❓你的疑问本质是:
当
lcall使用调用门进入内核时,为什么说“从调用门中取出目标 CS:EIP”,却没看到它先压到内核栈里?不应该也要 push 进去再跳过去吗?
结论先说:
❗不是把目标 CS:EIP 压到栈里才跳过去,而是直接“跳转”到调用门里指定的目标段和偏移地址。真正压入栈的是“用户态的返回地址”(也就是从哪来的,而不是去哪的)。
✅ 我来给你完整梳理流程(关键一步步走)
✅ ① 你执行的是:
lcall selector:offset ; selector 是 GDT 中的“调用门”段选择子
✅ ② CPU 读取调用门描述符(来自 GDT):
包含以下内容:
| 字段 | 作用 |
|---|---|
Target Selector | 目标代码段(比如 Ring0 的 CS) |
Target Offset | 目标代码段内的入口偏移(EIP) |
DPL | 调用门可访问权限(谁可以调用) |
Param Count | 参数复制数量(用于跨栈拷贝) |
✅ ③ CPU 检查权限(CPL ≤ DPL)→ 合法就继续
然后关键流程来了:
✅ ④ 如果 当前权限级 ≠ 目标段权限级(比如 Ring3 → Ring0)
CPU 执行:
🔄 栈切换(Ring3 → Ring0):
- 根据 TSS 中的
ss0和esp0,切换到内核栈 - ⚠️ 不是你控制的,是 CPU 自动换栈的
✅ ⑤ 自动压入用户态上下文(返回地址):
| 压入内核栈 | 含义 |
|---|---|
| 用户 SS | 原来的用户栈段 |
| 用户 ESP | 原来的用户栈指针 |
| 用户 EFLAGS | 当前状态标志 |
| 用户 CS | 返回点的代码段(用户态) |
| 用户 EIP | 返回点的指令地址(调用前) |
也就是说,压的是“将来 lret 要返回到哪”。
✅ ⑥ 设置新的 CS:EIP,进入目标代码
这时候,CPU 不会把目标地址压入内核栈!
因为它是“执行跳转”,目标地址是调用门里定义的:
new CS = 调用门中的 Target Selector
new EIP = 调用门中的 Offset
直接执行:
jmp new_cs:new_eip
✅ ⑦ 目标函数执行完后,调用 lret
内核态函数结束后,执行:
lret
CPU 会从内核栈里弹出:
EIP ← 用户 EIP
CS ← 用户 CS
EFLAGS ← 原用户标志位
ESP ← 用户 ESP
SS ← 用户 SS
👈 然后回到用户态,继续执行。
✅ 对比“中断”和“调用门”的处理:
| 机制 | 是否从表中读取目标 CS:EIP | 是否自动压返回地址 | 是否自动换栈(Ring3→Ring0) |
|---|---|---|---|
中断门 (int n) | ✅ 从 IDT 中读 | ✅ 自动压 eip/cs/flags | ✅ 是 |
调用门 (lcall) | ✅ 从 GDT 中读 | ✅ 自动压 eip/cs/flags/esp/ss | ✅ 是 |
| 普通 call/jmp | ❌ 不跨段就局部跳转 | ❌ 用户压 | ❌ 否 |
✅ 结论 / 回答你的原问题:
目标 CS:EIP 是调用门中存的,直接由 CPU 装载执行,根本不需要压入栈中;压入栈的是“返回地址”,用于
lret回用户态。
🎯 面试金句总结:
在调用门触发跨权限调用(如从用户态进入内核)时,CPU 会自动根据调用门描述符切换栈、压入原用户态返回地址(CS/EIP/SS/ESP),然后直接从门中加载新的 CS:EIP 执行目标函数。整个过程是受限的、自动的、不可绕过的安全跳转。
要不要我帮你画一张图,展示调用门触发 → 自动切栈 → 执行目标代码 → lret 回用户态 的完整流程图?📊
扫一扫
10万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
