Advanced Debugging
About AdvDbg Consult Train Services Products Tools Community Contact  
欢迎光临 高端调试 登录 | 注册 | FAQ
 
  ACPI调试
Linux内核调试
Windows内核调试
 
  调试战役
调试原理
新工具观察
 
  Linux
Windows Vista
Windows
 
  Linux驱动
WDF
WDM
 
  PCI Express
PCI/PCI-X
USB
无线通信协议
 
  64位CPU
ARM
IA-32
  CPU Info Center
 
  ACPI标准
系统认证
Desktop
服务器
 
  Embedded Linux
嵌入式开发工具
VxWorks
WinCE
嵌入式Windows
 
  格蠹调试套件(GDK)
  格蠹学院
  小朱书店
  老雷的微博
  《软件调试》
  《格蠹汇编》
  《软件调试(第二版)》
沪ICP备11027180号-1

Windows内核调试

帖子发起人: 小毛   发起时间: 2009-08-26 21:27 下午   回复: 1

Print Search
帖子排序:    
   2009-08-26, 21:27 下午
benmozhou 离线,最后访问时间: 2009/8/26 21:08:53 小毛

发帖数前500位
注册: 2009-08-26
发 贴: 3
学习完前8章,有几处疑问
Reply Quote
花了几天时间看完前8章,弄懂了以前许多不懂得问题,但有几处疑问:
一是关于段机制的,当我访问某个地址时,比如我用mov eax,[12345678]指令,这里我并没有指定这个地址的段选择子。cpu如何知道这个地址所对应的段选择子呢?有人告诉我是和实模式一样采用ds作为默认段选择子呢?如果这样的话,用户程序访问内核地址时,由于要进行权限的检查,此时ds的值会变化吗?
二是在看到“使用 INT 2E切换到内核模式”时,NtDll中的NtReadFile发出INT 2E中断,cpu通过IDT表找到KiSystemService函数,此时cpu会吧执行权限给内核态程序,张老师写到当用户态切换到内核态时,cpu会进行权限检查,但是如果真是进行权限检查,那么很明显转换前用户态权限低呀,不是不能进入内核模式吗?我觉得对于中断的话,cpu不会进行权限检查吧。
对于这两个问题,还望张老师指教
IP 地址: 已记录   报告
   2009-08-26, 22:51 下午
Raymond 离线,最后访问时间: 2020/7/3 3:40:25 格蠹老雷

发帖数前10位
注册: 2005-12-19
发 贴: 1,303
Re: 学习完前8章,有几处疑问
Reply Quote
Q1, 对的,是用默认的段。以Windows为例,DS段的基地址是0,大小是4GB,是可以指向内核空间的,但是通常会通过页属性来禁止用户态代码访问内核态数据。
0:001> dg 23
P Si Gr Pr Lo
Sel Base Limit Type l ze an es ng Flags
---- -------- -------- ---------- - -- -- -- -- --------
0023 00000000 ffffffff Data RW Ac 3 Bg Pg P Nl 00000cf3

中断和异常描述符中可以定义权限(DPL,参见P275),CPU会做权限检查,像INT 2E这种情况,属于通过检查的情况——检查是做的,只是符合要求,放行罢了。
IP 地址: 已记录   报告
高端调试 » 软件调试 » Windows内核调试 » Re: 学习完前8章,有几处疑问

 
Legal Notice Privacy Statement Corporate Governance Corporate Governance
(C)2004-2020 ADVDBG.ORG All Rights Reserved.