【保护模式】任务段实验

最新推荐文章于 2023-02-24 15:43:25 发布
最新推荐文章于 2023-02-24 15:43:25 发布
阅读量254 收藏
点赞数
分类专栏: 保护模式 文章标签: c语言 c++ visual studio
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15900895/article/details/123151734
版权
这篇博客详细介绍了如何在Windows环境下,通过定义和加载TSS(任务状态段)来实现代码注入。作者首先定义了一个函数并跳转到该函数,然后构造TSS结构,设置CR3值,接着创建TSS描述符,并修改GDT表。最终,通过加载TR寄存器实现了代码执行。整个过程涉及到了操作系统内核、内存管理和中断处理等概念。
摘要由CSDN通过智能技术生成

实验

加载自定义TSS

先定义104个字节,代码如下:

// KernalTest.cpp : Defines the entry point for the console application.
//代码借鉴了https://blog.csdn.net/Kwansy/article/details/108896989
#include "stdafx.h"
#include <Windows.h>


DWORD dwOK;
DWORD dwESP;
DWORD dwCS;
char trs[6]={0};
void __declspec(naked) func()
{
	dwOK = 1;
	__asm
	{
		//jmp回去
		jmp fword ptr trs;
		
		//call回去
		/*
		
			pushfd
			int 3 //此处int3会将nt位置1,不会通过link,因此提前保存eflag,返回之前还原nt位
			mov eax,esp
			mov dwESP,eax
			mov ax,cs
			mov word ptr [dwCS],ax
			popfd
			iretd*/
			
			
	}
}

int main(int argc, char* argv[])
{
	char bu[0x10];  //12ff70
	int iCr3;
	
	printf("input CR3:\n");
	scanf("%x", &iCr3);
	
	DWORD iTss[0x68] = {
		0x00000000,		//link
			0x00000000,		//esp0		//(DWORD)bu
			0x00000000,		//ss0
			0x00000000,		//esp1
			0x00000000,		//ss1
			0x00000000,		//esp2
			0x00000000,		//ss2
			(DWORD)iCr3,	//cr3
			0x00401120,		//eip
			0x00000000,		//eflags
			0x00000000,		//eax
			0x00000000,		//ecx
			0x00000000,		//edx
			0x00000000,		//ebx
			(DWORD)bu,		//esp
			0x00000000,		//ebp
			0x00000000,		//esi
			0x00000000,		//edi
			0x00000023,		//es
			0x00000008,		//cs		0x0000001B
			0x00000010,		//ss		0x00000023
			0x00000023,		//ds
			0x00000030,		//fs
			0x00000000,		//gs
			0x00000000,		//dit
			0x20ac0000
	};
		
		char buff[6];
		
		*(DWORD*)&buff[0] = 0x12345678;
		*(WORD*)&buff[4] = 0xC0;

		 WORD rs=0;
		
		__asm
		{
			str ax;
			mov rs,ax;
		}

		*(WORD*)&trs[4]= rs;

		__asm
		{
			jmp fword ptr buff;
			//call fword ptr[buff]
		}
		
		printf("ok=%d \t ESP=%x \t CS=%x \n", dwOK, dwESP, dwCS);
		getchar();
		return 0;
}

反汇编查看func函数地址:
在这里插入图片描述然后修改iTss结构中的eip,在获取iTss的地址:0012FDCC
在这里插入图片描述

构造TSS段描述符

在这里插入图片描述

					Offset in Segment 31:16 = 0x0000		//
					  G = 0
					AVL = 0
				  Limit = 二进制:0000
				  	  P = 1
				  	DPL = 二进制:11
	   			   Type = 二进制:1001
	   	         Segment Limit = 0068		// 104的十六进制  0x68
                Offset in Segment 15:00 = 0x0000		// 暂定

构造出TSS描述符为:0000E900 00000068,然后替换base 后结果为0000E912 FDCC0068,然后修改gdt表

eq gdtr+0xc0 0000E912`FDCC0068
dq  gdtr+0xc0

在这里插入图片描述当TR寄存器加载时候就会到0012FDCC中寻找TSS,在windg中获取CR3的值:
在这里插入图片描述
然后根据对应的进程名获取DirBase的值,0aac02a0,这个就是CR3的值,输入时候前面0不需要 不然系统会崩溃

在这里插入图片描述

运行程序

在这里插入图片描述然后查看TR寄存器:
在这里插入图片描述
base已经被改变,再查看TSS
在这里插入图片描述

Lovecppp
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实验9 保护模式编程基础
xu的blog
06-08 3349
导读:   新一篇: 实验10 硬盘DMA编程   实验9 保护模式编程基础   在保护模式下,可寻址高达4GB(甚至更多)的物理地址空间;支持存储器分管理机制和分页管理机制;支持多任务;支持4个特权级和配套的特权检查机制,区分不同级别的代码。操作系统(如Windows、Linux等)正是依赖于这些特性来实现虚拟内存、内核/用户模式、多任务等功能。   9.1 虚拟机开发环境   实模式
滴水逆向保护模式
若面朝大海边竹妮春暖花开的博客
11-09 1009
寄存器结构 寄存器共有96位,可见的只有16位,读取时也只能读取16位
保护模式实验
Always look out for number one.
12-08 1337
1、在中国dos联盟上下载 dos7.1的ISO映像文件。2、在VPC上创建一个dos的操作系统。3、启动VPC,挂载dos7.1的ISO映像文件。4、重启dos,因为优先从光盘启动,所以就可以进入dos7.1的ISO映像文件,并进入安装程序。5、按照提示安装dos7.1,安装完毕后运行进入保护模式的com文件,发现错误。证实dos7.1有保护功能。6、重启dos,还是从IS
[保护模式]任务
鬼手的博客
12-04 652
文章目录TSS什么是TSSTSS的作用如何找到TSSTR寄存器读写将TSS描述符加载到TR寄存器构造TSS描述符修改TSSJMP 访问代码JMP 访问任务JMP FAR和CALL FAR访问任务的区别TSS切换实验示例代码构造描述符填充CR3 TSS 什么是TSS TSS是一块内存,大小为104字节,结构如图所示: 结构体如下: typedef struct TSS { DWORD...
16-任务实验
进击的小学生
09-25 2021
在第11篇《TSS切换实验》中,我们已经完成了使用 call 模拟了 TSS 的第二个功能——替换一堆寄存器。上一篇中,提到了任务门同样可以完成这个功能。本节主要通过设计任务门描述符以及INT指令来完成TSS的第二个功能。思路 编写测试入口函数,把它的函数入口地址填写到 TSS 中 构造 TSS 设计 TSS 描述符,安装到 GDT 表 设计任务门,安装到 IDT 表 编写主函数,使用 IN
Windows保护模式学习笔记(五)—— 任务&任务
qq_41988448的博客
10-18 2344
Windows保护模式学习笔记(五)—— TSS/TR寄存器/TSS描述符前言要点回顾TSSTR寄存器TR寄存器的读写TSS描述符实验:加载自定义TSS 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 要点回顾 在调用门、中断门与陷阱门中,一旦出现权限切换,那么就会有堆栈的切换;而且,由于CS的CPL发生改变,也导致了SS也...
x86汇编语言从实模式到保护模式 书+源代码+调试工具教程
12-15
实模式是8088/8086处理器的初始工作模式,它提供了对内存的直接访问,而保护模式则是自80286处理器开始引入的一种更安全、功能更强大的模式,允许操作系统进行内存管理和任务隔离。 在实模式下,CPU的地址线直接...
V5-404_RTX实验_任务运行在用户模式(非特权级).7z
04-02
1. 创建用户模式任务:编写在用户模式下运行的函数,这些函数不能直接操作硬件。 2. 配置RTOS:设置任务优先级,调度策略等。 3. 实现系统调用:为用户模式任务提供一个安全的方式去请求内核服务。 4. 测试和调试:...
x86汇编语言-从实模式到保护模式源码及工具
11-04
《x86汇编语言-从实模式到保护模式源码及工具》是一...通过阅读源码、动手实验,你可以逐步掌握从实模式到保护模式的转换,理解汇编语言在构建操作系统和系统级程序中的应用,提升自己的编程技能和对计算机系统的理解。
保护模式(六)任务任务
weixin_37673331的博客
02-15 757
Windows保护模式学习笔记(五)—— 任务&任务门 原创 ...
Dataguard的三种保护模式实验
zhzhwz的博客
03-29 652
Dataguard的三种保护模式实验 Data Guard是Oracle高可用性HA的重要解决方案。针对不同的系统保护需求,DG提供了三种不同类型的保护模式(Protection Mode),分别为:最大保护(Maximum Protection)、最大可用(MaximumAvailability)和最大性能(Maximum performance)。在实际应用场景下,我们需要根据不同的业务场景和...
保护模式实验环境搭建
Hello FishSalter
01-25 414
我的工作环境在ubuntu下,所以搭建环境比较方便 nasmsudo apt-get install nasm bochs 直接从源里安装的bochs是没有调试模式的,所以需要自己编译./configure --enable-debugger --enable-disasm make sudo make install暂时只需要这两个就行了. 在bochs官网下一个freedos.img 用bxi
操作系统真象还原实验记录之实验四:第一次进入保护模式
mxy990811的博客
04-15 1057
操作系统真象还原实验记录之实验四:保护模式 一.相关基础知识 1.描述符 GDT LDT GDTR LDTR 选择子 1.1 描述符: 1.2 GDTR:指令格式:lgdt 48位内存数据。 GDTR记录GDT内存起始地址 1.3 LDTR: 指令格式:lldt 16位寄存器/16位内存数据 表示将某个16位寄存器数据或者16位内存数据放入LDTR寄存器。LDTR只有16位,并不能记录LDT的内存起始地址,所以LDTR充当选择子作用。LDT的内存起始地址在位于GDT的描述符中,LDTR用于索引
(8) [保护模式]任务
qq_50332504的博客
04-16 291
任务门描述符 简单的任务门小实验,全篇带图
任务(TSS)
qq_41490873的博客
05-02 1233
TSS TSS是一块内存,里面包括了任务切换需要的所有寄存器的值。 大小是104字节 TR TR寄存器,该寄存器里面存的是TSS描述符的选择子。 TSS描述符 GDT表中的一个8字节的描述符,类型是TSS ...
【2021.03.24】任务
oalken的博客
03-24 580
要点回顾 前文中讲解了如何通过CALL、JMP指令访问任务。 本文主要介绍如何通过任务门访问任务。 既然已经可以通过JMP、CALL访问任务了,那么为什么还要有任务门呢? IDT(中断描述符表) IDT表可以包含3种门描述符: 任务门描述符。 中断门描述符。 陷阱门描述符。 任务门描述符 注意: TYPE位现在应该是5(任务门)。前文提过,当为9或B的时候代表什么。 低4字节16-31位存储的是一个TSS的描述符选择子。既不是地址也不是偏移,而是TSS的描述符。 任
使用ZwLoadDriver加载驱动
xuplus的专栏
04-21 3877
#include #include typedef struct _LSA_UNICODE_STRING {    USHORT Length;    USHORT MaximumLength;    PVOID Buffer;} LSA_UNICODE_STRING, *PLSA_UNICODE_STRING; typedef LSA_UNICODE_STRING UNICODE_STRING,
加载windows驱动的几种方式
最新发布
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
02-24 1011
windows api加载驱动的几种方式:
13-任务状态(TSS)
热门推荐
进击的小学生
09-24 1万+
任务状态不要被名字所吓倒,它不过是一块位于内存中的结构体而已。有一点需要注意的是,不要把它和任务切换关联起来(切记),否则你会被搞晕,它只是位于内存中的一数据。Intel 白皮书给出TSS在内存中的图是这样的,它保存了一些重要的值。 抽象成结构体就是下面这个样子。struct TSS { DWORD link, // 保存前一个 TSS 选择子,使用 call 指令切换寄
JOS操作系统实验:从启动到实模式与保护模式
保护模式则引入了内存保护和多任务处理,允许操作系统更好地管理资源和安全性。 3. **ELF文件格式**:Executable and Linkable Format (ELF) 是Unix系统及其类似系统如Linux中常见的可执行文件和共享库的格式。在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值