1.2 window内核——代码跨段(Jmp和call指令对堆栈的操作)

最新推荐文章于 2023-02-20 17:09:13 发布
最新推荐文章于 2023-02-20 17:09:13 发布
阅读量867 收藏 1
点赞数
分类专栏: 笔记 windows内核 文章标签: windows xp 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kmic1/article/details/120649389
版权
本文详细介绍了在Windows内核中,JMP和CALL指令在代码跨段时的操作过程,包括权限检查、堆栈变化和段描述符加载。JMP指令不会影响堆栈,而CALL指令在跨段调用时涉及堆栈管理和权限切换。CALL FAR可以通过调用门实现权限提升。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

JMP指令

jmp 0x20:0x004183D7
调用时的步骤

  1. 拆分,将0x20拆分成b0010 000,RPL=0;TI=0;index=4
  2. 查找GDT,找到第五个段描述符;四种情况可以跳转:代码段、调用门、TSS任务段、任务门
  3. 权限检查,如果是非一致代码段,要求:CPL == DPL 并且 RPL <= DPL;如果是一致代码段,要求:CPL >= DPL(CPL由CS二进制位后两位决定)
  4. 加载段描述符通过上面的权限检查后,CPU会将段描述符加载到CS段寄存器中.
  5. 代码执行CPU将 CS.Base + Offset 的值写入EIP 然后执行CS:EIP处的代码,段间跳转结束.
    如果想在跳转回来还需要用jmp指令再跳转

对于一致代码段:也就是共享的段
□ 特权级高的程序不允许访问特权级低的数据:核心态不允许访问用户态的数据
□ 特权级低的程序可以访问到特权级高的数据,但特权级不会改变:用户态还是用户态
对于普通代码段:也就是非一致代码段
□ 只允许同级访问
□ 绝对禁止不同级别的访问:核心态不是用户态,用户态也不是核心态.
JMP并不影响堆栈

1、为了对数据进行保护,普通代码段是禁止不同级别进行访问的。用户态的代码不能访问内核的数据,同样,内核态的代码也不能访问用户态的数据.

2、如果想提供一些通用的功能,而且这些功能并不会破坏内核数据,那么可以选择一致代码段,这样低级别的程序可以在不提升CPL权限等级的情况下即可以访问.
3、如果想访问普通代码段ÿ

最低0.47元/天 解锁文章
Introductionto eBPF and BCC Creating powerful instrumentation
AI天才研究院
07-28 1084
eBPF(extended Berkeley Packet Filter)2012年提出的一种虚拟机,可以对Linux内核中的网络数据包进行高级过滤、修改、收集等操作,并且是安全且免费的。BCC(Berkeley Cloud Computing Compiler),是由该团队开发的一套工具链,用于编译、加载并运行eBPF程序。同时,Rust编程语言也成为容器编排领域的主要选择,很多公司在使用Rust开发容器云平台时都会用到这个工具。
操作系统】30天自制操作系统--(21)用C语言编写应用程序
sinat_33408502的博客
05-11 2863
本章的内容比较杂。首先构建了几个攻击程序,尝试破坏操作系统,并依据测试结果,强化操作系统保护机制的过程。其次描述了.hrb文件的开头结构,并依据改文件格式,来用C语言编写应用程序。最后还顺带提了一下创建显示窗口、以及绘制字符方块的API。 一 测试操作系统 几个测试,证明了某些情况下,异常保护的有效性: 【1】第一招,在定时器上做手脚。 但是实际操作系统会出现异常报错,原因在于当以应用程序模式运行时,执行 IN 或者 OUT 指令,都会产生一般保...
汇编语言jmpcall的区别
u013594976的专栏
10-31 7238
汇编语言jmpcall的区别
反汇编分析函数传参,调用,执行过程中堆栈变化。
zdy8023的博客
01-16 1015
eip保存的是将要执行的下条指令的地址 esp 顶指针 保存顶地址 ebp 底指针 保存底地址 push 2 : sub esp,4 mov dword ptr ss:[esp],2 执行完call 指令后有三处变化,说明我们上述分析没有错误。 push ebp :可...
windows编程修改IP(代码)
weixin_30409849的博客
04-22 111
Adapter.h #ifndef AdapterH #define AdapterH #include <vcl.h> #include <list> #include <Registry.hpp> #include <winsock2.h> #include <iphlpapi.h> #include "A...
2021.03.14】代码
oalken的博客
03-14 228
要点回顾 寄存器 ES、CS、SS、DS、FS、GS、LDTR、TR 寄存器读写 除CS外,其他的寄存器都可以通过:MOV、LES、LSS、LDS、LFS、LGS 指令进行修改。 CS为什么不可以直接修改? CS的改变意味着EIP的改变,改变CS的同时必须修改EIP,所以无法使用上面的指令来修改CS。 代码 本质就是修改CS寄存器。 代码间的跳转(内跳转,非调用门之类) 间跳转有2种情况,即要跳转的是一致代码还是非一致代码(如何区分请参见前文)。 同时修改CS与EIP
指令角度掌握函数调用堆栈的详细过程
C++开发
08-16 318
02指令角度掌握函数调用堆栈的详细过程
Intel base instruction -- 影响堆栈指令
xiaozhi
03-04 676
/* * 影响堆栈指令 */ push pop call,除了这三条,其它指令执行不影响堆栈
1.4 windows内核——中断门,陷阱门,任务门
kmic1的博客
10-13 660
TSS任务状态 一个内核一个,存在于内存中,不存在与cpu;可以让cpu同时执行多个任务。 进程A申请堆栈时要向TSS申请,申请时会有两个一个0环,一个3环的, 1.TSS结构 本质: 不要把TSS与“任务切换”联系到一起 TSS的意义就在于可以同时换掉”一堆”寄存器 寄存器有es,cs,ds,gs,idtr,tr 那么如何找到TSS,答案是tr 从GDT表中找到tr寄存器,selector记录着TSS描述符,base记录TSS表位置,limit记录TSS大小 2.tr寄存器 3. TSS
QEMU&KVM 虚拟机实例demo以及RISCV/x86上KVM的实现分析
tugouxp的专栏
05-02 3035
KVM通过一组IOCTL向用户空间导出接口,这些接口能够用于虚拟机的创建,虚拟机内存的设置,虚拟机VCPU的创建与运行等,按照接口所使用的文件描述符不同,KVM的这组IOCTL接口可以分为三类:0./dev/kvm节点对应全局kvmfd, 通过kvmfd创建每个虚拟机对应的vmfd, 再由vmfd为每个虚拟VCPU创建一个vcpufd,vcpufd通过vmfd暴露的接口获取。KVM全局管理用kvmfd,虚拟机管理用vmfd, vcpu运行用vcpufd. 内核对应三套chrdev的fops.
汇编中函数调用过程中,到底是怎样变化的?call、ret、指令分别有什么样的作用?
qq_45060471的博客
02-20 1999
汇编中函数调用过程中,到底是怎样变化的?call、ret、指令分别有什么样的作用?
JMP - 跳转
linuxheik的专栏
06-12 1540
JMP - 跳转 操作指令 说明 EB cb JMP rel8 相对短跳转,位移量相对于下一条指令 E9 cw JMP rel16 相对近跳转,位移量相对于下一条指令 E9 cd JMP rel32
汇编语言7之数据访问的基本问题以及div指令
yp010425的博客
08-13 772
bx,di,si,bp bx:常见的通用寄存器,默认基于数据偏移,[bx]将会在ds地址上偏移后然后寻址 disi:SI(source index)DI(destination index)是8086CPU中bx功能相近的寄存器,但是SIDI不能分成两个低位的寄存器,在处理内存中的数据的过程中,只能一次将两个字节放入寄存器中 bp:(base pointer)功能bx一致,但是[bp]默认是基于ss上的偏移后寻址,sp一样 在[…]中,只能是这四个寄存器或者这四个寄存器的特定组合,这些组合只
, 跳转,执行,返回:从汇编看函数调用
u014426028的博客
03-04 1044
https://www.jianshu.com/p/594357dff57e 从本篇开始,我们讨论一些高级语言中的基础设施:堆栈,函数调用,变量生命周期等等话题。因为这里本身会涉及到比较多的汇编层面的基础概念。为了向大家说明汇编层的函数调用实现细节,无奈我只能罗列出很多汇编上的概念,因为本文假定读者不需要具有任何汇编知识。我讨厌长篇大论,但本篇的解释可能仍然不够明晰。在此为自己知识的浅薄表示歉意。 1.代码的顺序执行说起 每一个程序员脑子里应该都有这么一种印象:“程序是顺序执行的”。这个观点其实
[汇编]汇编学习笔记(1):push,pop,calljmp,retn
学习之路
08-16 5624
不知道为啥,学啥后面都会碰到汇编指令( ̄Д  ̄)┍,看书学习DirectX引擎开发(才第4章)也要碰到,怒了,开始刚汇编,记录一些学习上的问题,好回头看看。ESP:指针寄存器(extended stack pointer),永远指向系统最上面一个帧的顶 EIP:指令寄存器,存放当前指令的下一条指令的地址(就是CPU从这边开始执行) push指令:把值中,ESP...
使用Windows的任务计划程序 自动运行脚本设置
duhaomin的专栏
11-25 3803
有时候我们需要将一些脚本定时运行,比如每天的特定时间都让它运行,那么最简单的方法是使用windows提供的任务计划程序库,简单描述使用: 在Windows 7 上:我的电脑---右键-----管理------系统工具----任务计划程序: 最右边的操作选项中单击选择‘创建基本任务’,在创建任务的名称中随意填写,主要填写比较直观的功能名字,“下一步”,可以根据需要设置“每天,每周,每月”等等,之
自动化脚本任务计划程序(Windows
NoteDing
03-22 6565
任务计划程序(Windows) 我们使用对CSV 文件、Excel 文件数据库中的数据进行处理。 命令行中的脚本都是通过手动运行的,就像这样: python python_script.py input_file.txt output_file.csv 这是一种最常见的运行脚本的方法,也是完全可以接受的,但是,当你需要定期运行脚本时,应该怎么办呢?如果没有别的运行脚本的方法,那么就需要你时刻记住要在某个时间 使用命令行运行脚本。显然,这不是定期运行脚本的最优方法。在这种情况下,就需要另 外一种方法,来按
(3) [保护模式]代码跳转 (jmp far)
qq_50332504的博客
02-25 2222
使用jmp far修改CS寄存器的值 ES, SS, DS, FS, GS, LDTR, GDTR, IDTR, TR都可以通过一些指令来直接修改其值,但唯独CS寄存器不行。本文将说明CS如何 使用jmp far指令 修改CS寄存器的值,以及一些jmp far指令的小细节
JMP/CALL指令的寻址方式
最新发布
04-03
<think>好的,我现在需要帮用户介绍JMPCALL指令的寻址方式。首先,用户之前问过输入输出指令的寻址方法,现在转向转移指令,说明他可能在学习汇编或计算机体系结构,需要理解不同指令的寻址方式。 首先,我要回忆JMPCALL指令的基本作用。JMP是无条件跳转,而CALL用于调用子程序,会保存返回地址。两者的寻址方式可能有相似之处,但CALL还需要处理返回地址的。 接下来,寻址方式有哪些呢?常见的包括立即数寻址、寄存器寻址、直接内存寻址、间接内存寻址,以及相对寻址。需要区分这些方式在JMPCALL中的应用。 比如,立即数寻址是直接在指令中给出目标地址,如JMP 0x1234。寄存器寻址则是目标地址存储在寄存器中,比如JMP EAX。直接内存寻址是跳转到某个内存地址中的值,比如JMP [0x5678]。间接可能涉及寄存器加偏移,比如JMP [EAX+4]。相对寻址是基于当前IP的偏移量,这在短跳转中常见,比如JMP SHORT label。 需要考虑不同架构的差异,比如x86ARM的区别。用户之前提到x86的例子,所以可能更关注x86架构。同时,CALL指令在跳转时会将返回地址,所以需要说明这一点对寻址的影响。 还要注意保护模式下的权限检查,比如间跳转需要检查权限描述符,这可能属于系统级的内容,但用户可能需要了解。 需要结构化回答,可能分为JMPCALL两部分,或者按寻址方式分类。之前用户的问题回答用了分点,所以保持结构清晰,用标题子标题组织内容。 需要举例子,比如汇编代码,说明不同寻址方式的具体用法。比如立即数的例子,相对偏移的例子,间接寻址的例子等。 同时,比较不同寻址方式的优缺点,比如立即数的限制,相对寻址的灵活性,间接寻址的动态性等。 可能还需要提到扩展寻址方式,比如x86的远跳转(近跳转(内),以及保护模式下的门调用等高级内容,但根据用户需求,可能需要保持基础,避免过于复杂。 最后,总结对比,帮助用户理解不同方式的应用场景,比如代码重定位使用相对寻址,动态跳转使用寄存器或间接内存寻址等。 需要确保术语准确,比如EIP、IP、RIP在x86不同模式下的使用,以及操作数大小的区别,比如16位、32位、64位模式下的不同行为。 检查是否有遗漏的寻址方式,比如基址变址寻址是否适用于JMP/CALL,或者是否有其他特定架构的寻址方式需要提及。 最后,确保用中文,使用LaTeX格式的数学符号,如寄存器名用$EAX$,地址用$0x1234$,代码块用反引号,保持回答结构清晰,帮助用户逐步理解。</think>以下是**JMP(跳转)****CALL(调用)**指令的寻址方式详解,以x86架构为例: --- ### **1. JMP指令的寻址方式** **JMP**用于无条件跳转到目标地址,其寻址方式直接影响程序执行流的切换。主要分为以下几类: #### **(1) 立即数寻址(直接跳转)** - **特点**:目标地址直接编码在指令中。 - **语法**: ```assembly JMP 0x1234 ; 跳转到绝对地址0x1234(16位模式) JMP 0x00123456 ; 跳转到绝对地址0x00123456(32位模式) ``` **地址计算**:目标地址由指令中的立即数直接给出(如$0x1234$)。 - **应用场景**:静态跳转(如固定分支)。 --- #### **(2) 寄存器寻址** - **特点**:目标地址存储在寄存器中。 - **语法**: ```assembly MOV EAX, 0x400000 JMP EAX ; 跳转到EAX中的地址 ``` **地址计算**:目标地址由寄存器值(如$EAX$)直接决定。 - **应用场景**:动态跳转(如函数指针调用)。 --- #### **(3) 内存间接寻址** - **特点**:目标地址存储在内存单元中。 - **语法**: ```assembly JMP [0x5000] ; 跳转到地址0x5000处存储的值(如[0x5000]=0x2000) JMP DWORD PTR [EBX] ; 32位模式下,跳转到EBX指向的地址 ``` **地址计算**:从内存地址中读取目标地址(如$[EBX]$)。 - **应用场景**:跳转表、多级间接跳转。 --- #### **(4) 相对寻址** - **特点**:目标地址基于当前指令指针(EIP/IP)的偏移量。 - **语法**: ```assembly JMP SHORT label ; 短跳转(-128到+127字节偏移) JMP NEAR PTR label; 近跳转(32位偏移) ``` **地址计算**:目标地址 = 当前EIP + 偏移量(如$EIP + 0x12$)。 - **应用场景**:代码重定位、条件分支(如循环)。 --- ### **2. CALL指令的寻址方式** **CALL**用于调用子程序(函数),其寻址方式与JMP类似,但需额外保存返回地址()。主要类型如下: #### **(1) 直接调用(立即数/标号)** - **特点**:目标地址直接指定。 - **语法**: ```assembly CALL 0x3000 ; 调用地址0x3000处的函数 CALL my_function ; 调用标号my_function对应的函数 ``` **地址计算**:与JMP立即数寻址相同。 --- #### **(2) 寄存器间接调用** - **特点**:目标地址存储在寄存器中。 - **语法**: ```assembly MOV EBX, my_function CALL EBX ; 调用EBX中的地址 ``` **地址计算**:寄存器值直接作为目标地址。 --- #### **(3) 内存间接调用** - **特点**:目标地址存储在内存中。 - **语法**: ```assembly CALL DWORD PTR [0x8000] ; 调用地址0x8000处存储的函数地址 CALL [EDI + 4] ; 调用EDI+4指向的函数 ``` **地址计算**:从内存中读取目标地址(如$[EDI+4]$)。 --- #### **(4) 相对调用** - **特点**:基于当前EIP的偏移量跳转。 - **语法**: ```assembly CALL NEAR PTR sub_routine ; 32位相对偏移 ``` **地址计算**:目标地址 = 当前EIP + 偏移量。 --- ### **3. 扩展寻址模式** #### **(1) 间跳转(Far JMP/CALL)** - **特点**:代码跳转(需指定选择子偏移)。 - **语法**: ```assembly JMP 0x08:0x00100000 ; 跳转到选择子0x08,偏移0x00100000 CALL FAR [EBX] ; 调用远地址(EBX指向48位地址:16位+32位偏移) ``` **地址计算**:目标地址 = 基址 + 偏移量。 - **应用场景**:操作系统内核、保护模式切换。 --- ### **4. 对比总结** | 寻址方式 | JMP示例 | CALL示例 | 特点 | |-----------------|-------------------------|-------------------------|--------------------------| | **立即数寻址** | `JMP 0x1234` | `CALL 0x3000` | 静态地址,直接编码 | | **寄存器寻址** | `JMP EAX` | `CALL EBX` | 动态跳转,灵活性高 | | **内存间接寻址**| `JMP [0x5000]` | `CALL [EDI+4]` | 支持跳转表、多级调用 | | **相对寻址** | `JMP SHORT label` | `CALL NEAR sub_routine` | 与位置无关代码(PIC)兼容 | | **间跳转** | `JMP 0x08:0x00100000` | `CALL FAR [EBX]` | 执行,保护模式专用 | --- ### **关键区别** 1. **返回地址保存**: - CALL指令自动将返回地址JMP不保存返回地址。 2. **权限检查**: - 间跳转需检查目标权限(如DPL),防止非法访问。 3. **操作数大小**: - 32位模式下默认使用32位偏移,64位模式下支持RIP相对寻址。 --- ### **实际应用** - **动态函数调用**:通过寄存器或内存间接寻址实现多态(如C++虚函数)。 - **系统调用**:CALL指令结合中断门或系统调用门(如`INT 0x80`)。 - **代码注入**:修改内存中的跳转地址(如Hook技术)。 通过灵活组合寻址方式,JMP/CALL指令可实现复杂的程序流控制,是理解程序执行逻辑的核心基础。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值