KGDT_TSS
0x0028
位于用户和内核的任务状态段
KGDT_R0_PCR
0x0030
内核模式的 FS 寄存器(处理器控制区域)
KGDT_R3_TEB
0x0038
用户模式的 FS 寄存器(线程环境块)
KGDT_VDM_TILE
0x0040
基地址 0x00000400 ,限制 0x0000FFFF ( Dos 虚拟机)
KGDT_LDT
0x0048
本地描述符表
KGDT_DF_TSS
0x0050
Ntoskrnl.exe 变量 KiDoubleFaultTSS
KGDT_NMI_TSS
0x0058
Ntoskrnl.exe 变量 KiNMITSS
示列 4-14 中的选择子( selector )没有在 表 4-6 中列出,其中的某些选择子可以通过查找熟悉的基地址或其内存内容来确认它们 。使用内核调试器可查找其中某些选择子的基地址对应的符号 。表 4-7 给出了我已经确认的选择子 。
W2k_mem.exe 的i 选项可转储 IDT 中的门描述符( Gate Descriptor ) 。示列 4-15 给出了 IDT 的门描述符的部分内容, Intel 仅定义了 IDT 中的前 20 个门描述符( Intel 1999c, pp. 5-6 ) 。IDT 中的中断 0x14 到 0x1F 由 Intel 保留;剩余的 0x20 到 0xFF 由操作系统使用 。
在 表 4-8 中,我给出了所有可确认的特殊的中断、陷阱和任务门 。大多数用户自定义的中断都指向哑元例程 ---KiUnexpectedinterruptnNNN() ,在前面我们已经解释过它 。对于某些中断处理例程的地址,内核调试器也无法解析其地址对应的符号 。
表 4-7. 更多的 GDT 选择子( selector )
值
基地址
描 述
0x0078
0x80400000
Ntoskrnl.exe 的代码段
0x0080
0x80400000
Ntoskrnl.exe 的数据段
0x00A0
0x814985A8
TSS ( EIP 成员指向 HalpMcaExceptionHandlerWrapper )
0x00E0
0xF0430000
ROM BIOS 代码段
0x00F0
0x8042DCE8
Ntoskrnl.exe 函数 KiI386CallAbios
0x0100
0xF0440000
ROM BIOS 数据段
0x0108
0xF0440000
ROM BIOS 数据段
0x0110
0xF0440000
ROM BIOS 数据段
示列 4-15. 显示 IDT 门描述符
表 4-8. Windows 2000 中断、陷阱和任务门
INT
Intel 定义的描述符
拥有者
处理例程 /TSS
0x00
整除错误( DE )
ntoskrnl.exe
KiTrap00
0x01
调试( DB )
ntoskrnl.exe
KiTrap01
0x02
NMI 中断
ntoskrnl.exe
KiNMITSS
0x03
断点( BP )
ntoskrnl.exe
KiTrap03
0x04
溢出( OF )
ntoskrnl.exe
KiTrap04
0x05
越界( BR )
ntoskrnl.exe
KiTrap05
0x06
未定义的操作码( UD )
ntoskrnl.exe
KiTrap06
0x07
没有数学协处理器( NM )
ntoskrnl.exe
KiTrap07
0x08
Double Fault ( DF )
ntoskrnl.exe
KiDouble
0x09
协处理器段溢出
ntoskrnl.exe
KiTrap09
0x0A
无效的 TSS ( TS )
ntoskrnl.exe
KiTrap0A
0x0B
段不存在( NP )
ntoskrnl.exe
KiTrap0B
0x0C
堆栈段故障( SS )
ntoskrnl.exe
KiTrap0C
0x0D
常规保护( GP )
ntoskrnl.exe
KiTrap0D
0x0E
页故障( PF )
ntoskrnl.exe
KiTrap0E
0x0F
Intel 保留
ntoskrnl.exe
KiTrap0F
0x10
Math Fault ( MF )
ntoskrnl.exe
KiTrap10
0x11
对齐检查( AC )
ntoskrnl.exe
KiTrap11
0x12
Machine Check ( MC )
?
?
0x13
流 SIMD 扩展
ntoskrnl.exe
KiTrap0F
0x14-0x1F
Intel 保留
ntoskrnl.exe
KiTrap0F
0x2A
用户自定义
ntoskrnl.exe
KiGetTickCount
0x2B
用户自定义
ntoskrnl.exe
KiCallbackReturn
推荐阅读
- 奶酪陷阱大结局是什么
- 叶澜依结局
- 安装Microsoft Windows 2000 恢复控制台
- 4 《Undocumented Windows 2000 Secrets》翻译 --- 第三章
- 1 《Undocumented Windows 2000 Secrets》翻译 --- 第二章
- 浅谈非系统管理员用户本地登录Windows 2000 server
- 同床异梦秋瓷炫多少期
- Windows 2000进程细述
- 《Undocumented Windows 2000 Secrets》翻译 --- 3
- Windows2000的日志文件详述及删除方法