特权级--ring0到ring3

最新推荐文章于 2021-05-12 17:03:23 发布
最新推荐文章于 2021-05-12 17:03:23 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: osdev

内核要和用户程序分开,内核一定要安全,不能被用户程序干涉,但是有时候用户程序也需要读取内核的某些数据,怎么办呢?x86就引入了访问特权等级(0-3)的机制,x86 cpu共有4个特权级 level0 到 level3 其中level0特权级最高,level3特权级最高。处理器通过识别CPL、DPL、RPL这3中种特权级进行特权级检验。
CPL(Current Privilege Level)是当前执行的程序或任务的特权级。它被存储在CS和SS的第0位和第1位上。
DPL(Descriptor Privilege Level)表示段或者门的特权级。它被存储在段描述符或者门描述符的DPL字段中。
RPL(Requessted Privilege Level)是通过段选择子的第0位和第1位表现出来的。
jmp和call所能进行的代码间转移是非常有限的,对于非一致代码段,只能在相同特权级代码间转移;对于一致代码段,可以从低到高,且CPL不会改变。
我们一般用调用门和lcall指令实现特权级由低到高的转移,通过lret指令实现特权级由高到低的转移。

其实我们一直在特权级0下工作,下面我们就用lret实现特权级由高到低的转移,ring0--->ring3

[plain] view plain copy
  1. #define Descriptor(base,lim,attr)\  
  2. .word lim&0xffff;\  
  3. .word base&0xffff;\  
  4. .byte (base>>16)&0xff;\  
  5. .word ((lim>>8)&0xf00)|(attr&0x0f0ff);\  
  6. .byte ((base>>24)&0xff)    
  7.     
  8. /*    
  9. *InitDescrptor(Descriptor,SegBase)初始化描述符函数    
  10. *Descriptor:要初始化的描述符    
  11. *SegBase:段基址    
  12. */    
  13. #define InitDescrptor(Descriptor,SegBase)\  
  14. xor     %eax,%eax; \  
  15. mov     %cs,%ax  ; \  
  16. shl     $4,%eax  ; \  
  17. addl    $(SegBase), %eax ;\  
  18. movw    %ax, (Descriptor + 2);\  
  19. shr     $16, %eax;\  
  20. movb    %al, (Descriptor + 4);\  
  21. movb    %ah, (Descriptor + 7)    
  22.   
  23. #define Gate(Selector,Offset,PCount,Attr)\  
  24. .2byte (Offset&0xffff);\  
  25. .2byte (Selector);\  
  26. .2byte (PCount&0x1f)|((Attr<<8)&0xff00);\  
  27. .2byte ((Offset>>16)&0xffff)    
  28.   
  29. DA_386CGate = 0x8c  
  30. DA_C   = 0x98    
  31. DA_32  = 0x4000    
  32. DA_DRW = 0x92   
  33. DA_DRWA=0x93   
  34. SA_TIL = 0x4    
  35. DA_LDT = 0x82   
  36.   
  37. SA_RPL3 = 3  
  38. DA_DPL0=0x00  
  39. DA_DPL1=0x20  
  40. DA_DPL2=0x40  
  41. DA_DPL3=0x60   
  42.     
  43. .text    
  44. .globl start    
  45. .code16    
  46. start:    
  47.  jmpl $0x0, $code     
  48.      
  49. /**-----------------------------------------------------------------    
  50.  * 全局描述符表: GDT    
  51.  *-------------------------------*/         
  52. GDT_START:      
  53. Descriptor_DUMMY: Descriptor(0x0,0x0,0x0)    
  54. Descriptor_CODE32:Descriptor(0x0,0xffffffff,DA_C+DA_32)    
  55. Descriptor_VIDEO: Descriptor(0xb8000,0x0ffff,DA_DRW + DA_DPL3)    
  56. Descriptor_CODE_GATE:Descriptor(0x0,CodeGLen,DA_C+DA_32)  
  57. Descriptor_LDT:   Descriptor(0x0,LDTLen - 1, DA_LDT)  
  58. Descriptor_CODE3:Descriptor(0x0,0xffffffff,DA_C+DA_32+DA_DPL3)  
  59. Descriptor_STACKR3:Descriptor(0,TopOfStackR3, (DA_DRWA + DA_32 + DA_DPL3))  
  60.   
  61. /*门描述符*/   
  62. Descriptor_Gate_Call:Gate(Selector_Code_Gate,0,0,(DA_386CGate+DA_DPL0))    
  63. GDT_END:    
  64.     
  65. GdtPtr:    
  66.     .word (GDT_END-GDT_START)-1 # so does gdt     
  67.     .long GDT_START     # This will be rewrite by code.    
  68.   
  69. /**-----------------------------------------------------------------    
  70.  * GDT中的选择子  
  71.  *-------------------------------*/   
  72. .set    selector_Code32,(Descriptor_CODE32-GDT_START)  
  73. .set    Selector_Video,(Descriptor_VIDEO-GDT_START)       
  74. .set  Selector_Code_Gate,(Descriptor_CODE_GATE-GDT_START)  
  75. .set    SelectorLDT,(Descriptor_LDT-GDT_START)  
  76. .set    selector_CodeR3,(Descriptor_CODE3-GDT_START+SA_RPL3)  
  77. .set    SelectorStackR3,(Descriptor_STACKR3- GDT_START + SA_RPL3)  
  78. /*调用门选择子*/  
  79. .set    Selector_Gate_Call,(Descriptor_Gate_Call-GDT_START)  
  80.   
  81. /**-----------------------------------------------------------------  
  82.  * 局部描述符表: LDT  
  83.  *-------------------------------*/  
  84. LDT_START:  
  85. /*                       段基址    段界限      属性*/  
  86. Descriptor_LDT_CODEA: Descriptor(0, CodeALen - 1, DA_C + DA_32)# Code, 32 位  
  87.   
  88. .set    LDTLen,(. - LDT_START)  
  89.   
  90. #LDT 选择子  
  91. .set  SelectorLDTCodeA,(0x0 + SA_TIL)  
  92.   
  93.   
  94.   
  95. /* 32-bit ring 3 stack segment. */  
  96. .align  4  
  97. LABEL_STACKR3:  
  98. .space  10, 0  
  99. .set    TopOfStackR3, (. - LABEL_STACKR3)  
  100. msg:    
  101.  .string "Hello world!"    
  102.      
  103.      
  104. code:    
  105.     mov     %cs,%ax       
  106.     mov     %ax,%ds     
  107.     mov     %ax,%es        
  108.     mov     %ax,%ss      
  109.     mov  $0x8000,%sp      
  110.     /*显示HelloWorld字符串*/    
  111.     mov $msg   ,%ax    
  112.     mov %ax    ,%bp    
  113.     mov $12    ,%cx    
  114.     mov $0x1301,%ax    
  115.     mov $0x000c,%bx    
  116.     mov $0     ,%dl    
  117.         
  118.     int $0x10    
  119.         
  120.     
  121. /*初始全局描述符Descriptor_CODE32*/    
  122. InitDescrptor(Descriptor_CODE32,LABEL_SEG_CODE32);   
  123.   
  124. /*初始全局描述符Descriptor_LDT*/  
  125. InitDescrptor(Descriptor_LDT,LDT_START);  
  126.     
  127. /*初始全局描述符Descriptor_CODE_GATE*/    
  128. InitDescrptor(Descriptor_CODE_GATE,LABEL_CODE_G);    
  129. /*初始全局描述符LABEL_STACKR3 */  
  130. InitDescrptor(LABEL_STACKR3,Descriptor_STACKR3);  
  131.   
  132. /*初始LDT 中的描述符Descriptor_LDT_CODEA*/  
  133. InitDescrptor(Descriptor_LDT_CODEA,LABEL_CODE_A);  
  134.   
  135. /*初始全局描述符Descriptor_CODE3*/    
  136. InitDescrptor(Descriptor_CODE3,LABEL_CODE_3);  
  137.   
  138. /*加载gdtr即将全局描述符表gdt的首地址和gdt的界限赋给gdtr寄存器*/           
  139.     lgdt GdtPtr    
  140.     
  141. /*关中断*/    
  142.     cli    
  143.     
  144. /*打开地址线A20*/    
  145.     inb $0x92,%al    
  146.     or  $0x02,%al    
  147.     outb %al,$0x92    
  148.     
  149. /*设置cr0寄存器,切换到保护模式*/    
  150.     movl %cr0,%eax    
  151.     or   $1,%eax    
  152.     movl %eax,%cr0    
  153.     
  154.     
  155. /*真正进入保护模式,执行此命令后CS=0x8,IP=0*/    
  156.     ljmp $selector_Code32,$0    
  157.     
  158.   
  159.   
  160. LABEL_SEG_CODE32:    
  161. .align  32    
  162. .code32    
  163.     
  164.     movw $Selector_Video,%ax    
  165.     movw %ax,%gs/* 视频段选择子(目的)*/    
  166.     movl $((80*11+79)*2),%edi/*第11行,79列*/    
  167.     movb $0x0c,%ah/*高四位表示黑底,低四位表示红字*/    
  168.     movb $'P',%al/*显示的字符*/    
  169.     movw %ax,%gs:(%edi)    
  170.       
  171.     #ljmp $selector_CodeR3,$0   
  172.       
  173.     pushl $SelectorStackR3  
  174.     pushl $TopOfStackR3  
  175.     pushl $selector_CodeR3  
  176.     pushl $0  
  177.     lret    
  178.       
  179.     lcall $Selector_Gate_Call,$0    
  180.     
  181.     #ljmp  $Selector_Code_Gate,$0  
  182.     movw $SelectorLDT,%ax  
  183.     lldt %ax/*加载lgtr*/  
  184.   
  185.     ljmp    $SelectorLDTCodeA,$0    /* 跳入局部任务 LABEL_CODE_A*/  
  186.    
  187.         
  188. jmp .    
  189.         
  190. LABEL_CODE_G:  
  191.   
  192.     movl $((80*12+0)*2),%edi/*第10行,0列*/    
  193.     movb $0x0c,%ah/*高四位0000表示黑底,低四位1100表示红字*/    
  194.     movb $'G',%al/*要显示的字符*/    
  195.     movw %ax,%gs:(%edi)    
  196.           
  197.         lret  
  198. .set CodeGLen,(. - LABEL_CODE_G)    
  199.   
  200. LABEL_CODE_A:  
  201.     movw $0x10,%ax  
  202.     movw %ax,%gs/* 视频段选择子(目的)*/  
  203.     movl $((80*12+10)*2),%edi/*第10行,0列*/  
  204.     movb $0x0c,%ah/*高四位0000表示黑底,低四位1100表示红字*/  
  205.     movb $'A',%al/*要显示的字符*/  
  206.     movw %ax,%gs:(%edi)  
  207.   
  208. jmp .  
  209. .set CodeALen,(. - LABEL_CODE_A)  
  210.   
  211. LABEL_CODE_3:  
  212.     movw $0x10,%ax  
  213.     movw %ax,%gs/* 视频段选择子(目的)*/  
  214.     movl $((80*12+10)*2),%edi/*第10行,0列*/  
  215.     movb $0x0c,%ah/*高四位0000表示黑底,低四位1100表示红字*/  
  216.     movb $'3',%al/*要显示的字符*/  
  217.     movw %ax,%gs:(%edi)  
  218.   
  219. jmp .  
  220. .set Code3Len,(. - LABEL_CODE_3)  
  221.     
  222. .org 0x1fe, 0x90     
  223. .word 0xaa55   


 

具体改动点如下:
DA_DRWA=0x93
SA_RPL3 = 3
DA_DPL3=0x60

我们将的描述符Descriptor_VIDEO设为DA_DPL3,添加描述符Descriptor_CODE3和Descriptor_STACKR3
Descriptor_VIDEO: Descriptor(0xb8000,0x0ffff,DA_DRW + DA_DPL3)
Descriptor_CODE3:Descriptor(0x0,0xffffffff,DA_C+DA_32+DA_DPL3)
Descriptor_STACKR3:Descriptor(0,TopOfStackR3, (DA_DRWA + DA_32 + DA_DPL3))

添加选择子selector_CodeR3和SelectorStackR3
.set selector_CodeR3,(Descriptor_CODE3-GDT_START+SA_RPL3)
.set  SelectorStackR3,(Descriptor_STACKR3- GDT_START + SA_RPL3)

ring3下的堆栈
.align  4
LABEL_STACKR3:
.space  10, 0
.set    TopOfStackR3, (. - LABEL_STACKR3)

/*初始全局描述符LABEL_STACKR3 */
InitDescrptor(LABEL_STACKR3,Descriptor_STACKR3);

/*初始全局描述符Descriptor_CODE3*/  
InitDescrptor(Descriptor_CODE3,LABEL_CODE_3);

在ring3下打印'3'
LABEL_CODE_3:
 movw $0x10,%ax
 movw %ax,%gs/* 视频段选择子(目的)*/
 movl $((80*12+10)*2),%edi/*第10行,0列*/
 movb $0x0c,%ah/*高四位0000表示黑底,低四位1100表示红字*/
 movb $'3',%al/*要显示的字符*/
 movw %ax,%gs:(%edi)

jmp .
.set Code3Len,(. - LABEL_CODE_3)

实现从ring0到ring3的跳转
pushl $SelectorStackR3      //ss入栈
    pushl $TopOfStackR3      //esp入栈
    pushl $selector_CodeR3//cs入栈
    pushl $0                              //ip入栈
    lret                                        //将栈中的内容弹出   

 

poclist
关注
专栏目录
Linux获取ring0权限,Ring0Ring3权限
weixin_42208552的博客
04-29 969
本节的内容以知识为主,比较少技巧和经验。读者只需要了解,不需要熟练。如果你熟悉x86架构,请直接跳过这节。现在探讨内核程序和应用程序之间的本质区别。除了能用WDK编写内核程序和阅读一部分Windows的内核代码之外,我们还需要了解它们的本质是什么,它们和我们熟悉的应用程序有什么区别。Intel的x86处理器是通过Ring别来进行访问控制的,别共分4层,从Ring0Ring3(后面简称R0、R...
CPU的Ring0-3
qq_42508901的博客
01-30 1120
Inter的CPU将等分为四个别:Ring0Ring1、Ring2、Ring3。Windows只是用其中的两个Ring0Ring3Ring0只给操作系统使用,Ring3谁都能用。如果普通应用程序企图执行Ring0指令,则windows会显示“非法指令”错误信息。 Ring0是指CPU的运行别,Ring0是最高别,Ring1次之,拿Linux来说,内核的代码运行在最高别的ring...
操作系统-特权
u013995395的博客
11-30 2529
在linux系统中特权别分为0,1,2,3一共四个界别,0最大 ,3最小。一般内核代码运行在0特权,驱动 ,虚拟机等运行在1,2特权,而我们自己写的程序一般运行在3特权,也就是最低别。 我们自己写的程序其实是个半成品,一些基本的操作:文件读写等 都是通过系统调用(通过调用库函数,库函数封装的系统调用)来实现的,这些是运行在0特权别的内核代码,而我们自己的程...
特权1——RPL、DPL、CPL
XboxMicro
02-27 1562
保护模式中最重要的一个思想就是通过分把代码隔离了起来,不同的代码在不同的别,使大多数情况下都只和同代码发生关系。Intel的80286以上的cpu可以识別4个特权(或特权层) ,0到3。数值越大特权越小。一般用把系统内核放在0,系统的其他服务程序位于1、2,3则是应用软件。一般情况下代码都在自己的别下做自己的工作,同一别之间可以相互访问,而一般是不允许不同别的代码间随意访问
linux内联汇编获取ring0权限,[原创]ring0 head inline hook lib
weixin_36322984的博客
05-12 216
没啥子技术含量,参考了海风月影的ring3inline hook lib库,主要是简化你的编程工作量,有了此库,你不需要使用一大堆的内联汇编来写那个裸函数,也不需要为了堆栈破坏问题而蓝屏,目前只支持32系统……来看看到底挂钩一个函数有多简单!你可以专注的编写过滤逻辑而完全不需要理会挂钩过程typedef NTSTATUS ( __stdcall *DZwCreateFile)(PHANDLE ...
ring0驱动调用ring3应用程序 从RING0下启动RING3的应用程序源代码
01-22
在操作系统的世界里,Ring0Ring3是处理器的特权别,它们定义了代码执行时的权限等Ring0通常代表最高别的权限,是操作系统内核的所在地,而Ring3则是用户模式应用程序运行的地方,拥有相对较低的权限。这篇...
ring3用户应用程序与ring0内核驱动程序之间的调用,通信.zip
01-25
在计算机系统中,Ring3Ring0是处理器的特权别,它们代表了不同的权限等Ring3是用户,而Ring0则是内核。在Windows操作系统中,大部分应用程序运行在Ring3,享受较低别的权限,以防止它们破坏系统的稳定...
r3_2_r0.rar_RING0 RING3_ring0_zw r0 r3 ho
09-23
而"r3_2_r0"很可能是一个源代码文件或者演示如何进行Ring3Ring0转换的二进制文件。 在实际操作中,从Ring3进入Ring0通常包括以下步骤: 1. **系统调用**:用户模式下的进程调用一个系统调用API,如`...
ring3切换到ring0的代码
05-15
ring3切换到ring0的代码 从ring3切换到ring0的代码 从ring3切换到ring0的代码
r3_to_r0.rar_from ring0 ring3_ring0_windows 内核
09-24
在计算机系统中,Ring 0 和 Ring 3 是处理器特权别的两种主要状态,它们与操作系统内核和用户程序的执行权限密切相关。Ring 0 代表最高别的特权,通常被操作系统核心使用,允许直接访问硬件资源和执行关键操作;...
RING0.zip_ring0_强制删除_文件强删_驱动删除_驱动强删
07-14
1. **Ring0别**:在x86架构的CPU中,保护模式下有四个特权环(Ring0Ring1、Ring2、Ring3),其中Ring0代表最高权限,它是操作系统核心和设备驱动程序运行的地方。在Ring0,程序可以直接访问硬件,执行任何操作,...
(vc++ 98版的 xp) C++如何实现ring0
10-20 533
offset SavedGate; movsd; movsd; } } void __fastcall TForm1::Button1Click(TObject *Sender) { GotoRing0(); } ebx; // 开始恢复原中断门 mov esi offset OurGate; movsd; movsd; int IntNo; mov edi ebx; mov esi
演示无驱动执行Ring0代码(C++) (转)
patrice的专栏
04-30 1381
/********************************************************************   程    序: 演示无驱动执行Ring0代码  创建时间:   作    者: Ring0Demo.c v1.0 by zzzEVAzzz   来    源:   目    的: 演示无驱动执行Ring0代码  原    理
特权--ring3ring0
guocaigao的专栏
01-15 1393
还记得吗?我们用调用门和lcall指令实现特权由低到高的转移. 假设我们想由代码A转移到代码B,运用一个调用门G,即调用门G中的目标选择子指向代码B的段。实际上我们要考虑4个要素:CPL、RPL、DPL_B(代码B的DPL)、DPL_G(调用门G的DPL)。 第一步,当A访问调用门G时,规则相当于访问一个数据段,要求CPL和RPL都小于或者等于DPL_G.也就是CPL和RPL需要在更高的特权
CPU的两种工作状态——系统态和用户态
热门推荐
weixin_43557723的博客
01-19 2万+
谈到CPU的这两个工作状态,也就是处理器的这两个工作状态,那我们有必要说一下为什么搞出这两个鬼玩意出来。 用过电脑的娃娃们肯定知道在一个系统中既有操作系统的程序,也由普通用户的程序。但那么多指令,可不是随便乱用的,有些指令只能由系统来使用,禁止用户程序去直接访问。为了保证操作系统和各个应用程序能够顺利运行,就必须对他们进行限制,否则的话就根本没有办法保证系统的安全性和稳定。 所以呢,根据运行程序对资源和机器指令的使用权限,把处理器设置为不同的状态。多数系统把处理器的工作状态分为管态和目态两种。也就是我们今天
专注于操作系统18之完整的特权转换
大道至简的专栏
03-08 1006
在上一篇文章中,我们已经能从ring0进入到ring3,在这里我们将再加上从ring3ring0。从ring3ring0这需要使用在第十四篇文章中提到的调用门来实现。即在进入ring3后,在使用调用门来调用ring0代码(注意当发生特权转换时,堆栈是发生了变化的,上一篇文章已说明从ring0ring3堆栈所发生的变化。当从ring3ring0时,ring0堆栈信息
java基于ssm+vue物流配送管理系统源码 带毕业论文+PPT
最新发布
09-18
1、开发环境:ssm框架;内含Mysql数据库;VUE技术 2、需要项目部署的可以私信 3、项目代码都经过严格调试,代码没有任何bug! 4、该资源包括项目的全部源码,下载可以直接使用! 5、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 6、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值