中断门

最新推荐文章于 2024-03-04 14:22:26 发布
最新推荐文章于 2024-03-04 14:22:26 发布
阅读量396 收藏
点赞数
分类专栏: # 保护模式-段
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/89321035
版权

IDT表在WINDBG中查找方式

在这里插入图片描述
在这里插入图片描述

中断门指令 INT

INT +索引值 直接查找IDT表的相应索引位置
在这里插入图片描述
offset是中断处理程序的地址 段选择子是要查找GDT表中的段描述符,决定是否提权。

中断门执行后eflags的改变

eflags由 执行前的0x216 变成了 0x16 if为变为了0
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

中断门实验

注意:中断门中FS会改变成0x30 在3环中时0x3b 也就是如果单步调试时,使用了int 3断点,那么就需要在前后push 和pop fs寄存器
1:构造一个中断门描述符,写入IDT表 这里使用的 INT 5
eq 8003f428 0040ee00`00081020

#include "stdafx.h"
#include <windows.h>
int a=0;

void _declspec(naked) test()
{

_asm
{
  pushad
  pushfd        //因为中断们会修改eflags的if位为0  屏蔽CPU的中断,意思是这时候我已经在中断处理程序了,不再接受可屏蔽中断。
  mov eax,0x8003f428  
  mov ebx,[eax]
  mov a,ebx
  popfd
  popad
  iretd
}


}

int main(int argc, char* argv[])
{


_asm
{
	int 5
} 
    printf("a=%x\n",a);
	getchar();
	return 0;
}

调用门使用irted返回

调用门使用irted返回
代码思路:因为irted返回的时候比retf多了一个eflags。所以我在0环的栈里面写入了一个elags

//读取高地址的值
#include "stdafx.h"
#include "stdio.h"
#include <windows.h>
int a=0;
//eq 8003f048 0040ec00`00081020
void _declspec(naked) test()
{

_asm
{
  sub esp,4    //因为多了一个eflags  4字节,所以这里栈多出来4字节  存cs  和ret刚好堆栈平衡、
  pushad
  pushfd

  mov eax,[esp+0x28]  //ret
  mov ebx,[esp+0x2c]  //cs 
  mov ecx,[esp]       //eflags
  mov [esp+0x2c],ecx  //把eflags写入0环栈中
  mov [esp+0x28],ebx  //cs
  mov [esp+0x24],eax  //写入ret值

  popfd
  popad

  iretd
}


}

int main(int argc, char* argv[])
{
	char buffer[6]={0};
    *(DWORD*)&buffer[0]=0;
    *(WORD*)&buffer[4]=0x4b;

_asm
{
  call fword ptr [buffer]
}
    printf("a=%x\n",a);
	getchar();
	return 0;
}

中断门使用retf返回

#include "stdafx.h"
#include <windows.h>
#include "stdio.h"
int a=0;

void _declspec(naked) test()
{

_asm
{
  pushad
  pushfd        //因为中断们会修改eflags的NT位为0  所以  需要保存标志寄存器 注意:中断门会修改eflags
  

  //把返回值和cs写到eflags处
  mov eax,[esp+0x24]   //ret
  mov ebx,[esp+0x28]    //cs
  
  mov [esp+0x2c],ebx
  mov [esp+0x28],eax
  mov eax,0x8003f428
  mov ebx,[eax]
  mov a,ebx
  popfd
  popad
  add esp,4
  retf
  
}


}

int main(int argc, char* argv[])
{


_asm
{
	int 5
} 
    printf("a=%x\n",a);
	getchar();
	return 0;
}
qq_857305819
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
NT环境下调用中断运行特权指令.rar_中断
09-19
在操作系统设计中,中断是实现用户态到内核态转换的一种重要机制,尤其是在Windows NT这样的系统中。中断允许用户级别的程序安全地请求操作系统服务,执行特权指令,或者处理异常和硬件中断。这个主题主要涉及到...
恶意代码分析总结
weixin_41038905的博客
03-04 392
寄存器类型: 1、CS:代码段寄存器; 2、DS:数据段寄存器; 3、SS:堆栈段寄存器; 4、FS:标志段寄存器 5、GS:全局段寄存器 6、ES:扩展段寄存器 通过读取FS寄存器指定的内存可以获得很多系统关键信息,内核态是fs = 0x30,用户态 fs = 0x3B,fs在内核态指向_KPCR,用户态指向_TEB。 TEB(Thread Environment Block),线程环境块,也就是说每一个线程都会有TEB,用于保存系统与线程之间的数据,便于操作控制。那么Fs:[0x30]就是PEB进程环境
Windows 中 FS 段寄存器
weixin_34408717的博客
11-06 482
代码运行在RING0(系统地址空间)和RING3(用户地址空间)时,FS段寄存器分别指向GDT(全局描述符表)中不同段:在RING3下,FS段值是0x3B(这是WindowsXP下值;在Windows2000下值为0x38。差别就是在XP下RPL=3);运行在RING0下时,FS段寄存器值是0x30。下面以XP为例说说。 一.RING3下的FS ...
加壳
dohxxx的博客
12-29 752
加壳 整个头部是以0x200粒度对齐的, 一般情况下,头部都有0x400字节的大小. 整个头部以区段头结尾. 然而区段头并没有完全占用剩下的所有空间, 往往都会有一些剩余的空间被0填充.当添加新的区段头的时候, 其实就是将新的区段头数据填入到这些剩余的填充空间中. 下面开始给你的程序开始增加内容,通过2种方法, 不管用什么方法,都需要先记录入口点,一会加区段的时候需要用,如果没记住,会有很大麻...
(5) [保护模式]中断
qq_50332504的博客
03-05 769
除了调用可以提权之外,中断也同样可以 中断描述符和调用描述符极其相似 如何手动构造一个中断进行提权操作
[windows内核]中断
r250414958的博客
07-12 664
要说中断,不得不先说一个概念就是IDT表(中断描述符表),用来存放中断描述符的地方,IDT也用来存放任务,以及陷阱描述符,具体在手册中第三卷:6.11 IDT DESCRIPTORS 我们在windbg中可以使用如下指令查看idt表地址以及表的大小 下图是中断描述符的格式 字段的具体含义如下 现在我们了大概了解了中断描述符,我们再来了解一下异常和中断处理 大概意思是说 处理器对异常和中断调用的处理方式与用 CALL 指令调用例程和任务的处理十分相近。响应异常和中断时,处理器将异常或中断
一个操作系统的实现–中断
01-20
 中断与其他三个(调用、陷阱、任务)一起是操作系统里的四扇。它们之间的区别以后再补充,重点分析中断。  那么什么是呢?其实是一中描述符,直观来看这个描述符描述了由一个选择子和一个...
中断无驱进入ring0
07-30
在操作系统设计和计算机系统安全领域,"中断无驱进入ring0"是一个关键的技术概念,主要涉及处理器特权级别和中断处理机制。Ring0是操作系统内核的最高权限级别,拥有对硬件的直接访问权,而通常应用程序运行在较低...
ADXL345中断分析
04-15
Activity和Inactivity中断则用于检测加速度是否超过或低于预设的限值,并且持续一段时间。这两个中断源可以用于区分设备是处于活动状态还是静止状态,非常适用于那些需要根据设备运动状态进行操作的场合。 Free ...
卷帘控制
09-05
再者,手动控制方式是防火卷帘的备用方案,主要在电力供应中断或者联动系统失效时使用。通常,卷帘两侧会设置手动链条或摇柄,使用者可以通过拉动这些装置来升降体。手动控制虽然操作相对费力,但其可靠性和...
11-中断
进击的小学生
09-24 5558
除了使用调用进行提权,本篇的中断显的更加重要。因为在 Windows 中,大量使用了中断中断的结构| 7 | 6 | 5 | 4 | 3 | 2 | 1 | 0 | 字节 |76543210|76543210|7 65 4 3210|76543210|76543210|76543210|76543210
保护模式笔记九 中断和IDT(中断描述符表)
最新发布
katerdaisy的博客
03-04 1237
所有保护模式索引链接:保护模式笔记一 保护模式介绍前面学习了调用之后继续学习中断中断执行后会将EFL(标志位寄存器)中的IF标志位 置0,使CPU不再响应可屏蔽中断执行中断时,分为两种情况:在没有权限切换时,只向堆栈中压入3个值:①CS;②EFL;③返回地址在涉及权限切换时,会向堆栈中压入5个值:①SS;②ESP;③EFL;④CS;⑤返回地址中断不允许传递参数,调用允许传递参数中断通过INT N(索引)执行,调用通过远调用 CALL FAR CS:EIP执行。
FS寄存器的作用
tanweng的专栏
05-15 7854
确实通过读取FS寄存器指定的内存可以获得很多系统关键信息, 主要是和进线程相关的很多信息,例如 代码: lkd> u PsGetCurrentProcess nt!IoGetCurrentProcess: 804f0700 64a124010000    mov     eax,dword ptr fs:[00000124h] 804f0706 8b4044          mov
fs 的一些参考
12-07 465
经常在r3 下调试经常会看到 mov eax,fs:[18h] ;获取TEP 其实就只指向自己fs:[0] mov eax,[eax+30h] ;获取PEB 这样的语句。 fs段在用户模式(R3)和系统模式(R0)分别指向两个最重要的系统结 构: Ring3: fs --> TEB (Thread Environment Block)结 构表 --> 7FFDE000即“线程环境块”。 Ring0: fs --> KPCR (Kernel
通过PEB遍历当前进程中的模块(C语言实现)
aigo10000的博客
05-14 598
0x00 相关说明: Windows应用层如果要遍历当前进程所加载的模块可以使用WIN32API通过进程快照来实现 通过PEB来遍历进程模块没有WIN32API的使用痕迹,在某些场合更加好用 其中32位应用程序的 PEB 的地址可以通过 fs:[0x30]获取,fs:[0]为TEB结构的地址 0x01 相关数据结构: 下面的数据结构可以在windbg中使用命令查看(使用 dt ...
浅谈FS段寄存器在用户层和内核层的使用
少仲
04-12 6184
在R0和R3时,FS段寄存器分别指向GDT中的不同段:在R3下,FS段寄存器的值是0x3B,在R0下,FS段寄存器的值是0x30.分别用OD和Windbg在R3和R0下查看寄存器(XP3),下图: FS寄存器的改变是从R3进入R0后和从R0退回到R3前完成的,也就是说:都是在R0下给FS赋不同值的.(FS在R0和R3中是不同的值,在KiFastCallEntry / KiSy
FS 寄存器使用
wowbell的专栏
03-18 1087
<br />在用户层下,FS寄存器指向当前活动线程的TEB结构                  nt!_TEB<br /> +0x000 NtTib : _NT_TIB<br /> +0x01c EnvironmentPointer : Ptr32 Void<br /> +0x020 ClientId : _CLIENT_ID<br /> +0x028 ActiveRpcHandle : Ptr32 Void<br /> +0
<转>汇编中的fs:[0]
weixin_34290390的博客
06-09 503
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移 说明000 指向SEH链指针004 线程堆栈顶部008 线程堆栈底部00C SubSystemTib010 FiberData014 ArbitraryUserPointer018 FS段寄存器在内存中的镜像地址020 进程PID024 线程ID02C 指向线程局部存储指针030 PEB结构地址(进程结构)034 上个错误号...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值