Commentaires sur : Problèmes liés aux interruptions http://www.segmentationfault.fr/securite-informatique/problemes-lies-aux-interruptions/ Projets d’un consultant en sécurité informatique Sat, 22 Aug 2015 12:46:18 +0000 hourly 1 http://wordpress.org/?v=3.4.2 Par : sloshy http://www.segmentationfault.fr/securite-informatique/problemes-lies-aux-interruptions/comment-page-1/#comment-249 sloshy Thu, 23 Apr 2009 13:06:21 +0000 http://www.segmentationfault.fr/?p=609#comment-249 Hello, Merci pour les explications, c'est deja un peu plus claire pour moi ... je penserai au manuel intel juste âpres la bloc de juin. Hello,
Merci pour les explications, c’est deja un peu plus claire pour moi … je penserai au manuel intel juste âpres la bloc de juin.

]]> Par : Emilien Girault http://www.segmentationfault.fr/securite-informatique/problemes-lies-aux-interruptions/comment-page-1/#comment-248 Emilien Girault Thu, 23 Apr 2009 06:25:32 +0000 http://www.segmentationfault.fr/?p=609#comment-248 Salut, En effet le principe d'un hook est bien de détourner une interruption en exécutant du code à la place ou avant d'appeler la routine (<em>handler</em>) de l'OS. En ce qui concerne le masquage des interruptions, j'ai envie de dire "ça dépend". Dans certains cas, elles sont masquées automatiquement par le processeur lorsque la routine d'interruption (celle que tu as écrite) est appelée. Cela dépend en fait du descripteur que tu place dans l'IDT. Un descripteur contient non seulement le segment et l'adresse de ta routine, mais aussi des flags décrivant comment gérer l'IF. Il y a trois grands types de descripteurs : les portes d'interruption (<em>interrupt gates</em>), les portes de trappe (<em>trap gates</em>), et les portes de tâche <em>task gates</em>. Ceux-ci sont décrits au chapitre 5.11 du <a href="http://download.intel.com/design/processor/manuals/253668.pdf" rel="nofollow">manuel 3A d'Intel</a>. Ces trois types de descripteurs définissent comment le masquage des interruptions doit être traité lors de l'appel à la routine. Sous Windows, l'interruption 14 correspondant au défaut de page possède un descripteur de type porte d'interruption, ce qui signifie que les interruptions sont masquées automatiquement quand la routine de traitement du défaut de page est appelée. Sinon, dans le cas ou les interruptions ne sont pas marquées automatiquement, il est toujours possible de les masquer temporairement à la main avec cli et sti. Cela peut se faire avant l'appel à la routine de l'OS. Mais dans tous les cas, il faut bien veiller à restaurer la valeur du flag d'interruption (IF). Ce que je préconise est de faire un pushf au début ainsi qu'un popf à la fin de la routine (avant d'appeler celle de l'OS) pour être sûr de tout restaurer. Salut,
En effet le principe d’un hook est bien de détourner une interruption en exécutant du code à la place ou avant d’appeler la routine (handler) de l’OS.
En ce qui concerne le masquage des interruptions, j’ai envie de dire « ça dépend ». Dans certains cas, elles sont masquées automatiquement par le processeur lorsque la routine d’interruption (celle que tu as écrite) est appelée. Cela dépend en fait du descripteur que tu place dans l’IDT. Un descripteur contient non seulement le segment et l’adresse de ta routine, mais aussi des flags décrivant comment gérer l’IF. Il y a trois grands types de descripteurs : les portes d’interruption (interrupt gates), les portes de trappe (trap gates), et les portes de tâche task gates. Ceux-ci sont décrits au chapitre 5.11 du manuel 3A d’Intel. Ces trois types de descripteurs définissent comment le masquage des interruptions doit être traité lors de l’appel à la routine. Sous Windows, l’interruption 14 correspondant au défaut de page possède un descripteur de type porte d’interruption, ce qui signifie que les interruptions sont masquées automatiquement quand la routine de traitement du défaut de page est appelée.
Sinon, dans le cas ou les interruptions ne sont pas marquées automatiquement, il est toujours possible de les masquer temporairement à la main avec cli et sti. Cela peut se faire avant l’appel à la routine de l’OS. Mais dans tous les cas, il faut bien veiller à restaurer la valeur du flag d’interruption (IF). Ce que je préconise est de faire un pushf au début ainsi qu’un popf à la fin de la routine (avant d’appeler celle de l’OS) pour être sûr de tout restaurer.

]]> Par : sloshy http://www.segmentationfault.fr/securite-informatique/problemes-lies-aux-interruptions/comment-page-1/#comment-247 sloshy Wed, 22 Apr 2009 23:16:54 +0000 http://www.segmentationfault.fr/?p=609#comment-247 Hello, J'avoue ne pas avoir toutes les connaissances requises pour bien tout comprendre mais soit le sujet me passionne et depuis un moment deja, donc voici ma question: tu hooks une interruption, cela sous entend que lorsque l'interruption est declanchee, tu fais un "crocher" par une routine que tu a écrite avant éventuellement exécuter la routine qui était censée s'executer de base, j'ai bon? Du coup j'aimerai savoir quand le masquage des interruptions s'effectue? De mon point de vue, si le masquage des interruptions doit se faire, c'est par la routine de l'OS que tu hook justement (et donc tu passes avant elles). bref, merci de repondre a cette question si le coeur t'en dit. Hello,
J’avoue ne pas avoir toutes les connaissances requises pour bien tout comprendre mais soit le sujet me passionne et depuis un moment deja, donc voici ma question:

tu hooks une interruption, cela sous entend que lorsque l’interruption est declanchee, tu fais un « crocher » par une routine que tu a écrite avant éventuellement exécuter la routine qui était censée s’executer de base, j’ai bon?

Du coup j’aimerai savoir quand le masquage des interruptions s’effectue?
De mon point de vue, si le masquage des interruptions doit se faire, c’est par la routine de l’OS que tu hook justement (et donc tu passes avant elles).

bref, merci de repondre a cette question si le coeur t’en dit.

]]>