• 中断门


    中断门

    #include <stdio.h>
    #include <windows.h>

    // 在学习保护模式的时候,务必使用单核单线程的虚拟机,因为
    // 保护模式中接触到的 GDT IDT 等是以核心位单位的。

    // 我们可以使用一个 6 字节的缓冲区保存 GDT 的内容
    unsigned char gdt[6] = { 0 };

    // 这是一个需要 R0 权限才能正确执行的代码
    _declspec(naked) void r0()
    {
    __asm
    {
    pushad
    lea eax, gdt
    sgdt[eax]
    popad

    ; 因为这里的代码是使用 int n 的方式进行调用的,所以必须
    ; 使用 iretd 进行返回,否则栈不会平衡
    iretd
    }
    }

    int main()
    {
    // 1. 先在 IDT 中找到一个空的项,最终找到了第 0x20 中断描述符
    // 使用 !idt 0x20 找到它所在的地址,进行修改 0x84dc7000
    // eq (84dc7000+0x20*8) 0045EC00`000858e0


    // 2. 使用 int 0x20 的方式使用中断门

    __asm int 0x20

    // 4. 构建一个中断门: 0045EE00`000858E0

    // 输出获取到的 gdt 的基地址和长度
    printf("base: %08X - limit: %04X ",
    *(unsigned int*)& gdt[2],
    *(unsigned short*)& gdt[0]);

    system("pause");

    return 0;
    }

    // 0x004116e0

    调用门

    // 首先关掉程序的随机基址
    #include <stdio.h>
    #include <windows.h>

    // 我们可以使用一个 6 字节的缓冲区保存 GDT 的内容
    unsigned char gdt[6] = { 0 };

    // 这是一个需要 R0 权限才能正确执行的代码
    _declspec(naked) void r0()
    {
    __asm
    {
    pushad
    lea eax, gdt
    sgdt[eax]
    popad

    ; 因为调用这个函数时使用的是一个远跳,所以相应需要使用 retf
    ; 远跳会将 ss, sp, cs, ip 保存到栈内,retf 会弹出这些内容
    retf
    }
    }

    int main()
    {
    // 1. 先在 GDT 中找到一个空的项,如果修改的是已存在的项没可能会
    // 影响正在运行的程序。找到之后,可以在这个位置构造调用门。
    // 使用 eq 84dc7848 0045EC00`000858e0 修改具体的段描述符

    // 2. 根据确定好的位置构建段选择子,目标位置是 GDT 的第九项,所以
    // index = 9, TI = 0, RPL 的值应该 <= 调用门的 DPL。-> 0x4B
    // 0x4B 是调用门的段选择子,当 call 的是调用门时,偏移就没有意义了,
    // 实际的偏移保存在调用门中。
    char target[6] = { 0x00, 0x00, 0x00, 0x00, 0x4B, 0x00 };

    // 3. 远跳转就是跨段跳转,跳到一个非 CS 的段,当进行跨段跳转的时候,段
    // 选择子就会发生改变,相应的 CPU 会执行权限检查。
    __asm call fword ptr DS : [target] ;

    // 4. 构建调用门,
    // - P位 + DPL XXXX EXXX XXXX XXXX
    // - TYPE + 参数个数 XXXX XC00 XXXX XXXX
    // - 想要切换的段选择子 XXXX XXXX 0008 XXXX
    // - 除了偏移以外的值 XXXX EC00 0008 XXXX
    // - 最终的值 0045 EC00 0008 58E0

    // 输出获取到的 gdt 的基地址和长度
    printf("base: %08X - limit: %04X ",
    *(unsigned int*)& gdt[2],
    *(unsigned short*)& gdt[0]);

    system("pause");

    return 0;
    }

    // 0x004116e0
  • 相关阅读:
    MySQL主键和外键使用及说明
    SQLAlchemy
    路飞学城购买流程API
    路飞学城知识点
    使用rest_framework写api接口的一些注意事项(axios发送ajax请求)
    微信推送功能
    支付宝支付业务
    路飞学城前端Vue
    Python爬虫,用第三方库解决下载网页中文本的问题
    Python爬虫,抓取淘宝商品评论内容
  • 原文地址:https://www.cnblogs.com/ltyandy/p/11426407.html
Copyright © 2020-2023  润新知