标签:
直接 call / jmp 目标 code segment 不能改变当前的 CPL,若要 call / jmp 高权限的 code segment 必须使用 call gate,在 x86 下还要可以 call / jmp TSS descriptor 或者 call / jmp task gate,但在 64 bit 模式下 TSS 任务切换机制不被支持。
同样以下面的指令为例:
(1) call 0x20:0x00040000 (2) jmp 0x20:0x00040000
-------------------------------- 这里的 0x20 是 call gate selector,0x0004000 是 offset ,看看 processor 怎样处理。
1、索引 call gate descriptor 及 目标 code segment descriptor
(1)第一步先找到 call gate descriptor,索引查找 call gate descriptor 的方法与 7.1.3.2 节中的 “索引 code segment descriptor “ 是一样的。
(2)第二步再根据找到的 call gate descriptor,使用同样的方法用 descriptor 里的 selector 再找到目标 code segment descriptor。
两个过程表述如下:
call_gate_descriptor = get_descriptor(0x20); /* 用 selector 0x20 先找到 call gate */ selector = call_gate_descriptor.selector; /* 使用 call gate 中的 selector */ temp_descriptor = get_descriptor(selector); /* 再找到 code segment descriptor */ |
查找 call gate descriptor 与 code segment descriptor 的方法是一样的。根据得到的 selector 找到相应的 descriptor 结构。
2、权限的 check
processor 检查权限,既要检查是否有权限访问 call gate,还要检查是否有权限访问 code segment。
check 过程表述如下:
DPLg = call_gate_descriptor.DPL; /* call gate 的 DPL */ DPLs = temp_descriptor.DPL; /* code segment descriptor 的 DPL */ if (RPL <= DPLg && CPL <= DPLg) { /* 检查是否有权限访问 call gate */ /* pass */ if (temp_descriptor.C == 0) { /* 目标 code segment 是 non-conforming 类型 */ if (Opcode == JMP) /* 假如使用 jmp 指令 */ if (CPL == DPLs) { /* 通过,允许访问 */ } else { goto do_#GP_exception; /* 失败,拒绝访问,#GP 异常 */ } } if (CPL >= DPLs) { /* 检查是否有权限访问 code segment */ /* 通过,允许访问 */ } else { goto do_#GP_exception; /* 失败,拒绝访问,#GP 异常 */ } } else { goto do_#GP_exception; /* 失败,拒绝访问 #GP 异常产生 */ } |
代码中,DPLg 代表 call gate descriptor 的 DPL,DPLs 代表目标 code segment descriptor 的 DPL。
检查通过的条件是:
(1)(RPL <= DPLg) && (CPL <= DPLg) 表示有权访问 call gate。 并且: (2)CPL >= DPLs 表示有权访问 code segment,表示:只允许低权限向高权限转移,或者平级转移。不允许高权限向低权限转移。
------------------------------------------------------- 在第(2)步的条件里: 假如使用 call 指令:则无论是 conforming 类型还是 non-conforming 类型的 code segment,都可以成功通过。 假如使用 jmp 指令:目标是 conforming 类型 code segment 可以通过。但是目标是 non-conforming 类型的 code segment 的情况下,必须:CPL == DPLs(CPL 必须等于 code segment descriptor 的 DPL)才能通过。
这是基于 jmp 指令访问 non-conforming 类型的代码不改变 CPL 的原因。
所以,这两个条件是:
(1)RPL <= DPLg && CPL <= DPLg 并且: (2)CPL >= DPLs (call/jmp conforming 类型或者 call non-conforming 类型) 或: CPL == DPLs (jmp non-conforming 类型) |
call gate 用来是建立一个保护的系统例程机制,目的是由低权限的代码调用高权限的系统例程。所以:CPL >= DPLs,当前的 CPL 权限要低于 DPL 权限。 conforming 类型 code segment 的目的是可以由低权限向高权限代码转移。non-conforming 类型则要求严格按照规定的权限进行。
3、加载 descriptor 进入 CS
同样,通过权限 check 后,processor 会加载 selector 和 descriptor 进入 CS 寄存器。但是,在一步里 processor 的额外工作是判断是否进行 CPL 改变。
假设当前代码是 3 级,目标代码是 0 级,则发生权限的改变,CPL 改变也导致 3 级的 stack 切换到 0 级的 stack。
加载 descriptor 的表述如下:
CS.selector = temp_descriptor.selector; /* 加载目标 code segment 的 selector */ CS.selector.DPL = temp_descriptor.DPL; /* 更新 CPL */ CS.base = temp_descriptor.base; CS.limit = temp_descriptor.limit; CS.attribute = temp_descriptor.attribute; |
CS.selector.DPL = temp_descriptor.DPL; 由于权限的改变,CPL 需要更新,因此目标 code segment 的 DPL 将被更新至 CS.selector 的 DPL(或者说 RPL)中。
4、 stack 的切换
由于 CPL 的改变,导致 stack pointer 也要进行切换。新的 stack pointer 在 TSS 中相应权限级别的 stack pointer 中获取。
接上所述,stack 将由 3 级切换至 0 级。
stack 的切换表述如下:
DPL = temp_descriptor.DPL; old_ss = SS; old_esp = esp; SS = TSS.stack_pointer[DPL].SS; /* 加载 SS */ esp = TSS.stack_pointer[DPL].esp; /* 加载 esp */ push(old_cs); push(old_esp); if (call_gate_descriptor.count) { copy_parameter_from_old(call_gate_descriptor.count, old_ss, old_esp); } push(old_cs); push(old_eip); |
stack 切换主要做以下 5 个工作:
(1)用 code segment descriptor 的 DPL 来索引相应的级别 stack pointer(0 级) (2)将索引找到的 stack pointer(0 级) 加载到 SS 和 ESP 寄存器,当前变为 0 级的 stack pointer。 (3)将原来的 stack pointer(0 级) 保存到新的 stack 中。 (4)如果 call gate 中的 count 不为 0 时,表示需要传递参数。 (5)保存原来的 CS 和 EIP
---------------------------------------------- 上面代码中的红色部分是判断 call gate 中是否使用了 count 域来传递参数。复制多少个字节?复制 count * sizeof(esp) 个字节。参数会被复制到新的 stack 中,也就是 0 级的 stack 中,以供例程使用。
在将 SS selector 加载到 SS 寄存器时,processor 同样要做权限的检查。CPL 已经更新为 0,SS selector.RPL == 0 && stack segment descriptor.DPL == 0,所以条件:CPL == DPL && RPL == DPL 是成立的,新的 SS selector 加载到 SS 寄存器是成功的。
SS selector 加载到 SS ,processor 会自动加载 stack segment descriptor 到 SS 寄存器,SS.selector.RPL 就是当前的 stack 的运行级别,也就是 0 级。 旧的 SS selector(3 级) 被保存在 0 级的 stack 中,在例程返回时,会重新加载 old_SS 到 SS 寄存器,实现切换回原来的 stack pointer。
5、执行系统例程 code segment
成功加载 CS 和 SS 后,EIP 将由 call gate 中的 offset 加载。
执行例程表述为:
eip = call_gate_descriptor.offset; /* 加载 eip */ (void (*)()) &eip; /* 执行例程 */ |
由于例程的入口地址在 call gate 中指定,所以指令中的 offset 是被忽略的。
指令: call 0x20:0x00040000 ------------------------------------ 指令中的 offset 值 0x0004000 将被 processor 忽略。真正的 offset 在 call gate 中指出。但是从指令格式上必须给出 offset 值,即:cs:eip 这个形式对于 call far 指令来说是必须的。
7.1.3.3.1、 long mode 下的 call gate
指令: call 0x20:0x00040000
--------------------------------------- 当前 processor 运行在 long mode 的 compatibility 模式下,这条指仅是有效的。若在 long mode 的 64 bit 模式下,有条指令是无效的,产生 #UD 异常。
在 64 bit 模式下:
指令: call far ptr [mem32/mem64] -------------------------------------- 这种形式的 far call 才被支持。memory 操作数可以是 32 位 offset + 16 位 selector 或者 64 位 offset + 16 位 selector
所以最终的指令形式是:
(1) call far ptr 0x20:0x00040000 或 call far ptr [call_gate64] /* compatibility 模式 */
(2) call far ptr [call_gate64] /* 64 bit 模式 */
情景提示: long mode 下仅允许 64 位的 gate 存在。无论是 compatibility 模式还是 64 bit 模式,都不允许 32 位的 gate 存在。 |
因此 long mode 下 call gate 是 64 位的 call gate(共 16 个字节),offset 被扩展为 64 位。processor 会对 gate 中的 selector 指向的 code segment 进行检查。64 位的 call gate 指向的 code segment 必须是 64 位 code segment,即:L = 1 并且 D = 0。 processor 若发现 L = 0 或者 D = 1 将会产生 #GP 异常。
情景提示: 由于 long mode 的 gate 是 64 位的,当在 compatibility 模式下的 32 位代码执行调用 call-gate 执行系统服务例程,或由中断指令 INT n 陷入中断服务例程时,执行的是 64 bit 的系统服务例程(64 位的 OS 组件)。 |
因此,0x20 是一个 64 位 call gate 的 selector。
1、获取 call gate 和 code segment。
processor 对 call gate 的索引查找以及 code segment 的索引查找和 x86 下是一样的。见:上述第 1 步。
2、processor 对 call gate 和 code segment 的检查
在索引到 call gate 后,processor 会对 call gate 首先进行检查,包括:
(1)检查 call gate 的高半部分的 types 是否为 0000,不为 0 则产生 #GP 异常。 (2)检查 call gate 中的 selector 指向的 code segment 是否为 L = 0 并且 D = 0,表明目标 code segment 是 64 bit 的。否则产生 #GP 异常。
3、权限的 check
与 x86 下的 call gate 检查机制一样。
即: (1)RPL <= DPLg && CPL <= DPLg (访问 gate 的权限) (2)CPL >= DPLs (call/jmp conforming 类型或者 call non-conforming 类型) 或:CPL == DPLs (jmp non-conforming 类型)
同样:CPL >= DPLs 表明由低权限调用高权限代码 CPL == DPLs 表明不能改变 CPL,这个情况是由 jmp non-conforming 时产生。
4、加载 code segment descriptor
同样,目标 code segment 的 selector 和 descriptor 将被加载到 CS 寄存器中。
情景提示: 在 64 bit 模式下仅 CS.L、CS.D、CS.DPL、CS.C 以及 CS.P 是有效的,其它属性和域都是无效的。 可是,即使 processor 当前处于 compatibility 模式下,在使用 gate 的情况下,加载到 CS 的结果和 64 bit 模式下是完全一样的。因为:在 long mode 下 gate 是 64 位的,所使用的目标 code segment 也是 64 位的。 |
因此,当 CS 加载完后:CS.L = 1、CS.D = 0。 即: 此时 processor 由 compatibility 模式切换到 64 bit 模式 当系统服务例程执行完毕返回时,processor 会由 64 bit 切换回到 compatibility 模式,直至最软件退出返回 OS,最终 processor 再次切换回到 64 bit 模式。
code segment descriptor 在 long mode 下的意义是:
(1)建立一个 segmentation 保护机制。 (2)控制目标 code segment 是 compatibility 模式还是 64 bit 模式。
同样,若发生权限的改变,CPL 需要更新,stack 也需要切换。假设当前的代码为 3 级调用 0 级的代码:
(1)CS.selector.DPL = temp_descriptor.DPL (使用目标 code segment 的 DPL 更新 CPL) (2)接下着进行 stack 的切换
5、stack 切换
经由 call-gate 转到服务例程,此时 processor 必定处于 64 bit 模式下。发生权限的改变时,processor 从 TSS 里取出相应级别的 stack pointe,即:RSP。此时的 TSS 是 64 位的 TSS
这个过程表述如下:
DPL = temp_descriptor.DPL; old_ss = ss; old_rsp = rsp; ss = NULL; /* NULL selector 被加载到 ss */ ss.selector.RPL = DPL; /* 更新当前的 stack 的级别 */ rsp = TSS.stack_pointer[DPL]; /* 索引到相应的 rsp,加载到 rsp 中 */ push64(old_ss); push64(old_rsp); push64(old_cs); push64(old_rip); |
在这里的 stack 切换中注意:
(1)SS 被加载为 NULL selector(0x00)。 (2)SS.selector.RPL 需要被更新为 CPL,指示当前的 stack 级别。
------------------------------------------------------------
在由 compatibility 模式切换到 64 bit 模式的情况下:
(1)原来的 SS 和 32 位的 ESP 被扩展为 64 位压入 stack 中。 (2)同样,原来的 CS 和 32 的 EIP 被扩展为 64 位压入 stack 中。 (3)返回后,SS 和 32 的 ESP 被加载回 SS 和 ESP,RSP 的高半部分被抛弃。 (4)同样,CS 和 32 的 EIP 被加载回 CS 和 EIP,RIP 的高半部分被抛弃。
6、执行系统服务例程
processor 从 call gate 处获取 offset 值,加载到 RIP 中,从而执行 RIP 处的代码。
[转载]通过 call gate 访问目标 code segment
标签:
原文地址:http://www.cnblogs.com/Acg-Check/p/4260525.html