1. 什么是代码跨段
简单来讲,代码跨段本质上就是修改CS段寄存器的值,即把另一个代码段的描述符加载到cs段寄存器。
前面我们也说过,CS段寄存器不能单独修改,需要和EIP寄存器一起修改才行,因此想要实现代码跨段访问就需要使用一些特定的指令来完成,例如jmp far指令就可以完成代码跨段访问。
2. 代码间跳转流程
2.1 查表得到段描述符
然后CPU根据段选择子查找GDT表的段描述符进行跳转,一共有四种情况可以跳转:代码段、调用门、TSS任务段、任务门,不过现在我们只关心代码段这种情况。
2.2 段选择子拆分
以jmp指令为例,我们来看一下代码间的跳转流程:
JMP 0x20:0x004183D7
首先CPU在执行上述指令时会对段选择子拆分:
0x20的二进制:0000 0000 0010 0000
RPL=0
TI=0 //查找GDT表
INDEX=4 //段描述符在GDT表的索引位置
2.3 权限检查
跳转后,CPU在修改CS段寄存器之前,还要进行权限检查,注意,对于非一致性代码段和一致性代码段的权限检查是不一样的:
如果是非一致代码段,要求:CPL == DPL 并且 RPL <= DPL
如果是一致代码段,要求:CPL >= DPL
在此之前,我们回忆一下段描述符的属性,其中有一个TYPE字段,该字段的C=1说明是一致代码段,C=0是非一致代码段。
对于一致性代码段,特权级低的程序才可以跳转去执行特权级高的数据,需要注意的是程序的特权级别并不会改变。
对于非一致性代码段来说,只允许同级别的程序跳转去执行,也就是说内核态的只允许内核态程序跳转并执行,用户态只允许用户态程序访问,绝对禁止不同级别的访问。
3. 实现跨段
现在我们要通过2个实验来实现代码跨段跳转。
3.1 非一致代码段
找一个非一致代码段描述符,复制一份,写入到GDT表中,非一致代码段的权限要求为:
CPL == DPL 并且 RPL <= DPL
将 00cffb00`0000ffff 数据写入GDT表中的8003f048位置,DPL的值为3
kd> eq 8003f048 00cffb00`0000ffff(用内核工具查看新增是否成功),如下图所示:
打开OD软件修改当前指令为JMP FAR 004B:00404F2A,并执行该指令然后跳转到OD软件中的00404F2A位置,如下图所示:
在OD软件中按F8执行JMP FAR指令立马跳转到00404F2A的位置,成功修改了CS段寄存器和EIP寄存器的值,说明非一致性代码段的权限检查通过,当前程序的CPL值也是3。
再来看另一种情况:还是以非一致性代码段为例,如果把DPL的值改为0,也就是将00cffb00`0000ffff数据改为00cf9b00`0000ffff,然后在OD软件中执行JMP FAR指令实现跨段跳转JMP FAR 004B:00404F2A,在进行权限检查时就会通不过,因为DPL不等于CPL。
3.2 一致代码段
将00cffb00`0000ffff 改为00cf9f00`0000ffff,一致性代码段的权限检查要求:
CPL >= DPL
将00cf9f00`0000ffff写入GDT表中的8003f048位置,DPL的值为0:
在OD软件中,执行JMP FAR 004B:00404F2A实现跨段跳转,如下图所示:
当前程序的CPL是3(应用层程序),要跳转的代码段的DPL的值为0,因为是一致性代码段(CPL >= DPL),所以在进行权限检查时还是可以通过。