ntldr代码分析

最新推荐文章于 2023-10-24 17:46:17 发布
最新推荐文章于 2023-10-24 17:46:17 发布
阅读量767 收藏 1
点赞数

首先声明这次的分析是我一点一点跟着NTLDR分析做的,这篇文章讲述的很跳跃,说实话一开始我也没怎么看懂,之后又结合了老师给的文档一点点去对照着看懂的。正如老师要求的那样,是要用我自己的思想把这个ntldr解释出来。

这次的任务是用bochs动态调试ntldr代码部分,并结合windows nt4的源码做分析。
ntldr分为两部分 一个是startup,一个是osloader;我们依次分析。
startup.com

(0) [0x0000fffffff0] f000:fff0 (unk. ctxt): jmpf 0xf000:e05b          ; ea5be000f0
<bochs:1> b 0x2000:0000         //在ntldr的开始处地址下断点
<bochs:2> c
(0) Breakpoint 1, 0x0000000000020000 in ?? ()
Next at t=6119497
(0) [0x000000020000] 2000:0000 (unk. ctxt): jmp .+469 (0x000201d8)    ; e9d501   
<bochs:3> s
Next at t=6119498
(0) [0x0000000201d8] 2000:01d8 (unk. ctxt): mov bx, 0x2f40            ; bb402f
<bochs:4>
Next at t=6119499
(0) [0x0000000201db] 2000:01db (unk. ctxt): shr bx, 0x04              ; c1eb04
<bochs:5>
Next at t=6119500
(0) [0x0000000201de] 2000:01de (unk. ctxt): mov ax, cs                ; 8cc8
<bochs:6>
Next at t=6119501
(0) [0x0000000201e0] 2000:01e0 (unk. ctxt): add ax, bx                ; 03c3
<bochs:7>
Next at t=6119502
(0) [0x0000000201e2] 2000:01e2 (unk. ctxt): mov ss, ax                ; 8ed0
<bochs:8>
Next at t=6119503
(0) [0x0000000201e4] 2000:01e4 (unk. ctxt): mov sp, 0x1528            ; bc2815
<bochs:9>
Next at t=6119504
(0) [0x0000000201e7] 2000:01e7 (unk. ctxt): push dx                   ; 52
<bochs:10>
Next at t=6119505
(0) [0x0000000201e8] 2000:01e8 (unk. ctxt): mov ds, ax                ; 8ed8
<bochs:11>
Next at t=6119506
(0) [0x0000000201ea] 2000:01ea (unk. ctxt): mov es, ax                ; 8ec0
<bochs:12>
Next at t=6119507
(0) [0x0000000201ec] 2000:01ec (unk. ctxt): movzx edx, ax             ; 660fb7d0
<bochs:13>
Next at t=6119508
(0) [0x0000000201f0] 2000:01f0 (unk. ctxt): shl edx, 0x04             ; 66c1e204
<bochs:14>
Next at t=6119509
(0) [0x0000000201f4] 2000:01f4 (unk. ctxt): add edx, 0x00001d80       ; 6681c2801d0000
<bochs:15>
Next at t=6119510
(0) [0x0000000201fb] 2000:01fb (unk. ctxt): mov dword ptr ds:0x0cbe, edx ; 668916be0c
<bochs:16>
Next at t=6119511
(0) [0x000000020200] 2000:0200 (unk. ctxt): xor bp, bp                ; 33ed
<bochs:17>
Next at t=6119512
(0) [0x000000020202] 2000:0202 (unk. ctxt): movzx ebp, bp             ; 660fb7ed
<bochs:18>
Next at t=6119513
(0) [0x000000020206] 2000:0206 (unk. ctxt): movzx esp, sp             ; 660fb7e4
<bochs:19>
Next at t=6119514
(0) [0x00000002020a] 2000:020a (unk. ctxt): mov word ptr ds:0x15bc, ds ; 8c1ebc15
<bochs:20>
Next at t=6119515
(0) [0x00000002020e] 2000:020e (unk. ctxt): call .+5903 (0x00021920)  ; e80f17  //这里开始开始调用第一个函数SuMain

这里的call就是调用ntldr中的函数了,要对应nt4原码去看

(0) [0x000000021929] 2000:1929 (unk. ctxt): mov byte ptr ds:0x15c4, al ; a2c415
<bochs:3> s
Next at t=6119521
(0) [0x00000002192c] 2000:192c (unk. ctxt): call .-5534 (0x00020391)  ; e862ea

调用InitializeVideoSubSystem()函数去初始化VideoSubSystem
之后再调用TurnMotorOff()函数来关闭软盘马达 为软盘引导做准备
PatchDiskBaseTable()
调用 BtIsEisaSystem()、BtIsMacSystem()分别判断机器的总线类型是Eisa还是Mac,如果这两种都不是,则默认该机器的总线类型为ISA
BtIsEisaSystem()函数中是通过比较f000:ffd9处是否设置了”ASIE”标志,该标志是在系统加电启动时bios设置的。 在BtIsMcaSystem()函数中是通过调用int 15 0c00并测试es[bx+5]是否为2来判断是否为Mca总线类型。
ConstructMemeoryDescriptors()函数来获取内存容量
在接下来的Sumain函数中,是一个while循环来搜索内存描述符的低内存。在循环体之后Sumain函数调用EnableA20()函数打开A20地址线,为切换到保护模式做准备。调用Relocatex86Structure()函数,重新定位x86的结构,包括GDT、IDT、页目录和第一级页表。 调用EnableProtectPaging()函数,切换到保护模式并允许分页。 调用RelocateLoaderSections()函数重新定位osLoader的位置。

osloader:

(0) [0x0000004013b1] 0008:00000000004013b1 (unk. ctxt): mov edi, edi              ; 8bff
<bochs:3> u /30
004013b1: (                    ): mov edi, edi              ; 8bff
004013b3: (                    ): push ebp                  ; 55
004013b4: (                    ): mov ebp, esp              ; 8bec
004013b6: (                    ): mov eax, 0x00001114       ; b814110000
004013bb: (                    ): call .+123108             ; e8e4e00100

首先调用DoGlobalInitialization()函数,这个我的理解是作为一个主函数来调用各个用来初始化内存子系统的其他函数。

(0) [0x000000401276] 0008:0000000000401276 (unk. ctxt): call .+13669 (0x004047e0) ; e865350000

这里调用的是InitializeMemorySubsystem(0x00401276)来初始化内存子系统。
在初始化部分的最后还需要调用两个函数: MempTurnOnPaging() 设置页表 允许分页
MempCopyGdt() 拷贝GDT、IDT。
接下来回到DoGlobalInitialization(),将BOOT_CONTEXT结构中的信息拷贝出来,最后,该函数还需要调用InitializeMemoryDescriptor()函数读取固件地址空间映射并保留该范围,并将固件空间正式宣布为“地址空间保留”。执行完毕后整个内存子系统也就初始化完毕了。
接下来是我觉得比较关键的部分,利用NtProcessStartup()来判断我们的系统是通过什么方式来运行的。贴出其代码

if (BootContextRecord->FSContextPointer->BootDrive == 0)                     //从A:盘启动 
     else if (BlIsElToritoCDBoot(BootContextRecord->FSContextPointer->BootDrive)) 
                                                                          //从CD启动 
     else { BlGetActivePartition(BootPartitionName);}       //从硬盘启动

BlGetActivePartition()通过一个循环结构遍历各个活动分区,获取活动分区并读取其中的引导记录,判断是否为引导扇区,直到出现一个引导扇区。
接下来调用BlMemoryInitialize()函数,初始化内存描述符链表、OS loader堆和OS loader参数块.
接下来调用 BlIoInitialize()初始化 OS loader I/O,其中调用的各个文件系统初始化也只是简单的返回 ESUCCESS.
最后由NtProcessStartup()调用 BlStartup()函数,再一次完成控制权的转交。

ntldr代码的最后一部分是BlStartup(),文档中说明这一部分中绝大多数就是在析取boot.ini文件的选项,加载系统映象。因此也没有做解释。我看了一下贴出的代码,是判断活动分区,对电脑各个硬件的初始化,并加载系统内核的过程。也就不多赘述了。

至此,ntldr代码的分析也就全部结束了,文末我还是要多谢上面的文档的作者,也让我体会到作为一个“程序员”,很重要的一点就是经验的交流与资源的共享。很难想象在一开始我没有这篇文档的帮助,我整整一个礼拜毫无头绪,一度想和老师商量跳过这个部分做一些实战。最后上莺哥!在这里插入图片描述

heydaimy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
NT4_CMD:从OpenNT提取的NT4_CMD_x86源码及其编译环境
03-23
简介 这是一个从中提取的CMD源码及其编译环境(x86),精简掉了不需要的部分 ./nt4/private/windows/cmd路径: ./nt4/private/windows/cmd 编译方法:执行./start_build.bat 生成二进制文件路径: ./nt4/private/windows/cmd/cmd/objxxx/x86/ / ./binn/x86xxx/ / ./nt4/private/windows/cmd/cmd/objxxx/x86/ / ./binn/x86xxx/ / ./nt4/private/windows/cmd/cmd/objxxx/x86/ / ./binn/x86xxx/ / ./nt4/private/windows/cmd/cmd/objxxx/x86/ / ./binn/x86xxx/ 已在WindowsXP(x86)及Windows7(x
NTLDR 源码
10-13
NTLDR的上下文中,这部分代码可能涉及初始化硬件、加载Boot.ini文件、解析用户选择、以及加载内核和HAL(硬件抽象层)。 3. `osloader`:这可能是指操作系统加载器的部分,它是NTLDR的重要组成部分,负责加载选定...
NTLDR编译详解
hnzwx888的专栏
06-20 649
转载自:https://www.cnblogs.com/binsys/archive/2008/10/02/1303014.html 通过上一篇文章的介绍,我们已经有了一个NT4源码编译环境了,而且也已经编译出了一些工具软件,也许你稍许有点兴奋了,但我要说的是,好戏还在后头呢。让我们一起进入激动人心的NTLDR的编译吧,源码面前,了无秘密,尤其是基于源码还可以编译出可执行文件,这意味着你可以边看...
一种基于NTLDR的BOOTKIT──原理及实现
11-20 1831
 Author: inghu  EMail: jack.xlt@gmail.com  Site:http://hi.baidu.com/inghu  Date:2008-11-1  前言:XCON2008将于不日召开,其间国内外安全界之高手将云集席间,共享中国安全界这一盛会。吾自 ...  Author: inghu  EMail: jack.xlt@gmail.com  Site: 
NTLDR(NT loader的缩写)是微软的Windows NT系列操作系统(直至Windows XP和Windows Server 2003)的引导程序。
weixin_40191861的博客
10-24 313
NT loader的缩写)是的系列(直至和)的引导程序。NTLDR可以从以及等移动存储器运行并引导Windows NT系统的启动。如果要用NTLDR启动其他操作系统,则需要将该操作系统所使用的启动扇区代码保存为一个文件,NTLDR可以从这个文件加载其它。Windows XP的NTLDR進階開機選單boot.ini也是比较重要的文件。它是引導程序的組態檔。当boot.ini丢失时,NTLDR会启动第一块硬盘第一个分区上的\Windows目录中的系统。
NTLDR是做什么的,丢失了如何恢复
天地不仁,以万物为刍狗!
01-07 3652
NTLDR全称是NT Loader,是系统加载程序   NTLDR文件是win nt/win2000/WinXP的引导文件,当此文件丢失时启动系统会提示"NTLDR is missing..."并要求按任意键重新启动,不能正确进入系统 。所以应该在系统正常的时候给予备份。   NTLDR文件是做什么的?我们如何来修复NTLDR文件类型的故障呢?   NTLDR文件的是一个隐藏的,只读
dos.rar_ntldr
09-23
1. **NTLDR的启动过程**:了解NTLDR如何初始化硬件、加载Boot.ini、解析操作系统选项并选择合适的系统加载。 2. **DOS引导扇区**:学习DOS系统如何通过引导扇区启动,以及在NTFS分区上如何存放和访问这个扇区。 3....
快速解决 ntldr is missing 不能进入xp系统
03-19
1. **原因分析**: - **硬盘问题**:硬盘上的数据丢失或损坏可能导致NTLDR文件缺失。 - **MBR损坏**:主引导记录是系统启动的关键部分,如果被病毒攻击或误操作,可能导致无法找到NTLDR。 - **NTLDR或BOOT.INI...
Windows引导代码分析资料
09-11
《Windows引导代码分析详解》 在深入探讨Windows操作系统的核心机制时,引导代码是不可或缺的一环。Windows引导代码,作为系统启动的第一步,负责初始化硬件、加载内核以及启动用户模式的进程。本资料将详细解析...
易语言制作启动盘源码-易语言
06-13
8. **源码结构分析**: 分析提供的DaxMIwne.e文件,它是易语言的源码文件。学习源码的结构,理解函数和过程的逻辑,有助于深入掌握易语言的编程技巧。 9. **代码优化**: 为了提高启动盘的性能和效率,源码可能需要...
Windows内核源码详尽分析
05-28
本文结合《Windows内核情景分析》(毛德操著)、《软件调试》(张银奎著)、《Windows核心编程》、《寒江独钓-Windows内核安全编程》、《Windows PE权威指南》、《C++反汇编与逆向分析揭秘》以及ReactOS操作系统 (V0.3.12)源码,以《Windows内核情景分析》为蓝本,对Windows内核重要框架、函数、结构体进行解析 由于工程庞大,我能理解到的只是冰山一角,但本文力求做到让每个读者都能从整体上理解Windows内核的架构,并大量解释一些关键细节。
WinNT4:Windows NT4内核源代码-windows source code
03-25
WinNT4:Windows NT4内核源代码
windows内核分析(上)
09-25
主要用于介绍windows内核对象的底层实现,可以结合《windows核心编程》来一块学习。
修复更改MBR/PBR的超级工具
12-12
可修复更改MBR/PBR,可选的引导程序有Grub for DOS、 SYSLINUX、Lvyanan 1JF9K 以及 MS-DOS、WinNT 5/6 默认的引导程序等,此外还具有对优盘的重新分区和格 式化功能。
NTLD is missing
seuxiaoqi的专栏
02-24 1658
正 文:    由于杀毒,不小心把系统盘C盘的下的NTLDR删除了。然后重新启动的时候,就提示:“NTLDR is missing,Press CTRL+ALT+DEL to restart”,无法正常开机启动。分析NTLDR文件是win nt/win200/WinXP的引导文件,当此文件丢失时启动系统会提示“NTLDR is missing,Press CTRL
完整可编译NT4's NTFS源码小规模修改工程
weolar的专栏
10-07 1857
原创】六一献小礼:完整可编译NT4s NTFS小规模修改工程完整附件见http://bbs.pediy.com/showthread.php?t=90393·   大家知道,文件系统在操作系统中应该属于比较独立的一块,只需要提供相应接口给上层使用。Windows的NTFS文件系统也是一样,在实际编程中,Windows以dispatch ro
计算机术语(NTLDR
tenor的专栏
02-07 847
NTLDR   NTLDR全称是NT Loader,是系统加载程序  NTLDR文件是win nt/win2000/WinXP的引导文件,当此文件丢失时启动系统会提示"NTLDR is missing..."并要求按任意键重新启动,不能正确进入系统 。所以应该在系统正常的时候给予备份。   NTLDR文件是做什么的?我们如何来修复NTLDR文件类型的故障呢?  
WinXPmini仅120MB极为纯净的XP迷你版
热门推荐
zyphio的专栏
12-26 7万+
WinXPmini 纯净精简的迷你版Windows XP SP3,只有120MB(126412666字节,资源管理器显示123450KB)特别好识别,无修改主页,无OEM信息,无第三方标识。
错误代码: 0xc0000142
最新发布
06-23
0xc0000142 是一个Windows操作系统中常见的错误代码,通常表示“无法加载操作系统”。这个错误发生在启动过程中,当系统尝试加载启动扇区(NTLDR或Loader)时遇到问题。这可能是由于硬件故障、BIOS设置错误、启动...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值