# SYSTÈMES D'EXPLOITATION

TPs SecOS (https://github.com/agantet/secos-ng)

A. GANTET (INSPIRÉ DE SECOS DE S.DUVERGER!)

TLS-SEC 2023-2024



- 1 secos contexte
- 2 secos correction TPo
- 3 secos correction TP1
- 4 secos correction TP2
- 5 secos correction TP3
- 6 secos correction TP4
- 7 secos correction TP5
- 8 secos bilan

- 1 secos contexte
- 2 secos correction TPO
- 3 secos correction TP1
- 4 secos correction TP2
- 5 secos correction TP3
- 6 secos correction TP4
- 7 secos correction TP5
- 8 secos bilar

#### **SECOS - CONTEXTE**

- Sous qemu
- "BIOS" + "Bootloader" exécutés
  - ► MMU et gestion des interruptions potentiellement pré-configurés
- CPU passé du mode réel au mode protégé
- secos chargé et exécuté (en ring o)
  - code minimaliste pour le moment (print msg + halted)

### SECOS - ARCHITECTURE DU PROJET



#### SECOS - LE TP EXAM

- Optionnel
- Jusqu'à 8 points bonus sur la note de l'examen final
- En binôme
- Date maximale de rendu : 31 décembre minuit
- Critères de notation
  - (/1) format demandé respecté (archive + patch git fonctionnel)
  - (/1) compilation fonctionnelle
  - (/3) exécution conforme au comportement attendu
  - (/2) sécurité / exactitude / beauté de la rédaction du code
  - (/1) clarté de la documentation

- 1 secos contexte
- 2 secos correction TPo
- 3 secos correction TP1
- 4 secos correction TP2
- 5 secos correction TP3
- 6 secos correction TP4
- 7 secos correction TP5
- 8 secos bilai

### TPO - QUESTION 2 - PHYSICAL MEMORY MAP AU DÉMARRAGE DE SECOS



### TPO - QUESTION 2 - PHYSICAL MEMORY MAP AU DÉMARRAGE DE SECOS



### TPO - QUESTION 1 - ZOOM SUR SECOS



■ Lecture / Ecriture dans une zone "disponible" ?

■ Lecture / Ecriture dans une zone "disponible" ? OK!

- Lecture / Ecriture dans une zone "disponible" ? OK!
- Lecture / Ecriture dans une zone "réservée" ?

- Lecture / Ecriture dans une zone "disponible" ? OK!
- Lecture / Ecriture dans une zone "réservée" ? Lecture ok, écriture inefficace

- Lecture / Ecriture dans une zone "disponible" ? OK!
- Lecture / Ecriture dans une zone "réservée" ? Lecture ok, écriture inefficace
- Lecture / Ecriture en dehors de la taille de la mémoire physique ?

- Lecture / Ecriture dans une zone "disponible" ? OK!
- Lecture / Ecriture dans une zone "réservée" ? Lecture ok, écriture inefficace
- Lecture / Ecriture en dehors de la taille de la mémoire physique ? Ne lève pas de faute oh wait... une GDT serait-elle donc déjà en place ?...

- 1 secos contexte
- 2 secos correction TPo
- 3 secos correction TP1
- 4 secos correction TP2
- 5 secos correction TP3
- 6 secos correction TP4
- 7 secos correction TP5
- 8 secos bila

### MMU TP1 - MISE EN PLACE DE LA SEGMENTATION

■ Configuration de grub inconnue et non maitrisée

#### MMU TP1 - MISE EN PLACE DE LA SEGMENTATION

- Configuration de grub inconnue et non maitrisée
- Nécessité de
  - Définir une table de descripteurs de segments (GDT, stockée en RAM) selon la configuration souhaitée
    - Première entrée nulle
    - Code, 32 bits RX, flat, indice 1
    - Données, 32 bits RW, flat, indice 2
  - ► Mettre à jour pour que la nouvelle configuration s'applique
    - GDTR pour référencer cette nouvelle table
    - mais aussi les sélecteurs de segments CS, DS, SS, ES, FS, GS



Figure 3-8. Segment Descriptor

### MMU TP1 - VALEURS DES DESCRIPTEURS EN FONCTION DU TYPE DE SEGMENT SOUHAITÉ

| Type Field |    |         |        |        | Descriptor | Description                        |
|------------|----|---------|--------|--------|------------|------------------------------------|
| Decimal    | 11 | 10<br>E | 9<br>W | 8<br>A | Туре       |                                    |
| 0          | 0  | 0       | 0      | 0      | Data       | Read-Only                          |
| 1          | 0  | 0       | 0      | 1      | Data       | Read-Only, accessed                |
| 2          | 0  | 0       | 1      | 0      | Data       | Read/Write                         |
| 3          | 0  | 0       | 1      | 1      | Data       | Read/Write, accessed               |
| 4          | 0  | 1       | 0      | 0      | Data       | Read-Only, expand-down             |
| 5          | 0  | 1       | 0      | 1      | Data       | Read-Only, expand-down, accessed   |
| 6          | 0  | 1       | 1      | 0      | Data       | Read/Write, expand-down            |
| 7          | 0  | 1       | 1      | 1      | Data       | Read/Write, expand-down, accessed  |
|            |    | С       | R      | Α      |            |                                    |
| 8          | 1  | 0       | 0      | 0      | Code       | Execute-Only                       |
| 9          | 1  | 0       | 0      | 1      | Code       | Execute-Only, accessed             |
| 10         | 1  | 0       | 1      | 0      | Code       | Execute/Read                       |
| 11         | 1  | 0       | 1      | 1      | Code       | Execute/Read, accessed             |
| 12         | 1  | 1       | 0      | 0      | Code       | Execute-Only, conforming           |
| 13         | 1  | 1       | 0      | 1      | Code       | Execute-Only, conforming, accessed |
| 14         | 1  | 1       | 1      | 0      | Code       | Execute/Read, conforming           |
| 15         | 1  | 1       | 1      | 1      | Code       | Execute/Read, conforming, accessed |

### MMU TP1 - DÉFINITION DE LA GDT (DESCRIPTEURS O ET 1)

```
seg_desc_t my_gdt[6];
my_gdt[o].raw = oULL;
my_gdt[1].limit_1 = 0xffff; //:16; /* bits 00-15 of the segment limit */
                                       /* bits 00-15 of the base address */
my_gdt[1].base_1 = oxoooo; //:16;
                                      /* bits 16-23 of the base address */
my_gdt[1].base_2 = oxoo; //:8;
my_gdt[1].type = 11;//Code,RX //:4;
                                       /* segment type */
mv gdt[1].s = 1;
                            //:1;
                                       /* descriptor type */
my_gdt[1].dpl = o; //ringo
                                       /* descriptor privilege level */
                            //:2:
                                       /* segment present flag */
my_gdt[1].p = 1;
                            //:1;
                                       /* bits 16-19 of the segment limit */
mv gdt[1].limit 2 = oxf;
                            //:4:
my_gdt[1].avl = 1;
                            //:1;
                                       /* available for fun and profit */
my_gdt[1].l = 0; //32bits
                           //:1;
                                       /* longmode */
my_gdt[1].d = 1;
                            //:1;
                                       /* default length, depend on seg type */
my_gdt[1].g = 1;
                            //:1;
                                       /* granularity */
my gdt[1].base 3 = oxoo;
                            //:8;
                                       /* bits 24-31 of the base address */
```

### MMU TP1 - DÉFINITION DE LA GDT (DESCRIPTEURS 2)

```
my gdt[2].limit 1 = 0xffff; //:16; /* bits 00-15 of the segment limit */
my_gdt[2].base_1 = oxoooo; //:16;
                                      /* bits 00-15 of the base address */
my gdt[2].base 2 = oxoo; //:8;
                                      /* bits 16-23 of the base address */
my_gdt[2].type = 3; //data,RW //:4;
                                      /* segment type */
my_gdt[2].s = 1;
                            //:1:
                                      /* descriptor type */
                                      /* descriptor privilege level */
my_gdt[2].dpl = 0; //ringo
                            //:2;
my_gdt[2].p = 1;
                            //:1;
                                      /* segment present flag */
my_gdt[2].limit_2 = oxf;
                            //:4;
                                      /* bits 16-19 of the segment limit */
my_gdt[2].avl = 1;
                                      /* available for fun and profit */
                            //:1;
my_gdt[2].l = 0; // 32 bits //:1;
                                      /* longmode */
my_gdt[2].d = 1;
                           //:1;
                                      /* default length, depend on seg type */
my_gdt[2].g = 1;
                           //:1;
                                      /* granularity */
                                      /* bits 24-31 of the base address */
my_gdt[2].base_3 = oxoo;
                           //:8;
gdt_reg_t my_gdtr;
my_gdtr.addr = (long unsigned int)my_gdt;
my_gdtr.limit = sizeof(my_gdt) - 1;
set gdtr(my gdtr);
```

### MMU TP1 (Q9) - UN VRAI SEGMENT, NON FLAT

- Parce que la segmentation a surtout un intérêt quand elle n'est pas flat :)
- Définition d'un descripteur de segment court (32 octets)
- Chargement du sélecteur ES avec ce nouveau descripteur
- Utilisation de ES via memcpy qui utilise l'instruction REP MOVSB
  - Comportement attendu : #GP si la copie dépasse la taille du segment défini dans le descripteur, cf doc Intel :
  - ▶ "#GP when: Exceeding the segment limit when accessing the CS, DS, ES, FS, or GS segments.

### MMU TP1 (Q9) - UN VRAI SEGMENT, NON FLAT

```
char src[64]:
char *dst = o;
my_gdt[3].limit_1 = 0x20; //:16; /* bits 00-15 of the segment limit */
my_gdt[3].base_1 = oxoooo; //:16; /* bits oo-15 of the base address */
my_gdt[3].base_2 = ox60; //:8;
                                       /* bits 16-23 of the base address */
my_gdt[3].type = 3; //data,RW //:4;
                                       /* segment type */
                                       /* descriptor type */
mv gdt[3].s = 1;
                            //:1;
my_gdt[3].dpl = o; //ringo
                            //:2:
                                       /* descriptor privilege level */
my_gdt[3].p = 1;
                            //:1;
                                       /* segment present flag */
                                       /* bits 16-19 of the segment limit */
mv gdt[3].limit 2 = oxo;
                            //:4:
my_gdt[3].avl = 1;
                            //:1:
                                       /* available for fun and profit */
my_gdt[3].l = 0; // 32 bits
                            //:1;
                                       /* longmode */
mv gdt[3].d = 1;
                            //:1; /* default length, depend on seg type */
my_gdt[3].g = 0;
                            //:1; /* granularity */
                                       /* bits 24-31 of the base address */
my_gdt[3].base_3 = oxoo;
                            //:8;
seg_sel_t my_es;
my_es.index = 3;
my_es.ti = o;
my_es.rpl = o;
set_es(my_es);
_memcpy8(dst, src, 64); // _memcpy8(dst, src, 32);
```

#### MMU TP1 SEGMENTATION - BÉTISIER

### ■ "secos est parti en boucle infini"

- 1. C'est sûrement qu'il y a une erreur de programmation,
- 2. que le CPU lève une exception, mais que le handler n'est pas encore bien configuré
- 3. que le CPU lève donc une nouvelle exception, mais que le handler n'est toujours pas bien configuré
- 4. que le CPU lève encore une faute, et quand triple fault -> reboot et repart pour un tour

#### ■ "au moment du chargement de ES, le CPU lève une #GP"

- C'est sûrement dû à une mauvaise définition du descripteur de segment, cf. doc Intel :
  - #GP when: "Loading the SS, DS, ES, FS, or GS register with a segment selector for a system segment."
  - #GP when: "Loading the DS, ES, FS, or GS register with a segment selector for an execute-only code segment."

### ■ "j'ai bien fait mon travail, mais la #GP attendue pour le memcpy 64 n'est pas au rendez-vous"

C'est sûrement qu'on utilise un CPU émulé par QEMU et que QEMU a mal reproduit le comportement réel des CPU Intel:/(d'où le conseil d'utilisation de KVM)

But : démarrer un programme en ring 3

- Configurer une GDT avec des nouveaux segments, avec des DPL ring 3
- Comment tester si le passage au ring 3 a fonctionné correctement ?

20 5.

### But : démarrer un programme en ring 3

- Configurer une GDT avec des nouveaux segments, avec des DPL ring 3
- Comment tester si le passage au ring 3 a fonctionné correctement ?
  - ▶ Doc cause #GP: "Attempting to execute a privileged instruction when the CPL is not equal to 0"
  - exécution d'une instruction privilégiée : si GP, on a bien changé de ring :)
  - ► Exemple : mov %eax, cro

- Mise à jour des sélecteurs de données (DS, ED, FS, GS) : trivial
- Mise à jour des sélecteurs SS et CS ?
  - ► Avec un simple MOV ?

- Mise à jour des sélecteurs de données (DS, ED, FS, GS) : trivial
- Mise à jour des sélecteurs SS et CS ?
  - Avec un simple MOV ? Pas possible :(
    - Loading the SS register with a segment selector for a read-only segment (unless the selector comes from a TSS during a task switch, in which case an invalid-TSS exception occurs)
    - Loading the SS, DS, ES, FS, or GS register with a segment selector for a system segment
    - Loading the SS register with the segment selector of an executable segment or a null segment selector
  - Via un farjump ?

- Mise à jour des sélecteurs de données (DS, ED, FS, GS) : trivial
- Mise à jour des sélecteurs SS et CS ?
  - ► Avec un simple MOV ? Pas possible :(
    - Loading the SS register with a segment selector for a read-only segment (unless the selector comes from a TSS during a task switch, in which case an invalid-TSS exception occurs)
    - Loading the SS, DS, ES, FS, or GS register with a segment selector for a system segment
    - Loading the SS register with the segment selector of an executable segment or a null segment selector
    - ► Via un farjump ? Interdit...

- Mise à jour des sélecteurs de données (DS, ED, FS, GS) : trivial
- Mise à jour des sélecteurs SS et CS ?
  - ► Avec un simple MOV ? Pas possible :(
    - Loading the SS register with a segment selector for a read-only segment (unless the selector comes from a TSS during a task switch, in which case an invalid-TSS exception occurs)
    - Loading the SS, DS, ES, FS, or GS register with a segment selector for a system segment
    - Loading the SS register with the segment selector of an executable segment or a null segment selector
    - ► Via un farjump ? Interdit...

La suite aux prochains TPs :)

- 1 secos contexte
- 2 secos correction TPo
- 3 secos correction TP1
- 4 secos correction TP2
- 5 secos correction TP3
- 6 secos correction TP4
- 7 secos correction TP5
- 8 secos bila

#### TP2 CONFIGURATION DE LA GESTION DES INTERRUPTIONS ET EXCEPTIONS

#### Niveau matériel, on a

- Une table de descripteurs d'interruption (IDT), pointeurs vers routine à exécuter
- le registre CPU IDTR à renseigner avec l'adresse de cette table
- Des informations stockées sur la pile lors de l'arrivée d'une int.
  - ► EFLAGS, CS, EIP, Error Code seulement si pas de changement de niveau de privilèges
  - ► ESP et SS en supplément en cas de changement de niveau

#### L'OS doit

- Implémenter des routines de traitement d'interruption
- Les référencer correctement dans la table de descripteurs d'interruption
- Configurer le registre IDTR

#### TP2 CONFIGURATION DE LA GESTION DES INTERRUPTIONS ET EXCEPTIONS

#### Niveau matériel, on a

- Une table de descripteurs d'interruption (IDT), pointeurs vers routine à exécuter
- le registre CPU IDTR à renseigner avec l'adresse de cette table
- Des informations stockées sur la pile lors de l'arrivée d'une int.
  - ► EFLAGS, CS, EIP, Error Code seulement si pas de changement de niveau de privilèges
  - ► ESP et SS en supplément en cas de changement de niveau

#### L'OS doit

- Implémenter des routines de traitement d'interruption
- Les référencer correctement dans la table de descripteurs d'interruption
- Configurer le registre IDTR
- -> 3 exceptions déjà en partie gérées dans secos (NMI, PF, GP), le reste est à coder !
  - But : s'entrainer en implémentant la routine de #BP et la référencer dans l'IDT
  - La tester via l'instruction INT3

23 5.

### TP2 - PREMIER ESSAI NAÏF

- Ecriture d'une fonction en C
- Mise à jour de l'IDT avec l'adresse cette fonction

Problème?

### TP2 - PREMIER ESSAI NAÏF

- Ecriture d'une fonction en C
- Mise à jour de l'IDT avec l'adresse cette fonction

#### Problème?

```
0030401e <bp handler>:
                                                   %ebp
  30401e:
                                           push
                 55
  30401f:
                 89 e5
                                           mov
                                                   %esp,%ebp
                                                   $ox8,%esp
                 83 ec 08
                                           sub
  304021:
                 83 ec oc
                                           sub
                                                   $oxc,%esp
  304024:
                 68 f6 48 30 00
                                                   $0x3048f6
  304027:
                                           push
                 e8 a8 fo ff ff
                                                   3030d9 <printf>
  30402C:
                                           call
                                           add
                                                   $ox10,%esp
  304031:
                 83 C4 10
  304034:
                 90
                                           nop
  304035:
                 c9
                                           leave
  304036:
                 c3
                                           ret
00304037 <br/>bp_trigger>:
                                                   %ebp
  304037:
                                           push
                 55
                                                   %esp,%ebp
  304038:
                 89 e5
                                           mov
  30403a:
                 CC
                                           int3
  30403b:
                 90
                                           nop
  30403c:
                 5d
                                                   %ebp
                                           pop
  30403d:
                 c3
                                           ret
```

- CALL/RET vs INT/IRET
- Ici:INT/RET: dépilement d'adresse de retour alors que la pile avait été remplie par l'arrivée d'une

### TP2 - PREMIER ESSAI NAÏF

#### Problème?

- CALL/RET vs INT/IRET
- Ici : INT/RET :
  - dépilement d'adresse de retour alors que la pile avait été remplie par l'arrivée d'une interruption
     Contenait donc EFLAGS, CS, EIP, Error Code
  - ► chargement de EIP avec la valeur "Error Code" (0x4c)
  - ► Erreur #UD (invalid opcode)
  - ▶ secos panic car la gestion #UD n'est pas encore implémenté!

### TP2 - PREMIER ESSAI NAÏF

#### Problème?

- CALL/RET vs INT/IRET
- Ici : INT/RET :
  - ▶ dépilement d'adresse de retour alors que la pile avait été remplie par l'arrivée d'une interruption
    - Contenait donc EFLAGS, CS, EIP, Error Code
  - chargement de EIP avec la valeur "Error Code" (0x4c)
  - ► Erreur #UD (invalid opcode)
  - ► secos panic car la gestion #UD n'est pas encore implémenté!

```
-> Forcer l'utilisation de IRET

void bp_handler()
{
   debug("#BP furtif\n");
   asm volatile ("leave ; iret"); //leave: Set ESP to EBP, then pop EBP
}
```

# TP2 - POUR QUE ÇA FONCTIONNE

La routine de traitement doit

- Sauvegarder tous les GPRs
- Traiter l'interruption comme on le souhaite
- Restaurer les registres sauvegardés
- Utiliser IRET pour retourner à l'exécution précédente

Moralité : préférer l'assembleur pour coder une routine d'INT

- 1 secos contexte
- 2 secos correction TPo
- 3 secos correction TP1
- 4 secos correction TP2
- 5 secos correction TP3
- 6 secos correction TP4
- 7 secos correction TP5
- 8 secos bila

## TP3 - RAPPEL SEGMENTATION POUR LA MISE EN PLACE DE NIVEAUX DE PRIVILÈGES

But : démarrer un programme en ring 3

- Configurer une GDT avec des nouveaux segments, avec des DPL ring 3
- Comment tester si le passage au ring 3 a fonctionné correctement ?

# TP3 - RAPPEL SEGMENTATION POUR LA MISE EN PLACE DE NIVEAUX DE PRIVILÈGES

# But : démarrer un programme en ring 3

- Configurer une GDT avec des nouveaux segments, avec des DPL ring 3
- Comment tester si le passage au ring 3 a fonctionné correctement ?
  - Doc cause #GP: "Attempting to execute a privileged instruction when the CPL is not equal to 0"
  - execution d'une instruction privilégiée : si GP, on a bien changé de ring :)
  - ► Exemple : mov %eax, cro

# TP3 - RAPPEL : DÉMARRAGE DU RING 3

- Mise à jour des sélecteurs de données (DS, ED, FS, GS) : trivial
- Mise à jour des sélecteurs SS et CS ?
  - ► Avec un simple MOV ?

## TP3 - RAPPEL : DÉMARRAGE DU RING 3

- Mise à jour des sélecteurs de données (DS, ED, FS, GS) : trivial
- Mise à jour des sélecteurs SS et CS ?
  - ► Avec un simple MOV ? Pas possible :(
    - Loading the SS register with a segment selector for a read-only segment (unless the selector comes from a TSS during a task switch, in which case an invalid-TSS exception occurs)
    - Loading the SS, DS, ES, FS, or GS register with a segment selector for a system segment
    - Loading the SS register with the segment selector of an executable segment or a null segment selector
  - Via un farjump ?

## TP3 - RAPPEL : DÉMARRAGE DU RING 3

- Mise à jour des sélecteurs de données (DS, ED, FS, GS) : trivial
- Mise à jour des sélecteurs SS et CS ?
  - ► Avec un simple MOV ? Pas possible :(
    - Loading the SS register with a segment selector for a read-only segment (unless the selector comes from a TSS during a task switch, in which case an invalid-TSS exception occurs)
    - Loading the SS, DS, ES, FS, or GS register with a segment selector for a system segment
    - Loading the SS register with the segment selector of an executable segment or a null segment selector
  - ► Via un farjump ? Interdit...

IRET sait traiter les changements de niveaux de privilèges si la pile est correctement remplie. Idée :

- Empiler (PUSH/PUSHF) SS, puis ESP, puis EFLAGS, CS, puis EIP (comme l'aurait fait un CPU lors de l'arrivée d'une faute) avec
  - ► 'CS' : un sélecteur de descripteur de segment de code ring 3
  - ► EIP : l'adresse de début du code ring 3 qu'on cherche à exécuter !
- Exécuter un IRET

IRET sait traiter les changements de niveaux de privilèges si la pile est correctement remplie. Idée :

- Empiler (PUSH/PUSHF) SS, puis ESP, puis EFLAGS, CS, puis EIP (comme l'aurait fait un CPU lors de l'arrivée d'une faute) avec
  - ► 'CS' : un sélecteur de descripteur de segment de code ring 3
  - ► EIP : l'adresse de début du code ring 3 qu'on cherche à exécuter !
- Exécuter un IRET

Résultat ?

IRET sait traiter les changements de niveaux de privilèges si la pile est correctement remplie. Idée :

- Empiler (PUSH/PUSHF) SS, puis ESP, puis EFLAGS, CS, puis EIP (comme l'aurait fait un CPU lors de l'arrivée d'une faute) avec
  - 'CS' : un sélecteur de descripteur de segment de code ring 3
  - ► EIP : l'adresse de début du code ring 3 qu'on cherche à exécuter !
- Exécuter un IRET

Résultat ? TSS invalide au moment du traitement de la #GP attendue...

```
gemu: fatal: invalid tss type
EAX=003042b0 EBX=0002be40 ECX=00304bc0 EDX=00000022
ESI=0002bfc2 EDI=0002bfc3 EBP=00301fe4 ESP=00301fe4
EIP=003042b3 EFL=00000082 [--S----] CPL=3 II=0 A20=1 SMM=0 HLT=0
ES =0023 00000000 ffffffff oocff300 DPL=3 DS
                                               [-WA]
CS =001b 00000000 ffffffff oocffa00 DPL=3 CS32 [-R-]
SS =0023 00000000 ffffffff oocff300 DPL=3 DS [-WA]
DS =0023 00000000 ffffffff oocff300 DPL=3 DS [-WA]
FS =0023 00000000 ffffffff oocff300 DPL=3 DS
                                              [-WA]
GS =0023 00000000 ffffffff oocff300 DPL=3 DS
                                               [-WA]
LDT=0000 00000000 0000ffff 00008200 DPL=0 LDT
TR =0000 00000000 0000ffff 00008b00 DPL=0 TSS32-busy
GDT=
        003057c0 0000002f
        00304fc0 000007ff
IDT=
```

IRET sait traiter les changements de niveaux de privilèges si la pile est correctement remplie.

```
set_ds(d3_sel);
set_es(d3_sel);
set_fs(d3_sel);
set gs(d3 sel):
TSS.so.esp = get_ebp();
TSS.so.ss = do_sel;
tss dsc(&GDT[ts idx], (offset t)&TSS);
set_tr(ts_sel);
asm volatile (
"push %0 \n" // ss
"push %%ebp \n" // esp
"pushf \n" // eflags
"push %1 \n" // cs
"push %2 \n" // eip
"iret"
"i"(d3_sel),
"i"(c3 sel).
"r"(&userland)
);
```

- 1 secos contexte
- 2 secos correction TPo
- 3 secos correction TP1
- 4 secos correction TP2
- 5 secos correction TP3
- 6 secos correction TP4
- 7 secos correction TP5
- 8 secos bilai

# TP4 - RAPPEL DES REGISTRES CLÉ DE LA PAGINATION

- CR3
- CRo (bit 31: paging)

# TP4 - Q1 : LECTURE DU REGISTRE CR3

### TP4 - Q1 : LECTURE DU REGISTRE CR3

```
Difficulté rencontrable : le type renvoyé par get_cr3 et comment le stocker dans le type cr3_reg_t Exemple de solution :

// Q1
cr3_reg_t cr3 = {.raw = get_cr3()};
debug("CR3 = 0x%x\n", (unsigned int) cr3.raw);
// end Q1

Résultat :

CR3 = 0x0
```

```
// Q2
// 0x600000 = 0x001<<(10+12) | 0x300<<10 | 0x000
// 0x001 (10bits) -- 0x300 (10bits) -- 0x000 (12 bits)
// 00 0000 0001 -- 10 0000 0000 -- 0000 0000 0000
pde32 t *pgd = (pde32 t*)ox600000;
set cr3((uint32 t)pgd);
// end Q2
// Q3
// uint32 t cro = get cro();
// set cro(cro|CRo PG);
// encore un peu tôt d'activer la pagination à ce stade :)
// notamment car le pgd est vide !
// end Q3
// Q4
pte32 t *ptb = (pte32 t*)0x601000;
// end Q4
```

## TP4 - Q5, Q6 MISE EN PLACE DE L'IDENTITY MAPPING

#### Méthode :

- Trouver la plus grande adresse physique utilisée addr<sub>m</sub>
- En déduire le nombre  $d_m$  d'entrées de PGD suffisante pour identity-mapper l'ensemble des adresses entre o et ce max :  $d_m = addr_m >> (10 + 12)$
- Pour chaque entrée i de PGD, remplir des PTB de sorte que  $ptb_a[t]$ . addr = ((d << 10)|t) << 12
- Activer ensuite la pagination dans cro

## TP4 - Q5, Q6 MISE EN PLACE DE L'IDENTITY MAPPING

```
Exemple de mise en oeuvre :
pde32 t *pgd = (pde32 t*)ox600000;
pte32 t *ptb0 = (pte32 t*)0x601000;
pte32_t *ptb1 = (pte32_t*)0x602000;
memset((void*)pgd, o, PAGE SIZE);
set cr3((uint32 t)pgd);
for(int i=0;i<1024;i++) {
 pg set entry(&ptbo[i], PG_KRN|PG_RW, o<<10 + i);
pg_set_entry(&pgd[o], PG_KRN|PG_RW, page nr(ptbo));
for(int i=0;i<1024;i++) {
 pg set entry(&ptb1[i], PG KRN|PG RW, 1<<10 + i);
pg_set_entry(&pgd[1], PG_KRN|PG_RW, page nr(ptb1));
uint32_t cro = get_cro();
set cro(cro|CRo PG);
```

# TP4 - Q7 MULTIPLE MAPPING D'UNE MÊME ADRESSE PHYSIQUE

But :  $addr_p$ oxcoooooo ==  $addr_p$ ox6ooooo == ox6ooooo

# TP4 - Q7 MULTIPLE MAPPING D'UNE MÊME ADRESSE PHYSIQUE

But :  $addr_p$ oxcoooooo ==  $addr_p$ ox6ooooo == ox6ooooo Méthode

- Déterminer l'index de PGD à mettre à jour
- Déterminer l'index de PTB à mettre à jour
- Créer les entrées correspondantes et mettre à jour la base de PTB à 0x600000

### Exemple de résolution

```
pte32_t *ptb3 = (pte32_t*)ox6o3ooo;
uint32 t *target = (uint32 t*)oxcooooooo;
int pgd_idx = pd32_idx(target);
int    ptb idx = pt32 idx(target);
debug("%d %d\n", pgd_idx, ptb_idx);
/**/
memset((void*)ptb3, o, PAGE SIZE);
pg set entry(&ptb3[ptb idx], PG KRN|PG RW, page nr(pgd));
pg_set_entry(&pgd[pgd_idx], PG_KRN|PG_RW, page nr(ptb3));
/**/
debug("PGD[o] = ox%x | target = ox%x \n",
       (unsigned int) pgd[o].raw, (unsigned int) *target);
768 0
PGD[0] = 0x601023 \mid target = 0x601023
```

## TP4 - Q8 AUTRES EXERCICES DE CONFIGURATION SPÉCIFIQUE

### Exemple de résolution

```
char *v1 = (char*)0x700000; // 7 memoire partagee
  char *v2 = (char*)0x7ff000;
  ptb_idx = pt32_idx(v1);
  pg_set_entry(&ptb2[ptb_idx], PG_KRN|PG_RW, 2);
  ptb_idx = pt32_idx(v2);
  pg_set_entry(&ptb2[ptb_idx], PG_KRN|PG_RW, 2);
  debug("%p = %s | %p = %s\n", v1, v1, v2, v2);

  0x700000 = /kernel.elf | 0x7ff000 = /kernel.elf
```

## TP4 - Q9 Suppression entrée de PGD déjà utilisée

- A priori : supprime le mapping configuré pour toutes les adresses virtuelles entre o et ox3ffooo
- devrait lever une faute, à la prochaine traduction d'adresse (prochaine EIP rencontrée par exemple)

## TP4 - Q9 Suppression entrée de PGD déjà utilisée

- A priori: supprime le mapping configuré pour toutes les adresses virtuelles entre o et ox3ffooo
- devrait lever une faute, à la prochaine traduction d'adresse (prochaine EIP rencontrée par exemple)
- Mais attention aux TLB ! qui peuvent avoir gardé en mémoire les traductions précédemment effectuées !
  - ► Invalidable par l'instruction FLUSH
  - ► Invalidable par rechargement de CR3

- 1 secos contexte
- 2 secos correction TPo
- 3 secos correction TP1
- 4 secos correction TP2
- 5 secos correction TP3
- 6 secos correction TP4
- 7 secos correction TP5
- 8 secos bila

## TP5 - Q1 (REMISE EN PLACE DE LA SEGMENTATION, CF. TP3)

```
init_gdt();
set_ds(d3_sel);
set_es(d3_sel);
set_fs(d3_sel);
set_gs(d3_sel);
TSS.so.esp = get_ebp();
TSS.so.ss = do_sel;
tss_dsc(&GDT[ts_idx], (offset_t)&TSS);
set_tr(ts_sel);
```

### TP5 - Q2 CONFIGURATION DE L'IDT AVEC LE NOUVEAU HANDLER

```
int_desc_t *dsc;
idt_reg_t idtr;
get_idtr(idtr);
dsc = &idtr.desc[48];
// kernel syscall handler configuration instead of the previous handler
dsc->offset_1 = (uint16_t)((uint32_t)syscall_isr);
dsc->offset_2 = (uint16_t)(((uint32_t)syscall_isr)>>16);
```

## TP5 - Q3 : TENTATIVE DE DÉCLENCHEMENT DE L'APPEL AU HANDLER

```
void userland() {
   uint32_t arg = 0x2023;
   asm volatile ("int $48" : :"a"(arg));
  while(1);
tp() {
uint32 t ustack = 0x600000;
asm volatile (
  "push %0 \n" // ss
  "push %1 \n" // esp pour du ring 3 !
  "pushf \n" // eflags
  "push %2 \n" // cs
  "push %3 \n" // eip
  "iret"
   "i"(d3_sel),
   "m"(ustack),
   "i"(c3 sel),
   "r"(&userland)
```

# TP5 - Q3 : TENTATIVE DE DÉCLENCHEMENT DE L'APPEL AU HANDLER

Lève une faute CPU car pour le moment le RPL du descripteur de l'entrée 48 dans l'IDT est à 0 ! Solution : rajouter un dsc->dpl = 3 ; au moment de la configuration de l'IDT

+0

# TP5 - Q4 AMÉLIORATION DU HANDLER POUR AFFICHER À L'ÉCRAN LE PARAMÈTRE DONNÉ

```
void __regparm__(1) syscall_handler(int_ctx_t *ctx) {
   debug("SYSCALL eax = ox%x\n", (unsigned int) ctx->gpr.eax.raw);
   // Q4
   debug("print syscall : %s", (char *)ctx->gpr.esi.raw);
   // end Q4
}
```

TP5 - Q5 FAILLE DE SÉCURITÉ DANS L'IMPLÉMENTATION DE CE HANDLER ?

# TP5 - Q5 FAILLE DE SÉCURITÉ DANS L'IMPLÉMENTATION DE CE HANDLER ?

### Rappel du contexte

- Application s'exécutant en ring 3
- Pouvant utiliser l'appel système 48 pour lire ce qui est stocké à une adresse arbitraire qu'elle choisit en paramètre

Que pourrait-il mal se passer ?...

# TP5 - Q5 FAILLE DE SÉCURITÉ DANS L'IMPLÉMENTATION DE CE HANDLER ?

### Rappel du contexte

- Application s'exécutant en ring 3
- Pouvant utiliser l'appel système 48 pour lire ce qui est stocké à une adresse arbitraire qu'elle choisit en paramètre

Que pourrait-il mal se passer ?...

-> Rien n'empêche l'application de demander à lire n'importe quelle adresse, dont la mémoire du noyau !

#### TP5 - Q5 Exemple d'exploitation et idées de correctif

```
Affichage d'une zone de mémoire qui nous intéresse...
void userland() {
    asm volatile ("int $48" : :"S"(0x304935));
    // will print secos-xxxx-xxxx !! (in the kernel memory !)
    while(1);
```

#### TP5 - Q5 Exemple d'exploitation et idées de correctif

Affichage d'une zone de mémoire qui nous intéresse...

```
void userland() {
   asm volatile ("int $48" : : "S"(0x304935));
   // will print secos-xxxx-xxxx !! (in the kernel memory !)
   while(1);
```

Idée de correctif: rajouter une vérification sur la valeur de ctx->gpr.esi.raw au début du handler, et n'afficher le résultat que dans le cas où l'adresse demandée appartient bien à l'espace d'adressage de la tâche appelante!

#### TP5 - Q5 EXEMPLE D'EXPLOITATION ET IDÉES DE CORRECTIF

Affichage d'une zone de mémoire qui nous intéresse...

```
void userland() {
   asm volatile ("int $48" : :"S"(0x304935));
   // will print secos-xxxx-xxxx !! (in the kernel memory !)
   while(1);
}
```

Idée de correctif : rajouter une vérification sur la valeur de ctx->gpr.esi.raw au début du handler, et n'afficher le résultat que dans le cas où l'adresse demandée appartient bien à l'espace d'adressage de la tâche appelante!

Moralité : code exposé par le noyau via des appels système à garder dans le collimateur niveau sécurité ! Le moindre oubli de vérification peut être fatal...

- 1 secos contexte
- 2 secos correction TPo
- 3 secos correction TP1
- 4 secos correction TP2
- 5 secos correction TP3
- 6 secos correction TP4
- 7 secos correction TP5
- 8 secos bilan

■ TPo : découverte de la mémoire physique à disposition

- TPo: découverte de la mémoire physique à disposition
- TP1 : Configuration de la segmentation, obligatoire en mode protégé
  - ► Mode flat le plus utilisé

- TPo : découverte de la mémoire physique à disposition
- TP1 : Configuration de la segmentation, obligatoire en mode protégé
  - ► Mode flat le plus utilisé
- TP2: Configuration de la gestion des interruptions
  - ► Dont format attendu d'un code de handler (iret)
  - ► Dont implémentation de handlers d'exception comme GP

- TPo : découverte de la mémoire physique à disposition
- TP1 : Configuration de la segmentation, obligatoire en mode protégé
  - ► Mode flat le plus utilisé
- TP2: Configuration de la gestion des interruptions
  - ► Dont format attendu d'un code de handler (iret)
  - ► Dont implémentation de handlers d'exception comme GP
- TP3: Apprentissage de démarrage de la première tâche ring 3 après que le noyau ait fini de configurer IDT et GDT
  - ► Avec l'astuce du "fake iret" ! (limitation archi x86)

- TPo : découverte de la mémoire physique à disposition
- TP1 : Configuration de la segmentation, obligatoire en mode protégé
  - ► Mode flat le plus utilisé
- TP2: Configuration de la gestion des interruptions
  - ► Dont format attendu d'un code de handler (iret)
  - ► Dont implémentation de handlers d'exception comme GP
- TP3: Apprentissage de démarrage de la première tâche ring 3 après que le noyau ait fini de configurer IDT et GDT
  - Avec l'astuce du "fake iret" ! (limitation archi x86)
- TP4: Configuration de la pagination
  - Dont mise en place de l'identity mapping pour le bon transfert de l'ensemble des objets du monde non-paginé vers le monde paginé
  - Dont exemple de mise en place de zone de mémoire partagée

- TPo : découverte de la mémoire physique à disposition
- TP1 : Configuration de la segmentation, obligatoire en mode protégé
  - ► Mode flat le plus utilisé
- TP2: Configuration de la gestion des interruptions
  - ► Dont format attendu d'un code de handler (iret)
  - ► Dont implémentation de handlers d'exception comme GP
- TP3: Apprentissage de démarrage de la première tâche ring 3 après que le noyau ait fini de configurer IDT et GDT
  - Avec l'astuce du "fake iret" ! (limitation archi x86)
- TP4: Configuration de la pagination
  - Dont mise en place de l'identity mapping pour le bon transfert de l'ensemble des objets du monde non-paginé vers le monde paginé
  - ► Dont exemple de mise en place de zone de mémoire partagée
- TP5: Rédaction de routine d'appel système
  - ▶ Proche TP2 mais pour une interruption au lieu d'une exception

- TPo : découverte de la mémoire physique à disposition
- TP1 : Configuration de la segmentation, obligatoire en mode protégé
  - ► Mode flat le plus utilisé
- TP2: Configuration de la gestion des interruptions
  - ► Dont format attendu d'un code de handler (iret)
  - Dont implémentation de handlers d'exception comme GP
- TP3: Apprentissage de démarrage de la première tâche ring 3 après que le noyau ait fini de configurer IDT et GDT
  - Avec l'astuce du "fake iret" ! (limitation archi x86)
- TP4: Configuration de la pagination
  - ▶ Dont mise en place de l'identity mapping pour le bon transfert de l'ensemble des objets du monde non-paginé vers le monde paginé
  - Dont exemple de mise en place de zone de mémoire partagée
- TP5: Rédaction de routine d'appel système
  - ▶ Proche TP2 mais pour une interruption au lieu d'une exception
- TP Exam ? Jusqu'à 8 points bonus

#### SECOS - LE TP EXAM

- Optionnel
- Jusqu'à 8 points bonus sur la note de l'examen final
- En binôme
- Date maximale de rendu : 31 décembre minuit
- Enoncé dans le README sur github, comme pour les autres TP
- Critères de notation
  - (/1) format demandé respecté (archive + patch git fonctionnel)
  - (/1) compilation fonctionnelle
  - (/3) exécution conforme au comportement attendu
  - (/2) sécurité / exactitude / beauté de la rédaction du code
  - (/1) clarté de la documentation

#### SECOS - MOT DE LA FIN

- Hint 1 : n'oubliez pas de vous servir du mode debug de qemu, bien pratique pour comprendre ce qu'il faut corriger pour avancer !
- Hint 2 : explorez les fonctionnalités déjà implémentées de secos-ng/include ou de secos-ng/core dans vos implémentations pour gagner du temps :)