1. 유저 모드 세그먼트

다음 코드는 유저 모드 세그먼트영역을 지정하는 디스크립터입니다.

                  dd 0x0000FFFF, 0x00FCFA00

                  dd 0x0000FFFF, 0x00FCF200

 

유저 모드의 코드 세그먼트

15

14

13

12

11

10

9

8

7

6

5

4

3

2

1

0

0xFFFF

0x0000

1

11

1

1010

0x00

0x00

1

1

1

1

0xC

63

62

61

60

59

58

57

56

55

54

53

52

51

50

49

48

유저모드의 데이터 세그먼트

15

14

13

12

11

10

9

8

7

6

5

4

3

2

1

0

0xFFFF

0x0000

1

11

1

0010

0x00

0x00

1

1

1

1

0xC

63

62

61

60

59

58

57

56

55

54

53

52

51

50

49

48

 

디스크립터의 셀렉터 번호는 다음과 같이 나타냅니다.

UserCodeSelector equ 0x28+3

UserDataSelector equ 0x30+3

 

3 더하는 것은 세그먼트 셀렉터의 RPL 부분에 유저 모드를 뜻하는 권한 레벨 3 넣어주겠다는 의미입니다.

15

 

 

 

 

 

 

 

 

 

 

 

3

2

1

0

 

 

 

 

 

 

 

 

 

 

 1

0

1

0

1

1

 

15

 

 

 

 

 

 

 

 

 

 

 

3

2

1

0

 

 

 

 

 

 

 

 

 

 

 1

1

0

0

1

1

 

세그먼트 디스크립터는5, 6번째 위치에 있고, TI 모두 0이므로 GDT 존재함을 있습니다.

 

2. 콜게이트 설정

GDT 게이트 디스크립터를 만들었습니다.

descriptor7:

                  dw 0

                  dw SysCodeSelector

                  db 0x02

                  db 0xEC

                  db 0

                  db 0

 

15

14

13

12

11

10

9

8

7

6

5

4

3

2

1

0

0x00

SysCodeSelector (ox08)

1

11

0

1

1

0

0

 

사용안함

0x2

0x00

63

62

61

60

59

58

57

56

55

54

53

52

51

50

49

48

 

커널 루틴의 오프셋 부분이 0으로 설정되어 있고, 부분은 Protected Mode 들어오기 전에 다시 채워 넣을 것입니다. 미리 인수의 개수를 2 지정하여 인수를 2 사용합니다.

Printf 오프셋은 0x00AD 입니다. (채워질 주소 값은 0x10000+0x00AD = 0x100AD)

                  xor eax, eax

                  lea eax, [printf]

                  add eax, 0x10000

                  mov [descriptor7], ax

                  shr eax, 16

                  mov [descriptor7+6], al

                  mov [descriptor7+7], ah

 

15

14

13

12

11

10

9

8

7

6

5

4

3

2

1

0

0x00AD

SysCodeSelector (ox08)

1

11

0

1

1

0

0

 

사용 안함

0x2

0x0001

63

62

61

60

59

58

57

56

55

54

53

52

51

50

49

48

 

Protected 모드로 들어온 , 임의의 값을 tts_esp0 넣어, 커널이 사용할 스택으로 지정합니다. 여기서는 일단 PM_Start 주소를 지정 합니다. 스택은 거꾸로 자람으로 메모리의 주소 마이너스 방향으로 자라납니다 . PM_Start 위에는 이상 사용하지 않는 루틴이 존재하므로 사용해도 좋습니다.

                  lea esp, [PM_Start]

 

                  mov ax, TSSSelector

                  ltr ax

 

                  mov [tss_esp0], esp

                  lea eax, [PM_Start-256]

                  mov [tss_esp], eax

 

 

3. 유저 모드로의 태스크 스위칭

유저 모드의 태스크를 실행시키겠습니다. Protected Mode 들어와 TR 레지스터, TSS영역을 세팅 , 유저모드 처럼 설정하여 IRET 명령을 통해 유저 모드의 태스크를 실행시킵니다.

(1) 세그먼트 셋팅 유저 데이터 영역 세그먼트로

                  mov ax, UserDataSelector

                  mov ds, ax

                  mov es, ax

                  mov fs, ax

                  mov gs, ax

 

데이터 관련 세그먼트에 UserDataSelector 값을 넣어줍니다.

현재 ESP 레지스터에는 커널 모드의 스택의 시작 주소를 지정하는 PM_Start 저장되어 있으므로 유저 모드 스택으로 바꾸어 주기 위해 PM_Start-256 값을 지정합니다.

Lea esp, [PM_Start-256]

 

(2) 인터럽트에 걸린 처럼 스택을 채우기

인터럽트 루틴에서 유저 모드의 레지스터를 스택에 저장해놓았다가 수행을 마치고, 유저 모드로 돌아갈 다시 복귀 시킵니다. 인터럽트 루틴을 수행한 것은 아니지만, 그런 상황을 다음과 같이 재현하여, 유저 태스크를 실행시킬 것입니다.

UserDataSelector(SS)

Esp(ESP)

0x200(EPLAGS)

UserCodeSelector(CS)

User_process(EIP)

 

 

Push 명령어로 다음과 같이 스택을 꾸며줍니다.

                  push dword UserDataSelector

                  push esp

                  push dword 0x200

                  push dword UserCodeSelector

                  lea eax, [user_process]

                  push eax

                  iretd

 

IRET으로 돌아갈 유저 모드에서 사용하는 SS 복구되지만 DS, ES, Fs, GS 셀렉터들은 값이 복구 되지 않아 미리 값을 채웠습니다.

EIP user_process 함수의 주소(오프셋) 지정되어 있기 때문에 user_process 실행합니다.


4. 콜게이트를 사용한 시스템

커널 모드의 함수인 printf 실행하기 위해 게이트를 이용하여 시스템 콜을 합니다. 다음과 같이 스택이 만들어 집니다.

 

(1) 특권 레벨 3 스택 : 인자2

80*2*7

 

Parameter1

ESP

 

 

(2) 특권 레벨1 스택 :

 

SS

 

ESP

 

80*2*7

EBP+8

Parameter1

 

Cs

EBP

EIP

 

ES

ESP

EAX

 

printf:

                  mov ebp, esp

                  push es

                  push eax

                  mov ax, VideoSelector

                  mov es, ax

                  mov esi, [ebp+8]

                  mov edi, [ebp+12]

 

Printf 함수에서는 먼저 esp(tss esp0) 값을 ebp 지정을 합니다. 프로그램 진행 중에 바뀔 esp 값을 복원하기 위해 백업해 것입니다.

EBP+8 하여 첫번째 인수인 문자열을 접근 있고, 두번째 인수는 EBP+12 사용해 접근 있습니다.

+ Recent posts