我們知道,在NT/2K/XP中,操作系統利用虛擬內存管理技術來維護地址空間映像,每個進程分配一個4GB的虛擬地址空間。運行在用戶態的應用程序,不能直接訪問物理內存地址;而運行在核心態的驅動程序,能將虛擬地址空間映射為物理地址空間,從而訪問物理內存地址。
如果要在應用程序中以物理地址方式訪問內存,自然而然的辦法,是編寫一個專用的驅動程序(如大家熟悉的WinIO),里面設置一定的IOCTL碼,應用程序通過調用DeviceIoCtrol()來實現這樣的功能。
那么,有沒有一種方法,省去編寫專用驅動程序這一步,很方便地就能訪問物理內存呢?答案是肯定的。實際上,微軟早就給我們準備好了一套辦法,只是他們秘而不宣罷了。系統內建一個叫做PhysicalMemory的內核對象,可以通過系統核心文件NTDLL.DLL中的有關API進行操縱,從而實現物理內存的直接訪問。微軟聲稱這些API是用于驅動程序開發的,在VC/.NET中未提供原型說明和庫文件,然而事實證明在應用程序中調用它們是沒有問題的。我們感興趣的API主要包括:
ZwOpenSection 或 NtOpenSection - 打開內核對象
ZwMapViewOfSection 或 NtMapViewOfSection - 映射虛擬地址空間
ZwUnmapViewOfSection 或 NtUnmapViewOfSection - 取消地址空間映射
RtlInitUnicodeString - 用UNICODE串初始化UNICODE描述的結構
以下的代碼描述了如何利用NTDLL.DLL中的上述幾個API,實現對物理內存的讀取。需要指出的是,只有system擁有讀寫權限,administrator只有讀權限,而user連讀權限都沒有。這一點,是不能與專用驅動程序方法向相比的。
在VC/.NET中,由于沒有相應的原型說明和庫文件,我們用GetProcAddress()進行DLL顯式調用。前面大段的代碼,用于說明必需的類型和結構。讀取物理內存的主要步驟為:打開內核對象 → 映射虛擬地址空間 → 讀取(復制)內存 → 取消地址空間映射。
typedef LONG NTSTATUS;
typedef struct _UNICODE_STRING
{
USHORT Length;
USHORT MaximumLength;
PWSTR Buffer;
} UNICODE_STRING, *PUNICODE_STRING;
typedef enum _SECTION_INHERIT
{
ViewShare = 1,
ViewUnmap = 2
} SECTION_INHERIT, *PSECTION_INHERIT;
typedef struct _OBJECT_ATTRIBUTES
{
ULONG Length;
HANDLE RootDirectory;
PUNICODE_STRING ObjectName;
ULONG Attributes;
PVOID SecurityDescriptor;
PVOID SecurityQualityOfService;
} OBJECT_ATTRIBUTES, *POBJECT_ATTRIBUTES;
#define InitializeObjectAttributes( p, n, a, r, s ) { \
(p)->Length = sizeof( OBJECT_ATTRIBUTES ); \
(p)->RootDirectory = r; \
(p)->Attributes = a; \
(p)->ObjectName = n; \
(p)->SecurityDescriptor = s; \
(p)->SecurityQualityOfService = NULL; \
}
// Interesting functions in NTDLL
typedef NTSTATUS (WINAPI *ZwOpenSectionProc)
(
PHANDLE SectionHandle,
DWORD DesiredAccess,
POBJECT_ATTRIBUTES ObjectAttributes
);
typedef NTSTATUS (WINAPI *ZwMapViewOfSectionProc)
(
HANDLE SectionHandle,
HANDLE ProcessHandle,
PVOID *BaseAddress,
ULONG ZeroBits,
ULONG CommitSize,
PLARGE_INTEGER SectionOffset,
PULONG ViewSize,
SECTION_INHERIT InheritDisposition,
ULONG AllocationType,
ULONG Protect
);
typedef NTSTATUS (WINAPI *ZwUnmapViewOfSectionProc)
(
HANDLE ProcessHandle,
PVOID BaseAddress
);
typedef VOID (WINAPI *RtlInitUnicodeStringProc)
(
IN OUT PUNICODE_STRING DestinationString,
IN PCWSTR SourceString
);
// Global variables
static HMODULE hModule = NULL;
static HANDLE hPhysicalMemory = NULL;
static ZwOpenSectionProc ZwOpenSection;
static ZwMapViewOfSectionProc ZwMapViewOfSection;
static ZwUnmapViewOfSectionProc ZwUnmapViewOfSection;
static RtlInitUnicodeStringProc RtlInitUnicodeString;
// initialize
BOOL InitPhysicalMemory()
{
if (!(hModule = LoadLibrary("ntdll.dll")))
{
return FALSE;
}
// 以下從NTDLL獲取我們需要的幾個函數指針
if (!(ZwOpenSection = (ZwOpenSectionProc)GetProcAddress(hModule, "ZwOpenSection")))
{
return FALSE;
}
if (!(ZwMapViewOfSection = (ZwMapViewOfSectionProc)GetProcAddress(hModule, "ZwMapViewOfSection")))
{
return FALSE;
}
if (!(ZwUnmapViewOfSection = (ZwUnmapViewOfSectionProc)GetProcAddress(hModule, "ZwUnmapViewOfSection")))
{
return FALSE;
}
if (!(RtlInitUnicodeString = (RtlInitUnicodeStringProc)GetProcAddress(hModule, "RtlInitUnicodeString")))
{
return FALSE;
}
// 以下打開內核對象
WCHAR PhysicalMemoryName[] = L"\\Device\\PhysicalMemory";
UNICODE_STRING PhysicalMemoryString;
OBJECT_ATTRIBUTES attributes;
RtlInitUnicodeString(&PhysicalMemoryString, PhysicalMemoryName);
InitializeObjectAttributes(&attributes, &PhysicalMemoryString, 0, NULL, NULL);
NTSTATUS status = ZwOpenSection(&hPhysicalMemory, SECTION_MAP_READ, &attributes );
return (status >= 0);
}
// terminate -- free handles
void ExitPhysicalMemory()
{
if (hPhysicalMemory != NULL)
{
CloseHandle(hPhysicalMemory);
}
if (hModule != NULL)
{
FreeLibrary(hModule);
}
}
BOOL ReadPhysicalMemory(PVOID buffer, DWORD address, DWORD length)
{
DWORD outlen; // 輸出長度,根據內存分頁大小可能大于要求的長度
PVOID vaddress; // 映射的虛地址
NTSTATUS status; // NTDLL函數返回的狀態
LARGE_INTEGER base; // 物理內存地址
vaddress = 0;
outlen = length;
base.QuadPart = (ULONGLONG)(address);
// 映射物理內存地址到當前進程的虛地址空間
status = ZwMapViewOfSection(hPhysicalMemory,
(HANDLE) -1,
(PVOID *)&vaddress,
0,
length,
&base,
&outlen,
ViewShare,
0,
PAGE_READONLY);
if (status < 0)
{
return FALSE;
}
// 當前進程的虛地址空間中,復制數據到輸出緩沖區
memmove(buffer, vaddress, length);
// 完成訪問,取消地址映射
status = ZwUnmapViewOfSection((HANDLE)-1, (PVOID)vaddress);
return (status >= 0);
}
// 一個測試函數,從物理地址0xfe000開始,讀取4096個字節
// 對于Award BIOS,可以從這段數據找到序列號等信息
BOOL test()
{
UCHAR buf[4096];
if (!InitPhysicalMemory())
{
return FALSE;
}
if (!ReadPhysicalMemory(buf, 0xfe000, 4096))
{
// ... 成功讀取了指定數據
ExitPhysicalMemory();
return FALSE;
}
ExitPhysicalMemory();
return TRUE;
}
補充說明一點,由于Windows虛擬內存頁面大小默認是4KB,NtMapViewOfSection()返回的虛擬空間基址是按照4KB對齊的,返回的
本文來自CSDN博客,轉載請標明出處:http://blog.csdn.net/coffeemay/archive/2006/10/28/1354465.aspx