x86汇编语言第16章里CPL的问题

cindeequan

老师在第16章里提到低权限（比如用户CPL=3）代码可以在调用（通过call gate）高权限（比如内核例程CPL=0）代码时，通过给定一个系统内核的段选择子（RPL=0）去访问甚至改写系统内核的数据段（DPL=0）。

我试着修改了下代码清单内核代码和用户程序代码，实现了这个效果，请老师指教下，我这个实现和理解对不对。

用户程序修改部分：

         mov bx,0x30                              ; 在返回到内核代码前，把内核core_data段的选择子 0x30送入bx
         call far [fs:TerminateProgram]       ;将控制权返回到系统  


内核程序修改部分：

return_point:

         mov ds,bx                                  ;返回到内核代码后，将用户程序送入bx的内核core_data段选择子0x30送入ds
                                                          ;修改ds段寄存器时的特权检查应该是CPL=RPL=DPL=0, 所以能通过？
         mov ebx,salt_4                           ;ebx指向core_data段中的         salt_4           db  '@TerminateProgram'
         call sys_routine_seg_sel:put_string  ;用户程序利用bx传入一个RPL=0的选择子，然后通过返回到内核代码后，基于CPL=0，访问了DPL=0的数据段，打印出 @TerminateProgram


问题，权限切换时，通用寄存器没有被修改，所以用户程序（CPL=3）可以利用通用寄存器传入一个RPL=0的选择子？

站长

首先，特权级转移和通用寄存器无关，不管你传入什么。
其次，return_point是在内核态执行的，此时的特权级为0。不管bx的RPL是什么，总是可以代入DS，因为，如果CPL为0，可以访问任何特权级的数据段。
最后，在return_point里打印字符串时，是在CPL=0的状态下。没有权限切换。

cindeequan

站长 发表于 2024-3-8 12:07
首先，特权级转移和通用寄存器无关，不管你传入什么。
其次，return_point是在内核态执行的，此时的特权级 ...

那请问老师该如何理解图16-7中的例子？
我的这个修改是不是就是图16-7的一种实现方式？

因为这个情况，所以习题里用arpl的指令把传入的选择子里的RPL匹配的到调用者（用户程序，通过堆栈读取用户程序cs段的cpl），防止用户程序恶意传入rpl=0的选择子来访问dpl=0的数据段？

站长

cindeequan 发表于 2024-3-8 12:53
那请问老师该如何理解图16-7中的例子？
我的这个修改是不是就是图16-7的一种实现方式？

是的，这确实是16-7所讲的情况。因为是从CPL=3带一个DPL=0的数据段选择子进内核，而且在内核里也确实用这个选择子成功代入了DS。