Windows保护模式(四)中断门&陷阱门

已于 2022-10-12 13:16:33 修改
阅读量618 收藏 1
点赞数
文章标签: windows 系统安全
于 2022-10-12 13:15:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45323960/article/details/127261301
版权

中断门

Windows 系统没有使用调用门,但使用了中断门。

中断描述符表(IDT)

描述

IDT即中断描述符表,同GDT一样,IDT也是由一系列描述符组成的,每个描述符占8个字节
但要注意的是,IDT表中的第一个元素不是NULL

相关寄存器
  • idtr:IDT 表基址
  • idtl:IDT 表长度
WinDbg 查看 IDT 表
kd> r idtr
idtr=8003f400
kd> r idtl
idtl=000007ff
kd> dq idtr
8003f400  804e8e00`00080360 804e8e00`000804db
8003f410  00008500`0058113e 804eee00`000808ad
8003f420  804eee00`00080a30 804e8e00`00080b91
8003f430  804e8e00`00080d12 804e8e00`0008137a
8003f440  00008500`00501198 804e8e00`0008179f
8003f450  804e8e00`000818bc 804e8e00`000819f9
8003f460  804e8e00`00081c52 804e8e00`00081f48
8003f470  804e8e00`0008267e 804e8e00`000828f3
IDT 表中门描述符种类
  • 任务门描述符
  • 中断门描述符
  • 陷阱门描述符

中断门描述符

在这里插入图片描述

执行步骤

  • 根据中断号查找 IDT 表得到中断门描述符
  • 根据门描述符中的段选择子查找 GDT 表的段描述符
  • 根据门描述符的偏移加上段描述符的 base 得到要跳转的地址
    在这里插入图片描述

中断门执行前后堆栈变化

中断门和调用门堆栈变化的不同点是多压了一个 EFLAGS 标志寄存器,因此返回使用的是 iretd 而不是 retf。
在这里插入图片描述

构造中断门

运行如下代码,获得 test 函数地址 0x40100A 。
注意:在裸函数中使用 iret 是对应 16 位的返回,iretd 对应的是 32 位的返回,而在普通函数中两个返回都是 32 位的,因为编译器会做替换。

#include<stdio.h>
#include<stdlib.h>

int val = 0;
void __declspec(naked) test() {
	__asm {
		int 3
		mov ebx, 0x10
		mov val, ebx
		iretd
	}
}

int main() {
	printf("%X\n",&test);
	system("pause");
	__asm{
		push fs
		int 0x20
		pop fs
	}
	return 0;
}

在 IDT 表 0x100 偏移处构造一个中断门,对应中断号为 0x20 。

kd> dq idtr l30
8003f400  804e8e00`00080360 804e8e00`000804db
8003f410  00008500`0058113e 804eee00`000808ad
8003f420  804eee00`00080a30 804e8e00`00080b91
8003f430  804e8e00`00080d12 804e8e00`0008137a
8003f440  00008500`00501198 804e8e00`0008179f
8003f450  804e8e00`000818bc 804e8e00`000819f9
8003f460  804e8e00`00081c52 804e8e00`00081f48
8003f470  804e8e00`0008267e 804e8e00`000828f3
8003f480  804e8e00`00082a10 804e8e00`00082b46
8003f490  804e8500`00a028f3 804e8e00`00082cac
8003f4a0  804e8e00`000828f3 804e8e00`000828f3
8003f4b0  804e8e00`000828f3 804e8e00`000828f3
8003f4c0  804e8e00`000828f3 804e8e00`000828f3
8003f4d0  804e8e00`000828f3 804e8e00`000828f3
8003f4e0  804e8e00`000828f3 804e8e00`000828f3
8003f4f0  804e8e00`000828f3 806f8e00`00081fd0
8003f500  00000000`00080000 00000000`00080000
8003f510  00000000`00080000 00000000`00080000
8003f520  00000000`00080000 00000000`00080000
8003f530  00000000`00080000 00000000`00080000
8003f540  00000000`00080000 00000000`00080000
8003f550  804dee00`0008fba2 804dee00`0008fca5
8003f560  804dee00`0008fe44 804eee00`0008078c
8003f570  804dee00`0008f631 804e8e00`000828f3
kd> eq 8003f500 0040ee00`0008100a
kd> dq idtr l30
8003f400  804e8e00`00080360 804e8e00`000804db
8003f410  00008500`0058113e 804eee00`000808ad
8003f420  804eee00`00080a30 804e8e00`00080b91
8003f430  804e8e00`00080d12 804e8e00`0008137a
8003f440  00008500`00501198 804e8e00`0008179f
8003f450  804e8e00`000818bc 804e8e00`000819f9
8003f460  804e8e00`00081c52 804e8e00`00081f48
8003f470  804e8e00`0008267e 804e8e00`000828f3
8003f480  804e8e00`00082a10 804e8e00`00082b46
8003f490  804e8500`00a028f3 804e8e00`00082cac
8003f4a0  804e8e00`000828f3 804e8e00`000828f3
8003f4b0  804e8e00`000828f3 804e8e00`000828f3
8003f4c0  804e8e00`000828f3 804e8e00`000828f3
8003f4d0  804e8e00`000828f3 804e8e00`000828f3
8003f4e0  804e8e00`000828f3 804e8e00`000828f3
8003f4f0  804e8e00`000828f3 806f8e00`00081fd0
8003f500  0040ee00`0008100a 00000000`00080000
8003f510  00000000`00080000 00000000`00080000
8003f520  00000000`00080000 00000000`00080000
8003f530  00000000`00080000 00000000`00080000
8003f540  00000000`00080000 00000000`00080000
8003f550  804dee00`0008fba2 804dee00`0008fca5
8003f560  804dee00`0008fe44 804eee00`0008078c
8003f570  804dee00`0008f631 804e8e00`000828f3
kd> g

继续运行代码,成功在 test 函数断下来,并且完成提权,栈结构也与前面描述的相符。另外可以发现进入中断后 IF 寄存器清零,而 iret 返回后 if 寄存器又被置为 1 。

Break instruction exception - code 80000003 (first chance)
00401020 cc              int     3
kd> uf eip
00401020 cc              int     3
00401021 bb10000000      mov     ebx,10h
00401026 891dec554200    mov     dword ptr ds:[4255ECh],ebx
0040102c cf              iretd
kd> r if
if=0
kd> r cs
cs=00000008
kd> r ss
ss=00000010
kd> r esp
esp=b13c0dcc
kd> r ebp
ebp=0012ff80
kd> dd esp
b13c0dcc  0040107b 0000001b 00000202 0012ff30
b13c0ddc  00000023 00000000 00000000 00000000
b13c0dec  00000000 0000027f 7c930000 00000000
b13c0dfc  00000000 00000000 00000000 00001f80
b13c0e0c  23222120 27262524 00380178 00380188
b13c0e1c  00000002 37363534 3b3a3938 00380000
b13c0e2c  003823a0 003804e8 0012f8f0 00380178
b13c0e3c  0012f8f0 7c930981 00380608 000000bc
kd> p
00401021 bb10000000      mov     ebx,10h
kd> p
00401026 891dec554200    mov     dword ptr ds:[4255ECh],ebx
kd> p
0040102c cf              iretd
kd> p
001b:0040107b 0fa1            pop     fs
kd> r if
if=1
kd> dq esp
0012ff30  00241fe4`0042003b 7ffd6000`0012f7bc
0012ff40  cccccccc`cccccccc cccccccc`cccccccc
0012ff50  cccccccc`cccccccc cccccccc`cccccccc
0012ff60  cccccccc`cccccccc cccccccc`cccccccc
0012ff70  cccccccc`cccccccc cccccccc`cccccccc
0012ff80  00401389`0012ffc0 00430e70`00000001
0012ff90  00241fe4`00430da0 7ffd6000`0012f7bc
0012ffa0  b11d0d04`00000006 80586123`0012ff94

练习:尝试在中断门中使用 RETF 指令返回

观察发现中断门和调用门在返回时有相似之处,因此可以尝试采用 RETF 0x4 指令返回。
在这里插入图片描述
但是在返回后 RETF 0x4 指令会平衡堆栈,而中断门没有参数,因此会造成堆栈不平衡。为了平衡堆栈要将 esp 减 4。
最终代码如下:

#include<stdlib.h>

void __declspec(naked) test() {
	__asm {
		int 3
		retf 4
	}
}

int main() {
	printf("%X\n",&test);
	system("pause");
	__asm{
		push fs
		pushad
		pushfd
		int 0x20
		sub esp,4
		popfd
		popad
		pop fs
	}
	return 0;
}

程序可以正常退出。
在这里插入图片描述

陷阱门

陷阱门描述符

在这里插入图片描述

陷阱门与中断门的区别

中断门执行时,会将IF标志位清零,但陷阱门不会。

IF=0 时:程序不再接收可屏蔽中断

  • 可屏蔽中断:比如程序正在运行时,我们通过键盘敲击了锁屏的快捷键,若IF位为1,CPU就能够接收到我们敲击键盘的指令并锁屏
  • 不可屏蔽中断:断电时,电源会向CPU发出一个请求,这个请求叫作不可屏蔽中断,此时不管IF位是否为0,CPU都要去处理这个请求

IF位是否会被清零是陷阱门与中断门唯一的区别

构造陷阱门

在 IDT 表 0x100 偏移处构造一个陷阱门,对应中断号为 0x20 。

kd> dq idtr l30
8003f400  804e8e00`00080360 804e8e00`000804db
8003f410  00008500`0058113e 804eee00`000808ad
8003f420  804eee00`00080a30 804e8e00`00080b91
8003f430  804e8e00`00080d12 804e8e00`0008137a
8003f440  00008500`00501198 804e8e00`0008179f
8003f450  804e8e00`000818bc 804e8e00`000819f9
8003f460  804e8e00`00081c52 804e8e00`00081f48
8003f470  804e8e00`0008267e 804e8e00`000828f3
8003f480  804e8e00`00082a10 804e8e00`00082b46
8003f490  804e8500`00a028f3 804e8e00`00082cac
8003f4a0  804e8e00`000828f3 804e8e00`000828f3
8003f4b0  804e8e00`000828f3 804e8e00`000828f3
8003f4c0  804e8e00`000828f3 804e8e00`000828f3
8003f4d0  804e8e00`000828f3 804e8e00`000828f3
8003f4e0  804e8e00`000828f3 804e8e00`000828f3
8003f4f0  804e8e00`000828f3 806f8e00`00081fd0
8003f500  0040ee00`0008100a 00000000`00080000
8003f510  00000000`00080000 00000000`00080000
8003f520  00000000`00080000 00000000`00080000
8003f530  00000000`00080000 00000000`00080000
8003f540  00000000`00080000 00000000`00080000
8003f550  804dee00`0008fba2 804dee00`0008fca5
8003f560  804dee00`0008fe44 804eee00`0008078c
8003f570  804dee00`0008f631 804e8e00`000828f3
kd> eq 8003f500 0040ef00`0008100a
kd> dq idtr l30
8003f400  804e8e00`00080360 804e8e00`000804db
8003f410  00008500`0058113e 804eee00`000808ad
8003f420  804eee00`00080a30 804e8e00`00080b91
8003f430  804e8e00`00080d12 804e8e00`0008137a
8003f440  00008500`00501198 804e8e00`0008179f
8003f450  804e8e00`000818bc 804e8e00`000819f9
8003f460  804e8e00`00081c52 804e8e00`00081f48
8003f470  804e8e00`0008267e 804e8e00`000828f3
8003f480  804e8e00`00082a10 804e8e00`00082b46
8003f490  804e8500`00a028f3 804e8e00`00082cac
8003f4a0  804e8e00`000828f3 804e8e00`000828f3
8003f4b0  804e8e00`000828f3 804e8e00`000828f3
8003f4c0  804e8e00`000828f3 804e8e00`000828f3
8003f4d0  804e8e00`000828f3 804e8e00`000828f3
8003f4e0  804e8e00`000828f3 804e8e00`000828f3
8003f4f0  804e8e00`000828f3 806f8e00`00081fd0
8003f500  0040ef00`0008100a 00000000`00080000
8003f510  00000000`00080000 00000000`00080000
8003f520  00000000`00080000 00000000`00080000
8003f530  00000000`00080000 00000000`00080000
8003f540  00000000`00080000 00000000`00080000
8003f550  804dee00`0008fba2 804dee00`0008fca5
8003f560  804dee00`0008fe44 804eee00`0008078c
8003f570  804dee00`0008f631 804e8e00`000828f3

在前面 3 环调 0 环函数代码中的调用门改为陷阱门:

#include<stdlib.h>

typedef struct _STRING {
    unsigned short Length;
    unsigned short MaximumLength;
	char* Buffer;
} STRING;

typedef void(__stdcall* RtlInitAnsiString)(STRING* DestinationString,const char* SourceString);

RtlInitAnsiString initStrFunction=(RtlInitAnsiString)0x804da26f;

STRING str;
const char* bufstr="123456789";

void __declspec(naked) test() {
	__asm {
		int 3
		pushad
		pushfd
		push fs
		mov ax,0x30
		mov fs,ax
		push bufstr
		lea eax,str
		push eax
		call initStrFunction
		pop fs
		popfd
		popad
		iretd
	}
}

int main() {
	printf("%X\n",&test);
	system("pause");
	__asm{
		push fs
		pushad
		pushfd
		int 0x20
		popfd
		popad
		pop fs
	}
	return 0;
}

执行后调用 0 环函数。
在这里插入图片描述

_sky123_
关注
Windows内核之中断提权
Appleteachers的博客
05-04 317
Windows内核之中断提权 前言 在平时三环程序下的开发中,都会用到断点,而这个断点其实就是与中断有关联的。 1.中断介绍 在三环程序开发中,编译器进行断点之后反汇编可以查看到,断点反汇编的形式就是 int 3。如下图,在OD中查看,这就是一个断点。 int 0x3; 其实就是查找的IDT表中,从0开始,索引为3的位置,继续看下图,通过windbg查看到int 3的段描述符。 INT段描述符对应的分解图如下: 构造中断的高32位中的低16位的值是固定的,也就是ee00 而offset
Windows保护模式---x86内存寻址详细分析
For Geek
04-17 651
概述 x86下,为了描述段的详细信息,将段用一个64位的描述符(Segment Descriptor)来描述段。但段寄存器仍然为16位,但要描述段的信息显然是不可能的,所以段寄存器的16位就用来索引描述符的位置,并且系统 把所有段的段描述符顺序存放在内存的指定位置上,组成描述符表(DT)。故段寄存器中不再像16位那样直接表示段地址,而是仅仅作为一个索引,称x86的段寄存器为段选择子。 段描述符表的...
中断&陷阱
Misaka10046的博客
04-26 1002
中断,就是通过中断提权的一种手段 下图为中断的构造 陷阱也和中断类似调用什么都类似就是构造一样 跟调用类似,但是不能往里面传参,所以高32位的前4位一定为0,同时TYPE位也有细微的改动,其他的并没有太大的改动。 执行流程 直接int 然后根据编号查IDT表,然后IDT表再去查段选择符,然后找到处理的函数,每个编号对应的中断类型都能在官方文档中找到。 构造过程 最基础的构造 #include "stdafx.h" #include <WINDOWS.H> void __dec
中断&陷阱介绍
weixin_45678798的博客
07-07 399
IDT为每一个异常或中断向量对应的例程或任务分配了一个描述符。同GDT和LDT一样,IDT也是由一些列描述符组成;和GDT不同的是第一个索引不是NULL描述符,异常或中断向量号乘以8即可得到IDT中的索引。...
保护模式(五) 中断&陷阱
weixin_37673331的博客
02-15 414
Windows保护模式学习笔记()—— 中断&陷阱 原创 ...
[windows内核]中断
r250414958的博客
07-12 680
要说中断,不得不先说一个概念就是IDT表(中断描述符表),用来存放中断描述符的地方,IDT也用来存放任务,以及陷阱描述符,具体在手册中第三卷:6.11 IDT DESCRIPTORS 我们在windbg中可以使用如下指令查看idt表地址以及表的大小 下图是中断描述符的格式 字段的具体含义如下 现在我们了大概了解了中断描述符,我们再来了解一下异常和中断处理 大概意思是说 处理器对异常和中断调用的处理方式与用 CALL 指令调用例程和任务的处理十分相近。响应异常和中断时,处理器将异常或中断
80X86保护模式编程
12-10
4. **特权级**:保护模式引入了个特权级(Ring 0 - Ring 3),其中Ring 0具有最高权限,通常用于操作系统内核,而Ring 3则用于用户程序。不同级别的代码可以访问不同的资源,防止低权限代码误操作关键系统资源。 ...
windows中断.zip
05-07
但在Windows中,由于操作系统的保护模式,直接调用中断处理程序的方式不再适用。 - Windows使用更安全、更复杂的方法来管理中断,这包括使用中断陷阱等结构。 5. **中断处理与多任务**: - 在多任务环境中...
进入ring0、ring3
03-06
机制是保护模式下进行特权级转换的关键,包括中断、任务陷阱和调用。这些描述符存在于中断描述符表(IDT)中,用于处理中断和异常。当发生异常或中断时,处理器会根据IDT中的描述符来决定如何响应。...
操作系统:从实模式切换到保护模式
愤怒的小鸡
10-07 2575
转载请注明出处         最近一直在学着自己动手制作操作系统,昨天总算是有了点成效,现作博客一篇整理下思路。         本次提供的代码是从实模式到保护模式的切换,并在保护模式下打印"Hello, world!"。 实验环境         lenovo G470         ubuntu11.10         bochs-2.4.6         环境搭
中断无驱进入ring0
07-30
中断无驱进入ring0
7.中断
My classmates
10-11 537
Windows没有使用调用,但是使用了中断: &amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;1&amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;系统调用 老的CPU调用一些api从r3进入r0,就是通过中断,新的都是快速调用了 &amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;2&amp;amp;amp;amp;amp;amp;amp;amp;am
中断陷阱的区别
是真学霸自风流,公众号:IC免费课
11-27 1447
对于中断,在转移过程中把IF置为0,使得在处理程序执行期间屏蔽掉INTR中断(当然,在中断处理程序中可以人为设置IF标志打开中断,以使得在处理程序执行期间允许响应可屏蔽中断); 对于陷阱,在转移过程中保持IF位不变,即如果IF位原来是1,那么通过陷阱转移到处理程序之后仍允许INTR中断。 因此,中断最适宜于处理中断,而陷阱适宜于处理异常。
1.4 windows内核——中断陷阱,任务
kmic1的博客
10-13 559
TSS任务状态段 一个内核一个,存在于内存中,不存在与cpu;可以让cpu同时执行多个任务。 进程A申请堆栈时要向TSS申请,申请时会有两个一个0环,一个3环的, 1.TSS结构 本质: 不要把TSS与“任务切换”联系到一起 TSS的意义就在于可以同时换掉”一堆”寄存器 段寄存器有es,cs,ds,gs,idtr,tr 那么如何找到TSS,答案是tr 从GDT表中找到tr段寄存器,selector记录着TSS段描述符,base记录TSS表位置,limit记录TSS大小 2.tr段寄存器 3. TSS
11-中断
进击的小学生
09-24 5595
除了使用调用进行提权,本篇的中断显的更加重要。因为在 Windows 中,大量使用了中断中断的结构| 7 | 6 | 5 | 4 | 3 | 2 | 1 | 0 | 字节 |76543210|76543210|7 65 4 3210|76543210|76543210|76543210|76543210
Windows x64中断提权 R3调用R0函数
最新发布
deadpoolwilson12的博客
04-26 2134
Windows X64利用中断提权,应用层调用内核层函数
中断
weixin_30954607的博客
08-28 120
中断#include <stdio.h>#include <windows.h>​// 在学习保护模式的时候,务必使用单核单线程的虚拟机,因为// 保护模式中接触到的 GDT IDT 等是以核心位单位的。​// 我们可以使用一个 6 字节的缓冲区保存 GDT 的内容 unsigned char gdt[6] = { 0 };​// 这是一个需要 R0 权限才能正...
中断 陷阱
Cloud_Apex的专栏
01-08 4621
通过中断的转移和通过陷阱的转移之间的差别只是对IF标志的处理。对于中断,在转移过程中把IF置为0,使得在处理程序执行期间屏蔽掉INTR中断(当然,在中断处理程序中可以人为设置IF标志打开中断,以使得在处理程序执行期间允许响应可屏蔽中断);对于陷阱,在转移过程中保持IF位不变,即如果IF位原来是1,那么通过陷阱转移到处理程序之后仍允许INTR中断。因此,中断最适宜于处理中断,而陷阱适宜
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_sky123_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值