设为首页 收藏本站

QQ登录

只需一步,快速开始

切换到宽版 切换风格

电脑疯子技术论坛|电脑极客社区

电脑疯子技术论坛|电脑极客社区»技术论坛 电脑疯子|资源分享 电脑教程分享 帖子
微信扫一扫 分享朋友圈

已有 2466 人浏览分享

详解pwn-内核相关知识

[复制链接]
2466 0
0x00:前言

本篇文章接着内核中断1 来进行源码的分析 文章难度较大 需要一定的汇编基础中断分为
两种有错误码中断和无错误码中断 接下来我们来看正文部分。

0x01:源码
  1. /* linux/kernel/asm.s */
  2. .globl _divide_error,_debug,_nmi,_int3,_overflow,_bounds,_invalid_op
  3. .globl _double_fault,_coprocessor_segment_overrun
  4. .globl _invalid_TSS,_segment_not_present,_stack_segment
  5. .globl _general_protection,_coprocessor_error,_irq13,_reserved

  7. _divide_error:
  8.   pushl $_do_divide_error

  10. no_error_code:
  11.   xchgl %eax,(%esp)
  12.   pushl %ebx
  13.   pushl %ecx
  14.   pushl %edx
  15.   pushl %edi
  16.   pushl %esi
  17.   pushl %ebp
  18.   push %ds
  19.   push %es
  20.   push %fs
  21.   pushl $0    # "error code"
  22.   lea 44(%esp),%edx
  23.   pushl %edx
  24.   movl $0x10,%edx
  25.   mov %dx,%ds
  26.   mov %dx,%es
  27.   mov %dx,%fs
  28.   call *%eax
  29.   addl $8,%esp
  30.   pop %fs
  31.   pop %es
  32.   pop %ds
  33.   popl %ebp
  34.   popl %esi
  35.   popl %edi
  36.   popl %edx
  37.   popl %ecx
  38.   popl %ebx
  39.   popl %eax
  40.   iret
  41. _debug:
  42.   pushl $_do_int3    # _do_debug
  43.   jmp no_error_code
  44. _nmi:
  45.   pushl $_do_nmi
  46.   jmp no_error_code
  47. _int3:
  48.   pushl $_do_int3
  49.   jmp no_error_code
  50. _overflow:
  51.   pushl $_do_overflow
  52.   jmp no_error_code
  53. _bounds:
  54.   pushl $_do_bounds
  55.   jmp no_error_code
  56. _invalid_op:
  57.   pushl $_do_invalid_op
  58.   jmp no_error_code
  59. _coprocessor_segment_overrun:
  60.   pushl $_do_coprocessor_segment_overrun
  61.   jmp no_error_code
  62. _reserved:
  63.   pushl $_do_reserved
  64.   jmp no_error_code
  65. _irq13:
  66.   pushl %eax
  67.   xorb %al,%al
  68.   outb %al,$0xF0
  69.   movb $0x20,%al
  70.   outb %al,$0x20
  71.   jmp 1f
  72. 1:  jmp 1f
  73. 1:  outb %al,$0xA0
  74.   popl %eax
  75.   jmp _coprocessor_error
  76. _double_fault:
  77.   pushl $_do_double_fault
  78. error_code:
  79.   xchgl %eax,4(%esp)    # error code <-> %eax
  80.   xchgl %ebx,(%esp)    # &function <-> %ebx
  81.   pushl %ecx
  82.   pushl %edx
  83.   pushl %edi
  84.   pushl %esi
  85.   pushl %ebp
  86.   push %ds
  87.   push %es
  88.   push %fs
  89.   pushl %eax      # error code
  90.   lea 44(%esp),%eax    # offset
  91.   pushl %eax
  92.   movl $0x10,%eax
  93.   mov %ax,%ds
  94.   mov %ax,%es
  95.   mov %ax,%fs
  96.   call *%ebx
  97.   addl $8,%esp
  98.   pop %fs
  99.   pop %es
  100.   pop %ds
  101.   popl %ebp
  102.   popl %esi
  103.   popl %edi
  104.   popl %edx
  105.   popl %ecx
  106.   popl %ebx
  107.   popl %eax
  108.   iret
  109. _invalid_TSS:
  110.   pushl $_do_invalid_TSS
  111.   jmp error_code
  112. _segment_not_present:
  113.   pushl $_do_segment_not_present
  114.   jmp error_code
  115. _stack_segment:
  116.   pushl $_do_stack_segment
  117.   jmp error_code
  118. _general_protection:
  119.   pushl $_do_general_protection
  120.   jmp error_code
复制代码

0x02:分析

该文件主要是定义了CPU异常产生的中断函数的调用。

分成2类:
带返回错误码的中断调用
不带返回错误码的中断调用

QQ截图20210610160610.png

QQ截图20210610160639.png

将所有的寄存器值入栈
SS:存放栈顶的段地址
SP:存放栈顶的偏移地址

一个栈也就是一块内存区域 我们必须要有基地址 也就是段地址左移4位和偏移地址。
要在一个栈中寻址的话 也需要段地址和偏移地址。
---------------------------------------------------------
----------------------------------------------------------
CS:代码段寄存器
IP:指令段寄存器

CS:IP 指向可执行程序的起始地址
此后CPU从这个起始地址开始读取内存中的指令 并且执行。
CS:IP指向

1.你想让CPU 执行哪行指令 你就让 CS:IP指向保存有指令的那块内存即可。
2.任何时候 CS:IP 指向的地址中的内容都是CPU当前执行的指令。
-------------------------------------------------------------------
------------------------------

前四步:

69.png

===================================================

xchgl %eax,(%esp)
将eax的值保存在栈上 将中断处理函数的地址保存在eax寄存器中
xchg 交换eax 和esp的值
ESP 专门用作堆栈指针 被形象地称为栈顶指针
EAX是累加器AX是算术的主要寄存器
asm.s包含着CPU探测到故障异常的底层代码程序 与traps.c关系密切
调用traps.c的程序打印出错信息 并退出。

39.png

对于不带出错号的中断过程 堆栈指针位置变化情况请参照图(a)。
在开始执行相应中断服务程序之前 堆栈指针esp指在中断返回地址一栏(图中 esp0处)。
当把将要调用的C函数do_ _divide_ error()或其他C函数地址入栈后 指针位置是esp1处 此时程序使用
交换指令把该函数的地址放入eax寄存器中 而原来eax的值则被保存到堆栈上。

此后程序在把一些寄存器入栈后 堆栈指针位置处于esp2处。
当正式调用do_ divide_ error()之前, 程序会将开始执行中断程序时的原eip 保存位置(即堆栈指针esp0值)压入
堆栈放到esp3位置处 并在中断返回弹出入栈的寄存器之前指针通过加上8又回到esp2处。
对于CPU会产生错误号的中断过程 堆栈指针位置变化情况请参照图(b)。
在刚开始执行中断服务程序之前 堆栈指针指向图中esp0处。

在把将要调用的C函数do_ double_ fault()或其 他C函数地址入栈后 栈指针位置是esp1处。
此时程序通过使用两个交换指令分别把eax ebx寄存器的值保存在esp0 esp1位置处 而把出错号交换到eax寄
存器中:函数地址交换到了ebx寄存器中。随后的处理过程则和无错误号一样。

----------------------------------------------------------------------------------------

一般寄存器:AX BX CX DX

AX:累积暂存器 BX:基底暂存器 CX:计数暂存器 DX:资料暂存器

索引暂存器:SI DI

SI:来源索引暂存器 DI:目的索引暂存器

堆叠 基底暂存器:SP BP

SP:堆叠指标暂存器 BP:基底指标暂存器

cs是代码段寄存器
ds是数据段寄存器
ss是堆栈段寄存器
es是扩展段寄存器
fs是标志段寄存器
gs是全局段寄存器


----------------------------------------------------------------------------------------

把这些寄存器入栈保护

pushl %ebx
pushl %ecx
pushl %edx
pushl %edi
pushl %esi
pushl %ebp
push %ds
push %es
push %fs

29.png

-----------------------------------------------------------------------------------------------

无错误号的代码:

核心代码:xchg1  %eax,(%esp)  交换ax和sp
                  push  $0     0作为错误号压栈
                  lea 44(%esp), %edx  把中断的地方压栈
                  call  *%eax   调用中断打印函数
                  add1 $8  %esp  函数的参数出栈

28.png

----------------------------------------------------------------------------------------

有错误号的代码:

error_code:

6.png


0x03:小结

此篇文章主要讲解了中断的工作原理 下篇文章我们一起来看8086 PC机的8259A中断原理。

举报

回复
返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

zhaorong
VIP荣誉会员

1

关注

0

粉丝

9021

主题
精彩推荐
电脑疯子 GHOST WIN7 X64 快速装机版202001
电脑疯子 GHOST WIN7 X64 快速装机版202001
电脑疯子技术论坛GHOST WIN10X86 快速装机版201909
电脑疯子技术论坛GHOST WIN10X86 快速装机
电脑疯子GHOST WIN10X64 快速装机版201812
电脑疯子GHOST WIN10X64 快速装机版201812
电脑疯子技术论坛GHOST WIN10X64 快速装机版201909
电脑疯子技术论坛GHOST WIN10X64 快速装机
热门资讯
网友晒图
图文推荐

Powered by Pcgho! X3.4

© 2008-2022 Pcgho Inc.