在阅读intel x86手册和其他资源时,我不了解DPL(描述符特权级别)和RPL(请求特权级别)之间的区别。
为什么必须同时拥有两者?
非常感谢
最佳答案
好问题。
CPL与DPL与RPL
为了简化此过程,我们首先考虑一下CPL和DPL:
CPL是您当前的特权级别。
DPL是网段的特权级别。它定义了访问该段所需的minimum1特权级别。
特权级别范围为0-3;人数越少特权越大
因此:要访问细分受众群,CPL必须小于或等于细分受众群的DPL
RPL是与段选择器关联的特权级别。段选择器只是引用段的16位值。每个内存访问(隐式2或其他方式)都将段选择器用作访问的一部分。
访问段时,实际上必须执行两项检查。只有同时满足以下两个条件,才允许访问该段:
CPL RPL
因此,即使CPL拥有足够的特权来访问段,但是如果引用该段的段选择器没有足够的特权,访问仍将被拒绝。
RPL背后的动机
目的是什么?好吧,现在的推理有点过时了,但是英特尔文档提供了一种类似这样的情况:
假设操作系统提供了一个系统调用,该调用接受来自调用者的逻辑地址(段选择器+偏移量)并写入该地址
普通应用程序的CPL为3;系统调用以CPL为0运行
假设某个细分受众群(我们称其为X)的DPL为0
通常,应用程序将无法访问段X中的内存(因为CPL> DPL)。但是根据系统调用的实现方式,应用程序可能能够使用段X中地址的参数来调用系统调用。然后,由于系统调用具有特权,因此它可以代表段X进行写入。的应用程序。这可能会将privilege escalation vulnerability引入操作系统。
为了减轻这种情况,官方建议是,当特权例程接受非特权代码提供的段选择器时,应首先将该段选择器的RPL设置为与非特权代码3的RPL相匹配。这样,操作系统将无法对非特权调用者将无法进行的对该段的访问。这有助于加强操作系统和应用程序之间的界限。
那时和现在
在x86系列处理器中存在分页之前,段保护是在286中引入的。那时,分段是限制从用户模式上下文访问内核内存的唯一方法。 RPL提供了一种在不同权限级别之间传递指针时实施此限制的便捷方法。
现代操作系统使用分页来限制对内存的访问,从而无需分段。由于不需要分段,因此可以使用flat memory model,这意味着分段寄存器CS,DS,SS和ES都以0为底,并扩展到整个地址空间。实际上,在64位“长模式”下,无论这四个段寄存器的内容如何,都将实施平面存储模型。有时仍会使用段(例如,Windows使用FS和GS指向Thread Information Block,而0x23和0x33指向switch between 32- and 64-bit code,而Linux则与此类似),但是您只是不要在周围传递段不再。因此,RPL大多是旧时未使用的剩余物。
RPL:有必要吗?
您问为什么同时拥有DPL和RPL是必要的。即使在286的情况下,实际上也没有必要拥有RPL。考虑到以上情况,特权过程始终可以仅通过LAR指令检索提供的段的DPL,将其与调用方的特权进行比较,如果调用方的特权不足以访问该段,则抢先纾困。但是,我认为,设置RPL是一种管理不同特权级别的段访问的更优雅,更简单的方法。
要了解有关特权级别的更多信息,请查看Intel's software developer manuals的第3卷,尤其是标题为“特权级别”和“检查呼叫者访问特权”的部分。
1从技术上讲,DPL可能具有不同的含义,具体取决于要访问的段或门的类型。为了简单起见,我描述的所有内容都专门适用于数据段。查看英特尔文档以获取更多信息
2例如,在获取指令时,指令指针隐式使用存储在CS中的段选择器。大多数类型的数据访问都隐式使用存储在DS等中的细分选择器。
3请参阅ARPL指令(仅16位/ 32位保护模式)