（第三章 9）“调用门” 和 “利用调用门在高低特权级的转移”

chuanwang66

浏览: 543552 次
性别:
来自: 上海

最近访客更多访客>>

fortunely

yhtppp

lp19911126

林祥纤

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

一个操作系统的实现

C C++C#Go DOS

在此之前，先要熟悉汇编指令“长/短jmp”、“长/短call”、ret、retf.

一、调用门“纯粹”作为入口地址

调用门本质上就是个入口地址，只是增加若干属性而已。例子pmtest5a.asm完全将其作为一个地址使用。

二、使用调用门，在不同特权级间转移

使用调用门分为以下两个阶段，难点无非就是“TSS”和“堆栈的变化”。本质上，TSS就是记录了不同特权级堆栈的SS和ESP；堆栈的变化无非就是无非就是短跳转压入SS&ESP，长跳转再多加CS&EIP，有时候也要压入和弹出参数，并且需要相关的检验。详见书上P55~60，或者这里http://www.cnblogs.com/Aoysme/archive/2011/01/17/1937796.html

1. 从高特权级别到低特权级别，通过ret指令实现；

关键代码：

	[SECTION .s32]
	...
	; Load TSS(Task-State Stack) to register TR
	mov	ax, SelectorTSS
	ltr	ax
 
	; Ring0 -> Ring3，历史性转移！将打印数字'3'
	push	SelectorStack3
	push	TopOfStack3
	push	SelectorCodeRing3
	push	0
	retf
	...

2. 从低特权级别到高特权级别，通过调用门和call指令来实现。

关键代码：

	[SECTION .ring3]
	...
	;	打印数字'3'
	
	call SelectorCallGateTest:0	;Ring3 -> Ring0
	jmp $

以上调用门指向下面的段[SECTION .sdest]（称为“调用门目标段”），而该目标段是ring0级别的——

LABEL_DESC_CODE_DEST: Descriptor 0, SegCodeDestLen-1, DA_C+DA_32 ；默认DA_DPL0

LABEL_DESC_CODE_RING3: Descriptor 0, SegCodeRing3Len-1, DA_C+DA_32+DA_DPL3

下面这个实验(pmtest5c.asm)将展示 “1. 高特权级别-->低特权级别” & “2. 低特权级别-->高特权级别”。主要流程如下。在第三部分将详细赏析每个代码段代码。

跳入保护模式
[SECTION .s32]-->
[SECTION .ring3]-->
调用门-->[SECTION .sdest]-->
[SECTION .la]
 
跳回实模式

和TSS相关用红色标记；

调用门本身用深绿色标记；

调用门指向的段用浅绿色标记；

; ==========================================

; pmtest5.asm

; 编译方法：nasm pmtest5.asm -o pmtest5.com

; ==========================================

%include "pm.inc" ; 常量, 宏, 以及一些说明

org 0100h

jmp LABEL_BEGIN

[SECTION .gdt]

; GDT

; 段基址, 段界限 , 属性

LABEL_GDT: Descriptor 0, 0, 0 ;空描述符

LABEL_DESC_NORMAL: Descriptor 0, 0ffffh, DA_DRW ;Normal描述符

LABEL_DESC_CODE32: Descriptor 0, SegCode32Len-1, DA_C+DA_32 ;非一致,32

LABEL_DESC_CODE16: Descriptor 0, 0ffffh, DA_C ;非一致,16

LABEL_DESC_CODE_DEST: Descriptor 0, SegCodeDestLen-1, DA_C+DA_32 ;非一致,32

LABEL_DESC_CODE_RING3: Descriptor 0, SegCodeRing3Len-1, DA_C+DA_32+DA_DPL3

LABEL_DESC_DATA: Descriptor 0, DataLen-1, DA_DRW ;Data

LABEL_DESC_STACK: Descriptor 0, TopOfStack, DA_DRWA+DA_32 ;Stack,32

LABEL_DESC_STACK3: Descriptor 0, TopOfStack3, DA_DRWA+DA_32+DA_DPL3

LABEL_DESC_LDT: Descriptor 0, LDTLen-1, DA_LDT ;LDT

LABEL_DESC_TSS: Descriptor 0, TSSLen-1, DA_386TSS ;TSS

LABEL_DESC_VIDEO: Descriptor 0B8000h, 0ffffh, DA_DRW+DA_DPL3

; 门目标选择子, 偏移, DCount, 属性

LABEL_CALL_GATE_TEST: Gate SelectorCodeDest, 0, 0, DA_386CGate + DA_DPL3

; GDT 结束

GdtLen equ $ - LABEL_GDT ; GDT长度

GdtPtr dw GdtLen - 1 ; GDT界限

dd 0 ; GDT基地址

; GDT 选择子

SelectorNormal equ LABEL_DESC_NORMAL - LABEL_GDT

SelectorCode32 equ LABEL_DESC_CODE32 - LABEL_GDT

SelectorCode16 equ LABEL_DESC_CODE16 - LABEL_GDT

SelectorCodeDest equ LABEL_DESC_CODE_DEST - LABEL_GDT

SelectorCodeRing3 equ LABEL_DESC_CODE_RING3 - LABEL_GDT + SA_RPL3

SelectorData equ LABEL_DESC_DATA - LABEL_GDT

SelectorStack equ LABEL_DESC_STACK - LABEL_GDT

SelectorStack3 equ LABEL_DESC_STACK3 - LABEL_GDT + SA_RPL3

SelectorLDT equ LABEL_DESC_LDT - LABEL_GDT

SelectorTSS equ LABEL_DESC_TSS - LABEL_GDT

SelectorVideo equ LABEL_DESC_VIDEO - LABEL_GDT

SelectorCallGateTest equ LABEL_CALL_GATE_TEST - LABEL_GDT + SA_RPL3

; END of [SECTION .gdt]

[SECTION .data1] ; 数据段

ALIGN 32

[BITS 32]

LABEL_DATA:

SPValueInRealMode dw 0

; 字符串

PMMessage: db "In Protect Mode now. ^-^", 0 ; 进入保护模式后显示此字符串

OffsetPMMessage equ PMMessage - $$

StrTest: db "ABCDEFGHIJKLMNOPQRSTUVWXYZ", 0

OffsetStrTest equ StrTest - $$

DataLen equ $ - LABEL_DATA

; END of [SECTION .data1]

; 全局堆栈段

[SECTION .gs]

ALIGN 32

[BITS 32]

LABEL_STACK:

times 512 db 0

TopOfStack equ $ - LABEL_STACK - 1

; END of [SECTION .gs]

; 堆栈段ring3

[SECTION .s3]

ALIGN 32

[BITS 32]

LABEL_STACK3:

times 512 db 0

TopOfStack3 equ $ - LABEL_STACK3 - 1

; END of [SECTION .s3]

; TSS ---------------------------------------------------------------------------------------------

[SECTION .tss]

ALIGN 32

[BITS 32]

LABEL_TSS:

DD 0 ; Back

DD TopOfStack ; 0 级堆栈 -->除了0级堆栈外，其他字段没做任何初始化。因为本例中只用到这部分

DD SelectorStack ; -->除了0级堆栈外，其他字段没做任何初始化。因为本例中只用到这部分

DD 0 ; 1 级堆栈

DD 0 ;

DD 0 ; 2 级堆栈

DD 0 ;

DD 0 ; CR3

DD 0 ; EIP

DD 0 ; EFLAGS

DD 0 ; EAX

DD 0 ; ECX

DD 0 ; EDX

DD 0 ; EBX

DD 0 ; ESP

DD 0 ; EBP

DD 0 ; ESI

DD 0 ; EDI

DD 0 ; ES

DD 0 ; CS

DD 0 ; SS

DD 0 ; DS

DD 0 ; FS

DD 0 ; GS

DD 0 ; LDT

DW 0 ; 调试陷阱标志

DW $ - LABEL_TSS + 2 ; I/O位图基址

DB 0ffh ; I/O位图结束标志

TSSLen equ $ - LABEL_TSS

; TSS ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

[SECTION .s16]

[BITS 16]

LABEL_BEGIN:

mov ax, cs

mov ds, ax

mov es, ax

mov ss, ax

mov sp, 0100h

mov [LABEL_GO_BACK_TO_REAL+3], ax

mov [SPValueInRealMode], sp

; 初始化 16 位代码段描述符

mov ax, cs

movzx eax, ax

shl eax, 4

add eax, LABEL_SEG_CODE16

mov word [LABEL_DESC_CODE16 + 2], ax

shr eax, 16

mov byte [LABEL_DESC_CODE16 + 4], al

mov byte [LABEL_DESC_CODE16 + 7], ah

; 初始化 32 位代码段描述符

xor eax, eax

mov ax, cs

shl eax, 4

add eax, LABEL_SEG_CODE32

mov word [LABEL_DESC_CODE32 + 2], ax

shr eax, 16

mov byte [LABEL_DESC_CODE32 + 4], al

mov byte [LABEL_DESC_CODE32 + 7], ah

; 初始化测试调用门的代码段描述符

xor eax, eax

mov ax, cs

shl eax, 4

add eax, LABEL_SEG_CODE_DEST

mov word [LABEL_DESC_CODE_DEST + 2], ax

shr eax, 16

mov byte [LABEL_DESC_CODE_DEST + 4], al

mov byte [LABEL_DESC_CODE_DEST + 7], ah

; 初始化数据段描述符

xor eax, eax

mov ax, ds

shl eax, 4

add eax, LABEL_DATA

mov word [LABEL_DESC_DATA + 2], ax

shr eax, 16

mov byte [LABEL_DESC_DATA + 4], al

mov byte [LABEL_DESC_DATA + 7], ah

; 初始化堆栈段描述符

xor eax, eax

mov ax, ds

shl eax, 4

add eax, LABEL_STACK

mov word [LABEL_DESC_STACK + 2], ax

shr eax, 16

mov byte [LABEL_DESC_STACK + 4], al

mov byte [LABEL_DESC_STACK + 7], ah

; 初始化堆栈段描述符(ring3)

xor eax, eax

mov ax, ds

shl eax, 4

add eax, LABEL_STACK3

mov word [LABEL_DESC_STACK3 + 2], ax

shr eax, 16

mov byte [LABEL_DESC_STACK3 + 4], al

mov byte [LABEL_DESC_STACK3 + 7], ah

; 初始化 LDT 在 GDT 中的描述符

xor eax, eax

mov ax, ds

shl eax, 4

add eax, LABEL_LDT

mov word [LABEL_DESC_LDT + 2], ax

shr eax, 16

mov byte [LABEL_DESC_LDT + 4], al

mov byte [LABEL_DESC_LDT + 7], ah

; 初始化 LDT 中的描述符

xor eax, eax

mov ax, ds

shl eax, 4

add eax, LABEL_CODE_A

mov word [LABEL_LDT_DESC_CODEA + 2], ax

shr eax, 16

mov byte [LABEL_LDT_DESC_CODEA + 4], al

mov byte [LABEL_LDT_DESC_CODEA + 7], ah

; 初始化Ring3描述符

xor eax, eax

mov ax, ds

shl eax, 4

add eax, LABEL_CODE_RING3

mov word [LABEL_DESC_CODE_RING3 + 2], ax

shr eax, 16

mov byte [LABEL_DESC_CODE_RING3 + 4], al

mov byte [LABEL_DESC_CODE_RING3 + 7], ah

; 初始化 TSS 描述符

xor eax, eax

mov ax, ds

shl eax, 4

add eax, LABEL_TSS

mov word [LABEL_DESC_TSS + 2], ax

shr eax, 16

mov byte [LABEL_DESC_TSS + 4], al

mov byte [LABEL_DESC_TSS + 7], ah

; 为加载 GDTR 作准备

xor eax, eax

mov ax, ds

shl eax, 4

add eax, LABEL_GDT ; eax <- gdt 基地址

mov dword [GdtPtr + 2], eax ; [GdtPtr + 2] <- gdt 基地址

; 加载 GDTR

lgdt [GdtPtr]

; 关中断

cli

; 打开地址线A20

in al, 92h

or al, 00000010b

out 92h, al

; 准备切换到保护模式

mov eax, cr0

or eax, 1

mov cr0, eax

; 真正进入保护模式

jmp dword SelectorCode32:0 ; 执行这一句会把 SelectorCode32 装入 cs, 并跳转到 Code32Selector:0 处

;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

LABEL_REAL_ENTRY: ; 从保护模式跳回到实模式就到了这里

mov ax, cs

mov ds, ax

mov es, ax

mov ss, ax

mov sp, [SPValueInRealMode]

in al, 92h ; ┓

and al, 11111101b ; ┣ 关闭 A20 地址线

out 92h, al ; ┛

sti ; 开中断

mov ax, 4c00h ; ┓

int 21h ; ┛回到 DOS

; END of [SECTION .s16]

[SECTION .s32]; 32 位代码段. 由实模式跳入.

[BITS 32]

LABEL_SEG_CODE32:

mov ax, SelectorData

mov ds, ax ; 数据段选择子

mov ax, SelectorVideo

mov gs, ax ; 视频段选择子

mov ax, SelectorStack

mov ss, ax ; 堆栈段选择子

mov esp, TopOfStack

; 下面显示一个字符串

mov ah, 0Ch ; 0000: 黑底 1100: 红字

xor esi, esi

xor edi, edi

mov esi, OffsetPMMessage ; 源数据偏移

mov edi, (80 * 10 + 0) * 2 ; 目的数据偏移。屏幕第 10 行, 第 0 列。

cld

.1:

lodsb

test al, al

jz .2

mov [gs:edi], ax

add edi, 2

jmp .1

.2: ; 显示完毕

call DispReturn

; Load TSS

mov ax, SelectorTSS

ltr ax ; 在任务内发生特权级变换时要切换堆栈，而内层（高特权级）堆栈的指针存放在当前任务的TSS中，所以要设置任务状态段寄存器TR。

push SelectorStack3

push TopOfStack3

push SelectorCodeRing3

push 0

retf ; Ring0 -> Ring3，历史性转移！将打印数字 '3'。

; ------------------------------------------------------------------------

DispReturn:

push eax

push ebx

mov eax, edi

mov bl, 160

div bl

and eax, 0FFh

inc eax

mov bl, 160

mul bl

mov edi, eax

pop ebx

pop eax

ret

; DispReturn 结束---------------------------------------------------------

SegCode32Len equ $ - LABEL_SEG_CODE32

; END of [SECTION .s32]

[SECTION .sdest]; 调用门目标段

[BITS 32]

LABEL_SEG_CODE_DEST:

mov ax, SelectorVideo

mov gs, ax ; 视频段选择子(目的)

mov edi, (80 * 12 + 0) * 2 ; 屏幕第 12 行, 第 0 列。

mov ah, 0Ch ; 0000: 黑底 1100: 红字

mov al, 'C'

mov [gs:edi], ax

; Load LDT

mov ax, SelectorLDT

lldt ax

jmp SelectorLDTCodeA:0 ; 跳入局部任务，将打印字母 'L'。

;retf

SegCodeDestLen equ $ - LABEL_SEG_CODE_DEST

; END of [SECTION .sdest]

; 16 位代码段. 由 32 位代码段跳入, 跳出后到实模式

[SECTION .s16code]

ALIGN 32

[BITS 16]

LABEL_SEG_CODE16:

; 跳回实模式:

mov ax, SelectorNormal

mov ds, ax

mov es, ax

mov fs, ax

mov gs, ax

mov ss, ax

mov eax, cr0

and al, 11111110b

mov cr0, eax

LABEL_GO_BACK_TO_REAL:

jmp 0:LABEL_REAL_ENTRY ; 段地址会在程序开始处被设置成正确的值

Code16Len equ $ - LABEL_SEG_CODE16

; END of [SECTION .s16code]

; LDT

[SECTION .ldt]

ALIGN 32

LABEL_LDT:

; 段基址段界限 , 属性

LABEL_LDT_DESC_CODEA: Descriptor 0, CodeALen - 1, DA_C + DA_32 ; Code, 32 位

LDTLen equ $ - LABEL_LDT

; LDT 选择子

SelectorLDTCodeA equ LABEL_LDT_DESC_CODEA - LABEL_LDT + SA_TIL

; END of [SECTION .ldt]

; CodeA (LDT, 32 位代码段)

[SECTION .la]

ALIGN 32

[BITS 32]

LABEL_CODE_A:

mov ax, SelectorVideo

mov gs, ax ; 视频段选择子(目的)

mov edi, (80 * 13 + 0) * 2 ; 屏幕第 13 行, 第 0 列。

mov ah, 0Ch ; 0000: 黑底 1100: 红字

mov al, 'L'

mov [gs:edi], ax

; 准备经由16位代码段跳回实模式

jmp SelectorCode16:0

CodeALen equ $ - LABEL_CODE_A

; END of [SECTION .la]

; CodeRing3

[SECTION .ring3]

ALIGN 32

[BITS 32]

LABEL_CODE_RING3:

mov ax, SelectorVideo

mov gs, ax ; 视频段选择子(目的)

mov edi, (80 * 14 + 0) * 2 ; 屏幕第 14 行, 第 0 列。

mov ah, 0Ch ; 0000: 黑底 1100: 红字

mov al, '3'

mov [gs:edi], ax

call SelectorCallGateTest:0 ; 测试调用门（有特权级变换），将打印字母 'C'。

jmp $

SegCodeRing3Len equ $ - LABEL_CODE_RING3

; END of [SECTION .ring3]

三、逐段赏析pmtest5.asm

1、本段（[SECTION .s32]）属性：

[SECTION .gdt]

LABEL_DESC_CODE32: Descriptor 0, SegCode32Len-1, DA_C+DA_32 ;非一致,32

SelectorCode32 equ LABEL_DESC_CODE32 - LABEL_GDT

[SECTION .s32];32位代码段，由实模式跳入
	...
	（10行0列显示PMMessage，即"In Protect Mode now. ^-^"）
	...
	mov	ax,	SelectorTSS
	ltr	ax	; 在任务内发生特权级变换时要切换堆栈，而内层堆栈的指针存放在当前任务的TSS中，所以要设置任务状态段寄存器TR

	push	SelectorStack3	;ss
	push	TopOfStack3	;esp
	push	SelectorCodeRing3	;cs
	push	0		;eip
	retf			;ring0~~>ring3跳转

从[SECTION .s32]跳到[SECTION .ring3]是从高到低特权级的跳转！

本来ret（retf）是和call配合使用的指令，用来返回断点。这里单独使用，可以理解为“从[SECTION .32]返回[SECTION .ring3]”，用来从高特权级跳转到低特权级，具体过程如书P59叙述，P60图3.21所示：

1）检查被调用者堆栈中保存的CS中的RPL（对应代码push SelectorCodeRing3），以判断返回时是否要变换特权级。

此时发现当前特权级为0，转到特权级为3的代码段，发生了特权级变化（高-->低）。

2）加载被调用者堆栈上的cs和eip（SelectorCodeRing3和0）。

（此时怎么进行特权级检验？？？）

此时，就返回断点了——在本程序中cs和eip已经指向[SECTION .ring3]段了。

3）此retf不含参数，不用增加esp跳过参数。当前堆栈是被调用者([SECTION .s32])堆栈。

4）加载被调用者([SECTION .s32)堆栈中的ss和esp，切换到调用者([SECTION .ring3])堆栈。此时，被调用者([SECTION .s32)堆栈中的ss和esp被丢弃，但由于等会儿还要从低特权级转换回高特权级，故需要将“0级堆栈的SelectorStack和TopOfStack”提前放入TSS。

此时，当前堆栈从被调用者([SECTION .s32])堆栈变成了调用者([SECTION .ring3)堆栈了。

5）此retf不含参数，不用增加esp跳过参数。当前堆栈是调用者([SECTION .ring3)堆栈。

6）检查ds、es、fs、gs的值，如果其中哪一个寄存器指向的段的DPL小于CPL（此规则不适用于一致代码段），那么一个空描述符被加载到该寄存器。我想：此时这几个寄存器都被置空描述符了吧～（？？？）

2、本段（[SECTION .ring3]）属性：

[SECTION .gdt]

LABEL_DESC_CODE_RING3: Descriptor 0, SegCodeRing3Len-1, DA_C+DA_32+DA_DPL3

LABEL_DESC_STACK3: Descriptor 0, TopOfStack3, DA_DRWA+DA_32+DA_DPL3

SelectorCodeRing3 equ LABEL_DESC_CODE_RING3 - LABEL_GDT + SA_RPL3

SelectorStack3 equ LABEL_DESC_STACK3 - LABEL_GDT + SA_RPL3

[SECTION .ring3]
	...
	（14行0列显示'3'）
	...
	call	SelectorCallGateTest:0	;调用调用门中的目标代码段，如果在目标段最后有retf可以返回这个断点，但我们不这么做。我们在目标段中继续进入局部段[SECTION .la]，然后返回实模式
	...

这个跳转是“通过调用门从低到高特权级”！

1）step1: 指示调用门的选择子的RPL<=门描述符DPL & 当前代码段的CPL<=门描述符的DPL。

此时,在[SECTION .ring3]中。因为[SECTION .ring3]是非一致代码段，故在从[SECTION .s32]跳转到该段时，已经设置CPL=3 (参见http://chuanwang66.iteye.com/admin/blogs/1075472)。即是说，此时CPL=3。

call SelectorCallGateTest:0调用调用门，由SelectorCallGateTest equ LABEL_CALL_GATE_TEST - LABEL_GDT + SA_RPL3）可知，调用门的RPL为3。即是说，此时RPL=3。

又调用门的DPL=3。

由上面三段的描述有： CPL<=调用门DPL & RPL<=调用门DPL。故可以访问到调用门中的目标段选择子了^_^

2）step2: CPL>=DPL，RPL不作检查（因为RPL总被清0）

现在，CPL=3；目标段[SECTION .sdest]的DPL=0，且为非一致代码段。故CPL>=DPL(RPL不作检查)，满足特权级检查，跳转到[SECTION .sdest]，哈哈

3）跳转后，CPL被修改为0(原来为3)

因为CPL=目标段[SECTION .sdest]的DPL(=0)，因此，跳转到[SECTION .sdest]后CPL=0

3、本段（[SECTION .sdest]）属性：

[SECTION .gdt]

; 门目标选择子, 偏移, DCount, 属性

LABEL_CALL_GATE_TEST: Gate SelectorCodeDest, 0, 0, DA_386CGate + DA_DPL3

LABEL_DESC_CODE_DEST: Descriptor 0, SegCodeDestLen-1, DA_C+DA_32 ;非一致,32

SelectorCallGateTest equ LABEL_CALL_GATE_TEST - LABEL_GDT + SA_RPL3

SelectorCodeDest equ LABEL_DESC_CODE_DEST - LABEL_GDT

[SECTION .sdest]	;调用门目标段
	...
	（12行0列显示'C'）
	...
	mov	ax,	SelectorLDT
	lldt	ax

	jmp SelectorLDTCodeA:0	;跳到LDT中定义的局部段

[SECTION .sdest]段是非一致32位段，而且DPL=0，并且当前CPL=0。而此后用到的“DPL”和“选择子中的RPL”都为0，均在最高特权级上跳转，不需要设计权限检查了！啊，是不是突然感觉轻松许多了呢^_^

4、本段（[SECTION .la]）属性：

[SECTION .gdt]

LABEL_DESC_LDT: Descriptor 0, LDTLen-1, DA_LDT ;LDT

SelectorLDT equ LABEL_DESC_LDT - LABEL_GDT

[SECTION .ldt]

LABEL_LDT_DESC_CODEA: Descriptor 0, CodeALen - 1, DA_C + DA_32 ; Code, 32 位

SelectorLDTCodeA equ LABEL_LDT_DESC_CODEA - LABEL_LDT + SA_TIL

[SECTION .la]
	...
	（13行0列显示'L'）
	...
	jmp	SelectorCode16:0	;准备经由16位代码段跳回实模式

参考：

http://www.socvista.com/bbs/viewthread.php?tid=1748&extra=page%3D2 整个程序简要流程

http://blog.csdn.net/axman/archive/2009/12/09/4969131.aspx retf指令实现从高特权级到低特权级的跳转

分享到：

用shell脚本改变某目录下一类文件的后缀 | （第三章 7）LDT

2011-06-08 10:34
浏览 2685
评论(0)
分类:操作系统
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论