popss sequence

Ahimov · 21 ноя 2024

Приветствую.

В мануалах IA по инструкции pop SS сказано что она задерживает прерывания до завершения исполнения следующей инструкции:

A POP SS instruction inhibits all interrupts, including the NMI interrupt, until after execution of the next instruction.
This action allows sequential execution of POP SS and MOV ESP, EBP instructions without the danger of having an
invalid stack during an interrupt1.
Нажмите, чтобы раскрыть...

Это позволяет обнаружить эмуляцию/трансляцию кода статистически и однозначно.

Есть ли еще инструкции, которые каким либо образом связаны в их последовательности, подобно popss ?

MaKsIm · 21 ноя 2024

Код (ASM):

cmp EAX, 0

jz @f

Код (ASM):

lock

mov EAX, [mem]

Ahimov · 22 ноя 2024

MaKsIm

В чем суть мува не пойму, два потока чтение и запись переменной?

Такую связку можно перемещать в памяти произвольно, а значит изменять. Обнаружить изменение переменной не атомарное?

MaKsIm · 22 ноя 2024

Ahimov сказал(а): ↑

В чем суть мува не пойму, два потока чтение и запись переменной?
Нажмите, чтобы раскрыть...

В данном примере никакой. Суть в префиксе lock, а вот команда к префиксу просто неудачная. Вы же спрашивали про действия связки команд. Вот вам два примера связывания команд.
Любые условные переходы и lock. Еще можно вспомнить про rep+команда.

Ahimov · 22 ноя 2024

Отладчик/транслятор/эмулятор перемещают инструкции или увеличивают их количество(в случае эмуляции). Таким образом если подобрать последовательность инструкций в которой они связаны так, что их перемещение изменяет поведение кода, тогда получится обнаружить отладку.

Ветвления используют только контекст и не привязаны к предыдущим инструкциям.

MaKsIm · 22 ноя 2024

Ahimov сказал(а): ↑

Отладчик/транслятор/эмулятор перемещают инструкции или увеличивают их количество(в случае эмуляции). Таким образом если подобрать последовательность инструкций в которой они связаны так, что их перемещение изменяет поведение кода, тогда получится обнаружить отладку.

Ветвления используют только контекст и не привязаны к предыдущим инструкциям.
Нажмите, чтобы раскрыть...

А прикол с pop ss/mov sp(esp),value работает только в реальном или однозадачном режимах. Во всех остальных стеков у каждой задачи 4-е и при возникновении отладочного исключения процессор не трогает стек текущего (отличного от 0-го) уровня привилегий и перепрыгивает по вектору прерывания (при необходимости может выполнить даже переключение аппаратной таски (TSS))

И как вы собрались искать отладчики с этой последовательностью? В DOS это еще реально. А в x86_64 у вас даже ss нету.

ADD: Вот что об этом говорит Intel SDM

Intel SDM vol 2c. POP—Pop a Value From the Stack сказал(а):

Loading the SS register with a POP instruction suppresses or inhibits some debug exceptions and inhibits interrupts
on the following instruction boundary. (The inhibition ends after delivery of an exception or the execution of the
next instruction.) This behavior allows a stack pointer to be loaded into the ESP register with the next instruction
(POP ESP) before an event can be delivered. See Section 6.8.3, “Masking Exceptions and Interrupts When
Switching Stacks,” in the Intel® 64 and IA-32 Architectures Software Developer’s Manual, Volume 3A. Intel recom-
mends that software use the LSS instruction to load the SS register and ESP together.
Нажмите, чтобы раскрыть...

Intel SDM vol 3a. Masking Exceptions and Interrupts When Switching Stacks сказал(а):

6.8.3
Masking Exceptions and Interrupts When Switching Stacks
To switch to a different stack segment, software often uses a pair of instructions, for example:
MOV SS, AX
MOV ESP, StackTop
(Software might also use the POP instruction to load SS and ESP.)
If an interrupt or exception occurs after the new SS segment descriptor has been loaded but before the ESP register
has been loaded, these two parts of the logical address into the stack space are inconsistent for the duration of the
interrupt or exception handler (assuming that delivery of the interrupt or exception does not itself load a new stack
pointer).
To account for this situation, the processor prevents certain events from being delivered after execution of a MOV
to SS instruction or a POP to SS instruction. The following items provide details:
•
Any instruction breakpoint on the next instruction is suppressed (as if EFLAGS.RF were 1).
•
Any data breakpoint on the MOV to SS instruction or POP to SS instruction is inhibited until the instruction
boundary following the next instruction.
•
Any single-step trap that would be delivered following the MOV to SS instruction or POP to SS instruction
(because EFLAGS.TF is 1) is suppressed.
•
The suppression and inhibition ends after delivery of an exception or the execution of the next instruction.
•
If a sequence of consecutive instructions each loads the SS register (using MOV or POP), only the first is
guaranteed to inhibit or suppress events in this way.
Intel recommends that software use the LSS instruction to load the SS register and ESP together. The problem
identified earlier does not apply to LSS, and the LSS instruction does not inhibit events as detailed above.
Нажмите, чтобы раскрыть...

Ahimov · 22 ноя 2024

MaKsIm

работает только в реальном или однозадачном режимах.
Нажмите, чтобы раскрыть...

В защищенном режиме x32, юзермод так же работает. На счет стека в данном случае не важно, вторая инструкция другой может быть. Это сделано для атомарной загрузки ss:esp, если прерывание обрабатывается на том же уровне привилегий(тогда нет переключения стека).

А в x86_64 у вас даже ss нету.
Нажмите, чтобы раскрыть...

IA SDM v2:

Loading the SS register with a MOV instruction inhibits all interrupts until after the execution of the next instruction.
Нажмите, чтобы раскрыть...

64-Bit Mode Exceptions
#GP(0) If the memory address is in a non-canonical form.
If an attempt is made to load SS register with NULL segment selector when CPL = 3.
If an attempt is made to load SS register with NULL segment selector when CPL < 3 and CPL
≠ RPL.
Нажмите, чтобы раскрыть...

8E /r MOV Sreg,r/m16** 64 Valid CM/LM Valid Move r/m16 to segment register.

И как вы собрались искать отладчики с этой последовательностью?
Нажмите, чтобы раскрыть...

Статистикой по прерываниям. Интересно какие еще есть подобные связки инструкций.

MaKsIm · 23 ноя 2024

Ahimov сказал(а): ↑

В защищенном режиме x32, юзермод так же работает. На счет стека в данном случае не важно, вторая инструкция другой может быть. Это сделано для атомарной загрузки ss:esp, если прерывание обрабатывается на том же уровне привилегий(тогда нет переключения стека).
Нажмите, чтобы раскрыть...

И вот тут то как раз нестыковка. Обработка отладочных исключений происходит в разных задачах (процессах) т.е. каждое такое исключение принудительно транслируется в другой процесс.

С другой стороны отладчик может просто заменять инструкцию на int3 и потом просто эмитировать выполнение первой инструкции.

Ahimov сказал(а): ↑

Статистикой по прерываниям.
Нажмите, чтобы раскрыть...

Вам проще запустить свой же процесс под отладкой другой вашей программы (или той же, но с другими параметрами) и контролировать состояние этой отладки.

Ahimov · 23 ноя 2024

MaKsIm

Прерывание это не исключение, про последние речи небыло. Аналогично прерываниям можно подавить отладочное исключение, через cpu.flags.RF, так например происходит сервисный возврат.

проще запустить свой же процесс под отладкой
Нажмите, чтобы раскрыть...

Проще да, вот только все процессы и отладчик до кучи запустятся под бинарным транслятором/эмулятором, детектить такое не получится через всякие int3

Тут нужен принципиально иной подход.

Ahimov · 6 июл 2025

Эксплойт нашелся CVE-2018-8897:

Vulnerability
By design when switching stacks using either MOV SS or POP SS, The processor disables external interrupts, non-maskable interrupts and pending debug exceptions till the instruction following the SS load is completed. If SS load instruction is followed by a break point exception (#BP). The interrupt may execute with a user based GS.Base address.
When the interrupt flag (EFLAG.IF) is cleared by CLI or an interrupt the processor ignores maskable external interrupts. It is assumed that debug exceptions(#DB) and non-maskable interrupts are also ignored, this is wrong. Lets take the sample assemble instruction below.
mov ss,[rax]
int 3
If rax points to an address on the stack and we set the debug registers to trigger when the stack address is accessed. Any code or data reference instruction will a trigger debug handler (#DB). So the #DB will be suppressed till the following int 3(Break point exception handler #BP) instruction is executed. The issue here is when int 3 handler completes executing it will clear the interrupt flag causing the #DB suppressed earlier to activate. The #DB will assume that the calling process privilege level is same as int 3 privilege level which is zero and executes it using the GS.Base set by the user-level (privilege 3) process.
Нажмите, чтобы раскрыть...

galenkane · 6 июл 2025

Основные инструкции со связанным поведением:

1. STI (Set Interrupt Flag)

Код (ASM):

sti

nop ; следующая инструкция выполняется без прерываний

Задерживает прерывания на одну инструкцию после выполнения

Позволяет атомарно включить прерывания и выполнить критическую операцию

2. MOV SS (Move to Stack Segment)

Код (ASM):

mov ss, ax

mov esp, new_stack ; выполняется без прерываний

Аналогично

Код (ASM):

POP SS

, блокирует прерывания до следующей инструкции

Обеспечивает атомарную замену SS:ESP

3. REP префикс

Код (ASM):

rep movsb ; префикс связан с командой

Создает неделимую связь между префиксом и инструкцией

Нельзя разделить префикс и команду

4. LOCK префикс

Код (ASM):

lock add [mem], eax ; атомарная операция

Обеспечивает атомарность доступа к памяти

Префикс неразрывно связан с инструкцией

5. Условные переходы с предсказанием

Код (ASM):

cmp eax, 0

je target ; связаны через предсказание переходов

Создают связь через механизм предсказания ветвлений

Изменение порядка может повлиять на производительность

6. Последовательности с флагами

Код (ASM):

pushf ; сохранить флаги

cli ; запретить прерывания ; критическая секция

popf ; восстановить флаги и состояние IF

7. Инструкции с задержкой исключений

Код (ASM):

mov ss, ax

int 3 ; может использоваться для CVE-2018-8897

Код (C++):

#include <iostream>

#include <chrono>

#include <vector>

#include <cstring>

#include <functional>

#include <string>

#include <intrin.h>

#include <cmath>

class EmulationDetector {

private:

static constexpr size_t SMALL_BUFFER = 1024;

static constexpr size_t MEDIUM_BUFFER = 32768;

static constexpr size_t LARGE_BUFFER = 1048576;

static constexpr int ITERATIONS = 1000;

struct TimingProfile {

double rep_movsb_time;

double memcpy_time;

double ratio;

uint64_t rdtsc_overhead;

};

uint64_t read_performance_counter(int counter_id) {

return __rdtsc();

}

uint64_t precise_timing(std::function<void()> func) {

uint64_t start, end;

int cpuInfo[4];

__cpuid(cpuInfo, 0);

start = __rdtsc();

func();

__cpuid(cpuInfo, 0);

end = __rdtsc();

return end - start;

}

void rep_movsb_copy(void* dst, const void* src, size_t size) {

char* d = static_cast<char*>(dst);

const char* s = static_cast<const char*>(src);

size_t sz = size;

__asm {

push esi

push edi

push ecx

mov edi, d

mov esi, s

mov ecx, sz

rep movsb

pop ecx

pop edi

pop esi

}

}

void rep_movsb_copy_intrinsic(void* dst, const void* src, size_t size) {

char* d = static_cast<char*>(dst);

const char* s = static_cast<const char*>(src);

for (size_t i = 0; i < size; ++i) {

d[i] = s[i];

}

}

void enhanced_rep_movsb_copy(void* dst, const void* src, size_t size) {

try {

rep_movsb_copy(dst, src, size);

}

catch (...) {

rep_movsb_copy_intrinsic(dst, src, size);

}

}

TimingProfile profile_rep_movsb(size_t buffer_size) {

std::vector<char> src(buffer_size, 0xAA);

std::vector<char> dst(buffer_size, 0x00);

TimingProfile profile = {};

uint64_t rep_movsb_total = 0;

for (int i = 0; i < ITERATIONS; ++i) {

rep_movsb_total += precise_timing([&]() {

enhanced_rep_movsb_copy(dst.data(), src.data(), buffer_size);

});

}

profile.rep_movsb_time = static_cast<double>(rep_movsb_total) / ITERATIONS;

uint64_t memcpy_total = 0;

for (int i = 0; i < ITERATIONS; ++i) {

memcpy_total += precise_timing([&]() {

memcpy(dst.data(), src.data(), buffer_size);

});

}

profile.memcpy_time = static_cast<double>(memcpy_total) / ITERATIONS;

profile.ratio = profile.rep_movsb_time / profile.memcpy_time;

uint64_t rdtsc_overhead = 0;

for (int i = 0; i < 100; ++i) {

rdtsc_overhead += precise_timing([]() {

// Empty function to measure timing overhead

});

}

profile.rdtsc_overhead = rdtsc_overhead / 100;

return profile;

}

bool test_microarchitectural_behavior() {

int cpuInfo[4];

__cpuidex(cpuInfo, 7, 0);

bool ermsb_supported = (cpuInfo[1] & (1 << 9)) != 0;

if (!ermsb_supported) {

return true; // Assume hardware if ERMSB not supported

}

std::vector<char> buffer(4096 + 64);

char* aligned_ptr = reinterpret_cast<char*>(

(reinterpret_cast<uintptr_t>(buffer.data()) + 63) & ~63

);

char* unaligned_ptr = aligned_ptr + 1;

uint64_t aligned_time = precise_timing([&]() {

enhanced_rep_movsb_copy(aligned_ptr + 2048, aligned_ptr, 2048);

});

uint64_t unaligned_time = precise_timing([&]() {

enhanced_rep_movsb_copy(unaligned_ptr + 2048, unaligned_ptr, 2048);

});

if (aligned_time == 0) return true; // Avoid division by zero

double alignment_ratio = static_cast<double>(unaligned_time) / aligned_time;

// Real hardware typically shows 1.2-2.0x difference

// VMs often show less sensitivity (closer to 1.0)

return alignment_ratio > 1.15 && alignment_ratio < 3.0;

}

bool detect_via_performance_counters() {

uint64_t start_cycles = __rdtsc();

uint64_t start_instructions = read_performance_counter(0);

volatile int dummy = 0;

for (int i = 0; i < 10000; ++i) {

dummy += i;

}

uint64_t end_cycles = __rdtsc();

uint64_t end_instructions = read_performance_counter(0);

if (end_cycles <= start_cycles) return false;

double ipc = static_cast<double>(end_instructions - start_instructions) /

(end_cycles - start_cycles);

return ipc > 0.1 && ipc < 4.0;

}

bool detect_via_timing_patterns() {

std::vector<uint64_t> timings;

for (int i = 0; i < 100; ++i) {

uint64_t timing = precise_timing([&]() {

volatile int temp = 0;

for (int j = 0; j < 1000; ++j) {

temp += j;

}

});

timings.push_back(timing);

}

double mean = 0.0;

for (uint64_t t : timings) {

mean += t;

}

mean /= timings.size();

if (mean == 0) return false;

double variance = 0.0;

for (uint64_t t : timings) {

variance += (t - mean) * (t - mean);

}

variance /= timings.size();

double coefficient_of_variation = sqrt(variance) / mean;

// Real hardware: CV usually 0.1-0.5

// VMs: CV often < 0.1 (too consistent) or > 0.6 (too variable)

return coefficient_of_variation > 0.05 && coefficient_of_variation < 0.6;

}

public:

struct DetectionResult {

bool is_emulated;

double confidence;

std::string detection_method;

std::vector<std::string> indicators;

};

DetectionResult detect_emulation() {

DetectionResult result = {};

result.is_emulated = false;

result.confidence = 0.0;

std::vector<std::string> indicators;

// Get timing profiles

auto small_profile = profile_rep_movsb(SMALL_BUFFER);

auto medium_profile = profile_rep_movsb(MEDIUM_BUFFER);

auto large_profile = profile_rep_movsb(LARGE_BUFFER);

// **MAIN DETECTION VECTOR: RDTSC Overhead**

// This is the strongest indicator based on your data

double avg_rdtsc_overhead = (small_profile.rdtsc_overhead +

medium_profile.rdtsc_overhead +

large_profile.rdtsc_overhead) / 3.0;

if (avg_rdtsc_overhead > 5000) {

indicators.push_back("Very high RDTSC overhead (virtualization detected)");

result.confidence += 0.8; // Very strong indicator

}

else if (avg_rdtsc_overhead > 1000) {

indicators.push_back("High RDTSC overhead (possible emulation)");

result.confidence += 0.4;

}

// **TIMING RATIO ANALYSIS**

// Hardware typically shows ratios around 0.95-1.05

double avg_ratio = (small_profile.ratio + medium_profile.ratio + large_profile.ratio) / 3.0;

if (avg_ratio > 1.5 || avg_ratio < 0.3) {

indicators.push_back("Abnormal REP MOVSB/memcpy performance ratio");

result.confidence += 0.3;

}

// **CACHE SCALING ANALYSIS**

if (small_profile.rep_movsb_time > 0) {

double cache_scaling = large_profile.rep_movsb_time / small_profile.rep_movsb_time;

// Real hardware: ~500-1000x scaling from L1 to RAM

// VMs: often different scaling patterns

if (cache_scaling < 100 || cache_scaling > 2000) {

indicators.push_back("Abnormal cache hierarchy scaling");

result.confidence += 0.2;

}

}

// **ABSOLUTE TIMING ANALYSIS**

// VMs often show much higher absolute timings

if (small_profile.rep_movsb_time > 10000) {

indicators.push_back("Extremely high absolute timing values");

result.confidence += 0.3;

}

// **MICROARCHITECTURAL BEHAVIOR**

if (!test_microarchitectural_behavior()) {

indicators.push_back("Abnormal alignment sensitivity");

result.confidence += 0.15;

}

// **TIMING CONSISTENCY**

if (!detect_via_timing_patterns()) {

indicators.push_back("Abnormal timing variance patterns");

result.confidence += 0.1;

}

// **FINAL DETERMINATION**

result.is_emulated = result.confidence > 0.6;

result.indicators = indicators;

if (result.is_emulated) {

result.detection_method = "Multi-vector timing analysis (Primary: RDTSC overhead)";

}

else {

result.detection_method = "Hardware execution detected";

}

return result;

}

void print_detailed_analysis() {

std::cout << "=== Enhanced REP MOVSB Emulation Detection Analysis ===" << std::endl;

auto result = detect_emulation();

std::cout << "Detection Result: " << (result.is_emulated ? "EMULATED/VIRTUALIZED" : "HARDWARE") << std::endl;

std::cout << "Confidence: " << (result.confidence * 100) << "%" << std::endl;

std::cout << "Method: " << result.detection_method << std::endl;

if (!result.indicators.empty()) {

std::cout << "\nDetection Indicators:" << std::endl;

for (const auto& indicator : result.indicators) {

std::cout << " - " << indicator << std::endl;

}

}

// Print detailed timing profiles

std::cout << "\n=== Detailed Timing Analysis ===" << std::endl;

auto small_profile = profile_rep_movsb(SMALL_BUFFER);

auto medium_profile = profile_rep_movsb(MEDIUM_BUFFER);

auto large_profile = profile_rep_movsb(LARGE_BUFFER);

std::cout << "Small Buffer (1KB):" << std::endl;

std::cout << " REP MOVSB: " << small_profile.rep_movsb_time << " cycles" << std::endl;

std::cout << " memcpy: " << small_profile.memcpy_time << " cycles" << std::endl;

std::cout << " Ratio: " << small_profile.ratio << std::endl;

std::cout << " RDTSC overhead: " << small_profile.rdtsc_overhead << " cycles" << std::endl;

std::cout << "Medium Buffer (32KB):" << std::endl;

std::cout << " REP MOVSB: " << medium_profile.rep_movsb_time << " cycles" << std::endl;

std::cout << " memcpy: " << medium_profile.memcpy_time << " cycles" << std::endl;

std::cout << " Ratio: " << medium_profile.ratio << std::endl;

std::cout << " RDTSC overhead: " << medium_profile.rdtsc_overhead << " cycles" << std::endl;

std::cout << "Large Buffer (1MB):" << std::endl;

std::cout << " REP MOVSB: " << large_profile.rep_movsb_time << " cycles" << std::endl;

std::cout << " memcpy: " << large_profile.memcpy_time << " cycles" << std::endl;

std::cout << " Ratio: " << large_profile.ratio << std::endl;

std::cout << " RDTSC overhead: " << large_profile.rdtsc_overhead << " cycles" << std::endl;

// Additional analysis

double avg_rdtsc_overhead = (small_profile.rdtsc_overhead +

medium_profile.rdtsc_overhead +

large_profile.rdtsc_overhead) / 3.0;

std::cout << "\n=== Key Metrics ===" << std::endl;

std::cout << "Average RDTSC overhead: " << avg_rdtsc_overhead << " cycles" << std::endl;

if (small_profile.rep_movsb_time > 0) {

double cache_scaling = large_profile.rep_movsb_time / small_profile.rep_movsb_time;

std::cout << "Cache scaling factor: " << cache_scaling << "x" << std::endl;

}

std::cout << "\n=== Interpretation ===" << std::endl;

std::cout << "RDTSC overhead < 1000: Likely hardware" << std::endl;

std::cout << "RDTSC overhead > 5000: Likely VM/emulation" << std::endl;

std::cout << "Cache scaling 500-1000x: Typical for hardware" << std::endl;

}

};

int main() {

EmulationDetector detector;

detector.print_detailed_analysis();

return 0;

}

вроде как на vmware работает детект

real hw
=== Enhanced REP MOVSB Emulation Detection Analysis ===
Detection Result: HARDWARE
Confidence: 0%
Method: Hardware execution detected
=== Detailed Timing Analysis ===
Small Buffer (1KB):
REP MOVSB: 202.366 cycles
memcpy: 203.704 cycles
Ratio: 0.993432
RDTSC overhead: 126 cycles
Medium Buffer (32KB):
REP MOVSB: 2471.51 cycles
memcpy: 2468.7 cycles
Ratio: 1.00114
RDTSC overhead: 127 cycles
Large Buffer (1MB):
REP MOVSB: 158215 cycles
memcpy: 182607 cycles
Ratio: 0.866421
RDTSC overhead: 255 cycles
=== Key Metrics ===
Average RDTSC overhead: 169.333 cycles
Cache scaling factor: 781.825x
=== Interpretation ===
RDTSC overhead < 1000: Likely hardware
RDTSC overhead > 5000: Likely VM/emulation
Cache scaling 500-1000x: Typical for hardware

vmware

=== Enhanced REP MOVSB Emulation Detection Analysis ===
Detection Result: EMULATED/VIRTUALIZED
Confidence: 145%
Method: Multi-vector timing analysis (Primary: RDTSC overhead)
Detection Indicators:
- Very high RDTSC overhead (virtualization detected)
- Abnormal cache hierarchy scaling
- Extremely high absolute timing values
- Abnormal alignment sensitivity
=== Detailed Timing Analysis ===
Small Buffer (1KB):
REP MOVSB: 14326.5 cycles
memcpy: 13411.6 cycles
Ratio: 1.06821
RDTSC overhead: 12493 cycles
Medium Buffer (32KB):
REP MOVSB: 16036.8 cycles
memcpy: 15289.3 cycles
Ratio: 1.04889
RDTSC overhead: 12496 cycles
Large Buffer (1MB):
REP MOVSB: 154498 cycles
memcpy: 152690 cycles
Ratio: 1.01184
RDTSC overhead: 13066 cycles
=== Key Metrics ===
Average RDTSC overhead: 12685 cycles
Cache scaling factor: 10.7841x
=== Interpretation ===
RDTSC overhead < 1000: Likely hardware
RDTSC overhead > 5000: Likely VM/emulation
Cache scaling 500-1000x: Typical for hardware
Нажмите, чтобы раскрыть...

Ahimov · 7 июл 2025

galenkane

ia sdm 3c, там где про vmx:

For these VM exits, the instruction’s modifications to architectural state complete before the VM exit occurs.
Such modifications include those to the logical processor’s interruptibility state (see Table 24-3). If there had been blocking by MOV SS, POP SS, or STI before the instruction executed, such blocking is no longer in effect.
Нажмите, чтобы раскрыть...

VM entry is not allowed when events are blocked by MOV SS or POP SS. Neither VMLAUNCH nor VMRESUME should be used immediately after either MOV to SS or POP to SS.
Нажмите, чтобы раскрыть...

Наверно тайминг должен отличаться на вирте. Если попробовать посмотреть за прерываниями, таким образом:

Код (ASM):

mov edx, 3 ; rpl(3) -> IRET -> !rpl

mov ax, ss

mov es, dx

wait_for_int:

mov cx, es

jecxz int_loop

jmp wait_for_int

int_loop:

; accum of stat's..

mov es, dx

mov ss, ax

mov cx, es

jecxz inc_int_count

Изначально планировалось использовать это, для наблюдения за прерываниями.
Статистику по пркрываниям можно собрать системным путем используя профайлер(NtStartProfile). Это хороший способ получить покрытие кода. Но есть некоторые сложности из за выравнивания счетчиков(не решено).

--- Сообщение объединено, 7 июл 2025 ---

QUOTE]Основные инструкции со связанным поведением [/QUOTE]

8. SERIALIZING INSTRUCTIONS

The Intel 64 and IA-32 architectures define several serializing instructions. These instructions force the
processor to complete all modifications to flags, registers, and memory by previous instructions and to drain all buffered writes to memory before the next instruction is fetched and executed. For example, when a MOV to control register instruction is used to load a new value into control register CR0 to enable protected mode, the processor must perform a serializing operation before it enters protected mode. This serializing operation ensures that all operations that were started while the processor was in real-address mode are completed before the switch to protected mode is made.

• Non-privileged serializing instructions — CPUID, IRET, and RSM.
Нажмите, чтобы раскрыть...

galenkane · 7 июл 2025

[TEST] CPUID Latency Analysis...
-> CPUID cycles: 14257150
-> Baseline cycles: 18206
-> Ratio: 783.10x
ANOMALY: CPUID extremely slow - VM exits detected

--- Сообщение объединено, 7 июл 2025 ---

Для комьюнити стоило б собрать все наработки и нормально их задокументировать, а то валяется по архивчикам и долго искать сюда-туда.

Ahimov · 7 июл 2025

galenkane

Как это работает TestSTIBlocking() -> CLI ?

cli/sti в юзермоде

alex_dz · 7 июл 2025

Эти инструкции привилегированные — то есть их нельзя вызывать из пользовательского режима (Ring 3). Если ты попытаешься — получишь #GP (General Protection Fault).

Ahimov · 8 июл 2025

Есть ошибки, из за которых семпл не может работать. С cli/sti допустим может PVI, но такое:

Код (ASM):

TestMovSSBlocking:

mov ax, ss

rdtscp

mov rsi, rax

mov rdi, rdx

mov ss, ax

IF SS is loaded
THEN
IF segment selector is NULL
THEN #GP(0); FI;
IF segment selector index is outside descriptor table limits OR segment selector's RPL ≠ CPL
OR segment is not a writable data segment
OR DPL ≠ CPL
THEN #GP(selector); FI;
IF segment not marked present
THEN #SS(selector);
ELSE
SS := segment selector;
SS := segment descriptor; FI;
FI;
Нажмите, чтобы раскрыть...

Это на необработанном фаулте упадет. Похоже семпл не проверен после сборки

galenkane · 8 июл 2025

Ahimov · 30 ноя 2025

Если мы включаем в цикл инструкцию, которая маскирует прерывания на одну инструкцию (загрузка SS), то это действительно может привести к тому, что один цикл ожидания может пропустить событие IRET (и, соответственно, сброс DS).
Итог

В этом узком окне две команды IRET могут произойти до того, как цикл успеет перезагрузить DS, 3. В таком случае:

Первый IRET обнулит DS.

Цикл выполнит декремент счетчика.

Второй IRET не сможет обнулить DS (потому что он уже 0), и счетчик не будет декрементирован второй раз.

Таким образом, теоретически, добавление MOV SS, ... увеличивает шанс пропустить второе прерывание, поскольку маскирование прерываний замедляет реакцию цикла на событие, не давая ему сразу же "перезарядить" триггер DS, 3.

Однако, на практике, этот эффект минимален. Если прерывания происходят очень часто, обе последовательности будут иметь очень близкое число учтенных прерываний, поскольку IRET — это основной механизм сброса DS, который и определяет частоту счета.

для увеличения дискретности можем использовать счетчик инструкций ?

Да, для увеличения дискретности (точности подсчета) мы можем использовать счетчик инструкций (Instruction Counter) в цикле.
Это позволит отслеживать не просто факт обнуления DS, а то, сколько инструкций выполнилось в User Mode между двумя событиями IRET.

Предположим, мы хотим узнать, сколько инструкций выполнится в User Mode между моментом активации DS=3 и моментом его сброса до 0 ядром.

MOV CX, 3 ; CX = NULL-селектор (3)

INIT_DS:
MOV DS, CX ; DS = 3. Активация триггера.
XOR EAX, EAX ; EAX = Счетчик инструкций (сброс в 0)

WAIT_LOOP:
INC EAX ; Увеличиваем счетчик инструкций

; Проверка обнуления DS
MOV EBX, DS
TEST EBX, EBX
JNZ WAIT_LOOP ; Если DS != 0, продолжаем считать

; --- DS сброшен до 0: IRET произошел ---

; EAX теперь содержит приблизительное количество инструкций,
; выполненных в User Mode до возникновения IRET.

; ... (Дальнейшая обработка результата EAX) ...

; Для продолжения:
JMP INIT_DS

Результат

Использование счетчика инструкций (EAX) в цикле увеличивает дискретность ваших измерений. Теперь, если два события IRET произошли быстро, вы увидите не просто "произошло $\times 2$", а "произошло через N инструкций" и "произошло через M инструкций".

Дискретность: Измеряется в инструкциях, а не только в событиях.

Счетчик инструкций в цикле с маскировкой SS

Использование счетчика позволяет вам измерить, сколько именно инструкций выполняется в "окне" между двумя событиями IRET, даже если в этом окне есть инструкция, временно маскирующая прерывания.
Сценарий

Мы используем:

CX для хранения NULL-селектора (3).

EAX как счетчик выполненных инструкций.

BX для фиктивной загрузки SS (требует действительного селектора стека, но для примера мы просто используем регистр).

MOV CX, 3 ; CX = NULL-селектор (3) MOV BX, [Valid_SS] ; BX = Действительный селектор стека (для MOV SS, BX) INIT_DS: MOV DS, CX ; 1. Активация триггера: DS = 3 XOR EAX, EAX ; 2. Обнуление счетчика инструкций WAIT_LOOP: INC EAX ; 3. Увеличиваем счетчик инструкций ; Маскировка прерывания на одну инструкцию MOV SS, BX ; 4. Загрузка SS (блокирует INT на следующую инструкцию)
; Проверка обнуления DS (выполняется атомарно с MOV SS) MOV EBX, DS ; 5. Чтение DS TEST EBX, EBX ; 6. Проверка: DS сброшен до 0? JNZ WAIT_LOOP ; 7. Если DS != 0, продолжаем считать ; --- DS сброшен до 0: IRET произошел --- ; EAX теперь содержит количество инструкций, выполненных до IRET. ; Для продолжения: JMP INIT_DS

Если IRET происходит, он обнуляет DS. Следующая итерация цикла увидит DS=0 (в инструкции 5/6) и выйдет из цикла.

Преимущество: Вы получаете численное значение (EAX) латентности между активацией триггера DS=3 и фактическим сбросом.

Влияние маскировки: Если бы инструкция MOV SS, BX была расположена в другом месте цикла,она могла бы немного изменить финальное значение EAX, так как момент "окна" блокировки прерываний сместился бы относительно прихода IRET. Однако фундаментальный принцип счета каждого события IRET сохраняется.

если использовать сравнение с эталонным циклом ?

Сравнение с Эталонным Циклом (Control Loop)

Чтобы измерить влияние маскировки SS, нам нужно два цикла:

Контрольный (Эталонный) Цикл: Считает инструкции без маскировки SS. Он показывает базовую латентность (количество инструкций) между активацией триггера DS=3 и фактическим приходом IRET.

Тестируемый Цикл: Считает инструкции, включая инструкцию MOV SS, ... для маскирования прерываний.

Сравнивая среднее значение счетчика инструкций (EAX) в Тестируемом цикле с Эталонным, мы можем увидеть, как маскирование влияет на общую задержку.
Код двух циклов

1. Эталонный Цикл (Без маскировки SS)

Этот цикл показывает, сколько инструкций выполняется в среднем до того, как придет IRET и обнулит DS.

MOV CX, 3 ; NULL-селектор XOR Total_EAX, Total_EAX ; Общий счетчик для усреднения MOV Iterations, 100 ; Количество итераций для усреднения REF_INIT: MOV DS, CX ; DS = 3 XOR EAX, EAX ; Сброс счетчика инструкций REF_WAIT_LOOP: INC EAX ; Считаем инструкцию MOV EBX, DS ; Чтение DS TEST EBX, EBX JNZ REF_WAIT_LOOP ; Ждем IRET
ADD Total_EAX, EAX ; Добавляем результат к сумме DEC Iterations JNZ REF_INIT ; Повторяем 100 раз для усреднения
2. Тестируемый Цикл (С маскировкой SS)

Этот цикл включает маскирование. Разница в среднем Total_EAX между двумя циклами покажет дополнительную задержку, вызванную смещением окна прерываний.

MOV CX, 3 ; NULL-селектор MOV BX, [Valid_SS] ; Действительный селектор стека XOR Test_Total_EAX, Test_Total_EAX ; Общий счетчик для усреднения MOV Test_Iterations, 100 TEST_INIT: MOV DS, CX ; DS = 3 XOR EAX, EAX ; Сброс счетчика инструкций TEST_WAIT_LOOP: INC EAX ; Считаем инструкцию ; --- Инструкция с маскировкой --- MOV SS, BX ; Блокирует INT на следующую инструкцию
MOV EBX, DS ; Чтение DS (выполняется атомарно с MOV SS) TEST EBX, EBX JNZ TEST_WAIT_LOOP ; Ждем IRET ADD Test_Total_EAX, EAX ; Добавляем результат к сумме DEC Test_Iterations JNZ TEST_INIT ; Повторяем 100 раз для усреднения

Вот полный код на FASM (Flat Assembler), реализующий два цикла (эталонный и тестовый с маскировкой SS), чтобы измерить, как маскировка влияет на задержку обнуления сегментного регистра DS ядром.
Код предназначен для запуска в Windows User Mode (32-битный, так как FASM часто используется для PE-формата) и демонстрирует обсуждавшийся механизм.

Этот код выполняет 1000 итераций для каждого цикла и в конце сравнивает общее число инструкций, выполненных до срабатывания IRET.
Нажмите, чтобы раскрыть...

Код (ASM):

; fasm-код для Windows User Mode (PE-файл)

format PE console

entry start

section '.text' code readable executable

start:

; --- Инициализация ---

; 1. Сохраняем текущий селектор SS для использования в тесте

MOV [STACK_SEL], SS

; 2. NULL-селектор: 3 (RPL=3)

MOV [DS_NULL_SEL], 3

; 3. Количество итераций для усреднения

MOV [ITERATIONS], 10000

; 4. Обнуление суммарных счетчиков

XOR EAX, EAX

MOV [REF_TOTAL_COUNT], EAX

MOV [TEST_TOTAL_COUNT], EAX

; =================================================================

; 1. ЭТАЛОННЫЙ ЦИКЛ (Без маскировки SS)

; =================================================================

MOV ECX, [ITERATIONS] ; Счетчик итераций

REF_INIT:

PUSH ECX

MOVZX EBX, word [DS_NULL_SEL] ; EBX = 3

MOV DS, BX ; Активация триггера: DS = 3

XOR EAX, EAX ; EAX = Счет инструкций (сброс в 0)

REF_WAIT_LOOP:

INC EAX ; 1. Считаем инструкцию

MOVZX EBX, DS ; 2. Чтение DS

TEST EBX, EBX ; 3. Проверка: DS сброшен до 0?

JNZ REF_WAIT_LOOP ; 4. Если нет, ждем IRET

; IRET сработал

ADD [REF_TOTAL_COUNT], EAX ; Добавляем результат к сумме

POP ECX

LOOP REF_INIT

; =================================================================

; 2. ТЕСТИРУЕМЫЙ ЦИКЛ (С маскировкой SS)

; =================================================================

MOV ECX, [ITERATIONS] ; Счетчик итераций

TEST_INIT:

PUSH ECX

MOVZX EBX, word [DS_NULL_SEL] ; EBX = 3

MOV DS, BX ; Активация триггера: DS = 3

XOR EAX, EAX ; EAX = Счет инструкций (сброс в 0)

MOVZX EDI, word [STACK_SEL] ; EDI = Текущий селектор SS

TEST_WAIT_LOOP:

INC EAX ; 1. Считаем инструкцию

MOV SS, DI ; 2. Загрузка SS (Блокирует INT на 1 инструкцию)

MOVZX EBX, DS ; 3. Чтение DS (Атомарно с MOV SS)

TEST EBX, EBX ; 4. Проверка: DS сброшен до 0?

JNZ TEST_WAIT_LOOP ; 5. Если нет, ждем IRET

; IRET сработал

ADD [TEST_TOTAL_COUNT], EAX ; Добавляем результат к сумме

POP ECX

LOOP TEST_INIT

; =================================================================

; Вывод результатов (Для простоты оставим их в памяти)

; =================================================================

; После выполнения:

; REF_TOTAL_COUNT - Суммарное количество инструкций в эталоне

; TEST_TOTAL_COUNT - Суммарное количество инструкций с маскировкой SS

; Выход из программы

PUSH 0

CALL [ExitProcess]

section '.data' data readable writable

DS_NULL_SEL dw 0

STACK_SEL dw 0

ITERATIONS dd 0

REF_TOTAL_COUNT dd 0

TEST_TOTAL_COUNT dd 0

section '.idata' import data readable writeable

library kernel32, 'kernel32.dll'

import kernel32, ExitProcess, 'ExitProcess'

Расчет Отношения (Ratio)

Отношение (Ratio) покажет, во сколько раз цикл с маскировкой SS выполнял больше инструкций, чем эталонный цикл, чтобы дождаться одного и того же количества событий IRET.

; ... (Конец кода двух циклов) ... ; ================================================================= ; 3. РАСЧЕТ ОТНОШЕНИЯ (TEST / REF) ; ================================================================= ; Подготовка операндов для деления: TEST_TOTAL_COUNT / REF_TOTAL_COUNT ; Дивиденд (числитель) помещаем в EDX:EAX MOV EAX, [TEST_TOTAL_COUNT] XOR EDX, EDX
; Делитель (знаменатель) помещаем в регистр (например, EBX) MOV EBX, [REF_TOTAL_COUNT] ; Проверка на деление на ноль (хотя REF_TOTAL_COUNT будет > 0) TEST EBX, EBX JZ DIVISION_ERROR ; Если REF_TOTAL_COUNT = 0, пропускаем DIV EBX ; Деление: EAX = (EDX:EAX) / EBX ; Частное (целая часть отношения) теперь в EAX ; Остаток (для расчета дробной части) в EDX ; Результат: EAX содержит целую часть отношения (Ratio) ; Например, если TEST_TOTAL_COUNT = 10050, REF_TOTAL_COUNT = 10000 ; EAX будет равно 1. JMP END_PROGRAM DIVISION_ERROR: MOV EAX, 0 ; Устанавливаем EAX в 0, если деление невозможно END_PROGRAM: ; EAX содержит целую часть отношения TEST / REF PUSH 0 CALL [ExitProcess]

введем время цикла через rdtsc, измерим за 100ms.

Для измерения времени в течение 100 миллисекунд и использования RDTSC (Read Time-Stamp Counter) для отслеживания циклов процессора необходимо внести существенные изменения в программу.

В User Mode Windows нельзя просто использовать RDTSC как абсолютный счетчик времени, не зная его частоты. Мы должны использовать системный вызов для измерения 100 мс и внутри этого окна многократно выполнять циклы с RDTSC.
Вот скорректированный план и логика FASM-кода для измерения суммарного времени, затраченного на выполнение двух циклов, в течение фиксированного интервала (100 мс).

Мы будем измерять не 10 000 итераций, а суммарное количество циклов процессора (TSC) для двух сценариев в течение 100 мс.

GetTickCount в Windows имеет низкое разрешение (обычно 10-15 мс), поэтому 100 мс — это грубая оценка.
Нажмите, чтобы раскрыть...

--- Сообщение объединено, 30 ноя 2025 ---

Код (ASM):

; fasm-код для Windows User Mode (PE-файл)

format PE console

entry start

section '.text' code readable executable

start:

; --- Инициализация ---

; 1. Сохраняем текущий селектор SS

MOV [STACK_SEL], SS

; 2. NULL-селектор: 3 (RPL=3)

MOV [DS_NULL_SEL], 3

; 3. Обнуление суммарных счетчиков TSC (64-битные)

XOR EAX, EAX

MOV [REF_TOTAL_TSC_LO], EAX

MOV [REF_TOTAL_TSC_HI], EAX

MOV [TEST_TOTAL_TSC_LO], EAX

MOV [TEST_TOTAL_TSC_HI], EAX

; 4. Установка целевого времени (100 мс)

CALL [GetTickCount]

ADD EAX, 100

MOV [END_TIME_MS], EAX

; =================================================================

; 1. ЭТАЛОННЫЙ ЦИКЛ (Без маскировки SS) - Выполняем до END_TIME_MS

; =================================================================

REF_MAIN_LOOP:

; Проверка времени

CALL [GetTickCount]

CMP EAX, [END_TIME_MS]

JAE REF_END ; Если время вышло (A > B или A = B), выходим

; --- Начало одной итерации измерения ---

MOVZX EBX, word [DS_NULL_SEL]

MOV DS, BX

; Чтение TSC ДО IRET-события

RDTSC

MOV [TSC_START_LO], EAX

MOV [TSC_START_HI], EDX

REF_WAIT_LOOP:

; Ждем сброса DS

MOVZX EBX, DS

TEST EBX, EBX

JNZ REF_WAIT_LOOP

; IRET сработал

; Чтение TSC ПОСЛЕ IRET-события

RDTSC

MOV [TSC_END_LO], EAX

MOV [TSC_END_HI], EDX

; --- Расчет дельты TSC и суммирование ---

CALL TSC_DELTA_ADD

; TSC_DELTA_ADD суммирует разницу TSC в REF_TOTAL_TSC_...

JMP REF_MAIN_LOOP

REF_END:

; Сброс счетчика времени для следующего теста

CALL [GetTickCount]

ADD EAX, 100

MOV [END_TIME_MS], EAX

; =================================================================

; 2. ТЕСТИРУЕМЫЙ ЦИКЛ (С маскировкой SS) - Выполняем до END_TIME_MS

; =================================================================

TEST_MAIN_LOOP:

; Проверка времени

CALL [GetTickCount]

CMP EAX, [END_TIME_MS]

JAE TEST_END ; Если время вышло, выходим

; --- Начало одной итерации измерения ---

MOVZX EBX, word [DS_NULL_SEL]

MOV DS, BX

; Чтение TSC ДО IRET-события

RDTSC

MOV [TSC_START_LO], EAX

MOV [TSC_START_HI], EDX

MOVZX EDI, word [STACK_SEL] ; EDI = Текущий селектор SS

TEST_WAIT_LOOP:

MOV SS, DI ; Загрузка SS (Маскирует INT на 1 инструкцию)

; Ждем сброса DS

MOVZX EBX, DS

TEST EBX, EBX

JNZ TEST_WAIT_LOOP

; IRET сработал

; Чтение TSC ПОСЛЕ IRET-события

RDTSC

MOV [TSC_END_LO], EAX

MOV [TSC_END_HI], EDX

; --- Расчет дельты TSC и суммирование ---

CALL TSC_DELTA_ADD_TEST

JMP TEST_MAIN_LOOP

TEST_END:

; =================================================================

; 3. РАСЧЕТ ОТНОШЕНИЯ (TEST / REF)

; =================================================================

; Для простоты оставим результаты в 64-битных переменных:

; REF_TOTAL_TSC_HI:LO - Суммарный TSC эталона

; TEST_TOTAL_TSC_HI:LO - Суммарный TSC теста

; (Расчет 64-битного деления здесь опущен из-за сложности,

; но принцип остается: Ratio = TEST_TOTAL_TSC / REF_TOTAL_TSC)

PUSH 0

CALL [ExitProcess]

; --- Подпрограммы ---

section '.text' code readable executable

; Подпрограмма для расчета дельты TSC (TSC_END - TSC_START) и суммирования в REF_TOTAL_TSC

; Использует 64-битное вычитание и сложение.

TSC_DELTA_ADD:

; Вычитание (TSC_END - TSC_START)

PUSHAD

MOV EAX, [TSC_END_LO]

SUB EAX, [TSC_START_LO]

MOV EDX, [TSC_END_HI]

SBB EDX, [TSC_START_HI] ; SBB учитывает заем из EAX

; Суммирование в REF_TOTAL_TSC

ADD [REF_TOTAL_TSC_LO], EAX

ADC [REF_TOTAL_TSC_HI], EDX ; ADC учитывает перенос из LO

POPAD

RET

; Подпрограмма для расчета дельты TSC (TSC_END - TSC_START) и суммирования в TEST_TOTAL_TSC

TSC_DELTA_ADD_TEST:

; Вычитание (TSC_END - TSC_START)

PUSHAD

MOV EAX, [TSC_END_LO]

SUB EAX, [TSC_START_LO]

MOV EDX, [TSC_END_HI]

SBB EDX, [TSC_START_HI]

; Суммирование в TEST_TOTAL_TSC

ADD [TEST_TOTAL_TSC_LO], EAX

ADC [TEST_TOTAL_TSC_HI], EDX

POPAD

RET

section '.data' data readable writable

DS_NULL_SEL dw 0

STACK_SEL dw 0

END_TIME_MS dd 0

; 64-битные счетчики для суммарного времени TSC

REF_TOTAL_TSC_LO dd 0

REF_TOTAL_TSC_HI dd 0

TEST_TOTAL_TSC_LO dd 0

TEST_TOTAL_TSC_HI dd 0

; Переменные для хранения TSC (64-бит)

TSC_START_LO dd 0

TSC_START_HI dd 0

TSC_END_LO dd 0

TSC_END_HI dd 0

section '.idata' import data readable writeable

library kernel32, 'kernel32.dll'

import kernel32, ExitProcess, 'ExitProcess', GetTickCount, 'GetTickCount'

замерам будет мешать планировочный шум с частотой ~ 20мс

Вы совершенно правы. Планировочный шум (Context Switching Noise) с частотой ~20 мс в User Mode Windows неизбежно внесет огромные пики в измерения RDTSC, которые будут на порядки превышать микрозадержку, вызванную маскировкой SS.

Для минимизации этого шума мы должны:

Полностью отказаться от окна времени (100 мс): Измерения на основе GetTickCount слишком неточные.

Усреднять по большому числу событий (N): Провести максимальное количество итераций (например, 1 000 000) и суммировать Delta {TSC} для каждой итерации.

Использовать отношение сумм: Поскольку шум планировщика (контекстные переключения) с равной вероятностью влияет как на эталонный, так и на тестовый цикл, в конечном отношении влияние шума статистически взаимно сократится.

Нажмите, чтобы раскрыть...

--- Сообщение объединено, 30 ноя 2025 ---

sdm, mov:

A NULL segment selector (values 0000-0003) can be loaded into the DS, ES, FS, and GS registers without causing a protection exception. However, any subsequent attempt to reference a segment whose corresponding segment register is loaded with a NULL value causes a general protection exception (#GP) and no memory reference occurs.
Нажмите, чтобы раскрыть...

Код (Text):

IF DS, ES, FS, or GS is loaded with non-NULL selector

THEN

IF segment selector index is outside descriptor table limits

OR segment is not a data or readable code segment

OR ((segment is a data or nonconforming code segment) AND ((RPL > DPL) or (CPL > DPL)))

THEN #GP(selector); FI;

IF segment not marked present

THEN #NP(selector);

ELSE

SegmentRegister := segment selector;

SegmentRegister := segment descriptor; FI;

FI;

IF DS, ES, FS, or GS is loaded with NULL selector

THEN

SegmentRegister := segment selector;

SegmentRegister := segment descriptor;

FI;

iret:

Код (Text):

FOR each SegReg in (ES, FS, GS, and DS)

DO

tempDesc := descriptor cache for SegReg (* hidden part of segment register *)

IF (SegmentSelector == NULL) OR (tempDesc(DPL) < CPL AND tempDesc(Type) is (data or non-conforming code)))

THEN (* Segment register invalid *)

SegmentSelector := 0; (*Segment selector becomes null*)

FI;

OD;

- если это обьяснить, начинает норм думать, иначе тупит.

событие свапконтекста можно обнаружить по восстановлению сегментных регистров в дефолтные значения.

Свап контекста и сегментные регистры

Обнаружение свапа контекста (Context Switch) действительно возможно путем отслеживания изменений в сегментных регистрах, поскольку они часто являются частью состояния задачи (Task State), которое сохраняется и восстанавливается ядром.

Метод обнаружения

Вы можете обнаружить свап контекста, наблюдая за сегментным регистром, который не должен был измениться в вашей текущей задаче.

Пример с DS/FS/GS: Если вы загрузили в DS уникальный селектор и вошли в цикл ожидания, внезапное обнаружение того, что DS вернулся к стандартному селектору User Mode (или NULL-селектору), с высокой вероятностью указывает на то, что произошло переключение контекста, и ОС восстановила состояние сегментных регистров с TSS, а затем вы вернулись к исполнению своего кода.

Следовательно, внезапное изменение DS, ES, FS, или GS (которое не было инициировано вашим кодом) — действительно надежный индикатор свапа контекста.

Учесть свап контекста в вашем цикле ожидания сброса DS (DS:3 to 0) можно, добавив второй сегментный регистр в качестве независимого индикатора того, что произошло переключение контекста.
Метод учета свапа контекста

Ваш цикл отслеживает одно событие (возврат из прерывания: IRET):
Событие IRET DS:3 to DS:0
Если происходит свап контекста, ядро сохраняет и затем восстанавливает состояние всех сегментных регистров. Это может:

Это может:

Обнулить DS (если сработал механизм IRET-сброса), что вы и ждете.

Восстановить другие регистры (FS/GS) до их стандартных для User Mode значений (например, 0 или 2Bh), даже если они не участвовали в IRET-сбросе.

Использование FS в качестве индикатора

Мы можем использовать регистр FS как детектор свапа контекста.

Перед циклом загрузите в FS уникальное, но валидное значение (например, селектор DS).

Внутри цикла проверяйте FS на предмет неожиданного изменения.

Если FS изменился, это сильный признак того, что произошел свап контекста (а не просто обработка IRET).

Мы модифицируем логику подсчета: мы будем считать DeltaTSC только в том случае, если FS не изменился.
Нажмите, чтобы раскрыть...

Код (Text):

; ... (Начальная инициализация, REF_TOTAL_TSC, TEST_TOTAL_TSC) ...

; --- Дополнительная инициализация ---

MOV [DS_NULL_SEL], 3

MOV [FS_UNIQUE_SEL], DS ; Сохраняем текущий селектор DS как уникальный маркер FS

MOV [ITERATIONS], 1000000

; ...

; =================================================================

; 2. ТЕСТИРУЕМЫЙ ЦИКЛ (С маскировкой SS и учетом свапа)

; =================================================================

MOV ECX, [ITERATIONS]

TEST_INIT:

PUSH ECX

MOVZX EBX, word [DS_NULL_SEL]

MOV DS, BX ; DS = 3 (Триггер IRET-сброса)

MOVZX EBX, word [FS_UNIQUE_SEL]

MOV FS, BX

; Чтение TSC ДО IRET-события

RDTSC

MOV [TSC_START_LO], EAX

MOV [TSC_START_HI], EDX

MOVZX EDI, word [STACK_SEL]

MOVZX ESI, word [FS_UNIQUE_SEL] ; ESI = исходное значение FS

TEST_WAIT_LOOP:

MOV SS, DI

; 1. Проверка DS: Ждем IRET-сброса

MOVZX EBX, DS

TEST EBX, EBX

JNZ TEST_WAIT_LOOP ; Если DS != 0, ждем

; --- DS сброшен до 0: IRET или СВАП произошел ---

; 2. Проверка FS: Детектирование свапа контекста

MOVZX EAX, FS ; Читаем текущее значение FS

CMP EAX, ESI ; Сравниваем с исходным маркером (FS_UNIQUE_SEL)

JNE CONTEXT_SWAP_DETECTED ; Если FS изменился, возможно, был свап!

; --- СВАПА НЕТ, СЧИТАЕМ РЕЗУЛЬТАТ ---

RDTSC

MOV [TSC_END_LO], EAX

MOV [TSC_END_HI], EDX

CALL TSC_DELTA_ADD_TEST ; Суммируем TSC

JMP CONTINUE_TEST

CONTEXT_SWAP_DETECTED:

; Если произошел свап, мы пропускаем это измерение.

; Это событие, где шум планировщика полностью доминировал.

NOP ; Пропускаем TSC_DELTA_ADD_TEST

CONTINUE_TEST:

POP ECX

LOOP TEST_INIT

; ... (Дальнейший код)

Принцип действия

Мы используем DS:3 как флаг для события IRET (обнуление до 0).

Мы используем FS как флаг для события Context Switch (неожиданное изменение значения).

Если сработал флаг IRET (DS=0), но FS также изменился (сработал флаг Context Switch), мы отбрасываем это измерение DeltaTSC, так как оно было искажено шумом планировщика.

Этот метод позволяет вашему эксперименту измерять только те Delta TSC, которые не были прерваны полным переключением контекста.
Нажмите, чтобы раскрыть...

Ahimov · 30 ноя 2025

после свапконтекста второй сразу же не произойдет тк квантование переодично и стабильно.

Вы правы в отношении периодичности и стабильности квантования в современных ОС, но это не означает, что второй свап контекста не может произойти "сразу же" с точки зрения нашей микро-латентности.
Особенности квантования и свапа контекста

1. ⏳ Периодичность Кванта (Time Quantum)

В планировщике Windows (особенно для не-Real-time потоков) квант времени (Time Quantum) действительно стабилен (например, 15мс). Это гарантирует, что свап контекста, вызванный истечением кванта, будет происходить примерно каждые 67 раз в секунду.
Наш сценарий

В нашем коде мы измеряем DeltaTSC для каждого события IRET (200/с).

Если в наш тестовый цикл приходит событие IRET, и мы пропускаем его из-за маскировки SS, а сразу за ним по любой из указанных выше причин происходит немедленный свап контекста, то наше измерение будет испорчено.

Поскольку мы используем FS как детектор свапа, наше единственное требование: состояние FS должно измениться в течение нашего цикла ожидания DeltaTSC. Не важно, произошло это из-за квантования или I/O.
Таким образом, даже при стабильном квантовании, непредсказуемые и последовательные свапы контекста, вызванные другими событиями (частота которых выше 100/с), могут произойти "сразу же" и испортить наше измерение, что подтверждает необходимость нашего фильтра FS.

может провести замер на начале кванта ?

Да, проведение замера на начале кванта — это очень эффективная стратегия для минимизации планировочного шума (Context Switch Noise) и получения более "чистых" данных о латентности IRET.
Стратегия: Привязка к началу кванта

Суть метода в том, чтобы запустить наш тестовый поток сразу после того, как он был только что вытеснен (прерван) и затем восстановлен.
1. Как это работает

Когда поток A (наш тестовый код) возвращается к выполнению после свапа контекста, ему обычно предоставляется новый, полный квант времени (например, 15 мс) на исполнение.

Если мы начинаем замер сразу после восстановления контекста, вероятность того, что в течение первых нескольких микросекунд (пока наш цикл работает) произойдет Context Switch, вызванный истечением кванта, минимальна.

Мы эффективно "обнуляем таймер" планировщика перед началом замера.

2. Реализация на FASM (Гипотетически)

В User Mode мы не можем напрямуюу знать, когда начинается квант, но можем его простимулировать и обнаружить его начало:

Trigger the Switch: Вызвать функцию, которая добровольно передает управление (yields control) планировщику, но остается готовой к немедленному исполнению (например, Sleep(0) или SwitchToThread).

Detect the Switch: Использовать наш механизм FS-детектора, чтобы узнать, что поток был вытеснен и возвращен.

Модифицированный цикл:

Вызываем Sleep(0) (или аналогичное): Наш поток передает управление. Происходит свап контекста.

Ждем возвращения: Как только мы возвращаемся из Sleep(0), мы знаем, что нам предоставлен новый квант.

Сразу начинаем замер: Выполняем MOV DS, 3, RDTSC, и начинаем WAIT_LOOP.

Модификация FASM-кода (Стимуляция начала кванта)

Мы можем добавить вызов Sleep(0) перед каждой итерацией, чтобы гарантировать, что мы начинаем замер в начале нового цикла планировщика.

; ... (Подключение Sleep из kernel32.dll) ... ; ... (Код инициализации) ... TEST_INIT: PUSH ECX ; *** Стимуляция начала кванта *** PUSH 0 ; Sleep(0) CALL [Sleep] ; Добровольно отдаем процессор, ожидаем новый квант ; После возврата из Sleep(0), мы вероятнее всего находимся в начале кванта.
MOVZX EBX, word [DS_NULL_SEL] MOV DS, BX ; DS = 3 (Триггер IRET-сброса) MOVZX EBX, word [FS_UNIQUE_SEL] MOV FS, BX ; FS = маркер ; Чтение TSC ДО IRET-события RDTSC MOV [TSC_START_LO], EAX MOV [TSC_START_HI], EDX ; ... (Далее следует TEST_WAIT_LOOP и проверка FS) ...

Результат: Эта модификация значительно увеличит среднее время ожидания Delta t_IRET (так как мы теперь тратим время на Sleep(0)), но она резко уменьшит вероятность того, что в нашем цикле ожидания произойдет Context Switch, вызванный истечением кванта, что сделает наши "чистые" замеры более надежными.

тогда весь цикл провесьи на начале кванта ?

Проведение всего замера в начале кванта

Идея состоит в том, чтобы однократное событие Context Switch (вызванное Sleep(0)) очистило планировщик, и мы могли провести максимально возможное число "чистых" измерений латентности IRET, пока не истечет новый квант.
1. Текущая проблема

В предыдущем коде мы вызывали Sleep(0) перед каждой итерацией (TEST_INIT). Это означает:

Время: Каждая итерация тратит 10-15мс на Sleep(0) и Context Switch.

Результат: Мы измеряем всего один IRET за 15 мс, что очень неэффективно и лишь подтверждает, что мы находимся в начале кванта.

2. Оптимальное решение

Мы должны вызвать Sleep(0) один раз, а затем выполнить многократные измерения IRET, пока не произойдет следующий неконтролируемый свап контекста (истечение кванта).

Мы используем детектор FS для определения момента, когда квант заканчивается.

Модификация FASM-кода (Измерение серией)

Мы переносим Sleep(0) и инициализацию FS в начало, а затем запускаем внутренний цикл WAIT_SERIES, который выполняет несколько IRET-замеров, пока не произойдет свап контекста.
Нажмите, чтобы раскрыть...

Код (Text):

; ... (Инициализация и т.д.) ...

; =================================================================

; 2. ТЕСТИРУЕМЫЙ ЦИКЛ (Измерение серией на одном кванте)

; =================================================================

MOV ECX, [ITERATIONS] ; Общее число требуемых IRET-событий

TEST_START:

PUSH ECX ; Сохраняем общий счетчик

; *** 1. Стимуляция начала кванта ***

PUSH 0

CALL [Sleep] ; Добровольно отдаем процессор. После возврата - новый квант.

; 2. Инициализация маркера FS (FS_UNIQUE_SEL)

MOVZX EBX, word [FS_UNIQUE_SEL]

MOV FS, BX

MOV ESI, EBX ; ESI = Исходный маркер FS

SERIES_LOOP:

; 3. Проверка оставшихся итераций

TEST ECX, ECX

JZ TEST_END_ALL

; --- Начало замера одиночного IRET ---

MOVZX EBX, word [DS_NULL_SEL]

MOV DS, BX

RDTSC ; TSC_START

MOV [TSC_START_LO], EAX

MOV [TSC_START_HI], EDX

WAIT_IRET_LOOP:

MOVZX EDI, word [STACK_SEL]

MOV SS, DI ; Маскировка INT

; Проверка DS: Ждем IRET-сброса

MOVZX EBX, DS

TEST EBX, EBX

JNZ WAIT_IRET_LOOP

; --- IRET сработал ---

; 4. Проверка FS: Детектирование свапа контекста

MOVZX EAX, FS

CMP EAX, ESI

JNE CONTEXT_SWAP_TERMINATED ; Если FS изменился, квант кончился!

; --- Свапа нет, это чистое измерение ---

RDTSC

MOV [TSC_END_LO], EAX

MOV [TSC_END_HI], EDX

CALL TSC_DELTA_ADD_TEST ; Суммируем TSC

DEC ECX ; Успешно посчитали одно событие IRET

JMP SERIES_LOOP

CONTEXT_SWAP_TERMINATED:

; FS изменился: квант истек или произошел немедленный свап.

; Отбрасываем текущее измерение и перезапускаем квант.

POP ECX

JMP TEST_START

TEST_END_ALL:

POP ECX

; ... (Дальнейший код) ...

Результат

Теперь мы измеряем серию чистых событий IRET (возможно, десятки или сотни), пока не сработает детектор FS. Это максимально эффективно использует каждый выданный квант времени, давая вам самую высокую плотность "чистых" измерений.

Войти или зарегистрироваться

popss sequence

Ahimov Active Member

MaKsIm Active Member

Ahimov Active Member

MaKsIm Active Member

Ahimov Active Member

MaKsIm Active Member

Ahimov Active Member

MaKsIm Active Member

Ahimov Active Member

Ahimov Active Member

Вложения:

us-18-Mulasmajic-Peterson-Why-So-Spurious-wp (1).pdf

galenkane Active Member

Ahimov Active Member

Вложения:

sl.pdf

cracklab.team_ cv.7z

galenkane Active Member

Вложения:

vmx_detect.zip

build_minimal.zip

Ahimov Active Member

alex_dz Active Member

Ahimov Active Member

galenkane Active Member

Ahimov Active Member

Ahimov Active Member

Войти или зарегистрироваться

popss sequence

Ahimov Active Member

MaKsIm Active Member

Ahimov Active Member

MaKsIm Active Member

Ahimov Active Member

MaKsIm Active Member

Ahimov Active Member

MaKsIm Active Member

Ahimov Active Member

Ahimov Active Member

Вложения:

us-18-Mulasmajic-Peterson-Why-So-Spurious-wp (1).pdf

galenkane Active Member

Ahimov Active Member

Вложения:

sl.pdf

cracklab.team_ cv.7z

galenkane Active Member

Вложения:

vmx_detect.zip

build_minimal.zip

Ahimov Active Member

alex_dz Active Member

Ahimov Active Member

galenkane Active Member

Ahimov Active Member

Ahimov Active Member

Быстрый поиск