本节内容 代码跨段 本质就是修改CS段寄存器 视频提供:昆山滴水信息技术有限公司 官网地址:www.dtdishui.com 论坛地址:www.dtdebug.com QQ交流 :49759272
要点回顾 段寄存器: ES,CS,SS,DS,FS,GS,LDTR,TR 段寄存器读写: 除CS外,其他的段寄存器都可以通过MOV,LES,LSS,LDS,LFS,LGS指令进行修改 CS为什么不可以直接修改呢? CS的改变意味着EIP的改变,改变CS的同时必须修改EIP,所以我们无法使用上面的指令来进行修改.
1、代码间的跳转(段间跳转 非调用门之类的) 段间跳转,有2种情况,即要跳转的段是一致代码段还是非一致代码段(如何区分参见之前视频) 同时修改CS与EIP的指令 JMP FAR / CALL FAR / RETF / INT /IRETED 注意: 只改变EIP的指令 JMP / CALL / JCC / RET
2、代码间的跳转(段间跳转 非调用门之类的) 执行流程 JMP 0x20:0x004183D7 CPU如何执行这行代码? (1) 段选择子拆分 0x20 对应二进制形式 0000 0000 0010 0000 RPL = 00 TI = 0 Index = 4
3、代码间的跳转(段间跳转 非调用门之类的) 执行流程 JMP 0x20:0x004183D7 CPU如何执行这行代码? (2) 查表得到段描述符 TI = 0 所以查GDT表 Index = 4 找到对应的段描述符 四种情况可以跳转:代码段、调用门、TSS任务段、任务门
4、代码间的跳转(段间跳转 非调用门之类的) 执行流程 JMP 0x20:0x004183D7 CPU如何执行这行代码? (3) 权限检查 如果是非一致代码段,要求:CPL == DPL 并且 RPL <= DPL 如果是一致代码段,要求:CPL >= DPL
5、代码间的跳转(段间跳转 非调用门之类的) 执行流程 JMP 0x20:0x004183D7 CPU如何执行这行代码? (4) 加载段描述符 通过上面的权限检查后,CPU会将段描述符加载到CS段寄存器中. (5) 代码执行 CPU将 CS.Base + Offset 的值写入EIP 然后执行CS:EIP处的代码,段间跳转结束.
6、总结: 对于一致代码段:也就是共享的段 □ 特权级高的程序不允许访问特权级低的数据:核心态不允许访问用户态的数据 □ 特权级低的程序可以访问到特权级高的数据,但特权级不会改变:用户态还是用户态 对于普通代码段:也就是非一致代码段 □ 只允许同级访问 □ 绝对禁止不同级别的访问:核心态不是用户态,用户态也不是核心态. 直接对代码段进行JMP 或者 CALL的操作,无论目标是一致代码段还是非一致代码段,CPL都不会发生改变.如果要提升CPL的权限,只能通过调用门.
7、课后练习: 记住这个执行流程.