中断门
#include <stdio.h>
#include <windows.h>
// 在学习保护模式的时候,务必使用单核单线程的虚拟机,因为
// 保护模式中接触到的 GDT IDT 等是以核心位单位的。
// 我们可以使用一个 6 字节的缓冲区保存 GDT 的内容
unsigned char gdt[6] = { 0 };
// 这是一个需要 R0 权限才能正确执行的代码
_declspec(naked) void r0()
{
__asm
{
pushad
lea eax, gdt
sgdt[eax]
popad
; 因为这里的代码是使用 int n 的方式进行调用的,所以必须
; 使用 iretd 进行返回,否则栈不会平衡
iretd
}
}
int main()
{
// 1. 先在 IDT 中找到一个空的项,最终找到了第 0x20 中断描述符
// 使用 !idt 0x20 找到它所在的地址,进行修改 0x84dc7000
// eq (84dc7000+0x20*8) 0045EC00`000858e0
// 2. 使用 int 0x20 的方式使用中断门
__asm int 0x20
// 4. 构建一个中断门: 0045EE00`000858E0
// 输出获取到的 gdt 的基地址和长度
printf("base: %08X - limit: %04X
",
*(unsigned int*)& gdt[2],
*(unsigned short*)& gdt[0]);
system("pause");
return 0;
}
// 0x004116e0
调用门
// 首先关掉程序的随机基址
#include <stdio.h>
#include <windows.h>
// 我们可以使用一个 6 字节的缓冲区保存 GDT 的内容
unsigned char gdt[6] = { 0 };
// 这是一个需要 R0 权限才能正确执行的代码
_declspec(naked) void r0()
{
__asm
{
pushad
lea eax, gdt
sgdt[eax]
popad
; 因为调用这个函数时使用的是一个远跳,所以相应需要使用 retf
; 远跳会将 ss, sp, cs, ip 保存到栈内,retf 会弹出这些内容
retf
}
}
int main()
{
// 1. 先在 GDT 中找到一个空的项,如果修改的是已存在的项没可能会
// 影响正在运行的程序。找到之后,可以在这个位置构造调用门。
// 使用 eq 84dc7848 0045EC00`000858e0 修改具体的段描述符
// 2. 根据确定好的位置构建段选择子,目标位置是 GDT 的第九项,所以
// index = 9, TI = 0, RPL 的值应该 <= 调用门的 DPL。-> 0x4B
// 0x4B 是调用门的段选择子,当 call 的是调用门时,偏移就没有意义了,
// 实际的偏移保存在调用门中。
char target[6] = { 0x00, 0x00, 0x00, 0x00, 0x4B, 0x00 };
// 3. 远跳转就是跨段跳转,跳到一个非 CS 的段,当进行跨段跳转的时候,段
// 选择子就会发生改变,相应的 CPU 会执行权限检查。
__asm call fword ptr DS : [target] ;
// 4. 构建调用门,
// - P位 + DPL XXXX EXXX XXXX XXXX
// - TYPE + 参数个数 XXXX XC00 XXXX XXXX
// - 想要切换的段选择子 XXXX XXXX 0008 XXXX
// - 除了偏移以外的值 XXXX EC00 0008 XXXX
// - 最终的值 0045 EC00 0008 58E0
// 输出获取到的 gdt 的基地址和长度
printf("base: %08X - limit: %04X
",
*(unsigned int*)& gdt[2],
*(unsigned short*)& gdt[0]);
system("pause");
return 0;
}
// 0x004116e0