1. 保護操作系統5（harib19a）

上一章節已經對“應用軟件在系統內存上動手腳”這一case做了防護。不過定時器上還是存在安全漏洞的，接下來crack3的目的是使光標閃爍變慢，使任務切換的速度變慢。

# crack3.nas 文件
[INSTRSET "i486p"]
[BITS 32]MOV		AL,0x34OUT		0x43,ALMOV		AL,0xffOUT		0x40,ALMOV		AL,0xffOUT		0x40,AL# 	上述代碼的功能與下列相當
#	io_out8(PIT_CTRL, 0x34);
#	io_out8(PIT_CNT0, 0xff);
#	io_out8(PIT_CNT0, 0xff);MOV		EDX,4INT		0x40

但這并不會針對性的影響到定時器，因為直接再應用程序中使用IN和OUT指令的話，會產生一般保護異常，然后就在屏幕上顯示“General Protected Exception”。
簡單粗暴的crack4，目的是直接禁止中斷，那么就會不再產生定時器中斷，任務切換也會停止，鍵盤鼠標中斷也會停止。

# crack4.nas 文件
[INSTRSET "i486p"]
[BITS 32]CLI
fin:HLTJMP		fin

但其實，應用程序中也不能直接使用CLI, STI和HLT指令，這些也會產生一般保護異常。可以嘗試CALL操作系統函數（_io_cli）的地址，通過查看map文件可以該函數地址。

# crack5.nas 文件
[INSTRSET "i486p"]
[BITS 32]CALL	2*8:0xac1MOV		EDX,4INT		0x40

但是還忽略了一點，應用程序的地址的CALL并不是任意的，只能CALL設置好的地址。所以crack5程序還是會產生一般保護異常。應用程序期望調用操作系統只能才做INT 0x40的方式。
臨時修改hrb_api，使它可以處理一個臨時的edx用于破壞操作系統，并在應用程序中INT 0x40，但是對定時器或鍵盤鼠標中斷下手，確實并不簡單。

// console.c 文件
int *hrb_api(int edi, int esi, int ebp, int esp, int ebx, int edx, int ecx, int eax)
{int cs_base = *((int *) 0xfe8);struct TASK *task = task_now();struct CONSOLE *cons = (struct CONSOLE *) *((int *) 0x0fec);if (edx == 1) {cons_putchar(cons, eax & 0xff, 1);} else if (edx == 2) {cons_putstr0(cons, (char *) ebx + cs_base);} else if (edx == 3) {cons_putstr1(cons, (char *) ebx + cs_base, ecx);} else if (edx == 4) {return &(task->tss.esp0);} else if (edx == 123456789) {*((char *) 0x00102600) = 0;}return 0;
}

# crack6.nas 文件
[INSTRSET "i486p"]
[BITS 32]MOV		EDX,123456789INT		0x40MOV		EDX,4INT		0x40

2. 幫助發現bug（harib19b）

CPU的異常處理功能，除了可以保護操作系統免遭應用程序的破壞，還可以幫助在編寫程序時及時發現bug，例如數組越界訪問等。
當一個局部數組變量被越界訪問時，就有可能產生棧異常。棧異常的中斷號為0x0c。0x0c的中斷函數類似0x0d，只是改一下異常時的信息打印就好。

# naskfunc.nas 文件
_asm_inthandler0c:STIPUSH	ESPUSH	DSPUSHADMOV		EAX,ESPPUSH	EAXMOV		AX,SSMOV		DS,AXMOV		ES,AXCALL	_inthandler0cCMP		EAX,0JNE		end_appPOP		EAXPOPADPOP		DSPOP		ESADD		ESP,4			# 類似 INT 0x0d IRETD

// console.c 文件
int *inthandler0c(int *esp)
{struct CONSOLE *cons = (struct CONSOLE *) *((int *) 0x0fec);struct TASK *task = task_now();char s[30];cons_putstr0(cons, "\nINT 0C :\n Stack Exception.\n");sprintf(s, "EIP = %08X\n", esp[11]);cons_putstr0(cons, s);return &(task->tss.esp0);	/* 強制結束程序 */
}

// dsctbl.c 文件
void init_gdtidt(void)
{set_gatedesc(idt + 0x2c, (int) asm_inthandler2c, 2 * 8, AR_INTGATE32);	// 注冊給idt
}

在inthandler0c函數中，企圖打印esp[11]，即EIP，會將下一條將要被執行的指令在內存中的地址打印出來。因此inthandler0c的含義就是在發生異常時，把異常產生的指令地址打印出來。然后再根據.map文件和.lst文件就能定位到產生異常的具體位置。

3. 強制結束應用程序（harib19c）

如果一個應用程序中存在一個毫不間歇的死循環，那么系統整體的速度就會變慢。為了防止類似死循環這種程序，可以將某一個按鍵作為強制結束鍵，按一下就可以結束程序。
將強制結束任務寫在bootpack.c文件的HariMain函數的鍵盤中斷處理中：

// bootpack.c 文件
void HariMain(void)
{/* 省略 */i = fifo32_get(&fifo);io_sti();if (256 <= i && i <= 511){if (i == 256 + 0x3b && key_shift != 0 && task_cons->tss.ss0 != 0) {	/* Shift+F1 */cons = (struct CONSOLE *) *((int *) 0x0fec);cons_putstr0(cons, "\nBreak(key) :\n");io_cli();task_cons->tss.eax = (int) &(task_cons->tss.esp0);task_cons->tss.eip = (int) asm_end_app;io_sti();}}/* 省略 */
}

# naskfunc.nas 文件
# asm_end_app是end_app函數的修改
_asm_end_app:
#	EAX為tss.esp0的地址MOV		ESP,[EAX]MOV		DWORD [EAX+4],0POPADRET		# 返回cmd_app

當 按下強制結束鍵時，改寫命令行窗口任務的寄存器值，并goto到asm_end_app函數，如此便可以強制結束程序。

// mtask.c 文件
struct TASK *task_alloc(void)
{/* 省略 */for (i = 0; i < MAX_TASKS; i++) {if (taskctl->tasks0[i].flags == 0) {task = &taskctl->tasks0[i];/* 省略 */task->tss.ss0 = 0;return task;}}return 0;
}

還需要確保task_cons->tss.ss0不為0時采取調用結束程序，為防止應用程序還未運行（task_cons->tss.ss0為0）進行調用。

4. 用C語言顯示字符串（harib19e）

第一個供c語言調用的api：

# a_nask.nas 文件
_api_putstr0:	; void api_putstr0(char *s);PUSH	EBXMOV		EDX,2MOV		EBX,[ESP+8]		; sINT		0x40POP		EBXRET

但此時如果直接在c語言中調用api_putstr0函數，應該是無法在屏幕上顯示參數s的。
調試api之前，先解釋一下可執行程序.hrb文件的內容。可執行程序.hrb文件由兩部分組成：代碼部分和數據部分。其中，數據部分在位于代碼部分的開頭一塊區域中。當應用程序啟動時，數據部分被傳送到應用程序使用的數據段中。
對于.hrb文件：

0x0000 存放的是應用程序啟動后數據段的大小，當前固定大小為64KB。
0x0004 存放的是“Hari”這四個字符，讀取文件的時候會先判斷這四個字節，判斷一致才會當作可執行程序處理。
0x0008 存放的是數據段預備空間的大小。暫時沒有使用。
0x000c 存放的是應用程序啟動時，ESP的初始值。也就是說，0x000c位置的內容表示棧指針，調用api_putstr0的時候所傳入的參數s就會放在0x000c的內容所代表的內存地址處。例如，可執行程序hello4.hrb被執行時char *參數s的地址是0x0400，就是文件hello4.hrb的0x000c處寫的0x0400。而這個值之前的部分會作為棧來使用，也就是1024字節（十六進制就是0x0400），這個值在編譯的時候已經確定好了。

# Makefile 文件
hello4.bim : hello4.obj a_nask.obj Makefile$(OBJ2BIM) @$(RULEFILE) out:hello4.bim stack:1k map:hello4.map \hello4.obj a_nask.obj

0x0010和0x0014 的目的是當.hrb文件被加載時，告訴操作系統該可執行文件的數據大小和在文件中的位置。
0x0018 在內存中的放置應該是“00 00 00 E9”，其中E9是JMP指令的機器碼，這就相當于在0x001b位置存放了一個JMP指令。
0x001c 的程序入口結合0x001b的JMP指令，就可以運行可執行文件了。（但是程序入口地址-0x20是為啥，不太清楚）
0x0020 存放對應用程序使用的malloc函數調用之后的返回地址。
根據以上內容需要修改console.c文件。

// console.c 文件
int cmd_app(struct CONSOLE *cons, int *fat, char *cmdline)
{/* 省略 */if (finfo != 0) {/* 找到文件 */p = (char *) memman_alloc_4k(memman, finfo->size);file_loadfile(finfo->clustno, finfo->size, p, fat, (char *) (ADR_DISKIMG + 0x003e00));if (finfo->size >= 36 && strncmp(p + 4, "Hari", 4) == 0 && *p == 0x00) {segsiz = *((int *) (p + 0x0000));esp    = *((int *) (p + 0x000c));datsiz = *((int *) (p + 0x0010));	// 數據部分的大小dathrb = *((int *) (p + 0x0014));	// 數據部分在文件中的位置q = (char *) memman_alloc_4k(memman, segsiz);	// 根據hrb文件確定數據段大小*((int *) 0xfe8) = (int) q;set_segmdesc(gdt + 1003, finfo->size - 1, (int) p, AR_CODE32_ER + 0x60);set_segmdesc(gdt + 1004, segsiz - 1,      (int) q, AR_DATA32_RW + 0x60);for (i = 0; i < datsiz; i++) {// 執行程序前把數據部分拷貝到數據段q[esp + i] = p[dathrb + i];}start_app(0x1b, 1003 * 8, esp, 1004 * 8, &(task->tss.esp0));memman_free_4k(memman, (int) q, segsiz);} else {// 找不到Hari則報錯cons_putstr0(cons, ".hrb file format error.\n");}memman_free_4k(memman, (int) p, finfo->size);cons_newline(cons);return 1;}/* 未找到文件 */return 0;
}

為啥將“Hari”字符放在文件的0x0004位置，而不是0x0000位置呢？
0x0000位置存放的是應用程序啟動后數據段的大小，bim2hrb會自動將該內容調整為4KB的倍數，所以0x0000位置的字節必定是00。一個普通文件的0x0000位置卻很小可能是00，但是卻有可能是某個字母，所以將“Hari”字符放在文件的0x0004位置可以提高訪問的安全性。

5. 顯示窗口（harib19f）

現在期望實現一個用于顯示窗口的api，暫時這樣設計：

調用后返回值：

但是當前有個問題，如何將返回值傳遞給應用程序。中斷服務函數會通過IRETD安全的返回應用程序，并且在返回之前會把8個32位寄存器POPAD出去，所以只能依賴POPAD和IRETD。
兩次PUSHAD之后的棧是這樣的：

[高地址]
EAX <— 1st
ECA
EDX
EBX
ESO
EBP
ESI
EDI
EAX <— 2nd, hrb_api使用到的就是這里及以下
ECA
EDX
EBX
ESO
EBP
ESI
EDI

// console.c 文件
int *hrb_api(int edi, int esi, int ebp, int esp, int ebx, int edx, int ecx, int eax)
{int ds_base = *((int *) 0xfe8);		// 來自于bootpack.c的HariMain函數中的shtctl變量struct TASK *task = task_now();struct CONSOLE *cons = (struct CONSOLE *) *((int *) 0x0fec);struct SHTCTL *shtctl = (struct SHTCTL *) *((int *) 0x0fe4);struct SHEET *sht;int *reg = &eax + 1;	/* 參照棧空間可知, &eax+1可以獲取到系統EDI *//* reg[0] : EDI,   reg[1] : ESI,   reg[2] : EBP,   reg[3] : ESP *//* reg[4] : EBX,   reg[5] : EDX,   reg[6] : ECX,   reg[7] : EAX *//* 省略 */if (edx == 5) {sht = sheet_alloc(shtctl);sheet_setbuf(sht, (char *) ebx + ds_base, esi, edi, eax);make_window8((char *) ebx + ds_base, esi, edi, (char *) ecx + ds_base, 0);sheet_slide(sht, 100, 50);sheet_updown(sht, 3);	/* 背景層高度3，位于task_a之上 */reg[7] = (int) sht;	// 把sht賦值給EAX，_asm_hrb_api中POPAD的時候會彈出棧}return 0;
}

再寫一個測試程序：

# a_nask.nas 文件
_api_openwin:	# int api_openwin(char *buf, int xsiz, int ysiz, int col_inv, char *title);PUSH	EDIPUSH	ESIPUSH	EBXMOV		EDX,5MOV		EBX,[ESP+16]	# bufMOV		ESI,[ESP+20]	# xsizMOV		EDI,[ESP+24]	# ysizMOV		EAX,[ESP+28]	# col_invMOV		ECX,[ESP+32]	# titleINT		0x40	# 調用中斷POP		EBXPOP		ESIPOP		EDIRET

// winhello.c 文件
int api_openwin(char *buf, int xsiz, int ysiz, int col_inv, char *title);
void api_end(void);char buf[150 * 50];void HariMain(void)
{int win;win = api_openwin(buf, 150, 50, -1, "hello");api_end();
}