总结进入RING0的方法

关于进入RING0层的方法，大家一定听说过不少，我在复习保护模式编程中将一些进RING0
的方法;总结了一下，包括调用门，任务门，中断门，陷阱门等，这些方法都是直接利用
IA32的方法，所以和操作系统应该没有多大关系，当然由于NT内核对GDT，IDT，的保护所
以我们不能用这些方法，不过如果一旦突破了NT的保护，那么所有的方法就都可以使用了，
其他的还有SEH等方法，我在前面的文章中也有介绍。

-----------------Code---

;========================================
;　　　　　　WOWOCOCK　 编写　　　　　　;
;========================================　
　　　 .586p
　　　 .model flat, stdcall
　　　 option casemap :none　 ; case sensitive
　　　 include /masm32/include/windows.inc
　　　 include /masm32/include/kernel32.inc
　　　 include /masm32/include/user32.inc
　　　 includelib /masm32/lib/kernel32.lib
　　　 includelib /masm32/lib/user32.lib
;;--------------
TSS　　　　　　 STRUC
TRLink　　　　　dw　　　0　　　;链接字段
　　　　　　　　 dw　　　0　　　;不使用,置为0
TRESP0　　　　　dd　　　0　　　;0级堆栈指针
TRSS0　　　　　 dw　　　0　　　;0级堆栈段寄存器
　　　　　　　　 dw　　　0　　　;不使用,置为0
TRESP1　　　　　dd　　　0　　　;1级堆栈指针
TRSS1　　　　　 dw　　　0　　　;1级堆栈段寄存器
　　　　　　　　 dw　　　0　　　;不使用,置为0
TRESP2　　　　　dd　　　0　　　;2级堆栈指针
TRSS2　　　　　 dw　　　0　　　;2级堆栈段寄存器
　　　　　　　　 dw　　　0　　　;不使用,置为0
TRCR3　　　　　 dd　　　0　　　;CR3
TREIP　　　　　 dd　　　0　　　;EIP
TREFlag　　　　 dd　　　0　　　;EFLAGS
TREAX　　　　　 dd　　　0　　　;eax
TRECX　　　　　 dd　　　0　　　;ecx
TREDX　　　　　 dd　　　0　　　;edx
TREBX　　　　　 dd　　　0　　　;ebx
TRESP　　　　　 dd　　　0　　　;esp
TREBP　　　　　 dd　　　0　　　;ebp
TRESI　　　　　 dd　　　0　　　;esi
TREDI　　　　　 dd　　　0　　　;edi
TRES　　　　　　dw　　　0　　　;ES
　　　　　　　　 dw　　　0　　　;不使用,置为0
TRCS　　　　　　dw　　　0　　　;CS
　　　　　　　　 dw　　　0　　　;不使用,置为0
TRSS　　　　　　dw　　　0　　　;ss
　　　　　　　　 dw　　　0　　　;不使用,置为0
TRDS　　　　　　dw　　　0　　　;DS
　　　　　　　　 dw　　　0　　　;不使用,置为0
TRFS　　　　　　dw　　　0　　　;FS
　　　　　　　　 dw　　　0　　　;不使用,置为0
TRGS　　　　　　dw　　　0　　　;GS
　　　　　　　　 dw　　　0　　　;不使用,置为0
TRLDTR　　　　　dw　　　0　　　;LDTR
　　　　　　　　 dw　　　0　　　;不使用,置为0
TRTrip　　　　　dw　　　0　　　;调试陷阱标志(只用位0)
TRIOMap　　　　 dw　　　$+2　　;指向I/O许可位图区的段内偏移
TSS　　　　　　 ENDS
　　 .data
sztit　　　db "Gate Test",0
CTEXTCall　db "call gate to Ring0!继续?",0
CTEXTInt　 db "int gate to Ring0 By int 5 !继续?",0
CTEXTIntx　db "int gate to Ring0 By int X !继续?",0
CTEXTTrap　db "Trap gate to Ring0 By int 1!继续?",0
CTEXTFault db "Fault gate to Ring0!继续?",0
CTEXTTask　db "Task gate to Ring0!继续?",0
temp1 db "Cr3的内容是:%8X",0
temp2 db 100 dup(?)
Freq　db 08h　　　 ;发声频率
gdtR　df 0
idtR　df 0
ldtR　dw 0　　　　　
trR　 dw 0　　　　 ;the contents of GDTR,IDTR,LDTR,TR

ldtDes dw 0　　　　
　　　 dw 0　　　　;LDT Limit　　
　　　 dd 0　　　　;LDT Base
Callgt dq 0　　　　;call gate's sel:off

TrDes　dw 0　　　　
　　　 dw 0　　　　;TR Limit　　
　　　 dd 0　　　　;TR Base

Tss1Sel　dw ?　　　;TSS

Call32　 dd 0
Tss1Gate dw ?　　 ;任务门

TSS1 TSS <>
Tss1Limit equ $-TSS1

TSS2 TSS <>
TestCR3 dd 4

MyCall MACRO Selector,Offsetv
　 db 09ah
　 dd Offsetv
　 dw Selector
ENDM
;;-----------------------------------------
　　 .code
__Start:
　　 sgdt　　fword ptr gdtR
　　 sidt　　fword ptr idtR
　　 sldt　　word ptr　ldtR　　　
　　 str　　 word ptr　trR　　;save them for later use

　　　　;-----------------------
　　　　 ; get the ldt mes
　　　　 ;-----------------------
　　　　 movzx　esi,ldtR
　　　　 add　　esi,dword ptr [gdtR+2] ;esi->ldt descriptor

　　　　mov　　ax,word　ptr [esi]
　　　　 mov　　word　ptr [ldtDes],ax
　　　　 mov　　ax,word ptr [esi+6]
　　　　 and　　ax,0fh
　　　　 mov　　word　ptr [ldtDes+2],ax　　　　 ;get ldt Limit
　　　　
　　　　 mov　　eax,[esi+2]
　　　　 and　　eax,0ffffffh
　　　　 mov　　ebx,[esi+4]
　　　　 and　　ebx,0ff000000h
　　　　 or　　eax,ebx
　　　　 mov　　dword ptr [ldtDes+4],eax　　　　;get ldt Base
　　　　 ;-----------------------
　　　　 ; get the tr mes
　　　　 ;-----------------------　　　　
　　　　 movzx　esi,trR
　　　　 add　　esi,dword ptr [gdtR+2]

　　　　mov　　ax,word　ptr [esi]
　　　　 mov　　word　ptr [TrDes],ax
　　　　 mov　　ax,word ptr [esi+6]
　　　　 and　　ax,0fh
　　　　 mov　　word　ptr [TrDes+2],ax　　　　　;get tr Limit
　　　　
　　　　 mov　　eax,[esi+2]
　　　　 and　　eax,0ffffffh
　　　　 mov　　ebx,[esi+4]
　　　　 and　　ebx,0ff000000h
　　　　 or　　eax,ebx
　　　　 mov　　dword ptr [TrDes+4],eax;get tr Base
　　　　 ;-------------------------------------
　　　　 ; 这里演示在GDT中寻找空白表项来制造调用门
　　　　 ;-------------------------------------
　　　　 mov　　esi,dword ptr [gdtR+2] ;esi->gdt base
　　　　 movzx　eax,word　ptr [gdtR]　 ;eax=gdt limit
　　　　 call　　Search_XDT
　　　　　　　　　　　　　　　　　　　　　　　　 ;esi==gdt Base
　　　　 mov　　esi,dword ptr [gdtR+2]
　　　　 push　　offset myring0_prc_callgt　　　 ;set callgate in gdt
　　　　 pop　　word　ptr [esi+eax+0]　　　　
　　　　 pop　　word　ptr [esi+eax+6]　　　　　　;offset

　　　　mov　　word　ptr [esi+eax+2],28h
　　　　 mov　　word　ptr [esi+eax+4],0EC00h　
　　　　　　　 ;sel=28h,dpl=3,and attribute ->386 call gate!

　　　　and　　dword ptr Callgt,0
　　　　 or　　 al,3h
　　　　 mov　　word　ptr [Callgt+4],ax
　　　　 call　　fword ptr [Callgt]　　　　　　;use callgate to Ring0!

　　　　;--------------------------------------------
　　　　 ; 这里演示在Ldt中制造调用门
　　　　 ;--------------------------------------------
　　　　 invoke　　MessageBoxA,0, addr CTEXTCall,addr sztit,MB_YESNO
　　　　 cmp　　eax,IDNO
　　　　 jz　　　@xit000　　　　　　　　　　　;继续演示?

　　　　mov　　esi,dword ptr [ldtDes+4]　　　;esi->ldt base
　　　　 mov　　eax,dword ptr [ldtDes]　　　　;eax=ldt limit

　　　　call　　Search_XDT　　　　　　　　　 ;eax返回找到的空白选择子
　　　　 mov　　esi,dword ptr [ldtDes+4]

　　　　push　　offset myring0_prc_callgt　 ;set callgate in ldt
　　　　 pop　　word　ptr [esi+eax+0]　　　　
　　　　 pop　　word　ptr [esi+eax+6]　　　　;offset

　　　　mov　　word　ptr [esi+eax+2],28h
　　　　 mov　　word　ptr [esi+eax+4],0EC00h　
　　　　　　　　 ;sel=28h,dpl=3,and attribute ->386 call gate!

　　　　and　　dword ptr Callgt,0
　　　　 or　　　al,7h　　　　　　　　　　　　;所以选择子一定要指向LDT
　　　　 mov　　word　ptr [Callgt+4],ax
　　　　 call　　fword ptr [Callgt]　　　　　　;use callgate to Ring0!　

; *通过中断门进入ring0,像在Dos下一样,我们只要替换中断向量表的地址以指向我们
; *自己的程序就可以了,不过在win下中断向量表变为IDT(中断描述符表),其第0~1保存
; *中断处理程序偏移的低16位,6~7字节保存偏移的高16位,我们必须使用描述符具有DPL=3
; *的中断门以便在ring3下转入中断程序,而int 03h,04h,05h,10h,13h,30h等本来就是
; *DPL=3,我们可以方便地利用之,注意中断处理程序返回用iretd
　　　　 ;---------------------------
　　　　 ; 下面利用int 5进入ring0
　　　　 ;---------------------------
　　　　 invoke　　MessageBoxA,0,addr CTEXTInt,addr sztit,MB_YESNO
　　　　 cmp　　eax,IDNO
　　　　 jz　　　@xit000　　　　　　　　　　　;继续演示?

　　　　mov　　esi,dword ptr [idtR+2]　　　　;esi->idt base
　　　　 push　　dword ptr [esi+8*5+0]
　　　　 push　　dword ptr [esi+8*5+4]　　　　;保存INT 5,中断描述符

　　　　push　　offset myring0_prc_Intgt　　 ;替换原来INT5的入口地址
　　　　 pop　　word　ptr [esi+8*5]
　　　　 pop　　word　ptr [esi+8*5+6]
　　　　 int　　5　　　　　　　　　　　　　　;进入ring0!
　　　　 ;int　　3　　　　　　　　　　　　　　;//可选择利用int 3
　　　　 ;db　　0CCh　　　　　　　　　　　　;//则保存和恢复就改为8*3
　　　　 ;为了增强反跟踪效果
　　　　 ;当然也可以利用int 1,方法一致不过可能在某些处理器上冲突　　　　　　　　　　　　　　　　　　　　
　　　　 pop　　dword ptr [esi+8*5+4]　　　　;恢复,int 5,中断描述符
　　　　 pop　　dword ptr [esi+8*5+0]

; *当然,上面使用的全部是DPL=3的int如1,3,5等,如果我们准备使用任意int 来达到
; *目的该怎么办?这就需要自己改int descriptor 的属性值,使DPL=3,sel=28h
; *如下面使用int 255
; *__________________________________________
　　　　 invoke　 MessageBoxA,0,addr CTEXTIntx,addr sztit,MB_YESNO
　　　　 cmp　　eax,IDNO
　　　　 jz　　　@xit000　　　　　　　　　　　;继续演示?

　　　　movzx ebx,word ptr [idtR]　;ebx=idt limit
　　　　 sub ebx,7

　　　　push dword ptr [esi+ebx+0] ; save IDT entry
　　　　 push dword ptr [esi+ebx+4]

　　　　push offset myring0_prc_Intgt
　　　　 pop word ptr [esi+ebx+0]
　　　　 mov word ptr [esi+ebx+2],28h　　　;ring0 Sel
　　　　 mov word ptr [esi+ebx+4],0EE00h　;P=1,386中断门,DPL=3
　　　　 pop word ptr [esi+ebx+6]
　　　　
　　　　 ;mov eax,ebx
　　　　 ;shl eax,5
　　　　 ;add eax,90C300CDh

　　　　;push eax
　　　　 ;call ss:esp ; 在堆栈中形成指令 int 5Fh ret直接转入执行!
　　　　 int 5fh
　　　　 ;pop eax　　　　　　　　　; int调用,酷吧!
　　　　
　　　　 pop dword ptr [esi+ebx+4]; 恢复
　　　　 pop dword ptr [esi+ebx+0]
; *
; *还有其他的方法进入ring0,如陷阱门,与中断门基本一致,只不过是让硬件自己产生中断
; *我们则自己置TF=1引发之,注意在中断处理中关闭TF,否则会造成死循环,不断单步,还有故,
; *障门产生故障之后注意cs:eip已经压入堆栈,如果不改指令的话,就得自己修改eip指向安全
; *地址故障门的好处在于不必自己置sel为28h,也不必担心DPL=0,操作系统为我们准备好了一
; *切我们只要替换int处理地址就行了,以下是简单例子
; *__________________________________________
　　　　 invoke　　MessageBoxA,0,addr CTEXTTrap,addr sztit,MB_YESNO
　　　　 cmp　　eax,IDNO
　　　　 jz　　　@xit001　　　　　　　　　　　;继续演示?
　　　　 ;---------------------------------
　　　　 ; int1 单步陷阱或者int4 除法溢出陷阱
　　　　 ; 这里演示int 1,int 4类似
　　　　 ; 这个和上面的有不同吗,有!就是int 1
　　　　 ; 是由CPU而不是我们显式用int 1指令引发
　　　　 ;---------------------------------
　　　　 push dword ptr [esi+(8*1)+0]　　　; 保存原int 1
　　　　 push dword ptr [esi+(8*1)+4]　

　　　　push offset myring0_prc_Trapgt
　　　　 pop word ptr [esi+(8*1)+0]
　　　　 pop word ptr [esi+(8*1)+6]

　　　　pushfd
　　　　 pop eax　
　　　　 or ah,1　
　　　　 push eax
　　　　 popfd　　　　　; set TF=1

　　　　nop　　　　　　; ring0!

　　　　pop dword ptr [esi+(8*1)+4]; restore IDT entry　
　　　　 pop dword ptr [esi+(8*1)+0]
　　　　 ;--------------------------------------------
　　　　 ; 这里演示故障门,除法错误
　　　　 ;--------------------------------------------
　　　　 @xit001:invoke　　MessageBoxA,0,addr CTEXTFault,addr sztit,MB_YESNO
　　　　 cmp　　eax,IDNO
　　　　 jz　　　@xit000　　　　　　　　　　　;继续演示?

　　　　push dword ptr [esi+(8*0)+0]　;　　　　　　　　　　　　　　
　　　　 push dword ptr [esi+(8*0)+4]　　　　　　　　　　　　　　　　　　　　　　　
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　　　 push offset Ring0Code_div　　　　　　　　　　　　　　　　　　　　　　　　　
　　　　 pop word ptr [esi+(8*0)+0]　　　　　　　　　　　　　　　　　　　　　　　　
　　　　 pop word ptr [esi+(8*0)+6]　　　　　　　
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　　　 xor eax,eax　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　　　 div eax　　　　　　　　　　　　; 除法错误,进入故障门ring0!
　　　　 ;-----------------------------------------
　　　　 invoke　　MessageBoxA,0,addr CTEXTTask,addr sztit,MB_YESNO
　　　　 cmp　　eax,IDNO
　　　　 jz　　　@xit000
　　　　 ;-------------------------------------
　　　　 ; 这里演示在GDT中寻找空白表项来制造TSS
　　　　 ;-------------------------------------
　　　　 mov　　esi,dword ptr [gdtR+2]
　　　　 movzx　eax,word　ptr [gdtR]
　　　　 call　　Search_XDT
　　　　 and　　ax,0fff8h
　　　　 mov　 Tss1Sel,ax　　 ;save Tss1 selector ,esi==gdt Base
　　　　 mov　　esi,dword ptr [gdtR+2]
　　　　 mov　 ebx,offset TSS1
　　　　 mov　　word　ptr [esi+eax+0],Tss1Limit　　　　
　　　　 mov　　dword　ptr [esi+eax+2],ebx　　　　;offset

　　　　mov　　word　ptr [esi+eax+5],89h
　　　　 shr　　ebx,24
　　　　 mov　　byte ptr [esi+eax+7],bl　;set mytss

　　　　;--------------------------------------------
　　　　 ; 这里演示在Ldt中制造任务门
　　　　 ;--------------------------------------------
　　　　 mov　　esi,dword ptr [ldtDes+4]
　　　　 mov　　eax,dword ptr [ldtDes]

　　　　call　　Search_XDT　　　　　　　　　　;eax返回找到的空白选择子
　　　　 push　 eax
　　　　 or　　 ax,7h
　　　　 mov　　Tss1Gate,ax
　　　　 pop　　eax
　　　　 mov　　esi,dword ptr [ldtDes+4]

　　　　mov　　word　ptr [esi+eax+0],0　　　　
　　　　 mov　　word　ptr [esi+eax+6],0　　　　;offset
　　　　 push　 word　ptr　Tss1Sel
　　　　 pop　　word　ptr [esi+eax+2]
　　　　 mov　　word　ptr [esi+eax+4],0E500h　;Tss Gate

　　　　mov esi,dword ptr [TrDes+4]
　　　　 assume esi:ptr TSS
　　　　 push word ptr ldtR
　　　　 pop word ptr[esi].TRLDTR ;设置LDT SELECTOR(WINDOWS98的TSS中LDT 为0???)

　　　　lea edi,TSS1
　　　　 assume edi:ptr TSS
　　　　 push word ptr trR
　　　　 pop word ptr [edi].TRLink　　;返回TSS选择子,设置联接字

　　　　push dword ptr[esi].TRESP0　　;设置SP0
　　　　 pop dword ptr[edi].TRESP0
　　
　　　　 push word ptr[esi].TRSS0　　　;设置SS0
　　　　 pop　word ptr[edi].TRSS0

　　　　push dword ptr[esi].TRCR3　　
　　　　　　　 ;设置CR3寄存器,即设置好转换以后所有的段及页转换相关寄存器
　　　　 pop dword ptr[edi].TRCR3

　　　　push offset Ring0
　　　　 pop dword ptr[edi].TREIP

　　　　mov word ptr[edi].TRCS,28h　 ;CS=28
　　　　 mov word ptr[edi].TRSS,30h　 ;ss=30

　　　　push word ptr ldtR　　　　　 ;设置LDTR
　　　　 pop word ptr[edi].TRLDTR

　　　　push ds
　　　　 pop dword ptr[edi].TRDS
　　　　 mov word ptr[edi+54h+2],0

　　　　call fword ptr Call32
　　　　 mov ebx,dword ptr [TestCR3]
　　　 @xit000:
　　　　 invoke wsprintf,addr temp2,addr temp1,TestCR3
　　　　 invoke MessageBoxA,0,addr temp2,addr sztit,0
　　　　 mov eax,dword ptr [ldtDes+4];恢复GDT，LDT中的空选择子。
　　　　 movzx esi,Tss1Gate
　　　　 and　 esi,0fffffff8h
　　　　 add eax,esi
　　　　 mov dword ptr [eax],0
　　　　 mov dword ptr [eax+4],0
　　　　 mov eax,dword ptr [gdtR+2]
　　　　 movzx esi,Tss1Sel
　　　　 add eax,esi
　　　　 mov dword ptr [eax],0
　　　　 mov dword ptr [eax+4],0
　　　　 invoke　　ExitProcess,0
　　　　 ;-----------------------------------------
Ring0Code_div proc far　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　　　 pushad　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　　　 mov　　ecx,10　　　　　;EIP
　　　 ambalance002:　　　　　　　　　;cs
　　　　 push　　ecx　　　　　　;EFLAGS
　　　　 call　　Beeps
　　　　 pop　　ecx
　　　　 loop　　ambalance002　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　　　 popad　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　　　 add dword ptr [esp],2　; 修改Eip,略过除错指令(div eax)2个字节长,继续执行　　　　　　　　　　　　　
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　　　 iretd　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
Ring0Code_div endp　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

myring0_prc_Trapgt　　proc　　far
　　　　 pushad　　　　　　　　　;注意压栈结构为
　　　　 mov　　ecx,10　　　　　 ;esp->EIP
　　　 ambalance002:　　　　　　 ;　　 cs
　　　　 push　　ecx　　　　　　 ;　　 EFLAGS
　　　　 call　　Beeps
　　　　 pop　　ecx
　　　　 loop　　ambalance002
　　　　 popad
　　　　 and　　byte ptr [esp+9],0FEh ;一定要置TF=0,终止
　　　　 iretd　　　　　　　　　;注意iretd,不是iret(w)
myring0_prc_Trapgt　　endp

myring0_prc_Intgt　　proc　　　far
　　　　 pushad
　　　　 mov　　ecx,10
　　　 ambalance001:
　　　　 push　　ecx
　　　　 call　　Beeps
　　　　 pop　　ecx
　　　　 loop　　ambalance001
　　　　 popad
　　　　 iretd　　　　　　　　
myring0_prc_Intgt　　endp

myring0_prc_callgt　　proc　far
　　　　 pushad
　　　　 pushfd
　　　　 pop eax　
　　　　 or eax,3000h　
　　　　 push eax
　　　　 popfd
　　　　 mov　　ecx,10
　　　 ambalance:
　　　　 push　　ecx
　　　　 call　　Beeps
　　　　 pop　　ecx
　　　　 loop　　ambalance
　　　　 popad
　　　　 retf
myring0_prc_callgt　　endp
;-----------------------------------------
Search_XDT proc near　　　;entry esi==Base　of Ldt　or GDT
　　　　　　　　　　　　　 ;eax==Limit
　　　　 pushad　　　
　　　　 mov ebx,eax　　 　;ebx=limit
　　　　 mov eax,8　　　　 ; skipping null selector
　　　 @@1:　　　　
　　　　 cmp dword ptr [esi+eax+0],0　　
　　　　 jnz @@2　
　　　　 cmp dword ptr [esi+eax+4],0　　
　　　　 jz @@3　
　　　 @@2:　　　　
　　　　 add eax,8　　　　
　　　　 cmp eax,ebx　　　　
　　　　 jb @@1　　　;if we haven't found any free GDT entry,
　　　　　　　　　　 ;lets use the last two entries　　　　
　　　　 mov　eax,ebx　　　
　　　　 sub　eax,7　　　　　
　　　 @@3:　　　
　　　　 mov [esp+4*7],eax　　　; return off in eax
　　　　 popad　　　　　　　　　; eax=free GDT entry selector
　　　　 ret　　　　
Search_XDT endp
;-----------------------------------------
Beeps proc near　　　　　　　　;经典的发声子程序,学dos的时候应该
　　 pushad　　　　　　　　　;没少用吧...
　　 mov al,0B6h　　　　　　
　　 out 43h,al　
　　 mov al,Freq　　　　　;接口要求,不要多问

　　out 42h,al　
　　 out 42h,al　

　　xor byte ptr Freq,0Ch　　 ; 换频率
　　　　　　　　 　　　　　　 ; 以便下次发出不同的音高
　　 in al,61h
　　 or al,3　
　　 out 61h,al　
　　 mov ecx,1000000h　　　　;延时
　　 loop $

　　and al,0FCh　　　　　　　;关声音
　　 out 61h,al　
　　 popad
　　 ret
Beeps endp

　　Ring0:
　　 mov ebx,cr3
　　 mov TestCR3,ebx
　　 iretd
END　　__Start
;______________________________Over...___________