标签:
■ 数据访问时的权限check
|
EPL = CPL > RPL ? CPL : RPL;
if (EPL <= DPL) { /* 允许访问 */ } else { /* 失败,#GP 异常生产,执行异常 */
}
或者:
if ((CPL <= DPL) && (RPL <= DPL)) { /* 允许访问 */ } else { /* 失败,#GP 异常生产,执行异常 */ } |
也就是要访问目标data segment,那么必须要有足够的权限,这个足够的权限就是:当前运行的权限级别及选择子的请求权限级别要高于等于目标data segment的权限级别。
二、 访问stack segment时
1、 该问stack 时的权限检查更严格,CPL、RPL及DPL三者必须相等才能通过该问请求。
2、 举个例子:
|
if (CPL == RPL && RPL == DPL && CPL == DPL) {
/* 允许访问 */ } else { /* 失败,#GP 异常生产,执行异常 */ } |
也就是说每个权限级别有相对应的statck segment。不能越权访问,即使高权限访问低权限也是被拒绝的
■ 控制权的转移及权限检查。
权限检查的4个要素:
★ CPL:处理器当前运行的级别,也就是:当前 CS 的级别,在 CS 的 BIT0 ~ Bit1
★ DPL:访问目标代码段所需的级别。定义在 segment descriptor 的 DPL 域中
★ RPL: 通过 selector 进行访问时,selector 内定义的级别。
★ conforming/nonconforming:目标代码属于 nonconforming 还是 conforming 定义在segment descritptor 的 C 标志位中
x86 的各方面检查依赖于目标代码段是 nonconforming 还是 conforming 类型
一、 直接转移(far call 及 far jmp)
1、 直接转移定义为不带gate selector或 taskselector的远调用。当执行一条 call cs:eip 或 jmp cs:eip 指令时,cs 是目标代码段的selector,处理器在加载指令操作数中的cs进cs register前,要进行一系列的权限检查,控制权的转移权限分两部分,根据目标代码段descriptor定义的两种情况:
1)、nonconforming target code segment
★ 直接转移后的权限级别是不能必改变的。因此,CPL 必须要等于目标代码段的 DPL。
★ 要有足够的请求权限进行访问。因此,目标代码段选择子的RPL <= CPL
2)、conforming target code segment
★ conforming code segment 允许访问高权限级别的代码。这里只需检查 CPL >= DPL 即可,RPL 忽略不检查。
★ 转移后CPL不会改变。
2、 以上两步通过后,处理器加载目标代码段的CS 进入CS register,但权限级别不改变,继而RPL被忽略。
★ 处理器根据CS selector在相应的descriptor table 找到 code segment descriptor。CS 的Bit2(TI域) 指示在哪个descriptor table 表查找,CS.TI = 0 时在GDT查找,CS.TI = 1时在LDT 查找。
★ CS的Bit15~Bit3 是selector index 值,处理器基于GDT或LDT来查找segment descriptor。具体是:GDTR.base 或 LDTR.base + CS.SI × 8 得出code segment descritpro。
★ 处理器自动加载code segment descriptor 的 base address、segment limit及attribute 域进入 CS register的相应的隐藏域。
★ 转到CS.base + eip 处执行指令
总结:用代码形式来说明直接转移 call cs:eip 这条指令
例: call 1a:804304c (即cs = 1a, eip = 804304c)
|
target_cs = 1a;
target_eip = 0x0804304c; CPL = CS.RPL; /* 当前执行的代码段的权限级别就是CPL */ RPL = target_cs.RPL; /* 目标段 selector 的低3位是RPL */ target_si = target_cs.SI; /* 目标段 selector 的索引是Bit15~Bit3 */ target_ti = target_cs.TI; /* 目标段selector的描述符表索引是Bit2 */
CODESEG_DESCRIPTOR target_descriptor;
if (target_ti == 0) { /* target_cs.TI为0 就是参考到 GDT(全局描述符表) */ /* 以GDTR寄存器的base 为基地址加上selector的索引乘以8即得出目标 段描述符,目标描述符的DPL就是目标段所需的访问权限 */ target_descriptor = GDTR.base + target_si * 8 } else { /* 否则就是参考 LDT (局部描述符表)*/ /* 以 LDTR寄存器的base 为基地址得出目标段描述符 */ target_descriptor = LDTR.base + target_si * 8; }
DPL = target_descriptor.DPL; /* 获取DPL */
if (target_descriptor.type & 0x06) { /* conforming */
if (CPL >= DPL) { /* 允许执行高权限代码 */ /* go ahead */ } else { /* 引发 #GP 异常 */ goto DO_GP_EXCEPTION; } } else { /* nonconforming */ if (CPL == DPL && RPL <= CPL) { /* go ahead */ } else { /* 引发 #GP 异常 */ goto DO_GP_EXCEPTION; } }
/****** go ahead … …******/
CS = target_cs; /* 加载目标段CS 进入 CS 寄存器 */ EIP = target_eip; /* 加载目标指令EIP 进入 EIP 寄存器 */ /* 当前执行权限 CPL 不改变 */ goto target_descriptor.base + target_eip; /* 跳转到目标地址执行 */ DO_GP_EXCEPTION: /* 执行 #GP异常点 */ … … |
二、 使用call gate 进行控制权的转移
使用call gate进行转移控制,目的是建立一个利用gate进行向高权限代码转移的一种保护机制。gate符相当一个进入高权限代码的一个通道。
对于指令 call cs:eip 来说:
★ 目标代码的selector是一个门符的选择子。用来获取门描述符。
★ 门描述符含目标代码段的selector及目标代码的偏移量。
★ 目标代码的ip值被忽略。因为门符已经提供了目标代码的偏移量。
1、 权限的检查
★ 首先,必须要有足够的权限来访问gate符,所以:CPL <= DPLg(门符的DPL)且:RPL <= DPLg
★ 进前代码向高权限代码转移,所以,对于conforming类型的代码段来说,必须CPL >= DPLs(目标代码段的DPL)
★ 对于nonconforming类型代码段来说,必须CPL = DPLs
★ call 指令改变当前权限,而jmp指令不改变当前权限。
总结:
|
if ((CPL <= DPLg) && (RPL <= DPLg)) { /* 足够的权限访问门符 */
if (target.C == CONFORMING) { /* 目标代码属于 conforming类型 */ /* 向高权限级别代码转移控制 */ if (CPL >= DPLs) { /* 通过访问 */ } else { /* 失败,#Gp异常发生 */ } } else { /* 目标代码属于 nonconforming 类型 */ /* 平级转移 */ if (CPL == DPLs) { /* 通过访问 */ } else { /* 失败,#GP 异常发生 */ } } } else { /* 没有足够权限访问门符 */ /* #GP 异常发生 */ } |
2、 控制权的转移
指令:call 1a:804304c (其中1a是call gate selector)
|
gate_selector = 0x1a; /* call gate selector */
RPL = gate_selector.RPL; /* 门符选择子RPL */ CPL = CS.RPL; /* 当前代码段低3位是CPL*/
CALLGATE_DESCRIPTOR call_gate_descriptor; /* 门符的描述符 */
CODESEG_DESCRIPTOR target_cs_descritpor; /* 目标代码段的描述符 */
call_gate_si = gate_selector.SI; /* 门符 selector 的索引 */
call_gate_ti = gate_selector.TI; /* 门符selector的描述符表索引 */ /* 获取call gate descriptor */ if (call_gate_ti == 0) { /* TI为0 就是参考到 GDT(全局描述符表) */ /* 以GDTR寄存器的base 为基地址加上selector的索引乘以8即得出门符的描述符,门符的DPL就是门符的访问权限 */ call_gate_descriptor = GDTR.base + call_gate_si * 8; } else { /* 否则就是参考 LDT (局部描述符表)*/ /* 以 LDTR寄存器的base 为基地址得出目标段描述符 */ call_gate_descriptor = LDTR.base + call_gate_si * 8; } /* 获取 target code segment descriptor */
target_cs = call_gate_descriptor.selector; /* 获取门符的目标代码段选择子 */
target_cs_si = target_cs.SI; /* 目标代码段的索引 */ target_cs_ti = target_cs.TI; /* 目标代码描述符表索引 */
if (target_cs_ti == 0)
target_cs_descriptor = GDTR.base + target_cs_si * 8; else target_cs_descriptor = LDTR.base + target_cs_si * 8; DPLg = call_gate_descriptor.DPL; /* 获取门符的DPL */ DPLs = target_cs_descriptor.DPL; /* 获取目标代码段的DPL */ if (CPL <= DPLg && RPL <= DPLg) { /* 有足够权限访问门符 */ if (target_cs_descriptor.type & 0x06) { /* conforming */ if (CPL >= DPLs) { /* 允许访问目标代码段 */ } else { /* #GP 异常产生 */ } } else if (CPL == DPLs) { /* nonconforming */ /* 允许访问目标代码段 */ } else { /* 拒绝访问,#GP 异常发生 */ goto DO_GP_EXCEPTION; } } else { /* 无权限访问门符 */ /* 拒绝访问, #GP异常发生 */ goto DO_GP_EXCEPTION; }
/* 允许访问 */
current_CS = target_cs; /* 加载目标代码段进入CS 寄存器 */ current_CS.RPL = DPLs; /* 改变当前执行段权限 */ current_EIP = call_gate_descriptor.offset; /* 加载EIP */
/* 跳转到目标代码执行 */
/* goto current_CS:current_EIP */ goto target_cs_descriptor.base + call_gate_descriptor.offset;
return;
DO_GP_EXCEPTION: /* 执行异常 */
|
三、 使用中断门或陷井门进行转移
中断门符及陷井门必须存放在IDT中,IDT表也可以存放call gate。
1、 中断调用时的权限检查
用中断门符进行转移时,所作的权限检查同call gate相同,区别在于intterrupt gate 转移不需要检查RPL,因为,没有RPL需要检查。
★ 必须有足够的权限访问门符,CPL <= DPLg
★ 向同级权限代码转移时,CPL == DPLs,向高权限代码转移时,CPL > DPLs
总结
|
if (CPL <= DPLg) { /* 有足够权限访问门符 */
if (CPL >= DPLs) { /* 允许访问目标代码头 */ } else { /* 失败,#GP异常发生 */ } } else { /* 失败,#GP异常发生 */ } |
2、 控制权的转移
发生异常或中断调用时
★ 用中断向量在中断描述符表查找描述符:中断向量×8,然后加上IDT表基址得出描述符表。
★ 从查找到的描述符中得到目标代码段选择子,并在相应的GDT或LDT中获取目标代码段描述符。
★ 目标代码段描述符的基址加上门符中的offset,确定最终执行入口点。
中断或陷井门符转移的总结:
例: int 0x80 指令发生的情况
|
vector = 0x80;
INTGATE_DESCRIPTOR gate_descriptor = IDTR.base + vector * 8; CODESEG_DESCRIPTOR target_descriptor; TSS tss = TR.base; /* 得到TSS 内存块 */ DPLg = gate_descriptor.DPL; target_cs = gate_descriptor.selector;
if (CPL <= DPLg) { /* 允许访问门符 */
if (target_cs.TI == 0) { /* index on GDT */ target_descriptor = GDTR.base + target_cs.SI * 8; } else { /* index on LDT */ target_descriptor = LDTR.base + target_cs.SI * 8; } DPLs = target_descriptor.DPL; if (CPL > DPLs) { /* 向高权限代码转移 */ /* 根据目标代码段的DPL值来选取相应权限的stack结构 */ switch (DPLs) { case 0 : /* 假如目标代码处理0级,则选0级的stack结构 */ SS = tss.ss0; ESP = tss.esp0; break; case 1: SS = tss.ss1; ESP = tss.esp1; break; case 2: SS = tss.ss2; ESP = tss.esp2; break; } /* 以下必须保护旧的stack结构,以便返回 */ *--esp = SS; /* 将当前SS入栈保护 */ *--esp = ESP; /* 将当前ESP入栈保护 */ } else if (CPL == DPLs) { /* 同级转移,继续向下执行 */ } else { /* 失败,#GP异常产生,转去处理异常 */ } *--esp = EFLAGS; /* eflags 寄存器入栈 */ /* 分别将 NT、NT、RF及VM标志位清0 */ EFLAGS.TF = 0; EFLAGS.NT = 0; EFLAGS.RF = 0; EFLAGS.VM = 0; if (gate_descriptor.type == I_GATE32) { /* 假如是中断门符 */ EFLAGS.IF = 0; /* 也将IF标志位清0,屏蔽响应中断 */ } *--esp = CS; /* 当前段选择子入栈 */ *--esp = EIP; /* 当前EIP 入栈 */
CS = target_selector; /* 加载目标代码段 */
CS.RPL = DPLs; /* 改变当前执行权限级别 */ EIP = gate_descriptor.offset; /* 加载进入EIP */ /* 执行中断例程 */ goto target_descritptor.base + gate_descriptor.offset; } else { /* 失败,#GP 异常产生,转去处理异常 */ } |
■ 堆栈的切换
控制权发生转移后,处理器自动进行相应的堆栈切换。
1、 当转向到同权限级别的代码时,不会进行堆栈级别的调整,也就是不进行堆栈切换。
2、 当转向高权限级别时,将发生相应级别的堆栈切换。从TSS块获取相应级别的stack结构。
例:假如当前运行级别CPL为2时,发生了向0级代码转移时:
|
TSS tss = TR.base; /* 从TR寄存器中获取TSS 块 */
CPL = 2; /* 当前运行级别为2 级*/ DPL = 0; /* 目标代码需要级别为 0 级 */ /* 根据目标代码需要的级别进行选取相应的权限级别的stack结构 */ switch (DPL) { case 0: SS = tss.ss0; ESP = tss.esp0; break; case 1: SS = tss.ss1; ESP = tss.esp1; break; case 2: SS = tss.ss2; ESP = tss.esp2; break; }
*--esp = SS; /* 保存旧的stack结构 */
*--esp = ESP;
/* 然后再作相当的保存工作,如保存参数等 */
*--esp = CS; /* 最后保存返回地址 */
*--esp = EIP; |
■ 控制权的返回
当目标代码执行完毕,需要返回控制权给原代码时,将产生返回控制权行为。返回控制权行为,比转移控制权行为简单得多。因为,一切条件已经在交出控制权之前准备完毕,返回时仅需出栈就行了。
1、 near call 的返回
近调用情况下,段不改变,即CS不改变,权限级别不改变。仅需从栈中pop返回地址就可以了。
2、 直接控制权转移的返回(far call或far jmp)
直接控制权的转移是一种不改变当前运行级别的行为。只是发生跨段的转移。这时,CS被从栈中pop出来的CS值加载进去,处理器会检查CPL与这个pop出来的选择子中的RPL进行检查,相符则返回。不相符则发生 #GP异常。
总结:假如当前运行的目标代码执行完毕后,将要返回。这时CPL为2
|
CPL = 2; /* 当前代码运行级别为 2 */
… … EIP = *esp++; /* pop出原EIP 值 */ CS = *esp++; /* pop出原CS值 */
if (CPL == CS.RPL) {
/* CS.RPL 代表是原来的运行级别,与CPL相符则返回 */ return ; } else { /* #GP异常产生,执行异常处理 */ } |
3、 利用各种门符进行向高权限代码转移后的返回
从高权限代码返回低权限代码,须从stack中pop出原来的stack结构。这个stack结构属于低权限代码的stack结构。然后直接pop 出原返回地址就可以了。
总结:
|
CPL = 0; /* 当前运行级别为 0 级 */
… … EIP = *esp++; /* 恢复原地址 */ CS = *esp++; /* 恢复原地址及运行级别 */ ESP = *esp ++; /* 恢复原stack结构 */ SS = *esp++; /* 恢复原stack 结构,同时恢复了原stack访问级别 */
return ; /* 返回 */
|
标签:
原文地址:http://www.cnblogs.com/Acg-Check/p/4268151.html
