功能,并且可以重复利用的代码片段...C中叫为函数 方法定义在类体中,不可定义在主方法下. 一个方法执行完就会被释放, 提高代码的复用性 相同的业务逻辑就可以不用重复,,,,因 ...
- DAST 黑盒漏洞扫描器 第四篇:扫描性能
0X01 前言 大多数安全产品的大致框架 提高性能的目的是消费跟得上生产,不至于堆积,留有余力应对突增的流量,可以从以下几个方面考虑 流量:减少无效流量 规则:减少规则冗余请求 生产者:减少无效扫描任 ...