Linux4.19-获取IDT地址

最新推荐文章于 2022-11-06 16:24:52 发布
最新推荐文章于 2022-11-06 16:24:52 发布
阅读量1k 收藏 6
点赞数 1
文章标签: linux 内核 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41208289/article/details/106012230
版权

疫情影响不能回临港海大,在家无聊搞Linux系列(一)

目前Linux4.19获取IDT的方法和之前几个版本相同,网上也已经有了很多帖子写了方法,如果已经掌握的朋友可以直接看我的下一篇博客:Linux4.19-通过IDT获取sys_call_table实现系统调用劫持https://blog.csdn.net/qq_41208289/article/details/106013258

我用的是目前最新的Debian10,内核为Linux4.19.0-8-686(32位x86机器)

网上很多博客获取sys_call_table的方法在新的Linux中均已失效,我这个方法目前在Linux4.19中有效。

 

以下为正文:

我们知道,IDT(Interupt Description Table)里面放的是各种中断的处理函数地址,当中断来的时候会先查这个表,然后执行相关的程序,而这个表在内存中就是一个数组,数组中的每个元素对应着一个中断,例如系统调用是0x80中断,当该中断触发时,会查找IDT的0x80处的表项,获取0x80中断处理程序的地址,再执行相关的操作。

而IDT表的每个元素,其实是一个8字节的结构体,从源代码可以看出如下定义:

struct gate_struct {
	u16		offset_low;
	u16		segment;
	struct idt_bits	bits;
	u16		offset_middle;
#ifdef CONFIG_X86_64   // 此处为x64多的一部分内容
	u32		offset_high;
	u32		reserved;
#endif
} __attribute__((packed));

后两项是64位机器多的两项,我用的是32机,因此只需看前四项,其中idt_bits为标志位,占两个字节,因此4项一共是8个字节。其中offset_middle与offset_low拼接成的32位地址即为这个表项对应的中断号的处理程序地址。

如何获取IDT表的地址?

知道了表结构,那么如何获取到表地址呢?IDT表的地址其实是专门存放在一个6字节寄存(在x86中为idtr)中的,从源代码可以看出其中的6字节数据为:

struct desc_ptr {
	unsigned short size;
	unsigned long address;
} __attribute__((packed));

其中的高32位即为idt表的地址。获取这个寄存器的值用C语言是不行的,需要用到汇编指令,因此这里需要采用内联汇编实现。

struct 
{
	unsigned short size;
	unsigned int addr; // 高32位为idt表地址
}__attribute__((packed)) idtr; // idtr是48位6字节寄存器


void get_addr_idt(void)
{
	asm("sidt %0":"=m"(idtr)); //通过idtr获取IDT表的地址
	printk(KERN_ALERT "idt table adr: 0x%x\n", idtr.addr);
}

代码解读:通过sidt指令将idtr寄存器中的内容赋值给idtr结构体中去,此时通过idtr.addr即可获取IDT表的地址。

总结

至此我们已经获取到了IDT表的地址,上面我们讲到IDT表每个表项为8字节,因此0x80中断的表项地址=IDT表地址+0x80*8

下一篇博客我将继续讲解最新的Debian10 Linux4.19在获取到IDT表地址后,如何获取sys_call_table的地址。

CalvinXu17
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux4.19内核源码
10-08
进入上面的网址下载所需要编译的Linux内核,我选择了最新4.19.0版的内核,下载后为压缩包。(*请先保证网络正常) 2、存放 ...如下图所示,并保证要进入linux-4.19的目录,后续工作都需在此目录下进行!
linux内核4.19.12-1.el7升级包
05-25
`kernel-ml`代表"Mainline Linux",指的是直接从Linux内核主分支获取的最新稳定版,而不是默认的`kernel`包,这使得用户可以体验到最新的内核特性。 内核升级对于保持系统的安全性、稳定性以及提升性能至关重要。`...
获取CPU每个核心的IDT信息
dog0230的博客
05-08 872
0x00 简介 记得2008年看保护模式的教程时,痛苦与那些众多的位信息等复杂的结构。 后来入这行,干了几年的驱动。 这是才对这些CPU基本的知识有点了解。 IDT,中断描述符表,这个基本的东西,岂能不会。 IDT HOOK的东西已经很多了,不过这里不是搞这个的(因为64位windows上是不建议的,除非...),而是检测IDT HOOK,向处理器虚拟化进军的。 ...
获取中断描述符表IDT的信息
Fly20141201. 的专栏
11-08 1699
/*GetIDT.h*/ #ifndef _WIN32_WINNT // Allow use of features specific to Windows XP or later. #define _WIN32_WINNT 0x0501 // Change this to the appropriate value to target other ver
linux查看 idt日志,Linux漏洞挖掘:08---系统调用劫持之(经过IDT中断向量表获取sys_call_table系统调用表)...
weixin_28940217的博客
05-11 199
1、IDT中断向量表简介IDT是中断向量表,其被分为许多个段,一个段被分为中断号和中断处理函数 2、经过IDT中断向量表获取sys_call_table系统调用表IDT这个表的地址是在特殊寄存器中存储的,而这个特殊寄存器的地址是咱们能够经过编程设计获取的在系统调用详细文章中(见文章:https://blog.csdn.net/qq_41453285/article/details/10281010...
linux查看 idt日志,实现RCP的日志管理
weixin_39835792的博客
05-11 110
做插件开发的都知道当应用跑不起来了就去看看workspace里的.log文件,错误信息很详细,那样解决问题就方便多了,这个功能很好,所以学习了下,和大家分享下,实现的原理也就一行代码Java代码 Platform.getLog(Platform.getBundle(bundleID)).log(newStatus(serverity,bundleID,code,message,t));Pl...
patch-4.19-ft-soc
最新发布
06-16
linux patch of phytium 4.19
ldapjdk-4.19-5.el7.noarch.rpm
11-30
离线安装包,亲测可用
en.SDK-x86_64-stm32mp1-openstlinux-4.19-thud-mp1-19-10-09.tar.xz
02-01
STM32MP1的交叉编译库,en.SDK-x86_64-stm32mp1-openstlinux-4.19-thud-mp1-19-10-09.tar.xz,用tar解压,执行里面的.sh文件安装
linux应用层读写idt8a34002
fisheader的博客
07-04 280
spi读写idt8a34002
获取多处理器系统的IDT地址
yeook的专栏
10-20 2805
获取多处理器系统的IDT地址,是通过设置操作所依赖的处理器核心来实现的. 在系统中处理器是从0开始进行编号的,如果只有一个处理器那它的编号就是0; 有两个就是0和1,依此类推. 获取系统处理器的总数是直接使用内核的导出变量KeNumberProcessors来实现的, 当然还有其他的方法,在这里我就不说了. 下面这段代码就是获取多处理器系统所有IDT地址的代码. 主要函数的描述,我在
【盛格塾】使用GDK7观察LINUX内核的中断描述符表(IDT
格友
09-17 337
2021.09.17GDK7 IDT1.中断描述符表概述中断应该是一个覆盖范围较广的概念,在很多时候我们都会需要“中断”。例如:当你用水壶烧水时,你并不需要一直盯着它,可以抽身去做一些别的...
【技术向】IDT源码运行指南(Linux+ffmpeg-0.11.1+opencv-2.4.2)
Tominute的博客
08-03 2941
1)ffmpeg-0.11.1配置     由于opencv的配置需要ffmpeg,否则视频数据无法解码,所以首先安装ffmpeg,如果已安装opencv建议先卸载或之后重装。 下载地址:http://lear.inrialpes.fr/people/wang/improved_trajectories,opencv也在链接中下载。 解压至ffmpeg-0.11.1文件夹中 打开终端,以下...
读取IDT寄存器
weixin_33743703的博客
06-29 327
#include <stdio.h> #include <windows.h> #include <winioctl.h> #pragma pack(1) typedef struct _IDT { WORD idtl; DWORD idtr; }IDT; int main(void) { IDT idt; __as...
linux0.11 IDT中断描述符的建立
u012159565的专栏
03-10 444
首先在head.s汇编文件中建立中断描述符,中断描述符一共含有256项,每一项对应一个中断处理程序ignore_int,该中断处理程序是用中断门进行定义的,代码如下: setup_idt: lea ignore_int,%edx #将ignore_int的有效地址值-->edx寄存器 movl $0x00080000,%eax movw %dx,%ax /* selector = 0x0008 = cs */ movw $0x8E00,%dx /* interrupt gate - d
Linux 0.11-重新设置idt和gdt-08
m0_53157173的博客
11-06 560
为什么原来已经设置过一遍了,这里又要重新设置一遍,你可千万别想有什么复杂的原因,就是因为原来设置的 gdt 是在 setup 程序中,之后这个地方要被缓冲区覆盖掉,所以这里重新设置在 head 程序中,这块内存区域之后就不会被其他程序用到并且覆盖了,就这么个事。中断描述符表 idt 里面存储着一个个中断描述符,每一个中断号就对应着一个中断描述符,而中断描述符里面存储着主要是中断程序的地址,这样一个中断号过来后,CPU 就会自动寻找相应的中断程序,然后去执行它。,然后第四项系统段描述符并没有用到,不用管。
驱动HOOK IDT
weixin_34198797的博客
04-22 83
#define MAKELONG(addr1,addr2) ((addr1) | ((addr2)<<16)) typedef struct _IDTENTRY{ unsigned short LowOffset; unsigned short Selector; unsigned char UnUsed_Io; unsigned char Se...
linux内核中断向量表,Linux内核中断之中断向量表IDT的初始化
weixin_39815925的博客
05-05 254
我们好像忘了很重要的东西:(1)set_intr_gate/**Thisneedstouse'idt_table'ratherthan'idt',and*thususethe_nonmapped_versionoftheIDT,asthe*PentiumF00Fbugfixcanhaveresultedinthemapped*IDTbe...
kernel-4.19-lc 目录
06-08
`kernel-4.19-lc` 可能是一个目录的名称,但需要更多上下文信息才能确定其含义。如果您知道该目录的路径,可以使用 `ls` 命令来列出该目录下的文件和子目录: ``` ls /path/to/kernel-4.19-lc ``` 如果您不确定该目录的路径,可以使用 `find` 命令来搜索整个文件系统: ``` sudo find / -name kernel-4.19-lc ``` 这个命令将搜索整个文件系统,找到所有名称为 `kernel-4.19-lc` 的文件和目录,并显示它们的路径。请注意,这个命令可能需要一些时间才能完成搜索。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值