使用JMP指令不恒定的TSS段

Question

JMP instruction referece.

根据该文件，我们可以执行jmp一个常数远段：

jmp 0x18:00 

这里，0x18是一个有效的段选择GDT，全局描述符表。

jmp可以与包含有效GDT条目的段寄存器被使用，这是一个代码/数据段描述符：

mov es, 0x18 
jmp es:0x0 

这里，0x18是TSS（任务状态段）描述符跳跃时到CPU，CPU执行任务切换，该切换将其状态自动保存到当前TSS中，然后填充保存在新TSS中的状态。但是，TSS是一个系统段描述符，因此无法加载到任何段寄存器中（正如Intel文档所建议的那样）。那么如何在运行时使用动态分配的TSS跳转到任务？

我能想到的唯一方法是使用iret指令，但我觉得它就像一个黑客，因为我需要修改链接字段，然后在EFLAGS中设置NT位以执行反向链接任务切换。

Answer 1

不仅不能加载ES与TSS选择，指令jmp es:0x0也无效。没有将段寄存器移动到另一个段寄存器的指令（例如ES到CS）。也没有指令会从通用寄存器中加载CS。正如玛格丽特布鲁姆的答案所示，您需要使用带有内存操作数的JMP指令加载CS，特别是需要将远指针作为内存操作数的指令，以便获得设置CS的远程跳转指令。

就实现这一点而言，将这个远的指针放在任务结构中，放置任务的TSS和其他任务特定信息的结构是有意义的。例如，要切换任务，你可以使用这样的代码：

struct task { 
    struct { 
     unsigned offset; 
     unsigned short selector; 
    } far_jmp_ptr; 
    struct tss tss; 
    // ... 
}; 

void 
switch_tasks(struct task *new_task) { 
    asm("jmp FAR PTR %0" : : "m" (new_task->far_jmp_ptr)); 
} 

代码假设一个“任务结构”与包含任务分配的TSS选择一个远指针（偏移部分被忽略）。

从技术上讲，您也可以通过使用LTR指令和JMP指令来跳转到任务。这会在不执行任务切换的情况下更改任务，因此不会影响任何寄存器（TR，CS：EIP以及您明确更改的任何其他寄存器）。例如：

mov esi, [new_task] 
ltr [esi + TASK_FAR_JMP_PTR + 4] 
jmp [esi + TASK_TSS + TSS_EIP] 

这只会是实际的，如果新的任务是在0环运行，无论是刚刚开始还是在已知点的地方并不需要它的寄存器中恢复已停止。特别是你可能会开始一个初始的内核任务（或者在单个TSS操作系统中唯一的任务。）

请注意，大多数操作系统仅对所有任务使用一个TSS，因此不要使用CPU提供的任务切换机制。对于64位操作系统，这是必需的，因为长时间模式不支持任务切换。

Answer 2

push WORD <TSS_selector> 
push DWORD 0 
jmp FAR [esp] 

假设32位代码和一个可用的堆栈。
这将使栈不平衡和未对齐的调用线程，您可能需要使用专用的存储位置：

mov WORD [tss_pointer + 4], <TSS_selector> 
jmp FAR [tss_pointer] 

tss_pointer dd 0, dw 0 

Answer 3

这里提出的答案是正确的，但是缺少一个部分：所提出的语法不会产生长时间跳跃。我的建议是Margaret Bloom ，但它没有奏效。我的代码一定有问题，因为我知道她给了我正确的答案，因为其他人也提出了同样的问题。综观GDB，当我应用上述的语法：

0x30a9 <task1_start+1> mov ebp,esp 
0x30ab <task1_start+3> pushw 0xa0 
0x30af <task1_start+7> push 0x0 
0x30b1 <task1_start+9> jmp DWORD PTR [esp+0xff06] 

显然：

asm("pushw 0xa0"); 
asm("pushd 0x0"); 
asm("jmp far [esp]"); 

（以上语法内联组件，GCC样式）

看着GDB，jmp far作为生成，[esp + 0xff06]对我来说不是很远。这是一个接近跳跃，从esp偏移。更明显地，从objdump输出：

000030a8 <task1_start>: 
    30a8:  55      push %ebp 
    30a9:  89 e5     mov %esp,%ebp 
    30ab:  66 68 a0 00    pushw $0xa0 
    30af:  6a 00     push $0x0 
    30b1:  ff a4 24 06 ff 00 00 jmp *0xff06(%esp) 
    30b8:  90      nop 
    30b9:  5d      pop %ebp 
    30ba:  c3      ret 

通知操作码在0x30ab，对应于jmp指令。纵观英特尔手册中，操作码的近跳转：

• 0xff代表jmp指令。
• 0xa4是[--][--] + disp32有效地址为esp的ModR/M字节。这意味着，需要一个SiB字节，这是偏移量。 （参考：表2-2使用ModR/M字节的32位寻址格式）
• 0x24是SiB字节代表ESP，但没有任何缩放（值为none），实际上保持不变。 （参考：表2-3。带有SIB字节的32位寻址表单）。

上述生成jmp对应于FF /4操作码（参考：jmp instruction），这意味着一个近跳，由于所产生的MODR/M字节是0xa4。远跳的正确操作码是FF /5。

显然，我必须为汇编程序产生一个跳远。所以，事实证明，它很容易使用，而不是像这样jmp far语法ljmp指令来解决：

ljmp [esp] 

在那之后，我们得到了正确生成代码：

00003088 <task1_start>: 
    3088:  55      push %ebp 
    3089:  89 e5     mov %esp,%ebp 
    308b:  66 68 a0 00    pushw $0xa0 
    308f:  6a 00     push $0x0 
    3091:  ff 2c 24    ljmp *(%esp) 
    3094:  90      nop 
    3095:  5d      pop %ebp 
    3096:  c3      ret 

在上面，ljmp是生成：

• 0xff是jmp的操作码，相同。 ljmp只是GAS（GNU汇编程序）用来生成FF /5操作码的特定语法。
• 0x2c是[--][--]（无位移）的ModR/M字节，但位于表2-2中的列5。这意味着，这个操作码真的是FF /5。
• 0x24是近乎跳跃相同，这意味着没有缩放。

这是由GDB看到的实际代码：

0x308b <task1_start+3> pushw 0xa0   
0x308f <task1_start+7> push 0x0    
0x3091 <task1_start+9> jmp FWORD PTR [esp] 

现在，FWORD是新的东西，但至少现在不加随机位移。实际上，该任务正确切换到0xa0。

感谢您的建议，每个人。没有它，我可能从来没有调查过。