【2021.03.21】调用门:下

最新推荐文章于 2022-02-06 19:54:05 发布
最新推荐文章于 2022-02-06 19:54:05 发布
阅读量463 收藏
点赞数
分类专栏: Windows内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18120361/article/details/115056757
版权

要点回顾

前文提到了调用门的执行过程,那么本篇文章就一起来了解一下:调用门的参数传递

代码回顾

void __declspec(naked) GetRegister()
{
    __asm
    {
        pushad
        pushfd
 
        mov eax,0x8003f00c    //读取高2G内存
        mov ebx,[eax]
        mov dwH2GValue,ebx
        sgdt GDT;             //读取GDT
 
        popfd
        popad
 
        retf                  //注意返回, 不能是ret
    }
}

上面的代码在前文中出现过,通过调用门提升到了0环权限后执行。

真正起作用的是 mov eax,0x8003f00c、mov ebx,[eax]、mov dwH2GValue,ebx、sgdt GDT。

其中 sgdt GDT的sgdt并不是读取GDT表,而是读取GDTR这个寄存器。

SGDT这个指令通常是给操作系统软件使用的,但是如果要在应用层去使用它,也不会导致异常。

也就是说 sgdt GDT 这条代码在3环没有提权的情况下也是可以使用的。

调用门描述符

前文提到过调用门的门描述符S位必须为0,当它为0的时候才能说明是一个系统段描述符,而不是代码段/数据段描述符,且TYPE位为1100才是一个调用门。

构造有参数的调用门门描述符

0040EC03`00081030:3个参数。

kd> eq 8003f048 0040EC03`00081030

代码论证

#include "stdafx.h"
#include <windows.h>

DWORD x;
DWORD y;
DWORD z;

void __declspec(naked) GateProc()
{
    __asm
    {
        pushad
        pushfd

        //以下是读取参数并赋值给全局变量

        mov eax,[esp+0x24+0x8+0x8]
        mov dword ptr ds:[x],eax
        mov eax,[esp+0x24+0x8+0x4]
        mov dword ptr ds:[y],eax
        mov eax,[esp+0x24+0x8+0x0]
        mov dword ptr ds:[z],eax

        //以上是读取参数并赋值给全局变量

        popfd
        popad

        retf 0xC                //注意堆栈平衡, 写错直接蓝屏
    }
}

void PrintRegister()
{
    //打印确认参数是否正确
    printf("%x %x %x\n",x,y,z);
}

int main()
{
    char buff[6];

    *(DWORD*)&buff[0] = 0x12345678;
    *(WORD*)&buff[6] = 0x48;

    __asm
    {
        push 1
        push 2
        push 3

        call fword ptr[buff]
    }

    PrintRegister();

    getchar();

    return 0;
}

注意:当使用有参数的调用门,参数是需要自己压栈的,如代码中压入了1、2、3,然后才调用。

总结

  1. 当通过调用门,权限不变的时候,会 PUSH 两个值:CS返回地址。新的CS的值由调用门决定。
  2. 当通过调用门,权限改变的时候,会 PUSH 四个值:SS(原来的堆栈段选择子)ESP(原来的栈顶)CS(原来的段选择子)返回地址。新的CS的值由调用门决定,新的SS和ESP由TSS提供。
  3. 通过调用门调用时,要执行哪行代码由调用门决定,但使用 RETF 返回时,由堆栈中压入的值决定。也就是说:进入时只能按照固定路线行动,离开时可以翻墙(只要改变堆栈里面的值就可以前往任意地方)。
  4. 可不可以再建立一个门出去呢?也就是使用 CALL。答案是可以,前门进后门出。

思考

思考一:

代码论证中的代码 pushad、pushfd、popad、popfd有必要吗?

思考二:

代码论证中的以下代码中标红的部分读取参数为什么要这么写呢?

mov eax,[esp+0x24+0x8+0x8]
mov dword ptr ds:[x],eax
mov eax,[esp+0x24+0x8+0x4]
mov dword ptr ds:[y],eax
mov eax,[esp+0x24+0x8+0x0]
mov dword ptr ds:[z],eax

oalken
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
汇编语言of常用指令
做一个快乐学习者
10-22 2399
dst:目的操作符           src:源操作符   str dst,把任务状态段寄存器tr内容保存到dst指定的地址中。 ltr src,从src指定的地址中装入数据给任务状态段寄存器tr。 sldt dst,把局部描述符表寄存器ldtr内容保存到dst指定地址中。 lldt src,从src指定地址中装入数据给局部描述符表寄存器ldtr。 sidt dst,把中断描述符表寄...
ideaIU-2021.1.3.zip
03-23
标题 "ideaIU-2021.1.3.zip" 暗示了这是一个与IntelliJ IDEA相关的软件包,具体来说是版本2021.1.3的更新。IntelliJ IDEA是一款由JetBrains公司开发的集成开发环境(IDE),尤其适用于Java编程语言,同时也支持其他...
段、GDT、调用学习笔记
qq_18811919的博客
02-06 2060
保护模式 什么是保护模式 x86 CPU的3个模式:实模式、保护模式、虚拟8086模式。 AMD64与Intel64 AMD在1999年的时候拓展了这套指令集,成为x86-64后改名叫AMD64,AMD是首先开发了64拓展,但是AMD的 64位拓展并不支持32位,后来Intel也开发了64位拓展成为Intel64并首先做到了向下兼容32位。 保护的特点 段的机制、页的机制,段页机制主要是为了保护操作系统的数据结构,比如保护系统的GDT表和IDT表,关键寄存器比如CR0寄存器 段寄存器结构 什么是段寄存
大话Linux操作系统
职场里拉开差距的不是知识,而是认知!
03-30 2167
本文将对Intel 32位系统架构中涉及的一些最基本的概念做概要介绍,在以后的博文中做具体阐述。如图1为Intel 32位系统架构总览。 图1 系统架构总览 全局描述符表(GDT)和局部描述符表(LDT)        在保护模式下,所有内存访问都是通过全局描述符表(Global Descriptor Tables)或者局部描述符表(LocalDescrip
x86/x86_64 CPU内存管理寄存器
FreeWind(风的自由)的专栏
12-02 1048
x86/x86_64处理器提供了4个内存管理寄存器(Memory ManagementRegisters):GDTR、LDTR、IDTR和TR。如下图所示。   Global Descriptor Table Register(GDTR) GDTR寄存器保存GDT的基址和表限(table limit)。基址是GDT的第一个字节的地址,表限(table limi
intel指令的变化(SGDT / SIDT)
weixin_34184158的博客
08-26 2617
2019独角兽企业重金招聘Python工程师标准>>> ...
springcloud - 2021.0.3版本 - (一)服务注册nacos+feign
02-13
在本教程中,我们将深入探讨如何使用Spring Cloud的2021.0.3版本,集成Nacos作为服务注册中心,并实现Feign客户端调用。Spring Cloud是一个强大的框架,用于构建分布式系统,如微服务架构,而Nacos是阿里巴巴开源的...
NGUI Next-Gen UI v2021.9.10b.unitypackage
09-26
文件大小:13.5 MB 最新版本:2021.9.10b 最新发布日期:2021年9月12日 支持Unity版本:2020.3.18或更高 NGUI 是一款非常强大的 ...- 制作进行 1 次绘制调用的 UI - 随附完整的 C# 源代码 - 已广泛优化 - 专团队支持
三步搞定:Vue.js调用Android原生操作
11-19
第一步: Android对Js的接口,新建AndroidInterfaceForJs.js import android.content.Context; import android.os.Build; import android.os.Handler; import android.os.Looper; import android.support....
Python库 | crystal_toolkit-2021.10.21.tar.gz
05-14
资源分类:Python库 所属语言:Python 资源全名:crystal_toolkit-2021.10.21.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
10-调用(有参)实验
进击的小学生
09-14 2513
编写R0函数int g_a, g_b, g_c; __declspec(naked) void getParam(int a, int b, int c) { __asm { // int 3 // 取消注释可以在WinDbg中看R0栈数据 pushad // 0x20 B pushfd // 0x04 B //
自己动手写操作系统 ----总计
qq_43840665的博客
01-23 6876
2021.1.23 开始写操作系统,参考书《ORANGE’S:一个操作系统的实现》 好奇心是动力的源泉,追究问题的本质是优秀黑客的必备素质,只有充分掌握了系统原理,才能在技术上游刃有余,才能有真正的创新和发展。中国需要更多真正的黑客,也希望更多的程序员能享受属于黑客的创造乐趣。 实践–遇到问题–解决问题–再实践 NASM 2.12.02稳定版下载 2017年,软盘已经退出历史舞台。 而且rawrite软件已经不能在win10.0.14393这样的64系统上运行了。 经过考量,作者决定选用WinHex18
操作系统真象还原实验记录之实验七:加载内核
mxy990811的博客
04-18 1556
操作系统真象还原实验记录之实验七:加载内核 对应书P207 1.相关基础知识总结 1.1 elf格式 1.1.1 c程序如何转化成elf格式 写好main.c的源程序 //main.c int main(void) { while(1); return; } 使用命令 gcc -c -o main.o main.c && ld main.o -Ttext 0xc0001500 -e main -o kernel.bin gcc会自动将main.c转化成具有elf格式的kernel.b
Windows保护模式学习笔记(三)—— 长调用/短调用/调用
qq_41988448的博客
10-17 3257
Windows保护模式学习笔记(三)—— 长调用与短调用前言要点回顾一、短调用二、长调用(跨段不提权) 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 要点回顾 通过JMP FAR可以实现段间的跳转,如果要实现跨段的调用就必须要学习CALL FAR,也就是长调用 CALL FAR 比JMP FAR要复杂,JMP并不影响堆栈,但CALL指...
intel汇编指令
热门推荐
B_H_L的专栏
03-26 1万+
反汇编引擎的目的就是要把机器码翻译成汇编语言的格式,主要的汇编格式有Intel格式、AT&T格式,一般在window环境中使用的大多数都是intel格式的汇编语言。这里从官方手册的介绍中总体介绍这两部分的内容,只有知道机器码的格式,汇编指令的格式,才能在其上架起一座桥梁汇编或反汇编。这里我们习惯称汇编指令为Intruction operand,而称机器码为Intruction Opcode。
理解GDT全局描述符的作用
aisikaov5的专栏
12-03 4327
转载:http://www.techbulo.com/708.html 一、引入 保护模式下的段寄存器 由 16位的选择器 与 64位的段描述符寄存器 构成 段描述符寄存器: 存储段描述符 选择器:存储段描述符的索引 段寄存器 PS:原先实模式下的各个段寄存器作为保护模式下的段选择器,80486中有6个(即CS,SS,DS,ES,FS,GS)80
常见的系统指令
csdnofhaner的博客
01-25 2176
常见的系统指令 系统指令大概可以用于实现下来功能: 清爽版传送 指针参数验证 Verification of pointer parameters 描述符表寻址 Addressing descriptor tables 多任务处理 Multitasking 协同处理和多任务处理 Coprocessing &amp; Multiprocessing 输入输出 Input&amp;Output 中...
一些比较不常见的 汇编指令记录
zhangji
12-22 871
汇编指令 demo1 int register_syscall() { asm( &amp;amp;amp;amp;amp;amp;quot;xor rax, rax;&amp;amp;amp;amp;amp;amp;quot; &amp;amp;amp;amp;amp;amp;quot;mov rdx, 0x00200008;&amp;amp;amp;amp;amp;amp;quot; &amp;amp;amp;amp;amp;amp;q
D:\HeimaIT\Programme\java\bin\java.exe "-javaagent:D:\heima\IntelliJ IDEA 2021.2.1\lib\idea_rt.jar=62349:D:\heima\IntelliJ IDEA 2021.2.1\bin" -Dfile.encoding=UTF-8 -classpath D:\HeimaIT\OtherData\lycode\javaee\out\production\MyFile-IO homework.Demo8 Exception in thread "main" java.lang.NullPointerException at homework.Demo8.serachFile(Demo8.java:35) at homework.Demo8.serachFile(Demo8.java:37) at homework.Demo8.serachFile(Demo8.java:37) at homework.Demo8.main(Demo8.java:19)
最新发布
06-06
这段代码运行时发生了`NullPointerException`异常,该异常通常表示尝试使用空对象的属性或方法。根据错误信息可以看出,异常发生在`Demo8`类的`serachFile()`方法的第35行,也就是说在访问某个对象的属性或方法时,该对象为空。可能是在遍历文件夹时,某个子文件夹的引用为空,导致了空指针异常。可以在代码中加入空判断来避免该异常。另外,在递归调用自己的时候,应该传入子文件夹的引用,而不是传入文件的引用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值