保护模式篇——TLB与CPU缓存
写在前面
此系列是本人一个字一个字码出来的,包括示例和实验截图。由于系统内核的复杂性,故可能有错误或者不全面的地方,如有错误,欢迎批评指正,本教程将会长期更新。 如有好的建议,欢迎反馈。码字不易,如果本篇文章有帮助你的,如有闲钱,可以打赏支持我的创作。如想转载,请把我的转载信息附在文章后面,并声明我的个人信息和本人博客地址即可,但必须事先通知我。
你如果是从中间插过来看的,请仔细阅读 羽夏看Win系统内核——简述 ,方便学习本教程。
看此教程之前,问几个问题,基础知识储备好了吗?上一节教程学会了吗?上一节课的练习做了吗?没有的话就不要继续了。
华丽的分割线
练习及参考
本次答案均为参考,可以与我的答案不一致,但必须成功通过。
2️⃣ 自己实验有和没有DEP
保护的程序,看看效果。
点击查看答案
这题目有一个坑,接下来请我娓娓道来。
首先说一句:你设置操作系统的DEP
保护所有程序有效了吗?(具体启用查看上一节教程,选中为除下列选定程序之外的所有程序和服务启用DEP
,直接点确定),不然不起效果,白皮书原话:
If IA32_EFER.NXE = 1, execute-disable (if 1, instruction fetches are not allowed from the 2-MByte region controlled by this entry; see Section 4.6); otherwise, reserved (must be 0).
也就是说IA32_EFER
的NXE
位为0,就算最高位是1也是无尽于是。我们更改这个选项就是使它为1,这个就是是坑。好了,根据我的代码先运行一下:
发现报错了,这个和10-10-12
分页的不同之处。然后把PAGE_READWRITE
改为PAGE_EXECUTE_READWRITE
,然后再运行:
这次运行成功,既然它们的页的首地址都是一样的,我们来看看它们的PDE
或者PTE
哪里不同,先是PAGE_READWRITE
的:
PROCESS 8947dda0 SessionId: 0 Cid: 0690 Peb: 7ffde000 ParentCid: 0204
DirBase: 13b00380 ObjectTable: e1702740 HandleCount: 18.
Image: mytest.exe
kd> !dq 13b00380
#13b00380 00000000`4ac31001 00000000`4a972001
#13b00390 00000000`4ac33001 00000000`4aa70001
#13b003a0 00000000`baf903c0 00000000`4a8a3001
#13b003b0 00000000`4a6a4001 00000000`4a5a1001
#13b003c0 00000000`baf90360 00000000`4a1a6001
#13b003d0 00000000`4a227001 00000000`4a264001
#13b003e0 00000000`baf90400 00000000`00000000
#13b003f0 00000000`00000000 00000000`00000000
kd> !dq 4ac31000
#4ac31000 00000000`4a92a067 00000000`4aa13067
#4ac31010 00000000`4aaa9067 00000000`4ab2f067
#4ac31020 00000000`00000000 00000000`00000000
#4ac31030 00000000`00000000 00000000`00000000
#4ac31040 00000000`00000000 00000000`00000000
#4ac31050 00000000`00000000 00000000`00000000
#4ac31060 00000000`00000000 00000000`00000000
#4ac31070 00000000`00000000 00000000`00000000
kd> !dq 4aa13000+1d0*8
#4aa13e80 80000000`4adc7067 00000000`00000000
#4aa13e90 00000000`00000000 00000000`00000000
#4aa13ea0 00000000`00000000 00000000`00000000
#4aa13eb0 00000000`00000000 00000000`00000000
#4aa13ec0 00000000`00000000 00000000`00000000
#4aa13ed0 00000000`00000000 00000000`00000000
#4aa13ee0 00000000`00000000 00000000`00000000
#4aa13ef0 00000000`00000000 00000000`00000000
然后是PAGE_EXECUTE_READWRITE
:
PROCESS 895c8da0 SessionId: 0 Cid: 068c Peb: 7ffdf000 ParentCid: 0204
DirBase: 13b00300 ObjectTable: e168ea78 HandleCount: 18.
Image: mytest.exe
kd> !dq 13b00300
#13b00300 00000000`4711c001 00000000`472dd001
#13b00310 00000000`4735e001 00000000`4741b001
#13b00320 00000000`319e5001 00000000`31ae6001
#13b00330 00000000`31b27001 00000000`31b64001
#13b00340 00000000`37e87001 00000000`37c88001
#13b00350 00000000`37d89001 00000000`37c46001
#13b00360 00000000`baf903a0 00000000`46a2a001
#13b00370 00000000`46a6b001 00000000`46ba8001
kd> !dq 4711c000
#4711c000 00000000`475d6067 00000000`472bf067
#4711c010 00000000`47715067 00000000`4751b067
#4711c020 00000000`00000000 00000000`00000000
#4711c030 00000000`00000000 00000000`00000000
#4711c040 00000000`00000000 00000000`00000000
#4711c050 00000000`00000000 00000000`00000000
#4711c060 00000000`00000000 00000000`00000000
#4711c070 00000000`00000000 00000000`00000000
kd> !dq 472bf000+1d0*8
#472bfe80 00000000`476b3067 00000000`00000000
#472bfe90 00000000`00000000 00000000`00000000
#472bfea0 00000000`00000000 00000000`00000000
#472bfeb0 00000000`00000000 00000000`00000000
#472bfec0 00000000`00000000 00000000`00000000
#472bfed0 00000000`00000000 00000000`00000000
#472bfee0 00000000`00000000 00000000`00000000
#472bfef0 00000000`00000000 00000000`00000000
可以看出PTE
的最高位置为1,导致这个页被认为是数据,不是代码,故导致内存访问错误,如果我们在访问之前改了它,那么就能访问它吗?结果是可以的,我就不赘述了。
点击查看代码
#include "stdafx.h"
#include <iostream>
#include <windows.h>
char shellcode[]={
0x6A,0x00, //PUSH 0
0x6A,0x00, //PUSH 0
0x6A, 0x00 , //PUSH 0
0x6A ,0x00 , //PUSH 0
0xB8, 0x00 ,0x00 ,0x00, 0x00 , //MOV EAX,0000
0xFF, 0xD0 , //CALL EAX
0xC3 //RET
};
int main(int argc, char* argv[])
{
int msgbox=(int)MessageBoxW;
*(int*)&shellcode[9]=msgbox;
LPVOID scaddr = VirtualAlloc(NULL,1024,MEM_COMMIT,PAGE_READWRITE);
memcpy(scaddr,shellcode,sizeof(shellcode));
printf("Shellcode物理页:%p\n",scaddr);
_asm
{
mov eax,scaddr;
call eax;
}
VirtualFree(scaddr,0,MEM_RELEASE);
system("pause");
return 0;
}
TLB
CPU
通过页的方式对物理内存进行了,需要通过某种运算方式才能访问真正的内存。但是,如果频繁访问某一个线性地址,每次都得通过推算到真正的物理地址然后进行读写操作,是不是挺浪费效率的?Intel
就考虑到性能的问题,提供了TLB
这一个机制,提供缓存提高读写效率。
TLB
的全称为Translation Lookaside Buffer
,它的结构如下:
LA(线性地址) | PA(物理地址) | ATTR(属性) | LRU(统计) |
---|---|---|---|
0x81010111 | …… | …… | 1 |
对于TLB
,给出如下说明:
1. ATTR(属性):属性是PDPE PDE PTE三个属性AND起来的. 如果是10-10-12
分页就是PDE
和PTE
。
2. 不同的CPU
这个表的大小不一样。
3. 只要Cr3
变了,TLB
立马刷新,一核一套TLB
。
学到现在我们知道,操作系统的高2G映射基本不变,如果Cr3
改了,TLB
刷新重建高2G以上很浪费。所以PDE
和PTE
中有个G
标志位,如果G
位为1刷新TLB
时将不会刷新PDE/PTE
的G
位为1的页,当TLB
满了,根据统计信息将不常用的地址废弃,最近最常用的保留。
TLB
有不同的种类,用于不同的缓存目的,它在X86
体系里的实际应用最早是从Intel
的486CPU
开始的,在X86
体系的CPU
里边,一般都设有如下4组TLB
:
第一组:缓存一般页表(4K字节页面)的指令页表缓存:Instruction-TLB
第二组:缓存一般页表(4K字节页面)的数据页表缓存:Data-TLB
第三组:缓存大尺寸页表(2M/4M字节页面)的指令页表缓存:Instruction-TLB
第四组:缓存大尺寸页表(2M/4M字节页面)的数据页表缓存:Data-TLB
CPU缓存
CPU缓存是位于CPU
与物理内存之间的临时存储器,它的容量比内存小的多但是交换速度却比内存要快得多。它可以做的很大,但不是TLB
,它们有很大的不同。TLB
存的是线性地址与物理地址的对应关系,CPU缓存存的是物理地址与内容对应关系。
更多的细节请参考白皮书的Chapter 11 Memory Cache Control
,本篇教程主要是针对内核安全层面,就不再赘述了。
PWT 与 PCD
PWT
全称为Page Write Through
,PWT = 1
时,写Cache
的时候也要将数据写入内存中。
PCD
全称为Page Cache Disable
,PCD = 1
时,禁止某个页写入缓存,直接写内存。比如,做页表用的页,已经存储在TLB
中了,可能不需要再缓存了。
本节练习
本节的答案将会在下一节进行讲解,务必把本节练习做完后看下一个讲解内容。不要偷懒,实验是学习本教程的捷径。
俗话说得好,光说不练假把式,如下是本节相关的练习。如果练习没做好,就不要看下一节教程了,越到后面,不做练习的话容易夹生了,开始还明白,后来就真的一点都不明白了。本节练习很少,请保质保量的完成。
1️⃣ 在10-10-12
分页模式下体会TLB
的存在。要求:通过代码挂物理页,不能通过Windbg
挂。原物理页挂完写入值读取,然后把地址换物理页继续读取,看看值是否发生变化。然后改页属性为全局页,重复上述操作。然后用INVLPG
指令之后再看看值是否变化。
下一篇
保护模式篇——中断与异常和控制寄存器
保护模式篇——TLB与CPU缓存的更多相关文章
- 保护模式篇——PAE分页
写在前面 此系列是本人一个字一个字码出来的,包括示例和实验截图.由于系统内核的复杂性,故可能有错误或者不全面的地方,如有错误,欢迎批评指正,本教程将会长期更新. 如有好的建议,欢迎反馈.码字不易, ...
- 羽夏看Win系统内核——保护模式篇
写在前面 此系列是本人一个字一个字码出来的,包括示例和实验截图.由于系统内核的复杂性,故可能有错误或者不全面的地方,如有错误,欢迎批评指正,本教程将会长期更新. 如有好的建议,欢迎反馈.码字不易, ...
- TLB和CPU缓存
TLB 如果每次应用程序访问一个线性地址都需要先解析(查PDT,PTT)那么效率十分低,为了提高执行效率CPU在CPU内部建立了一个TLB表,此表和寄存器一样访问速度极高.其会记录线性地址和物理地址之 ...
- x64 番外篇——保护模式相关
写在前面 此系列是本人一个字一个字码出来的,包括示例和实验截图.由于系统内核的复杂性,故可能有错误或者不全面的地方,如有错误,欢迎批评指正,本教程将会长期更新. 如有好的建议,欢迎反馈.码字不易, ...
- MIT 6.828 JOS学习笔记6. Appendix 1: 实模式(real mode)与保护模式(protected mode)
在我们阅读boot loader代码时,遇到了两个非常重要的概念,实模式(real mode)和保护模式(protected mode). 首先我们要知道这两种模式都是CPU的工作模式,实模式是早期C ...
- 鸿蒙内核源码分析(工作模式篇) | CPU是韦小宝,七个老婆 | 百篇博客分析OpenHarmony源码 | v36.04
百篇博客系列篇.本篇为: v36.xx 鸿蒙内核源码分析(工作模式篇) | CPU是韦小宝,七个老婆 | 51.c.h .o 硬件架构相关篇为: v22.xx 鸿蒙内核源码分析(汇编基础篇) | CP ...
- CPU保护模式深入探秘
原文链接为:http://www.chinaunix.net/old_jh/23/483510.html 保护方式的体系结构 主要问题: 保护方式的寄存器模型 保护 ...
- 基础篇-Windows保护模式
1 一般来说,80x86(80386及其以后的各代CPU)可以在三种模式下运转:实模式,保护模式,V86模式.实模式就是古老的MS-DOS的运行环境.Win95只利用了两种模式:保护模式和V86模式. ...
- CPU保护模式DPL、CPL简易理解
现代INTEL CPU都有保护模式,实模式这两种CPU运行模式.当CPU加电,CPU初始化时就运行在是模式下,然后现代操作系统会从实模式跳转到保护模式! 为什么需要保护模式? 在最开始编程的汇编时代, ...
随机推荐
- multipass指定virualbox搭建k8s集群(选择docker作为默认容器)
目录 前言 步骤 初始化三台虚拟机 统一安装docker 修改docker镜像源 查看masterIP 安装master节点(重点设置) 查看master的token 安装worker节点 测试 部署 ...
- Intel® QAT加速卡之性能简介
Intel QuickAssist Adapter 8950 设备简介 支持英特尔QuickAssist技术的英特尔QuickAssist适配器提供加密加速和压缩加速服务. 1. Key featur ...
- linux常用查询命令
1 **系统** 2 # uname -a # 查看内核/操作系统/CPU信息 3 # head -n 1 /etc/issue # 查看操作系统版本 4 # cat /proc/cpuinfo # ...
- C# Dapper基本三层架构使用 (四、Web UI层)
三层架构的好处,一套代码无论WinForm还是Web都可以通用,只写前台逻辑就可以了,现在展示Web调用三层的示例 首先在项目中创建一个Web MVC5项目,目前项目目录如下 在Web项目Web.co ...
- XML基础——extensible markup language
一.xml概念 1.xml和html区别 其中,xml是纯文本文件,跨语言:浏览器有html解析器也有xml解析器: 2.和properties配置文件区别 二.xml语法 1.基本语法 三.xml组 ...
- javassist 使用笔记
javassist Javassist 是一个开源的分析.编辑和创建Java字节码的类库.其主要的优点,在于简单,而且快速.直接使用 java 编码的形式,而不需要了解虚拟机指令,就能动态改变类的结构 ...
- 【第七篇】- Git 分支管理之Spring Cloud直播商城 b2b2c电子商务技术总结
Git 分支管理 几乎每一种版本控制系统都以某种形式支持分支.使用分支意味着你可以从开发主线上分离开来,然后在不影响主线的同时继续工作. 有人把 Git 的分支模型称为必杀技特性,而正是因为它,将 ...
- 在excel中,截取电话号码后4位
在单元格中输入以下 =RIGHT($A3,4) 其中$a3是手机号所在的单元格,4是从右查4个
- HDU2063 过山车(二分匹配)
过山车 HDU - 2063 RPG girls今天和大家一起去游乐场玩,终于可以坐上梦寐以求的过山车了.可是,过山车的每一排只有两个座位,而且还有条不成文的规矩,就是每个女生必须找个个男生做part ...
- JAVA语言程序设计课程评价
紧张的又短暂的一个学期结束了,这个学期也许将成为我人生中一个重要的转折点,作为一名半路出家的选手,在初次了解Java语言时我感到非常的迷茫与不知所措.因为之前很多同学都是通过假期时间在家自学,刚转入新 ...