Linux内核——门相关入门知识

为什么20位的寻址可以达到1MB？

🔒 点击查看答案 🔒

拆分如下的段描述符：

00000000`00000000 00cf9b00`0000ffff
00cf9300`0000ffff 00cffb00`0000ffff
00cff300`0000ffff 80008b04`200020ab
ffc093df`f0000001 0040f300`00000fff
0000f200`0400ffff 00000000`00000000
80008955`22000068 80008955`22680068
00009302`2f40ffff 0000920b`80003fff
ff0092ff`700003ff 80009a40`0000ffff
80009240`0000ffff 00009200`00000000

🔒 点击查看答案 🔒

拆分如下段选择子：

002B 0023 0010 001B 003B

🔒 点击查看答案 🔒

快速辨别问题2给定段描述符是否可用以及段基址、段长（至少10个）

🔒 点击查看答案 🔒

记住代码段间跳转的执行流程。

🔒 点击查看答案 🔒

门

本篇文章涉及调用门、中断门、陷阱门这三个重要的“门”，那么“门”到底是什么。打个比方，“门”就类似于你去办理身份证必须要进入派出所的门一样。你想办理身份证就必须通过这个门，如果你进不了门就办理不了。调用门、中断门、陷阱门也是如此，通过它们你可以修改段的属性，甚至能提权去做一些应用层做不了的事情。

调用门

在将所有的知识之前，先讲一下调用门，因为后面的知识频繁用到了调用门的概念，调用门的结构如下图所示。它和普通的段描述符结构十分相似。低四个字节改为段选择子，如果指向的段描述符的DPL小于CPL，则会提权。高四个字节低5个位是调用调用门需要的参数数目。低四个字节的低16位和高四个字节的高16位拼接为跳转后新的在段中的偏移，也就是调用后EIP的位置。

它的具体细节将会在长调用讲完后继续讲解。

长调用

介绍长调用，我先来讲一下什么是短调用。短调用就是我们在汇编常见的CALL指令，调用格式为：CALL 立即数/寄存器/内存。为什么是短调用，我们来看一下执行该指令时堆栈的变化：

调用CALL指令之后，CPU只将当前的EIP压入堆栈后跳转到目标地址，发生改变的寄存器只有ESP和EIP，即所谓的短调用。
长调用分为两种，一种提权，一种不提权，调用格式为：指令格式：CALL CS:EIP，其中EIP是废弃的，CS为指向调用门的段选择子。但是值得注意的是CS一旦更换，它的EIP和SS要同时更换。为什么EIP需要更换我就不说了。在代码执行的时候，一定会用到堆栈，堆栈的段权限必须与CS匹配，这就是为什么SS必须更换。我们接下来看看长调用到底是何方神圣。

长调用不提权

当段选择子指向的调用门不提权时。发生改变的寄存器有ESP、EIP和CS，比短调用多一个CS。

长调用提权

当段选择子指向的调用门不提权时。发生改变的寄存器有ESP、EIP、CS和SS。执行情况如下图所示：

心细的你获取发现，SS并没有压入堆栈之中，还有ESP0也没用通过已知方式获取得到。它从哪里来呢？下一节教程将会讲解。

调用门（续）

本篇开头简单介绍了调用门，接下来将会详细介绍它的调用流程。先把上面的调用门结构图贴到下面，以供方便学习：

调用门执行流程如下所示：

指令格式：CALL CS:EIP (EIP是废弃的)
执行步骤（具体详情请看长调用）：
1. 根据CS的值查GDT表，找到对应的段描述符且该描述符是一个调用门。
2. 在调用门描述符中存储另一个代码段的段选择子，将其加载到CS中。
3. 选择子指向的段的Base + 偏移地址就是真正要执行的地址。

当然段选择子加载段描述符的过程都会有权限检查，不懂的话请不要再继续了，回去查看上一篇复习，懂了再回来学习。

中断门

讲中断门之前，我先来介绍一个新的表，称之为IDT表。IDT表与GDT表不同，它的第一个元素不是NULL。IDT表包含3种门描述符：任务门描述符、中断门描述符、陷阱门描述符，这里面的几种类型都会在后面讲到。中断门的结构如下图所示（图中的D表示是否为32位，如果是则为1）：

IDT也是由一系列描述符组成的，每个描述符占8个字节。Windows没有使用调用门，但是使用了中断门用于系统调用和调试用途。在WinDbg下可用r idtr读取IDT表的首地址，r idtl读取IDT表的大小。
中断门的结构和调用门结构几乎一样，只是调用门用来写参数数目的位被清空不再使用和Type域不一样而已。
既然中断门的结构知道了，我们来看一下中断门的执行流程：

指令格式：INT N (N为中断门索引号)
执行步骤：
1. 在没有权限切换时，会向堆栈顺次压入EFLAG、CS和EIP；如果有权限切换，会向堆栈顺次压入SS、ESP、EFLAG、CS和EIP。
2. CPU会索引到IDT表。后面的N表示查IDT表项的下标。对比调用门，中断门没有了RPL，故CPU只会校验CPL。
3. 在中断门中,不能通过RETF返回，而应该通过IRET/IRETD指令返回。

陷阱门

陷阱门的结构和中断门结构几乎一样，只是Type域不同而已，如下图所示（图中的D表示是否为32位，如果是则为1）：

陷阱门执行流程一模一样。与中断门的区别，中断门执行时，将IF位清零,但陷阱门不会。

本篇小结

CS的权限一旦改变，SS的权限也要随着改变，CS与SS的等级必须一样。
JMP FAR只能跳转到同级非一致代码段，但CALL FAR可以通过调用门提权，提升CPL的权限。
调用门总结：
- 当通过门，权限不变的时候，只会PUSH两个值：CS和返回地址，新的CS的值由调用门决定。
- 当通过门，权限改变的时候，会PUSH四个值：SS、ESP、CS和返回地址，新的CS的值由调用门决定，新的SS和ESP由TSS提供。
- 通过门调用时，要执行哪行代码由调用门决定，但使用RETF返回时，由堆栈中压入的值决定，这就是说，进门时只能按指定路线走，出门时可以FQ，即只要改变堆栈里面的值就可以想去哪去哪。
- 可不可以再建个门出去呢？当然可以了。前门进，后门出。

任务段

什么是任务段

我们回顾一下之前所学内容，在调用门、中断门与陷阱门中，一旦出现权限切换，那么就会有堆栈的切换。而且，由于CS的CPL发生改变，也导致了SS也必须要切换。切换时，会有新的ESP和SS从哪里来的呢？那就是任务状态段提供的。任务状态段简称任务段，英文缩写为TSS，Task-state segment。

TSS是一块内存，大小为104字节，内存结构如下图所示：

TSS 的作用

Intel的设计TSS目的，用官方的话说就是实现所谓的任务切换。CPU的任务在操作系统的方面就是线程。任务一切换，执行需要的环境就变了，即所有寄存器里面的值，需要保存供下一次切换到该任务的时候再换回去重新执行。
说到底，TSS的意义就在于可以同时换掉一堆寄存器。本质上和所谓的任务切换没啥根本联系。而操作系统嫌弃Intel的设计过于麻烦，自己实现了所谓的任务切换，即线程切换。具体将会在后面的教程进行讲解。

CPU 如何找到 TSS

TSS是一个内存块，并不在CPU中，那么它是怎样找到正确的TSS呢？那就是之前提到的TR段寄存器。CPU通过TR寄存器索引TSS是示意图如下图所示：

TSS段描述符

TSS段描述符的结构和普通的段描述符没啥区别，就不详细介绍了，如下图所示：

TR寄存器读写

加载TSS

指令：LTR
说明：用LTR指令去装载，仅仅是改变TR寄存器的值（96位），并没有真正改变TSS。LTR指令只能在系统层使用，加载后TSS段描述符会状态位会发生改变。

读取TR寄存器

指令：STR
说明：如果用STR去读的话，只读了TR的16位，即选择子。

修改TR寄存器途径

在0环可以通过LTR指令去修改TR寄存器。
在3环可以通过CALL FAR或者JMP FAR指令来修改。用JMP去访问一个任务段的时候，如果是TSS段描述符，先修改TR寄存器，在用TR.Base指向的TSS中的值修改当前的寄存器。

CALL 和 JMP 实现任务切换的不同之处

用CALL和JMP实现任务切换，它们之间有什么不同呢？答案就不用说了。如果用CALL，它会把Previous Task Link填写数值，并EFLAGS寄存器的NT位改为1。如果这个位被改为1，iret指令会被当做任务返回，从TSS里的取出Previous Task Link返回；反之则为正常的中断返回，从堆栈读值返回。而JMP指令不会做上述事情。