?? 漫談兼容內核之一:reactos怎樣實現系統調用.txt
字號:
set_system_call_gate(0x2e,(int)KiSystemService);
}
[/code]
顯然,int 0x2e的向量指向KiSystemService()。
ReactOS在其內核函數的命名和定義上也力求與Windows一致,所以ReactOS內核中也有前綴為ke和ki的函數。前綴ke表示屬于“內核”模塊。注意Windows所謂的“內核(kernel)”模塊只是內核的一部分,而不是整個內核,這一點我以后在“漫談Wine”中還要講到。而前綴ki,則是指內核中與中斷響應和處理有關的函數。KiSystemService()是一段匯編程序,其作用相當于Linux內核中的system_call(),這段代碼在reactos/ntoskrnl/ke/i386/syscall.S中。限于篇幅,我在這篇短文中就不詳細講解這個函數的全部代碼了,而只是分段對一些要緊的關節作些說明。一般而言,能讀懂Linux內核中system_call()那段代碼的讀者應該能至少大體上讀懂這個函數。
[code]
_KiSystemService:
/*
* Construct a trap frame on the stack.
* The following are already on the stack.
*/
// SS + 0x0
// ESP + 0x4
// EFLAGS + 0x8
// CS + 0xC
// EIP + 0x10
pushl $0 // + 0x14
pushl %ebp // + 0x18
pushl %ebx // + 0x1C
pushl %esi // + 0x20
pushl %edi // + 0x24
pushl %fs // + 0x28
/* Load PCR Selector into fs */
movw $PCR_SELECTOR, %bx
movw %bx, %fs
/* Save the previous exception list */
pushl %fs:KPCR_EXCEPTION_LIST // + 0x2C
/* Set the exception handler chain terminator */
movl $0xffffffff, %fs:KPCR_EXCEPTION_LIST
/* Get a pointer to the current thread */
movl %fs:KPCR_CURRENT_THREAD, %esi
[/code]
前面的一些指令主要是在保存現場,類似于Linux內核中的宏操作SAVE_ALL。這里關鍵的一步是從%fs:KPCR_CURRENT_THREAD這個地址取得當前線程的指針并將其存放在寄存器%esi中。每個線程在內核中都有個KTHREAD數據結構,某種意義上相當于Linux內核中的“進程控制塊”、即task_struct。Windows內核中也有“進程控制塊”,但只是相當于把進程內各線程所共享的信息剝離了出來,而“線程控制塊”則起著更重要的作用。所謂當前線程的指針,就是指向當前線程的KTHREAD數據結構的指針。當內核調度一個線程運行時,就將其KTHREAD數據結構的地址存放在%fs:KPCR_CURRENT_THREAD這個地址中,而(CPU在系統空間的)%fs的值則又固定存放在PCR_SELECTOR這個地址中(定義為0x30)。附帶提一下,Win2k內核把%fs:0映射到線性地址0xffdff000(見“Secrets”一書p428)。
總之,從現在起,寄存器%esi就指向了當前線程的KTHREAD數據結構。那么這一步對于系統調用為什么重要呢?我們看一下這個數據結構中的幾個成分就可以明白:
[code]
typedef struct _KTHREAD
{
/* For waiting on thread exit */
DISPATCHER_HEADER DispatcherHeader; /* 00 */
……
SSDT_ENTRY *ServiceTable; /* DC */
……
UCHAR PreviousMode; /* 137 */
……
} KTHREAD;
[/code]
每個成分后面的注釋說明這個成分在數據結構中以字節為單位的相對位移,例如指針ServiceTable的相對位移就是0xdc。事實上,這個指針正是我們此刻最為關注的,因為它直接與系統調用的函數跳轉表有關。每個線程的這個指針都指向一個SSDT_ENTRY結構數組。既然每個線程都有這么個指針,就說明每個線程都可以有自己的ServiceTable。不過,實際上每個線程的ServiceTable通常都指向同一個結構數組,我們等一下再來看這個結構數組,現在先往下看代碼。
[code]
/* Save the old previous mode */
pushl %ss:KTHREAD_PREVIOUS_MODE(%esi) // + 0x30
/* Set the new previous mode based on the saved CS selector */
movl 0x24(%esp), %ebx
andl $1, %ebx
movb %bl, %ss:KTHREAD_PREVIOUS_MODE(%esi)
/* Save other registers */
pushl %eax // + 0x34
pushl %ecx // + 0x38
pushl %edx // + 0x3C
pushl %ds // + 0x40
pushl %es // + 0x44
pushl %gs // + 0x48
sub $0x28, %esp // + 0x70
#ifdef DBG
……
#else
pushl 0x60(%esp) /* DebugEIP */ // + 0x74
#endif
pushl %ebp /* DebugEBP */ // + 0x78
/* Load the segment registers */
sti
movw $KERNEL_DS, %bx
movw %bx, %ds
movw %bx, %es
/* Save the old trap frame pointer where EDX would be saved */
movl KTHREAD_TRAP_FRAME(%esi), %ebx
movl %ebx, KTRAP_FRAME_EDX(%esp)
/* Allocate new Kernel stack frame */
movl %esp,%ebp
/* Save a pointer to the trap frame in the TCB */
movl %ebp, KTHREAD_TRAP_FRAME(%esi)
CheckValidCall:
#ifdef DBG
……
#endif
/*
* Find out which table offset to use. Converts 0x1124 into 0x10.
* The offset is related to the Table Index as such: Offset = TableIndex x 10
*/
movl %eax, %edi
shrl $8, %edi
andl $0x10, %edi
movl %edi, %ecx
/* Now add the thread's base system table to the offset */
addl KTHREAD_SERVICE_TABLE(%esi), %edi
[/code]
這里我們關注的是最后這一小段。首先,KTHREAD_SERVICE_TABLE(%esi)就是當前線程的ServiceTable指針。常數KTHREAD_SERVICE_TABLE定義為0xdc:
[code]
#define KTHREAD_SERVICE_TABLE 0xDC
[/code]
這跟前面KTHREAD數據結構的定義顯然是一致的。
上面講過,實際上一般情況下所有線程的ServiceTable指針都指向同一個結構數組,那就是KeServiceDescriptorTable[ ]:
[code]
SSDT_ENTRY
__declspec(dllexport)
KeServiceDescriptorTable[SSDT_MAX_ENTRIES] = {
{ MainSSDT, NULL, NUMBER_OF_SYSCALLS, MainSSPT },
{ NULL, NULL, 0, NULL },
{ NULL, NULL, 0, NULL },
{ NULL, NULL, 0, NULL }
};
[/code]
這個數組的大小一般是4,但是只用了前兩個元素。這里只用了第一個元素,這就是常規Windows系統調用的跳轉表。
我以前曾經談到,Windows在發展的過程中把許多原來實現于用戶空間的功能(主要是圖形界面操作)移到了內核中,成為一個內核模塊win32k.sys,并相應地增加了一組“擴充系統調用”。這個數組的第二個元素就是為擴充系統調用準備的,但是在源代碼中這個元素是空的,這是因為win32k.sys可以動態安裝,安裝了以后才把具體的數據結構指針填寫進去。擴充系統調用與常規系統調用的區別是:前者的系統調用號均大于等于0x1000,而后者則小于0x1000。顯然,內核需要根據具體的系統調用號來確定應該使用哪一個跳轉表,或者說上述數組內的哪一個元素。每個元素的大小是16個字節,所以只要根據具體的系統調用號算出一個相對位移量,就起到了選擇使用跳轉表的作用。具體地,如果算得的位移量是0,那就是使用常規跳轉表,而若是0x10就是使用擴充跳轉表。
上面的代碼中正是這樣做的。把系統調用號的副本(在%edi中)右移8位,再跟0x10相與,就起到了這個效果。于是,指令“addl KTHREAD_SERVICE_TABLE(%esi), %edi”就使寄存器%edi指向了應該使用的跳轉表結構,即SSDT_ENTRY數據結構。代碼的作者加了個注釋,說是“把0x1124轉換成0x10”,其意思實際上是:“如果系統調用號是0x1124,那么計算出來的相對位移是0x10”;后面一句說的是“相對位移 = 數組下標乘上0x10”。
SSDT_ENTRY數據結構中的第三個成分,即相對位移為8之處是個整數,說明在函數跳轉表中有幾個指針,也即所允許的最大系統調用號。對于常規系統調用,這個整數是NUMBER_OF_SYSCALLS,在ReactOS的代碼中定義為232,比Win2K略少一些。
我們繼續往下看代碼:
[code]
/* Get the true syscall ID and check it */
movl %eax, %ebx
andl $0x0FFF, %eax
cmpl 8(%edi), %eax
/* Invalid ID, try to load Win32K Table */
jnb KiBBTUnexpectedRange
/* Users's current stack frame pointer is source */
movl %edx, %esi
/* Allocate room for argument list from kernel stack */
movl 12(%edi), %ecx
movb (%ecx, %eax), %cl
movzx %cl, %ecx
/* Allocate space on our stack */
subl %ecx, %esp
[/code]
正如代碼中的注釋所說,開始是檢查系統調用號是否在合法范圍之內,這里比較的對象顯然就是NUMBER_OF_SYSCALLS。
?? 快捷鍵說明
復制代碼
Ctrl + C
搜索代碼
Ctrl + F
全屏模式
F11
切換主題
Ctrl + Shift + D
顯示快捷鍵
?
增大字號
Ctrl + =
減小字號
Ctrl + -