如何在windows程序中读取bios内容(物理内存内容)

原创 2004年08月31日 13:50:00

作者: 火翼[CCG] 

组织 : [CCG] (China Cracking Group) 

  今天和夜月兄讨论了一下在windows nt/2000/xp下如何读取bios信息,现在把 

结果向大家汇报一下。 

  大家都知道,windows接管了对物理内存的直接存取,而bios信息存在物理内存 

的f000:0000处,关键就是如何读取物理内存。 

  查阅了msdn的文章后,发现以下有几个函数和物理内存访问有关: 

NTSTATUS ZwOpenSection(OUT PHANDLE SectionHandle, IN ACCESS_MASK DesiredAccess,IN POBJECT_ATTRIBUTES ObjectAttributes); 

NTSTATUS ZwMapViewOfSection(IN HANDLE SectionHandle, 

  IN HANDLE ProcessHandle, 

  IN OUT PVOID *BaseAddress, 

  IN ULONG ZeroBits, 

  IN ULONG CommitSize, 

  IN OUT PLARGE_INTEGER SectionOffset OPTIONAL, 

  IN OUT PSIZE_T ViewSize, 

  IN SECTION_INHERIT InheritDisposition, 

  IN ULONG AllocationType, 

  IN ULONG Protect 

  ); 

NTSTATUS ZwUnmapViewOfSection(IN HANDLE ProcessHandle,IN PVOID BaseAddress); 

 

用到的结构定义如下 

 

typedef struct _UNICODE_STRING { 

 USHORT Length;//长度 

 USHORT MaximumLength;//最大长度 

 PWSTR Buffer;//缓存指针,访问物理内存时,此处指向UNICODE字符串"/device/physicalmemory" 

} UNICODE_STRING,*PUNICODE_STRING; 

 

 

typedef struct _OBJECT_ATTRIBUTES { 

  ULONG Length;//长度 18h 

  HANDLE RootDirectory;// 00000000 

  PUNICODE_STRING ObjectName;//指向对象名的指针 

  ULONG Attributes;//对象属性00000040h 

  PVOID SecurityDescriptor; // Points to type SECURITY_DESCRIPTOR,0 

  PVOID SecurityQualityOfService; // Points to type SECURITY_QUALITY_OF_SERVICE,0 

} OBJECT_ATTRIBUTES; 

typedef OBJECT_ATTRIBUTES *POBJECT_ATTRIBUTES; 

 

 

函数说明 

第一个函数ZwOpenSection用来打开section,第一个参数是指向HANDLE变量的指针,第二个是访问参数,第三个是指向OBJECT_ATTRIBUTES的指针 

第二个函数ZwMapViewOfSection用来建立物理内存和当前进程的一段物理内存的联系,参数很多,一会在例程里再详细解释 

第三个函数ZwUnmapViewOfSection用来断开物理内存和当前进程中的映射断开联系,第一个参数是进程句柄,必须掉用第二个函数时一样,第二 

个是当前进程中映射的基址,由ZwMapViewOfSection返回 

 

这三个函数都在ntdll.dll中,msdn里的帮助说这几个函数用在驱动编制上。 

例程如下 

 

//结构定义 

typedef struct _UNICODE_STRING { 

 USHORT Length;//长度 

 USHORT MaximumLength;//最大长度 

 PWSTR Buffer;//缓存指针 

} UNICODE_STRING,*PUNICODE_STRING; 

 

typedef struct _OBJECT_ATTRIBUTES { 

  ULONG Length;//长度 18h 

  HANDLE RootDirectory;// 00000000 

  PUNICODE_STRING ObjectName;//指向对象名的指针 

  ULONG Attributes;//对象属性00000040h 

  PVOID SecurityDescriptor; // Points to type SECURITY_DESCRIPTOR,0 

  PVOID SecurityQualityOfService; // Points to type SECURITY_QUALITY_OF_SERVICE,0 

} OBJECT_ATTRIBUTES; 

typedef OBJECT_ATTRIBUTES *POBJECT_ATTRIBUTES; 

 

//函数指针变量类型生命 

typedef DWORD (__stdcall *ZWOS)(PHANDLE,ACCESS_MASK,POBJECT_ATTRIBUTES); 

typedef DWORD (__stdcall *ZWMV)(HANDLE,HANDLE,PVOID,ULONG,ULONG,PLARGE_INTEGER,PSIZE_T,DWORD,ULONG,ULONG); 

typedef DWORD (__stdcall *ZWUMV)(HANDLE,PVOID); 

//以上在程序开始定义全局变量处定义 

 

//以下在程序的主函数里 

//变量声明 

  UNICODE_STRING struniph; 

  OBJECT_ATTRIBUTES obj_ar; 

  ZWOS ZWopenS; 

  ZWMV ZWmapV; 

  ZWUMV ZWunmapV; 

  HANDLE hSection; 

  DWORD ba; 

  LARGE_INTEGER so; 

  SIZE_T ssize; 

  so.LowPart=0x000f0000;//物理内存的基址,就是f000:0000 

  so.HighPart=0x00000000; 

  ssize=0xffff; 

  wchar_t strPH[30]=L"//device//physicalmemory"; 

//变量初始化 

  ba=0;//联系后的基址将在这里返回 

  struniph.Buffer=strPH; 

  struniph.Length=0x2c;//注意大小是按字节算 

  struniph.MaximumLength =0x2e;//也是字节 

  obj_ar.Attributes =64;//属性 

  obj_ar.Length =24;//OBJECT_ATTRIBUTES类型的长度 

  obj_ar.ObjectName=&struniph;//指向对象的指针 

  obj_ar.RootDirectory=0; 

  obj_ar.SecurityDescriptor=0; 

  obj_ar.SecurityQualityOfService =0; 

//读入ntdll.dll,得到函数地址 

  hinstLib = LoadLibrary("ntdll.dll"); 

  ZWopenS=(ZWOS)GetProcAddress(hinstLib,"ZwOpenSection"); 

  ZWmapV=(ZWMV)GetProcAddress(hinstLib,"ZwMapViewOfSection"); 

  ZWunmapV=(ZWUMV)GetProcAddress(hinstLib,"ZwUnmapViewOfSection"); 

//调用函数,对物理内存进行映射 

  ZWopenS(&hSection,4,&obj_ar); 

  ZWmapV( 

  (HANDLE)hSection, //打开Section时得到的句柄 

  (HANDLE)0xffffffff, //将要映射进程的句柄, 

  &ba, //映射的基址 

  0, //没怎么看明白,设为0就好了 

  0xffff, //分配的大小 

  &so, //物理内存的地址 

  &ssize, //指向读取内存块大小的指针 

  1, //子进程的可继承性设定 

  0, //分配类型 

  2 //保护类型 

  ); 

  //执行后会在当前进程的空间开辟一段64k的空间,并把f000:0000到f000:ffff处的内容映射到这里 

  //映射的基址由ba返回,如果映射不在有用,应该用ZwUnmapViewOfSection断开映射 

BTW: 

思路主要是来之上次跟踪的联想的安装验证程序,真的要感谢联想的技术人员了:-)。 

 

//---------------------------------------------------------------------------------------------------

这是篇看雪论坛的老贴了,我以前根据火翼的介绍做过一个实例!

/*test to read bios

author:jamesjoo(kobe)

*/

#include 〈windows.h〉

#include 〈winbase.h〉

#include 〈string.h〉

#include 〈stdio.h〉

//#include "j:/ntddk/inc/wdm.h"

///////////

//结构定义 

typedef struct _UNICODE_STRING { 

 USHORT Length;//长度 

 USHORT MaximumLength;//最大长度 

 PWSTR Buffer;//缓存指针 

} UNICODE_STRING,*PUNICODE_STRING; 

typedef struct _OBJECT_ATTRIBUTES { 

  ULONG Length;//长度 18h 

  HANDLE RootDirectory;// 00000000 

  PUNICODE_STRING ObjectName;//指向对象名的指针 

  ULONG Attributes;//对象属性00000040h 

  PVOID SecurityDescriptor; // Points to type SECURITY_DESCRIPTOR,0 

  PVOID SecurityQualityOfService; // Points to type SECURITY_QUALITY_OF_SERVICE,0 

} OBJECT_ATTRIBUTES; 

typedef OBJECT_ATTRIBUTES *POBJECT_ATTRIBUTES; 

 

//函数指针变量类型生命 

typedef DWORD (__stdcall *ZWOS)(PHANDLE,ACCESS_MASK,POBJECT_ATTRIBUTES); 

typedef DWORD (__stdcall *ZWMV)(HANDLE,HANDLE,PVOID,ULONG,ULONG,PLARGE_INTEGER,PSIZE_T,DWORD,ULONG,ULONG); 

typedef DWORD (__stdcall *ZWUMV)(HANDLE,PVOID); 

//以上在程序开始定义全局变量处定义 

/////////////////////////////////////////////////////

void main()

{

UNICODE_STRING struniph; 

  OBJECT_ATTRIBUTES obj_ar; 

  ZWOS ZWopenS; 

  ZWMV ZWmapV; 

  ZWUMV ZWunmapV; 

  HANDLE hSection;

HINSTANCE hinstLib; 

  DWORD ba; 

  LARGE_INTEGER so; 

  SIZE_T ssize; 

  so.LowPart=0x000f0000;//物理内存的基址,就是f000:0000 

  so.HighPart=0x00000000; 

  ssize=0xffff; 

  wchar_t strPH[30]=L"//device//physicalmemory"; 

//变量初始化 

  ba=0;//联系后的基址将在这里返回 

  struniph.Buffer=strPH; 

  struniph.Length=0x2c;//注意大小是按字节算 

  struniph.MaximumLength =0x2e;//也是字节 

  obj_ar.Attributes =64;//属性 

  obj_ar.Length =24;//OBJECT_ATTRIBUTES类型的长度 

  obj_ar.ObjectName=&struniph;//指向对象的指针 

  obj_ar.RootDirectory=0; 

  obj_ar.SecurityDescriptor=0; 

  obj_ar.SecurityQualityOfService =0; 

//读入ntdll.dll,得到函数地址 

  hinstLib = LoadLibrary("ntdll.dll"); 

  ZWopenS=(ZWOS)GetProcAddress(hinstLib,"ZwOpenSection"); 

  ZWmapV=(ZWMV)GetProcAddress(hinstLib,"ZwMapViewOfSection"); 

  ZWunmapV=(ZWUMV)GetProcAddress(hinstLib,"ZwUnmapViewOfSection"); 

//调用函数,对物理内存进行映射 

  ZWopenS(&hSection,4,&obj_ar); 

  ZWmapV( 

  (HANDLE)hSection, //打开Section时得到的句柄 

  (HANDLE)0xffffffff, //将要映射进程的句柄, 

  &ba, //映射的基址 

  0, //没怎么看明白,设为0就好了 

  0xffff, //分配的大小 

  &so, //物理内存的地址 

  &ssize, //指向读取内存块大小的指针 

  1, //子进程的可继承性设定 

  0, //分配类型 

  2 //保护类型 

  ); 

  //执行后会在当前进程的空间开辟一段64k的空间,并把f000:0000到f000:ffff处的内容映射到这里 

  //映射的基址由ba返回,如果映射不在有用,应该用ZwUnmapViewOfSection断开映射 

//for(int i=0;i〈64000;++i)

//{if((i%8)==0) printf("/n");

// int num=(int)*(ba+i);

 

// printf("%x ",num);

//}

// ZwUnmapViewOfSection((HANDLE)0xffffffff,ba);

FreeLibrary(hinstLib);

}

如何在windows程序中读取bios内容

大家都知道,windows接管了对物理内存的直接存取,而bios信息存在物理内存的f000:0000处,关键就是如何读取物理内存。 查阅了msdn的文章后,发现以下有几个函数和物理内存访问有关: N...
  • DVBMAN88
  • DVBMAN88
  • 2013年09月09日 10:40
  • 429

[Intel汇编-NASM]程序的加载以及硬盘访问

1. 用户程序的结构:     1) 一般源程序都以段的形式进行组织,这样可以使逻辑更加清晰,在NASM中使用section关键字定义一个段,形式是:section 段名     2) 程序可以用...
  • Lirx_Tech
  • Lirx_Tech
  • 2015年01月13日 19:00
  • 1574

读取任意进程内存

用进程快照信息找到进程,打开后读取内存,没什么技术含量。。 void CReadMemDlg::OnBtnRead() { UpdateData(); void *nAddr; UIN...
  • kingpharaoh
  • kingpharaoh
  • 2015年09月05日 10:51
  • 399

Window内存详解(五) VMMAP内存查看工具

下面我根据VMMap来详细介绍一下内存的分类。 内存是一个很复杂的系统,其中的paging file,sharable memory,reserve和commit等概念使得要算清楚一个进程到底使...
  • woddle
  • woddle
  • 2015年04月28日 16:30
  • 2673

利用BIOS中断获取内存容量

通过BIOS的0x15中断来获取物理内存大小。
  • q936330007
  • q936330007
  • 2016年08月28日 11:00
  • 331

Linux下直接读写物理地址内存

虚拟 转 物理地址  virt_to_phys( *addr ); 物理 转 虚拟地址  phys_to_virt( *addr ); --------------------------------...
  • fz835304205
  • fz835304205
  • 2013年11月26日 14:04
  • 5557

理解内存----物理和虚拟内存

物理内存 物理内存通常涉及到RAM(随机存取存储器),但它实际上还包括系统页面文件。RAM也称为主存或系统存储器,因为它是直接由CPU寻址。它被认为是你可以使用的最快的存储类型,但它是易失的,这意味着...
  • Burgess_Liu
  • Burgess_Liu
  • 2014年01月01日 17:45
  • 2029

BIOS加载MBR到内存地址0x7C00的由来

为嘛BIOS将MBR读入0x7C00地址处(x86平台下) http://www.douban.com/note/249471773/ 2012-11-27 14:03...
  • Witch_Soya
  • Witch_Soya
  • 2014年04月07日 19:13
  • 3104

window系统内存获取函数【C++】

windows系统资源的获取函数主要有2个:GetPerformanceInfo  和 GlobalMemoryStatusEx 定义如下:...
  • sirria1
  • sirria1
  • 2016年10月19日 14:10
  • 1919

C 获取内存信息并输出

headfile.h #include #include #include #define TRUE 1 #define FALSE 0 #define MAX 10000 typedef...
  • afandaafandaafanda
  • afandaafandaafanda
  • 2015年04月11日 08:20
  • 631
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:如何在windows程序中读取bios内容(物理内存内容)
举报原因:
原因补充:

(最多只允许输入30个字)