Виртуальная машина(частичная эмуляция процессора)

FromNowhere · 14 авг 2007

-

rei3er · 14 авг 2007

у Intel есть спецификация всех инструкций с псевдокодом логики их исполнения
преобразованием псевдокода в реальный код виртуальной машины можно достичь нужной функциональности
естественно, нужно эмулировать все програмное окружение (регистры и пр.)

FromNowhere · 14 авг 2007

-

rei3er · 14 авг 2007

да кольца тут не причем, идет просто эмуляция выполнения инструкций и изменение виртуальной среды CPU
допустим идет выполнение (эмуляция) виртуальной машиной (работает как обычный процесс пользовательского уровня) следующего кода

Код (Text):

; код 0-го кольца

push word RING1_SS

push dword RING1_ESP

push word RING1_CS

push dword RING1_EIP

retf ; переход на 1-ое кольцо

псевдокод RETF выглядит следующим образом

IF (PE = 1 and VM = 0 and IA32_EFER.LMA = 0) and instruction = far RET
THEN
Vol. 2B 4-255
INSTRUCTION SET REFERENCE, N-Z
IF OperandSize = 32
THEN
IF second doubleword on stack is not within stack limits
THEN #SS(0); FI;
ELSE (* OperandSize = 16 *)
IF second word on stack is not within stack limits
THEN #SS(0); FI;
FI;
IF return code segment selector is NULL
THEN #GP(0); FI;
IF return code segment selector addresses descriptor beyond descriptor table limit
THEN #GP(selector); FI;
Obtain descriptor to which return code segment selector points from descriptor table;
IF return code segment descriptor is not a code segment
THEN #GP(selector); FI;
IF return code segment selector RPL < CPL
THEN #GP(selector); FI;
IF return code segment descriptor is conforming
and return code segment DPL > return code segment selector RPL
THEN #GP(selector); FI;
IF return code segment descriptor is non-conforming and return code
segment DPL ≠ return code segment selector RPL
THEN #GP(selector); FI;
IF return code segment descriptor is not present
THEN #NP(selector); FI:
IF return code segment selector RPL > CPL
THEN GOTO RETURN-OUTER-PRIVILEGE-LEVEL;
ELSE GOTO RETURN-TO-SAME-PRIVILEGE-LEVEL;
FI;
FI;
RETURN-SAME-PRIVILEGE-LEVEL:
IF the return instruction pointer is not within ther return code segment limit
THEN #GP(0); FI;
IF OperandSize = 32
THEN
EIP ← Pop();
CS ← Pop(); (* 32-bit pop, high-order 16 bits discarded *)
ESP ← ESP + SRC; (* Release parameters from stack *)
ELSE (* OperandSize = 16 *)
EIP ← Pop();
EIP ← EIP AND 0000FFFFH;
CS ← Pop(); (* 16-bit pop *)
ESP ← ESP + SRC; (* Release parameters from stack *)
FI;
RETURN-OUTER-PRIVILEGE-LEVEL:
IF top (16 + SRC) bytes of stack are not within stack limits (OperandSize = 32)
or top (8 + SRC) bytes of stack are not within stack limits (OperandSize = 16)
THEN #SS(0); FI;
Read return segment selector;
IF stack segment selector is NULL
THEN #GP(0); FI;
IF return stack segment selector index is not within its descriptor table limits
THEN #GP(selector); FI;
Read segment descriptor pointed to by return segment selector;
IF stack segment selector RPL ≠ RPL of the return code segment selector
or stack segment is not a writable data segment
or stack segment descriptor DPL ≠ RPL of the return code segment selector
THEN #GP(selector); FI;
IF stack segment not present
THEN #SS(StackSegmentSelector); FI;
IF the return instruction pointer is not within the return code segment limit
THEN #GP(0); FI;
CPL ← ReturnCodeSegmentSelector(RPL);
IF OperandSize = 32
THEN
EIP ← Pop();
CS ← Pop(); (* 32-bit pop, high-order 16 bits discarded; segment descriptor
information also loaded *)
CS(RPL) ← CPL;
ESP ← ESP + SRC; (* Release parameters from called procedure’s stack *)
tempESP ← Pop();
tempSS ← Pop(); (* 32-bit pop, high-order 16 bits discarded; segment
descriptor information also loaded *)
ESP ← tempESP;
SS ← tempSS;
ELSE (* OperandSize = 16 *)
EIP ← Pop();
EIP ← EIP AND 0000FFFFH;
CS ← Pop(); (* 16-bit pop; segment descriptor information also loaded *)
CS(RPL) ← CPL;
ESP ← ESP + SRC; (* Release parameters from called procedure’s stack *)
tempESP ← Pop();
tempSS ← Pop(); (* 16-bit pop; segment descriptor information also loaded *)
ESP ← tempESP;
SS ← tempSS;
FI;
FOR each of segment register (ES, FS, GS, and DS)
DO
IF segment register points to data or non-conforming code segment
and CPL > segment descriptor DPL (* DPL in hidden part of segment register *)
THEN SegmentSelector ← 0; (* Segment selector invalid *)
FI;
OD;
For each of ES, FS, GS, and DS
DO
IF segment selector index is not within descriptor table limits
or segment descriptor indicates the segment is not a data or
readable code segment
or if the segment is a data or non-conforming code segment
and the segment descriptor’s DPL < CPL or RPL of code segment’s
segment selector
THEN SegmentSelector ← 0; (* Segment selector invalid *)
OD;
ESP ← ESP + SRC; (* Release parameters from calling procedure’s stack *)
Нажмите, чтобы раскрыть...

следовательно все эти условия должны быть проверены виртуальной машиной
также должны быть произведены необходимые действия над виртуальными ресурсами CPU

Pavia · 14 авг 2007

rei3er
Ты не понял.
Мы эмулируем нуливое кольцо, нам нужно перехватить спец команды. Для этого мы должны подменить нуливое кольцо на перввое-третье ведь так?
Встает вопрос, что делать с регистрами CS,DS ведь в них вбит уровень кольца?
Насколько я понял FromNowhere, говорит что подмену CS,DS легко распознать через push так как не является спец командой.

PaCHER · 14 авг 2007

нам нужно перехватить спец команды
Нажмите, чтобы раскрыть...

Зачем?
Эмулятор эмулит полностью все команды + всю работу процессора, защищенный режим, адресацию и.т.д. ТОесть так как это происходит в настоящем процессоре. И ниче перехватывать не нужно.

rei3er · 14 авг 2007

PaCHER
вот и я про то же

Pavia · 15 авг 2007

FromNowhere
Достоверной информации нет.
Тогда будем действовать соим умом. Как бы ты сделал эмулятор с частичной эмуляцией?
3-1 уровни превилегий понятно перехвотить системные команды и попытки оброжения к портам ввода, вывода и контроллировать обращение к памяти.

А вот с 0 кольцом выходит нужно полностью эмулировать. Тут пашаговая трассировка. Или дизассемблирование и правка кода.

Или можно не заботиться о уровни привелеги и ставить его как кальцо 1, и надеется что программа не будет проверять.

PaCHER · 15 авг 2007

Pavia

Как бы ты сделал эмулятор с частичной эмуляцией?
Нажмите, чтобы раскрыть...

С этого и надобыло начинать.
Зачем делать эмуль с частичной эмуляцией когда можна взять сырсы с полной эмуляцией, и уже из него зделать частичную (ну если размер критичен)

FromNowhere · 15 авг 2007

-

rei3er · 15 авг 2007

FromNowhere
тогда нужно ловить и анализировать исключения, которые будут возникать при попытке выполнения чего-либо, что должно выполняться при CPL = 0
т. е сама виртуальная машина - процесс пользовательского уровня
пишем драйвер, который подготавливает свои обработчики исключений и среду выполнения
далее виртуальная машина начинает исполнять некоторый образ
попытка выполнения любой привелигерованной инструкции вызовет соответствующее исключение
управление перейдет к драйверу, он анализирует текущий виртуальный CPL и принимает решение о том, что делать дальше: если виртуальный CPL к примеру = 0, то изменяем объект(ы) виртуальной среды (например регистр dbX) и возвращаем управление виртуальной машине

FromNowhere · 15 авг 2007

-

FromNowhere · 15 авг 2007

-

rei3er · 15 авг 2007

но увы в случае непривилегированных команд, типа "push cs" скрыть CPL = 1 сложновато(хотя может и вообще невозможно), да и содержимое самого регистра CS явно видно.
Нажмите, чтобы раскрыть...

зачем вообще что-то скрывать и т. д
все, что может выполниться - выполнится
а что нет - будет эмулироваться
или я чего не понимаю?
можно подробнее?

Pavia · 15 авг 2007

rei3er
Представь код в нуливом кольце проверяет уровень привелегии. И находит, что он не 0, а первый и начинает выполнять соответствующий код
.
Разумеется такого быть не должно, нужно точно эмулировать.

А мы не можем перехвотить не прелигированные команды. Вернее можем если будем перехватывать все подрят в 0 кольце, в других не обязательно.

Можно забить и сказать мол фича сами виноваты.

FromNowhere · 15 авг 2007

-

rei3er · 15 авг 2007

Представь код в нуливом кольце проверяет уровень привелегии. И находит, что он не 0, а первый и начинает выполнять соответствующий код
Нажмите, чтобы раскрыть...

все, понял

А мы не можем перехвотить не прелигированные команды. Вернее можем если будем перехватывать все подрят в 0 кольце, в других не обязательно.
Нажмите, чтобы раскрыть...

все подрят то можем, только тут искусственный интеллект нужен к тому же
где гарантия, что, допустим, код

Код (Text):

mov eax, cs

не есть начало проверки уровня привилегий?

rei3er · 15 авг 2007

в каком смысле все подряд?
Нажмите, чтобы раскрыть...

установка TF вероятно

FromNowhere · 15 авг 2007

-

rei3er · 15 авг 2007

Увы, тогда EFLAGS палится
Нажмите, чтобы раскрыть...

ну тогда один из регистров db0-db3

Войти или зарегистрироваться

Виртуальная машина(частичная эмуляция процессора)

FromNowhere New Member

rei3er maxim

FromNowhere New Member

rei3er maxim

Pavia Well-Known Member

PaCHER New Member

rei3er maxim

Pavia Well-Known Member

PaCHER New Member

FromNowhere New Member

rei3er maxim

FromNowhere New Member

FromNowhere New Member

rei3er maxim

Pavia Well-Known Member

FromNowhere New Member

rei3er maxim

rei3er maxim

FromNowhere New Member

rei3er maxim

Войти или зарегистрироваться

Виртуальная машина(частичная эмуляция процессора)

FromNowhere New Member

rei3er maxim

FromNowhere New Member

rei3er maxim

Pavia Well-Known Member

PaCHER New Member

rei3er maxim

Pavia Well-Known Member

PaCHER New Member

FromNowhere New Member

rei3er maxim

FromNowhere New Member

FromNowhere New Member

rei3er maxim

Pavia Well-Known Member

FromNowhere New Member

rei3er maxim

rei3er maxim

FromNowhere New Member

rei3er maxim

Быстрый поиск