02_探测段寄存器

最新推荐文章于 2025-12-04 19:54:56 发布
原创 最新推荐文章于 2025-12-04 19:54:56 发布 · 915 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#逆向 #汇编 #windows内核 #C语言

前言

上一节中,我们讲解了段选择子、段描述符以及GDT/LDT的核心结构。

当我们将16位的选择子加载到段寄存器时(例如 MOV DS, AX),CPU为了避免每次都去内存查表,会将描述符中的信息(Base, Limit, Attribute)加载到段寄存器的不可见部分。

实际上,段寄存器并非仅有可见的16位,而是拥有96位的完整结构。其中包括16位选择子和80位高速缓存。本节我们将结合WinDbg静态分析与编写代码进行实验,来验证这96位结构的存在。

一、 段寄存器的96位结构

在保护模式下,ES、CS、SS、DS、FS、GS 这些寄存器看起来只有16位(可见部分),但CPU内部为这些寄存器都配备了一个80位的影子寄存器(Shadow Register / Cache)。

完整结构如下:

组成部分位宽来源说明
Selector16位可见我们指令中操作的部分 (如 0x23)
Attribute16位隐藏属性(可读写、特权级等,有效位为12位)
Base32位隐藏段的起始地址
Limit32位隐藏段的大小

填充机制
当我们执行 MOV DS, AX 时,CPU会拿着AX中的Selector去GDT表中找到对应的64位描述符,拆解出Attribute, Base, Limit,填入隐藏部分

此后,CPU访问数据时,不再查表,而是直接读取这96位缓存。

二、静态分析:WinDbg手动拆解描述符

为了研究这96位中到底填充什么,我们需要手动拆解一个描述符。

实验对象:Windows XP下以ds=0x23为例进行拆解。
在这里插入图片描述

1. 寻找描述符

  • 0x23的二进制:0000 0000 0010 0011。
    • Index = 100b = 4。
    • TI = 0 (查找 GDT)。
    • RPL = 3 (用户态)。
      我们需要从GDT表中获取第四项数据。

2. 读取 GDT (WinDbg)

在这里插入图片描述
从图中可以看出,我们得到64位的描述符数据:High=00cff300, Low=0000ffff。

3. 手动拆解

我们按照Intel格式将其拆解还原为寄存器缓存中的格式。

A. Base (基址) - 32位
  • 拼接High的高8位、低8位和Low的高16位:
Base = 00 00 0000 = 0x00000000
B. Limit (界限) - 32位

拼接High的低4位(Limit High) 和Low的低16位:

  • Raw Limit = F FFFF = 0xFFFFF

  • G位 (Granularity,粒度):High Dword的Bit 23是1 (00cf… 中的 c = 1100)。

    • G=1代表单位是 4KB。
    • 实际Limit = 0xFFFFF * 0x1000 + 0xFFF = 0xFFFFFFFF (4GB)
C. Attribute (属性) - 12位有效位

  • Byte 5: F3 (1111 0011) -> P=1, DPL=3, S=1, Type=Read/Write/Accessed.

  • Byte 6 (High 4 bits): C (1100) -> G=1, D/B=1

  • 拼接结果:0x0CF3(高4位补零对齐,但有效控制位就是12位)

  • 使用windbg命令查看并验证,如下所示:
    在这里插入图片描述

总结:当 0x23加载入DS时,DS寄存器变成了: Selector=0x23, Base=0, Limit=4GB, Attr=0x0CF3 (可读写)

三、动态探测:代码实战

实验 1:探测 Attribute (属性位)

我的windows xp环境中CS的选择子是0x1B,它的属性是只读/可执行。如果我们把CS的选择子强行赋给DS,此时DS的属性会更新为只读。如果尝试写数据,程序会崩溃。

#include "stdafx.h"

int main(int argc, char* argv[])
{
	int num = 100;

	__asm
	{
		mov ax,cs
		mov ds,ax
		mov dword ptr ds:[num],0x1000
	}
	
	printf("num = %d\n",num);
	return 0;
}

结果:程序运行至写操作时触发了0xC0000005异常。
在这里插入图片描述
证明:段寄存器确实缓存了Attribute属性,且该属性决定了内存访问权限。

实验 2:探测 Base (基址)

原理:在windows xp中,FS寄存器用于指向TEB,其Base通常是 0x7FFDF000(非0)。此时我们将FS赋给ES,那么ES的Base也会变成0x7FFDF000(0x7FFDF000因系统环境的不同会有所改变)。

int main(int argc, char* argv[])
{
    int val_es = 0;
	int val_linear = 0;

    __asm 
	{
        mov ax, fs
        mov es, ax
        
        mov eax, es:[0]
        mov val_es, eax
        
		mov eax,0x7FFDF000
		mov ecx, ds:[ebx]
		mov val_linear,ecx
    }
    
    printf("ES:[0]: %X\n", val_es);
    printf("线性地址0x7FFDF000读取值: %X\n", val_linear);
	
    if(val_es == val_linear) 
	{
        printf("探测成功!证明ES的隐藏Base: 0x7FFDF000\n");
    }
    return 0;
}

结果:两个读出的值相同。
证明:段寄存器隐藏部分确实缓存了Base地址参与寻址计算。

实验 3:探测 Limit (界限)

原理:FS段不仅Base特殊,Limit也很小(通常是4KB,即 0xFFF)。超过这个范围的访问程序会崩溃。

int main(int argc, char* argv[])
{
	__asm
	{
		mov ax,fs
		mov es,ax

		mov eax,es:[0xFFC]
		mov eax,es:[0x1000]
	}

    return 0;
}

结果:读取0xFFC正常,读取0x1000崩溃
在这里插入图片描述

四、总结

通过WinDbg和代码的验证,我们得出以下结论:

  1. 96位是真实的:段寄存器远比汇编指令中看到的16位复杂。
  2. 缓存即真理:CPU运行时,真正起作用的是隐藏部分(Base/Limit/Attr)。可见的Selector仅作为索引,用于在GDT中定位并加载对应的段描述符信息。
UVM:寄存器模型 应用
Starry__的博客
03-14 2060
目录1. 高可读性2. 多种验证方法2.1. 内建验证 reg_sequences部分源码禁止域名 uvm_resourece_db#(bit)::set()2.2. 手动验证随机化与set、update使用mirror维护 寄存器模型3. 快速获取 dut寄存器值3.1. 功能覆盖率 最后的一部分内容,我们讨论如何检查寄存器模型对不对,以及如何使用寄存器模型惠及验证平台, 1. 高可读性 这个优势是我们一开始就提出来的,也是显而易见的。 例如,没有寄存器模型时,我们的读写是这样式的: class mcd
段寄存器
热门推荐
maomao171314的专栏
01-15 1万+
一、段寄存器有哪些 ? 段寄存器有ES、CS、SS、DS、FS、GS、LDTR、TR共8个。 通常我们用汇编读写某一个地址时,如下: Mov dword ptr ds:[0x123846],eax 这时我们把eax 的值往地址去写,写的地址是: ds.base + 0x123456 二、段寄存器的结构 在x86下.我们可以看如下寄存器表示图. 寄存器名称 段选择子(Select) 段属性(Attributes) .
phy芯片测试寄存器_以太网PHY寄存器分析
weixin_39763293的博客
01-28 5129
以太网PHY寄存器分析11、以太网PHY标准寄存器分析21.1 Control Register21.2 Status register51.3 PHY Identifier Register81.4 Auto-Negotiation Advertisement Register81.5 Auto-Negotiation Link Partner B...
(1)段寄存器属性探测
hambaga的博客
09-22 1847
段寄存器由4部分,共96位组成,其中段选择子(Selector)是可见的,占16位;另外3部分占80位,不可见。下面通过程序论证不可见部分的存在。 详细说明见代码注释。 #include <stdafx.h> int var = 0; int main() { // 段寄存器由4部分共96位组成,分别是 // Selector(段选择子):16位,是唯一可见的部分,实际上就是GDT表的下标 // Attribute:16位,不可见,控制段的读写执行属性 // Base:32位,.
2.探测段寄存器
My classmates
08-13 406
上面的值每台电脑都可能不一样 程序正常运行证明它确实是可读写的 把他换成cs后就出现异常了 下面这段代码证明fs的Base是存在的 Limit,要减3字节 写段寄存值给16位可见部分剩下80位从GDT来...
03-段寄存器属性探测
啊哈的博客
11-28 222
1.段属性探测 要点回顾: 上一节课我们讲过段寄存器有96位: Selector //16位 Atrribute //16位 Base //32位 Limit //32位 我们可以通过MOV指令进行读写(LDTR和TR除外) 但我们只能看见16位,那如果证明Attribute、Base、Limit的存在呢? 1、段寄存器成员简介 2、探测Attribute int var = 0; __asm { mov ax,ss //cs不行 cs是可读 可执行 但不可写
[windows内核]段寄存器属性探测
r250414958的博客
05-17 746
上篇说到 段寄存器一共有96位,可见部分只有16位,也就是我们在od看到的段选择子,还有80位是不可见的,我们可以通过mov指令进行读写[LDTR和TR除外] 段寄存器具有以下结构 struct SegMent { WORD Selector; // 段选择子 16位 可见 WORD Attributes; // 段属性 16位 不可见 只有少数几个属性位是有效的 DWORD Base // 段起始地址 32位 不可见 仅对于FS和GS有效 DWORD Limit // 段大小 32位
保护模式-段寄存器
weixin_43074760的博客
07-16 985
在x86架构中,内存被划分为多个段(Segment),每个段的大小和属性都不同。段是一段连续的内存区域,它可以包含代码、数据、堆栈等信息。通常,一个段的起始地址和大小通过段描述符来描述,段描述符是一个数据结构,包含了该段的属性信息,如访问权限、基地址、段长等。在x86架构中,段寄存器用于确定CPU在访问内存时需要操作的段。段寄存器存储着当前正在使用的段选择符,段选择符是一个16位的值,它包含了该段的段描述符在GDT(全局描述符表)或LDT(局部描述符表)中的偏移量,以及该段的特权级。
保护模式_1_段寄存器_段描述符_段选择子
weixin_38168590的博客
09-30 480
1 段寄存器 1-1 段寄存器的结构 图示: 结构体表示: struct SegMent { WORD Selector; WORD Attribute; DWORD Base; DWORD Limit; } 1-2 段寄存器的属性探测 可以通过MOV指令进行读写(LDTR和TR除外) 段寄存器成员简介 探测Attribute是否存在 int var=...
【2021.02.26】段寄存器属性探测
oalken的博客
02-27 267
要点回顾 struct SetMent { WORD Selector; // 16位Selector 可见部分 WORD Attributes; // 16位Attributes 表示当前段寄存器是可读还是可写 DWORD Base; // 32位Base 表示当前段寄存器是从哪里开始的 DWORD Limit; // 32位Limit 表示当前段寄存器整个的长度有多少 } 上篇文章中提到,段寄存器有96
【TDC_GP22寄存器:数据保护与系统优化】:权威指南与安全设置
TDC_GP22寄存器作为一款重要的硬件组件,在数据保护、系统优化和安全性设置方面发挥着关键作用。本文首先对TDC_GP22寄存器的基本功能进行简要介绍,然后详细阐述其数据保护机制,包括数据存储原理和数据加密技术。...
【TDC_GP22寄存器:5大应用场景与优化技巧】:快速入门与最佳实践
TDC_GP22寄存器作为一种先进的时间数字转换器,广泛应用于高精度时间、距离与速度、事件计数与频率测量中。本文全面介绍了TDC_GP22寄存器的理论基础,包括其工作原理、应用场景、配置与初始化方法。通过详尽的理论...
C&&汇编中的调用约定
盾悟
12-04 631
调用约定是C语言汇编交互的核心规范,定义了参数传递、栈清理、寄存器保存和返回值处理规则。x86架构主要包含cdecl(C默认)、stdcall(Win32API)和fastcall三种经典约定:cdecl支持变参函数由调用者清栈;stdcall由被调用者清栈;fastcall前两个参数走寄存器。x64时代分化为Microsoft(前4参数用RCX/RDX/R8/R9+影子空间)和SystemV(6参数寄存器+栈对齐)两种主流约定。关键差异包括参数传递方式、
预报涨停集合.zip
12-11
预报涨停集合
QtWebApp:它是一个基于 Qt 框架用 C++ 编写的 Java Servlet 运行的 HTTP 服务器
12-11
源码地址: https://pan.quark.cn/s/b8313ba673ee QtWebAppExample Sample QtWebApp Application Пример демонстрирует базовые возможности по созданию Web-приложения с помощью библиотеки QtWebApp версии 1.6.4. В примере даны комментарии, описывающие поведение программного кода. Сборка проекта
基于改进YOLOv8算法实现高效精准识别与检测的服装与配饰智能识别系统源码分享_包含一条龙教学从YOLOV8标注好的数据集一键训练到70全套改进创新点集成以助力学术发刊并提供We.zip
12-11
基于改进YOLOv8算法实现高效精准识别与检测的服装与配饰智能识别系统源码分享_包含一条龙教学从YOLOV8标注好的数据集一键训练到70全套改进创新点集成以助力学术发刊并提供We.zip
wap纯净版,没有一大堆占用
12-11
wap纯净版,没有一大堆占用
【StockInfo】股票数据爬取 + 预测 落地即用 2025 首发!.zip
12-11
【StockInfo】股票数据爬取 + 预测 落地即用 2025 首发!.zip
基于PSOBP-NSGA2-Topsis粒子群算法优化BP做代理预测模型目标遗传NSGA2和Topsis求最优解研究(Matlab代码实现)
最新发布
12-11
基于PSOBP_NSGA2_Topsis粒子群算法优化BP做代理预测模型目标遗传NSGA2和Topsis求最优解研究(Matlab代码实现)
I2C_TIMINGR寄存器
08-03
<think>首先,用户的问题是:“我想了解或配置I2C_TIMINGR寄存器的相关信息 请问I2C_TIMINGR register configuration and usage”。这涉及到I2C通信中的寄存器配置。 从系统指令中,我需要: - 所有行内数学表达式使用$...$格式。 - 独立公式使用$$...$$格式并单独成段。 - 使用LaTeX语法正确。 - 使用中文回答。 - 生成相关问题。 - 在引用的段落末尾自然地添加引用标识,如[^1]。 - 回答结构清晰,帮助用户逐步解决问题。 - 参考提供的引用内容。 提供的引用内容: - [^1]:描述Linux I2C驱动架构。 - [^2]:讨论I2C信号探测和软件模拟。 - [^3]:关于使用I2C框架驱动硬件,如MPU6050。 - [^4]:QNX下的工具i2cdbgr和i2ctool。 - [^5]:讨论错误处理函数I2C_IsErrorOccurred。 用户的问题集中在I2C_TIMINGR寄存器的配置和使用。这似乎是针对特定硬件(如STM32微控制器)的,因为I2C_TIMINGR是STM32 HAL库中的一个寄存器,用于设置I2C时序参数。 我需要构建一个清晰的回答: 1. **介绍I2C_TIMINGR寄存器**:解释它是什么,为什么重要。 2. **配置步骤**:如何设置寄存器的值。 3. **使用示例**:提供代码片段或配置说明。 4. **注意事项**:如时序计算、错误处理。 5. **生成相关问题**:在末尾添加相关问题。 参考引用: - [^2] 提到I2C信号探测,这与时序相关。 - [^3] 提到硬件平台和I2C总线驱动。 - [^5] 提到错误处理,可能涉及时序问题。 所以,我可以自然地引用这些内容。 结构: - **开头**:简要介绍I2C_TIMINGR。 - **主体**: - 解释寄存器的功能。 - 如何计算和设置值。 - 提供配置示例。 - 讨论常见问题和错误处理。 - **结尾**:生成相关问题。 使用中文回答。 确保LaTeX格式正确:如果有数学表达式,如时序计算,使用$...$或$$...$$。 例如,I2C时序参数可能涉及频率计算,所以可能需要数学表达式。 最后,添加相关问题。</think>### I2C_TIMINGR寄存器配置与使用详解 I2C_TIMINGR寄存器是I2C(Inter-Integrated Circuit)通信中的一个关键寄存器,主要用于配置I2C总线的时序参数,如时钟频率、数据保持时间和建立时间等。在STM32等微控制器中,该寄存器属于I2C外设的一部分,直接影响数据传输的稳定性和效率。正确配置I2C_TIMINGR能确保设备在标准模式(100 kHz)、快速模式(400 kHz)或高速模式(1 MHz或更高)下可靠工作。下面我将逐步解释其配置和使用方法,帮助您解决实际问题。 #### 1. I2C_TIMINGR寄存器的功能与结构 I2C_TIMINGR寄存器通常是一个32位寄存器,包含多个字段,用于设置I2C时钟的精确参数。主要字段包括: - **PRESC**(Prescaler):时钟预分频因子,用于调整I2C时钟源的分频比例。 - **SCLDEL**(SCL Delay):SCL时钟线的下降沿延时,确保数据稳定。 - **SDADEL**(SDA Delay):SDA数据线的建立时间,防止信号冲突。 - **SCLH**(SCL High Period):SCL高电平持续时间。 - **SCLL**(SCL Low Period):SCL低电平持续时间。 这些参数共同定义了I2C总线的时序特性。例如,在标准模式下,总线频率为100 kHz,时序计算需满足: $$ f_{I2C} = \frac{f_{PCLK}}{(PRESC + 1) \times [(SCLDEL + SDADEL + 1) + (SCLH + 1) + (SCLL + 1)]} $$ 其中,$f_{PCLK}$是微控制器的外设时钟频率(如STM32中的APB时钟)。配置时需确保计算结果符合I2C规范(如NXP的I2C标准)。 #### 2. 配置I2C_TIMINGR寄存器的步骤 配置I2C_TIMINGR涉及计算和设置寄存器值。以下是基于STM32 HAL库的通用步骤(其他平台类似): **步骤1: 确定系统时钟和I2C模式** - 获取微控制器的$f_{PCLK}$值(例如,通过RCC配置)。 - 选择I2C模式:标准模式(100 kHz)、快速模式(400 kHz)或高速模式(1 MHz)。模式决定了时序参数的约束范围。 **步骤2: 计算时序参数** 使用STM32CubeMX或手动计算参数值。STM32CubeMX提供自动计算工具,但手动计算更灵活。公式如下: - 计算PRESC:根据$f_{PCLK}$和目标频率$f_{I2C}$,$PRESC = \frac{f_{PCLK}}{f_{I2C} \times K} - 1$,其中K是固定系数(通常为2-5)。 - 其他参数如SCLDEL、SDADEL、SCLH、SCLL需参考芯片手册的推荐值。例如,在快速模式下: - SCLDEL ≥ 数据保持时间 / $t_{PCLK}$。 - SDADEL ≥ 数据建立时间 / $t_{PCLK}$。 **步骤3: 设置寄存器值** 在代码中直接写入I2C_TIMINGR寄存器或使用HAL库函数。以下是STM32 HAL的示例代码(C语言): ```c #include "stm32f4xx_hal.h" I2C_HandleTypeDef hi2c1; // I2C句柄 void I2C_Config(void) { hi2c1.Instance = I2C1; hi2c1.Init.ClockSpeed = 400000; // 设置目标频率为400 kHz (快速模式) hi2c1.Init.DutyCycle = I2C_DUTYCYCLE_2; // 占空比,通常为2:1 hi2c1.Init.Timing = 0x2000090E; // 手动计算的TIMINGR值,示例值 // 其他参数... if (HAL_I2C_Init(&hi2c1) != HAL_OK) { // 错误处理 Error_Handler(); } } ``` 这里,`hi2c1.Init.Timing` 直接设置I2C_TIMINGR的值。您可以使用STM32CubeMX生成此值,或通过公式计算。例如,对于$f_{PCLK} = 48 MHz$和400 kHz模式,典型值为0x2000090E。 **步骤4: 验证和调试** - 使用示波器或逻辑分析仪检查SCL/SDA信号,确保时序符合规范。 - 在Linux或QNX系统中,可利用工具如i2cdbgr或i2ctool监控I2C总线状态[^4]。例如,在QNX下运行: ```bash i2cdbgr -D /dev/i2c0 -s 0x68 -r -b 1 -o 0x00 -v ``` 此命令读取从设备地址0x68的寄存器0x00,帮助验证时序配置是否导致通信错误。 - 如果遇到错误(如ACK缺失),检查I2C_TIMINGR值是否过紧或过松。错误处理函数如I2C_IsErrorOccurred()可检测超时或信号问题[^5]。 #### 3. 注意事项和常见问题 - **时序计算工具**:推荐使用STM32CubeMX自动生成TIMINGR值,避免手动错误。工具基于$f_{PCLK}$和目标频率自动计算所有字段。 - **信号稳定性**:在长总线或噪声环境中,增加SCLDEL和SDADEL可提高抗干扰能力。软件模拟I2C时(如无硬件模块的MCU),需更频繁采样SDA线[^2]。 - **错误处理**:配置不当可能导致通信失败(如NACK错误)。在HAL库中,启用错误中断并处理HAL_I2C_ERROR_AF等标志。 - **平台差异**:不同微控制器(如STM32F4 vs STM32H7)的I2C_TIMINGR结构可能略有不同。务必参考具体芯片的参考手册(如STM32 Reference Manual RM0090)。 - **性能优化**:高速模式下,减小PRESC可提高速度,但需平衡信号完整性。在Linux驱动中,I2C总线驱动(如i2c-mv64xxx.c)通常处理底层时序[^3],用户只需在设备树中配置时钟频率。 #### 4. 总结 配置I2C_TIMINGR寄存器是I2C通信的基础,需结合系统时钟和模式精确计算参数值。通过工具辅助和代码设置,可确保数据传输可靠。在实际应用中,如驱动MPU6050等传感器[^3],正确时序能避免超时或错误响应。如果您有具体硬件平台(如STM32型号),提供更多细节可给出针对性建议。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值