如何在windows程序中读取bios内容

发表于:2007-07-01来源:作者:点击数: 标签:
大家都知道, windows 接管了对物理内存的直接存取,而bios信息存在物理内存 的f000:0000处,关键就是如何读取物理内存。 查阅了msdn的文章后,发现以下有几个函数和物理内存访问有关: NTSTATUS ZwOpenSection(OUT PHANDLE SectionHandle, IN A CC ESS_MASK


 大家都知道,windows接管了对物理内存的直接存取,而bios信息存在物理内存
的f000:0000处,关键就是如何读取物理内存。
 查阅了msdn的文章后,发现以下有几个函数和物理内存访问有关:
NTSTATUS ZwOpenSection(OUT PHANDLE SectionHandle, IN ACCESS_MASK DesiredAclearcase/" target="_blank" >ccess,IN POBJECT_ATTRIBUTES ObjectAttributes);
NTSTATUS ZwMapViewOfSection(IN HANDLE SectionHandle,
       IN HANDLE ProcessHandle,
       IN OUT PVOID *BaseAddress,
       IN ULONG ZeroBits,
       IN ULONG CommitSize,
       IN OUT PLARGE_INTEGER SectionOffset OPTIONAL,
       IN OUT PSIZE_T ViewSize,
       IN SECTION_INHERIT InheritDisposition,
       IN ULONG AllocationType,
       IN ULONG Protect
       );
NTSTATUS ZwUnmapViewOfSection(IN HANDLE ProcessHandle,IN PVOID BaseAddress);

用到的结构定义如下

typedef struct _UNICODE_STRING {
USHORT Length;//长度
USHORT MaximumLength;//最大长度
PWSTR Buffer;//缓存指针,访问物理内存时,此处指向UNICODE字符串"\device\physicalmemory"
} UNICODE_STRING,*PUNICODE_STRING;


typedef struct _OBJECT_ATTRIBUTES {
 ULONG Length;//长度 18h
 HANDLE RootDirectory;// 00000000
 PUNICODE_STRING ObjectName;//指向对象名的指针
 ULONG Attributes;//对象属性00000040h
 PVOID SecurityDescriptor;  // Points to type SECURITY_DESCRIPTOR,0
 PVOID SecurityQualityOfService; // Points to type SECURITY_QUALITY_OF_SERVICE,0
} OBJECT_ATTRIBUTES;
typedef OBJECT_ATTRIBUTES *POBJECT_ATTRIBUTES;



函数说明
第一个函数ZwOpenSection用来打开section,第一个参数是指向HANDLE变量的指针,第二个是访问参数,第三个是指向OBJECT_ATTRIBUTES的指针
第二个函数ZwMapViewOfSection用来建立物理内存和当前进程的一段物理内存的联系,参数很多,一会在例程里再详细解释
第三个函数ZwUnmapViewOfSection用来断开物理内存和当前进程中的映射断开联系,第一个参数是进程句柄,必须掉用第二个函数时一样,第二
个是当前进程中映射的基址,由ZwMapViewOfSection返回

这三个函数都在ntdll.dll中,msdn里的帮助说这几个函数用在驱动编制上。
例程如下

//结构定义
typedef struct _UNICODE_STRING {
USHORT Length;//长度
USHORT MaximumLength;//最大长度
PWSTR Buffer;//缓存指针
} UNICODE_STRING,*PUNICODE_STRING;

typedef struct _OBJECT_ATTRIBUTES {
 ULONG Length;//长度 18h
 HANDLE RootDirectory;// 00000000
 PUNICODE_STRING ObjectName;//指向对象名的指针
 ULONG Attributes;//对象属性00000040h
 PVOID SecurityDescriptor;  // Points to type SECURITY_DESCRIPTOR,0
 PVOID SecurityQualityOfService; // Points to type SECURITY_QUALITY_OF_SERVICE,0
} OBJECT_ATTRIBUTES;
typedef OBJECT_ATTRIBUTES *POBJECT_ATTRIBUTES;

//函数指针变量类型生命
typedef DWORD (__stdcall *ZWOS)(PHANDLE,ACCESS_MASK,POBJECT_ATTRIBUTES);
typedef DWORD (__stdcall *ZWMV)(HANDLE,HANDLE,PVOID,ULONG,ULONG,PLARGE_INTEGER,PSIZE_T,DWORD,ULONG,ULONG);
typedef DWORD (__stdcall *ZWUMV)(HANDLE,PVOID);
//以上在程序开始定义全局变量处定义

//以下在程序的主函数里
//变量声明
  UNICODE_STRING struniph;
 OBJECT_ATTRIBUTES obj_ar;
 ZWOS ZWopenS;
 ZWMV ZWmapV;
 ZWUMV ZWunmapV;
 HANDLE hSection;
 DWORD ba;
 LARGE_INTEGER so;
 SIZE_T ssize;
 so.LowPart=0x000f0000;//物理内存的基址,就是f000:0000
 so.HighPart=0x00000000;
 ssize=0xffff;
 wchar_t strPH[30]=L"\\device\\physicalmemory";
//变量初始化
  ba=0;//联系后的基址将在这里返回
  struniph.Buffer=strPH;
 struniph.Length=0x2c;//注意大小是按字节算
 struniph.MaximumLength =0x2e;//也是字节
  obj_ar.Attributes =64;//属性
 obj_ar.Length =24;//OBJECT_ATTRIBUTES类型的长度
 obj_ar.ObjectName=&struniph;//指向对象的指针
 obj_ar.RootDirectory=0;
 obj_ar.SecurityDescriptor=0;
  obj_ar.SecurityQualityOfService =0;
//读入ntdll.dll,得到函数地址
  hinstLib = LoadLibrary("ntdll.dll");
 ZWopenS=(ZWOS)GetProcAddress(hinstLib,"ZwOpenSection");
  ZWmapV=(ZWMV)GetProcAddress(hinstLib,"ZwMapViewOfSection");
 ZWunmapV=(ZWUMV)GetProcAddress(hinstLib,"ZwUnmapViewOfSection");
//调用函数,对物理内存进行映射
  ZWopenS(&hSection,4,&obj_ar);
 ZWmapV(
    (HANDLE)hSection, //打开Section时得到的句柄
    (HANDLE)0xffffffff, //将要映射进程的句柄,
    &ba, //映射的基址
    0, //没怎么看明白,设为0就好了
    0xffff, //分配的大小
    &so, //物理内存的地址
    &ssize, //指向读取内存块大小的指针
    1, //子进程的可继承性设定
    0, //分配类型
    2 //保护类型
    );
  //执行后会在当前进程的空间开辟一段64k的空间,并把f000:0000到f000:ffff处的内容映射到这里
  //映射的基址由ba返回,如果映射不在有用,应该用ZwUnmapViewOfSection断开映射
BTW:
思路主要是来之上次跟踪的联想的安装验证程序,真的要感谢联想的技术人员了:-)。

原文转自:http://www.ltesting.net