在调试程序中,经常发现程序最后会调用到系统态的程序。这个过程是怎样的?用户空间的程序怎样进行系统调用,在此过程中是怎样进入和退出内核的。
根据运行状态和执行代码所在的内存空间的不同,CPU既可以运行于非特权的“用户态”,也可以运行于特权的“系统态”。CPU从系统空间装入用户空间是容易的,CPU可以通过一些特权指令改变其运行状态,反过来要从用户空间转到系统空间就不容易了,因为运行于用户态的CPU不能执行特权指令。
一般而言有三种方式可以使运行于用户态的CPU转入到系统态,下面只说一下Windows是如何利用IA-32处理器的SYSENTER、SYSEXIT指令实现快速系统调用的。
Windows 2000或之前的Windows不支持快速系统调用,它们只能使用INT 2E的方式进行系统调研。在Windows XP和Windows Server 2003或以后版本在启动时会通过CPUID指令检测是否支持快速系统调用。如果支持,那么Windows会使用新的方式进行系统调用。
使用快速系统调用需要如下工作:
- 在GDT中建立4个段描述符,分别用来提供SYSENTER指令进入内核模式时使用的代码段(CS)和栈段(SS),以及SYSEXIT指令从内核模式返回用户模式时使用的代码段(CS)和栈段(SS)。
- 设置专门用于系统调用的MSR寄存器,SYSENTER_EIP_MSR用于指SYSENTER指令要跳转的目标例程地址。Windows会将其设置为KiFastCallEntry的地址。SYSENTER_CS_MSR寄存器用来指定新的代码段,也就是KiFastCallEntry所在的代码段。SYSENTER_ESP_MSR用于指定新的栈指针(ESP)。
- 将一段名为SystemCallStub的代码复制到SharedUserData内存区,该区在被映射到每个Win32进程的进程空间中,这样当应用程序每次进行系统调用时,NtDll中的Stub函数便调用这段SystemCallStub代码。
以下以Notepad为例,看看Notepad在调用NtWriteFile时的CPU从用户态到系统态的转换过程。
使用Windbg挂着VWare用运行的Windows XP系统,在Notepad的主线程上设置ntdll!NtWriteFile的断点。
kd> !process 0 3 notepad.exe
PROCESS 81bd4658 SessionId: 0 Cid: 07a8 Peb: 7ffdf000 ParentCid: 0590
DirBase: 1a8a3000 ObjectTable: e1ae2678 HandleCount: 38.
Image: notepad.exe
VadRoot 81e1ef30 Vads 62 Clone 0 Private 169. Modified 13. Locked 0.
DeviceMap e17b2e98
Token e1b8ece8
ElapsedTime 00:01:50.327
UserTime 00:00:00.062
KernelTime 00:00:01.968
QuotaPoolUsage[PagedPool] 32228
QuotaPoolUsage[NonPagedPool] 2480
Working Set Sizes (now,min,max) (1267, 50, 345) (5068KB, 200KB, 1380KB)
PeakWorkingSetSize 1267
VirtualSize 33 Mb
PeakVirtualSize 34 Mb
PageFaultCount 1330
MemoryPriority BACKGROUND
BasePriority 8
CommitCharge 479
THREAD 81e068e8 Cid 07a8.0340 Teb: 7ffde000 Win32Thread: e176ad58 RUNNING on processor 0kd> bp /t 81e068e8 ntdll!ntwritefile
如上设置断点后,在Windows XP中使用Notepad保存文件就会断在ntdll!ZwWriteFile。
kd> kb
ChildEBP RetAddr Args to Child
0006fa04 77e673b1 0000057c 00000000 00000000 ntdll!ZwWriteFile
0006fa64 010048e8 0000057c 00092c40 000000b8 kernel32!WriteFile+0xf7
0006fa9c 01004cb4 0000057c 000004e4 00000400 notepad!___PchSym_+0x6e8
0006fad8 01002a1f 000701c0 01009900 00099570 notepad!___PchSym_+0xab4
0006fafc 00000000 00000000 00000000 00000000 notepad!ServiceStarter+0x6b
反汇编ntdll!ZwWriteFile可以看到调用了SystemCallStub
ntdll!ZwWriteFile:
001b:77f3f010 b812010000 mov eax,112h
001b:77f3f015 ba0003fe7f mov edx,offset SharedUserData!SystemCallStub (7ffe0300)
001b:77f3f01a ffd2 call edx
001b:77f3f01c c22400 ret 24h
001b:77f3f01f 90 nop
反汇编SharedUserData!SystemCallStub查看它的代码,它代码作用是:把栈指针(ESP)放到EDX中,可以传递参数,也作为从内核模式返回时的栈地址。再执行SYSENTER指令。
SharedUserData!SystemCallStub:
7ffe0300 8bd4 mov edx,esp
7ffe0302 0f34 sysenter
7ffe0304 c3 ret
当执行SYSENTER指令时,CPU进入系统态,并且:
- 把寄存器SYSENTER_CS_MSR的内容复制到段寄存器CS中。
- 把寄存器SYSENTER_EIP_MSR的内容复制到寄存器EIP中。
- 把寄存器SYSENTER_CS_MSR的内容+8写入堆栈段寄存器SS中。
- 把寄存器SYSENTER_ESP_MSR的内容复制到堆栈指针ESP中。
这样,只要预先设置好三个MSR寄存器的内容中,CPU在执行SYSENTER后就可以进入系统空间并从预定的地址执行程序,同时开始使用系统空间的堆栈。通过WinDbg中rdmsr命令可以查看到MSR寄存器的内容,可以看到SYSENTER_EIP_MSR指向nt!KiFastCallEntry,这就是系统空间中快速系统调用的总入口。nt!KiFastCallEntry中再进入nt!KiSystemService。
kd> rdmsr 174
msr[174] = 00000000`00000008
kd> rdmsr 175
msr[175] = 00000000`00000000
kd> rdmsr 176
msr[176] = 00000000`80599770
kd> u 80599770
nt!KiFastCallEntry:
从nt!KeServiceDescriptorTable中可以看到第112h是对应着nt!NtWriteFile。
kd> dds poi(nt!KeServiceDescriptorTable) + 112*4
8050f0f4 805e81cc nt!NtWriteFile
8050f0f8 805e8a94 nt!NtWriteFileGather
8050f0fc 80635c50 nt!NtWriteRequestData
8050f100 8065ff93 nt!NtWriteVirtualMemory
在nt!NtWriteFile设置断点就可以断下,在Windbg中使用如下命令就可以看到结果。
kd> bp /t 81e068e8 nt!NtWriteFile
kd> k
ChildEBP RetAddr
f59347ac 8059994c nt!NtWriteFile
f59347ac 7ffe0304 nt!KiSystemService+0x13b
0006fa00 77f3f01c SharedUserData!SystemCallStub+0x4
0006fa04 77e673b1 ntdll!ZwWriteFile+0xc
0006fa64 010048e8 kernel32!WriteFile+0xf7
0006fa9c 01004cb4 notepad!___PchSym_+0x6e8
0006fad8 01002a1f notepad!___PchSym_+0xab4
0006fafc 00000000 notepad!ServiceStarter+0x6b
上面列出了程序从用户空间转到系统空间的过程,那么怎么从系统空间中返回呢?堆栈指针保存在哪里?
在nt!KiFastCallEntry中在进入nt!KiSystemServic前会保存0x7ffe0304到ECX,并压入堆栈。0x7ffe0304就是用户态的返回地址,对应着SharedUserData!SystemCallStub函数中的Ret指令。
在调用返回时,会把堆栈POP到ECX中,再调用SYSEXIT。当CPU执行SYSEXIT指令时,CPU回到用户态,并且:
- 把CS设置成(SYSENTER_CS_MSR的内容+16),这实际上是KGDT_R3_CODE。
- 把寄存器EDX的内容复制到EIP。
- 把SS设置成(SYSENTER_CS_MSR的内容+24),这实际上是KGDT_R3_DATA.
- 把寄存器ECX的内容复制到ESP。
kd> u nt!KiSystemCallExit2
nt!KiSystemCallExit2:
80599ae0 5a pop edx
80599ae1 83c408 add esp,8
80599ae4 59 pop ecx
80599ae5 fb sti
80599ae6 0f35 sysexit