type
status
date
slug
summary
tags
category
icon
password
😀
保护模式

段寄存器

段寄存器结构

我们在OD当中查看段寄存器,上面显示32位,但真的是32位吗?
notion image
Intel白皮书介绍段寄存器结构为如下16位可见部分(selector),80位隐藏部分
notion image
对应结构图如下:
notion image
Win7 x86 R3 Segment
Segment
Selector
Base
limit
Attribute
CS
0x001B
0
0xFFFFFFFF
可读,可执行
DS
0x0023
0
0xFFFFFFFF
可读,可写
SS
0x0023
0
0xFFFFFFFF
可读,可写
ES
0x0023
0
0xFFFFFFFF
可读,可写
FS
0x003B
0x7FFDF000
0xFFF
可读,可写
GS
-
-
-
-

段寄存器的读写

读取段寄存器
notion image
notion image
写入段寄存器
notion image
notion image
notion image

段寄存器属性探测

我们在前面了解到了段寄存器的结构,它不仅有值还有属性
notion image

Attribute

我们拿cs这个段寄存器进行实验,因为的它是可读可执行,那我们先将cs的地址赋值为ax这个寄存器,然后让gs寄存器的地址指向cs寄存器
我们可以在这里设置断点,然后直接运行
notion image
正好验证CS寄存器是可读可执行,并且是不可写入的.
notion image
 

Base

notion image

limit

如果超过了限制大小会读取失败
notion image

📎 参考文章

保护模式 - 滴水逆向课程笔记
现在操作系统大多是运行在保护模式下的,如果我们要学好操作系统,保护模式是一定要了解的;本章节主要讲解x86的保护模式,由于x64是基于x86拓展的指令集,所以当你具备x86的基础之后再去学习x64也就很简单了。
https://gh0st.cn/Binary-Learning/%E4%BF%9D%E6%8A%A4%E6%A8%A1%E5%BC%8F.html
内核学习记录【保护模式与驱动编程】_滴水三环-CSDN博客
文章浏览阅读2.7k次,点赞3次,收藏17次。滴水内核学习记录看前须知保护模式学习保护模式意义段寄存器段描述符门页TLB中断与异常PEB与TEB驱动编程分页与非分页内存三环与0环通信看前须知从今天起开始记录文章,你我共同学习,体会学习的快乐。因为之前这些东西我都在本地记录,所以一次发布的比较多。我个人比较喜欢以问答的方式记录学习,所以可能如果大家光看我的文章是看不懂,你可以把我文章当成是已经学习过后进行快速复习的一种途径,文章也是按照学习路线进行书写的。当然有些我个人感觉很简单或者不重要的我就没有记录,大家也可以提出,方便你我共同进步。学习的过程_滴水三环
内核学习记录【保护模式与驱动编程】_滴水三环-CSDN博客
https://blog.csdn.net/qq_45844442/article/details/124452308
保护模式篇——总结与提升 - 寂静的羽夏 - 博客园
写在前面 此系列是本人一个字一个字码出来的,包括示例和实验截图。由于系统内核的复杂性,故可能有错误或者不全面的地方,如有错误,欢迎批评指正,本教程将会长期更新。 如有好的建议,欢迎反馈。码字不易,如果本篇文章有帮助你的,如有闲钱,可以打赏支持我的创作。如想转载,请把我的转载信息附在文章后面,并声明我
保护模式篇——总结与提升 - 寂静的羽夏 - 博客园
https://www.cnblogs.com/wingsummer/p/15364654.html
💡
有关学习上的问题,欢迎您在底部评论区留言,一起交流~
IDA-so文件调试环境搭建驱动开发环境配置
Loading...
5m10v3
5m10v3
目前主攻方向为Re
Announcement
🎉5m10v3のBlog已经上线啦🎉
-- 感谢各位师傅的支持 ---
👏欢迎师傅们前来交流👏