保护模式(六)任务段任务门

最新推荐文章于 2022-10-16 00:07:25 发布
最新推荐文章于 2022-10-16 00:07:25 发布
阅读量469 收藏 2
点赞数
原文链接:https://blog.csdn.net/qq_41988448/article/details/102606747
版权

Windows保护模式学习笔记(五)—— 任务段&任务门

原创 最后发布于2019-10-18 09:10:16 阅读数 48 收藏
发布于2019-10-17 14:50:40
分类专栏: 逆向进阶
文章标签: Windows 保护模式 任务段 任务门 TSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接: https://blog.csdn.net/qq_41988448/article/details/102606747
展开

Windows保护模式学习笔记(五)—— 任务段&任务门

前言

一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com
二、海东老师牛逼!

要点回顾

  1. 在调用门、中断门与陷阱门中,一旦出现权限切换,那么就会有堆栈的切换;而且,由于CS的CPL发生改变,也导致了SS也必须要切换
  2. 思考:切换时,会有新的ESP和SS(CS是由中断门或者调用门指定)这2个值从哪里来的呢?
    答案:TSS (Task-state segment ):任务状态段

任务段

TSS (Task-state segment )

描述:

TSS是一块内存
大小:104字节
TSS存储了一堆寄存器的值

TSS结构图:
TSS结构图
TSS的作用

  1. Intel的设计思想:通过使用TSS以达到任务(线程)的切换
  2. 操作系统的设计思想:与Intel设计思想不同的是,Windows并没有根据Intel的设计思想来做,甚至Linux也没有这样做

TSS的本质

  1. 不要把TSS与"任务切换"联系到一起
  2. TSS的意义就在于可以同时换掉"一堆"寄存器

CPU通过TR段寄存器寻找TSS

TR段寄存器

描述:

TR寄存器的值是当操作系统启动时,从TSS段描述符中加载出来的,TSS段描述符在GDT表中
TR.Base = TSS起始地址
TR.Limit = TSS大小

TR段寄存器的读写

一、将TSS段描述符加载到TR寄存器
指令:LTR
说明:

  1. 用LTR指令去装载的话 仅仅是改变TR寄存器的值(96位)
  2. 并没有真正改变TSS
  3. LTR指令只能在系统层使用
  4. 加载后TSS段描述符的状态位会发生改变

二、读TR寄存器
指令:STR
说明:如果用STR去读的话,只读了TR的16位,也就是段选择子

TSS段描述符

描述:

TSS段描述符是系统段描述符中的一种

结构图:
TSS段描述符
Type = 二进制1001:说明该TSS段描述符被加载到TR段寄存器中
Type = 二进制1011:说明该TSS段描述符被加载到TR段寄存器中

TSSTSS段描述符TR段寄存器关系示意图:
TR段寄存器

实验:加载自定义TSS

第一步:获取必要参数

在VC6中运行如下代码并在main函数头部设置中断:

#include <windows.h>

DWORD dwOK;
DWORD dwESP;
DWORD dwCS;
char trs[6]={0};
void __declspec(naked) func()
{
	dwOK = 1;
	__asm
	{
		//jmp回去
		//jmp fword ptr trs;

		//call回去

		pushfd
		int 3 //此处int3会将nt位置1,不会通过link,因此提前保存eflag,返回之前还原nt位
		mov eax,esp
		mov dwESP,eax
		mov ax,cs
		mov word ptr [dwCS],ax
		popfd
		iretd

		
	}
}

int main(int argc, char* argv[])
{
	char bu[0x10];  //12ff70
	int iCr3;

	printf("input CR3:\n");
	scanf("%x", &iCr3);

	DWORD iTss[0x68] = {
		0x00000000,		//link
		0x00000000,		//esp0		//(DWORD)bu
		0x00000000,		//ss0
		0x00000000,		//esp1
		0x00000000,		//ss1
		0x00000000,		//esp2
		0x00000000,		//ss2
		(DWORD)iCr3,	//cr3
		0x0040DE50,		//eip
		0x00000000,		//eflags
		0x00000000,		//eax
		0x00000000,		//ecx
		0x00000000,		//edx
		0x00000000,		//ebx
		(DWORD)bu,		//esp
		0x00000000,		//ebp
		0x00000000,		//esi
		0x00000000,		//edi
		0x00000023,		//es
		0x00000008,		//cs		0x0000001B
		0x00000010,		//ss		0x00000023
		0x00000023,		//ds
		0x00000030,		//fs
		0x00000000,		//gs
		0x00000000,		//dit
		0x20ac0000};

		char buff[6];

		*(DWORD*)&buff[0] = 0x12345678;
		*(WORD*)&buff[4] = 0xC0;

		__asm
		{
			str ax;
			mov rs,ax;
		}
		*(WORD*)&trs[4]=rs;
		__asm
		{
			//jmp fword ptr buff;
			call fword ptr[buff]
		}

		printf("ok=%d \t ESP=%x \t CS=%x \n", dwOK, dwESP, dwCS);

		return 0;
}

进入反汇编窗口查看 func 函数起始地址,我这里是0x401020
func函数地址
将地址填入iTss数组注释为eip的地方,表示TSS切换后EIP的值
地址填入eip
再通过 memory 窗口查看iTss数组所在地址,记下来备用
iTss所在地址
注意:代码中如有地方发生修改,需要先停止程序,重新编译

第二步:构造TSS段描述符
Offset in Segment 31:16 = 0x0000		// 暂定
					  G = 0
					AVL = 0
				  Limit = 二进制:0000
				  	  P = 1
				  	DPL = 二进制:11
	   			   Type = 二进制:1001
	   	  Segment Limit = 0068H			// Intel规定TSS段描述符G=0时Limit必须大于或等于67H
Offset in Segment 15:00 = 0x0000		// 暂定

由上述参数构造出的门描述符为:0000E900`00000068

在第一步中,我们已经知道iTss数组所在地址为0x12FDCC
因此,TSS段描述符最终确定为:0000E912`FDCC0068

第三步:将TSS段描述符写入GDT表

我写入的地址是8003f0c0,若写入其他地址,则需要修改buff数组的后两个字节
在这里插入图片描述
这时候先不要急着继续运行代码,先在WinDbg中输入命令:!process 0 0
获得当前进程的Cr3(我这里进程名叫TestDoor.exe,之前是用来做调用门的实验,TSS没有新建项目)
在这里插入图片描述
DirBase的值就是Cr3

第四步:解除中断,继续执行代码

输入上一步得到的Cr3,回车
输入iCr3
WinDbg成功获得了中断信号
int3
这时候看一下反汇编代码
反汇编
可以确定正在执行func函数的代码

再看一下寄存器
reg
eip、cs、ss都符合我们想要的结果

至此,TSS切换成功!

思考:TSS切换完成后,如何回到切换前的下一行继续执行?

任务门

描述:

任务门存在于IDT表
任务门中包含TSS段选择子
可以通过访问任务门达到切换TSS的目的

结构图:
任务门

任务门执行过程

  1. INT N(N为IDT表索引号)
  2. 系统通过用户指定的索引查找IDT表,找到对应的门描述符
  3. 门描述符若为任务门描述符,则根据任务门描述符中TSS段选择子查找GDT表,找到TSS段描述符
  4. 将TSS段描述符中的内容加载到TR段寄存器
  5. TR段寄存器通过Base和Limit找到TSS
  6. 使用TSS中的值修改寄存器
  7. IRETD返回

实验:通过任务门切换TSS

第一步:构造任务门描述符

任务门描述符结构图灰色部分默认填充为0

					  P = 1
					DPL = 二进制:11
   TSS Segment Selector = 0x00C3		// TSS段描述符选择子

由上述参数及默认参数构造出的门描述符为:0000e500`00C30000

第二步:将任务门描述符写入IDT表

任务门写入IDT表

第三步:构造TSS段描述符

TSS段描述符构造具体过程参照任务段实验部分,这里不再详解,只给出测试代码

代码如下:

#include <windows.h>

DWORD dwOK;
DWORD dwESP;
DWORD dwCS;

void __declspec(naked) func()
{
	dwOK = 1;
	__asm
	{
		mov eax,esp
		mov dwESP,eax
		mov ax,cs
		mov word ptr [dwCS],ax
		iretd
	}
}

int main(int argc, char* argv[])
{
	char bu[0x10];  //12ff70
	int iCr3;

	printf("input CR3:\n");
	scanf("%x", &iCr3);

	DWORD iTss[0x68] = {
		0x00000000,		//link
		0x00000000,		//esp0		//(DWORD)bu
		0x00000000,		//ss0
		0x00000000,		//esp1
		0x00000000,		//ss1
		0x00000000,		//esp2
		0x00000000,		//ss2
		(DWORD)iCr3,	//cr3
		0x00401020,		//eip
		0x00000000,		//eflags
		0x00000000,		//eax
		0x00000000,		//ecx
		0x00000000,		//edx
		0x00000000,		//ebx
		(DWORD)bu,		//esp
		0x00000000,		//ebp
		0x00000000,		//esi
		0x00000000,		//edi
		0x00000023,		//es
		0x00000008,		//cs		0x0000001B
		0x00000010,		//ss		0x00000023
		0x00000023,		//ds
		0x00000030,		//fs
		0x00000000,		//gs
		0x00000000,		//dit
		0x20ac0000};

		__asm
		{
			int 0x20
		}

		printf("ok=%d \t ESP=%x \t CS=%x \n", dwOK, dwESP, dwCS);
		getchar();
		return 0;
}
第四步:运行代码

需要输入Cr3,Cr3获取流程参照任务段实验部分,这里不再详解

运行结果:
任务门运行结果
TSS切换成功!

至此,我们已经学会通过CALL/JMP以及任务门来切换TSS

思考:既然已经可以直接访问任务段了,为什么还要有任务门?

答:任务段位主动调用,任务门位被动调用,例如int 8 练习:请进入一环,流畅运行

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

吾乃花花
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
滴水逆向保护模式(段)
若面朝大海边竹妮春暖花开的博客
11-09 961
段寄存器结构 段寄存器共有96位,可见的只有16位,读取时也只能读取16位
保护模式教程
11-03
本文将深入探讨保护模式的相关知识点,包括分段管理机制、控制寄存器和系统地址寄存器、实模式保护模式的切换、任务状态段和控制、控制转移、中断和异常。 1. 分段管理机制 在保护模式下,内存不再被视为连续的...
Windows保护模式学习笔记(五)—— 任务段&任务
qq_41988448的博客
10-18 1934
Windows保护模式学习笔记(五)—— TSS/TR段寄存器/TSS段描述符前言要点回顾TSSTR段寄存器TR段寄存器的读写TSS段描述符实验:加载自定义TSS 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 要点回顾 在调用、中断与陷阱中,一旦出现权限切换,那么就会有堆栈的切换;而且,由于CS的CPL发生改变,也导致了SS也...
Windows保护模式(五)任务段&任务
sky123博客
10-16 1480
call 加载 TSS 的指令格式为call 16位TSS段选择子:无效EIP,因此可以在 GDT 中构造一个段选择子然后指向自己构造的 TSS 然后 call 过去。利用 call 指令进行 TSS 加载时会将 EFLAGS 寄存器中的 NT 位置 1 ,表示中断嵌套,根据 NT 位是否为 1,iretd 返回时会选择根据 Previous Task Link 选择 TSS 还是根据堆栈返回。如果在切换任务函数中使用了int 3断点会将 NT 位置 0 导致返回时根据堆栈返回触发蓝屏。
【OS学习笔记】二十六 保护模式八:任务---任务切换
厚积薄发
12-17 1720
上一篇文章学习了:保护模式七:调用与依从的代码段----特权级保护 主要学习了以下内容: 描述符特权级(目标对象的特权级)DPL 描述符特权级(目标对象的特权级)DPL 当前特权级CPL 低特权级的应用调用高特权级的操作系统代码的两种方法 第一种方法是将高特权级的代码段定义为依从的 第二种方法是使用调用 请求特权级RPL 今天接着上一篇文章学习: 任务切换的方法 1...
13-任务状态段(TSS)
热门推荐
进击的小学生
09-24 1万+
任务状态段不要被名字所吓倒,它不过是一块位于内存中的结构体而已。有一点需要注意的是,不要把它和任务切换关联起来(切记),否则你会被搞晕,它只是位于内存中的一段数据。Intel 白皮书给出TSS在内存中的图是这样的,它保存了一些重要的值。 抽象成结构体就是下面这个样子。struct TSS { DWORD link, // 保存前一个 TSS 段选择子,使用 call 指令切换寄
16-任务实验
进击的小学生
09-25 1971
在第11篇《TSS切换实验》中,我们已经完成了使用 call 模拟了 TSS 的第二个功能——替换一堆寄存器。上一篇中,提到了任务同样可以完成这个功能。本节主要通过设计任务描述符以及INT指令来完成TSS的第二个功能。思路 编写测试入口函数,把它的函数入口地址填写到 TSS 段中 构造 TSS 段 设计 TSS 段描述符,安装到 GDT 表 设计任务,安装到 IDT 表 编写主函数,使用 IN
15-任务
进击的小学生
09-24 3759
任务上一节已经基本掌握了使用 call/jmp 去访问一个任务段,来达到切换一堆寄存器的目的。但是,CPU同时又提供了另一种方法让我们访问任务段——任务。而任务是安装在 IDT 表中的。之前学中断的时候,就简单介绍了IDT表中可以安装中断、陷阱,还有一个当时只是稍微提了一下,那就是任务。说白了就是想表达,IDT 表中只可以安装 3 种:中断、陷阱任务。思考一下,既然都可以使用
保护模式及其编程——任务管理
河西无名式
02-23 2053
摘要:任务是处理器可以分配、调度、执行和挂起的一个工作单元。用于可执行程序、任务或者进程、操作系统服务、中断或者异常处理过程和内核代码。通过中断、异常、跳转或者调用我们可以执行一个任务任务描述符表中与任务相关的描述符有任务状态描述符和任务,当执行权转移到上述任何一种描述符的时候,将会造成任务切换。 任务切换很像过程调用,但是会保存更多的处理器信息。任务切换几乎要保存所有的处理器寄存器信息
【OS学习笔记】三十六 保护模式十:通过中断发起任务切换----中断任务
厚积薄发
12-18 1397
上一篇文章学习了:OS学习笔记】三十五 保护模式十:中断描述符表、中断和陷阱 本篇文章接着上一篇文章学习中断任务。 我们在前面文章中一直在说通过中断发起任务切换,本文就是将之前没有说明白的内容:通过中断发起任务切换讲明白。 1、 中断任务 当中断和异常发生时,如果根据中断向量从IDT中找到的描述符是任务,则不是进行一般的中断处理过程,而是发起任务切换。如下图,是通过中断发起任务切换的原理: ...
80x86保护模式(描述符,选择符,任务切换)
这里是为我所统率的战场
03-18 1502
80x86保护模式之描述符,选择符,任务切换基本运行流程大致要点解释1.80386段管理机制1.1 段1.2 描述符1.2.1 存储段描述符1.2.2 系统段描述符1.3 描述符表1.4 段选择符1.5 段寄存器1.6 段变换2.多任务2.1 任务状态段2.2 任务寄存器2.3 任务2.4 任务切换2.4.1任务切换的四种形式2.4.2任务切换步骤2.4.3一个任务的运行环境3.中断与异常处理3.1 中断描述符表(IDT)3.2 IDT描述符3.3 中断和异常处理3.3.1 不进行任务切换的处理过程(中断
Dos保护模式接口规范.rar_DOS_保护模式
09-19
保护模式是相对于DOS早期的实模式而言的,它提供了更高级的内存管理和硬件访问方式,使得多任务和多用户环境成为可能。由于这份规范现在已经难以找到,因此对于研究DOS系统或者对早期操作系统感兴趣的开发者来说,它...
微处理机在保护模式下多任务切换的剖析.pdf
09-24
为了解决这个问题,系统定义了任务和调用,这些结构与描述符相同,允许低特权级任务转向高特权级任务,这就是所谓的直接任务切换方式。此外,还可以利用中断/异常机制进行间接任务切换,此时系统不实施特权级...
80x86保护模式编程教程.rar_80X86_protected mode_x86_保护模式_保护模式 编程
09-19
6. **任务切换**:保护模式允许在不同任务间安全地切换,这在多任务环境中尤为重要。任务状态段(TSS)保存了当前任务的状态,以便在切换时恢复。 教程中的"80x86保护模式编程教程.chm"很可能包含详细的理论讲解、...
80x86保护模式教程
12-12
- **分段机制**:保护模式下,内存不再是单一连续的地址空间,而是由多个逻辑段组成,每个段有自己的基地址和长度,通过段选择子和偏移地址共同确定物理地址。 - **页面机制**:引入了页表来映射逻辑地址到物理...
方案-基于云架构的校园信息化建设方案.pdf
最新发布
07-29
方案-基于云架构的校园信息化建设方案.pdf
【创新未发表】Matlab实现蛇群优化算法SO-Kmean-Transformer-LSTM负荷预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【创新未发表】Matlab实现北方苍鹰优化算法NGO-Kmean-Transformer-LSTM组合状态识别算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【创新未发表】Matlab实现蝗虫优化算法GOA-Kmean-Transformer-BiLSTM组合状态识别算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值