r3t2's blog

0x00终于实现到用户进程了 0x01 TSS 简介在 x86 里，CPU 确实原生支持通过 TSS（Task State Segment）进行“硬件任务切换”，但现代主流操作系统基本不用它来做真正的任务切换。 TSS 正如其名字，是一个段也就是一片内存区域，CPU 有一个专门的 TR 寄存器来存储 TSS 描述符，如下 可以看到 TSS 是通过选择子来访问的，并且其描述符也存储在GDT中。将 TSS 加载到寄存器 TR 的 指令是 ltr，也就是说 TSS 由用户提供，由 CPU 自动维护。 那么我们要使用它来实现我们的进程任务切换吗？ 在每一次任务切换过程中，CPU 除了做特权级检查外，还要在 TSS 的加载、保存、设置 B 位，以及设置标志寄存器 eflags 的 NT 位诸多方面消耗很多精力 一个任务需要单独关联一个 TSS，TSS 需要在 GDT 中注册，GDT 中最多支持 8192 个描述符， 为了支持更多的任务，随着任务的增减，要及时修改 GDT，在其中增减 TSS 描述符，修改过后还要重新 加载 GDT。这种频繁修改描述符表的操作很消耗 CPU...

0x00看似最简单的输入输出其实要到这里才实现 0x01 输出其实在之前就实现了输出如下，就是与 I/O...

0x00在内核实现初步的线程机制 0x01 什么是线程线程就是程序中的一条执行流，也就是代码从上到下运行的一条路径。在一个程序里，可以同时存在多条执行流，每一条执行流就是一个线程，它们可以并发地执行不同的代码。 为了支持并发执行，每个线程都有独立的寄存器上下文和栈，用于维护自身的执行状态；但线程之间共享进程的地址空间，包括堆、全局变量和代码段等资源。这也是线程与进程的重要区别之一。 进程？什么是进程：进程是资源分配的单位，包含一个或多个线程，也就是说进程 = 资源 + 线程。 线程是 cpu 调度的单位，进程是资源分配的单位并包含了线程。 0x02 线程调度机制0x01 如何控制线程用一块内存来存储线程的执行信息，OS 才认识“线程”。这块内存称为程序控制块：对于进程用 PCB (包括资源和执行信息），对于线程用 TCB （只有执行信息）。如下图： 我们实现的时候为了方便统一用一个类似 PCB 的 task_struct...

0x00完成了以页为单位的内存管理的雏形，更细致的堆内存管理有待后续实现 0x01 位图为了用尽可能少的空间标记大量内存的使用情况，需要使用名为位图的数据结构。 所谓位图简单来说就是把每一个比特（bit）和对应资源进行映射和标记（map） 。所以叫 bitmap 如何映射呢？很简单，第几位就是第几号资源。 直接放位图的实现 12345678910111213141516#ifndef __LIB_KERNEL_BITMAP_H#define __LIB_KERNEL_BITMAP_H#include "global.h"#define BITMAP_MASK 1struct bitmap{ uint32_t bytes_len; uint8_t* bits;};void _init_bitmap(struct bitmap* btmp); // 初始化位图_Bool _scan_bitmap_test(struct bitmap* btmp, uint32_t bit_offs); // 检测位图某一位int...

0x00操作系统是由中断驱动的 0x01 何为中断整个操作系统的主体可以看做一个死循环，可以粗陋地看作如下形式 1234while(1){ wait_and_handle_interrupt();} 所谓中断就是告诉 CPU 某件事发生了，你处理一下。那么来自 CPU 外部就是外部中断：外部中断的来源是计算机的其他硬件，所以又称为硬件中断（比如按下键盘）。来自 CPU 内部就是内部中断：可分为软中断和异常。要么来自软件（比如系统调用），要么就是 CPU 出错了（例如除0错误）。 0x02 处理中断那么操作系统如何处理中断？ 0x021 IDT要处理它首先得让操作系统知道什么是中断：定义一个 IDT （Interrupt Descriptor Table：中断描述符表）。CPU 使用一个专门的寄存器 IDTR 存放内存中 IDT 的位置。这意味着 IDT 需要操作系统自行准备好放在内核内存里。 可使用特权指令 lidt 和 sidt 来读写这个寄存器。 什么又是中断描述符？如下所示 12345678// 中断描述符结构体struct...

0x00我已启动 0x01 加载 kernel这里的加载有两重含义： 一是在 loader 开启分页进入虚拟地址空间后，就应该跳转到内核，由内核来接管了。但在这之前当然要先从硬盘把 kernel 读进来。 二是 kernel 是一个 ELF 文件，内核被读入到内存后，loader 还要通过分析其 elf 结构将其再加载到新的位置，所以说，内核在内存中有 两份拷贝，一份是 elf 格式的原文件 kernel.bin，另一份是 loader 解析 elf 格式的 kernel.bin 后在内存中生成的 内核映像 先说第一点，和 mbr 读入 loader 很类似，只不过是在保护模式下执行，需要注意一些细节。比如本人写出的一个bug，仍然使用了 bx 存储加载到的基地址，但 kernel 的读入地址当然大于 16 位…所以要使用 ebx。 另外为了 kernel 未来的扩展有足够的空间，将读入的原始 elf 文件放入比较高的地址处。并且原始 elf 文件在 kernel 完全加载完后被覆盖了也没关系。 再说第二点，再加载是什么意思？ ELF 文件也是一种可执行文件，只不过加了一个...

0x00关于原理和机制很多我直接在注释中写明了，所以就不过多阐述，更多的是总体上简单提一嘴。 0x01 为何分页在有新进程需要内存而连续内存不够时，要么等某个进程使用内存完毕再给新进程使用，要么把某些进程使用的某些段内存先换出到硬盘，腾出一片连续内存来给新进程使用。 当然不可能采取第一种方法，不然新进程要等半天才能运行。第二种方法的思想是正确的，但是受限于段式内存管理，十分笨重，一次就要换出一整段，效率不高。并且如果内存很小甚至装不下任何一个进程的全部段，那不是啥都运行不了？ 直接引用《操作系统真象还原》的原话: 问题的本质是在目前只分段的情况下，CPU 认为线性地址等 于物理地址。而线性地址是由编译器编译出来的，它本身是连续的，所以物理地址也必须要连续才行，但 我们可用的物理地址不连续。换句话说，如果线性地址连续，而物理地址可以不连续，不就解决了吗。 所以分页机制产生了。每一页不大不小 0x1000...

0x00这学期开始上操作系统原理的课，本人此前学过许多关于操作系统的知识但是却没有完整地串联起来过。于是决定实现一个简单操作系统。 跟着《操作系统真象还原》来进行实现。但是不使用书中教程使用的 bochs，本人使用 qemu 来进行运行调试。有关环境如下 123456789101112131415161718192021222324252627282930❯ qemu-system-i386 --versionQEMU emulator version 8.2.2 (Debian 1:8.2.2+ds-0ubuntu1.13)Copyright (c) 2003-2023 Fabrice Bellard and the QEMU Project developers❯ nasm -vNASM version 2.16.01❯ gcc --versiongcc (Ubuntu 13.3.0-6ubuntu2~24.04.1) 13.3.0Copyright (C) 2023 Free Software Foundation, Inc.This is free software;...

0x00只有一题，比赛中本地打通了, 被远程卡了 一个多小时。。 0x01 mailsystem一个邮件管理系统, 有user和admin 先逆向, 改完函数名然后自定义了一个userstruct结构体就好看多了 1234567891011121314151617181900000000 struct UserStruct // sizeof=0x41000000000 {00000000 char inbox_content[256];00000100 __int64 draft_size;00000108 __int64 field_108;00000110 char draft_content[256];00000210 __int64 inbox_size;00000218 char gap_218[96];00000278 __int64 user_id;00000280 char gap_280[24];00000298 char username[40];000002C0 ...

0x00DAMN 也是 ak 十道题目拿下第一(虽然感觉没什么人打) 0x01 encoder非常简单, base64 加密后数据长度会溢出, 然后可以逐步带出 flag 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263#!/usr/bin/env python3from pwn import *import base64context(os='linux', arch='amd64', log_level='debug')filename = "pwn_patched"libcname =...