• 《如何在windows程序中读取bios内容》


    标题:如何在windows程序中读取bios内容(物理内存内容)
    作者: 火翼[CCG]
    组织 : [CCG]  (China Cracking Group) 

        今天和夜月兄讨论了一下在windows nt/2000/xp下如何读取bios信息,现在把
    结果向大家汇报一下。
        大家都知道,windows接管了对物理内存的直接存取,而bios信息存在物理内存
    的f000:0000处,关键就是如何读取物理内存。
        查阅了msdn的文章后,发现以下有几个函数和物理内存访问有关:
    NTSTATUS  ZwOpenSection(OUT PHANDLE  SectionHandle, IN ACCESS_MASK  DesiredAccess,IN POBJECT_ATTRIBUTES  ObjectAttributes);
    NTSTATUS  ZwMapViewOfSection(IN HANDLE  SectionHandle,
                                IN HANDLE  ProcessHandle,
                                IN OUT PVOID  *BaseAddress,
                                IN ULONG  ZeroBits,
                                IN ULONG  CommitSize,
                                IN OUT PLARGE_INTEGER  SectionOffset  OPTIONAL,
                                IN OUT PSIZE_T  ViewSize,
                                IN SECTION_INHERIT  InheritDisposition,
                                IN ULONG  AllocationType,
                                IN ULONG  Protect
                                );
    NTSTATUS  ZwUnmapViewOfSection(IN HANDLE  ProcessHandle,IN PVOID  BaseAddress);

    用到的结构定义如下

    typedef struct _UNICODE_STRING {
      USHORT  Length;//长度
      USHORT  MaximumLength;//最大长度
      PWSTR  Buffer;//缓存指针,访问物理内存时,此处指向UNICODE字符串"\device\physicalmemory"
    } UNICODE_STRING,*PUNICODE_STRING;


    typedef struct _OBJECT_ATTRIBUTES {
        ULONG Length;//长度 18h
        HANDLE RootDirectory;//  00000000
        PUNICODE_STRING ObjectName;//指向对象名的指针
        ULONG Attributes;//对象属性00000040h
        PVOID SecurityDescriptor;        // Points to type SECURITY_DESCRIPTOR,0
        PVOID SecurityQualityOfService;  // Points to type SECURITY_QUALITY_OF_SERVICE,0
    } OBJECT_ATTRIBUTES;
    typedef OBJECT_ATTRIBUTES *POBJECT_ATTRIBUTES;



    函数说明
    第一个函数ZwOpenSection用来打开section,第一个参数是指向HANDLE变量的指针,第二个是访问参数,第三个是指向OBJECT_ATTRIBUTES的指针
    第二个函数ZwMapViewOfSection用来建立物理内存和当前进程的一段物理内存的联系,参数很多,一会在例程里再详细解释
    第三个函数ZwUnmapViewOfSection用来断开物理内存和当前进程中的映射断开联系,第一个参数是进程句柄,必须掉用第二个函数时一样,第二
    个是当前进程中映射的基址,由ZwMapViewOfSection返回

    这三个函数都在ntdll.dll中,msdn里的帮助说这几个函数用在驱动编制上。
    例程如下

    //结构定义
    typedef struct _UNICODE_STRING {
      USHORT  Length;//长度
      USHORT  MaximumLength;//最大长度
      PWSTR  Buffer;//缓存指针
    } UNICODE_STRING,*PUNICODE_STRING;

    typedef struct _OBJECT_ATTRIBUTES {
        ULONG Length;//长度 18h
        HANDLE RootDirectory;//  00000000
        PUNICODE_STRING ObjectName;//指向对象名的指针
        ULONG Attributes;//对象属性00000040h
        PVOID SecurityDescriptor;        // Points to type SECURITY_DESCRIPTOR,0
        PVOID SecurityQualityOfService;  // Points to type SECURITY_QUALITY_OF_SERVICE,0
    } OBJECT_ATTRIBUTES;
    typedef OBJECT_ATTRIBUTES *POBJECT_ATTRIBUTES;

    //函数指针变量类型生命
    typedef DWORD  (__stdcall *ZWOS)(PHANDLE,ACCESS_MASK,POBJECT_ATTRIBUTES);
    typedef DWORD  (__stdcall *ZWMV)(HANDLE,HANDLE,PVOID,ULONG,ULONG,PLARGE_INTEGER,PSIZE_T,DWORD,ULONG,ULONG);
    typedef DWORD  (__stdcall *ZWUMV)(HANDLE,PVOID);
    //以上在程序开始定义全局变量处定义

    //以下在程序的主函数里
    //变量声明
            UNICODE_STRING struniph;
        OBJECT_ATTRIBUTES obj_ar;
        ZWOS ZWopenS;
        ZWMV ZWmapV;
        ZWUMV ZWunmapV;
        HANDLE hSection;
        DWORD ba;
        LARGE_INTEGER so;
        SIZE_T ssize;
        so.LowPart=0x000f0000;//物理内存的基址,就是f000:0000
        so.HighPart=0x00000000;
        ssize=0xffff;
        wchar_t strPH[30]=L"\\device\\physicalmemory";
    //变量初始化
            ba=0;//联系后的基址将在这里返回
            struniph.Buffer=strPH;
        struniph.Length=0x2c;//注意大小是按字节算
        struniph.MaximumLength =0x2e;//也是字节
            obj_ar.Attributes =64;//属性
        obj_ar.Length =24;//OBJECT_ATTRIBUTES类型的长度
        obj_ar.ObjectName=&struniph;//指向对象的指针
        obj_ar.RootDirectory=0;
        obj_ar.SecurityDescriptor=0;
            obj_ar.SecurityQualityOfService =0;
    //读入ntdll.dll,得到函数地址
            hinstLib = LoadLibrary("ntdll.dll");
        ZWopenS=(ZWOS)GetProcAddress(hinstLib,"ZwOpenSection");
            ZWmapV=(ZWMV)GetProcAddress(hinstLib,"ZwMapViewOfSection");
        ZWunmapV=(ZWUMV)GetProcAddress(hinstLib,"ZwUnmapViewOfSection");
    //调用函数,对物理内存进行映射
            ZWopenS(&hSection,4,&obj_ar);
        ZWmapV(
                  (HANDLE)hSection,  //打开Section时得到的句柄
                  (HANDLE)0xffffffff, //将要映射进程的句柄,
                  &ba,  //映射的基址
                  0, //没怎么看明白,设为0就好了
                  0xffff,  //分配的大小
                  &so,  //物理内存的地址
                  &ssize,  //指向读取内存块大小的指针
                  1,  //子进程的可继承性设定
                  0,  //分配类型
                  2  //保护类型
                  );
            //执行后会在当前进程的空间开辟一段64k的空间,并把f000:0000到f000:ffff处的内容映射到这里
            //映射的基址由ba返回,如果映射不在有用,应该用ZwUnmapViewOfSection断开映射
    BTW:
    思路主要是来之上次跟踪的联想的安装验证程序,真的要感谢联想的技术人员了:-)。
  • 相关阅读:
    推荐20个开源项目托管网站
    python 网络编程(网络基础之网络协议篇)
    python 异常处理
    python 内置函数的补充 isinstance,issubclass, hasattr ,getattr, setattr, delattr,str,del 用法,以及元类
    python3 封装之property 多态 绑定方法classmethod 与 非绑定方法 staticmethod
    python3 类 组合
    PYTHON3中 类的继承
    面向对象 与类
    包 与常用模块
    json 与pickle模块(序列化与反序列化))
  • 原文地址:https://www.cnblogs.com/huqingyu/p/264203.html
Copyright © 2020-2023  润新知