Mensajes

.

Por aquí, algo de info adicional:
https://foro.elhacker.net/programacion_visual_basic/simulador_segmentacion_paginada-t486073.0.html;msg2168899;topicseen#msg2168899

Cito:

Sea el caso del procesador 8086, el bus de datos es de 16bits, en tanto que el bus de direcciones es de 20bits.

Pero los 4 bits adicionales siguen siendo los supuestos por el procesador al multiplicar por 0x10, ¿no?

Entonces es una convencion historica... lo supuse, en realidad me parecia poco eficiente considerando otras posibilidades.
Me atrevo a afirmar que el ser humano sacrifica su propio rendimiento por comodidad. Nuestra voluntad en contra de ella misma.

Y si me permites otra pregunta, toma en cuenta las siguentes direcciones:

1234h:0004h y
1233h:0014h

Calculando las direcciones:

12340h+04h=12344h y
12330h+14h=12344h

Segun Wikipedia:

Una de las implementaciones más obvias y directas de un espacio de memoria segmentado es asignar un segmento distinto a cada una de las secciones del espacio en memoria de un proceso.

Imagina que el sistema operativo carga los datos de un proceso A en el segmento 1233h y lo marca como pertenenciente al proceso A.
Luego, el segmento inmediatamente siguiente es 1234h, e imaginemos que aqui se cargan los datos de un proceso B.

Si el proceso A accede a sus datos, ¿no estaria accediendo a los datos del proceso B tambien?

Tiene que haber una manera de resolver esto, sin embargo no se me ocurre mas nada aparte del problema.

Gracias por responder.

Hola,

Segun Wikipedia:

Desde este punto de vista, un programa es un conjunto de componentes lógicos de tamaño variable o un conjunto de segmentos, es decir, el espacio lógico de direcciones se considera como un conjunto de segmentos, cada uno definido por un identificador, y consistente de un punto de inicio y el tamaño asignado.

Entiendo que el modelo de memoria segmentado puede ser mas intuitivo que un modelo totalmente lineal... sin embargo, ¿me estoy perdiendo de algo? porque precisamente intuyo que no solamente se debe a la simplicidad de utilzar segmentos sino a variedad de mas necesidades tecnicas. Sin embargo no se me ocurre ninguna. ¿alguien las conoce?

y otra cosa... si es por el margen mayor de acceso a la memoria, ¿por que no usar combinatoria en vez de segmentacion? es decir, en vez de (por ejemplo):

12ABh:34CDh referenciar a 12AB*10+34CD=15F7D

algo asi:

12ABh:34CDh referenciar a *calculos tediosos de combinatoria*=12AB34CD

tendriamos los mismos recursos y un rango mayor de acceso a la memoria.

Saludos.

<save the registers used in the ISR>

Que yo sepa el hook antes de la instruccion cli llama al ISR que estaba originalmente en 09h y al servicio 01h del ISR de la interrupcion 16h

Si, precisamente, solo me intrigaba como estabas adivinando tantas cosas, ya vi a que te refieres con que tienes el libro en papel. Estaba pensando que hacias un juego de palabras que no estaba entendiendo.

The Rootkit Arsenal Escape and Evasion in the Dark Corners of the System de Bill Blunden (2009), HookTSR es un ejemplo que viene en el segundo capitulo (no se quien habra copiado a quien ya que no diste la fuente de tu fragmento).

Buen chiste.
Bill Blunden y Matt Pietrek desnudaron a Microsoft...
https://books.google.es/books/about/Undocumented_Windows.html?id=HLhbcgAACAAJ&redir_esc=y

Para poder llamar al ISR hace falta poner EFLAGS en la pila ya que igual que el hook de ISR debe terminar con IRET y esa instruccion asume que EFLAGS fue empujado en la pila. Por cierto hace falta ejecutar CLI en el hook justamente por haber llamado a los otros ISRs que ejecutaron STI, el hook es llamado con las interrupciones ya deshabilitadas como se explica en el enlace de arriba (15.1    Interrupt Processing in the Real Mode).

Si si... esto lo sabia, solo no habia aprendido a distinguir un sector critico.

Gracias por tu ayuda.

Hola,

Estaba jugando con MS-DOS 6.22 y me puse a seguir la cadena de MCB's con DEBUG y me perdi en uno el cual no entendia para nada. Ejecute MEM /D y resulta esto:


Se puede ver que existen dos MCB's para un mismo modulo; uno Program y uno Envirnonment, los cuales residen en los parrafos 195FH y 196BH respectivamente (hablo del modulo program, el de 8 208 bytes, disculpen la ambiguedad).

Mi pregunta es:
¿que es el MCB Environment?
Supongo que aqui ha de estar el segmento DS o SS del programa... pero es una suposicion demasiado a priori y me gustaria saber la respuesta precisa.

Gracias de antemano.
Saludos.


Edito:
Estaba prestandole un poco mas de atencion y creo que, o tengo la respuesta, o descubri una nueva duda:



El numero de segmento del PSP del MCB Environment de COMMAND.COM es distinto al numero de segmento del MCB Program. Y esto me hace preguntarme por que, si es el mismo pograma.

Ademas de todo esto, ¿alguien sabe si este valor es el que se utiliza para definir el PID del proceso?Ademas de todo esto, ¿alguien sabe si este valor es el que se utiliza para definir el PID del proceso?


Edito de nuevo:
Encontre la respuesta a mi primera pregunta:
https://en.wikipedia.org/wiki/Environment_variable

Sin embargo sigo preguntandome esto:

El numero de segmento del PSP del MCB Environment de COMMAND.COM es distinto al numero de segmento del MCB Program. Y esto me hace preguntarme por que, si es el mismo pograma.

Ademas de todo esto, ¿alguien sabe si este valor es el que se utiliza para definir el PID del proceso?

de que manera se puede ocultar una ip en una backdoor

La unica manera es utilizar un rootkit compatible con el sistema que utilices, y modificar el backdoor para que lo instale adecuadamente.

¿Que manera mas sencilla que cli/sti propones?

Antes del ejemplo que muestras en seguida se me ocurria salvar todos los registros en la rutina del ISR para que asi, al terminar, los registros continuasen con su valor original (en la cadena de "valores originales") tal como el sistema operativo salva un PCB antes de entrar en otro proceso. Sin ambargo entiendo ahora por que se desactivan las interrupciones en ese fragmento:

Código (asm) [Seleccionar] Expandir


CLI
PUSH DS
PUSH CS
POP DS
JZ _noChar
LEA BX, _buffer
PUSH SI
MOV SI, WORD PTR [_index]
MOV BYTE PTR [BX+SI], AL
INC SI
MOV WORD PTR [_index], SI
;////////////////esta es la region critica
POP SI
MOV BX, WORD PTR [_index]
CMP BX, 32H
JB _noOverlapping
MOV AX, 0
MOV WORD PTR [_index], AX
_noOverlapping:
_noChar:
;en seguida se recupera el registro DS

Si ocurre una reentrada en ese punto, la direccion de memoria a la que hace referencia _index podria ser incrementada dos veces si se presiona una tecla en ese preciso momento.
Y viendo el codigo dos veces estoy viendo mas de una sección critica. Ahora si tiene sentido.
Aunque sigo con una pregunta:
¿deben todos los ISR salvar el valor de los registros que utiliza? Porque no se por que siento que en algun momento un ISR no me va a funcionar porque alguna llamada a un servicio de interrupcion va a modificar un registro que estoy a punto de utilizar. Llamame paranoico... lo soy. Solo me pregunto si como norma general los ISR deben hacer eso. De hecho tambien seria curiosidad por el funcionamiento (ademas de paranoia).

Mas informacion y ejemplo practico: http://www.plantation-productions.com/Webster/www.artofasm.com/DOS/ch17/CH17-4.html#HEADING4-139

Este link lo voy a guardar. Estaba buscando algo asi desde hace rato. Muchas gracias por citarlo.

En el fragmento que dejaste no se guarda EFLAGS, pero bueno entiendo que yo tengo ese libro en papel, en realidad se empuja EFLAGS en la pila para simular el estado de llamada a una interrupcion, sino se joderia la pila cuando el codigo original de la interrupcion (o el de la int 16h) se terminara con IRET.

Esto lo lei varias veces pero no logro entender precisamente a lo que te refieres.
No se guarda EFLAGS pero eso es implicito en una llamada a una interrupcion, ¿no?.

yo tengo ese libro en papel

¿Cual libro?

se empuja EFLAGS en la pila para simular el estado de llamada a una interrupcion, sino se joderia la pila cuando el codigo original de la interrupcion (o el de la int 16h) se terminara con IRET.

Esta bien... te refieres con simular a mantener la integridad de la entrada inmediatamente anterior de la cadena de ejecucion de las interrupciones (en la pila), ¿no?.

Gracias por la ayuda y el enlace.
Saludos.

Y es que no tiene absolutamente nada que ver con lo que yo dije, tenemos la suerte de que la plataforma en la que trabajamos haya avanzado lo suficiente como para no tener que preocuparnos por estos temas arcaicos en la vida real de un programador.

No quiero ser insistente... pero era una broma, un guiño.
Hablando seriamente, creo que hasta ahora los avances que han hecho mas de la comodidad para con un programador han sido los modelos modernos de administracion de memoria y el modo protegido en los procesadores.

¿Cual seria el riesgo exactamente? ¿Tener que lidiar con codigo de los años 80s/90s?

No. Me refiero a la versatilidad del codigo maquina; las posibilidades del exito con la suerte se llevan al minimo.
Me mal interpretaste. 
Saludos.

Hola,

Entiendo bien lo que hace esta instruccion: desactiva las interupciones enmascarables. Y se que existen variedad de ejemplos acerca de su filosofia, sin embargo no me queda clara su necesidad real; creo que muchas soluciones podrian implementarse mas facilmente sin ello.

Un ejemplo concreto: estaba revisando un codigo en el que se utiliza:

Código (asm) [Seleccionar] Expandir


CLI
PUSH DS
PUSH CS
POP DS
JZ _noChar
LEA BX, _buffer
PUSH SI
MOV SI, WORD PTR [_index]
MOV BYTE PTR [BX+SI], AL
INC SI
MOV WORD PTR [_index], SI
POP SI
MOV BX, WORD PTR [_index]
CMP BX, 32H
JB _noOverlapping
MOV AX, 0
MOV WORD PTR [_index], AX
_noOverlapping:
_noChar:
;en seguida se recupera el registro DS

Este es el fragmento de un hook a una rutina de interrupcion que guarda en un buffer indexado el contenido de AL cada vez que es ejecutada.
Sin embargo no entiendo, por ejemplo, en este caso, cual es la necesidad de ello.

Tengo las siguientes suposiciones:
¿es porque el contenido de los registros se pierde? ¿entonces por que no ademas de guardar el regustro EFLAGS en la pila no tambien el contenido de los registros?
¿es por velocidad de ejecucion? Me parece un prejuicio aceptable.

En verdad solo me pregunto si alguien conoce bien la necesidad de tal cosa y tiene la amabilidad de compartirlo conmigo.

Gracias por su tiempo. Saludos.


Por cierto... El buffer tiene un tamano de 32 unidades hexadecimales, por tanto el

Código (asm) [Seleccionar] Expandir


MOV BX, WORD PTR [_index]
CMP BX, 32H
JB _noOverlapping


No subestimo la intuicion, lo digo solo por si acaso.