26-代码跨段跳转

最新推荐文章于 2022-07-07 09:55:25 发布
最新推荐文章于 2022-07-07 09:55:25 发布
阅读量834 收藏
点赞数
分类专栏: 汇编修炼心法 文章标签: 段描述符 保护模式 段选择子 寄存器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35733751/article/details/92159229
版权

1. 什么是代码跨段

简单来讲,代码跨段本质上就是修改CS段寄存器的值,即把另一个代码段的描述符加载到cs段寄存器。

前面我们也说过,CS段寄存器不能单独修改,需要和EIP寄存器一起修改才行,因此想要实现代码跨段访问就需要使用一些特定的指令来完成,例如jmp far指令就可以完成代码跨段访问。

 

2. 代码间跳转流程

 

 

2.1 查表得到段描述符

然后CPU根据段选择子查找GDT表的段描述符进行跳转,一共有四种情况可以跳转:代码段、调用门、TSS任务段、任务门,不过现在我们只关心代码段这种情况。

 

 

2.2 段选择子拆分

以jmp指令为例,我们来看一下代码间的跳转流程:

JMP 0x20:0x004183D7

 

首先CPU在执行上述指令时会对段选择子拆分:

0x20的二进制:0000 0000 0010 0000
RPL=0
TI=0		 //查找GDT表
INDEX=4	     //段描述符在GDT表的索引位置

 

2.3 权限检查

跳转后,CPU在修改CS段寄存器之前,还要进行权限检查,注意,对于非一致性代码段和一致性代码段的权限检查是不一样的:

如果是非一致代码段,要求:CPL == DPL 并且 RPL <= DPL

如果是一致代码段,要求:CPL >= DPL

在此之前,我们回忆一下段描述符的属性,其中有一个TYPE字段,该字段的C=1说明是一致代码段,C=0是非一致代码段。

对于一致性代码段,特权级低的程序才可以跳转去执行特权级高的数据,需要注意的是程序的特权级别并不会改变。

对于非一致性代码段来说,只允许同级别的程序跳转去执行,也就是说内核态的只允许内核态程序跳转并执行,用户态只允许用户态程序访问,绝对禁止不同级别的访问。

 

 

3. 实现跨段

 

现在我们要通过2个实验来实现代码跨段跳转。

 

3.1 非一致代码段

找一个非一致代码段描述符,复制一份,写入到GDT表中,非一致代码段的权限要求为:

CPL == DPL 并且 RPL <= DPL

 

将 00cffb00`0000ffff 数据写入GDT表中的8003f048位置,DPL的值为3

kd> eq 8003f048 00cffb00`0000ffff(用内核工具查看新增是否成功),如下图所示:

 

 

打开OD软件修改当前指令为JMP FAR 004B:00404F2A,并执行该指令然后跳转到OD软件中的00404F2A位置,如下图所示:

在OD软件中按F8执行JMP FAR指令立马跳转到00404F2A的位置,成功修改了CS段寄存器和EIP寄存器的值,说明非一致性代码段的权限检查通过,当前程序的CPL值也是3。

 

再来看另一种情况:还是以非一致性代码段为例,如果把DPL的值改为0,也就是将00cffb00`0000ffff数据改为00cf9b00`0000ffff,然后在OD软件中执行JMP FAR指令实现跨段跳转JMP FAR 004B:00404F2A,在进行权限检查时就会通不过,因为DPL不等于CPL。

 

3.2 一致代码段

将00cffb00`0000ffff 改为00cf9f00`0000ffff,一致性代码段的权限检查要求:

CPL >= DPL

 

 

将00cf9f00`0000ffff写入GDT表中的8003f048位置,DPL的值为0:

 

 

 

在OD软件中,执行JMP FAR 004B:00404F2A实现跨段跳转,如下图所示:

当前程序的CPL是3(应用层程序),要跳转的代码段的DPL的值为0,因为是一致性代码段(CPL >= DPL),所以在进行权限检查时还是可以通过。

song->_->
关注
专栏目录
大神论坛 逆向脱壳之保护模式学习六 代码跨段跳转
xiaotuge_always的博客
05-22 234
前言 在先前的文章中提到了可以使用MOV、LES、LSS、LDS、LFS、LGS指令修改寄存器 但CS寄存器不能通过上面的指令修改;CS寄存器代码寄存器,改变CS的同时必然要修改EIP EIP寄存器,用来存储CPU要读取指令的地址,CPU通过EIP寄存器读取即将要执行的指令。每次CPU执行完相应的汇编指令之后,EIP寄存器的值就会增加 代码跨段跳转 同时修改CS和EIP的指令 只改变EIP的指令 JMP FAR 指令 指令格式 JMP Selector:Offset 形如:JMP 0x20
VIM 下通过 ctags 插件实现代码文件跳转功能
lc_cc的博客
12-03 2913
Linux 环境下通过 vim 查看与编辑代码,希望可以像 IDE 环境一样,方便地实现代码跳转,在不同的文件中查找变量或者函数,本文章介绍了常用的 VIM + ctags 来实现这一跳转功能。本人初学者,网上学习过程中发现好多资料给的教程不是很完整,特将自己的实现过程贴出来,希望可以对初学者有所帮助。 环境:阿里云 ECS,操作系统:Ubuntu18.04.3 LTS 详细步骤: 1. 安...
4.代码跨段跳转
My classmates
10-10 528
代码跨段就是修改CS寄存器 寄存器: ES,CS,SS,DS,FS,GS,LDTR,TR 寄存器读写: 除CS外,其他的寄存器都可以通过 MOV,LES,LSS,LDS,LFS,LGS指令进行修改 CS的改变意味着EIP的改变,改变CS的同时必须修改EIP,所以我们无法使用上面的指令来进行修改. 同时修改CS与EIP的指令.JMP FAR /CALL FAR /RETF /INT/IRE...
【2021.03.16】代码跨段跳转实验
oalken的博客
03-16 401
本节内容 通过 JMP FAR 指令修改CS寄存器 要点回顾 前文以 JMP 0x20:0x004183D7 为例,提到了代码跨段跳转的五个步骤,分别是: 拆分选择:确认RPL、TI、索引。 查询GDT表得到描述符。 权限检查:一致代码与非一致代码检查方式不一样。 加载描述符:加载描述符寄存器,真正修改CS寄存器代码执行:修改EIP(新CS.BASE + EIP),赋值给EIP寄存器并且执行。 构造描述符 如何区分是否为数据/代码? 如 00cf9b00
08-代码跨段跳转实验
啊哈的博客
11-28 206
本节内容 通过JMP FAR指令修改CS寄存器 要点回顾 在上一节课种重点介绍了JMP 0x20:0x004183D7 跨段跳转的五个步骤,分别是: 1、选择拆分 2、查表得到描述符 3、权限检查 4、加载描述符 5、代码执行 1、构造描述符 找一个非一致代码描述符,复制一份,写入到GDT表中 kd> r gdtr gdtr=8003f000 kd> dq 8003f000 8003f000 0000000000000000 00cf9b000000ffff 8003f010
6、代码间的跳转--Windows内核学习笔记
Windows内核学习笔记
01-17 246
1、代码间的跳转跳转、非调用门值类的) 1、同时修改CS和EIP的指令 JMP FAR/CALL FAR/RETF/INT/IRETED 2、只改变EIP的指令 JMP/CALL/JCC/RET 3、JMP 0x20:0x004183D7 CPU如何执行这行代码? -首先JMP后面跟了6个字节,分别是0020:004183D7 -0x0020是两个字节,0x004183D7是第四个字节 -如果是这样的话 JMP 0x004183D7,CPU直接修改EIP的值,不需要查表 -JM
X64dbg插件跳转记录-追踪模块CALL自定义命令行API批量分类下断
01-20
本文将重点探讨如何使用X64dbg的插件来实现模块CALL的跟踪,以及如何通过自定义命令行API进行批量分类下断点。 首先,我们要理解"跳转记录"的概念。在程序执行过程中,跳转指令如JMP、CALL等会改变控制流,跳转到...
ios-控制器跳转.zip
07-11
在iOS应用开发中,控制器(Controller)的跳转是一项常见的任务,它涉及到应用程序的导航流程和用户体验。本教程将深入探讨如何在iOS中实现控制器间的层级跳转,特别是针对“ios-控制器跳转.zip”这个项目,...
vscode代码自动补全、跳转(离线安装插件) - cpptools-win32.zip
04-30
VSCode,全称为Visual Studio Code,是微软推出的一款开源、平台的代码编辑器,深受开发者喜爱。在编程过程中,代码自动补全和跳转功能是提高开发效率的关键工具。对于C++这样的语言,尤其如此,因为它有丰富的库...
Android-Android界面activity跳转的路由管理工具
08-13
传统的Intent方式虽然能完成基本的跳转,但在大型项目中可能会导致代码混乱、不易维护。这时,引入路由管理工具就显得十分必要。本文将详细介绍Android界面Activity跳转的路由管理工具及其优势。 路由管理工具,如...
07-代码跨段跳转流程
啊哈的博客
11-28 302
本节内容 代码跨段 本质就是修改CS寄存器 要点回顾 寄存器: ES,CS,SS,DS,FS,GS,LDTR,TR 寄存器读写: 除CS外,其他的寄存器都可以通过MOV,LES,LSS,LDS,LFS,LGS指令进行修改 CS为什么不可以直接修改呢? CS的改变意味着EIP的改变,改变CS的同时必须修改EIP,所以我们无法使用上面的指令来进行修改. 1、代码间的跳转(跳转 非调用门之类的) 跳转,有2种情况,即要跳转是一致代码还是非一致代码(如何区分参见之前视频) 同时修改CS与E
(第三章 10)“代码跳转” 和 “访问数据
chuanwang66的专栏
06-10 257
下面说明代码和数据的访问: 一、代码跳转 1、普通(直接)跳转: JMP Selector:0 或 CALL Selector:0 1)一致代码(JMP&amp;CALL) 要求:CPL&gt;=DPL,RPL不作检查 特权变化:跳转后程序CPL=跳转前程序CPL 2)非一致代码(JMP&amp;CALL) 要求:CPL=DPL &amp; RPL...
权限检查&代码跨段跳转
weixin_45678798的博客
07-07 441
处理器的保护机制可以识别4个特权级,从0-3。权值越大,特权越小 环的中心(为具有最高特权级的代码,数据和栈保留)通常为关键性软件所有,如操作系统内核。外环的给不是很关键的软件使用。(使用2个特权级的系统应使用特权0和特权3) 处理器使用特权级来防止低权限的进程访问具有高权限级别的。当处理器检测到一个特权违例就会产生一个通用保护异常(GP)。 ......
保护模式(三)代码跳转
weixin_37673331的博客
02-14 368
https://blog.csdn.net/qq_41988448/article/details/102592866 感谢大佬整理
代码跳转流程
qq_41490873的博客
03-03 430
JMP 0x20:0x423633 CPU如何执行这一条代码? 1:选择拆分 RPL =0 TI =0 Index=4 2:查表得到描述符 TI=0 查GDT表 Index=4 在表里找到对应的描述符,判断描述符的S位为下列之一则可以跳转。 四种情况可以跳转代码,调用门,TSS任务,任务门 3:权限检查 如果是非一直代码,要求CPL==DPL 并且 RPL&amp;amp;lt;=DPL 如果...
代码间的跳转
maomao171314的专栏
03-11 442
1.代码间的跳转(跳转,非调用门之类的) 跳转有2 种情况,即要跳转是一致代码还是非一致代码。 同时修改CS与EIP的指令 JMP FAR/CALL FAR /RETF /INT /ITETED 注意: 只改变EIP的指令 JMP /CALL /JCC /RET 2. 代码间的跳转执行流程 JMP 0x20 : 0x00412345 CPU 如何执行这行代码呢 ? (1).选择拆分 0x20 对应的二进制形式 0000 0000 0010 0000 RPL=...
[windows内核]代码跳转实验
r250414958的博客
06-21 346
本次实验是为了加深对跨段跳转流程的印象 首先选一个已有的非一致代码寄存器,将其复制过来,写入一个GDT表里无效的位置中,怎么区分寄存器是否是代码前面已经有了,这里不再重复 成功写入 之后打开R3调试器 输入汇编指令修改JMP FAR 004B:0040130C 4B是因为我们刚才修改GDT表里寄存器的位置在第9个,RPL不变 如果成功执行那么cs和eip都会改变 我们单步一下 可以看到成功执行了 如果我们把我们修改的寄存器DPL修改为0是否还能执行成功呢 我们来尝试一下 还是原来的位
7、代码间的跳转跨段跳转)--Windows内核学习笔记
Windows内核学习笔记
01-18 550
1、短调用 –指令格式:CALL 立即数/寄存器/内存 –CALL指令的作用:指令执行之前,先把下一行指令的地址,压入堆栈中,相当于PUSH进去,PUSH完成后会把后边的值写入到EIP中,所以这个指令执行后的效果如下图: –通常一个函数执行完毕后,会用RET指令进行返回 ,RET指令相当于POP EIP,将返回值的地址弹到EIP中,然后ESP加4 2、长调用(跨段不提权) –指令格式:CALL CS:EIP(EIP是废弃的,只是为了保证语法的兼容) –当一个CALL后面跟了六个字节,那这个CALL就是一个
vue页面跳转锚点
最新发布
09-01
在Vue中实现页面跳转锚点有两种方法。第一种是非页面的锚点跳转,可以在标签中使用JavaScript方法实现。例如,在组件A中,可以使用以下代码实现跳转到组件B的指定位置的锚点: ```html <div class="content"> <a href="javascript:void(0)" @click="goAnchor()">gotoOther</a> </div> ``` 然后,在组件A的methods中添加goAnchor方法: ```javascript methods: { goAnchor() { var anchor = this.$el.querySelector("#锚点的id或name值") document.body.scrollTop = anchor.offsetTop } } ``` 第二种方法是页面的锚点跳转,可以使用路由来实现。在组件A中,可以使用以下代码实现跳转到组件B的指定位置的锚点: ```html <div class="content"> <a href="/b组件路由#锚点的id或name值">gotoOther</a> </div> ``` 需要注意的是,需要将跳转目标的路由和锚点的id或name值组合在一起。 在组件B中,需要设置对应的锚点位置。例如: ```html <div class="content-modal" id="c"> // 设置id ccc </div> <div class="content-modal" id="d"> // 设置id ddd </div> <div class="content-modal" id="e"> // 设置id eee </div> <div class="content-modal" id="f"> // 设置id fff </div> ``` 为了在组件B加载时自动滚动到指定的锚点位置,可以在mounted钩函数中添加以下代码: ```javascript mounted() { if (window.location.hash) { this.goAnchor(window.location.hash) } }, methods: { goAnchor(selector) { setTimeout(() => { // 获取锚点元素 const anchor = this.$el.querySelector(selector) anchor.scrollIntoView() }, 500) } } ``` 这样,在组件B加载时,如果URL中包含锚点信息,页面会自动滚动到对应的锚点位置。 请根据你的需求选择合适的方法来实现Vue页面跳转锚点。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [vue 实现页面锚点跳转](https://blog.csdn.net/yimaode/article/details/104649672)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [VUE—页面锚点(nuxt同样适用)](https://blog.csdn.net/Poppy_LYT/article/details/119995904)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值