IDT

中断描述符表寄存器(Interrupt Descriptor Table Register, IDTR)
中断描述符表(Interrupt Descriptor Table, IDT)

中断描述符表寄存器(Interrupt Descriptor Table Register, IDTR)存储了中断描述符表(Interrupt Descriptor Table, IDT)在内存中的基地址.

IDT是一个有256个入口的线形表，每个IDT的入口是个8字节的描述符，所以整个IDT表的大小为256*8=2048 bytes.

每个中断向量关联了一个中断处理过程。所谓的中断向量就是把每个中断或者异常用一个0-255的数字识别。

另外, 每个处理器拥有自己的IDTR寄存器, 所以都拥有自己的中断表, 因此, 在Hook IDT的时候, 要考虑这个问题.

我们可以使用KeGetCurrentProcessorNumber之类的函数来判断代码当前在哪个处理器上运行. 也可以使用KeSetTargetProcessorDpc等函数将代码调度到某个特定处理器上运行.

当中断发生时, 可以从中断指令或可编程中断控制器中获取中断编号, 然后通过IDT寻找要调用的中断服务例程.

IDT有三种不同的描述符或者说是入口，分别是：

1. 任务门描述符
2. 中断门描述符

3. 陷阱门描述符

   其中, 陷阱门和中断门非常相似, 他们区别只在于陷阱门能够被可屏蔽中断所中断, 而中断门不能. 另一方面, 任务门是一个非常过时的处理器特性, 它可以用于强制x86处理器的任务切换. 然而, Windows并不使用该特性, 所以我们也不加过多的研究.

为了获得IDT的内存地址, 必须读取IDTR, 这可以用SIDT指令完成. 当然, 我们也可以用LIDT指令来修改IDTR的内容.

SIDT指令以如下格式存储IDTR的内容:

typedef struct  
{  
    unsigned short IDTLimit; //代表IDT的大小, 为7FFH 
    unsigned short LowIDTbase;  
    unsigned short HiIDTbase;  
}IDTINFO;  

其中的LowIDTbase和HiIDTbase分别指示了IDT地址的低半部分和高半部分.

IDT中每项的结构如下:

#pragma pack(1) 
typedef struct  
{  
    unsigned short LowOffset;  
    unsigned short selector;  
    unsigned char unused_lo;  
    unsigned char segment_type:4;   
    unsigned char system_segment_flag:1;  
    unsigned char DPL:2;  
    unsigned char P:1;  
    unsigned short HiOffect;  
}IDTENTRY;  
#pragma pack() 

下面是一个小程序, 用来打印全部的ISR Interrupt Service Routines（中断服务程序）

#include <ntddk.h> 
#include <stdio.h> 

typedef struct  
{  
    unsigned short IDTLimit; //代表IDT的大小, 为7FFH 
    unsigned short LowIDTbase;  
    unsigned short HiIDTbase;  
}IDTINFO;  

#pragma pack(1) 
typedef struct  
{  
    unsigned short LowOffset;  
    unsigned short selector;  
    unsigned char unused_lo;  
    unsigned char segment_type:4;   
    unsigned char system_segment_flag:1;  
    unsigned char DPL:2;  
    unsigned char P:1;  
    unsigned short HiOffect;  
}IDTENTRY;  
#pragma pack() 

#define MAKELONG(a, b) \ 
    ((unsigned long) (((unsigned short) (a)) | ((unsigned long) ((unsigned short) (b))) << 16))   
//IDT中的最大项数是256 
#define MAX_IDT_ENTRIES 0xFF 

VOID  
DriverUnload(IN PDRIVER_OBJECT pDriverObj)  
{      
    KdPrint(("[IDT] Unloading...\r\n"));      
}  

NTSTATUS  
DriverEntry(IN PDRIVER_OBJECT pDriverObj, IN PUNICODE_STRING pRegistryString)  
{  
    NTSTATUS        status = STATUS_SUCCESS;  
    IDTINFO            idt_info;  
    IDTENTRY*        idt_entrys;  
    unsigned long    count;  

    __asm sidt idt_info;  

    idt_entrys = (IDTENTRY*)MAKELONG(idt_info.LowIDTbase, idt_info.HiIDTbase);  

    KdPrint(("IDT Addr: 0x%08X\n", MAKELONG(idt_info.LowIDTbase, idt_info.HiIDTbase)));  
    KdPrint(("IDT Limit: %d\n", idt_info.IDTLimit));  

    for (count = 0; count<=MAX_IDT_ENTRIES; count++)  
    {  
        char _t[255];  
        unsigned long addr;  
        IDTENTRY* i = &idt_entrys[count];  

        addr = MAKELONG(i->LowOffset, i->HiOffect);  
        _snprintf(_t, 253, "Interrupt %3d\tISR 0x%08X", count, addr);  
        KdPrint(("%s", _t));  
    }  

    pDriverObj->DriverUnload = DriverUnload;  
    return STATUS_SUCCESS;  
}  

打印结果如下: