段使用时相关的检查与调用门实验

最新推荐文章于 2023-01-01 23:04:04 发布
最新推荐文章于 2023-01-01 23:04:04 发布
阅读量285 收藏
点赞数
分类专栏: windows 驱动开发 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/89547022
版权
windows 同时被 3 个专栏收录
105 篇文章 15 订阅
订阅专栏
内核
85 篇文章 6 订阅
订阅专栏
驱动开发
83 篇文章 10 订阅
订阅专栏

段类型检查

加载段选择符进入段寄存器时候

  • CS只能存放可执行的选择符
  • 不可读可执行不能被加载到数据段寄存器
  • 只有可写的数据段才能加载到SS

段权限检查

当给段寄存器赋值,实际是从GDT中获取相应的段描述符加载到段寄存器的不可见部分。这个时候有个权限检查,有三个概念:

  • CPL:当前代码执行权限
  • DPL:存在段描述符中,描述访问本段内存需要的权限
  • RPL:存在于段寄存器加载时的段选择子中,描述了使用什么样的权限对目标进行访问

从数值上MAX(CPL,RPL)<DPL.

段内跳转不会产生权限检查(JMP,CALL,RET),段间会。

当S为0时:

  • 调用门:Type=12。
  • 中断门:Type=14。
  • 陷阱门:Type=15。
  • 任务门:Type=5。

调用门

调用门图片

调用门图片


调用门描述符中存储了一个代码段的段选择子。
指令格式:CALL CS:EIP(EIP废弃的)

  • 根据CS的值查GDT表,找到对应段描述符,之歌描述符是一个调用门。
  • 在调用门描述符中存储着另一个代码段的段选择子。
  • 选择子指向的段,段Base+偏移地址,就是真正要执行的地址。
    通过调用门可以原图,不过Windows并没有用调用门。

段寄存器一共有 96 位,其中16可见部分来源于段选择子的索引部分。剩下80位来源于 GDT表。++那GDT表64位是怎么表示80位的段描述符呢?++ 是有一部分是G位为零代表粒度是1字节,在段限长前面补12位000,如果G为1在段限长前面补FFF,FFF刚好4KB。(段限长就是FFFFF),所以当G=0,即粒度是1B时候,范围就是
2^00000000^到2^000FFFFF^即1B到4MB,当G=1,即粒度是1B时候,范围就是2^FFF00000^到2^FFFFFFFF^,即4KB到4GB。

中断门和陷阱门

除了GDT外,还有一个地方也存着门描述符,被称为IDT(中断描述符表)。
IDT中存着3种门描述符:

  • 中断门描述符
  • 陷阱门描述符
  • 任务门描述符

当S为0,type为1110是个中断门
中断门描述符存储着一个断码段选择子。
当S为0,type为1111是陷阱门

  • 陷阱门用于存放异常处理函数
  • 中断门用于存放中断处理函数地址
  • 中断门执行时候IF位会清零,屏蔽可屏蔽中断,陷阱门不会。

调用门提权实验

先确定一个事情,怎么提权?是要构造一个调用门描述符,然后CALL这个段的一个地址所以这个段的DPL得是3环的,所以,在构造的调用门描述符里,DPL位是3即11b,即3环就能访问本段的程序。然后这个调用门里的段选择子(就是13位可见的那部分个)是要执行的段,所以他的段选择子的RPL要是高权限,所以他的RPL应该是00,Ti也0,查GDT第二个就行所以索引是1,所以合起来是1000b,所以段选择子是8,所以要构造的调用门描述符里8,的作用是让其RPL是00为0,环以0环权限去访问,Ti为是0找GDT表,其他位置弄成如下
XXXXEC000008XXXX
下面的代码相关信息如下

  • 前后XXXX为偏移,比如你要执行的代码的偏移,即下文函数的入口,构造下面代码
  • 0x80b95500为任意一个内核空间(高地址空间),为了验证能不能提权,得到内核的信息。
  • retf为不仅像ret一样pop ip,还pop cs
  • 0x00,0x00,0x00,0x00,0x63,0x00 为CS:IP,因为内存以小端寸断存储。所以是这样,IP可以任意
  • fword为远跳,6字节的,用于段间跳转。
  • CS为0x63,即下面代码要CALL的段选择是0x63,是因为我们找了一个GDT里的空位为第12个位置,所以是1100,然后找GDT,权限是3环,所以段选择子是1100011b,所以这个是63
  • 注意vs要关闭随机基址,虚拟机要单核,比较好做这个实验
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

#include "stdafx.h"
#include <Windows.h>
int g_num = 0;
_declspec(naked) void fun() {
	//这里如果用了 int 3 那么回到3环的时候,会造成程序崩溃,因为回去的时候,FS会被置0;
	_asm {
		push eax;
		mov eax, DWORD ptr ds : [0x80b95500];
		mov g_num, eax;
		pop eax;
		retf;
	}
}

int main() {
	char buf[6] = { 0x00,0x00,0x00,0x00,0x63,0x00 };
	_asm {
		call fword ptr ds : [buf];
	}
	printf("%x", g_num);
	system("pause");
	return 0;

}

参考资料:

[1]:赵炯,《Linux内核完全剖析》,机械工业出版社. 4.3.4节
[2]:https://blog.csdn.net/q1007729991/article/details/52538080
[3]:李忠,《x86汇编语言:从实模式到保护模式》,电子工业出版社

kernweak
关注
专栏目录
调用实战(2)----调用特权级转移理论篇
金俊小筑
11-20 1218
<br /> <br />假设我们想由代码A转移到代码B,运用一个调用G,调用G中的目标选择子指向代码B的。这里有几个要素:CPL、RPL、代码B得DPL(DPL_B)、调用G的DPL(DPL_G)。A访问调用G是,要求CPL和RPL都小于等于DPL_G。即CPL和RPL需要在更高的特权级上。<br /> <br />除了上面一步符合要求之外,系统还将比较CPL和DPL_B。如果一致代码的话,要求DPL_B<=CPL;如果非一致代码的话,call指令和jmp指令有所不同。call指令要求D
java实验检查危险品代码_实验报告题目
weixin_33220713的博客
02-23 3496
第二章:2第三章:1,3,6,9,10第四章:3,5,7第五章:2第六章:1第七章:1( 三)年级【实验题目】研究根的作用间:3月13日【实验目的】会设计观察实验;知道根有吸收作用。 【实验器材】带根的的植物、试管、花生油。 【实验过程】1、在试管中加入适量的水。2、把植物放入试管中。3、在试管里滴入花生油,防止水分蒸发。4、用橡胶塞(中间钻孔、切成两半利于固定植物)固定好植物,并在管壁处做标记...
10-调用(有参)实验
进击的小学生
09-14 2584
编写R0函数int g_a, g_b, g_c; __declspec(naked) void getParam(int a, int b, int c) { __asm { // int 3 // 取消注释可以在WinDbg中看R0栈数据 pushad // 0x20 B pushfd // 0x04 B //
特权级3(调用
xyjikl
08-31 445
调用的作用 gate简单来说可以想象成政府为人民提供的一个政府诉求中心,它可以集中收集人民对政府的要求和投诉,然后把这些诉求发给相关的政府部来处理。   提供了受保护的间接调用,为任务内的特权转移提供了安全可靠的方法。由于程序不可能进入具有更高优先级中的任何位置。如果他们一定要进入,则只能使用调用进入到调用描述符指定的位置。而操作系统中定义了系统中的全部,因此也就保证了所有的
调用提权操作
weixin_34313182的博客
06-21 257
1。调用在gdt表中 在dgt表中注册一个回调函数 然后调用 提权与中断相同操作 nt!DbgBreakPointWithStatus+0x4: 83eb2110 cc int 3 kd> r gdtr gdtr=80b95000 kd> dq 80b95000 L30 80b95000 00000000`00000000 00cf9b00`0...
6.调用
My classmates
10-11 738
1、调用执行流程指令格式: CALL CS:EIP(EIP是废弃的)cs:真正执行的代码下面解释 执行步骤:. 1)根据CS的值查GDT表,找到对应的描述符,这个描述符是一个调用 2)在调用描述符中存储另一个代码的选择子 3)选择子指向的.Base +偏移地址就是真正要执行的地址. 当s位为0的候说明是系统描述符了, type域为1100这后就是一个描述符。 它的低16...
实验二 2选1多路选择器-IP核的封装与调用
最新发布
07-31
在提供的“实验二 2选1多路选择器——IP核的封装与调用.pdf”文档中,你应该能找到详细的步骤指南、设计流程图以及相关的Verilog或VHDL代码示例。而“2选1多路选择器.v”或类似的文件名可能是包含该IP核实例化的源...
微原软件实验三:中断实验与编程
06-27
### 微原软件实验三:中断实验与编程 #### 实验背景 本次实验的主要目标是理解和实践PC机中断系统的操作,以及如何利用定/计数器芯片8253进行中断编程来实现一个简单的钟功能。通过这个实验,学生不仅能够深入...
实验级数字电路的建立和仿真.pdf
06-19
实验旨在通过建立和仿真级数字电路,特别是4选1数据选择器,使学生掌握Verilog-XL仿真器的使用,理解层次化、模块化设计的方法,并熟悉NCSU数字器件库的应用。 实验目的主要分为两部分: 1. 学习如何使用...
《数据结构与算法》实验大纲.docx
11-07
实验大纲针对的是《数据结构与算法》这课程,旨在帮助学生深入理解和掌握数据结构及其相关算法的基础知识。实验的目的不仅在于巩固理论学习,而且要让学生熟悉如何运用这些知识解决实际问题。通过实验,学生将...
一个调用源码很好理解
03-30
一个调用的例子。比较容易上手,让大家理解调用
操作系统实验六:保护模式之使用调用提升特权级
miaowangjian的专栏
02-14 2951
对IA32分机制中特权级的个人总结: 在IA32的分机制里,分为4个特权等级(ring0~ring3):      Level0                高(内层)    L e v e l 1                              L  e  v  e  l  2                         L   e   v   e   l   3
[保护模式]调用
鬼手的博客
12-01 1136
文章目录调用调用执行流程调用描述符调用实验无参调用示例代码构造调用修改GDT表执行流程中断现场有参调用示例代码构造调用修改GDT表中断现场总结 调用 调用执行流程 CALL FAR的指令格式:CALL CS:EIP(EIP是废弃的) 执行步骤: 根据CS的值 查GDT表,找到对应的描述符,这个描述符是一个调用调用描述符中存储另一个代码选择子 选择子指向的 ...
windows x32调用/中断实现 ring3提权
不会写代码的丝丽
01-01 1192
调用是Intel提供的一个机制,用于控制不同权限级(ring0-ring3)的程序函数调用。简单点就是提供了一个ring3 调用ring0 函数的机制。在intel手册描述如下详细可参阅实现调用需要构造一个调用描述符放入GDT或者LDT中。指向代码选择子,P表示是否有效,如果栈转化那么指示要从调用方栈拷贝到目标栈的word(16位)数。type固定为1100.如果调用的代码是ring3权限(CPL),而目标调用是ring0(RPL)权限,栈区是不共享的因此需要将栈区的参数拷贝到目标栈中。
处理器内部中断特权级检查
weixin_51781547的博客
01-20 498
处理器内部进行特权级检查。 由于中断是通过中断向量号通知到处理器的,中断向量号只是个整数,其中并没有 RPL,所以在对由 中断引起的特权级转移做特权级检查中,并不涉及到 RPL。中断的特权检查调用类似,**对于软件主动发起的软中断,当前特权级 CPL 必须在描述符 DPL 和中目标代码 DPL 之间。**这是为了防止位于3 特权级下的用户程序主动调用某些只为内核服务的例程。 (a) 如果是由软中断 int n、int3 和 into 引发的中断,这些是用户进程中主动发起的中断,由用户代码控制,
调用、堆栈切换与调用过程返回
RToax
06-28 717
论天下大势,合久必分分久必合。上回书我们说了《CPL,RPL和DPL:这三个级别你搞懂了吗?》,这回书我们讲调用以及堆栈切换。 描述符 为了提供对具有不同特权级别的代码的受控访问,处理器提供了一组特殊的描述符,称为描述符。有四种描述符: 调用 陷阱 中断 任务 任务用于任务切换,陷阱和中断是用于调用异常和中断处理程序的特殊类型的调用。本文仅涉及调用调用 调用促进了不同权限级别之间程序控制的受控转移。它们通常仅用于使..
重新认识Intel权限检查(二)
Take Easy,Work Hard!
04-02 479
Intel的权限检查通过机制实现,分两种情况:CPU特权级不变代码转移的权限检查,CPU特权级变化代码转移的权限检查。用两章讨论,第一章是特权级不变的权限检查,第二章是特权级变化的权限检查
(第三章 10)“代码间跳转” 和 “访问数据
chuanwang66的专栏
06-10 270
下面说明代码和数据的访问: 一、代码间跳转 1、普通(直接)跳转: JMP Selector:0 或 CALL Selector:0 1)一致代码(JMP&amp;CALL) 要求:CPL&gt;=DPL,RPL不作检查 特权变化:跳转后程序CPL=跳转前程序CPL 2)非一致代码(JMP&amp;CALL) 要求:CPL=DPL &amp; RPL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值