调试易

看看这个帖子，
http://community.csdn.net/Expert/topic/4122/4122636.xml?temp=.5693476

大家都知道，windows接管了对物理内存的直接存取，而bios信息存在物理内存 
的f000:0000处，关键就是如何读取物理内存。 
查阅了msdn的文章后，发现以下有几个函数和物理内存访问有关： 
NTSTATUS ZwOpenSection(OUT PHANDLE SectionHandle, IN ACCESS_MASK DesiredAccess,IN POBJECT_ATTRIBUTES ObjectAttributes); 
NTSTATUS ZwMapViewOfSection(IN HANDLE SectionHandle, 
IN HANDLE ProcessHandle, 
IN OUT PVOID *BaseAddress, 
IN ULONG ZeroBits, 
IN ULONG CommitSize, 
IN OUT PLARGE_INTEGER SectionOffset OPTIONAL, 
IN OUT PSIZE_T ViewSize, 
IN SECTION_INHERIT InheritDisposition, 
IN ULONG AllocationType, 
IN ULONG Protect 
); 
NTSTATUS ZwUnmapViewOfSection(IN HANDLE ProcessHandle,IN PVOID BaseAddress); 用到的结构定义如下 typedef struct _UNICODE_STRING { 
USHORT Length;//长度 
USHORT MaximumLength;//最大长度 
PWSTR Buffer;//缓存指针，访问物理内存时，此处指向UNICODE字符串\"\\device\\physicalmemory\" 
} UNICODE_STRING,*PUNICODE_STRING; 
typedef struct _OBJECT_ATTRIBUTES { 
ULONG Leng!
th;//长度 18h 
HANDLE RootDirectory;// 00000000 
PUNICODE_STRING ObjectName;//指向对象名的指针 
ULONG Attributes;//对象属性00000040h 
PVOID SecurityDescriptor; // Points to type SECURITY_DESCRIPTOR，0 
PVOID SecurityQualityOfService; // Points to type SECURITY_QUALITY_OF_SERVICE，0 
} OBJECT_ATTRIBUTES; 
typedef OBJECT_ATTRIBUTES *POBJECT_ATTRIBUTES; 
函数说明 
第一个函数ZwOpenSection用来打开section，第一个参数是指向HANDLE变量的指针，第二个是访问参数，第三个是指向OBJECT_ATTRIBUTES的指针 
第二个函数ZwMapViewOfSection用来建立物理内存和当前进程的一段物理内存的联系，参数很多，一会在例程里再详细解释
第三个函数ZwUnmapViewOfSection用来断开物理内存和当前进程中的映射断开联系，第一个参数是进程句柄，必须掉用第二个函数时一样，第二 
个是当前进程中映射的基址，由ZwMapViewOfSection返回 这三个函数都在ntdll.dll中，msdn里的帮助说这几个函数用在驱动编制上。 
例程如下//结构定义 
typedef struct _UNICODE_STRING { 
USHORT Length;//长度 
USHORT MaximumLength;//最大长度 
PWSTR Buffer;//缓存指针 
} UNICODE_STRING,*PUNICODE_STRING; typedef struct _OBJECT_ATTRIBUTES { 
ULONG Length;//长度 18h 
HANDLE RootDirectory;// 00000000 
PUNICODE_STRING ObjectName;//指向对象名的指针 
ULONG Attributes;//对象属性00000040h 
PVOID SecurityDescriptor; // Points to type SECURITY_DESCRIPTOR，0 
PVOID SecurityQualityOfService; // Points to type SECURITY_QUALITY_OF_SERVICE，0 
} OBJECT_ATTRIBUTES; 
typedef OBJECT_ATTRIBUTES *POBJECT_ATTRIBUTES; //函数指针变量类型生命 
typedef DWORD (__stdcall *ZWOS)(PHANDLE,ACCESS_MASK,POBJECT_ATTRIBUTES); 
typedef DWORD (__stdcall *ZWMV)(HANDLE,HANDLE,PVOID,ULONG,ULONG,P!
LARGE_INTEGER,PSIZE_T,DWORD,ULONG,ULONG); 
typedef DWORD (__stdcall *ZWUMV)(HANDLE,PVOID); 
//以上在程序开始定义全局变量处定义 //以下在程序的主函数里 
//变量声明 
UNICODE_STRING struniph; 
OBJECT_ATTRIBUTES obj_ar; 
ZWOS ZWopenS; 
ZWMV ZWmapV; 
ZWUMV ZWunmapV; 
HANDLE hSection; 
DWORD ba; 
LARGE_INTEGER so; 
SIZE_T ssize; 
so.LowPart=0x000f0000;//物理内存的基址，就是f000:0000 
so.HighPart=0x00000000; 
ssize=0xffff; 
wchar_t strPH[30]=L\"\\\\device\\\\physicalmemory\"; 
//变量初始化 
ba=0;//联系后的基址将在这里返回 
struniph.Buffer=strPH; 
struniph.Length=0x2c;//注意大小是按字节算 
struniph.MaximumLengt!
h =0x2e;//也是字节 
obj_ar.Attributes =64;//属性 
obj_ar.Length =24;//OBJECT_ATTRIBUTES类型的长度 
obj_ar.ObjectName=&struniph;//指向对象的指针 
obj_ar.RootDirectory=0; 
obj_ar.SecurityDescriptor=0; 
obj_ar.SecurityQualityOfService =0; 
//读入ntdll.dll,得到函数地址 
hinstLib = LoadLibrary(\"ntdll.dll\"); 
ZWopenS=(ZWOS)GetProcAddress(hinstLib,\"ZwOpenSection\"); 
ZWmapV=(ZWMV)GetProcAddress(hinstLib,\"ZwMapViewOfSection\"); 
ZWunmapV=(ZWUMV)GetProcAddress(hinstLib,\"ZwUnmapViewOfSection\"); 
//调用函数，对物理内存进行映射 
ZWopenS(&hSection,4,&obj_ar); 
ZWmapV( 
(HANDLE)hSection, //打开Section时得到的句柄 
(HANDLE)0xffffffff, //将要映射进程的句柄， 
&ba, //映射的基址 
0, //没怎么看明白,设为0就好了 
0xffff, //分配的大小 
&so, //物理内存的地址 
&ssize, //指向读取内存块大小的指针 
1, //子进程的可继承性设定 
0, //分配类型 
2 //保护类型 
sp; 
); 
//执行后会在当前进程的空间开辟一段64k的空间，并把f000:0000到f000:ffff处的内容映射到这里 
//映射的基址由ba返回,如果映射不在有用,应该用ZwUnmapViewOfSection断开映射

http://www.safepro.com.cn/cgi-bin/querynews?newsname=309025
http://www.programfan.com/code/1/20040519204526.rar

钦差，能否给我发一份，谢谢。
[email protected]