关于idt的基本知识就不进行赘述了，先看一个例子

0x1000:    mov   eax,00x1006:    Int    3            ;------->进入内核，找到中断处理例程KiTrap030x1007:   Mov   eax,1

这段代码执行，触发3号中断，然后开始执行KiTrap03例程，要知道，执行完中断以后还是要回到原来的程序处继续执行的，也就是我们这的Mov eax, 1的指令，显然，发生中断时的寄存器环境就要被保存，便于之后的恢复程序运行，这里，就出现了一个结构_KTRAP_FRAME，陷阱帧。

kd> dt _KTRAP_FRAMEnt!_KTRAP_FRAME   +0x000 DbgEbp           : Uint4B   +0x004 DbgEip           : Uint4B   +0x008 DbgArgMark       : Uint4B   +0x00c DbgArgPointer    : Uint4B   +0x010 TempSegCs        : Uint2B   +0x012 Logging          : UChar   +0x013 Reserved         : UChar   +0x014 TempEsp          : Uint4B   +0x018 Dr0              : Uint4B   +0x01c Dr1              : Uint4B   +0x020 Dr2              : Uint4B   +0x024 Dr3              : Uint4B   +0x028 Dr6              : Uint4B   +0x02c Dr7              : Uint4B   +0x030 SegGs            : Uint4B   +0x034 SegEs            : Uint4B   +0x038 SegDs            : Uint4B   +0x03c Edx              : Uint4B   +0x040 Ecx              : Uint4B   +0x044 Eax              : Uint4B   +0x048 PreviousPreviousMode : Uint4B   +0x04c ExceptionList    : Ptr32 _EXCEPTION_REGISTRATION_RECORD   +0x050 SegFs            : Uint4B   +0x054 Edi              : Uint4B   +0x058 Esi              : Uint4B   +0x05c Ebx              : Uint4B   +0x060 Ebp              : Uint4B   +0x064 ErrCode          : Uint4B +0x068 Eip              : Uint4B   //硬件自动填充   +0x06c SegCs            : Uint4B   //硬件自动填充   +0x070 EFlags           : Uint4B   //硬件自动填充    //后面都是可选的，只有当我们运行的程序处于虚拟86模式异常才会有   +0x074 HardwareEsp      : Uint4B   +0x078 HardwareSegSs    : Uint4B   +0x07c V86Es            : Uint4B   +0x080 V86Ds            : Uint4B   +0x084 V86Fs            : Uint4B   +0x088 V86Gs            : Uint4B

整个陷阱帧结构记录中断发生时的寄存器环境，其中，结构体最后面的几个成员只有运行于虚拟86模式下才会存在，而Eip,SegCs和EFlags三个成员由硬件自动填充，然后剩下的成员才是由KiTrap03自己构建的陷阱帧，我们可以分析下KiTrap03的代码，由于在wrk中只有asm文件，没有C源代码，用ida进行分析

.text:00436C50 _KiTrap03 proc near           ; DATA XREF: INIT:0077317Co.text:00436C50.text:00436C50 var_2= word ptr -2.text:00436C50 arg_4= dword ptr  8.text:00436C50.text:00436C50 push    0                     ; Trap_frame.Errcode.text:00436C52 mov     [esp+4+var_2], 0      ; Trap_frame.Errcode = 0.text:00436C59 push    ebp                   ; Trap_frame.Ebp.text:00436C5A push    ebx                   ; Trap_frame.Ebx.text:00436C5B push    esi                   ; Trap_frame.Esi.text:00436C5C push    edi                   ; Trap_frame.Edi.text:00436C5D push    fs                    ; Trap_frame.SegFs.text:00436C5F mov     ebx, 30h.text:00436C64 mov     fs, bx.text:00436C67 mov     ebx, large fs:0       ; fs对应处理器相关的_KPCR结构，kpcr，那么得到的是.text:00436C67                               ; kpcr.NtTib.ExceptionList.text:00436C6E push    ebx                   ; Trap_frame.ExceptionList.text:00436C6F sub     esp, 4                ; Trap_frame.PreviousPreviousMode，在后面填充.text:00436C72 push    eax                   ; Trap_frame.Eax.text:00436C73 push    ecx                   ; Trap_frame.Ecx.text:00436C74 push    edx                   ; Trap_frame.Edx.text:00436C75 push    ds                    ; Trap_frame.SegDs.text:00436C76 push    es                    ; Trap_frame.SegEs.text:00436C77 push    gs                    ; Trap_frame.SegGs.text:00436C79 mov     ax, 23h               ; ？？？.text:00436C7D sub     esp, 30h              ; 继续增大栈空间，刚好是整个Trap_Frame的大小.text:00436C80 mov     ds, ax                ; ？？？.text:00436C83 mov     es, ax.text:00436C86 mov     ebp, esp              ; ebp指向Trap_frame.text:00436C88 test    [esp+68h+arg_4], 20000h ; Trap_frame.EFlags，0x2000代表EFLAGS_V86_MASK，.text:00436C88                               ; 标记虚拟86模式.text:00436C90 jnz     short V86_kit3_a      ; 如果是虚拟86模式跳转.text:00436C92.text:00436C92 loc_436C92:                   ; CODE XREF: V86_kit3_a+25j.text:00436C92 mov     ecx, large fs:124h    ; ecx = CurrentThread.text:00436C92                               ; +0x004 CurrentThread    : Ptr32 _KTHREAD  当前线程 ecx.text:00436C99 cld.text:00436C9A and     dword ptr [ebp+2Ch], 0 ; Trap_frame.Dr7清零.text:00436C9E test    byte ptr [ecx+3], 0DFh.text:00436CA2 jnz     Dr_kit3_a.text:00436CA8.text:00436CA8 loc_436CA8:                   ; CODE XREF: Dr_kit3_a+Dj.text:00436CA8                               ; Dr_kit3_a+79j.text:00436CA8 mov     ebx, [ebp+60h].text:00436CAB mov     edi, [ebp+68h].text:00436CAE mov     [ebp+0Ch], edx        ; Trap_frame.DbgArgPointer = edx.text:00436CB1 mov     dword ptr [ebp+8], 0BADB0D00h ; Trap_frame.DbgArgMark = 0BADB0D00h.text:00436CB8 mov     [ebp+0], ebx          ; Trap_frame.DbgEbp = kTrap_frame.Ebp.text:00436CBB mov     [ebp+4], edi          ; Trap_frame.DbgEip = kTrap_frame.Eip.text:00436CBE cmp     ds:_PoHiberInProgress, 0.text:00436CC5 jnz     short loc_436CCE.text:00436CC7 lock inc ds:_KiHardwareTrigger.text:00436CCE.text:00436CCE loc_436CCE:                   ; CODE XREF: _KiTrap03+75j.text:00436CCE mov     eax, 0.text:00436CD3.text:00436CD3 loc_436CD3:                   ; CODE XREF: _KiDebugService+7Aj.text:00436CD3 test    byte ptr [ebp+72h], 2.text:00436CD7 jnz     short loc_436D08.text:00436CD9 test    byte ptr [ebp+6Ch], 1 ; CS 最后一位，判断是否为UserMode.text:00436CDD jnz     short loc_436CE7      ; 如果是UserMode，跳转.text:00436CDF test    byte ptr [ebp+71h], 2 ; 判断Eflags.IF位是否存在.text:00436CE3 jz      short loc_436CEF.text:00436CE5 jmp     short loc_436CEE.text:00436CE7 ; ---------------------------------------------------------------------------.text:00436CE7.text:00436CE7 loc_436CE7:                   ; CODE XREF: _KiTrap03+8Dj.text:00436CE7 cmp     word ptr [ebp+6Ch], 1Bh.text:00436CEC jnz     short loc_436D08.text:00436CEE.text:00436CEE loc_436CEE:                   ; CODE XREF: _KiTrap03+95j.text:00436CEE                               ; _KiTrap03+C9j.text:00436CEE sti                           ; IF标志位存在.text:00436CEF.text:00436CEF loc_436CEF:                   ; CODE XREF: _KiTrap03+93j.text:00436CEF                               ; _KiTrap03+D6j.text:00436CEF mov     esi, ecx              ; esi=CurrentThread.text:00436CF1 mov     edi, edx.text:00436CF3 mov     edx, eax.text:00436CF5 mov     ebx, [ebp+68h]        ; ebx = kTrap_frame.Eip.text:00436CF8 dec     ebx                   ; "eip-1"是因为int 3本身占一个字节.text:00436CF9 mov     ecx, 3                ; ？？？在下层函数中会用到，到时候就知道了.text:00436CFE mov     eax, 80000003h        ; 异常类型(STATUS_BREAKPOINT).text:00436D03 call    CommonDispatchException ; 处理异常.text:00436D08.text:00436D08 loc_436D08:                   ; CODE XREF: _KiTrap03+87j.text:00436D08                               ; _KiTrap03+9Cj.text:00436D08 mov     ebx, large fs:124h.text:00436D0F mov     ebx, [ebx+50h].text:00436D12 cmp     dword ptr [ebx+148h], 0.text:00436D19 jz      short loc_436CEE.text:00436D1B push    3.text:00436D1D call    _Ki386VdmReflectException_A@4 ; Ki386VdmReflectException_A(x).text:00436D22 test    ax, 0FFFFh.text:00436D26 jz      short loc_436CEF.text:00436D28 jmp     Kei386EoiHelper@0.text:00436D28 _KiTrap03 endp

很明显，在KiTrap03中没有进行太多的处理，只是判断是否是虚拟86模式来构建了一个不同的陷阱帧结构，之后调用了CommonDispatchException 函数来处理异常。

在虚拟86模式下将会跳转到V86_kit3_a，我们可以看下实现

.text:00436C28 V86_kit3_a proc near          ; CODE XREF: _KiTrap03+40j.text:00436C28 mov     eax, [ebp+84h].text:00436C2E mov     ebx, [ebp+88h].text:00436C34 mov     ecx, [ebp+7Ch].text:00436C37 mov     edx, [ebp+80h].text:00436C3D mov     [ebp+50h], ax         ; Trap_frame.SegFs = Trap_frame.V86Fs.text:00436C41 mov     [ebp+30h], bx         ; Trap_frame.SegGs = Trap_frame.V86Gs.text:00436C45 mov     [ebp+34h], cx         ; Trap_frame.SegEs = Trap_frame.V86Es.text:00436C49 mov     [ebp+38h], dx         ; Trap_frame.SegDs = Trap_frame.V86Ds.text:00436C4D jmp     short loc_436C92.text:00436C4D V86_kit3_a endp

 

 可以看到V86_kit3_a中没有进行处理，只是将陷阱帧中保存的寄存器的值对应为虚拟86模式特有的值。

 然后跟入CommonDispatchException 函数

.text:0043641C CommonDispatchException proc near ; CODE XREF: _KiTrap00-253p.text:0043641C                               ; _KiTrap00-247p _KiTrap00-23Bp.text:0043641C                               ; _KiTrap03+B3p _KiTrap0E+21Ap.text:0043641C                               ; sub_671B78+24p.text:0043641C.text:0043641C var_50= dword ptr -50h.text:0043641C var_4C= dword ptr -4Ch.text:0043641C var_48= dword ptr -48h.text:0043641C var_44= dword ptr -44h.text:0043641C var_40= dword ptr -40h.text:0043641C var_3C= byte ptr -3Ch.text:0043641C.text:0043641C sub     esp, 50h              ; EXCEPTION_RECORD结构空间，ExceptionRecord.text:0043641F mov     [esp+50h+var_50], eax ; eax是上层调用设置的错误码，这里是.text:0043641F                               ; ExceptionRecord->ExceptionCode = eax.text:00436422 xor     eax, eax.text:00436424 mov     [esp+50h+var_4C], eax ; ExceptionRecord->ExceptionFlags = 0.text:00436428 mov     [esp+50h+var_48], eax ; ExceptionRecord->ExceptionRecord = 0.text:0043642C mov     [esp+50h+var_44], ebx ; ebx是上层调用设置的异常发生处地址，.text:0043642C                               ; ExceptionRecord->ExceptionAddress = ebx.text:00436430 mov     [esp+50h+var_40], ecx ; ExceptionRecord->NumberParameters = ecx.text:00436430                               ; 表示ExceptionRecord->ExceptionInformation数组的数量.text:00436434 cmp     ecx, 0                ; ExceptionRecord->NumberParameters为零跳转.text:00436437 jz      short loc_436445.text:00436439 lea     ebx, [esp+50h+var_3C] ; ebx = ExceptionRecord->ExceptionInformation.text:0043643D mov     [ebx], edx            ; 开始填充ExceptionInformation的信息.text:0043643F mov     [ebx+4], esi.text:00436442 mov     [ebx+8], edi.text:00436445.text:00436445 loc_436445:                   ; CODE XREF: CommonDispatchException+1Bj.text:00436445 mov     ecx, esp              ; ecx = ExceptionRecord.text:00436447 test    byte ptr [ebp+72h], 2 ; ebp还是指向TrapFrame,TrapFrame->EFlags，.text:00436447                               ; 这里是EFlags的高2字节，判断是否为虚拟86模式.text:0043644B jz      short loc_436454.text:0043644D mov     eax, 0FFFFh           ; ？？？？.text:00436452 jmp     short loc_436457.text:00436454 ; ---------------------------------------------------------------------------.text:00436454.text:00436454 loc_436454:                   ; CODE XREF: CommonDispatchException+2Fj.text:00436454 mov     eax, [ebp+6Ch]        ; eax = TrapFrame->SegCs.text:00436457.text:00436457 loc_436457:                   ; CODE XREF: CommonDispatchException+36j.text:00436457 and     eax, 1                ; Cs的低两位得到处理器模式.text:0043645A push    1                     ; FirstChance.text:0043645C push    eax                   ; PreviousMode.text:0043645D push    ebp                   ; TrapFrame.text:0043645E push    0                     ; ExceptionFrame.text:00436460 push    ecx                   ; void *.text:00436461 call    _KiDispatchException@20 ; 对异常进行分发处理.text:00436466 mov     esp, ebp              ; 修正esp，然后执行退出操作.text:00436468 jmp     Kei386EoiHelper@0.text:00436468 CommonDispatchException endp

 

可以看到CommonDispatchException也没有进行处理，只是构建了一个ExceptionRecord的结构体，就对异常进行了分发处理，进入了熟悉的KiDispatchException函数。

了解了陷阱帧的构建，再看idt表的基本结构，每个CPU的核心都有自己的idt表，

 

typedef struct _IDTR{  USHORT    limit;   //整个表所占内存大小  ULONG    base;    //IDT表项起始地址}IDTR,*PIDTR;

 

在我的虚拟机上 limit= 0x7ff (包含0)  0x800  = 2048  Entry每项大小8字节，就2048/8 = 256 成员，idt表有256个例程

可以使用kd> !idt -a  命令来查看idt表的详细信息，可以发现就是有256个例程

idt表中的每一项对应一种中断处理例程，结构体如下，我们最关心的是LowOffset和HiOffset这两个成员，他们组成了处理例程地址的高16位和低16位

typedef struct _IDTENTRY{    unsigned short LowOffset;    unsigned short selector;    unsigned char retention:5;    unsigned char zero1:3;    unsigned char gate_type:1;    unsigned char zero2:1;    unsigned char interrupt_gate_size:1;    unsigned char zero3:1;    unsigned char zero4:1;    unsigned char DPL:2;    unsigned char P:1;    unsigned short HiOffset;} IDTENTRY,*PIDTENTRY;

 

利用MAKELONG 的宏，可以得到处理例程的真正地址

#define MAKELONG(a, b)      ((LONG)(((WORD)(((DWORD_PTR)(a)) & 0xffff)) | ((DWORD)((WORD)(((DWORD_PTR)(b)) & 0xffff))) << 16))

 

idt表的获得可以通过sidt指令或者时_KPCR中的成员获得，在内核态fs段寄存器是指向_KPCR结构。

kd> dt _kpcr...... +0x038 IDT              ; Ptr32 _KIDTENTRY......

 

 

 

下面的代码打印了每次触发INT 3断点的地址，可以用OD下普通的断点进行测试，可以打印出断点的地址。

ULONG_PTR g_OrigKiTrap03;KIRQL  Irql;_declspec(naked) void NewKiTrap03(){    __asm    {        //测试        //jmp g_OrigKiTrap03        //构建Trap03的异常帧        //保存现场环境,和原始Trap03一样        push    0   ;ErrorCode        push    ebp        push    ebx        push    esi        push    edi        push    fs        mov     ebx,30h        mov     fs,bx        mov     ebx,dword ptr fs:[0]        push    ebx        sub     esp,4        push    eax        push    ecx        push    edx        push    ds        push    es        push    gs        sub     esp,30h    //esp此时就指向陷阱帧        push    esp         //FilterExceptionInfo自己清理了        call   FilterExceptionInfo   //过滤函数        add     esp , 0x30        pop        gs        pop        es        pop        ds        pop        edx        pop        ecx        pop        eax        add        esp , 4        pop        ebx        pop        fs        pop        edi        pop        esi        pop        ebx        pop        ebp        add     esp , 0x4        jmp     g_OrigKiTrap03    }}VOID __stdcall FilterExceptionInfo(PX86_KTRAP_FRAME pTrapFrame){    //eip的值减一过int3，汇编代码分析中dec，     DbgPrint("Eip:%x\r\n",(pTrapFrame->Eip)-1);}NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryString){    NTSTATUS    Status = STATUS_SUCCESS;    IDTR Idtr;    PIDTENTRY pIdtArray = NULL;    ULONG_PTR Index = 0;    DriverObject->DriverUnload = UnloadDriver;        __asm sidt Idtr    //虚拟机是单核的，只用一个就可以了    if(KeGetIdt(&pIdtArray))    {        DbgPrint("%x---%x\r\n",Idtr.base,Idtr.limit);        for (Index =0;Index<(Idtr.limit+1)/sizeof(IDTENTRY);Index++)                 {            DbgPrint("TrapHandle[%d]:%x\r\n",Index,MAKELONG(pIdtArray[Index].LowOffset,pIdtArray[Index].HiOffset));        }        g_OrigKiTrap03 = MAKELONG(pIdtArray[3].LowOffset,pIdtArray[3].HiOffset);        WPOFF();        pIdtArray[3].LowOffset = (ULONG_PTR)NewKiTrap03 & 0xFFFF;  //低16位        pIdtArray[3].HiOffset =  (ULONG_PTR)NewKiTrap03 >> 16;     //高16位        WPON();    }        //limit 0x7ff (包含0)  0x800  = 2048  Entry每项大小8字节，就2048/8 = 256 成员    //!idt -a   0ff  = 256     //MAKELONG    //#define MAKELONG(a, b)      ((LONG)(((WORD)(((DWORD_PTR)(a)) & 0xffff)) | ((DWORD)((WORD)(((DWORD_PTR)(b)) & 0xffff))) << 16))    return Status;}BOOLEAN KeGetIdt(PIDTENTRY *pIdtArray){    ULONG Index,Affinity,CurrentAffinity;    pfnKESETAFFINITYTHREAD fnpKeSetAffinityThread;    UNICODE_STRING usFuncName;    PIDTENTRY pIdtEntry;    RtlInitUnicodeString(&usFuncName,L"KeSetAffinityThread");    fnpKeSetAffinityThread = (pfnKESETAFFINITYTHREAD)MmGetSystemRoutineAddress(&usFuncName);    if (fnpKeSetAffinityThread==0)    {        return FALSE;    }    Affinity = KeQueryActiveProcessors();                        //KeQueryActiveProcessors获取处理器相关的位图    //(这里的位图可以理解为个数，比如返回1代表一个处理器，返回3表示两个处理器，返回7表示三个处理器，依此类推。    //也就是说从有多少个处理器，那么Affinity的值就会从低位到高位依此填充多少位)    CurrentAffinity = 1;    Index = 0;    while(Affinity)    {        //下面只是个简单的算法，使当前线程运行到不同的处理器上        Affinity &= ~CurrentAffinity;        fnpKeSetAffinityThread(PsGetCurrentThread(),(KAFFINITY)CurrentAffinity);        CurrentAffinity <<= 1;        __asm{            push        eax            mov         eax,fs:[0x38]            mov         pIdtEntry,eax            pop         eax        }        //得到我们要的东西        pIdtArray[Index] = pIdtEntry;        Index++;    }    return TRUE;}VOID WPOFF(){    ULONG_PTR cr0 = 0;    Irql = KeRaiseIrqlToDpcLevel();    cr0 =__readcr0();    cr0 &= 0xfffffffffffeffff;    __writecr0(cr0);}VOID WPON(){    ULONG_PTR cr0=__readcr0();    cr0 |= 0x10000;    __writecr0(cr0);    KeLowerIrql(Irql);}VOID UnloadDriver(PDRIVER_OBJECT DriverObject){    //恢复    PIDTENTRY pIdtEntry;    if (g_OrigKiTrap03 && KeGetIdt(&pIdtEntry))    {        WPOFF();        pIdtEntry[3].LowOffset = g_OrigKiTrap03 & 0xFFFF;        pIdtEntry[3].HiOffset = g_OrigKiTrap03 >> 16;        WPON();    }}