社区:
如何编写BIOS模块
BIOS是分模块组合在一起的。这里对PCI及ISA模块作下简单分析,VGA模块跟PCI模块几乎一样。模块主要是头部有个规范,该规范适合所有BIOS系统。具体可以参看《PCI系统结构》及其他书籍。
源代码实例可以参看国外ROMOS开源项目,该开源项目的思想很值得学习。该项目讲解了如何在BIOS中嵌入一个小型DOS,如:FreeDos。采用了把整个DOS系统盘镜像植入BIOS中,跟早期的PXE引导DOS机制类似,然后HOOK磁盘中断,模拟DOS系统盘镜像出一个盘,源代码编译后只有900多字节。这种思想在早期还是很值得学习的。
实模式关于HOOK磁盘中断问题
很早前就有业界内人士发贴问,为什么在我的ROM模块中HOOK磁盘中断会失败呢?关于这个问题现在目前网上已经有人作出过回答,国外的开源项目在2003年我都看到过。
由于我们的ROM模块过早的运行,可能运行在磁盘服务前面了,这时如果HOOK Int 13h会因为BIOS加载磁盘服务时重写Int 13h IVT值,故我们设法HOOK其他服务,这个服务要求较早被BIOS安装且不会再次修改且加载操作系统前调用,最佳的这个服务选择就是int 18h、int19h服务。可以参看
BIOS源代码,也可以参看PXE SDK说明文档略有讲过。
我们的磁盘服务代码建议放在实模式高端内存,通过BIOS数据区域可修改,内存40:13,即物理地址413h处的值。降低常规内存值,高端的内存就留给我们用。我们的保护模式下运行的代码建议也放在这段内存,且要求放在以页基址开始的内存中,以便后面代码的页映射我们的保护模式代码物理页。页基址:内存物理页地地址开始的低12位为零,参看《80386保护模式教程》。
若我们的代码直接在内存的ROM映射区内,可能导致在NT下访问不到我们的代码,因为NT内核加载程序ntldr可能不会映射该段内存,甚至可能BIOS在使用后都会关闭ROM区域这段内存,而且ROM区域这段内存在初始化后被系统BIOS设置成只读不能写。当然我们可以采取用int 15h服务对ROM区域这段内存映射。
当然也可以在NT启动过程中,在我们的磁盘服务中对想映射的内存都映射。由于代码大小的限制,故有些没必要的代码。尽量不使用了。
磁盘中断服务中再次HOOK问题
为了使我们的程序再次获得CPU运行机会,我们不得不得再次设法。调试发现NTLDR进入保护模式后在加载NT内核文件时,会切换CPU到实模式调用Int 13H服务进行磁盘读。
我们挂接磁盘服务就是为了截取NTLDR的读操作,这里我们可以HOOK 或者修改NTLDR另一部分OsLoader的代码,跳转到我们的代码执行。当然也可以直接HOOK ntosknrl导出的服务,参看我在2008.4.1发布的“程序从DOS/BIOS驻留内存到WINNT下监视内存数据”。
注意,HOOK OsLoader的代码时选择HOOK指令问题,由于NTLDR切换到实模式读取数据,读完后会在保护模式下搬移数据到规划位置,进行内核的安装。故HOOK时选择HOOK指令就选择FFh/15h:使用CALL NEAR [OFS32]指令进行,该指令寻址采用绝对地址,类似指令也可以。
当然我们的代码再次运行就会运行在OsLoader代码被我们HOOK处,调用我我们的代码执行,这时我们的代码运行环境:DS = ES = 10h保护模式段,内存模式: FLAT。在这里我们可以通过扫描_BlLoaderData数据结构,获取NTOSKRNL镜像基址。
可以通过PE搜索NTOSKRNL导出的API,可以参看网上相关教程。现在再次HOOK NTOSKRNL导出函数KeAddSystemServiceTable,HOOK该函数
可以截获win32k.sys添加它自己的服务,以便我们再再次HOOk win32.sys导出函数NtUserRegisterClassExWOW。HOOK该函数可以截取所有应用层程序注册窗口类,以便我们再再再次HOOK窗口类过程。这时我们的代码就运行在NT的应用层模式下。
NT保护模式下设置物理地址映射
先看一个WinDbg实例关于在我们的磁盘服务中获取CR3值修改页映射的分析,以前我的分析内容:
NT内核被加载高端的2GB内存(80000000h~0ffffffffh)。参看NT内存安排..
a、win2k adv ser: WINDBG 看到 NT Kernel base = 0x80400000 也就是NTOSKRNL.exe加载位置
kd> r @cr3 ;断点位置在NTOSKRNL.exe里现在还没有应用程序故低端内存还未使用
cr3=00030000 ;->页目录表所在物理页(物理地址30000h)
kd> d 80030000 80030800 ;看页目录发现现在低端2GB(0~80000000h)还未分配
80030000 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
80030010 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
80030020 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
kd> d 80030800 ;看高端开始分配情况页表(80000000h开始的分配情况)
80030800 63 21 03 00 63 41 03 00-63 51 03 00 63 31 03 00 c!..cA..cQ..c1..
80030810 63 11 7c 00 63 21 7c 00-63 31 7c 00 63 41 7c 00 c.|.c!|.c1|.cA|.
80030820 63 51 7c 00 63 61 7c 00-63 71 7c 00 63 81 7c 00 cQ|.ca|.cq|.c.|.
;实例1:看80400000h(NT Kernel base),这个线性地址到物理地址映射情况.
;线性地址最高10位页目录项(每项占4Byte):80400000h最高10位=201h.
;在页目表位置:201h*4=804h 在内存地址=[cr3]+804h..具体看保护模式教程
kd> d 80030000+804 ;看在页目录表位置的值
80030804 63 41 03 00 63 51 03 00-63 31 03 00 63 11 7c 00 cA..cQ..c1..c.|.
;二级页表所在物理页地址:63 41 03 00转换下34163h,物理页地址:34000h,163h是页属性.
kd> d 80034000 ;看在页表的值
80034000 63 01 40 00 63 11 40 00-63 21 40 00 63 31 40 00 c.@.c.@.c!@.c1@.
;物理地址基址:63 01 40 00转换下400163h,#物理地址基址#:400000h,163h是页属性
;最后发现物理地址基址(页地址)在400000h..观察物理地址400000h是NTOSKRNL.exe映像.
kd> d 80400000 ;观察物理地址400000h
80400000 4d 5a 90 00 03 00 00 00-04 00 00 00 ff ff 00 00 MZ..............
80400010 b8 00 00 00 00 00 00 00-40 00 00 00 00 00 00 00 ........@.......
;实例2:看我们代码映射情况我们代码在物理地址:9e000h从线性地址8009e000h分析映射情况
;8009e000h在页目录位置最高10位=200h*4,在内存地址=[CR3]+200h*4...
kd> d 80030000+200*4
80030800 63 21 03 00 63 41 03 00-63 51 03 00 63 31 03 00 c!..cA..cQ..c1..
;二级页表对应物理地址:63 21 03 00转换下物理页基址=32000h ,163是页属性
;8009e000h所在二级页表位置:32000h+9eh*4(8009e000h线性地址12~22的位)...
kd> d 80032000 + 9e *4
80032278 23 e1 09 00 03 f1 09 00-03 01 0a 00 03 11 0a 00 #...............
;物理地址基址(页基址):23 e1 09 00转换下09e000h,123是页属性..
;#实例3:Windows运行起后用的页目录表线性地址:0c0000000h映射到物理地址情况.
kd> d 80030000 + c00 ;计算略.页目录表位置,观察发现指向自己的...
80030c00 67 00 03 00 63 00 f0 17-00 00 00 00 63 31 a9 02 g...c.......c1..
b、winXP: WINDBG 看到 Kernel base = 0x804d8000 PsLoadedModuleList = 0x8055b420
kd> r @cr3 ;断点位置在NTOSKRNL.exe里现在还没有应用程序故低端内存还未使用
cr3=00039000 ;->页目录表所在物理页(页目录物理地址30000h)
kd> d 80039000 80039800 ;看页目录发现现在低端2GB(0~80000000h)还未分配
80039000 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
kd> d 80039800 ;看高端开始分配情况页表(80000000h开始的分配情况)
80039800 e9 b9 00 f6 06 a1 08 10-75 1b f6 06 a3 08 10 75 ........u......u
;实例1:看我们代码映射情况我们代码在物理地址:9e000h从线性地址8009e000h分析映射情况
;8009e000h在页目录位置最高10位=200h*4,在内存地址=[CR3]+200h*4...
kd> d 80039000+200*4
80039800 63 b1 03 00 e3 01 40 00-63 e1 03 00 e3 01 00 01 c.....@.c.......
;二级页表对应物理地址:63 b1 03 00转换下物理页基址=3b000h ,163是页属性
;8009e000h所在二级页表位置:3b000h+9eh*4(8009e000h线性地址12~22的位)...
kd> d 8003b000 + 9e *4
8003b278 03 e1 09 00 03 f1 09 00-03 01 0a 00 03 11 0a 00 ................
;物理地址基址(页基址):03 e1 09 00转换下09e000h,103是页属性..
---------> ;*#实例2:手工修改分页让物理地址映射到线性地址,WINXP.80000000h BIOS/DOS向量区没映射.#*
kd> d 80000000 ;可看到现在没映射的情况,无法通过线性地址访问.
80000000 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
80000010 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
;80000000h的最高10位确定在页目录表位置=200h*4=800h.在页目录物理地址:[cr3]+800h
kd> d 80039000+200*4;可发现二级页表已映射(63b10300)页属性163.物理地址(页)3b000h
80039800 63 b1 03 00 e3 01 40 00-63 e1 03 00 e3 01 00 01 c.....@.c.......
;80000000h的12~22位次高10位确定在二级页表位置:物理地址3b000h+0*4
kd> d 8003b000;观察发现确实没映射.全0.注意:一个页项占4字节...
8003b000 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
;修改成让它对应物理地址:000就可以,只修改允许访问就可以.也就是byte ptr [8003b000]=63
kd> e 8003b000 63
kd> d 8003b000 ;修改成功
8003b000 63 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 c...............
;观察修改后的情况.;注意:要想设置生效.让WINDBG执行下G.让0C0000000等cr3被改等..
kd> g ;让系统自动刷新TLB等寄存器....
kd> d 80000000
80000000 53 ff 00 f0 53 ff 00 f0-c3 e2 00 f0 53 ff 00 f0 S...S.......S...
;#实例3:Windows运行起后用的页目录表线性地址:0c0000000h映射到物理地址情况.
kd> d 80039000 + c00 ;计算略.页目录表位置,观察发现指向自己的...
80039c00 67 90 03 00 63 00 f0 0f-00 00 00 00 63 31 e2 01 g...c.......c1..
c、分析以上总结:发现最开始获取的cr3值一直在用。
故我们修改页项的效果会在windows运行后也生效通过以上的实例分析可以看出NT系统的页映射情况。
进入保护模式之后这个CR3的值也就是页目录表位置被映射到了虚拟地址0c0000000h。上面调试的实例页目录表地址就可以直接使用这个虚地址。 |
例如:在我们的代码中把我们的代码拷贝到SharedUserData空间未使用处去,就使用了页映射代码,直接修改第一个页指向的物理页,就是我们代码所在的物理页。
NT保护模式下线性地址寻址问题
关于我们的代码进入保护模式以后,所有指令的寻址问题,这里作一下分析。当我们代码第一个在保护模式下执行的指令,是前面提到的磁盘服务中对OsLoader的代码进入HOOK,也提到了采用什么样的HOOK指令以便寻址。
接哪之后,我们的代码就开始运行在保护模式未分页情况下,我们采取的方法是把我们的代码拷贝到SharedUserData空间未使用处,涉及到拷贝的指令也必须运行在保护模式分页下,因为SharedUserData空间是一个虚地址。
在这里我们采用了把我们的拷贝代码指令搬移到NTOSKRNL镜像的MZ与PE之间的区域,设置HOOK NTOSKRNL导出函数KeAddSystemServiceTable首先跳转到拷贝指令执行,HOOK NTOSKRNL导出函数KeAddSystemServiceTable采用相对跳转指令它们在同一个空间。
当我们的拷贝指令把我们的代码拷贝到SharedUserData空间未使用处之后,我们的代码就有一个固定的虚地址,所有后续指令都可以采用这个虚地址进行寻址。
【51CTO.COM 独家特稿,转载请注明出处及作者!】
【编辑推荐】
| 第 1 页:实验环境,使用bochs调试工具 | 第 2 页:编写BIOS模块和HOOK磁盘中断 |
