| 2024-12-31

Kernel mode & user mode switch

Author: 堇姬Naup

Usermode to Kernel mode

call swapgs

這裡先解釋幾個東西
GS register、IA32_GS_BASE、IA32_KERNEL_GS_BASE、swapgs 是甚麼

GS reg: 用途主要圍繞上下文切換、內核態與用戶態的切換以及訪問每個 CPU 的數據結構，在 64 位模式下，GS 指向一個base address，允許進行高效的offset訪問，例如通過gs:[offset] 訪問data。
IA32_GS_BASE: 用於保存當前 GS base(MSR 地址為 0xC0000101)
IA32_KERNEL_GS_BASE: 用來保存kernel mode GS base address(MSR 地址為 0xC0000102)
swapgs
快速切換 GS 段寄存器的address value
user mode的 GS base address（存儲在 IA32_GS_BASE register中）和 kernel mode的 GS base address（存儲在 IA32_KERNEL_GS_BASE register中）交換

現在要切換至kernel mode，gs存的是usermode的base address(IA32_GS_BASE)，會和 kernel base address交換(IA32_KERNEL_GS_BASE)

接下來，將當前stack 頂部(usermode)放在per CPU內，並將per CPU中的kernel stack頂部放入rsp/rbp

PS: per CPU 變數用於在多處理器（SMP, Symmetric Multi-Processing）環境下，為每個 CPU 分配一份獨立的變數空間

偷偷塞個東西(大致是這種概念):

SystemCallEntryPoint:
  SwapGS                        ; set up kernel pointer, save user's GS base    
  mov gs:[SavedUserRSP], rsp    ; save user's stack pointer
  mov rsp, gs:[KernelStackPtr]  ; set up kernel stack
  push rax                      ; now that we have a stack, save user's GPRs    
  mov rax, gs:[CPUnumber]       ; get CPU number     < or whatever >
  .                             ; perform system service
  .
  SwapGS                        ; restore user's GS, save kernel pointer

之後通過push保存每個register的值

大概是通過以下方式，會先切換至kernel stack
將register壓進kernel stack(一整個形成一個struct，pt_regs)

ENTRY(entry_SYSCALL_64)
/* SWAPGS_UNSAFE_STACK is a macro, directly defined as the swapgs instruction in x86 */
SWAPGS_UNSAFE_STACK

/* Save the stack pointer value and set the kernel stack */
movq %rsp, PER_CPU_VAR(rsp_scratch)
movq PER_CPU_VAR(cpu_current_top_of_stack), %rsp

/* Save register values by pushing them onto the stack to form a pt_regs structure */
/* Construct struct pt_regs on stack */
pushq  $__USER_DS                /* pt_regs->ss */
pushq  PER_CPU_VAR(rsp_scratch)  /* pt_regs->sp */
pushq  %r11                      /* pt_regs->flags */
pushq  $__USER_CS                /* pt_regs->cs */
pushq  %rcx                      /* pt_regs->ip */
pushq  %rax                      /* pt_regs->orig_ax */
pushq  %rdi                      /* pt_regs->di */
pushq  %rsi                      /* pt_regs->si */
pushq  %rdx                      /* pt_regs->dx */
pushq  %rcx                      /* pt_regs->cx */
pushq  $-ENOSYS                  /* pt_regs->ax */
pushq  %r8                       /* pt_regs->r8 */
pushq  %r9                       /* pt_regs->r9 */
pushq  %r10                      /* pt_regs->r10 */
pushq  %r11                      /* pt_regs->r11 */
sub $(6*8), %rsp                 /* pt_regs->bp, bx, r12-15 not saved */

這是pt_regs struct

struct pt_regs {
/*
 * C ABI says these regs are callee-preserved. They aren't saved on kernel entry
 * unless syscall needs a complete, fully filled "struct pt_regs".
 */
    unsigned long r15;
    unsigned long r14;
    unsigned long r13;
    unsigned long r12;
    unsigned long rbp;
    unsigned long rbx;
/* These regs are callee-clobbered. Always saved on kernel entry. */
    unsigned long r11;
    unsigned long r10;
    unsigned long r9;
    unsigned long r8;
    unsigned long rax;
    unsigned long rcx;
    unsigned long rdx;
    unsigned long rsi;
    unsigned long rdi;
/*
 * On syscall entry, this is syscall#. On CPU exception, this is error code.
 * On hw interrupt, it's IRQ number:
 */
    unsigned long orig_rax;
/* Return frame for iretq */
    unsigned long rip;
    unsigned long cs;
    unsigned long eflags;
    unsigned long rsp;
    unsigned long ss;
/* top of stack page */
};

補一下

unsigned long rip：指令指標寄存器（Instruction Pointer Register），指向當前執行的指令地址。
unsigned long cs：代碼段選擇器（Code Segment Selector），描述代碼段的特性。
unsigned long eflags：標誌寄存器（Flags Register），保存處理器狀態標誌。
unsigned long rsp：堆疊指標寄存器（Stack Pointer Register），指向堆疊頂部。
unsigned long ss：堆疊段選擇器（Stack Segment Selector），描述堆疊段的特性。

這樣就進入到kernel mode了

Kernel mode to usermode(No KPTI)

call swapgs
通過swapgs gs會拿回usermode base address
接下來通過 sysretq 或 iretq 恢復到user space
若使用 iretq 需要再給出userspace額外的資訊，也就是trap_frame

struct trap_frame {
    size_t user_rip;
    size_t user_cs;
    size_t user_rflags;
    size_t user_sp;
    size_t user_ss;
} __attribute__((packed));

iret

這是詳細的iret實現方式

SYM_INNER_LABEL(swapgs_restore_regs_and_return_to_usermode, SYM_L_GLOBAL)
#ifdef CONFIG_DEBUG_ENTRY
    /* Assert that pt_regs indicates user mode. */
    testb   $3, CS(%rsp)
    jnz 1f
    ud2
1:
#endif
    POP_REGS pop_rdi=0

    /*
     * The stack is now user RDI, orig_ax, RIP, CS, EFLAGS, RSP, SS.
     * Save old stack pointer and switch to trampoline stack.
     */
    movq    %rsp, %rdi
    movq    PER_CPU_VAR(cpu_tss_rw + TSS_sp0), %rsp
    UNWIND_HINT_EMPTY

    /* Copy the IRET frame to the trampoline stack. */
    pushq   6*8(%rdi)   /* SS */
    pushq   5*8(%rdi)   /* RSP */
    pushq   4*8(%rdi)   /* EFLAGS */
    pushq   3*8(%rdi)   /* CS */
    pushq   2*8(%rdi)   /* RIP */

    /* Push user RDI on the trampoline stack. */
    pushq   (%rdi)

    /*
     * We are on the trampoline stack.  All regs except RDI are live.
     * We can do future final exit work right here.
     */
    STACKLEAK_ERASE_NOCLOBBER

    SWITCH_TO_USER_CR3_STACK scratch_reg=%rdi

    /* Restore RDI. */
    popq    %rdi
    SWAPGS
    INTERRUPT_RETURN

Kernel mode to usermode(Open KPTI)

不能單純透過call swapgs; iret 來切換
還需要去切換page table

首先是四層頁表(基本跟windows kernel沒有差，可以參考我的windows kernel exploitation那篇)

通過 PGD->PUD->PMD->PTE 找到對應的page，再透過offset找到該page內的正確address，來將virtual address 映射到 physical address
CR3 register則儲存了PGD位置
而KPTI讓userspace只有少量的kernel page table(必要的如中斷等)
簡單來說就是原本的一張表usermode、kernel mode用同一張
但是開啟KPTI後會拆成兩個如下圖

在切換mode時同時也需要去更改cr3存的page table address
另外再KPTI開啟時，其映射的userspace memory被標記NX，使ret2usr不可用(因為你就算能寫上shellcode到userspace，但跳上去也不能執行shellcode)

知道了上述後來看有KPTI後會如何執行切換
詳細的可以去 swapgs_restore_regs_and_return_to_usermode 看

0xffffffff81c00fb0 <swapgs_restore_regs_and_return_to_usermode>:	nop    DWORD PTR [rax+rax*1+0x0]
0xffffffff81c00fb5 <swapgs_restore_regs_and_return_to_usermode+5>:	pop    r15
0xffffffff81c00fb7 <swapgs_restore_regs_and_return_to_usermode+7>:	pop    r14
0xffffffff81c00fb9 <swapgs_restore_regs_and_return_to_usermode+9>:	pop    r13
0xffffffff81c00fbb <swapgs_restore_regs_and_return_to_usermode+11>:	pop    r12
0xffffffff81c00fbd <swapgs_restore_regs_and_return_to_usermode+13>:	pop    rbp
0xffffffff81c00fbe <swapgs_restore_regs_and_return_to_usermode+14>:	pop    rbx
0xffffffff81c00fbf <swapgs_restore_regs_and_return_to_usermode+15>:	pop    r11
0xffffffff81c00fc1 <swapgs_restore_regs_and_return_to_usermode+17>:	pop    r10
0xffffffff81c00fc3 <swapgs_restore_regs_and_return_to_usermode+19>:	pop    r9
0xffffffff81c00fc5 <swapgs_restore_regs_and_return_to_usermode+21>:	pop    r8
0xffffffff81c00fc7 <swapgs_restore_regs_and_return_to_usermode+23>:	pop    rax
0xffffffff81c00fc8 <swapgs_restore_regs_and_return_to_usermode+24>:	pop    rcx
0xffffffff81c00fc9 <swapgs_restore_regs_and_return_to_usermode+25>:	pop    rdx
0xffffffff81c00fca <swapgs_restore_regs_and_return_to_usermode+26>:	pop    rsi
0xffffffff81c00fcb <swapgs_restore_regs_and_return_to_usermode+27>:	mov    rdi,rsp
0xffffffff81c00fce <swapgs_restore_regs_and_return_to_usermode+30>:	mov    rsp,QWORD PTR gs:0x6004
0xffffffff81c00fd7 <swapgs_restore_regs_and_return_to_usermode+39>:	push   QWORD PTR [rdi+0x30]
0xffffffff81c00fda <swapgs_restore_regs_and_return_to_usermode+42>:	push   QWORD PTR [rdi+0x28]
0xffffffff81c00fdd <swapgs_restore_regs_and_return_to_usermode+45>:	push   QWORD PTR [rdi+0x20]
0xffffffff81c00fe0 <swapgs_restore_regs_and_return_to_usermode+48>:	push   QWORD PTR [rdi+0x18]
0xffffffff81c00fe3 <swapgs_restore_regs_and_return_to_usermode+51>:	push   QWORD PTR [rdi+0x10]
0xffffffff81c00fe6 <swapgs_restore_regs_and_return_to_usermode+54>:	push   QWORD PTR [rdi]
0xffffffff81c00fe8 <swapgs_restore_regs_and_return_to_usermode+56>:	push   rax
0xffffffff81c00fe9 <swapgs_restore_regs_and_return_to_usermode+57>:	xchg   ax,ax
0xffffffff81c00feb <swapgs_restore_regs_and_return_to_usermode+59>:	mov    rdi,cr3
0xffffffff81c00fee <swapgs_restore_regs_and_return_to_usermode+62>:	jmp    0xffffffff81c01024 

0xffffffff81c01024 <swapgs_restore_regs_and_return_to_usermode+116>:	or     rdi,0x1000
0xffffffff81c0102b <swapgs_restore_regs_and_return_to_usermode+123>:	mov    cr3,rdi
0xffffffff81c0102e <swapgs_restore_regs_and_return_to_usermode+126>:	pop    rax
0xffffffff81c0102f <swapgs_restore_regs_and_return_to_usermode+127>:	pop    rdi
0xffffffff81c01030 <swapgs_restore_regs_and_return_to_usermode+128>:	swapgs 
0xffffffff81c01033 <swapgs_restore_regs_and_return_to_usermode+131>:	jmp    0xffffffff81c01060 <native_iret>

0xffffffff81c01060 <native_iret>:	test   BYTE PTR [rsp+0x20],0x4
0xffffffff81c01065 <native_iret+5>:	jne    0xffffffff81c01069 <native_irq_return_ldt>
0xffffffff81c01067 <native_irq_return_iret>:	iretq

通過呼叫這function也能直接幫你修好cr3

mov  rdi, cr3
or rdi, 0x1000   #0b1000000000000
mov  cr3, rdi
pop rax
pop rdi
swapgs
iretq

cr3 可以參考該docs的2.5(p.3069)
docs

總之第十三位(cr3[12])紀錄當前是kernel or user mode page table(PGD address)

為了實現快速切換，因此將kernel mode PGD跟user mode PGD緊鄰著(4kb + 4kb = 8kb)，kernel PGD在low address，user在high address
通過去 or cr3[12]就可以快速操作

cr3

cr3[12]
0  ---------------|
1  -------------  |       
               |  |
+------------+ |  |
|  user PGD  | -  |
+------------+    |
| kernel PGD |  ---
+------------+

after all

不得不說網路上的文章真的很亂www
另外kernel文章真的很難寫，寫一寫很容易寫亂，所以應該不會像heap一樣一篇完成，而是拆成小篇小篇(不然我已經寫壞了4、5篇了)
總之有心力就寫吧 OwOb