(7) [保护模式]任务段 (TSS)

已于 2022-05-28 13:13:01 修改
阅读量1.9k 收藏 8
点赞数 1
分类专栏: 滴水中期 文章标签: 操作系统 反汇编
于 2022-04-12 22:05:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50332504/article/details/123534646
版权

文章目录

TR寄存器

说到TSS就不得不提TR寄存器了
TR段寄存器依然是指向一个段描述符,但是是一个比较特殊的描述符,我们称之为任务段描述符

TR寄存器的作用

在这里插入图片描述

书中表示栈的方式与OD表示的方式刚好相反

TR 寄存器中的selector查找GDT表后将段寄存器剩余内容填充,address刚好指向TSS表,而limit则是这张表的大小

TR寄存器的读写:(特权指令,只能在0环用)

  • LTR (Load TR):写入TR寄存器,和往常一样写入selector,剩余的查GDT表填充 (LTR reg16 / men)
  • STR (Save TR):读取TR寄存器的值并存储到 (STR reg16 / men)

任务段描述符

在这里插入图片描述
B (busy flag) : 当进入任务时设置为1,退出时设置为0。若是B为1时被调用,则会出异常

TSS (任务段)

TSS : Task-state segment (任务状态段)
在这里插入图片描述

这个表的主要作用就是用来进行任务切换。

任务可以是一个线程,也可以是一个进程。也就是说线程切换或者进程切换的时候使用这个表

  • 顾名思义,从4-95位都是用于保存任务切换时当前任务寄存器的状态,当切换回来当前任务的时候填充寄存器的。
  • 每个任务都有自己独立的CR3,当前只要知道这个一定要填就行
  • Previous Task Link : 指向前一个TSS表的段选择子
  • 每个任务都有自己的LDT表(局部描述符表),但不使用
  • T (debug trap flag): 是表示当前的是否是debug状态,如果是1则调试断点被设置,我们写0
  • IO Map Base Address : IO权限位图,本实验中不涉及这个。是一个基于TR.BaseAddress的偏移。IO权限和EFLAG中的12,13位也有关联,而权限位图中表示端口是否可用

TSS表每个任务一份,当进行任务切换的时候,我们只需要改变TR寄存器的值就能用上不同的表了

我们知道,函数调用的时候要把某些寄存器的值存起来,以便return回来的时候能够继续执行。
任务切换的时候也不例外,需要保存现场,所以需要找一个地方存放上下文(context),当任务切换回来时使用上下文替换寄存器,继续执行当前任务。

使用任务段修改寄存器的值

  • 首先构造一个TSS
  • 然后使用call far 或 jmp far调用这个TSS描述符
  • 函数返回

首先写出函数

#include <windows.h>

int tss[] = {		
	0x00000000,//link
	0x00000000, //esp0	1
	0x00000010,//ss0	2
	0x00000000,//esp1
	0x00000000,//ss1
	0x00000000,//esp2
	0x00000000,//ss2
	0x00000000,//cr3	7
	0x00000000,//eip	8 func addrs
	0x00000000,//eflags
	0x11111111,//eax
	0x22222222,//ecx
	0x33333333,//edx
	0x44444444,//ebx
	0x00000000, //esp	14
	0x00000000,//ebp
	0x00000000,//esi
	0x00000000,//edi
	0x00000023,//es
	0x00000008,//cs		19
	0x00000010,//ss
	0x00000023,//ds
	0x00000030,//fs
	0x00000000,//gs
	0x00000000,//ldt
	0x20ac0000 // IO map
};

BYTE stack[0x100];
void __declspec(naked) func(){
	_asm{

		pushf
		int 3
		popf

		iretd
	}
}

int main(){
	BYTE callAddrs[6] = {0x00, 0x00, 0x00, 0x00, 0x48, 0x00};
	memset(stack, 0, 0x100);	//init stack
	
	printf("TSS    addrs: %x\n", tss);
	printf("input CR3:\n");
	scanf("%x", &tss[7]);		//cr3
	
	tss[8] = (DWORD)&func;		//eip
	tss[14] = stack + 0x100;	//esp 一定要设置堆栈,否则蓝屏
	
	_asm{	
		call fword ptr[callAddrs]
	}
	
}

在这里插入图片描述
获取TSS地址,并准备填入CR3

找一个位置写入TSS段描述符
在这里插入图片描述

eq 8003f048 0000e942`9a300068

执行!process 0 0,然后复制CR3,输入到程序中去
在这里插入图片描述
在这里插入图片描述

运行后,程序在windbg上断下来了
在这里插入图片描述
千万别单步,直接 go

单步会修改EFLAG的NT位,会蓝屏

NT == 1 //iretd使用上一个 TSS 返回
NT == 0 //iretd使用 堆栈 返回

使用了TSS进入,自然要使用TSS返回,所以NT位改变了就会蓝屏

jmp far 和 call far 的不同

jmp far和call far调用的TSS,EFLAG是不同的

#include <windows.h>

int tss[] = {		
	0x00000000,//link

	0x00000000, //esp0	1 stack0
	0x00000010,//ss0	2

	0x00000000,//esp1
	0x00000000,//ss1
	0x00000000,//esp2
	0x00000000,//ss2
	0x00000000,//cr3	7
	0x00000000,//eip	8 func addrs
	0x00000000,//eflags
	0x11111111,//eax
	0x22222222,//ecx
	0x33333333,//edx
	0x44444444,//ebx
	0x00000000, //esp	14 stack3
	0x00000000,//ebp
	0x00000000,//esi
	0x00000000,//edi
	0x00000023,//es
	0x00000008,//cs		19
	0x00000010,//ss
	0x00000023,//ds
	0x00000030,//fs
	0x00000000,//gs
	0x00000000,//ldt
	0x20ac0000 // IO map
};
BYTE tss2[0x68];
DWORD jmpEflag;
DWORD callEflag;
BYTE jmpBack[6];
BYTE stack[0x100];

void __declspec(naked) funcCall(){
	_asm{
		pushad
		pushf
		//int 3 //打开注释可以断下调试
		mov eax, [esp];//刚push过EFLAGS
		mov callEflag, eax //保存EFLAGS
		popf
		popad
		iretd
	}
}

void __declspec(naked) funcjmp(){
	_asm{
		pushad
		pushf
		//int 3
		mov eax, [esp];
		mov jmpEflag, eax //保存EFLAGS
		popf
		popad
		//即使NT现在是0,在这里iretd也会直接蓝屏
		//因为堆栈中并没有供iretd返回的 SS:ESP EFLAGS CS:EIP 结构
		jmp fword ptr[jmpBack]
	}
}

int main(){
	//C语言只能在头部把变量全都申请了
	BYTE callAddrs[6] = {0x00, 0x00, 0x00, 0x00, 0x48, 0x00};
	WORD valTR;
	
	memset(stack, 0, 0x100);	//init stack
	printf("TSS    addrs: %x\n", tss);

	printf("input CR3:\n");
	scanf("%x", &tss[7]);		//cr3
	
	tss[8] = (DWORD)&funcCall;		//eip
	tss[14] = stack + 0x100;	//esp
	memcpy(tss2, tss, 0x68);//备份TSS

	_asm{	
		call fword ptr[callAddrs]
	}
	
	memcpy(tss, tss2, 0x68);//这里是怕之前的TSS被覆盖了,所以使用备份重新填一次
	tss[8] = (DWORD)&funcjmp;//修改TSS的跳转位置
	_asm{
		str valTR	//保存当前TR,跳回使用
	}
	*(WORD*)(&jmpBack[4]) = valTR;//重新构造一个跳回的fword

	_asm{
		jmp fword ptr[callAddrs]
	}
	
	printf("call eflag: %x\n", callEflag);
	printf("jump eflag: %x\n", jmpEflag);
	system("pause");
}

在这里插入图片描述
上面代码的执行结果
4002 = 100 0000 0000 0010,第14位是NT位
这里也算是写出了 jmp far 跳回来的方法了

拓展

如果limit大于了0x68会发生什么?

  • 书中写了:如果limit < 0x67 调用将会报错,但是如果limit > 0x67系统在使用任务段的时候懒得检查。除非检查IO权限位图,才会检查limit与权限位图偏移之间的关系。

这就是intel提供的任务切换方案,也只能是他自己的一厢情愿。windows和linux都没有使用intel制定的方案,只有在权限切换时才会用到SS:ESP这两个值,其他的并没有使用。

3环:
在这里插入图片描述
跳转到0环:
在这里插入图片描述

3环转到0环的时候,堆栈的SS:ESP从何而来,就是从这张表里查的。

系统把返回时用到的CS,EIP,EFLAGS,SS,ESP都放入堆栈了,所以windows操作系统并没有完全使用这张表,至少跳回去的时候,我们可以直接在堆栈里把值取了。

系统不用,不代表我们不能用。

一口一个橘子
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tr寄存器
cbl709的专栏
04-30 7947
任务寄存器tr保存 16 位的选择子、32 位基地址、16 位界限和当前任务TSS属性。它引用 GDT 中的 TSS 描述符。基地址指明 TSS 的第一个字节(字节 0)的线性地址,界限确定 TSS 的字节个数。TR寄存器包含了当前正在CPU运行的进程的TSSD(任务描述符)选择符。也包含了两个隐藏的非编程域:TSSD的base 和limit域。通过这种方式处理器就能直接对TSS寻址,
LDT,LDTR,GDT,GDTR,CS,DS,ES,TSSTR操作系统常见寄存器
哼哼唧唧
12-02 1977
LDT:local descriptor table,局部描述符表,主要存放各个任务的私有描述符,如本任务的代码描述符和数据描述符等 LDTR:是局部描述符寄存器,由一个可见的16位寄存器选择子)和一个不可见的描述符寄存器组成(描述符寄存器实际上是一个不可见的高速缓冲区) GDT:global descriptor table,全局描述符表,主要存放操作系统和各任务公用的描述符,如公用的数据和代码描述符、各任务TSS描述符和LDT描述符
Linux多任务相关的TR寄存器TSS任务状态数据结构
yuanfen5200的专栏
02-24 1270
TR寄存器TSS任务状态数据结构可以帮助Linux操作系统快速的完成任务切换并保存原有任务的内容, 具体的过程分析如下:                                                任务状态TSS 先来看下任务状态TSS的结构: 如上图所示:整个TSS可分成两类: &gt; 只读静态字集(图中灰色部分) &gt;每次任务切换时处理器将...
11.任务任务
qq_35129925的博客
03-22 206
了解三个概念: 1.TSS任务,共104字节,位于内存中 2.TR寄存器,共96位,位于CPU内 3.TSS描述符,位于GDT表 TSS(Task-state segment)是一块104字节的内存,用于存储大部分寄存器的值; TSS设计出来的目的是任务切换,或者说是一次性替换一大堆寄存器TR寄存器存储了TSS的地址,大小,和TSS门描述符选择子; TSS描述符是GDT表中的一项,操作系统启动时,从门描述符取值初始化TR寄存器。 ...
任务TSS
qq_41490873的博客
05-02 1208
TSS TSS是一块内存,里面包括了任务切换需要的所有寄存器的值。 大小是104字节 TR TR寄存器,该寄存器里面存的是TSS描述符的选择子。 TSS描述符 GDT表中的一个8字节的描述符,类型是TSS ...
GCC与汇编保护模式编程实例三
06-03
保护模式下,每个任务都有自己的任务状态(Task State Segment, TSS)和局部描述符表(Local Descriptor Table, LDT)。TSS保存了任务切换时所需的状态信息,如寄存器值,而LDT则包含任务私有的描述符,这些...
保护模式教程
11-03
本文将深入探讨保护模式的相关知识点,包括分管理机制、控制寄存器和系统地址寄存器、实模式与保护模式的切换、任务状态和控制门、控制转移、中断和异常。 1. 分管理机制 在保护模式下,内存不再被视为连续的...
80x86保护模式编程教程.rar_80X86_protected mode_x86_保护模式_保护模式 编程
09-19
6. **任务切换**:保护模式允许在不同任务间安全地切换,这在多任务环境中尤为重要。任务状态TSS)保存了当前任务的状态,以便在切换时恢复。 教程中的"80x86保护模式编程教程.chm"很可能包含详细的理论讲解、...
到底什么是实模式和保护模式
08-28
从实模式转换到保护模式是一个复杂的过程,涉及到初始化GDT、LDT、TSS等数据结构,设置CR0寄存器的PE位以启用保护模式,以及重新加载寄存器任务寄存器等步骤。一旦进入保护模式,处理器便开启了内存保护和特权级...
80x86保护模式教程
12-12
- **任务状态TSS)**:用于管理任务切换时的上下文信息,确保任务间的独立性和安全性。 4. **中断和异常处理** - **中断向量表(IDT)**:存储了每个中断或异常处理程序的入口地址和属性,用于响应硬件中断和...
Windows保护模式学习笔记(五)—— 任务&任务
qq_41988448的博客
10-18 1929
Windows保护模式学习笔记(五)—— TSS/TR寄存器/TSS描述符前言要点回顾TSSTR寄存器TR寄存器的读写TSS描述符实验:加载自定义TSS 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 要点回顾 在调用门、中断门与陷阱门中,一旦出现权限切换,那么就会有堆栈的切换;而且,由于CS的CPL发生改变,也导致了SS也...
课堂练习3.1:进程的描述与状态
Junds0的博客
05-25 5257
第1关:任务寄存器TR)的分析 分析版本1内核,回答下列问题: 1 号进程的任务状态TSS)的地址是多少?1 号进程的核心栈栈底的位置是多少? 1 号进程运行时,任务寄存器TR)的值是多少?它指向的任务状态描述符的值是多少?该描述符里记录的任务状态起始地址是多少? gdb调试 dbg调试 第2关:1 号进程的状态变化 本关任务根据相关知识回答问题: 1 号进程第一次由睡眠态变为就绪态时: 系统处于几号进程的上下文(或者说,当前进程是几号进程)? 内核的函数调用栈中的底层函数是什么?内核处
全局描述表GDT、任务状态TSS、局部描述表LDT之间的关系
最新发布
weixin_44992441的博客
04-12 567
在计算机从实模式(16位)转换到保护模式(32位)的过程中,寄存器却一直是16位,只能访问64KB内存,但是保护模式下的内存范围是4GB,16位寄存器就能够访问所有内存的秘诀就在于GDT这一结构,保护模式寄存器中保存的不再是基址,而是是选择子,通过选择子在GDT表中索引描述符,而描述符当中存储着真正的基址(32位),因此全局描述符表GDT就相当于内存的身份证,记录着一个内存的各种信息(前面说的基址只是描述符信息的一部分)。下面的图可以表示出三者之间的关系。
使用Rust开发操作系统(TSS,Task State Segment)
VenmoSnake的博客
12-18 782
Task State Segment一些理论知识任务(Task)任务管理的数据结构TSSTSS的结构 一些理论知识 任务(Task) 在计算机中,任务是处理器用于调度,执行和挂起的工作单元。它可以用于执行程序,任务或进程,操作系统服务程序,中断或异常处理程序或内核程序。 在IA-32e模式中提供了在调度执行任务时保存任务状态,可以从一个任务切换到另一个任务的机制,在保护模式中,所有处理器都需要任务...
14.[保护模式]TSS任务
diheqiu3577的博客
07-18 440
1.TSS的结构:   TSS不是寄存器,它是一个内存;(包含所有寄存器的值) 2.TSS的作用: 如果切换一个线程那么一定需要切换寄存器; 3.CPU怎么找到TSS内存块呢? 通过TaskRegister寄存器    TaskRegister寄存器 的值是CPU启动的时候通过GDT表中 TSS Descrptor (描...
TSS任务状态TSS描述符 任务寄存器TR任务门描述符 学习总结
chen1540524015的博客
07-01 1万+
1 任务状态TSS任务状态(Task-State Segment(TSS)),保存任务状态信息的系统任务状态。图7-2描述32位CPU的TSS信息。TSS主要分为动态字和静态字。 在任务切换过程中当任务挂起时,处理器会更新动态字,动态字有:  (1)通用寄存器任务切换之前,EAX,ECX,EDX,EBX,ESP,EBP,ESI,EDI寄存器状态。 
任务状态TSSTSS描述符、局部描述符表LDT及LDT描述符
MJ_Lee的博客
02-21 6251
1.TSS介绍 在一个多任务环境中,当发生了任务切换,需保护现场,因此每个任务的应当用一个额外的内存区域保存相关信息,即任务状态(TSS);TSS格式固定,104个字节,处理器固件能识别TSS中元素,并在任务切换时读取其中信息。 2.TSS与LDT对比 TSS/LDT对比 LDT每个任务都配有一个LDT,LDT基地址、界限等信息存放在任务对应的TCB中;将LDT视为一种特殊的内存,则可为每...
寄存器介绍
热门推荐
烂笔头
04-19 6万+
寄存器介绍
TSS详解 ——《x86汇编语言:从实模式到保护模式》读书笔记33
车子(chezi)
05-23 6003
TSS(Task State Segment,任务状态)详解
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值