Window system segment-Call Gate test

最新推荐文章于 2021-03-21 22:10:34 发布
最新推荐文章于 2021-03-21 22:10:34 发布
阅读量326 收藏
点赞数
分类专栏: # windows Kernel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ga4ra/article/details/103583723
版权

文章目录


编程利用调用门读取GDT[2]并打印。

因为在Windows中没有使用调用门,因此,在GDT表中是没有调用门描述符的.
想要试验一个调用门,就需要自己使用windbg开启双击调试,并自行在GDT中设置一个.

定义结构体并赋值

定义这种系统相关的结构体时,要注意粒度对齐。

#pragma pack(1)
typedef struct _CALLGATEDESCRIPT{
    unsigned int functionAddrLow : 16; // 被调用函数地址的低16位
    unsigned int SegmentSelector : 16; // 想要切换的段选择子
    unsigned int paramCount : 5; // 参数个数
    unsigned int none : 3; // 无
    unsigned int Type : 4; // 系统段类型, 必须为12(1100b: 32位调用门)
    unsigned int S : 1; // S位,必须为0
    unsigned int DPL : 2; // 描述符特权级别
    unsigned int P : 1; // 描述符有效位
    unsigned int functionAddrHig : 16; //被调用函数地址的高16位
}CALLGATEDESCRIPT;

定义一个初始化函数:

unsigned long long createCallGateDescript(unsigned short selector, unsigned int functionAddr, int functionParamSize)
{
	CALLGATEDESCRIPT cgd = { 0 };
	cgd.P = 1; // 描述符有效位, 必须设置为1
	cgd.S = 0; // 系统段描述符, 必须设置0
	cgd.Type = 12; // 调用门描述符,必须设置为12
	cgd.DPL = 3; // 设置为3,表示此描述符可被3环所使用.
	cgd.SegmentSelector = selector;// 要切换的段选择子
	cgd.functionAddrHig = (functionAddr & 0xFFFF0000) >> 16;
	cgd.functionAddrLow = functionAddr & 0x0000FFFF;
	cgd.paramCount = functionParamSize / 4; // 参数个数,如果函数没有参数,填0,如果有参数,则填参数占用栈的字节数 / 4
	return *(unsigned long long*) & cgd;
}

GDT表

使用调用门的之前,需要将调用门的描述符写进系统的GDT表中。

2: kd> rgdtr
gdtr=8ff1dc20

读取gdtr寄存器,得到GDT的地址。然后查看GDT表中哪些是空闲的,值为0的都是空闲的。

2: kd> dq 8ff1dc20
8ff1dc20  00000000`00000000 00cf9b00`0000ffff
8ff1dc30  00cf9300`0000ffff 00cffb00`0000ffff
8ff1dc40  00cff300`0000ffff 8f008bf1`875020ab
8ff1dc50  8f4093f1`50003748 0040f300`00008000
8ff1dc60  0000f200`0400ffff 00000000`00000000
8ff1dc70  8f0089f1`aac00068 8f0089f1`ab300068
8ff1dc80  00000000`00000000 00000000`00000000
8ff1dc90  800092b9`500003ff 00000000`00000000

gdt[9]是空闲的,下面构造段选择子:

9 | 0 | 3
1001 0 11
0x4B

//低4字节是eip,高2字节是cs
char buff[] = { 0,0,0,0,0x4b,0};
_asm call fword ptr ds:[buff];

代码

#include <iostream>
#include <iomanip>
#pragma pack(1)
typedef struct _CALLGATEDESCRIPT {
	unsigned int functionAddrLow : 16; // 被调用函数地址的低16位
	unsigned int SegmentSelector : 16; // 想要切换的段选择子
	unsigned int paramCount : 5; // 参数个数
	unsigned int none : 3; // 无
	unsigned int Type : 4; // 系统段类型, 必须为12(1100b: 32位调用门)
	unsigned int S : 1; // S位,必须为0
	unsigned int DPL : 2; // 描述符特权级别
	unsigned int P : 1; // 描述符有效位

	unsigned int functionAddrHig : 16; //被调用函数地址的高16位
}CALLGATEDESCRIPT;
struct SELECTOR {
	unsigned short index : 13;
	unsigned short T1 : 1;
	unsigned short RPL : 2;
};

unsigned long long createCallGateDescript(unsigned short selector, unsigned int functionAddr, int functionParamSize)
{
	CALLGATEDESCRIPT cgd = { 0 };
	cgd.P = 1; // 描述符有效位, 必须设置为1
	cgd.S = 0; // 系统段描述符, 必须设置0
	cgd.Type = 12; // 调用门描述符,必须设置为12
	cgd.DPL = 3; // 设置为3,表示此描述符可被3环所使用.
	cgd.SegmentSelector = selector;// 要切换的段选择子
	cgd.functionAddrHig = (functionAddr & 0xFFFF0000) >> 16;
	cgd.functionAddrLow = functionAddr & 0x0000FFFF;
	cgd.paramCount = functionParamSize / 4; // 参数个数,如果函数没有参数,填0,如果有参数,则填参数占用栈的字节数 / 4
	return *(unsigned long long*) & cgd;
}
int g_num;
short g_ss;
int g_esp;

//通过调用门调用的函数
void _declspec(naked) GateFun()
{	
    g_num = 100;
	_asm mov g_esp, esp;
	_asm mov ax, ss;
	_asm mov word ptr g_ss, ax
	_asm retf;
}
int main()
{
	printf("调用门函数地址:%08X\n", GateFun);
	printf("切换的段选择子:%04X\n", 8);/*8是内核中的代码段选择子*/

	unsigned long long descript =
		createCallGateDescript(8/*8是内核中的代码段选择子*/, (unsigned int)GateFun, 0);


	printf("请将这个段描述符写入到GDT[9]中: ");
	std::cout << std::hex << std::uppercase << std::setfill('0') << std::setw(8) << descript << '\n';
	system("pause");
	// 获取当前寄存器的值.
	_asm mov g_esp, esp;
	_asm mov ax, ss;
	_asm mov word ptr g_ss, ax

	printf("调用前  esp=%08X, ss=%04X\n", g_esp, g_ss);

	// 前4字节是EIP,后2字节是CS(0x004b)
	char buff[] = { 0,0,0,0,0x4b,00 };

	// 执行流程:
	// 1. 从buff这块内存中取出段选择子:0x4b
	//
	//        解释                        SEL  T RPL
	//      十进制                          9  0 3
	 // 2. 将段选择子分解,100 1011 ==> 1001 0 11, 得到GDT表中的下标:9
	// 3. 取出GDT表中第9项描述符, 是一个调用门描述符.
	// 4. 将调用门描述符中的段选择子加载到CS段寄存器
	// 5. 将调用门描述符中的函数地址设置到EIP寄存器.
	_asm call fword ptr ds : [buff] ;
	printf("调用后  esp=%08X, ss=%04X\n", g_esp, g_ss);
	printf("g_num=%d\n", g_num);

	system("pause");
	return 0;
}

运行:

调用门函数地址:00D71080
切换的段选择子:0008
请将这个段描述符写入到GDT[9]中: D7EC0000081080

双机调试

运行程序后,windbg break。

修改

kd> eq 80b95048 00D7EC00`00081080
kd> dq 80b95000
80b95000  00000000`00000000 00cf9b00`0000ffff
80b95010  00cf9300`0000ffff 00cffb00`0000ffff
80b95020  00cff300`0000ffff 80008b1e`500020ab
80b95030  84409317`1c003748 0040f300`00000fff
80b95040  0000f200`0400ffff 00d7ec00`00081080
kd> g

调用前  esp=0019F7E0, ss=0023
调用后  esp=AA50FD9E, ss=0010
g_num=100

虚拟机配置,1个cpu,1个核心。

CodeStarr
关注
专栏目录
操作系统 实验2 windbg双机调试+系统调用过程
Lawliet_233的博客
11-09 2080
1.配置windbg双机调试环境,给出关键步骤及最终成功断下的截图。 1).在安装好的win7虚拟机设置中,添加一个串行端口,并选择输出到命名管道,具体设置如图。 这样设置之后,在后面的步骤中,主机便能通过这个管道与虚拟机相连进行双机调试。 2)在win7虚拟机中以管理员权限打开命令行并做以下设置 3)在本机里创建一个windbg的快捷方式,在目标一栏里加上以下代码 -...
遍历IDT和分析GDT结构
93Storm
12-26 3070
//头文件IDT_GDT.h #include"basetsd.h" /* *IDT寄存器结构 *IDTR寄存器共有48位,高32位是IDT的基地址,低16位是IDT的长度(Limit) *IDT示一张位于物理内存中的线性,共有256个项。 */ typedef struct _IDT_INFO{ UINT16 uIdtLimit; UINT16 uLowIdtBa
windbg可以查看GDT
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-28 3834
命令: dg 功能: 显示指定的段描述符信息 示例: 显示一个 0:003> dg 0x18 P Si Gr Pr Lo Sel Base Limit Type l ze an es ng Flags0018 00000000 ffffffff Code RE Ac 3 Bg Pg P Nl
GDT与LDT
08-24 2万+
(1)全局描述符GDT(Global Descriptor Table)在整个系统中,全局描述符GDT只有一张(一个处理器对应一个GDT),GDT可以被放在内存的任何位置,但CPU必须知道GDT的入口,也就是基地址放在哪里,Intel的设计者门提供了一个寄存器GDTR用来存放GDT的入口地址,程序员将GDT设定在内存中某个位置之后,可以通过LGDT指令将GDT的入口地址装入此积存器,从此以后,CPU就根据此寄存器中的内容作为GDT的入口来访问GDT了。GDTR中存放的是GDT在内存中的基地址和其长界限
操作系统开发--GDT(全局描述符)详解
wenwushq的博客
04-03 7966
我们知道CPU存在实模式和保护模式的操作模式。当计算机启动后,我们进入的是实模式,而实模式的内存寻址方式是通过:段值 × 16 + 偏移 = 物理地址。这样只能具有1MB的寻址能力。如果想要更为强大的寻址能力,就必须通过一定机制,进入具有更强大寻址能力的保护模式。在保护模式下,不光提供了强大的寻址能力,还提供了内存保护,能够防止用户程序改写内核代码,并为操作系统提供了更好的硬件保障。在该模式下,有...
Real-time lane departure warning system based on a single FPGA
凌风探梅的专栏
04-18 4269
Real-time lane departure warning system based on a single FPGA Xiangjing An, Erke ShangEmail author, Jinze Song, Jian Li and Hangen He EURASIP Journal on Image and Video Proc
Bochs - The cross platform IA-32 (x86) emulator
03-14
- Allow reloading of segment registers from internal debugger - Improved verbose physical memory access tracing - BIOS - Fix MTRR configuration (prevented boot of modern Linux kernels) - Fix ...
linux的中断异常和系统调用
CrazyCat的博客
01-19 594
中断异常和系统调用一、门二、中断中断向量的初始化trap_initinit_IRQ中断请求队列的初始化中断的响应和服务三、软中断与bottom half四、异常五、系统调用 中断分为外部中断和软中断,外部中断由硬件产生,软件无法预知外部中断发生的时机,软中断(陷阱trap)由软件触发,系统调用就是通过软中断的一种(INT 0x80)来实现的,异常通常是因为发生了类似于0作除数或者缺页异常这样的错误引发,异常的种类有cpu规定。 x86 cpu支持256个不同的中断向量,在实模式中,内存开头的1K字节作为中
Flink v1.11 - 官网 - 部署与运维
MiaoSO的博客
09-08 2533
Flink v1.11 - 官网 - 部署与运维 Flink v1.11 - 官网 - 部署与运维 一、集群与部署 1.1 概览 1.1.1 部署方式 1.1.2 部署目标 1.1.3 Application Mode 1.2 Local Cluster - 本地集群 1.3 Flink Downloads 1.4 Hadoop Integration - Hadoop 集成 1.5 Standalone Cluster - 独立集群 1.6 YARN 1.6.1 Quickstart 1.6
英语方面的缩略语
denghuaken9487的博客
10-02 9303
A...AA Auto AnswerAAB All-to-All BroadcastAAL Asynchronous Transfer Mode Adaption LayerAAP Applications Access Point [DEC]AARP AppleTalk Address Resolution ProtocolAAS All-to-All Scatte...
测试集(2)-words
热门推荐
马如林的IT博客
11-26 5万+
 aa.ma.mabandonabandonabattoirabilityabilityableableabnormalabnormalaboardaboardaboutaboutaboveaboveabracadabraabroadabroadabsenceabsenceabsentabsent
GDT
lindorx的博客
04-20 9995
gdt在x86架构中用来存储内存的分段信息,通过段选择子进行访问,的大小=0x10000=65536字节,每个项占8字节,第一个项为空,不使用,因此一共有8191个可用项。项结构如下 (图片来自https://blog.csdn.net/yeruby/article/details/39718119) 其中段限长决定了这个段的大小,总共占用20bit,最小单位由G位决定,...
(第三章 9)“调用门” 和 “利用调用门在高低特权级的转移”
chuanwang66的专栏
06-08 307
    在此之前,先要熟悉汇编指令“长/短jmp”、“长/短call”、ret、retf.   一、调用门“纯粹”作为入口地址     调用门本质上就是个入口地址,只是增加若干属性而已。例子pmtest5a.asm完全将其作为一个地址使用。   二、使用调用门,在不同特权级间转移     使用调用门分为以下两个阶段,难点无非就是“TSS”和“堆栈的变化”。本质上,TSS就是记录了不同特...
【2021.03.21】调用门:下
oalken的博客
03-21 572
要点回顾 前文提到了调用门的执行过程,那么本篇文章就一起来了解一下:调用门的参数传递。 代码回顾 void __declspec(naked) GetRegister() { __asm { pushad pushfd mov eax,0x8003f00c //读取高2G内存 mov ebx,[eax] mov dwH2GValue,ebx sgdt GDT;
段寄存器和段描述符
Starr
12-19 2903
文章目录0. 发展过程保护模式803861. 段寄存器1.0 选择子2. 段描述符2.0 S+Type数据段描述符代码段描述符系统段描述符2.1 赋值原理2.2 段权限检查1.4.0 数据段权限检查1.4.1 代码段权限检查2.2 其它检查有效位检查段类型检查3. 系统段描述符-门描述符3.0 调用门设置和使用3.1 任务门、中断门和陷阱门4. 其它寄存器4.0. 调试寄存器4.1. 控制寄存器C...
遍历IDT和GDT
Starr
12-26 911
文章目录结构体获取IDR遍历IDT 结构体 //idtr指向这个结构体 typedef struct _IDT_INFO{ UINT16 uIdtLimit; // IDT范围 UINT16 uLowIdtBase; // IDT低基址 UINT16 uHighIdtBase; // IDT高基址 }IDT_INFO, *PIDT_INFO; // IDT中...
windows内核编程基础-0
Starr
12-20 833
文章目录0. 前言0.0 关于API0.1 命名前缀0.2 返回值0.3 函数所占内存属性0.4 数据类型字符串内存操作内核链1. 一个简单的驱动1.0 加载/卸载驱动1.1 调试驱动1.2 蓝屏处理 0. 前言 驱动程序:针对某硬件,连接硬件与OS; 内核程序:针对某功能,作为内核的插件。 sys文件对ntkrnl.exe,就像dll对OD.exe(等支持插件的程序)。 驱动由3类: ...
windbg分页机制实验
Starr
12-19 757
文章目录两种模式分页机制原理非物理地址扩展模式windbg实验物理地址扩展模式windbg实验 同一个虚拟地址0x401000,在不同的进程中能够访问出不同的数据。这是因为Windows使用CPU的分页机制,将一个进程的虚拟地址映射到了不同的物理地址上。 两种模式 这个虚拟地址和物理地址的映射关系需要记录下来。在Windows中,有2种方式: 非物理地址扩展模式 物理地址扩展模式(PAE) 非...
windows内核通讯
Starr
12-23 633
文章目录0. 驱动通讯0.0 通讯过程中的数据的传输0.1 R00.2 R31. 高级内核通讯1.0 dwIoControlCode1.1 其它参数1.2 R0代码示例1.3 R3代码示例2. 小结 数据传输成为IO,驱动程序中,IO通过IRP传递给设备对象,所以和驱动程序通讯最常用的方式就是创建IRP。 0. 驱动通讯 0环 创建设备对象 绑定符号链接 绑定派遣函数 3环 通过Crea...
segment-and-track-anything
最新发布
12-30
segment-and-track-anything是一种先进的技术,可以在图像或视频中对任何对象进行分割和跟踪。通过这种技术,可以识别和跟踪视频中的人、车辆、动物或其他物体,实现对它们的精准定位和跟踪。 segment-and-track-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值