windows内核研究(保护模式 5-调用门/中断门/陷阱门)

原创 已于 2025-08-12 11:28:01 修改 · 1.1k 阅读 · 7 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#windows #windows内核 #调用门 #中断门 #陷阱门
于 2025-06-26 10:01:46 首次发布

保护模式

调用门

什么是调用门?

调用门是系统段描述符的一种特殊类型,它允许低特权级代码(如用户态程序)以受控方式调用高特权级代码(如内核服务)。调用门描述符存储在全局描述符表(GDT)或局部描述符表(LDT)中

执行步骤

  1. 根据CS的值查GDT表,找到对应的段描述符,这个描述符是一个调用门
  2. 在调用门描述符中存储另一个代码段的选择子
  3. 选择子指向的段(段.Base + 偏移地址)就是真正在执行的地址

在这里插入图片描述

位置:Volume 3 - Chapter 6 Protection - 6.8.3 Call Gates

当S位为0(系统段)Type为1100时,就表示该描述符是一个门描述符,Segment Selector里面存储着真正要调用的代码存在的段低4字节第0位到第15位和高4字节第16位和第31位一共组成了一个4字节的偏移


构造调用门

0000(Offset in Segment)E(P/DPL/S)C(Type)00 高4字节
0008(3环/0008/0环)0000(Offset in Segment) 低4字节

在这里插入图片描述
向805d6048这个位置写入我们刚刚构建好的调用门

0000EC00 00080000加上偏移后:00C5EC00 00081790

在这里插入图片描述
我们写一段代码来测试一下

#include<iostream>
#include<Windows.h>


void __declspec(naked) GetRegister() {
	_asm {
		// 由于我们在构造调用门时,构造的是内核权限,那么执行到这里时,就已经是0环的权限了不再是3环的权限了
		int 3 // 地址:00C51790 (一但执行到这里,会中断到0环调试器当中)
		retf	
	}
}

int main() {

	char buffer[6];

	*(DWORD*)buffer[0] = 0x12345678;// EIP寄存器
	*(WORD*)buffer[4] = 0x48; // CS段描述符
	_asm {
		call fword ptr[buffer]
	}
	getchar();

	return 0;
}

在执行之前先看一下我们段寄存器中CS:0008SS:0010ESP:8b417700的值

在这里插入图片描述

调用门(有参)

调用门的参数传递

在上图的调用门结构图中,高4字节的ParamCount就表示要携带的参数个数,重新构造一个调用门

0000(Offset in Segment)E(P/DPL/S)C(Type)03 (ParamCount) 高4字节
0008(3环/0008/0环)0000(Offset in Segment) 低4字节

修改我们之前设置的段描述符

在这里插入图片描述

编写测试代码

#include<iostream>
#include<windows.h>

DWORD x,y,z;

void __declspec(naked) CateProc(){
	_asm{
		pushad
		pushfd
		mov eax,[esp+24+8+8]
		mov dword ptr ds:[x],eax
		mov eax,[esp+24+8+4]
		mov dword ptr ds:[y],eax
		mov eax,[esp+24+8+0]
		mov dword ptr ds:[z],eax
		popfd
		popad
		retf 0xc
	}
}



void PrintRegister(){
	printf("%x %x %x\n",x,y,z);
}


int main(){
	char buffer[6];
	*(DWORD*)&buffer[0] = 0x12345678;
	*(WORD*)&buffer[4] = 0x48; // 段选择子
	_asm{
		// 参数需要要自己手动压入
		push 1
		push 2
		push 3
		call fword ptr[buffer]
	}
	PrintRegister();
	getchar();
	return 0;
}

调用门总结:

  • 当通过门,权限不变的时候,只会PUSH两个值:CS和返回地址,新的CS的值由调用门决定
  • 当通过门,权限改变的时候,会PUSH四个值:SS ESP CS 返回地址,新的CS的值由调用门决定,新的SS和ESP由TSS提供
  • 通过门调用时,要执行哪行代码由调用门决定,但使用RETF返回时,由堆栈中压入的值决定,这就是说,进门时只能按指定路线走,出门时可以翻墙(只要改变堆栈里面的值就可以想去哪就去哪)
  • 也可以再建个门出去

中断门

在windows中并没有使用调用门,但是使用了中断门

Windows中使用中断门的地方

  1. 系统调用(早期系统)
  2. 调试

IDT

在这里插入图片描述

inter手册位置:Volume 3 - Chapter 7 - 7.11(IDT Descriptors)

IDT(中断描述符表),同GDT一样,IDT也是由一系列描述符组成的,每个描述符占8个字节,需要注意的是,IDT表中第一个元素不是NULL(IDT表中存储的都是系统段描述符

winddbg查看IDT表命令:

r idtr		// 查看IDT表的起始地址
r idtl		// 查看IDT表的大小(长度)

IDT表包含3种门描述符:

  1. 任务门描述符
  2. 中断门描述符
  3. 陷阱门描述符

上图中Interrupt Gate就是我们中断门的段描述符图

和调用门不同的是,高4字节地址,第0到第7位都为0,调用门可以传参数,但中断门不可以

代码演示


#include<iostream>
#include<windows.h>

DWORD dwH2GValue;

void __declspec(naked) GetH2GValue(){
	_asm{
		pushad
		pushfd
		mov eax,[0x8003f00c]
		mov ebx,[eax]
		mov dwH2GValue,ebx
		popfd
		popad
		iretd
	}
}

void PrintH2GValue(){
	printf("%x \n",dwH2GValue);
}

int main(){
	_asm{
		INT 0x20
	}
	PrintH2GValue();
	getchar();
	return 0;
}

陷阱门

陷阱门(Trap Gate)是 x86/x86-64 架构 中的一种 中断描述符(Interrupt Descriptor),用于定义 异常或软件中断的处理方式。它和 中断门(Interrupt Gate) 类似,但有一个关键区别:陷阱门在执行中断处理程序时不会自动关闭 CPU 中断(IF 标志保持不变)

陷阱门和中断门唯一不同的是在高4字节中,第8到第12位,中断门是1110(0xD),陷阱门是1111(0xF)

代码演示:

#include<iostream>
#include<windows.h>

DWORD dwH2GValue;

void __declspec(naked) GetH2GValue(){
	_asm{
		pushad
		pushfd
		mov eax,[0x8003f00c]
		mov ebx,[eax]
		mov dwH2GValue,ebx
		popfd
		popad
		iretd
	}
}

void PrintH2GValue(){
	printf("%x \n",dwH2GValue);
}

int main(){
	_asm{
		INT 0x20
	}
	PrintH2GValue();
	getchar();
	return 0;
}

中断门和陷阱门的区别:中断门执行时,将IF位清零,但陷阱门不会

操作系统篇-调用与特权级(CPL、DPL和RPL).docx
07-31
操作系统篇-调用与特权级(CPL、DPL和RPL).docx
中断详解(二)——中断描述符、任务中断门陷阱
热门推荐
Windeal
03-24 1万+
什么是中断描述符表     中断描述符IDT表示一个系统表,它与中断或异常向量相联系。每一个中断或异常向量在这个系统表中有对应的中断或异常处理程序入口地址。中断描述符的每一项对应一个中断或异常向量,每个向量由8个字节组成。因此,最多需要256*8=2048字节来存放IDT。     在运行中断之前,必须初始化IDT(中断描述符表)。 任务中断门陷阱     IDT包
调用调用描述符(GDT)获得目标地址,并同时从特权级3中压入用户上下文信息,
zjkyeah的博客
03-26 696
调用触发跨权限调用(如从用户态进入内核)时,CPU 会自动根据调用描述符切换栈、压入原用户态返回地址(CS/EIP/SS/ESP),然后直接从中加载新的 CS:EIP 执行目标函数。整个过程是受限的、自动的、不可绕过的安全跳转。要不要我帮你画一张图,展示调用触发 → 自动切栈 → 执行目标代码 → lret 回用户态的完整流程图?📊。
调用
Misaka10046的博客
04-25 1274
调用 执行流程 指令格式:CALL CS:EIP 执行步骤:1.根据CS的值 查GDT表 找到对应的段描述符 S位必须为0 Type位为1100 2.根据段描述符中的 段大小和基地址找到执行的代码 1.当通过 权限不变时 只会PUSH两个值:CS 返回地址 新的CS由调用决定 2.当通过,权限改变的时候,会PUSH四个值:SS ESP CS 返回地址,新的CS由调用决定,新的SS和ESP由TSS提供。 3.通过调用是,要执行哪行代码由调用决定,但使用RETF返回时,由堆栈中压入的值决定,进入
(5) [保护模式]中断门
qq_50332504的博客
03-05 1015
除了调用可以提权之外,中断门也同样可以 中断门描述符和调用描述符极其相似 如何手动构造一个中断门进行提权操作
windows内核研究保护模式 2-段描述符属性)
weixin_43754657的博客
06-20 862
本文介绍了保护模式下的段描述符属性及其分类机制。主要内容包括: 段描述符与段寄存器的转换关系,重点解析了P位(有效性)、G位(粒度)和S位(区分系统/代码数据段)的作用; 代码段和数据段的TYPE域解析,详细说明了数据段的A(访问位)、W(可写)、E(扩展方向)和代码段的A、R(可读)、C(一致位)等属性; 系统段描述符分类,列举了16/32位TSS、LDT、调用中断门等系统段类型及其Type编码。通过属性位的组合判断,CPU可准确识别段类型并实施访问控制。
进入WINDOWS系统RING0的方法大全
wwtwx的专栏
12-08 2604
进入WINDOWS系统RING0的方法大全发表:不详   阅读:1159次  关键字:不详   字体:[大 中 小] 关于进入RING0层的方法,大家一定听说过不少,我在复习保护模式编程中将一些进RING0的方法;总结了一下,包括调用,任务中断门陷阱等,这些方法都是直接利用IA32的方法,所以和操作系统应该没有多大关系,当然由于NT内核对GDT,IDT,的保护所以我们
windows驱动读取gdtr_windows驱动内核编程
weixin_39728221的博客
12-21 366
image.png搭建驱动开发环境 sdk10 wdk10win7平台 降低警告级别8086CPU 16位汇编1982年 intel退出80286处理器,第一次提出保护模式保护模式下,段寄存器存储的段基址,而是段选择子X86体系CPU支持三种模式实模式:兼容16位CPU的模式保护模式:操作系统所在模式虚拟8086模式:可以模拟多个8086执行多任务8086处理器的段寄存器...
x86开机原理:从加电复位到保护模式的硬件启动全链路解析
最新发布
diaoqi6581的博客
06-14 428
操作系统启动过程是计算机底层技术的核心入口,其本质是CPU如何从加电复位开始,通过实模式、段式寻址、中断向量表等机制完成初始引导,并最终切换至保护模式实现内存隔离与特权分级。理解这一过程,需掌握8086分段寻址的工程妥协逻辑、CR3寄存器在页式管理中的枢纽作用,以及GDT/IDT等硬件描述符表对安全边界的硬性约束。这些机制共同构成了现代多任务系统的基础支撑,广泛应用于内核开发、驱动编写、嵌入式启动和安全研究等工程实践场景。本文聚焦x86架构下‘按下电源键’到‘Hello World刷屏’的完整物理执行路径,
《Linux内核完全注释》笔记(1)
Tiger_Shark的专栏
01-17 1238
此博客已经废弃,迁往http://blog.csdn.net/starflame开始看《Linux内核完全注释》,不局限于此书,期望将以前不懂或不甚明白的地方弄通。不考虑时间,只培养自己的兴趣。能力有限,尽力而为 下载地址:http://www.oldlinux.org/download/clk011c-1.9.5.pdf   内核版本:0.11(很老么?呵
Rootkit的学习与研究
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-27 652
Rootkit是什么?估计很多朋友并不明白,简单的说,Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后等其他恶意程序结合使用。Rootkit通过加载特殊的驱动,修改系统内核,进而达到隐藏信息的目的。技术是双刃剑,我们研究它的目的在于,透过我们的研究,用这项技术来保护我们的系统,使我们的系统更加健壮,
【项目】实现x86-linux内核项目
qq_58358642的博客
04-14 75
把解压包x86安装在C盘地下,把bin目录加入到系统配置当中,加载GCC工具链。c02.02 Windows开发环境配置_哔哩哔哩_bilibili。安装cmake 软件自带加载path目录。把qemu也下载安装,作为模拟器。按照vscode并且增加扩展。暂时还没做完 做完后会上传。安装git并且按照环境变量。
游戏逆向课程【专题套餐】
qq_28824475的博客
01-15 1160
对游戏安全,游戏逆向感兴趣的同志们, 如果不想让自己的技术仅仅停留在找游戏数据,功能Call层面上, 那么你就要根据这个学习目录继续学习了
核心态和用户态
iphoneing的专栏
10-28 2201
<br />386及以上的CPU实现了4个特权级模式(WINDOWS只用到了其中两个),其中特权级0(Ring0)是留给操作系统代码,设备驱动程序代码使用的,它们工作于系统核心态;而特权极3(Ring3)则给普通的用户程序使用,它们工作在用户态。运行于处理器核心态的代码不受任何的限制,可以自由地访问任何有效地址,进行直接端口访问。而运行于用户态的代码则要受到处理器的诸多检查,它们只能访问映射其地址空间的页表项中规定的在用户态下可访问页面的虚拟地址,且只能对任务状态段(TSS)中I/O许可位图(I/O Per
核心态与用户态
weixin_34232617的博客
06-01 129
2019独角兽企业重金招聘Python工程师标准>>> ...
理解核心态和用户态
weixin_30404405的博客
11-09 198
386及以上的CPU实现了4个特权级模式(WINDOWS只用到了其中两个),其中特权级0(Ring0)是留给操作系统代码,设备驱动程序代码使用的,它们工作于系统核心态;而特权极3(Ring3)则给普通的用户程序使用,它们工作在用户态。运行于处理器核心态的代码不受任何的限制,可以自由地访问任何有效地址,进行直接端口访问。而运行于用户态的代码则要受到处理器的诸多检查,它们只能访问映射其地址空间的页表项...
手写简易操作系统()--中断概述
Lyajpunov的博客
03-18 1355
在计算机系统中,中断(Interrupt)是一种硬件或软件生成的信号,用于通知处理器某种事件已发生,需要处理器暂时中断当前执行的程序或任务,转而执行相应的中断服务程序(Interrupt Service Routine,ISR)。当处理器接收到中断信号时,会立即停止当前正在执行的程序,保存当前的执行状态(比如程序计数器、寄存器状态等),然后跳转到对应的中断服务程序开始执行。中断服务程序会处理中断引起的事件,并在处理完成后恢复原来的执行状态,使被中断的程序继续执行。
杂记
weixin_33725722的博客
07-02 142
1、 你是公司的网络管理员,在文件服务器filesrv上的D盘的文件夹doc中存放了公司的重要文件。你想审核公司的域账户对该文件夹的访问情况,你如何实现审核,用什么工具察看 答: 1) 在域安全策略或域的组策略中的本地策略启用审核策略:审核对象访问 2) 在d:\doc文件夹属性的安全\高级\审核中,添加对相关域用户组的审核 3) 在此步骤中制定审核的细节 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值