Virtuális memóriakezelés Védelem. Memória védelem. Intel X86. Izsó Tamás október 1. Izsó Tamás Memória védelem/ 1

Hasonló dokumentumok
Virtuális memóriakezelés Védelem. Memória védelem. Intel x68. Izsó Tamás október 18. Izsó Tamás Memória védelem/ 1

Operációs rendszerek III.

Máté: Számítógép architektúrák

Programozás alapjai. 10. előadás

Szegmentálás. Memória kezelési stratégia mely a felhasználó nézőpontját támogatja Például:

Máté: Assembly programozás

A 32 bites x86-os architektúra regiszterei

Számítógépek felépítése

Operációs rendszerek. Az Executive és a kernel Policy és mechanizmusok szeparálása Executive: policy - objektum kezelés Kernel: mechanizmusok:

Operációs rendszerek. Az NT memóriakezelése

Adatelérés és memóriakezelés

Digitális rendszerek. Utasításarchitektúra szintje

Számítógép architektúrák

386 processzor címzés

Utolsó módosítás:

Assembly. Iványi Péter

Dr. Illés Zoltán

találhatók. A memória-szervezési modell mondja meg azt, hogy miként

Operációs rendszerek. Az NT folyamatok kezelése

Debreceni Egyetem Matematikai és Informatikai Intézet. 13. Védelem

A Számítógépek felépítése, mőködési módjai

Az interrupt Benesóczky Zoltán 2004

Operációs rendszerek. Folyamatok kezelése a UNIX-ban

8. Memória management

Assembly. Iványi Péter

Tamás Péter (D. 424) Mechatronika, Optika és Gépészeti Informatika Tanszék (D 407)

Assembly Rekurzív függvények, EXE, C programok. Iványi Péter

Az operációs rendszer szerkezete, szolgáltatásai

Számítógép Architektúrák

Architektúra, megszakítási rendszerek

Az assembly nyelv sor-orientált nyelv, tehát minden sorba pontosan egy utasítás kerül. Egy sor mezőkből áll a következőképpen:

Operációs rendszerek. UNIX fájlrendszer

Utasításrendszer jellemzése (utasítás részei) 1. műveleti kód 2. operandusok 3. következő utasítás címe (elmaradhat)

OPERÁCIÓS RENDSZEREK. Elmélet

Operációs rendszerek Memóriakezelés 1.1

Archi2 Gyak. (Processzorok Utasításszintű Kezelése) 2014 ősz

PE/COFF fájl formátum

A Számítógépek hardver elemei

Intel x86 utasításkészlet

Vezérlésfolyam gráf és X86 utasításkészlet

Előadás_#12. Előadás_12-1 -

2016/08/31 02:45 1/6 Hardver alapok

A hibát az alábbi Python program segítségével tudjuk előidézni:

Operációs rendszerek. A védelem célja. A fenyegetés forrásai. Védelmi tartományok. Belső biztonság. Tartalom

Processzusok (Processes), Szálak (Threads), Kommunikáció (IPC, Inter-Process Communication)

2017/12/16 21:33 1/7 Hardver alapok

Processzusok (Processes), Szálak (Threads), Kommunikáció (IPC, Inter-Process Communication)

1. Az utasítás beolvasása a processzorba

Utolsó módosítás:

Processzorok Utasításszintű Kezelése tavasz

OPERÁCIÓS RENDSZEREK I. BEVEZETÉS Koczka Ferenc -

2. Számítógépek működési elve. Bevezetés az informatikába. Vezérlés elve. Külső programvezérlés... Memória. Belső programvezérlés

Számítógép Architektúrák

Járműfedélzeti rendszerek I. 3. előadás Dr. Bécsi Tamás

Intel x86 utasításkészlet + disassembler működése

Bevezetés a számítástechnikába

Rootkitek. Előadó: Barta Csaba

Mechatronika és mikroszámítógépek. 2018/2019 I. félév. Külső megszakítások

Aritmetikai utasítások I.

Balaton Marcell Balázs. Assembly jegyzet. Az Assembly egy alacsony szintű nyelv, mely a gépi kódú programozás egyszerűsítésére született.

ARM (Advanced RISC Machine)

Stack Vezérlés szerkezet Adat 2.

Máté: Számítógép architektúrák

OPERÁCIÓS RENDSZEREK 1. PROCESSZKEZELÉS

Mikrorendszerek tervezése

Paraméter átadás regisztereken keresztül

Operációs Rendszerek II. Első verzió: 2009/2010. I. szemeszter Ez a verzió: 2009/2010. II. szemeszter

assume CS:Code, DS:Data, SS:Stack Start mov dl, 100 mov dh, 100 push dx Rajz

Máté: Számítógép architektúrák

Számítógép Architektúrák

Memóriagazdálkodás. Kódgenerálás. Kódoptimalizálás

Alkalmazások biztonsága

Operációs rendszerek

_INVHU000_WriteReadParameter.cxf Frekvenciaváltók

Operációs rendszerek 1.

Utolsó módosítás:

18. témakör. Jogosultságok (Windows és Linux jogosultságok összehasonlítása, helyi és megosztási jogosultságok)

Jelszavak helyes megválasztása, szótáras törés. Pánczél Zoltán

A Számítógépek hardver elemei

Memóriakezelés (Memory management)

Architektúra, címzési módok

Operációs rendszerek. A Windows NT

Mikroprocesszor CPU. C Central Központi. P Processing Számító. U Unit Egység

Bevezetés az informatikába

Fábián Zoltán Hálózatok elmélet

A számítógép egységei

Számítógép Architektúrák

Autóipari beágyazott rendszerek. Komponens és rendszer integráció

Biztonságos programozás Puffer túlcsordulásos támadások

Léteznek nagyon jó integrált szoftver termékek a feladatra. Ezek többnyire drágák, és az üzemeltetésük sem túl egyszerű.

Máté: Számítógép architektúrák

Máté: Számítógép architektúrák

8. Fejezet Processzor (CPU) és memória: tervezés, implementáció, modern megoldások

5-6. ea Created by mrjrm & Pogácsa, frissítette: Félix

Matematikai és Informatikai Intézet. 4. Folyamatok

6. Tárkezelés. Operációs rendszerek. Bevezetés A program címeinek kötése. A címleképzés. A címek kötésének lehetőségei

Bevitel-Kivitel. Eddig a számítógép agyáról volt szó. Szükség van eszközökre. Processzusok, memória, stb

Uniprogramozás. várakozás. várakozás. Program A. Idő. A programnak várakoznia kell az I/Outasítások végrehajtására mielőtt továbbfuthatna

Számítógép felépítése

Könyvtári címkéző munkahely

Átírás:

Memória védelem Intel X86 Izsó Tamás 2015. október 1. Izsó Tamás Memória védelem/ 1

Section 1 Virtuális memóriakezelés Izsó Tamás Memória védelem/ 2

Operációs rendszer hardver szintű támogatása Hardver szinten támogatott operációs rendszer feladatok: memória kezelés; szoftver modul védelem; multitaszk szervezés; kivételkezelés és interrupt hívás; multiprocesszoros (több magos processzorok) kezelés; gyorsítótár alkalmazás; hardver erőforrások és tápfeszültség ellenőrzése; program futásának a nyomkövetése és teljesítményfigyelés. Izsó Tamás Memória védelem/ 3

32 bites Windows memória kiosztás FFFFFFFF Windows OS Supervisor terület 80000000 7FFFF000 Processz 3. Processz 2. Processz 1. User terület User terület User terület 00000000 Logikai cím Izsó Tamás Memória védelem/ 4

Lapozás elve (elnagyolva) Present 1 1 0 0 0 0 0 1 0 0 1 0 0 Present A processz Fizikai memória osztott memória Fix méretű lapok 0 1 0 0 0 0 0 0 0 1 0 0 0 B processz Izsó Tamás Memória védelem/ 5

Intel x86 processzor memóriakezelése Illusztráció! szegmentálás lapozás Logikai cím Szegmes szelektor offset Lineáris címtartomány Globál destriptor table GDT Lineáris cím Dir Tábla Offszet Fizikai címtartomány Szegmens Leíró Szegmens Lin. cím Page directory Page Table Entry Lap Fizikai cím Entry Szegmens bázis cím Lap Szegmentálás Lapozás Izsó Tamás Memória védelem/ 6

Szegmentálás feladata A taszkok memóriaterületének elkülönítése. A címtartományon kívül programhibából adódó hivatkozások megakadályozása. A rendszer és a felhasználói programok címtartományának a szétválasztása. Adat vagy kód kezdőcímének az áthelyezhetősége. Osztott memóriaterület szabályozott úton történő elérése. Osztott kódrészek hívása. Szegmens hozzáférések korlátozása. Izsó Tamás Memória védelem/ 7

Szegmensregiszter Illusztráció! 15 3 2 1 0 INDEX T I RPL TÁBLA INDIKÁTOR 0 = GDT 1 = LDT Requested Priveleg Level (RPL) szegmens szelektor látható rész takart rész szegmens szelektor bázis cím, méret, hozzáférési információk szegmensregiszterek CS SS DS ES FS GS Izsó Tamás Memória védelem/ 8

Flat modell Szegmentálást nem lehet kikapcsolni, csak a lapozást. Ugyanakkor be lehet állítani a szegmenseket úgy, mintha nem is léteznének. Egy-egy szegmensleíró a kódra és adatra. Báziscím 0-tól. Méret (limit) 4GByte Szegmens regiszterek CS DS Kód és adatszegmens leíró Lineáris címtartomány kód FFFFFFFFH nincs mem. SS ES Access Limit Base Address adat és stack 0H FS GS Izsó Tamás Memória védelem/ 9

Védett flat modell Szegmens regiszterek CS DS SS ES FS GS Segmens leíró Access Limit Base Address Access Limit Base Address Lineáris címtartomány Kód FFFFFFFFH nincs mem. Mem. I/O adat és stack 0H Izsó Tamás Memória védelem/ 10

Többszegmenses modell Szegmens regiszterek CS SS DS ES FS GS Szegmens leírók Access Limit Base Address Access Limit Base Address Access Limit Base Address Access Limit Base Address Access Limit Base Address Access Limit Base Address Access Limit Base Address Access Limit Base Address Access Limit Base Address Access Limit Base Address Lineáris címtartomány Stack Kód Adat Adat Adat Adat Izsó Tamás Memória védelem/ 11

Az x86 lapozási módok Illusztráció! 32 bites Ebben az üzemmódban a lineáris cím és a fizikai cím egyaránt 32 bites. PAE Ebben az esetben a 32 bites lineáris címet 32 bitnél szélesebb vagy azzal egyenlő fizikai címre képezzük. Ez egy egzotikus címzési mód, mégis a Windows/XP az SP2-ben már ezt használja, ennek az okára később kitérünk. IA-32e 64 bites üzemmód esetén használatos. Izsó Tamás Memória védelem/ 12

32 bites lapozás 4KB lapmérettel Illusztráció! 12 4-KByte 10 Page Directory 10 Page Table Physical A PDE with PS=0 20 PTE 20 32 CR3 Izsó Tamás Memória védelem/ 13

Section 2 Védelem Izsó Tamás Memória védelem/ 14

Védelem A védelem megszervezésnél a következő dolgokat kell átgondolni: védelem tárgya Információ aminek a hozzáférését egyeseknek megengedjük, korlátozzuk, vagy megtiltjuk. védelem alanya Aktív résztvevő, aki az információhoz a hozzáférést kezdeményezi. tevékenység Aktív résztvevő tevékenységi sorozata az információ megszerzésére. hozzáférési szabályok Leírják, hogy az egyes alanyok milyen tevékenységet végezhetnek az objektumokon. Izsó Tamás Memória védelem/ 15

Hozzáférési szabályok DAC: Discretionary Access Control tetszés szerinti hozzáférési jog biztosítása: Minden egyes felhasználó számára külön rendelkezhetünk a hozzáférési jogokról. Az információ birtokosa adja a jogokat. A DAC-ot rugalmassága miatt az operációs rendszerek előszeretettel használják DAC hátránya Nehéz globális szabályokat megkövetelni. Nem biztos forrásból származó program a felhasználó jogosultsága alapján megváltoztathatja a hozzáférési jogokat. Nem biztonságosan megírt program gyengeségeit kihasználva lehetőséget kap a támadó, a DAC szabályainak a módosítására. Izsó Tamás Memória védelem/ 16

Hozzáférési szabályok MAC: Mandatory Access Control előre maghatározott hozzáférési szabályok alapján történik az információk elérése. Rendszer szintű adathozzáférési szabályokat, a felhasználó nem tudja megváltoztatni. A rendszerre van bízva a jogok hozzárendelése. Ezt használják a hardverek. Izsó Tamás Memória védelem/ 17

Szereplők az X86 processzorban védelem tárgya Memória, regiszterek, I/O eszközök védelem alanya Az azonosításhoz a felhasználó user ID vagy processz ID lenne a legalkalmasabb, de ezeket az operációs rendszer definiálja, és az alatta lévő hardver ezekről semmit sem tud. Ezért itt a futó processz kódszegmensére fogjuk a védelmet alkalmazni. tevékenység gépi utasítások sorozata. hozzáférési szabályok CPU-ban előre meghatározott. (Mi a játéktere akkor az operációs rendszernek?) Izsó Tamás Memória védelem/ 18

Védelmi szintek (gyűrűk) MAC terminológiában címkéket jelent. 0. szint a legmagasabb szint, bár a legkisebb érték tartozik hozzá. Általában az operációs rendszer kernel programja használja, például memória lapozás, taszkok ütemezése stb. 1. szint a nagy prioritású készülék meghajtó programok (device driver) futnak ezen a szinten. 2. szint az alacsonyabb prioritású meghajtó programok részére van fenntartva. 3. szint a felhasználói programok futtatásához. Miért csak 4 szint van? Mert a tervező így látta jónak. Vannak processzorok, ahol 8 vagy 16 szint is van. Két bit elegendő a tárolására. Mert ez lefedi a katonaságnál kidolgozott top-secret, secret, confidentil (bizalmas), unclassified szinteket. Izsó Tamás Memória védelem/ 19

Mandatory védelem biztosítása A védelem tárgyát, azaz a memóriát, regisztereket, I/O eszközöket felcímkézzük. A védelem alanyát azaz a kódot is felcímkézzük. Meg kell határozni, hogy az egyes címkével rendelkező alanyok milyen műveleteket végezhetnek a felcímkézett objektummal (angol irodalomban ez a proteciton state). A gyártó határozta meg, nem lehet megváltoztatni. Meg kell határozni, hogy milyen elvek alapján oszthatjuk ki a címkéket (angol irodalomban ez a labeling state). Meg kell határozni, hogy a védelem alanya vagy tárgya milyen szabályok alapján válthat címkét (angol irodalomban ez a transition state). A gyártó határozta meg, nem lehet megváltoztatni. Izsó Tamás Memória védelem/ 20

Adatok sértetlenségének a biztosítása Definíció: (Információ iránya) Write a védelem alanya felől halad az objektum felé. Read a védelem tárgya felől halad a védelem alanya felé. Kenneth J. Biba 1975-ben definiálta a róla elnevezett az adatok integritásának (CIA) védelmére szolgáló modellt. Definíció: (Biba modell) No Write Up A futó kód a nála magasabb privilégiummal rendelkező erőforrásokat nem módosíthatja. No Read Down A futó kód a nála alacsonyabb privilégiummal rendelkező erőforrásokat nem olvashatja. Izsó Tamás Memória védelem/ 21

Adatok sértetlenségének a biztosítása Megjegyzések: Az első pont triviális. A második meggátolja, hogy a kisebb privilégiummal rendelkező erőforrás, amit a kisebb privilégiummal rendelkező kód (user) módosított, befolyásolja a nagyobb privilégiummal működő kód működését. Rendszerhívás esetén biztosítani kell, hogy a nagyobb prioritással futó kód olvassa a kisebb prioritású kód által átadott paramétereket, ezért ott ellenőrizni kell azok tartalmát. Izsó Tamás Memória védelem/ 22

Adatok bizalmasságának a biztosítása David Elliott Bell és Leonard J. LaPadula 1973-ban kifejlesztette az adatok bizalmasságának (CIA modell) a védelmére, azaz a titok kiszivárogtatásának a meggátlására szolgáló modellt. Definíció: (Bell-LaPadula modell) No Write Down A futó kód nála alacsonyabb privilégiummal rendelkező erőforrásokat nem módosíthatja. No Read Up A futó kód nála magasabb privilégiummal rendelkező erőforrásokat nem olvashatja. A No Write Down meggátolja, hogy a nagyobb privilégiummal rendelkező de vírusos kód ne szivárogtathasson ki titkos információt a kisebb privilégiummal rendelkező támadó felé. Az eredeti Bell-LaPadula modellben a kiosztott címkéket nem lehet megváltoztatni. Izsó Tamás Memória védelem/ 23

Biba kontra Bell-LaPadula modell Azonos privilégium szinttel rendelkező szereplők között a bizalmasságának és az adatok integritása biztosítható. A két elv alapján a különböző privilégium szinttel rendelkező szereplők között egyidejűleg a bizalmasság és az adatintegritás megtartása automatikusan nem teljesül. Izsó Tamás Memória védelem/ 24

Szegmentálás védelmi megoldások Illusztráció! 31 24 23 22 21 20 18 16 15 14 13 12 11 8 7 0 Base 31:24 G D / B A SEG. D L V Limit P P S TYPE BASE 23:16 4 L 19:16 L 31 16 15 0 BASE ADDRESS 15:0 Segment Limit 15:0 0 Szegmensleíró Izsó Tamás Memória védelem/ 25

Szegmensleíró tartalma Segment Limit szegmens méret (20 bit) függ G-től. Base address Szegmens báziscíme, 4 GByte címezhető. S Hivatkozott szegmens kód, adat, vagy rendszerleíró tábla. Type Szegmens típusa, értelmezése függ S-től. DPL Szegmens privilégium szintje. P érvényes szegmensleíró van a memóriában D/B Kódnál operandus mérete, adatnál címtartomány iránya (expand down). G Szegmens méretének a mértékegysége byte/4kbyte. L A szegmens 64 bites utasításokat tartalmaz. AVL Operációs rendszer számára fenntartott flag. Izsó Tamás Memória védelem/ 26

Szegmens típusa Illusztráció! típus értéke szegmens leírás Decimálisan 11 10 9 8 típus E W A 0 0 0 0 0 Data Read-Only 1 0 0 0 1 Data Read-Only, accessed 2 0 0 1 0 Data Read/Write 3 0 0 1 1 Data Read/Write, accessed 4 0 1 0 0 Data Read-Only, expand-down 5 0 1 0 1 Data Read-Only, expand-down, accessed 6 0 1 1 0 Data Read/Write, expand-down 7 0 1 1 1 Data Read/Write, expand-down, accessed C R A 8 1 0 0 0 Code Execute-Only 9 1 0 0 1 Code Execute-Only, accessed 10 1 0 1 0 Code Execute/Read 11 1 0 1 1 Code Execute/Read, accessed 12 1 1 0 0 Code Execute-Only, conforming 13 1 1 0 1 Code Execute-Only, conforming, accessed 14 1 1 1 0 Code Execute/Read, conforming 15 1 1 1 1 Code Execute/Read, conforming, accessed Izsó Tamás Memória védelem/ 27

Általános védelmi eljárások Szegmens tartomány ellenőrzés ( Base address, Limits) Szegmens típus ellenőrzés (read, write, executable, stb.). Továbbá végrehajtható segmens nem írható, és olvasni is csak akkor lehet, ha az engedélyezve van. Szegmensregiszterek használata: CS végrehajtható, SS írható szegmensre hivatkozhat. DS, ES, FS, GS -be nem olvasható végrehajtható vagy rendszer szegmens nem tölthető. Utasítás szintű rendelkezések. Például call és jmp csak kód szegmensre, call gate, task gate, vagy TSS-re történhet. Privilegizált utasítások, stb. CS és SS regiszterbe nem tölthető a 0 szegmens szelektor érték, a többibe igen, de ha hivatkozunk rá kivételdobás történik. Izsó Tamás Memória védelem/ 28

Védelmi eljárások különböző privilégium szintek között CPL Current Privilege Level (aktuális privilégium szint) ami a védelem alanyához tartozó címke. CPL-t a CS szegmensregiszter nem látható része tartalmazza. CPL az aktuálisan futó processzhez tartozó privilégium szint. Normál állapotban a CPL megegyezik az aktuális utasítást tartalmazó kódszegmens DPL-jével. CPL változik, ha a program olyan kódszegmensen fut tovább, amelynek más a privilégium szintje. DPL Descriptor Privilege Level a védelem tárgyának a privilégium szintje. DPL-t a szegmensleíró tábla bejegyzésének a 13, és 14-ik bitje tartalmazza. Izsó Tamás Memória védelem/ 29

Nagyobb privilégiummal futó kód kihasználása 1 Kis privilégium szinttel rendelkező U kód átad egy olyan címet rendszerhívásnál S kódnak, amelyet meg akar változtatni, de neki nincs elég privilégiuma oda írni. 2 A meghívott S nagy privilégiummal (0 érték) futó kódnak joga van a megadott címre írni, így véghezviszi U kártékony kód kérését. Hogyan védekezhetünk ez ellen? Izsó Tamás Memória védelem/ 30

RPL Request Privilege Level RPL-t az operációs rendszer állítja be. Hozzáférés engedélyezett, ha max(cpl, RPL) DPL. Tehát ha a hívónak joga volt az adott területre írni, akkor ez a nagyobb privilégiummal rendelkező kódnak is engedélyezett. Itt a Biba elv érvényesítését lehet megfigyelni. Izsó Tamás Memória védelem/ 31

RPL megadása és lineáris címszámítás mov AX, 18h mov DS, AX mov ESI, 22h mov EAX, [ ESI ] Selector 3 0 00 GDTR 0020000h xxxx Global Descriptor Table 6 5 4 3 2 1 Base 31..24 Attributes Base 0 23..0 Illusztráció! FF 00 99 FF 10 00 00 30 Limit 15..0 1 selector értéke: 18h = 0000000000011 0 00 b Index = 3, TI a GDT-t jelöli ki, RPL = 0. 2 Keressük ki az index által megadott bejegyzést a GDT-ből. 3 Bázis cím 0FFFF1000 h. 4 Mivel ESI=22, ezért a hivatkozik cím 0FFFF1000 h + 22 h = 0FFFF 1022 h Izsó Tamás Memória védelem/ 32

Privilégium ellenőrzése adat hivatkozáskor Kisebb privilégium szintű kód (CPL) nem fér hozzá nagyobb privilégium szinttel rendelkező adathoz (DPL) (Bell-LaPadula elv). Csak a DS, ES, FS, GS vagy SS regiszterek megváltoztatásánál kell erre figyelni. Ezeket a regisztereket csak a MOV, POP, LDS, LES, LFS, LGS, LSS utasításokkal lehet módosítani. Szabály: max(cpl, RPL) DPL. Izsó Tamás Memória védelem/ 33

Adathozzáférés ellenőrzésére példa I CS CPL=0 Max 3 Adat szelektor RPL=3 Hozzáférés megtagadva Adat szegmens DPL=2 Descriptor Adatszegmens hozzáférése nem megengedett Izsó Tamás Memória védelem/ 34

Adathozzáférés ellenőrzésére példa II CS CPL=0 Max 0 Adat szelektor RPL=0 Hozzáférés engedélyezett Adat szegmens DPL=2 Descriptor Adatszegmens hozzáférése engedélyezett Izsó Tamás Memória védelem/ 35

Stack hozzáférés ellenőrzésére példa I CS CPL=2 Adat szelektor RPL=3 = Hozzáférés nem engedélyezett Stack szegmens DPL=3 Descriptor Stack szegmens hozzáférése nem megengedett Izsó Tamás Memória védelem/ 36

Stack hozzáférés ellenőrzésére példa II CS CPL=3 Adat szelektor RPL=3 = Hozzáférés engedélyezett Stack szegmens DPL=3 Descriptor Stack szegmens hozzáférése engedélyezett Izsó Tamás Memória védelem/ 37

Miért nem hívunk meg kisebb privilégiummal rendelkező kódot Könnyű átmenni az alacsonyabb privilégiummal rendelkező kódba, de nehéz onnan visszatérni. Áttérés után a kód nem érheti el a saját adatait, mivel a megváltozott CPL numerikus értéke nagyobb, mind a kód DPL értéke. Valóban szükség van erre? Izsó Tamás Memória védelem/ 38

Miért nem ugorhatunk nagyobb privilégiummal rendelkező kódba Biztonsági okokból nem tehetjük meg. Valóban szükség van rá? Igen, a device drivereknél, például hogy az USB eszközt lássa a felhasználói program. Megoldás call gate-tel, amit a következő fejezetben tárgyalunk. Izsó Tamás Memória védelem/ 39

Kódszegmens váltás A privilégium ellenőrzésénél felhasznált adatok. CS regiszter CPL Kód szegmens szegmens szelektora (Ez tartalmazza a hívó kódot) RPL Cél kódszegmens szegmens leíró Privilégium ellenőrzés DPL C Izsó Tamás Memória védelem/ 40

Szegmens conform típusának a felhasználása Nem conform(nem alkalmazkodó) kódszegmenst csak akkor lehet meghívni, ha CPL = DPL. Ebben az esetben RPL-nek kisebb szerepe van, csak arra kell figyelni, hogy az értéke kisebb vagy egyenlő legyen a CPL-lel. Conform tulajdonságú kódszegmens CPL DPL feltétel mellett meghívható. Ilyenkor az RPL nem számít. A függvény meghívása után a CPL értéke nem változik, ez az egyetlen olyan eset, hogy a CPL és az utasításokat tartalmazó szegmens DPL-je nem biztos, hogy azonos értékű. Nem jön létre stack váltás. Felhasználási lehetőség például a matematikai könyvtári függvények céljára. Izsó Tamás Memória védelem/ 41

Kódszegmens hozzáférés ellenőrzésére példa I Kód szelektor RPL=0 CS CPL=2 Hozzáférés engedélyezett AND Hozzáférés engedélyezett Kód szegmens = Hozzáférés engedélyezett DPL=2 Descriptor Nem conform kódszegmens hozzáférése engedélyezett Izsó Tamás Memória védelem/ 42

Kódszegmens hozzáférés ellenőrzésére példa II Kód szelektor RPL=0 CS CPL=2 Hozzáférés engedélyezett AND Hozzáférés nem engedélyezett Kód szegmens = Hozzáférés nem engedélyezett DPL=3 Descriptor Nem conform kódszegmens hozzáférése nem engedélyezett Izsó Tamás Memória védelem/ 43

Kódszegmens hozzáférés ellenőrzésére példa III Kód szelektor RPL=3 CS CPL=2 Hozzáférés nem engedélyezett AND Hozzáférés nem engedélyezett Kód szegmens = Hozzáférés engedélyezett DPL=2 Descriptor Nem conform kódszegmens hozzáférése nem engedélyezett Izsó Tamás Memória védelem/ 44

Kódszegmens hozzáférés ellenőrzésére példa IV Kód szelektor RPL=? CS CPL=3 Hozzáférés engedélyezett Kód szegmens DPL=0 Descriptor Conform kódszegmens hozzáférése engedélyezett Izsó Tamás Memória védelem/ 45

Kódszegmens hozzáférés ellenőrzésére példa V Kód szelektor RPL=? CS CPL=0 Hozzáférés nem engedélyezett Kód szegmens DPL=3 Descriptor Conform kódszegmens hozzáférése nem engedélyezett Izsó Tamás Memória védelem/ 46

OS meghívása Nagyobb privilégiummal rendelkező kódszegmenst, egyszerű call utasítással biztonsági okokból nem hívhatunk meg. Különböző interface-k léteznek, hogy a hívások minél ellenőrzöttebben történjenek. call gate (többszegmens modell esetén, rugalmas) szoftver interrupt (többszegmens és flat modell esetén) SYSENTER/SYSEXIT (többszegmens és flat modell esetén, gyorsabb mint az interrupt) Izsó Tamás Memória védelem/ 47

Call gate A call gate leiró is a GDT vagy a LDT-ban található. Far pointer Szegmens szelektor Utasítas offset Call-Gate Leíró Kódszegmens Offszet (63:32) DPL Kódszegmens Szelektor Kódszegmens Kódszegmens Offszet (31:0) DPL Kódszegmens Limit Kódszegmens Base Kódszegmens Leíró Izsó Tamás Memória védelem/ 48

call gate leíró adatai Meghívandó kódszegmens szelektora. Szegmensen belül az eljárás belépési címe. A hívó kódtól megkövetelt DPL privilégium szint. Stack váltás esetén: átadandó paraméterek száma, stack adatának a mérete. Lehetővé teszi, hogy 32 bites alkalmazás 16 bites programot hívjon meg. 31 16 15 14 13 12 11 8 7 6 5 4 0 offset in segment 31:16 P D P L 0 TYPE 1100 0 0 0 param count 31 16 15 0 segment selector offset segment selector 15:0 Izsó Tamás Memória védelem/ 49

Call gate ellenőrzés CS regiszter CPL Call gate szelektor RPL Privilégium ellenőrzés Call gate (leíró) DPL Cél kódszegmens leíró DPL Izsó Tamás Memória védelem/ 50

Call gate hozzáférési szabályok CPL DPL GATE RPL DPL GATE CALL utasítás végrehajtása csak a DPL cél CPL szabály esetén lehetséges, Nem conform szegmensbe ugrás JMP utasítással csak akkor lehetséges, ha DPL cél = CPL. Conform szegmensbe ugrás JMP utasítással csak akkor lehetséges, ha DPL cél CPL. Miért nem megengedett a kisebb privilégiummal rendelkező függvény hívása? Azért mert akkor a visszatérésnél lennének problémák. Izsó Tamás Memória védelem/ 51

Kódszegmens hozzáférés ellenőrzésére példa I CS CPL=2 Call-Gate szelektor RPL=3 DPLG=3 Call-Gate leíró Kód szegmens leíró DPLS=0 Hozzáférés engedélyezett Kód szegmens Kódszegmens hívás Call-Gate-n keresztül, hozzáférése engedélyezett Izsó Tamás Memória védelem/ 52

Kódszegmens hozzáférés ellenőrzésére példa II CS CPL=2 Call-Gate szelektor RPL=3 DPLG=0 Call-Gate leíró Kód szegmens leíró DPLS=3 Hozzáférés nem engedélyezett Kód szegmens Kódszegmens hívás Call-Gate-n keresztül, hozzáférése nem engedélyezett Izsó Tamás Memória védelem/ 53

Stack gyengeség kiküszöbölése A támadó kihasználhatná, ha a nagyobb privilégium szinttel futó kód a kisebb privilegizált szinttel rendelkező taszk stack-jét használná. (Ott maradt adatok kilesése, szándékos stack overflow-val vagy underflow-val való trükközés.) Stack switch Privilégium szint váltás esetén a processzor stack-et is vált! 0, 1, 2 privilegizált szintekhez a rendszer task-state-segmens (TSS) területén vannak tárolva az egyes gyűrűkhöz tartozó stack-ek (SS, ESP) címei. Stack váltás lépései: 1 Régi stack (SS és ESP) értékének az elmentése. 2 DPL alapján a megfelelő SS, ESP értékek betöltése (stack váltás). 3 Stackre letett paraméterek átmásolása. Call-Gate leíró 5 bitje tartalmazza a stack-re letett adatok méretét. 4 Visszatérési cím elmentése. Izsó Tamás Memória védelem/ 54

Protected IT rutin hívás Interrupt Leíró Tábla Interrupt vektor # CS Szelektor DPL Kódszegmens Offszet + 8 IDT bázis címt IDT határ Interrupt Táblára mutató regiszter Globális vagy Lokális Leíró Tábla Kódszegmens CS Limit DPL Kódszegmens Base + IT rutin Kódszegmens Virtuális memória Iterrupt vektor gate leírása Az interrupt vektor hívás a Call-Gate hívással hasonlatos módon történik. Izsó Tamás Memória védelem/ 55

Protected IT rutin hívás ellenőrzése CS CPL=2 Interrupt Vektor Hozzáférés engedélyezett DPL=3 Gate Descriptor DPL=0 AND Hozzáférés engedélyezett Hozzáférés engedélyezett Interrupt handler Code Descriptor Iterrupt vektor privilégium ellenőrzés Az interrupt hívás engedélyezett. Izsó Tamás Memória védelem/ 56

Protected IT rutin hívás ellenőrzése CS CPL=2 Interrupt Vektor Hozzáférés nem engedélyezett DPL=0 Gate Descriptor DPL=3 AND Hozzáférés nem engedélyezett Hozzáférés nem engedélyezett Interrupt handler Code Descriptor Iterrupt vektor privilégium ellenőrzés Az interrupt hívás nem engedélyezett. Izsó Tamás Memória védelem/ 57

Operációs rendszer szolgáltatásának a hívása A Pentium II processzorokban jelent meg az sysenter és sysexit utasítások. Régebbi X86 rendszerekben, illetve az operációs rendszerekben amíg át nem tértek az újabb gyorsabb utasításra, interruptot használtak. Linux az int 0x80, Windows int 0x2e interruptot használta erre a célra. mov eax, 5 ; Op. rendszer f v lea edx, [ esp+0x8 ] ; Paraméter i n t 2e Izsó Tamás Memória védelem/ 58

Operációs rendszer szolgáltatásának a hívása A sysenter és sysexit utasítások végrehajtásának az ideje azonos az egyszerű call és ret utasításokkal. A rendszer 3 modell specifikus regiszterben beállítja a : SYSENTER cél CS - hívott eljárás kódszegmense. SYSENTER cél ESP - hívott eljárás stack kerete. SYSENTER cél EIP - hívott eljárás címe. mov eax, 0x1234 mov edx, address of n t d l l! KiFastSystemCall c a l l edx r e t n 8... n t d l l! KiFastSystemCall : mov edx, esp sysenter r e t n Izsó Tamás Memória védelem/ 59

Lapszintű hozzáférési szabályok A 4 privilegium szint a következőképpen képződik le a lap U/S bitjére: DPL = 0,1,2 érték supervisor mód. DPL = 3 felhasználó mód Típus védelem lap esetén csak írásra/olvasásra terjed ki. PAE és 64 bites lapozásnál végrehajtás letíltás (execute disable NX) is lehetséges. Csak olvasás van megengedve, ha R/W = 0 Írás és olvasás is engedélyezett, ha R/W = 1 Inicializálás miatt a supervisor minden lapot írhat és olvashat, de csak akkor, ha a CR0 regiszter WP bitje 0. Különben neki is be kell tartani a játékszabályokat. Supervisor módú lapokat a user módú program sem írni sem olvasni nem tudja. Page Directory Table, és Page Table esetén az R/W és a U/S bitek használata azonos a fent leírtakkal. Izsó Tamás Memória védelem/ 60

ARM Memory Protection Unit 8 vagy 16 zóna, hasonló feladatot lát el mint a 80x86 szegmense, de előnye, hogy nem vesz részt a címszámításban. tartomány ellenőrzés (kezdőcím és méret) védelmi szintek megkülönböztetése írás, olvasás, futtatás engedélyezése, letíltása cache vezérlés a zóna átlapolódhat, ilyenkor a nagyobb prioritás lesz mérvadó. A prioritás merőleges a védelmi szintre. Izsó Tamás Memória védelem/ 61

ARM Memory Protection Unit Task 3 Task 3 Task 3 Region 3 Task 2 Task 2 Region 3 Task 2 Task 1 Region 3 Task 1 Task 1 Region 0 Region 0 Region 0 Task 1 running Task 2 running Task 3 running (User access) (Privileged access) Izsó Tamás Memória védelem/ 62

ARM Memory Management Unit része az MPU; a lapleíró bejegyzésben szerepelnek hozzáférést szabályozó információk, hasonlóan mint ahogy az X86 processzornál láttuk. Izsó Tamás Memória védelem/ 63

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés