从今天开始，记录文章。你我一起学习，体验学习的快乐。因为我以前在当地记录过这些东西，所以我一次发表更多。就我个人而言，我更喜欢以问答的方式记录学习，所以也许如果你只是看不懂我的文章，你可以把我的文章当作学习后的文章快速复习一种方式，文章也是根据学习路线写的。当然，有些我个人觉得很简单或不重要，我没有记录，你也可以提出，方便你我一起进步。

学习的过程就是不断遗忘不断回顾的过程，所以不用担心学的扎实后又遗忘了，多看多回顾就会越来越深刻。

问：为什么要学习？x86，不学习x64？
答：因为x64向下兼容，学习x86能更好地理解x64体系

问：x86有哪些模式？
答:真实模式、保护模式、虚拟8086模式

问：为什么要学习保护模式？
答：只有学习保护模式，我们才能真正理解核心，否则我们只能停留在API层面

问:什么是保护模式？
答:内存，特权指令

问:保护模式的机制是什么？
答:段落机制，页面机制

问:为什么不先学习段的机制？
答:由于段的机制比较复杂，只有学习段的寄存器才能理解段的机制

问:什么是段寄存器？有什么？
答:段寄存器是访问某个地址时的前缀寄存器。段寄存器有8个，分别是ES CS SS DS FS GS LDTR TR

问：段寄存器的结构是什么？
答：Attribute属性 Limit长度 Base开始位置

问:如何读写段寄存器？
答:通过16位寄存器，mov、SLDT/LLDT、STR/LTR读写指令只能读16位，写96位。

问：段寄存器的成员属性是什么？
答:红色机器的不同值可能不同，GS寄存器Windows未使用
问：为什么说读能读16位，写能写96位？
答：
测试Attribute：通过对cs:[400000h] 和ds:[400000h]地址写入数据证明Selector
测试Base: 通过对fs:[0]和ds:[0]写入数据证明Base
测试Limit: 通过对fd:[1000]和ds:[0x7FFDE000 0x1000]写入数据证明limit
综上所述，写作时写入96位

问：写段寄存器时，只有16位，其余80位填什么？
答：通过GDT找到段描述符并将其加载到段寄存器中

问：GDT表和LDT表是什么？
答：GDT表(全局描述符表)LDT表(局部描述符表)LDT表Windows未使用系统

问：段描述符和段选择子是什么？
答:段描述符是GDT记录在表中的段选择子是我们可以直接看到的16位段寄存器

问：段描述符的结构和段选择子的结构是什么？
答： TI为0是GDT表 TI为1是LDT表

问：如何将描述加载到段寄存器中？
答：除了MOV我们也可以使用指令LES、LSS、LDS、LFS、LGS指令修改寄存器.
les ecx,fword ptr ds:[buffer] //高2字节es，给低四个字节ecx

问：为什么不呢？LCS指令？
答：CS寄存器不能随意修改，需要和解EIP一起修改，所以没有这样的指令

问:段描述符中P位和G位的含义是什么？
答：P定位段描述符是否有意义，G位决定limit剩下的12位填0还是1，G为0，limit为000FFFFF，G为1，limit为FFFFFFFF

问：段描述符S位和type什么意思？
答：S系统段描述符位为0，S说明是数据/代码段描述符，A表示是否访问过

问:数据/代码段中的第10个含义是什么？
答:数据段表示扩展方向，0是向上扩展(左图红色区域)，1是向下扩展(右图红色区域)
代码段是否为一致代码段，0为非一致代码段，1为一致代码段

问：D/B位有什么作用？
答：
情况一：对CS段的影响
D = 1 32位寻址
D = 0 采用16位寻址
前缀67 改变寻址方式
情况二：对SS段的影响 (本质上也是数据段)
D = 1 (如:PUSH POP CALL） 使用32个堆栈指针ESP
D = 0 (如:PUSH POP CALL） 使用16个堆栈指针SP
情况三：向下拓展的数据段
D = 1 段上线为4GB
D = 0 段上线为64KB

问：DPL、CPL、RPL分别是什么？
答：DPL是段的权限级别，每段固定
CPL是当前进程的权限级别CS段和SS段的后两位
RPL是过程对段访问的请求权限，每段选择子都有自己的RPL

问：为什么都有CPL还要RPL？
答:就像我们用读写权限打开文件一样，有时只用只读权限打开以避免出错。

问:数据段和代码段的权限检测如何？
答：数据段 CPL<=DPL且RPL<=DPL
代码段 非一致代码段 CPL==DPL且RPL<=DPL
一致代码段 CPL>=DPL

问：什么是一致代码段和非一致代码段？
答：一致代码段的高权限不能访问低权限，只能访问低权限
要求非一致代码段的权限必须相等
无论哪种操作都不对CPL只有通过调用门才能提权

问:代码段跳转用什么指令？
答：JMP FAR / CALL FAR / RETF / INT /IRETED
JMP / CALL / JCC / RET（不修改CS）

问：代码段跳转的执行过程是什么？
答:1.段选择子的拆分
2.查表得到段落描述符 只有四种情况可以跳转（代码段、调用门、TSS任务段、任务门)
3.权限检查
4.加载段描述符
5.代码执行

问：jmp far 与call far有什么区别？
答：jmp far只是段与段之间的跳转，但不能提权，因为提权要换栈，涉及SS和ESP的保存
call far提权远跳转可以保存寄存器的值

跨段不提权：

跨段提权：
问：ESP和SS从哪里得到？
答：TSS段给的

问：什么是TSS？
答:它就像一块内存，一个核一份，填满了ESP在线程切换时有什么变化？TSS创建时每个线程的值TSS准备好的值准备好了
每个线程有两个堆栈，每个线程的0环堆栈在TSS中告诉你了，Windows给我们系统TSS填好了，所以调用门进入0环的时候，即使堆栈不平衡，我们还是会重新进入那个地方。

问:调用门的执行流程是什么？
答：1.根据cs段选择子找到段描述符，是调用门
2.另一个代码段选择子存储在调用门描述符中
3.新段选择子指向段base 偏移地址是真正需要执行的地址

问：用门是什么结构？
答：
问：带参数的调用门是怎么使用的？
答：Param.Count是参数个数，参数会在0环的堆栈中，将参数的值放入cs和esp中间

问：调用门的使用注意些什么？
答：1.权限未改变的时候只PUSH两个值，返回地址和CS
2.权限改变的时候PUSH4个值，除返回地址和CS外，再PUSH ESP和SS
3.进入调用门的时候去的地址必须给出，但是回来的时候返回地址是从堆栈中取出来的，所以返回地址可以修改

问：IDT表是什么？
答：IDT表叫做中断描述符表，值得注意的是GDT表第一项为NULL，但是IDT表第一项不为NULL，IDT表中包含了三种描述 符，任务门描述符、中断门描述符、陷阱门描述符

问：中断门的结构是什么样？
答：![在这里插入图片描述](https://img-blog.csdnimg.cn/c1b7458ef804412ea1692714da858916.png

问：如何触发IDT表的使用？
答：使用INT指令，后面跟的是IDT表的索引

问：INT N指令在权限切换和不切换时堆栈是什么样？
答：权限不变：返回地址 EFLAG CS
权限变化：返回地址 CS EFLAG ESP SS

问：在调用门、中断门中返回时用什么指令？
答：调用门用retf，中断门用iret/iretd

问：iret和iretd的区别是什么？
答：iret是32位16位都能使用，iretd只能32使用

问：在中断门中，描述符中的段选择子查哪个表？
答：查GDT表

问：陷阱门是什么？
答：问：陷阱门和中断门的区别是什么？
答：中断门会将EFALG寄存器的IF位清0，陷阱门不会改变IF位

问：有效地址、线性地址、物理地址、都是什么？
答：
如下指令：
MOV eax,dword ptr ds:[0x12345678]
其中,0x12345678 是有效地址
ds.Base + 0x12345678 是线性地址

问：CR3的作用是什么？
答：存放的是物理地址，指向一个表，通过这个表能将线性地址放到物理页上

问：物理地址怎么找呢？
答：通过CR3寄存器，里面存放的就是索引表，通过索引表依次找到对应的物理地址

注意：第一级和第二级是地址，需要乘4+CR3

问：第一级、第二级、物理页是什么？
答：第一级叫页目录表（PDT）有1024个，第二级叫页表（PTT）有1024个，物理页有4096个字节

问：一个地址是否可读写由什么决定？
答：PDE、PTE属性决定物理页的可读写属性

问：PDE与PTE的属性是什么？
答：
问：P位与R/W位的含义是什么？
答：P位为有效位，为0无效，为1有效
R/W位可读写位，为0是只读，为1是可读写

问：U/S位与P/S位、A位、D位的含义是什么？
答：U/S位为0是特权用户可访问，为1是普通用户也可以访问
P/S位只针对PDE，当P/S位为1时，PDE直接指向物理页，没有PTE，低22位为页内偏移，页大小为4MB
A位是否被访问过，访问过为1
D位是否被写过，写过为1

问：缺页异常走几号中断？
答：INT E

问：缺页异常有四种情况，都是什么原因？
答：

问：页目录表基址与页表基址是多少？
答：页目录表基址C0300000，页表基址C0000000

问：物理页的真实样子是什么？
答：

问：2-9-9-12分页每位代表什么？
答：12是因为页的大小还是4KB，所以需要12位
第二个9是因为页表的大小不变还是4096字节，但是现在一个PTE就占8字节，所以只有9
第一个9同理
2是将PBPT划分为4个

问：2-9-9-12分页模式什么样子？
答：
问：G位什么含义？
答：G为对于PTE有意义，
当G位为0时，表示是进程独享物理页，由VirtualAlloc分配
当G为位1时，表示是全局页，由CreateFileMapping分配

问：PDPTE、PDE、PTE的结构是什么？
答：

问：PDE、PTE在2-9-9-12分页下的XD位是什么？
答：XD位是为了补充可执行这个条件，XD位为1时，不可执行，程序会卡死

问：PWT位和PCD位的作用是什么？
答：PWT位为1，在存储CPU缓存时也同时往内存写数据；为0只在CPU缓存中写入
PCD位为1，禁止写入CPU缓存；为0时可以写入

问：TLB是什么样子，是干嘛的？
答：为了保存方便快速快速访问，保存了线性地址与物理地址的对应关系和属性，统计是为了进行更换时参考，一页只有一个
切记：跟G位没有关系，G位决定的是全局还是局部

问：TLB有几种，各是什么？
答：有4种，大页数据表缓存、大页代码表缓存，一般页表数据缓存、一般页表代码缓存

问：invlpg指令做什么的？
答：它是特权指令，需要在0环使用，清除某个线性地址TLB的记录

问：对IF位操作的指令是什么？
答：CLI清空当前的IF位，STI设置当前的IF位

问：PEB、TEB是什么？
答：是三环用来查看进程模块的，
TEB的位置在fs:[0x0]存储
PEB的位置在fs:[0x30]的位置
PEB其中成员指向3个链表的结构体，三个链表都起作用

问：分页内存和非分页内存的区别是什么？
答：分页内存是可以放到硬盘上的，而非分页内存是必须存放在物理页上。

问：内核编程需要记忆的东西？
答：数据类型
typedef unsigned char UCHAR;
typedef unsigned short USHORT;
typedef unsigned long ULONG;
NTSTATUS返回值
STATUS_SUCCESS 0x00000000 成功
STATUS_INVALID_PARAMETER 0xC000000D 参数无效
STATUS_BUFFER_OVERFLOW 0x80000005 缓冲区长度不够
异常处理
__try{
//可能出错的代码
}
__except(filter_value) {
//出错时要执行的代码
}

问：驱动加载分为几步？
答：四步，安装 执行 卸载函数 卸载

问：内核模块其实是什么？
答：是一个循环链表

问：内核DRIVER_OBJECT和_LDR_DATA_TABLE_ENTRY结构体是什么？
答：
nt!_DRIVER_OBJECT
+0x000 Type : Int2B
+0x002 Size : Int2B
+0x004 DeviceObject : Ptr32 _DEVICE_OBJECT
+0x008 Flags : Uint4B
+0x00c DriverStart : Ptr32 Void
+0x010 DriverSize : Uint4B
+0x014 DriverSection : Ptr32 Void //_LDR_DATA_TABLE_ENTRY
+0x018 DriverExtension : Ptr32 _DRIVER_EXTENSION
+0x01c DriverName : _UNICODE_STRING
+0x024 HardwareDatabase : Ptr32 _UNICODE_STRING
+0x028 FastIoDispatch : Ptr32 _FAST_IO_DISPATCH
+0x02c DriverInit : Ptr32 long
+0x030 DriverStartIo : Ptr32 void
+0x034 DriverUnload : Ptr32 void
+0x038 MajorFunction : [28] Ptr32 long

nt!_LDR_DATA_TABLE_ENTRY
+0x000 InLoadOrderLinks : _LIST_ENTRY
+0x008 InMemoryOrderLinks : _LIST_ENTRY
+0x010 InInitializationOrderLinks : _LIST_ENTRY
+0x018 DllBase : Ptr32 Void
+0x01c EntryPoint : Ptr32 Void
+0x020 SizeOfImage : Uint4B
+0x024 FullDllName : _UNICODE_STRING
+0x02c BaseDllName : _UNICODE_STRING
+0x034 Flags : Uint4B
+0x038 LoadCount : Uint2B
+0x03a TlsIndex : Uint2B
+0x03c HashLinks : _LIST_ENTRY
+0x03c SectionPointer : Ptr32 Void
+0x040 CheckSum : Uint4B
+0x044 TimeDateStamp : Uint4B
+0x044 LoadedImports : Ptr32 Void
+0x048 EntryPointActivationContext : Ptr32 Void
+0x04c PatchInformation : Ptr32 Void

问：IRP是什么？
答：是0环类似于消息的一个结构体，需要与设备对象对应

问：3环与0环设备通信的过程实施什么？
答：1.创建设备 IoCreateDevice
2.设置交互方式 在设备对象的Flags中
3.创建符号链接 IoCreateSymbolicLink
4.设置派遣函数 在驱动对象的MajorFunction结构体中
5.3环程序通讯 IoGetCurrentIrpStackLocation获取IRP
6.卸载设备与符号链接

问：写拷贝是什么？
答：发生异常时，会检测VAD树中的内存类型，如果是写拷贝会拷贝一份内存