特权级--ring0到ring3

最新推荐文章于 2024-08-26 12:29:31 发布
最新推荐文章于 2024-08-26 12:29:31 发布
阅读量2.8k 收藏
点赞数
分类专栏: 操作系统 文章标签: c C descriptor linux Linux LINUX 操作系统 汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guocaigao/article/details/8504749
版权

内核要和用户程序分开,内核一定要安全,不能被用户程序干涉,但是有时候用户程序也需要读取内核的某些数据,怎么办呢?x86就引入了访问特权等级(0-3)的机制,x86 cpu共有4个特权级 level0 到 level3 其中level0特权级最高,level3特权级最高。处理器通过识别CPL、DPL、RPL这3中种特权级进行特权级检验。
CPL(Current Privilege Level)是当前执行的程序或任务的特权级。它被存储在CS和SS的第0位和第1位上。
DPL(Descriptor Privilege Level)表示段或者门的特权级。它被存储在段描述符或者门描述符的DPL字段中。
RPL(Requessted Privilege Level)是通过段选择子的第0位和第1位表现出来的。
jmp和call所能进行的代码间转移是非常有限的,对于非一致代码段,只能在相同特权级代码间转移;对于一致代码段,可以从低到高,且CPL不会改变。
我们一般用调用门和lcall指令实现特权级由低到高的转移,通过lret指令实现特权级由高到低的转移。

其实我们一直在特权级0下工作,下面我们就用lret实现特权级由高到低的转移,ring0--->ring3

#define Descriptor(base,lim,attr)\
.word lim&0xffff;\
.word base&0xffff;\
.byte (base>>16)&0xff;\
.word ((lim>>8)&0xf00)|(attr&0x0f0ff);\
.byte ((base>>24)&0xff)  
  
/*  
*InitDescrptor(Descriptor,SegBase)初始化描述符函数  
*Descriptor:要初始化的描述符  
*SegBase:段基址  
*/  
#define InitDescrptor(Descriptor,SegBase)\
xor     %eax,%eax; \
mov     %cs,%ax  ; \
shl     $4,%eax  ; \
addl    $(SegBase), %eax ;\
movw    %ax, (Descriptor + 2);\
shr     $16, %eax;\
movb    %al, (Descriptor + 4);\
movb    %ah, (Descriptor + 7)  

#define Gate(Selector,Offset,PCount,Attr)\
.2byte (Offset&0xffff);\
.2byte (Selector);\
.2byte (PCount&0x1f)|((Attr<<8)&0xff00);\
.2byte ((Offset>>16)&0xffff)  

DA_386CGate = 0x8c
DA_C   = 0x98  
DA_32  = 0x4000  
DA_DRW = 0x92 
DA_DRWA=0x93 
SA_TIL = 0x4  
DA_LDT = 0x82 

SA_RPL3 = 3
DA_DPL0=0x00
DA_DPL1=0x20
DA_DPL2=0x40
DA_DPL3=0x60 
  
.text  
.globl start  
.code16  
start:  
 jmpl $0x0, $code   
   
/**-----------------------------------------------------------------  
 * 全局描述符表: GDT  
 *-------------------------------*/       
GDT_START:    
Descriptor_DUMMY: Descriptor(0x0,0x0,0x0)  
Descriptor_CODE32:Descriptor(0x0,0xffffffff,DA_C+DA_32)  
Descriptor_VIDEO: Descriptor(0xb8000,0x0ffff,DA_DRW + DA_DPL3)  
Descriptor_CODE_GATE:Descriptor(0x0,CodeGLen,DA_C+DA_32)
Descriptor_LDT:   Descriptor(0x0,LDTLen - 1, DA_LDT)
Descriptor_CODE3:Descriptor(0x0,0xffffffff,DA_C+DA_32+DA_DPL3)
Descriptor_STACKR3:Descriptor(0,TopOfStackR3, (DA_DRWA + DA_32 + DA_DPL3))

/*门描述符*/ 
Descriptor_Gate_Call:Gate(Selector_Code_Gate,0,0,(DA_386CGate+DA_DPL0))  
GDT_END:  
  
GdtPtr:  
    .word (GDT_END-GDT_START)-1 # so does gdt   
    .long GDT_START     # This will be rewrite by code.  

/**-----------------------------------------------------------------  
 * GDT中的选择子
 *-------------------------------*/ 
.set	selector_Code32,(Descriptor_CODE32-GDT_START)
.set	Selector_Video,(Descriptor_VIDEO-GDT_START)     
.set  Selector_Code_Gate,(Descriptor_CODE_GATE-GDT_START)
.set	SelectorLDT,(Descriptor_LDT-GDT_START)
.set	selector_CodeR3,(Descriptor_CODE3-GDT_START+SA_RPL3)
.set    SelectorStackR3,(Descriptor_STACKR3- GDT_START + SA_RPL3)
/*调用门选择子*/
.set	Selector_Gate_Call,(Descriptor_Gate_Call-GDT_START)

/**-----------------------------------------------------------------
 * 局部描述符表: LDT
 *-------------------------------*/
LDT_START:
/*                       段基址    段界限      属性*/
Descriptor_LDT_CODEA: Descriptor(0, CodeALen - 1, DA_C + DA_32)# Code, 32 位

.set    LDTLen,(. - LDT_START)

#LDT 选择子
.set  SelectorLDTCodeA,(0x0 + SA_TIL)



/* 32-bit ring 3 stack segment. */
.align  4
LABEL_STACKR3:
.space  10, 0
.set    TopOfStackR3, (. - LABEL_STACKR3)
msg:  
 .string "Hello world!"  
   
   
code:  
    mov     %cs,%ax     
    mov     %ax,%ds   
    mov     %ax,%es      
    mov     %ax,%ss    
    mov  $0x8000,%sp    
    /*显示HelloWorld字符串*/  
    mov $msg   ,%ax  
    mov %ax    ,%bp  
    mov $12    ,%cx  
    mov $0x1301,%ax  
    mov $0x000c,%bx  
    mov $0     ,%dl  
      
    int $0x10  
      
  
/*初始全局描述符Descriptor_CODE32*/  
InitDescrptor(Descriptor_CODE32,LABEL_SEG_CODE32); 

/*初始全局描述符Descriptor_LDT*/
InitDescrptor(Descriptor_LDT,LDT_START);
  
/*初始全局描述符Descriptor_CODE_GATE*/  
InitDescrptor(Descriptor_CODE_GATE,LABEL_CODE_G);  
/*初始全局描述符LABEL_STACKR3 */
InitDescrptor(LABEL_STACKR3,Descriptor_STACKR3);

/*初始LDT 中的描述符Descriptor_LDT_CODEA*/
InitDescrptor(Descriptor_LDT_CODEA,LABEL_CODE_A);

/*初始全局描述符Descriptor_CODE3*/  
InitDescrptor(Descriptor_CODE3,LABEL_CODE_3);

/*加载gdtr即将全局描述符表gdt的首地址和gdt的界限赋给gdtr寄存器*/         
    lgdt GdtPtr  
  
/*关中断*/  
    cli  
  
/*打开地址线A20*/  
    inb $0x92,%al  
    or  $0x02,%al  
    outb %al,$0x92  
  
/*设置cr0寄存器,切换到保护模式*/  
    movl %cr0,%eax  
    or   $1,%eax  
    movl %eax,%cr0  
  
  
/*真正进入保护模式,执行此命令后CS=0x8,IP=0*/  
    ljmp $selector_Code32,$0  
  


LABEL_SEG_CODE32:  
.align  32  
.code32  
  
    movw $Selector_Video,%ax  
    movw %ax,%gs/* 视频段选择子(目的)*/  
    movl $((80*11+79)*2),%edi/*第11行,79列*/  
    movb $0x0c,%ah/*高四位表示黑底,低四位表示红字*/  
    movb $'P',%al/*显示的字符*/  
    movw %ax,%gs:(%edi)  
    
    #ljmp $selector_CodeR3,$0 
    
    pushl $SelectorStackR3
    pushl $TopOfStackR3
    pushl $selector_CodeR3
    pushl $0
    lret  
    
    lcall $Selector_Gate_Call,$0  
  
    #ljmp  $Selector_Code_Gate,$0
    movw $SelectorLDT,%ax
	lldt %ax/*加载lgtr*/

	ljmp	$SelectorLDTCodeA,$0	/* 跳入局部任务 LABEL_CODE_A*/
 
      
jmp .  
      
LABEL_CODE_G:

    movl $((80*12+0)*2),%edi/*第10行,0列*/  
    movb $0x0c,%ah/*高四位0000表示黑底,低四位1100表示红字*/  
    movb $'G',%al/*要显示的字符*/  
    movw %ax,%gs:(%edi)  
		
		lret
.set CodeGLen,(. - LABEL_CODE_G)  

LABEL_CODE_A:
	movw $0x10,%ax
	movw %ax,%gs/* 视频段选择子(目的)*/
	movl $((80*12+10)*2),%edi/*第10行,0列*/
	movb $0x0c,%ah/*高四位0000表示黑底,低四位1100表示红字*/
	movb $'A',%al/*要显示的字符*/
	movw %ax,%gs:(%edi)

jmp .
.set CodeALen,(. - LABEL_CODE_A)

LABEL_CODE_3:
	movw $0x10,%ax
	movw %ax,%gs/* 视频段选择子(目的)*/
	movl $((80*12+10)*2),%edi/*第10行,0列*/
	movb $0x0c,%ah/*高四位0000表示黑底,低四位1100表示红字*/
	movb $'3',%al/*要显示的字符*/
	movw %ax,%gs:(%edi)

jmp .
.set Code3Len,(. - LABEL_CODE_3)
  
.org 0x1fe, 0x90   
.word 0xaa55


 

具体改动点如下:
DA_DRWA=0x93
SA_RPL3 = 3
DA_DPL3=0x60

我们将的描述符Descriptor_VIDEO设为DA_DPL3,添加描述符Descriptor_CODE3和Descriptor_STACKR3
Descriptor_VIDEO: Descriptor(0xb8000,0x0ffff,DA_DRW + DA_DPL3)
Descriptor_CODE3:Descriptor(0x0,0xffffffff,DA_C+DA_32+DA_DPL3)
Descriptor_STACKR3:Descriptor(0,TopOfStackR3, (DA_DRWA + DA_32 + DA_DPL3))

添加选择子selector_CodeR3和SelectorStackR3
.set selector_CodeR3,(Descriptor_CODE3-GDT_START+SA_RPL3)
.set  SelectorStackR3,(Descriptor_STACKR3- GDT_START + SA_RPL3)

ring3下的堆栈
.align  4
LABEL_STACKR3:
.space  10, 0
.set    TopOfStackR3, (. - LABEL_STACKR3)

/*初始全局描述符LABEL_STACKR3 */
InitDescrptor(LABEL_STACKR3,Descriptor_STACKR3);

/*初始全局描述符Descriptor_CODE3*/  
InitDescrptor(Descriptor_CODE3,LABEL_CODE_3);

在ring3下打印'3'
LABEL_CODE_3:
 movw $0x10,%ax
 movw %ax,%gs/* 视频段选择子(目的)*/
 movl $((80*12+10)*2),%edi/*第10行,0列*/
 movb $0x0c,%ah/*高四位0000表示黑底,低四位1100表示红字*/
 movb $'3',%al/*要显示的字符*/
 movw %ax,%gs:(%edi)

jmp .
.set Code3Len,(. - LABEL_CODE_3)

实现从ring0到ring3的跳转
pushl $SelectorStackR3      //ss入栈
    pushl $TopOfStackR3      //esp入栈
    pushl $selector_CodeR3//cs入栈
    pushl $0                              //ip入栈
    lret                                        //将栈中的内容弹出   

 

guocaigao
关注
专栏目录
彻底搞懂CPU的特权
yonggeit的博客
07-28 1051
x86 处理器中,提供了4个特权别:0,1,2,3。数字越小,特权别越高!一般来说,操作系统是的重要性、可靠性是最高的,需要运行在 0 特权;应用程序工作在最上层,来源广泛、可靠性最低,工作在 3 特权别。中间的1 和 2 两个特权别,一般很少使用。理论上来讲,可以把那些可靠性介于操作系统和应用程序之间的程序安排在这两个特权上。理解了这3个特权的保护规则,就理解了操作系统保护系统的终极密码!
ring3切换到ring0的代码
05-15
ring3切换到ring0的代码 从ring3切换到ring0的代码 从ring3切换到ring0的代码
CPU的Ring0-3
qq_42508901的博客
01-30 1130
Inter的CPU将等分为四个别:Ring0Ring1、Ring2、Ring3。Windows只是用其中的两个Ring0Ring3Ring0只给操作系统使用,Ring3谁都能用。如果普通应用程序企图执行Ring0指令,则windows会显示“非法指令”错误信息。 Ring0是指CPU的运行别,Ring0是最高别,Ring1次之,拿Linux来说,内核的代码运行在最高别的ring...
操作系统-特权
u013995395的博客
11-30 2538
linux系统中特权别分为0,1,2,3一共四个界别,0最大 ,3最小。一般内核代码运行在0特权,驱动 ,虚拟机等运行在1,2特权,而我们自己写的程序一般运行在3特权,也就是最低别。 我们自己写的程序其实是个半成品,一些基本的操作:文件读写等 都是通过系统调用(通过调用库函数,库函数封装的系统调用)来实现的,这些是运行在0特权别的内核代码,而我们自己的程...
Ring0Ring3权限
liujiayu2的专栏
05-27 5695
现在探讨内核程序和应用程序之间的本质区别。除了能用WDK编写内核程序和阅读一部分Windows的内核代码之外,我们还需要了解它们的本质是什么,它们和我们熟悉的应用程序有什么区别。   Intel的x86处理器是通过Ring别来进行访问控制的,别共分4层,从Ring0Ring3(后面简称R0、R1、R2、R3)。R0层拥有最高的权限,R3层拥有最低的权限。按照Intel原有的构想
特权1——RPL、DPL、CPL
XboxMicro
02-27 1564
保护模式中最重要的一个思想就是通过分把代码隔离了起来,不同的代码在不同的别,使大多数情况下都只和同代码发生关系。Intel的80286以上的cpu可以识別4个特权(或特权层) ,0到3。数值越大特权越小。一般用把系统内核放在0,系统的其他服务程序位于1、2,3则是应用软件。一般情况下代码都在自己的别下做自己的工作,同一别之间可以相互访问,而一般是不允许不同别的代码间随意访问
linux内联汇编获取ring0权限,[原创]ring0 head inline hook lib
weixin_36322984的博客
05-12 217
没啥子技术含量,参考了海风月影的ring3inline hook lib库,主要是简化你的编程工作量,有了此库,你不需要使用一大堆的内联汇编来写那个裸函数,也不需要为了堆栈破坏问题而蓝屏,目前只支持32系统……来看看到底挂钩一个函数有多简单!你可以专注的编写过滤逻辑而完全不需要理会挂钩过程typedef NTSTATUS ( __stdcall *DZwCreateFile)(PHANDLE ...
ring0驱动调用ring3应用程序 从RING0下启动RING3的应用程序源代码
01-22
操作系统的世界里,Ring0Ring3是处理器的特权别,它们定义了代码执行时的权限等Ring0通常代表最高别的权限,是操作系统内核的所在地,而Ring3则是用户模式应用程序运行的地方,拥有相对较低的权限。这篇...
ring3用户应用程序与ring0内核驱动程序之间的调用,通信.zip
01-25
在计算机系统中,Ring3Ring0是处理器的特权别,它们代表了不同的权限等Ring3是用户,而Ring0则是内核。在Windows操作系统中,大部分应用程序运行在Ring3,享受较低别的权限,以防止它们破坏系统的稳定...
r3_2_r0.rar_RING0 RING3_ring0_zw r0 r3 ho
09-23
而"r3_2_r0"很可能是一个源代码文件或者演示如何进行Ring3Ring0转换的二进制文件。 在实际操作中,从Ring3进入Ring0通常包括以下步骤: 1. **系统调用**:用户模式下的进程调用一个系统调用API,如`...
r3_to_r0.rar_from ring0 ring3_ring0_windows 内核
09-24
在计算机系统中,Ring 0 和 Ring 3 是处理器特权别的两种主要状态,它们与操作系统内核和用户程序的执行权限密切相关。Ring 0 代表最高别的特权,通常被操作系统核心使用,允许直接访问硬件资源和执行关键操作;...
RING0.zip_ring0_强制删除_文件强删_驱动删除_驱动强删
07-14
1. **Ring0别**:在x86架构的CPU中,保护模式下有四个特权环(Ring0Ring1、Ring2、Ring3),其中Ring0代表最高权限,它是操作系统核心和设备驱动程序运行的地方。在Ring0,程序可以直接访问硬件,执行任何操作,...
(vc++ 98版的 xp) C++如何实现ring0
10-20 533
offset SavedGate; movsd; movsd; } } void __fastcall TForm1::Button1Click(TObject *Sender) { GotoRing0(); } ebx; // 开始恢复原中断门 mov esi offset OurGate; movsd; movsd; int IntNo; mov edi ebx; mov esi
演示无驱动执行Ring0代码(C++) (转)
patrice的专栏
04-30 1381
/********************************************************************   程    序: 演示无驱动执行Ring0代码  创建时间:   作    者: Ring0Demo.c v1.0 by zzzEVAzzz   来    源:   目    的: 演示无驱动执行Ring0代码  原    理
特权--ring3ring0
guocaigao的专栏
01-15 1398
还记得吗?我们用调用门和lcall指令实现特权由低到高的转移. 假设我们想由代码A转移到代码B,运用一个调用门G,即调用门G中的目标选择子指向代码B的段。实际上我们要考虑4个要素:CPL、RPL、DPL_B(代码B的DPL)、DPL_G(调用门G的DPL)。 第一步,当A访问调用门G时,规则相当于访问一个数据段,要求CPL和RPL都小于或者等于DPL_G.也就是CPL和RPL需要在更高的特权
Ring3切换到Ring0的代码实现与分析
最新发布
weixin_35753431的博客
08-26 971
本文还有配套的精品资源,点击获取 简介:Ring3Ring0是处理器的特权别,定义了程序对系统资源的访问权限。从Ring3切换到Ring0是进行系统调用或驱动程序开发时的关键步骤。本课程设计项目提供了从Ring3切换到Ring0的代码实现,涵盖了中断、系统调用、特权检查、保护环结构、寄存器状态和返回机制等知识点。通过分析代码,学生将深入理解操作系统原理、内核编程和驱动开...
CPU的两种工作状态——系统态和用户态
热门推荐
weixin_43557723的博客
01-19 2万+
谈到CPU的这两个工作状态,也就是处理器的这两个工作状态,那我们有必要说一下为什么搞出这两个鬼玩意出来。 用过电脑的娃娃们肯定知道在一个系统中既有操作系统的程序,也由普通用户的程序。但那么多指令,可不是随便乱用的,有些指令只能由系统来使用,禁止用户程序去直接访问。为了保证操作系统和各个应用程序能够顺利运行,就必须对他们进行限制,否则的话就根本没有办法保证系统的安全性和稳定。 所以呢,根据运行程序对资源和机器指令的使用权限,把处理器设置为不同的状态。多数系统把处理器的工作状态分为管态和目态两种。也就是我们今天
专注于操作系统18之完整的特权转换
大道至简的专栏
03-08 1006
在上一篇文章中,我们已经能从ring0进入到ring3,在这里我们将再加上从ring3ring0。从ring3ring0这需要使用在第十四篇文章中提到的调用门来实现。即在进入ring3后,在使用调用门来调用ring0代码(注意当发生特权转换时,堆栈是发生了变化的,上一篇文章已说明从ring0ring3堆栈所发生的变化。当从ring3ring0时,ring0堆栈信息
WINDOWS2000/XP无驱动得到RING0权限
CharlesPrince的专栏
01-24 2906
大家知道,Windows NT/2000为实现其可靠性,严格将系统划分为内核模式与用户模 式,在i386系统中分别对应CPU的Ring0Ring3别。Ring0下,可以执行特权指令, 对任何I/O设备都有访问权等等。要实现从用户态进入核心态,即从Ring 3进入Ring 0必 须借助CPU的某种门机制,如中断门、调用门等。而Windows NT/2000提供用户态执行系 统服务(Ring 0
深入解析:Hyper-V内核通信与Ring 0到Ring-1攻击
Alex Ionescu的演讲将深入讨论从Ring 0(操作系统内核别)到Ring-1(低于内核别的特权)的攻击,这是非常关键的安全领域,因为Ring 0通常拥有系统的所有硬件访问权限,而Ring-1则涉及更底层的硬件控制。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值