第一次写东西,先贴一篇以前写的《如何在windows程序中读取bios内容》

王朝system·作者佚名  2006-01-10
窄屏简体版  字體: |||超大  

火翼是我在加入CCG(China Crack Group)时用的名字

,2003-3-2 写的,不知道现在还有没有什么应用价值了

标题:如何在windows程序中读取bios内容(物理内存内容)

作者: 火翼[CCG]

组织 : [CCG] (China Cracking Group)

今天和夜月兄讨论了一下在windows nt/2000/xp下如何读取bios信息,现在把

结果向大家汇报一下。

大家都知道,windows接管了对物理内存的直接存取,而bios信息存在物理内存

的f000:0000处,关键就是如何读取物理内存。

查阅了msdn的文章后,发现以下有几个函数和物理内存访问有关:

NTSTATUS ZwOpenSection(OUT PHANDLE SectionHandle, IN ACCESS_MASK DesiredAccess,IN POBJECT_ATTRIBUTES ObjectAttributes);

NTSTATUS ZwMapViewOfSection(IN HANDLE SectionHandle,

IN HANDLE ProcessHandle,

IN OUT PVOID *BaseAddress,

IN ULONG ZeroBits,

IN ULONG CommitSize,

IN OUT PLARGE_INTEGER SectionOffset OPTIONAL,

IN OUT PSIZE_T ViewSize,

IN SECTION_INHERIT InheritDisposition,

IN ULONG AllocationType,

IN ULONG Protect

);

NTSTATUS ZwUnmapViewOfSection(IN HANDLE ProcessHandle,IN PVOID BaseAddress);

用到的结构定义如下

typedef struct _UNICODE_STRING {

USHORT Length;//长度

USHORT MaximumLength;//最大长度

PWSTR Buffer;//缓存指针,访问物理内存时,此处指向UNICODE字符串"\device\physicalmemory"

} UNICODE_STRING,*PUNICODE_STRING;

typedef struct _OBJECT_ATTRIBUTES {

ULONG Length;//长度 18h

HANDLE RootDirectory;// 00000000

PUNICODE_STRING ObjectName;//指向对象名的指针

ULONG Attributes;//对象属性00000040h

PVOID SecurityDescriptor; // Points to type SECURITY_DESCRIPTOR,0

PVOID SecurityQualityOfService; // Points to type SECURITY_QUALITY_OF_SERVICE,0

} OBJECT_ATTRIBUTES;

typedef OBJECT_ATTRIBUTES *POBJECT_ATTRIBUTES;

函数说明

第一个函数ZwOpenSection用来打开section,第一个参数是指向HANDLE变量的指针,第二个是访问参数,第三个是指向OBJECT_ATTRIBUTES的指针

第二个函数ZwMapViewOfSection用来建立物理内存和当前进程的一段物理内存的联系,参数很多,一会在例程里再详细解释

第三个函数ZwUnmapViewOfSection用来断开物理内存和当前进程中的映射断开联系,第一个参数是进程句柄,必须掉用第二个函数时一样,第二

个是当前进程中映射的基址,由ZwMapViewOfSection返回

这三个函数都在ntdll.dll中,msdn里的帮助说这几个函数用在驱动编制上。

例程如下

//结构定义

typedef struct _UNICODE_STRING {

USHORT Length;//长度

USHORT MaximumLength;//最大长度

PWSTR Buffer;//缓存指针

} UNICODE_STRING,*PUNICODE_STRING;

typedef struct _OBJECT_ATTRIBUTES {

ULONG Length;//长度 18h

HANDLE RootDirectory;// 00000000

PUNICODE_STRING ObjectName;//指向对象名的指针

ULONG Attributes;//对象属性00000040h

PVOID SecurityDescriptor; // Points to type SECURITY_DESCRIPTOR,0

PVOID SecurityQualityOfService; // Points to type SECURITY_QUALITY_OF_SERVICE,0

} OBJECT_ATTRIBUTES;

typedef OBJECT_ATTRIBUTES *POBJECT_ATTRIBUTES;

//函数指针变量类型生命

typedef DWORD (__stdcall *ZWOS)(PHANDLE,ACCESS_MASK,POBJECT_ATTRIBUTES);

typedef DWORD (__stdcall *ZWMV)(HANDLE,HANDLE,PVOID,ULONG,ULONG,PLARGE_INTEGER,PSIZE_T,DWORD,ULONG,ULONG);

typedef DWORD (__stdcall *ZWUMV)(HANDLE,PVOID);

//以上在程序开始定义全局变量处定义

//以下在程序的主函数里

//变量声明

UNICODE_STRING struniph;

OBJECT_ATTRIBUTES obj_ar;

ZWOS ZWopenS;

ZWMV ZWmapV;

ZWUMV ZWunmapV;

HANDLE hSection;

DWORD ba;

LARGE_INTEGER so;

SIZE_T ssize;

so.LowPart=0x000f0000;//物理内存的基址,就是f000:0000

so.HighPart=0x00000000;

ssize=0xffff;

wchar_t strPH[30]=L"\\device\\physicalmemory";

//变量初始化

ba=0;//联系后的基址将在这里返回

struniph.Buffer=strPH;

struniph.Length=0x2c;//注意大小是按字节算

struniph.MaximumLength =0x2e;//也是字节

obj_ar.Attributes =64;//属性

obj_ar.Length =24;//OBJECT_ATTRIBUTES类型的长度

obj_ar.ObjectName=&struniph;//指向对象的指针

obj_ar.RootDirectory=0;

obj_ar.SecurityDescriptor=0;

obj_ar.SecurityQualityOfService =0;

//读入ntdll.dll,得到函数地址

hinstLib = LoadLibrary("ntdll.dll");

ZWopenS=(ZWOS)GetProcAddress(hinstLib,"ZwOpenSection");

ZWmapV=(ZWMV)GetProcAddress(hinstLib,"ZwMapViewOfSection");

ZWunmapV=(ZWUMV)GetProcAddress(hinstLib,"ZwUnmapViewOfSection");

//调用函数,对物理内存进行映射

ZWopenS(&hSection,4,&obj_ar);

ZWmapV(

(HANDLE)hSection, //打开Section时得到的句柄

(HANDLE)0xffffffff, //将要映射进程的句柄,

&ba, //映射的基址

0, //没怎么看明白,设为0就好了

0xffff, //分配的大小

&so, //物理内存的地址

&ssize, //指向读取内存块大小的指针

1, //子进程的可继承性设定

0, //分配类型

2 //保护类型

);

//执行后会在当前进程的空间开辟一段64k的空间,并把f000:0000到f000:ffff处的内容映射到这里

//映射的基址由ba返回,如果映射不在有用,应该用ZwUnmapViewOfSection断开映射

BTW:

思路主要是来之上次跟踪的联想的安装验证程序,真的要感谢联想的技术人员了:-)。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有  導航