[转](8)JMP FAR段间跳转

最新推荐文章于 2024-04-03 18:18:40 发布
最新推荐文章于 2024-04-03 18:18:40 发布
阅读量367 收藏
点赞数
原文链接:https://blog.csdn.net/Kwansy/article/details/108785821
版权

 

一、回顾

 

在前面的课程中我们学习了MOV和LES等修改段寄存器的指令,当时老师说过,CS寄存器比较特殊,不能用MOV和"LCS"进行修改,原因是CS和EIP共同决定下一条指令的地址,要修改CS,就必须同时修改EIP,这也是Intel没有提供"LCS"指令的原因。

 

在这里插入图片描述

 

二、JMP FAR 执行流程

 

JMP 0x20:0x004183D7

JMP修改了CS段选择子的值  RPL无论改不改都是3,修改为0也不能加载DPL为0的段描述符 进行跨权。

上面是一条 JMP FAR 指令,CPU执行该指令分为以下5步:

 

(1)拆分段选择子
0x20 = 00100 0 00
RPL = 0
TI = 0
INDEX = 4

 

(2)查GDT表得到段描述符
根据段选择子拆得的下标,找到GDT表第5项。如果P=1,S=1,TYPE高1位=1,则表明这是一个代码段,就可以进行下一步。

 

(3)权限检查
TYPE域高2位是C属性,C=0表示非一致代码段,C=1表示一致代码段。
如果是非一致代码段,要求:CPL == DPL 并且 RPL <= DPL;
如果是一致代码段,要求:CPL >= DPL。

 

(4)加载段描述符
通过上面的权限检查后,CPU会将段描述符加载到CS段寄存器中。

 

(5)执行代码
CPU将 CS.Base + Offset 的值写入EIP 然后执行CS:EIP处的代码,段间跳转结束。

 

三、练习

 

非一致代码段:

 

要求:CPL == DPL 并且 RPL <= DPL
所以,我们需要寻找P=1,DPL=11,S=1,TYPE=10??的段。
解释:我们的程序在3环,CPL=3,根据要求,DPL也一定要是3,P=1段才有效,S=1,TYPE高1位是1才是代码段,TYPE高2位是0才是非一致代码段。
观察GDT,可以发现,满足条件只有第四个,已用红色箭头标出:
在这里插入图片描述
RPL可以取00或11,TI=0,INDEX=00011,所以段选择子可以取0x18或0x1B.
打开OD,观察CS,此时CS=0x1B,为了看到CS的变化,我们取段选择子为0x18.
观察段描述符,BASE=0,LIMIT=FFFFFFFF,所以Offset可以任取,为了方便观察,我们就取EIP后面不远处的一条指令来测试。
在这里插入图片描述

 

将EIP处指令修改为 JMP FAR 0018:0046FEAD,观察执行前后EIP和CS的变化。

 

在这里插入图片描述
在这里插入图片描述

 

和预期有出入,EIP确实修改成功了,但是CS并没有变成0x18,我用原版OD,DTdebug和x64dbg测试过,结果都是一样的,CS没变。
这里我说一下我的分析:可能OD认为CS寄存器指向的段没有改变(1B和18的区别是RPL,但是在GDT里是同一个地方),所以就没更新?
OD这个特性导致我们没办法观察CS的变化,为了解决这个问题,可以把 00cffb00`0000ffff 复制一份到别处。

 

在这里插入图片描述

 

在windbg中使用eq命令可以拷贝数据

 

在这里插入图片描述

 

此时,8003f048 标记了一个段,它的值和8003f018完全相同,区别是在GDT表的位置不同。
然后我们修改段选择子为01001 0 00 或 01001 0 11,比如取前者0x48,再次执行指令,观察EIP和CS变化:
在这里插入图片描述
在这里插入图片描述

 

这次可以看到,EIP和CS都被修改了。但是还是和预想有出入,CS并没有和预想一样改成48,而是改成了4B。并且后面的32bit变成了16bit,我无法解释这些现象。观察得到的结论就是,OD或操作系统会将RPL=00的段选择子改为11.

 

 

2020年11月2日21:53:12 补充:
查阅Intel开发手册,有如下一段话:

 

Current privilege level (CPL) — The CPL is the privilege level of the currently executing program or task. It
is stored in bits 0 and 1 of the CS and SS segment registers. Normally, the CPL is equal to the privilege level of
the code segment from which instructions are being fetched. The processor changes the CPL when program
control is transferred to a code segment with a different privilege level. The CPL is treated slightly differently
when accessing conforming code segments. Conforming code segments can be accessed from any privilege
level that is equal to or numerically greater (less privileged) than the DPL of the conforming code segment.
Also, the CPL is not changed when the processor accesses a conforming code segment that has a different
privilege level than the CPL.

 

说得很清楚了,CS, SS低2位是当前CPL,因为JMP FAR之后还是在3环,所以CS低2位当然是11了。这不是你RPL能决定的。

 

 

接下来,我们把DPL改成0,再次测试

 

kd> eq 8003f048 00cf9b00`0000ffff
kd> g

 

此时CPL!=RPL,执行指令会跳到异常处理。
在这里插入图片描述

 

在这里插入图片描述

 

一致代码段:

 

一致代码段可以让用户态访问内核态(CPL=3时访问0环代码),一致代码段又叫共享段。如果有些内核代码不会对内核造成破坏的,希望用户态程序直接访问的,就可以设置成一致代码段。WINDOWS XP中没有使用一致代码段,所以这个实验我们要自己构造一致代码段。
要求:CPL >= DPL
直接修改 8003f048,将其改为DPL=0的一致代码段,然后我们在3环访问它。

 

kd> eq 8003f048 00cf9f00`0000ffff
kd> g

 

执行 JMP FAR 004B:0046FEAD 指令,观察结果。

即使把段选择子 修改为0048,也是能成功的 说明 CS的 RPL  总是3

在这里插入图片描述

 

结果和预期一致,低权限程序跳转到高权限代码段成功了。


---------------------
作者:hambaga
来源:CSDN
原文:https://blog.csdn.net/Kwansy/article/details/108813337
版权声明:本文为作者原创文章,转载请附上博文链接!
内容解析By:CSDN,CNBLOG博客文章一键转载插件

昵称正在加载
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
(8)JMP FAR段间跳转
hambaga的博客
09-27 1980
一、回顾 在前面的课程中我们学习了MOV和LES等修改段寄存器的指令,当时老师说过,CS寄存器比较特殊,不能用MOV和"LCS"进行修改,原因是CS和EIP共同决定下一条指令的地址,要修改CS,就必须同时修改EIP,这也是Intel没有提供"LCS"指令的原因。 二、JMP FAR 执行流程 JMP 0x20:0x004183D7 上面是一条 JMP FAR 指令,CPU执行该指令分为以下5步: (1)拆分段选择子 0x20 = 00100 0 00 RPL = 3 TI = 0 INDEX = 4 (2
assembly 汇编 王爽 jmp移指令总结 思维导图
10-13
4. **段间跳转**:在16位或32位的x86系统中,为了跨越不同的代码段,会使用 `jmp far ptr seg:offset`,其中seg是段选择子,offset是段内的偏移地址。 5. **条件跳转**:虽然不是直接的 jmp 指令,但与之相关的如 `...
(3) [保护模式]代码跨段跳转 (jmp far)
qq_50332504的博客
02-25 1586
使用jmp far修改CS寄存器的值 ES, SS, DS, FS, GS, LDTR, GDTR, IDTR, TR都可以通过一些指令来直接修改其值,但唯独CS寄存器不行。本文将说明CS如何 使用jmp far指令 修改CS寄存器的值,以及一些jmp far指令的小细节
6.JMP FAR段间跳转(长跳)
qq_35129925的博客
03-02 1276
一、知识点回顾 在前面的课程中我们学习了MOV和LES等修改段寄存器的指令,当时老师说过,CS寄存器比较特殊,不能用MOV和"LCS"进行修改,原因是CS和EIP共同决定下一条指令的地址,要修改CS,就必须同时修改EIP,这也是X86没有提供"LCS"指令的原因。 ...
4.6 offset指令,jmp short指令,far,dword ptr各种跳转指令
最新发布
2203_75300307的博客
04-03 835
可以修改IP,或同时修改CS和IP的指令统称为移指令。概括的讲,移指令就是可以控制CPU执行内存中某处代码的指令。
64 位下 jmp 指令 Intel 与 AMD 的实现
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
11-28 3412
64 位下 jmp 指令 Intel 与 AMD 的实现 mik (mik@mouseos.com) 今天我注意到了在 64 位模式下 far jmp 指令的 Intel 和 AMD 实现的一些差别,源于下面的指令:         jmp far [compatibility_pointer] compatibility_pointer:         dd c
汇编语言jmp指令用法总结
03-19
`jmp far ptr 标号`:这种形式的`jmp`指令会同时改变`CS`和`IP`,使得程序可以跳转到不同的代码段。它使用标号的完整段地址和偏移地址。 3. **寄存器中的移**: `jmp 某一合法寄存器`:这里的“某一合法寄存器...
inout、jmp、lea、lods指令演示
01-22
`jmp`有多种变体,包括段间跳转,允许程序在不同的代码段之间移动执行。例如,`jmp far ptr destination`会跳转到指定的段地址和偏移地址,这对于处理多任务或多模块程序非常有用。熟练掌握`jmp`指令可以帮助我们...
微型计算机原理与接口技术:3控制移指令.ppt
06-17
例如,JMP FAR PTR 标号指令可以将程序跳转到其他段的标号所在的位置。 (二)有条件移 有条件移是指程序根据一定的条件跳转到其他位置。如果条件成立,程序将跳转到其他位置;否则,程序将继续执行下一条指令...
汇编语言-在线第6周1.pdf
01-10
- **直接寻址**:指令中直接包含目标地址,如`JMP FAR ptr address`,常用于段间移。 - **间接寻址**:通过寄存器或存储单元间接获取目标地址,如`JMP [BX]`,`JMP [EAX]`。 3. **程序流程控制移**: - **...
jmp far
jadeshu的博客
01-01 545
jmp 0x20:0x0123 分析步骤: 1.段选择子拆分 0X20 = B100000 ===>TI = 0;RPL=0;INDEX = 4 2.查DGT表得到段描述符 TI = 0 ,所以查找GDT表 INDEX=4 ,可找到对应的段描述符 四种情况可以跳转:代码段、调用门、TSS任务段、任务门 3.权限检查 如果是非一致性代码段,要CPL==DPL并且RPL <= DPL 如果是一致性代码段(即代码共享),要求CPL>=DPL ...
汇编中的jmp移指令:jmp short、jmp near ptr、jmp far ptr
热门推荐
yeanhoo的博客
08-14 2万+
汇编中的jmp移指令:jmp short、jmp near prt、jmp far ptr 从8086CPU的定义上来讲,只要是可以修改IP(指令指针寄存器),或同时修改CS(代码段寄存器)和IPIP(指令指针寄存器)的指令统称为移指令。也就是说,移指令是用来控制CPU指令内存中某处代码的指令。 那么通过移区间的不同进行分类则有以下情况: 段内移:只修改IP的值。也就是说,CS的值不变化...
汇编JMP寻址时short,near,far区别
ITtraveler的专栏
12-02 1万+
jmp为无条件移指令,可以只修改IP,也可以同时修改CS和IP。 jmp指令要给出两种信息: (1)移的目的地址 (2)移的距离(段间移、段内移、段内近移) 不同的给出目的地址的方法,和不同的移地址位置,对应有不同格式的jmp指令。 依据位移进行移的jmp指令: 【1】jmp short 标号(移标号处执行指令)          IP修改范围:-128~127,"
内核学习记录【保护模式与驱动编程】
qq_45844442的博客
04-27 2384
滴水内核学习记录看前须知保护模式学习保护模式意义段寄存器段描述符门页TLB中断与异常PEB与TEB驱动编程分页与非分页内存三环与0环通信 看前须知 从今天起开始记录文章,你我共同学习,体会学习的快乐。因为之前这些东西我都在本地记录,所以一次发布的比较多。我个人比较喜欢以问答的方式记录学习,所以可能如果大家光看我的文章是看不懂,你可以把我文章当成是已经学习过后进行快速复习的一种途径,文章也是按照学习路线进行书写的。当然有些我个人感觉很简单或者不重要的我就没有记录,大家也可以提出,方便你我共同进步。 学习的过程
系统调用过程
richard1230的博客
03-29 967
1.sysenter指令 EFLAGS主要包含: 2.分析CreateFile三环到0环的调用过程 老方法; 各种门 自陷门 int 0x2E 新方法: 1.sysenter指令 a. sysenter 被执行之后 将控制权传递给特殊模块寄存器 b.跟systenter 配合的MSRs寄存器有3个 名称 偏移 说明 SYS...
JMP段的跳转short、near、far
zplove003的专栏
02-28 9157
无条件移指令jmp: 这种跳转指令有三种方式:短(short),近(near)和远(far)。短是指要跳至的目标地址与当前地址前后相差不超过128字节。近是指跳转的目标地址与当前地址在用一个段内,即CS的值不变,只改变EIP的值。远指跳到另一个代码段去执行,CS/EIP都要改变。短和近在编码上有所不同,在汇编指令中一般很少显式指定,只要写 jmp 目标地址,几乎任何汇编器都会根据目
Windows WOW64 nativeapi 逆向详解,32程序兼容剖析
qq_31314583的博客
11-19 1289
前言 windows有很多核心的原生api,其中包含sdk声明的和文档未声明的。主要由于ntdll.dll和win32u.dll(服务号0x1000-0x1FFF)导出。 WOW64 (Windows-on-Windows 64-bit)是一个Windows操作系统的子系统,用于模拟32位环境,使得32位执行程序在x64系统正常运行。 而64位系统字长变为64位,因此是无法直接执行32位的可执行代码的。因此x64引入了兼容32位执行程序的wow64 子系...
android hook截取其他程序的按钮事件_ScyllaHide的Hook原理
weixin_39946460的博客
11-22 206
Hook是通过修改程序代码或数据,达到改变程序逻辑的目的。Hook种类很多,ScyllaHide主要使用的是inline hook,也就是在运行的流程中插入跳转指令(call/jmp)来抢夺程序运行流程的一个方法。Hook根据系统版本(win7、win8、win10等)、cpu架构(x86、x64)、子系统类型(是否是wow64进程),实现由细微差别。本节只讨论win7、x64下32位进...
段内寻址段内直接寻址 JMP NEAR PTR NEXT 段内间接寻址 JMP TABLE [ BX ] 段间寻址段间直接寻址 JMP FAR PTR NEXT 段间间接寻址 JMP DWORD PTR [ BX ]
05-31
3. 段间直接寻址:JMP FAR PTR NEXT,表示跳转到另一个代码段中的NEXT标记所在的位置。 4. 段间间接寻址:JMP DWORD PTR [BX],表示使用BX寄存器中的值作为跳转目标地址的偏移量,从另一个代码段中获取跳转目标地址...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值