Windows保护模式学习笔记(二)—— 代码跨段跳转

最新推荐文章于 2022-02-25 16:53:04 发布
最新推荐文章于 2022-02-25 16:53:04 发布
阅读量1.3k 收藏 6
点赞数 3
分类专栏: x86内核 文章标签: Windows 保护模式 代码跨段跳转
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41988448/article/details/102579695
版权

Windows保护模式学习笔记(二)—— 代码跨段跳转

要点回顾

段寄存器:
ES,CS,SS,DS,FS,GS,LDTR,TR
除CS外,其他的段寄存器都可以通过MOV,LES,LSS,LDS,LFS,LGS指令进行修改

思考:CS为什么不可以直接修改呢?
CS的改变意味着EIP的改变,改变CS的同时必须修改EIP,所以我们无法使用上面的指令来进行修改.

代码跨段跳转

段间跳转分为两种情况:

  1. 要跳转的段是一致代码段
  2. 要跳转的段是非一致代码段

同时修改CS与EIP的指令:
JMP FAR / CALL FAR / RETF / INT /IRETED

只改变EIP的指令:
JMP / CALL JCC / RET

执行流程

思考:CPU如何执行 JMP 0x20:0x004183D这行指令

1)段选择子拆分

0x20 二进制:0000 0000 0010 0000 即

RPL = 00
TI = 0
Index = 4
2)查表得到段描述符

TI=0:查GDT表
Index=4:找到对应的段描述符
四种情况可以跳转:

  1. 代码段
  2. 调用门
  3. TSS任务段
  4. 任务门
3)权限检查

一致代码段:要求 CPL >= DPL
非一致代码段:要求 CPL == DPL并且 RPL <= DPL

4)加载段描述符

通过上面的权限检查后,CPU会将段描述符加载到CS段寄存器中

5)代码执行

CPU 将 CS.Base + Offset的值写入EIP,然后执行CS:EIP处的代码

段间跳转到此结束

6)总结
一致代码段(共享的段)
  1. 特权级的程序不允许访问特权级的数据:核心态不允许访问用户态的数据
  2. 特权级的程序可以访问到特权级的数据,但特权级不会改变:用户态还是用户态
非一致代码段(普通代码段)
  1. 只允许同级访问
  2. 绝对禁止不同级别的访问:核心态不是用户态,用户态也不是核心态

注意:直接对代码段进行JMP 或者 CALL的操作,无论目标是一致代码段还是非一致代码段,CPL都不会发生改变.如果要提升CPL的权限,只能通过调用门

实验

第一步:

复制一个非一致代码段描述符,写入GDT表空白处
复制段描述符
在这里插入图片描述

第二步:

在OD中执行 JMP FAR 命令

执行前,CS = 001B
执行前
执行后,CS = 004B
执行后
执行成功!

第三步:

将段描述符的 DPL 置为 0,再在OD中执行JMP FAR命令
DPL置0
执行前
执行后,程序进入了ntdll,也就是异常模块,说明执行失败
执行后
失败原因
要跳转的代码段是一个非一致代码段(DPL=0),而程序的CPL=3,权限检查未通过
非一致代码段要求CPL=DPL时才允许跳转

这样设计的目的是防止3环的程序跳转到系统段执行

第四步:

将段描述符Type域C位改为1,令其成为一致代码段
Type域C=1
再次执行JMP FAR命令
执行前
执行后
执行成功!

总结

一、为了对数据进行保护,普通代码段禁止用户态的代码/数据和内核态的代码/数据相互访问

二、如果选择一致代码段,低级别的程序就可以在不提升CPL权限等级的情况下进行访问,并且不会破坏内核态的数据

三、如果想访问普通代码段,必须通过"调用门"等方式提升CPL权限

lzyddf
关注
专栏目录
实验保护模式下的中断——实验报告1
08-08
实验的目的是深入理解保护模式下的中断处理机制,特别是82C59A中断控制器的编程,以及如何在保护模式下有效地控制中断。这个实验主要分为以下几个关键知识点: 1. **82C59A中断控制器**:82C59A是一种8位的中断...
[保护模式]段间跳转跨段跳转
鬼手的博客
12-01 1742
文章目录段间跳转段寄存器段间跳转段间跳转的执行流程1.段选择子拆分2.查表得到段描述符3.权限检查4.加载段描述符5.代码执行总结跨段跳转短调用长调用跨段不提权跨段提权总结 段间跳转 代码跨段,本质就是修改CS段寄存器 段寄存器 段寄存器有下面几个:ES CS SS DS FS GS LDTR TR。除了CS以外,其他的段寄存器都可以通过MOV LES LSS LDS LFS LGS指令进行修改。...
(3) [保护模式]代码跨段跳转 (jmp far)
qq_50332504的博客
02-25 1671
使用jmp far修改CS寄存器的值 ES, SS, DS, FS, GS, LDTR, GDTR, IDTR, TR都可以通过一些指令来直接修改其值,但唯独CS寄存器不行。本文将说明CS如何 使用jmp far指令 修改CS寄存器的值,以及一些jmp far指令的小细节
7、代码间的跳转跨段跳转)--Windows内核学习笔记
Windows内核学习笔记
01-18 547
1、短调用 –指令格式:CALL 立即数/寄存器/内存 –CALL指令的作用:指令执行之前,先把下一行指令的地址,压入堆栈中,相当于PUSH进去,PUSH完成后会把后边的值写入到EIP中,所以这个指令执行后的效果如下图: –通常一个函数执行完毕后,会用RET指令进行返回 ,RET指令相当于POP EIP,将返回值的地址弹到EIP中,然后ESP加4 2、长调用(跨段不提权) –指令格式:CALL CS:EIP(EIP是废弃的,只是为了保证语法的兼容) –当一个CALL后面跟了六个字节,那这个CALL就是一个
6、代码间的跳转--Windows内核学习笔记
Windows内核学习笔记
01-17 245
1、代码间的跳转(段间跳转、非调用门值类的) 1、同时修改CS和EIP的指令 JMP FAR/CALL FAR/RETF/INT/IRETED 2、只改变EIP的指令 JMP/CALL/JCC/RET 3、JMP 0x20:0x004183D7 CPU如何执行这行代码? -首先JMP后面跟了6个字节,分别是0020:004183D7 -0x0020是两个字节,0x004183D7是第四个字节 -如果是这样的话 JMP 0x004183D7,CPU直接修改EIP的值,不需要查表 -JM
【2021.03.16】代码跨段跳转实验
oalken的博客
03-16 397
本节内容 通过 JMP FAR 指令修改CS段寄存器 要点回顾 前文以 JMP 0x20:0x004183D7 为例,提到了代码跨段跳转的五个步骤,分别是: 拆分段选择子:确认RPL、TI、索引。 查询GDT表得到段描述符。 权限检查:一致代码段与非一致代码段检查方式不一样。 加载段描述符:加载段描述符至段寄存器,真正修改CS段寄存器。 代码执行:修改EIP(新CS.BASE + EIP),赋值给EIP寄存器并且执行。 构造段描述符 如何区分是否为数据段/代码段? 如 00cf9b00
JAVA学习笔记第七天——示例代码Day07
07-19
在"JAVA学习笔记第七天——示例代码Day07"的压缩包中,你可以找到相关的示例代码,包括这些概念的实际应用。通过阅读和实践这些代码,你将更深入地理解访问修饰符、final关键字、接口以及接口和类的关系在实际编程中...
STM32学习笔记(五)——GPIO八种工作模式
01-06
GPIO端口的每个位可以由软件分别配置成多种模式。 ─ 输入浮空 ─ 输入上拉 ─ 输入下拉 ─ 模拟输入 ─ 开漏输出 ─ 推挽式输出 ─ 推挽式复用功能 ─ 开漏复用功能 每个I/O端口位可以自由编程,然而I/0端口寄存器...
设计模式之美——教你写出高质量代码
04-10
"设计模式之美——教你写出高质量代码"这个主题旨在帮助开发者更好地理解和应用设计模式,从而提升代码的质量和可维护性。设计模式不仅对面试有所帮助,也是职场发展中的必备技能,无论你使用哪种开发语言。 设计...
4.代码跨段跳转
My classmates
10-10 527
代码跨段就是修改CS段寄存器 段寄存器: ES,CS,SS,DS,FS,GS,LDTR,TR 段寄存器读写: 除CS外,其他的段寄存器都可以通过 MOV,LES,LSS,LDS,LFS,LGS指令进行修改 CS的改变意味着EIP的改变,改变CS的同时必须修改EIP,所以我们无法使用上面的指令来进行修改. 同时修改CS与EIP的指令.JMP FAR /CALL FAR /RETF /INT/IRE...
26-代码跨段跳转
网络安全
06-15 825
1. 什么是代码跨段 简单来讲,代码跨段本质上就是修改CS段寄存器的值,即把另一个代码段的描述符加载到cs段寄存器。 前面我们也说过,CS段寄存器不能单独修改,需要和EIP寄存器一起修改才行,因此想要实现代码跨段访问就需要使用一些特定的指令来完成,例如jmp far指令就可以完成代码跨段访问。 2. 代码跳转流程 2.1 查表得到段描述符 然后CPU根据段选择子查找G...
Windows异常学习笔记)—— 内核异常处理流程&用户异常的分发
qq_41988448的博客
01-11 1763
Windows异常学习笔记(一)—— CPU异常记录前言软件模拟异常实验:分析模拟异常第一步:编译并运行以下代码步:查看汇编代码第三步:分析 __CxxThrowException第四步:分析 RaiseException 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 、海东老师牛逼! 软件模拟异常 实验:分析模拟异常 第一步:编译并运行以下代码 ...
windows保护模式学习笔记
吾无法无天的博客
02-23 555
段寄存器: 段描述符:
Windows保护模式学习笔记(六)—— 10-10-12分页
qq_41988448的博客
10-18 1380
Windows保护模式学习笔记(六)—— 10-10-12分页前言基本概念4GB内存空间有效地址-线性地址-物理地址有效地址与线性地址物理地址控制寄存器:Cr310-10-12分页实验:通过线性地址找到物理地址第一步:将XP虚拟机设置为10-10-12分页模式第步:新建一个记事本,写入"Hello World"第三步:使用Cheat Engine附加进程第四步:找到"Hello World"的线...
Windows保护模式学习笔记(一)—— 段寄存器&GDT表
qq_41988448的博客
10-16 4036
保护模式学习笔记(一)前言保护模式参考书籍:段寄存器段寄存器的结构段寄存器的读写段寄存器的属性探测Attribute:探测Base:探测Limit:GDT表与LDT表GDT表段描述符段描述符的属性```P位``````G位``````S位``````Type域``````DPL```段描述符与段寄存器结构的对应关系段选择子加载段描述符到段寄存器 前言 海东老师牛逼! 保护模式 X86 CPU的...
Windows保护模式学习笔记(十一)—— 中断与异常
qq_41988448的博客
10-26 1048
Windows保护模式学习笔记(十一)—— 中断与异常前言中断非可屏蔽中断可屏蔽中断时钟中断可屏蔽中断的处理异常异常处理缺页异常 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 、海东老师牛逼! 中断 描述: 中断通常是由CPU外部的输入输出设备(硬件)所触发的,供外部设备通知CPU“有事情需要处理”,因此又叫中断请求(Interrupt Reques...
Windows保护模式学习笔记(十)—— TLB
qq_41988448的博客
10-25 1447
Windows保护模式学习笔记(十)—— TLB前言地址解析10-10-12分页2-9-9-12分页TLBTLB结构TLB种类实验:体验TLB的存在第一步:运行以下代码步:设置中断门描述符第三步:继续运行程序 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 、海东老师牛逼! 地址解析 当我们通过一个线性地址访问一个物理页(比如:MOV EAX,[0x...
Windows保护模式学习笔记(十四)—— 阶段测试
qq_41988448的博客
10-29 886
Windows保护模式学习笔记(十四)—— 阶段测试前言题目一解题步骤题目解题步骤 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 、海东老师牛逼! 题目一 描述:给定一个线性地址,和长度,读取内容 int ReadMemory(OUT BYTE* buffer,IN DWORD dwAddr,IN DWORD dwLength); 要求: 可以自己...
Simulink学习笔记:信号与电气线路的连接方法
"matlab/simulink学习笔记都总结在这里" Simulink是一种由MathWorks开发的图形化编程环境,常用于系统级的建模、仿真和分析,尤其在工程领域广泛应用。在这个学习笔记中,主要探讨了Simulink中的电气元件与信号流...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值