中斷門

印度阿三17 2019-08-28

展開全文

#include <stdio.h>

#include <windows.h>

// 在學(xué)習(xí)保護(hù)模式的時候，務(wù)必使用單核單線程的虛擬機(jī)，因為
// 保護(hù)模式中接觸到的 GDT IDT 等是以核心位單位的。

// 我們可以使用一個 6 字節(jié)的緩沖區(qū)保存 GDT 的內(nèi)容 
unsigned char gdt[6] = { 0 };

// 這是一個需要 R0 權(quán)限才能正確執(zhí)行的代碼
_declspec(naked) void r0()
{
    __asm
    {
        pushad
        lea eax, gdt
        sgdt[eax]
        popad

        ; 因為這里的代碼是使用 int n 的方式進(jìn)行調(diào)用的，所以必須
        ; 使用 iretd 進(jìn)行返回，否則棧不會平衡
        iretd
    }
}

int main()
{
    // 1. 先在 IDT 中找到一個空的項，最終找到了第 0x20 中斷描述符
    //  使用 !idt 0x20 找到它所在的地址，進(jìn)行修改 0x84dc7000
    //  eq (84dc7000 0x20*8) 0045EC00`000858e0


    // 2. 使用 int 0x20 的方式使用中斷門

    __asm int 0x20

    // 4. 構(gòu)建一個中斷門: 0045EE00`000858E0

    // 輸出獲取到的 gdt 的基地址和長度
    printf("base: X - limit: X\n",
        *(unsigned int*)& gdt[2],
        *(unsigned short*)& gdt[0]);

    system("pause");

    return 0;
}

// 0x004116e0

調(diào)用門

// 首先關(guān)掉程序的隨機(jī)基址
#include <stdio.h>
#include <windows.h>

// 我們可以使用一個 6 字節(jié)的緩沖區(qū)保存 GDT 的內(nèi)容 
unsigned char gdt[6] = { 0 };

// 這是一個需要 R0 權(quán)限才能正確執(zhí)行的代碼
_declspec(naked) void r0()
{
    __asm 
    {
        pushad
        lea eax, gdt
        sgdt[eax]
        popad

        ; 因為調(diào)用這個函數(shù)時使用的是一個遠(yuǎn)跳，所以相應(yīng)需要使用 retf
        ; 遠(yuǎn)跳會將 ss, sp, cs, ip 保存到棧內(nèi)，retf 會彈出這些內(nèi)容
        retf
    }
}

int main()
{
    // 1. 先在 GDT 中找到一個空的項，如果修改的是已存在的項沒可能會
    //  影響正在運(yùn)行的程序。找到之后，可以在這個位置構(gòu)造調(diào)用門。
    //  使用 eq 84dc7848 0045EC00`000858e0 修改具體的段描述符

    // 2. 根據(jù)確定好的位置構(gòu)建段選擇子，目標(biāo)位置是 GDT 的第九項，所以
    //  index = 9, TI = 0, RPL 的值應(yīng)該 <= 調(diào)用門的 DPL。-> 0x4B
    // 0x4B 是調(diào)用門的段選擇子，當(dāng) call 的是調(diào)用門時，偏移就沒有意義了，
    // 實(shí)際的偏移保存在調(diào)用門中。
    char target[6] = { 0x00, 0x00, 0x00, 0x00, 0x4B, 0x00 };
    
    // 3. 遠(yuǎn)跳轉(zhuǎn)就是跨段跳轉(zhuǎn)，跳到一個非 CS 的段，當(dāng)進(jìn)行跨段跳轉(zhuǎn)的時候，段
    // 選擇子就會發(fā)生改變，相應(yīng)的 CPU 會執(zhí)行權(quán)限檢查。
    __asm call fword ptr DS : [target] ;

    // 4. 構(gòu)建調(diào)用門，
    //  - P位   DPL              XXXX EXXX XXXX XXXX
    //  - TYPE   參數(shù)個數(shù)       XXXX XC00 XXXX XXXX
    //  - 想要切換的段選擇子     XXXX XXXX 0008 XXXX
    //  - 除了偏移以外的值      XXXX EC00 0008 XXXX
    //  - 最終的值              0045 EC00 0008 58E0

    // 輸出獲取到的 gdt 的基地址和長度
    printf("base: X - limit: X\n",
        *(unsigned int*)& gdt[2],
        *(unsigned short*)& gdt[0]);

    system("pause");

    return 0;
}

// 0x004116e0

本站是提供個人知識管理的網(wǎng)絡(luò)存儲空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點(diǎn)擊一鍵舉報。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自：印度阿三17 > 《開發(fā)》

舉報/認(rèn)領(lǐng)