(3) [保护模式]代码跨段跳转 (jmp far)

已于 2022-05-28 13:11:53 修改
阅读量1.6k 收藏 3
点赞数
分类专栏: 滴水中期 文章标签: 操作系统 反汇编
于 2022-02-25 16:53:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50332504/article/details/123093113
版权

代码跨段跳转和调用门


文中如有错误,还请大佬指正

前言

已知的段寄存器有:ES, CS, SS, DS, FS, GS, LDTR, GDTR, IDTR, TR

每个寄存器都可以通过一些指令来修改他们的值。如ES, SS, DS, FS, GS可以通过mov, LES, LSS, LDS, LFS, 'LGS’来修改,LDTR, GDTR, IDTR, TR可以通过 LLDT, LGDT, LIDT, LTR来修改
唯独CS的修改比较特殊。首先CS寄存器会直接影响到当前执行代码的位置 (当前执行代码的线性地址 = CS.base + EIP),所以只修改CS寄存器可能会使得程序跑偏了。所以没有提供只修改CS寄存器的指令,要修改CS寄存器,只能连同EIP一起修改,这样才能保证程序的正确性。

jmp far指令

与之前所看到的jmp有所不同,以前我们写的jmp是这样的: jmp EIP,这个称为段间跳转,或者叫短跳;而现在jmp指令改写成这样jmp CS:EIP,这个称为跨段跳转,或者叫长跳(jmp far)。

jmp far的执行顺序

首先有一条jmp far指令:jmp 0x1B:0x12345678

  1. 第一个地址是段选择子,所以要把0x1B按照段选择子的拆分方法进行分解,index = 3, TI = 0, RPL = 3

  2. TI == 0,所以查GDT表index为3的位置(index要从0开始算起),而且段描述符所描述的段必须是代码段,否则就会进入异常处理
    描述符要代表代码段:P == 1, S == 1, Type的最高位(第11位) == 1
    (忘了可以看看前写的段描述符)
    在这里插入图片描述

  3. 如果Type的E位(第10位) == 1代表非一致代码段,这时候要求 CPL == DPL && RPL <= CPL
    如果Type的E位(第10位) == 0代表一致代码段,这时候要求 CPL >= DPL

  4. 上面的检查全通过了之后才能将段选择子和段描述符加载到段寄存器

  5. 最后使用CS.base + EIP

小实验

首先通过windbg查询gdt表的位置,将一个空白的位置用index = 3 的描述符进行填充如图所示
在这里插入图片描述

eq 8003f048 00cffb00`0000ffff

(GDTR = 0x8003f000)
然后计算index的值,构造段选择子,index = (0x8003f048 - 0x8003f000) / 8== = 9
所以段选择子为 1001 0 11 = 0x4B
打开OD,修改指令为jmp 0x4B:1003E30,并观察当前的CS寄存器的值
在这里插入图片描述
然后执行这条指令
在这里插入图片描述

观察CS的值,变成了 0x4B

我们尝试将DPL改成0试试,意思是需要0环权限才能访问此段
图中红线部分变成了9
eq 8003f048 00cf9b00 0000ffff
在这里插入图片描述

在这里插入图片描述

依旧是修改成这条指令,执行试试
在这里插入图片描述
进入了ntdll模块,不是我们想要的位置,这是个异常函数,不是我们想去的位置
证明3环不能直接跳到0环去执行

修改一些描述符,将其改成0环代码的一致代码段
eq 8003f048 00cf9f00`0000ffff
图中b改成 f
在这里插入图片描述
在这里插入图片描述

可以看到跳转成功了,验证了一直代码段的作用
并且看到CS的权限依旧是3环的,所以一致代码段并不能提升权限

总结

jmp far 只能跳转到 相同权限的地方 和 不同权限的一致代码段

一口一个橘子
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(8)JMP FAR段间跳转
hambaga的博客
09-27 2005
一、回顾 在前面的课程中我们学习了MOV和LES等修改段寄存器的指令,当时老师说过,CS寄存器比较特殊,不能用MOV和"LCS"进行修改,原因是CS和EIP共同决定下一条指令的地址,要修改CS,就必须同时修改EIP,这也是Intel没有提供"LCS"指令的原因。 二、JMP FAR 执行流程 JMP 0x20:0x004183D7 上面是一条 JMP FAR 指令,CPU执行该指令分为以下5步: (1)拆分段选择子 0x20 = 00100 0 00 RPL = 3 TI = 0 INDEX = 4 (2
大神论坛 逆向脱壳之保护模式学习六 代码跨段跳转
xiaotuge_always的博客
05-22 229
前言 在先前的文章中提到了可以使用MOV、LES、LSS、LDS、LFS、LGS指令修改段寄存器 但CS段寄存器不能通过上面的指令修改;CS段寄存器为代码段寄存器,改变CS的同时必然要修改EIP EIP寄存器,用来存储CPU要读取指令的地址,CPU通过EIP寄存器读取即将要执行的指令。每次CPU执行完相应的汇编指令之后,EIP寄存器的值就会增加 代码跨段跳转 同时修改CS和EIP的指令 只改变EIP的指令 JMP FAR 指令 指令格式 JMP Selector:Offset 形如:JMP 0x20
进入保护模式的源代码
04-19
一个进入保护模式的汇编源代码
6.JMP FAR段间跳转(长跳)
qq_35129925的博客
03-02 1309
一、知识点回顾 在前面的课程中我们学习了MOV和LES等修改段寄存器的指令,当时老师说过,CS寄存器比较特殊,不能用MOV和"LCS"进行修改,原因是CS和EIP共同决定下一条指令的地址,要修改CS,就必须同时修改EIP,这也是X86没有提供"LCS"指令的原因。 ...
保护模式下的跳转
weixin_33997389的博客
06-29 347
主要是两类: 不改变特权、改变特权 1. 不改变特权级可以用段间、段内的call或者jmp。段间不做判断。段间会看目的段是什么代码段。 如果是非一致代码段,则必须CPL=DPL,并且RPL<=DPL。跳转后CPL不变。 如果是一致代码段,对RPL不做判断,则必须CPL>=DPL,即外环可以跳入内环,但CPL不变。 2. 改变特权级,必须通过门(调用门、任务门、中断门、陷阱...
保护模式(三)代码跳转
weixin_37673331的博客
02-14 357
https://blog.csdn.net/qq_41988448/article/details/102592866 感谢大佬整理
6、代码间的跳转--Windows内核学习笔记
Windows内核学习笔记
01-17 243
1、代码间的跳转(段间跳转、非调用门值类的) 1、同时修改CS和EIP的指令 JMP FAR/CALL FAR/RETF/INT/IRETED 2、只改变EIP的指令 JMP/CALL/JCC/RET 3、JMP 0x20:0x004183D7 CPU如何执行这行代码? -首先JMP后面跟了6个字节,分别是0020:004183D7 -0x0020是两个字节,0x004183D7是第四个字节 -如果是这样的话 JMP 0x004183D7,CPU直接修改EIP的值,不需要查表 -JM
jmp far
jadeshu的博客
01-01 555
jmp 0x20:0x0123 分析步骤: 1.段选择子拆分 0X20 = B100000 ===>TI = 0;RPL=0;INDEX = 4 2.查DGT表得到段描述符 TI = 0 ,所以查找GDT表 INDEX=4 ,可找到对应的段描述符 四种情况可以跳转代码段、调用门、TSS任务段、任务门 3.权限检查 如果是非一致性代码段,要CPL==DPL并且RPL <= DPL 如果是一致性代码段(即代码共享),要求CPL>=DPL ...
nasm jmp无条件跳转指令
guozuofeng的博客
10-17 2246
8086处理器的无条件转移指令——《x86汇编语言:从实模式到保护模式》读书笔记13 。 一、相对短转移 指令格式是: ? 1 jmp short 标号 标号也可以替换成具体的数值(标号和数值是等价的),例如 ? 1 jmp short 0x2000 说明: (1)该指令属于段内转移指令,而且...
【x86汇编语言:从实模式到保护模式笔记】第十四章 任务和特权级保护
FirMoonLight的博客
02-28 818
本章目标 1、通过演示如何创建一个任务,并使之投入运行来学习任务的概念及组成要素,包括任务的全局空间和局部空间、TSS、LDT、特权级等。 2、必须了解特权级不是指任务的特权级,而是组成任务的各个部分的特权级。比如:任务的全局部分一般是0、1和2特权级别的,任务的私有部分一般是3特权级别的。 3、必须清楚CPL、DPL和RPL的含义,以及不同特权级别之间的控制转移规则。 4、熟悉调用门的用法。 5、掌握一些在Bochs下调试程序的新手段。 6、学习一些新的x86处理器命令,包括lldt、ltr、pushf/
操作系统学习与实践6:由实模式切换到保护模式
最新发布
05-01 481
保护模式应该提供内存保护。通过定义内存的使用方式,我们可以确保某些内存位置不能被修改或作为代码执行。80x86 处理器根据全局描述符表 (GDT) 映射内存区域。。如果不遵循 GDT,处理器将生成一般保护故障 (GPF) 异常。因为我们没有设置中断处理程序,所以这会导致三重错误。(3)全局描述符表 (GDT)全局描述符表 (GDT) 定义全局内存映射。它定义了哪些内存可以被执行(代码描述符),以及哪些区域包含数据(数据描述符)。就 GDT 而言,它描述了起始地址和基地址、段限制,甚至虚拟内存。
[转](8)JMP FAR段间跳转
weixin_41875267的博客
11-15 376
一、回顾 在前面的课程中我们学习了MOV和LES等修改段寄存器的指令,当时老师说过,CS寄存器比较特殊,不能用MOV和"LCS"进行修改,原因是CS和EIP共同决定下一条指令的地址,要修改CS,就必须同时修改EIP,这也是Intel没有提供"LCS"指令的原因。 二、JMP FAR 执行流程 JMP 0x20:0x004183D7 上面是一条 JMP FAR 指令,CPU执行该指令分为以下5步: (1)拆分段选择子 0x20 = 00100 0 00 ...
jmp far ptr s所对应的机器码
weixin_33742618的博客
07-28 172
jmp far ptr s所对应的机器码 转载于:https://www.cnblogs.com/LoveFishC/archive/2012/07/28/3845633.html
【OS学习笔记】二十七 保护模式八:任务切换的方法之----jmp与call的区别以及任务的中断嵌套
厚积薄发
12-17 1666
上一篇文章学习了任务门的概念:任务门—任务切换。主要学习了以下内容: 使用任务门进行任务切换的一般工作原理(和中断有关的任务切换) 本篇文章接着上一篇文章学习以下内容: 利用jmp进行任务切换 利用call进行任务切换 jmp、call与任务门的中断嵌套三者之间的区别与联系 注意:和中断有关的任务切换的详细原理是在后面的文章中会讲解。本文主要还是学习使用call、jmp和iret指令发起的...
4.6 offset指令,jmp short指令,far,dword ptr各种跳转指令
2203_75300307的博客
04-03 878
可以修改IP,或同时修改CS和IP的指令统称为转移指令。概括的讲,转移指令就是可以控制CPU执行内存中某处代码的指令。
实模式跳转保护模式时用到的概念
bingjing12345的专栏
07-27 1011
保护模式下仍用 段:偏移地址 表示实际的物理地址。即os中学的段式存储机制。 完成实模式到保护模式跳转后,段R中的值其实就变成了 Selector。 将段寄存器的值(Selector)经过gdt的映射后 与 偏移地址(小于段的界限)相加 得到最终的物理地址。 段描述符 共64位 其中段基址32位 段的最大界限20位 段的一些属性12位。段基址和界限由于历史原因被拆开存放。 尽管每
汇编中的jmp转移指令:jmp short、jmp near ptr、jmp far ptr
热门推荐
yeanhoo的博客
08-14 2万+
汇编中的jmp转移指令:jmp short、jmp near prt、jmp far ptr 从8086CPU的定义上来讲,只要是可以修改IP(指令指针寄存器),或同时修改CS(代码段寄存器)和IPIP(指令指针寄存器)的指令统称为转移指令。也就是说,转移指令是用来控制CPU指令内存中某处代码的指令。 那么通过转移区间的不同进行分类则有以下情况: 段内转移:只修改IP的值。也就是说,CS的值不变化...
汇编jmp指令
weixin_30906671的博客
11-25 1439
jmp指令 解释: njmp为无条件转移,可以只修改IP,也可以同时修改CS和IP; njmp指令要给出两种信息: n转移的目的地址 n转移的距离(段间转移、段内短转移,段内近转移) 格式: 一.Jump short标号 这种格式的jmp指令实现的是段内短转移,它对IP的修改范围为-128~127,也就是说,它...
汇编JMP寻址时short,near,far区别
ITtraveler的专栏
12-02 1万+
jmp为无条件转移指令,可以只修改IP,也可以同时修改CS和IP。 jmp指令要给出两种信息: (1)转移的目的地址 (2)转移的距离(段间转移、段内转移、段内近转移) 不同的给出目的地址的方法,和不同的转移地址位置,对应有不同格式的jmp指令。 依据位移进行转移的jmp指令: 【1】jmp short 标号(转移标号处执行指令)          IP修改范围:-128~127,"
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值