认识 IDT表

最新推荐文章于 2022-09-16 11:34:58 发布
最新推荐文章于 2022-09-16 11:34:58 发布
阅读量3k 收藏 2
点赞数 1
分类专栏: 驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zang141588761/article/details/82972489
版权

A、反断点的一些原理

   B、认识IDT表

   C、IDT表相关结构

   D、读出IDT表-sidt指令

   E、测试

一、反断点的一些原理

    1、让他不能正常下断点 (0xCC断点int 3)

    2、正常下断点后,让他不能断下(IDT HOOK)

二、IDT表

大小 00-0xFF ,0-255

返回 iretd ;

中断INT n

举个简单的例子

我们常会在驱动代码里写一行_asm int 3

这样我们就手动设置了一个断点,当代码执行到这里 就会使CPU的执行暂停,并跳到中断处理函数中去执行。

 

同样的和SSDT与SSDT Shadow一样 IDT也有一张IDT表(俗称中断描述符表)

1、怎么样获取IDT表基址?

2、怎么样读取IDT表 中的中断函数地址?

__asm sidt idt_info

#pragma pack(push)

#pragma pack(1) //

typedef struct _IDTR //IDT基址

{

    USHORT limit; //范围 占8位

    ULONG base;  //基地址 占32位 PIDT_ENTRY类型指针

}IDTR,*PIDTR;

256*8

typedef struct _IDT_ENTRY

{

    USHORT offset_low; //中断处理函数地址低16位

    USHORT selector;

    UCHAR  reserved;

    UCHAR  type:4;

    UCHAR  always0:1;

    UCHAR  dpl:2;

    UCHAR  present:1;

    USHORT offset_high;//中断处理函数地址低16位

}IDT_ENTRY,*PIDT_ENTRY;//+3.offset_high<<16+offset_low //int 3 中断处理函数地址

#pragma pack(pop) //#pragma pack(pop)


ULONG ReadIdt(ULONG CPUNUM)
{
  IDTR idtr;//获取表基址
  PIDT_ENTRY Aidt;
       KdPrint(("IDT_ENTRY size=%d \n",sizeof(IDT_ENTRY)));
  __asm sidt idtr;//获取表基址信息
   KdPrint(("IDT BASE=%x \n",idtr.base));
  Aidt=PIDT_ENTRY(idtr.base);
  for (int i=0;i<0xff;i++)
  {
      ULONG cur_idt= Aidt->offset_high;
      cur_idt=cur_idt<<16;//得到高位地址
      cur_idt=cur_idt+ULONG(Aidt->offset_low);//合成 中断处理函数地址
     // if ( Aidt->offset_high==0) {__asm int 3};
     // if ( Aidt->offset_low==0) {__asm int 3};
     KdPrint(("high=%x,low=%x,IDT %d=%0000x \n",Aidt->offset_high,Aidt->offset_low,i,cur_idt));
    //  if ( Aidt->offset_high==0)
    //  {  KdPrint(("high=%x,low=%x,IDT %d=%x \n",Aidt->offset_high,Aidt->offset_low,i,cur_idt));}
    //  else{  KdPrint(("high=%x,low=%x,IDT %d=0000%x \n",Aidt->offset_high,Aidt->offset_low,i,cur_idt));}
        
      Aidt++;
    
  }  

  return idtr.base;

}
 

 

 

小蚂蚁_CrkRes
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
IDT系列:(一)初探IDT,Interrupt Descriptor Table,中断描述符
fwqcuc的专栏
09-01 2万+
IDT,Interrupt Descriptor Table,中断描述符是CPU用来处理中断和程序异常的。一、有关IDT的基本知识1、中断时一种机制,用来处理硬件需要向CPU输入信息的情况。 比如鼠标,键盘等。2、中断和异常的产生是随机的,在CPU正常运行过程中随时可能产生。CPU的中断处理机制3、中断可以由硬件产生(称为外部中断),也可以由软件产生(称为内部中断),在程序中写入int n指令可以产生n号中断和异常(n从0-ffh)。4、同时CPU的中断异常机制还是重要特性的支持原理,比如程序调试,程序运
03.填充中断向量IDT,使用中断
最新发布
qq_24739717的博客
06-13 643
通过初始化中断控制芯片,编码中断函数,实现BIOS中断操作系统的中断是一种事件,用于通知 CPU 某个事件已经发生,例如硬件设备完成数据传输、发生错误或用户发起的系统调用。当操作系统收到中断请求时,它会挂起当前执行的任务,并调用相应的中断处理程序(interrupt handler)来处理该事件。中断可以被看作是一种硬件通知机制,允许系统在不同的时间点响应外部事件。操作系统会为每个中断请求分配一个唯一的中断号,并通过)来管理和映射中断处理程序的位置和参数。
04.IDT可以包含3种门描述符:任务门描述符,中断门描述符,陷阱门描述符 (日记等待整理)
日志
03-21 343
IDT中断标识符,同GDT一样,IDT也是由一系列的描述符组成的,每个描述符占8个字节,但是IDT的第一个元素不是NULL。 r idtr 查看IDT的基质命令 r idtl 查看IDT的长度命令
中断描述符IDT以及Linux内核IDT的初始化的基本情况
bcbobo21cn的专栏
05-14 998
IDT,Interrupt Descriptor Table,中断描述符是CPU用来处理中断和程序异常的。 一 中断和IDT概要 中断可以由硬件产生(称为外部中断),也可以由软件产生(称为内部中断),在程序中写入int n指令可以产生n号中断和异常(n从0-ffh)。 每一种中断对应一个中断号。CPU执行中断指令时,会去IDT中查找对应的中断服务程序(interrupt service routine ,ISR)。ISR(为了述方便用ISR n示n号中断的处理程序...
IDT系统中断描述以及绕过Xurtr检测的HOOK姿势
weixin_30646505的博客
07-12 334
什么是中断? 指当出现需要时,CPU暂时停止当前程序的执行转而执行处理新情况的程序和执行过程。即在程序运行过程中,系统出现了一个必须由CPU立即处理的情况,此时,CPU暂时中止程序的执行转而处理这个新的情况的过程就叫做中断。 比如:除零(0号中断)、断点(3号中断)、系统调用(2e号中断)、以及异常处理等都会引发中断,所以自然需要相应的中断例程去进行处理。 这样操作系统就会用数据结构...
郁金香驱动教程\驱动学习笔记
07-30
..............\............\3.2.5 认识 IDT -(45课).doc ..............\............\3.2.6 IDT HOOK -(46课).doc ..............\............\4.1.1、XX游戏驱动保护分析(实例A) -(47课).doc ............
某五金有限公司质量与环境管理手册范本.doc
09-18
管理者代是ISO9001/ISO14001质量/环境管理体系的执行关键人物,负责确保管理体系的建立、实施和维持,向最高管理者报告体系的绩效和改进需求,提高员工对满足顾客和相关方要求的认识,并处理与外部机构(如咨询和...
windows操作系统保护模式教程
07-06
5. **异常和中断处理**:详细讲解了保护模式下的异常和中断处理机制,包括中断描述符IDT)和异常处理流程。 6. **保护模式下的系统调用**:说明了如何在保护模式下安全地进行系统调用,以执行特权级操作。 7. ...
某粮油加工公司质量管理手册范本.doc
09-18
手册严格参照GB/T19001-2000 idt ISO9001:2000《质量管理体系 要求》标准,结合公司的实际运营状况,旨在提升公司的质量管理水平,满足市场和顾客的需求。 手册内容涵盖多个方面: 1. **文件管理**:手册规定了...
Windows内核实验001 中断提权
鬼手的博客
11-12 1214
文章目录实验环境内核提权IDT的基本知识什么是中断什么是IDT在PC Hunter中查看IDT中断提权的基本原理写一个三环的小程序修改IDT提权测试 本篇文章基于周壑老师的讲解,感谢周壑老师。 实验环境 windbg双机调试环境 VS开发环境 32位 WIN7 虚拟机 内核提权 内核态的程序拥有一切权限,在Windows操作系统上,没有任何其他软件可以限制内核态的程序。如果让一个用户层的...
IDT】 windows IDT GDT LDT
dr0op's blog
09-16 3503
(Interrupt Descrptor Table)中断描述符,用来处理中断的。
中断描述符
SnowCat的小窝
01-07 2574
 中断描述符中断描述符(Interrupt Descriptor Table,IDT)是用来告诉处理器在遇到异常或 “INT”操作码(汇编中)时所应调用的中断服务例程( Interrupt Service Routine,ISR)。在一个设备完成请求并且需要获得服务时,中断请求也调用IDT入口。更多关于异常和ISR的详细内容在本指南的下一节里,点击这里查看。每
在ELF格式内核中设置GDT、IDT等相关
weixin_39162701的博客
07-15 787
快一个多月了,一直想要在ELF格式内核中实现中断,参考的是两本书,一本是于渊的orange’s,另一本是川合秀实的30天自制。。。前期,使用的是于渊的方法进入保护模式,加载并运行ELF内核;进入ELF内核后,变使用川合秀实的方式实现了图形界面(仅仅只是显示图形功能),发现各种错误(由其是中断向量号为13的#GP错误,常规保护异常)因为于渊的方法是,在loader里面加载ELF,然后跳转到ELF执行,
四,中断:中断程序(汇编和C语言)、idtIDTR、8259A、8253以及发生中断时候的压栈细节和特权级保护
zhangyang249的博客
11-30 3651
中断系统
保护模式下三个重要的系统——GDT、LDT和IDT
h2995527的博客
04-09 1221
这三个是在内存中由操作系统或系统程序员所建,并不是固化在哪里,所以从理论上是可以被读写的。这三个都是描述符。描述符是由若干个描述符组成,每个描述符占用8个字节的内存空间,每个描述符内最多可以有8129个描述符。描述符是描述一个段的大小,地址及各种状态的。 描述符有三种,分别为全局描述符GDT、局部描述符LDT和中断描述符IDT。 全局描述符GDT: 全局描述符在系统中只能有一个,且可以被每一个任务所共享.任何描述符都可以放在GDT中,但中断门和陷阱门放在GDT中是不会起作用的.能被
中断描述符(IDT)、任务门、中断门、陷阱门
mlove编程
07-17 4692
什么是中断描述符     中断描述符IDT示一个系统,它与中断或异常向量相联系。每一个中断或异常向量在这个系统中有对应的中断或异常处理程序入口地址。中断描述符的每一项对应一个中断或异常向量,每个向量由8个字节组成。因此,最多需要256*8=2048字节来存放IDT。     在运行中断之前,必须初始化IDT(中断描述符)。 任务门、中断门、陷阱门     IDT包含三种类型的中断...
64位系统下的IDTR与IDT
一个热爱逆向,喜爱学习、分享的猿。
05-08 4141
已有许多资料介绍32位系统下的IDTR内容与IDT项格式,本文专门对64位(IA-32e模式)下IDTR的内容和IDT项格式进行介绍。
IDT协议解析
05-30
IDT项的结构如下: ``` struct idt_entry { uint16_t base_low; // 中断服务例程的低16位地址 uint16_t selector; // 选择子 uint8_t always0; // 保留位,始终为0 uint8_t flags; // 标志位 uint16_t base_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小蚂蚁_CrkRes

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值