[保護模式]中斷門

原創 鬼手56 2020-06-22 15:22

文章目錄

要點回顧

執行調用門的指令:call cs:eip。其中cs是段選擇子,包含了查找GDT表的索引。但當CPU遇到了如下指令:int [index],查詢的卻是另外一張表,這張表叫IDT

中斷門

IDT

IDT表全稱爲中斷描述符表,包含三種描述符:任務門描述符 中斷門描述符和陷阱門描述符。每個描述符佔8個字節。但要注意的是,IDT表的第一個元素不是NULL。

通過int [index]這條指令,CPU會索引到IDT表。後面的index表示查IDT表項的下標。對比調用門,中斷門沒有了RPL,所以CPU只會校驗CPL。

中斷門描述符

在這裏插入圖片描述

中斷門實驗

示例代碼

#include <stdio.h>
#include <stdlib.h>
#include <windows.h>


void __declspec(naked) IdtEntry()
{
	__asm
	{
		int 3;
		iretd;
	}
}

void go()
{
	__asm int 0x20;
}

int main()
{
	printf("%p", IdtEntry);
    __asm
	{
		int 3;
	}
	go();
	system("pause");
}

構造中斷門描述符

首先查看一下要跳轉到的函數地址

在這裏插入圖片描述

函數地址爲00401040

offset31-16:0040
P:1 DPL:11 S:0-->E
TYPE:E
8-0:保留位
Segment Selector:0008
offset:1040
#段描述符
0040EE00`00081040

修改IDT表

首先查看IDT表

kd> dq idtr L40
80b95400  83e88e00`00084fc0 83e88e00`00085150
80b95410  00008500`00580000 83e8ee00`000855c0
80b95420  83e8ee00`00085748 83e88e00`000858a8
80b95430  83e88e00`00085a1c 83e88e00`00086018
80b95440  00008500`00500000 83e88e00`00086478
80b95450  83e88e00`0008659c 83e88e00`000866dc
80b95460  83e88e00`0008693c 83e88e00`00086c2c
80b95470  83e88e00`000872fc 83e88e00`000876b0
80b95480  83e88e00`000877d4 83e88e00`00087914
80b95490  00008500`00a00000 83e88e00`00087a80
80b954a0  83e88e00`000876b0 83e88e00`000876b0
80b954b0  83e88e00`000876b0 83e88e00`000876b0
80b954c0  83e88e00`000876b0 83e88e00`000876b0
80b954d0  83e88e00`000876b0 83e88e00`000876b0
80b954e0  83e88e00`000876b0 83e88e00`000876b0
80b954f0  83e88e00`000876b0 83e28e00`00089af8
80b95500  00000000`00080000 00000000`00080000
80b95510  00000000`00080000 00000000`00080000
80b95520  00000000`00080000 00000000`00080000
80b95530  00000000`00080000 00000000`00080000
80b95540  00000000`00080000 00000000`00080000
80b95550  83e8ee00`0008463a 83e8ee00`000847c0
80b95560  83e8ee00`000848fc 83e8ee00`00085498
80b95570  83e8ee00`00083fee 83e88e00`000876b0
80b95580  83e88e00`000836b0 83e88e00`000836ba
80b95590  83e88e00`000836c4 83e88e00`000836ce
80b955a0  83e88e00`000836d8 83e88e00`000836e2
80b955b0  83e88e00`000836ec 83e28e00`00089104
80b955c0  83e88e00`00083700 83e88e00`0008370a
80b955d0  83e88e00`00083714 83e88e00`0008371e
80b955e0  83e88e00`00083728 83e88e00`00083732
80b955f0  83e88e00`0008373c 83e88e00`00083746

找到下標爲0x20的那一項,也就是80b95500這個未被使用的位置。修改IDT表

kd> eq 80b95500 0040EE00`00081040

在這裏插入圖片描述

修改完成之後可以在PC Hunter中看到修改後的效果,軟件顯示這個地方被HOOK,當前函數地址爲我們指定的0x00401040

中斷現場

將程序編譯後放到虛擬機運行,windbg第一次產生中斷,此時中斷於用戶層,查看一下當前的寄存器

Break instruction exception - code 80000003 (first chance)
001b:00401062 cc              int     3
kd> r
eax=00000008 ebx=7ffdf000 ecx=74b49a18 edx=74b910a4 esi=74b92108 edi=001f40b0
eip=00401062 esp=0012ff44 ebp=0012ff88 iopl=0         nv up ei pl nz ac pe nc
cs=001b  ss=0023  ds=0023  es=0023  fs=003b  gs=0000             efl=00000216
001b:00401062 cc              int     3
  • eip=00401062
  • esp=0012ff44
  • cs=001b
  • ss=0023
  • efl=00000216

繼續運行,windbg產生第二次中斷,此時中斷於內核層,查看一下當前的寄存器環境

kd> g
Break instruction exception - code 80000003 (first chance)
00401040 cc              int     3
kd> r
eax=00000008 ebx=7ffdf000 ecx=74b49a18 edx=74b910a4 esi=74b92108 edi=001f40b0
eip=00401040 esp=8d113c9c ebp=0012ff88 iopl=0         nv up di pl nz ac pe nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00000016
00401040 cc              int     3
  • eip=00401040 我們指定的EIP
  • esp=8d113c9c 零環的堆棧
  • cs=0008 我們指定的段選擇子
  • ss=0010 零環的SS段寄存器

接着查看一下堆棧的變化

kd> dd esp
8d113c9c  00401065 0000001b 00000216 0012ff44
8d113cac  00000023 00000000 00000000 00000000
8d113cbc  00000000 0000027f 00000000 00000000
8d113ccc  00000000 00000000 00000000 00001f80
8d113cdc  0000ffff 00000000 00000000 00000000
8d113cec  00000000 00000000 00000000 00000000
8d113cfc  00000000 00000000 00000000 00000000
8d113d0c  00000000 00000000 00000000 00000000
  • 00401065 三環的EIP(返回地址)
  • 0000001b 三環的CS段選擇子
  • 00000216 三環的EFLAGS寄存器
  • 0012ff44 三環的ESP
  • 00000023 三環的SS段寄存器

可以看到和調用門不同的是,中斷門比調用門多保存了一個EFLAGS寄存器

中斷返回

中斷門在沒有提權的時候,會向堆棧push3個值,分別是:CS EFLAGS EIP(返回地址)。在提升權限的時候,會向堆棧push5個值,分別是SS ESP EFLAGS CS EIP

在中斷門中,棧裏面保存的寄存器值發生了變化,不能再用RETF進行返回,而應該通過IRET/IRETD指令返回

爲什麼會PUSH EFLAGS寄存器

在使用中斷門提權的時候,CPU會將EFLAGS寄存器中的IF中斷標誌位修改爲0。由於會修改標誌寄存器,所以在進行中斷提權的時候需要先保存一份到堆棧中。

調用門和中斷門的區別

  1. 調用門通過call far指令執行,但中斷門通過int指令執行
  2. 調用門查GDT表 中斷門查IDT表
  3. call cs:eip中的CS是段選擇子,由三部分組成。但int [index]指令中的index只是索引,中斷門不檢查RPL,只檢查CPL
  4. 調用門可以有參數,但中斷門沒有
  5. 調用門提權時push了四個寄存器:EIP(返回地址) CS ESP SS,返回時用RETF指令返回。中斷門提權時push了五個寄存器:EIP(返回地址) CS EFLAGS ESP SS,返回時用IRETD指令返回

l cs:eip中的CS是段選擇子,由三部分組成。但int [index]指令中的index只是索引,中斷門不檢查RPL,只檢查CPL
4. 調用門可以有參數,但中斷門沒有
5. 調用門提權時push了四個寄存器:EIP(返回地址) CS ESP SS,返回時用RETF指令返回。中斷門提權時push了五個寄存器:EIP(返回地址) CS EFLAGS ESP SS,返回時用IRETD指令返回

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

[保護模式]非PAE模式

文章目錄非PAE 非物理地址擴展線性地址 有效地址 物理地址CR3PDE/PTE物理頁的屬性通過線性地址訪問PDT和PTT指向PDT的線性地址 0xC0300000總結指向PTT的線性地址 0xC0000000/C0001000總

鬼手56 2020-06-22 22:44:15

Windows內核實驗003 再次回到中斷

文章目錄兩個實驗死循環開啓中斷後的死循環KiFastCallEntry調用零環API的兩個條件分析KiFastCallEntry什麼是KPCR完善代碼完整代碼 之前的實驗我們已經實現了從三環到零環的提權,但是提權不代表能正常調用內

鬼手56 2020-06-22 16:44:07

[保護模式]段間跳轉和跨段跳轉

文章目錄段間跳轉段寄存器段間跳轉段間跳轉的執行流程1.段選擇子拆分2.查表得到段描述符3.權限檢查4.加載段描述符5.代碼執行總結跨段跳轉短調用長調用跨段不提權跨段提權總結 段間跳轉 代碼跨段,本質就是修改CS段寄存器 段寄存器

鬼手56 2020-06-22 15:22:57

Windows內核實驗005 Inline Hook

文章目錄準備工作尋找Inline Hook的返回地址編寫代碼動態變化的返回地址JmpTargetAddrInline Hook基本框架示例代碼實戰HOOK KiTrap01無需計算偏移的Inline Hook方法示例代碼 準備工作

鬼手56 2020-06-22 15:22:57

[保護模式]調用門

文章目錄調用門調用門執行流程調用門描述符調用門實驗無參調用門示例代碼構造調用門修改GDT表執行流程中斷現場有參調用門示例代碼構造調用門修改GDT表中斷現場總結 調用門 調用門執行流程 CALL FAR的指令格式:CALL CS:E

鬼手56 2020-06-22 15:22:47

[保護模式]任務段

文章目錄TSS什麼是TSSTSS的作用如何找到TSSTR寄存器讀寫將TSS段描述符加載到TR寄存器構造TSS段描述符修改TSSJMP 訪問代碼段JMP 訪問任務段JMP FAR和CALL FAR訪問任務段的區別TSS切換實驗示例代

鬼手56 2020-06-22 15:22:47

[保護模式]PAE模式

文章目錄PAE模式 2-9-9-12分頁非PAE模式爲什麼是10-10-12PAE模式爲什麼是2-9-9-12總結PDPTE結構PTE結構PTE結構XD標誌位(AMD中稱爲NX,即No Excetion) PAE模式 2-9-9-

鬼手56 2020-06-22 15:22:47

系統調用001 API從三環進零環的過程

文章目錄前言逆向分析ReadProcessMemoryNtReadVirtualMemory_KUSER_SHARED_DATASystemCall通過int 0x2E中斷門進入零環通過sysenter快速調用進入零環總結總結 前

鬼手56 2020-06-22 15:22:47

系統調用002 KiSystemService函數逆向分析

文章目錄前言保存現場_KTRAP_FRAMEKRPCExceptionList_KTHREAD結構體先前模式擡高堆棧判斷當前權限更新_KTRAP_FRAME保存三環的寄存器環境判斷調試狀態 前言 之前我們詳細瞭解了API從三環進到

鬼手56 2020-06-22 15:22:46

Windows內核實驗004 API調用

文章目錄完善代碼內核API調用修復一個潛在問題復現問題完整代碼 前面幾次實驗我們已經完成了一個三環的程序調用零環API的必要條件。 提升到零環權限 使fs指向KPCR 完善代碼 這次我們去掉之前的死循環代碼,並且將函數地址寫

鬼手56 2020-06-22 15:22:46

遍歷內核驅動模塊

PsLoadedModuleList是Windows加載的所有內核模塊構成的鏈表的表頭,利用它可以枚舉所有這些模塊的信息,下面是WRK中對PsLoadedModuleList的定義:LIST_ENTRY PsLoadedModuleLi

Cayenne_Huang 2020-06-19 00:16:17

頁表項(PTE)地址計算公式的解釋

轉自: http://www.pediy.com/kssd/pediy10/62497.html 在《JIURL玩玩Win2k內存篇 分頁機制 (三)》中提到計算虛擬地址對應PTE地址的公式,如下: 代碼: PTE_Addr = (V

ProgrammingRing 2020-06-16 11:05:55

PAE下的虛擬內存映射 實踐

轉自:http://user.qzone.qq.com/31731705/blog/1323426728 前文是理論分析,在此: PAE下的虛擬內存映射 分析 ( http://user.qzone.qq.com/31731705/

ProgrammingRing 2020-06-16 11:05:55

Windows下的分頁模式- 頁目錄和頁表從物理內存到虛擬映射求值

標 題: 【原創】Windows下的分頁模式- 頁目錄和頁表從物理內存到虛擬映射求值作 者: hrpirip時 間: 2012-12-06,12:45:36鏈 接: http://bbs.pediy.com/showthread.php

ProgrammingRing 2020-06-16 11:05:54

【驅動】所有Device設備文件類型釋義

記錄一下: #define FILE_DEVICE_BEEP 0x00000001 // 蜂鳴器設備 #define FILE_DEVICE_CD_ROM 0x0000000

归途醉染 2020-06-16 08:37:08