灰狐 [iCoodle]

版权声明：转载时请以超链接形式标明文章原始出处和作者信息及本声明
http://nokyo.blogbus.com/logs/36616151.html

今天一直睡到10：30才起床，真够懒的。

精神状态萎靡啊，学不进去新东西，就把毕业设计复习了一下，看还有哪些地方需要完善修补的。

首先看了下自我保护模块的代码，因为这一块是用驱动写的，万一有问题把老师的电脑整的BSOD了我肯定会死的很惨，哈哈。

整体看来还没有什么需要修改的，只简单修改了部分注释。忽然看到在HOOK SSDT前修改cr0寄存器的代码，想到另外一种方法是通过修改MDL的方式已经基本理解了，但这一种方法还不是特别熟悉，怕到答辩的时候被问起，就复习一下。

为了安全起见，Windows XP及其以后的系统将一些重要的内存页设置为只读属性，这样就算有权力访问该表也不能随意对其修改，例如SSDT、IDT等。但这种方法很容易被绕过，我们只要将这些部分修改为可写属性就可以了，不过当我们的事情做完后记得把它们恢复为只读属性，不然会造成一些很难预料到的后果。

cr0是系统内的控制寄存器之一。控制寄存器是一些特殊的寄存器，它们可以控制CPU的一些重要特性。

控制寄存器最初出现于低级的286处理器中，以前称之为机器状态字（machine status word），在386以后它们被重命名为控制寄存器（control register）。cr0寄存器直到486的处理器版本才被加入了“写保护”（Write Protect，WP）位，WP位控制是否允许处理器向标记为只读属性的内存页写入数据，如果我们将WP位设置为0，就可以禁用写保护的功能。

cr0的第16位是WP位，只要将这一位置0就可以禁用写保护，置1则可将其恢复。

禁用和启用写保护的内联汇编代码如下所示：
// 关闭写保护
__asm
{
    cli ;
    mov eax, cr0
    and  eax, ~0x10000
    mov cr0, eax
}

// 恢复写保护
__asm
{
    mov  eax, cr0
    or     eax, 0x10000
    mov  cr0, eax
    sti ;
}

需要注意的是，这里的cli和sti都是特权指令，必须在ring0才能使用的。

除了cr0之外，还有4个控制寄存器。cr1未被使用（或者被偷偷使用了，但没有在文档中说明），cr2在处理器处于保护模式时存储上一个导致页故障的地址，cr3存储页目录的地址，cr4在Pentium系列（包括486的后期版本）处理器中才实现，它处理的事务包括诸如何时启用虚拟8086模式等。