#include <stdio.h>#include <windows.h>
// 在學習保護模式的時候�,務必使用單核單線程的虛擬機���,因為
// 保護模式中接觸到的 GDT IDT 等是以核心位單位的����。
// 我們可以使用一個 6 字節(jié)的緩沖區(qū)保存 GDT 的內容
unsigned char gdt[6] = { 0 };
// 這是一個需要 R0 權限才能正確執(zhí)行的代碼
_declspec(naked) void r0()
{
__asm
{
pushad
lea eax, gdt
sgdt[eax]
popad
; 因為這里的代碼是使用 int n 的方式進行調用的���,所以必須
; 使用 iretd 進行返回���,否則棧不會平衡
iretd
}
}
int main()
{
// 1. 先在 IDT 中找到一個空的項,最終找到了第 0x20 中斷描述符
// 使用 !idt 0x20 找到它所在的地址�����,進行修改 0x84dc7000
// eq (84dc7000 0x20*8) 0045EC00`000858e0
// 2. 使用 int 0x20 的方式使用中斷門
__asm int 0x20
// 4. 構建一個中斷門: 0045EE00`000858E0
// 輸出獲取到的 gdt 的基地址和長度
printf("base: �X - limit: �X\n",
*(unsigned int*)& gdt[2],
*(unsigned short*)& gdt[0]);
system("pause");
return 0;
}
// 0x004116e0 調用門// 首先關掉程序的隨機基址
#include <stdio.h>
#include <windows.h>
// 我們可以使用一個 6 字節(jié)的緩沖區(qū)保存 GDT 的內容
unsigned char gdt[6] = { 0 };
// 這是一個需要 R0 權限才能正確執(zhí)行的代碼
_declspec(naked) void r0()
{
__asm
{
pushad
lea eax, gdt
sgdt[eax]
popad
; 因為調用這個函數(shù)時使用的是一個遠跳�����,所以相應需要使用 retf
; 遠跳會將 ss, sp, cs, ip 保存到棧內,retf 會彈出這些內容
retf
}
}
int main()
{
// 1. 先在 GDT 中找到一個空的項�����,如果修改的是已存在的項沒可能會
// 影響正在運行的程序�。找到之后���,可以在這個位置構造調用門�。
// 使用 eq 84dc7848 0045EC00`000858e0 修改具體的段描述符
// 2. 根據(jù)確定好的位置構建段選擇子���,目標位置是 GDT 的第九項�����,所以
// index = 9, TI = 0, RPL 的值應該 <= 調用門的 DPL�����。-> 0x4B
// 0x4B 是調用門的段選擇子�,當 call 的是調用門時�,偏移就沒有意義了���,
// 實際的偏移保存在調用門中。
char target[6] = { 0x00, 0x00, 0x00, 0x00, 0x4B, 0x00 };
// 3. 遠跳轉就是跨段跳轉����,跳到一個非 CS 的段,當進行跨段跳轉的時候�����,段
// 選擇子就會發(fā)生改變��,相應的 CPU 會執(zhí)行權限檢查���。
__asm call fword ptr DS : [target] ;
// 4. 構建調用門�����,
// - P位 DPL XXXX EXXX XXXX XXXX
// - TYPE 參數(shù)個數(shù) XXXX XC00 XXXX XXXX
// - 想要切換的段選擇子 XXXX XXXX 0008 XXXX
// - 除了偏移以外的值 XXXX EC00 0008 XXXX
// - 最終的值 0045 EC00 0008 58E0
// 輸出獲取到的 gdt 的基地址和長度
printf("base: �X - limit: �X\n",
*(unsigned int*)& gdt[2],
*(unsigned short*)& gdt[0]);
system("pause");
return 0;
}
// 0x004116e0
|
