在NT中直接访问物理内存
来源:互联网 发布:淘宝办生证搜什么 编辑:程序博客网 时间:2024/05/14 14:34
原文地址:http://blog.csdn.net/bhw98/archive/2004/04/28/19683.aspx
我们知道,在NT/2K/XP中,操作系统利用虚拟内存管理技术来维护地址空间映像,每个进程分配一个4GB的虚拟地址空间。运行在用户态的应用程序,不能直接访问物理内存地址;而运行在核心态的驱动程序,能将虚拟地址空间映射为物理地址空间,从而访问物理内存地址。
如果要在应用程序中以物理地址方式访问内存,自然而然的办法,是编写一个专用的驱动程序(如大家熟悉的WinIO),里面设置一定的IOCTL码,应用程序通过调用DeviceIoCtrol()来实现这样的功能。
那么,有没有一种方法,省去编写专用驱动程序这一步,很方便地就能访问物理内存呢?答案是肯定的。实际上,微软早就给我们准备好了一套办法,只是他们秘而不宣罢了。系统内建一个叫做PhysicalMemory的内核对象,可以通过系统核心文件NTDLL.DLL中的有关API进行操纵,从而实现物理内存的直接访问。微软声称这些API是用于驱动程序开发的,在VC/.NET中未提供原型说明和库文件,然而事实证明在应用程序中调用它们是没有问题的。我们感兴趣的API主要包括:
以下的代码描述了如何利用NTDLL.DLL中的上述几个API,实现对物理内存的读取。需要指出的是,只有system拥有读写权限,administrator只有读权限,而user连读权限都没有。这一点,是不能与专用驱动程序方法向相比的。
在VC/.NET中,由于没有相应的原型说明和库文件,我们用GetProcAddress()进行DLL显式调用。前面大段的代码,用于说明必需的类型和结构。读取物理内存的主要步骤为:打开内核对象 → 映射虚拟地址空间 → 读取(复制)内存 → 取消地址空间映射。
typedef LONG NTSTATUS; typedef struct _UNICODE_STRING{ USHORT Length; USHORT MaximumLength; PWSTR Buffer;} UNICODE_STRING, *PUNICODE_STRING; typedef enum _SECTION_INHERIT{ ViewShare = 1, ViewUnmap = 2} SECTION_INHERIT, *PSECTION_INHERIT; typedef struct _OBJECT_ATTRIBUTES{ ULONG Length; HANDLE RootDirectory; PUNICODE_STRING ObjectName; ULONG Attributes; PVOID SecurityDescriptor; PVOID SecurityQualityOfService;} OBJECT_ATTRIBUTES, *POBJECT_ATTRIBUTES; #define InitializeObjectAttributes( p, n, a, r, s ) { / (p)->Length = sizeof( OBJECT_ATTRIBUTES ); / (p)->RootDirectory = r; / (p)->Attributes = a; / (p)->ObjectName = n; / (p)->SecurityDescriptor = s; / (p)->SecurityQualityOfService = NULL; / } // Interesting functions in NTDLLtypedef NTSTATUS (WINAPI *ZwOpenSectionProc)( PHANDLE SectionHandle, DWORD DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes);typedef NTSTATUS (WINAPI *ZwMapViewOfSectionProc)( HANDLE SectionHandle, HANDLE ProcessHandle, PVOID *BaseAddress, ULONG ZeroBits, ULONG CommitSize, PLARGE_INTEGER SectionOffset, PULONG ViewSize, SECTION_INHERIT InheritDisposition, ULONG AllocationType, ULONG Protect);typedef NTSTATUS (WINAPI *ZwUnmapViewOfSectionProc)( HANDLE ProcessHandle, PVOID BaseAddress);typedef VOID (WINAPI *RtlInitUnicodeStringProc)( IN OUT PUNICODE_STRING DestinationString, IN PCWSTR SourceString); // Global variablesstatic HMODULE hModule = NULL;static HANDLE hPhysicalMemory = NULL;static ZwOpenSectionProc ZwOpenSection;static ZwMapViewOfSectionProc ZwMapViewOfSection;static ZwUnmapViewOfSectionProc ZwUnmapViewOfSection;static RtlInitUnicodeStringProc RtlInitUnicodeString; // initializeBOOL InitPhysicalMemory(){ if (!(hModule = LoadLibrary("ntdll.dll"))) { return FALSE; } // 以下从NTDLL获取我们需要的几个函数指针 if (!(ZwOpenSection = (ZwOpenSectionProc)GetProcAddress(hModule, "ZwOpenSection"))) { return FALSE; } if (!(ZwMapViewOfSection = (ZwMapViewOfSectionProc)GetProcAddress(hModule, "ZwMapViewOfSection"))) { return FALSE; } if (!(ZwUnmapViewOfSection = (ZwUnmapViewOfSectionProc)GetProcAddress(hModule, "ZwUnmapViewOfSection"))) { return FALSE; } if (!(RtlInitUnicodeString = (RtlInitUnicodeStringProc)GetProcAddress(hModule, "RtlInitUnicodeString"))) { return FALSE; } // 以下打开内核对象 WCHAR PhysicalMemoryName[] = L"//Device//PhysicalMemory"; UNICODE_STRING PhysicalMemoryString; OBJECT_ATTRIBUTES attributes; RtlInitUnicodeString(&PhysicalMemoryString, PhysicalMemoryName); InitializeObjectAttributes(&attributes, &PhysicalMemoryString, 0, NULL, NULL); NTSTATUS status = ZwOpenSection(&hPhysicalMemory, SECTION_MAP_READ, &attributes ); return (status >= 0);} // terminate -- free handlesvoid ExitPhysicalMemory(){ if (hPhysicalMemory != NULL) { CloseHandle(hPhysicalMemory); } if (hModule != NULL) { FreeLibrary(hModule); }} BOOL ReadPhysicalMemory(PVOID buffer, DWORD address, DWORD length){ DWORD outlen; // 输出长度,根据内存分页大小可能大于要求的长度 PVOID vaddress; // 映射的虚地址 NTSTATUS status; // NTDLL函数返回的状态 LARGE_INTEGER base; // 物理内存地址 vaddress = 0; outlen = length; base.QuadPart = (ULONGLONG)(address); // 映射物理内存地址到当前进程的虚地址空间 status = ZwMapViewOfSection(hPhysicalMemory, (HANDLE) -1, (PVOID *)&vaddress, 0, length, &base, &outlen, ViewShare, 0, PAGE_READONLY); if (status < 0) { return FALSE; } // 当前进程的虚地址空间中,复制数据到输出缓冲区 memmove(buffer, vaddress, length); // 完成访问,取消地址映射 status = ZwUnmapViewOfSection((HANDLE)-1, (PVOID)vaddress); return (status >= 0);} // 一个测试函数,从物理地址0xfe000开始,读取4096个字节// 对于Award BIOS,可以从这段数据找到序列号等信息BOOL test(){ UCHAR buf[4096]; if (!InitPhysicalMemory()) { return FALSE; } if (!ReadPhysicalMemory(buf, 0xfe000, 4096)) { // ... 成功读取了指定数据 ExitPhysicalMemory(); return FALSE; } ExitPhysicalMemory(); return TRUE;}
补充说明一点,由于Windows虚拟内存页面大小默认是4KB,NtMapViewOfSection()返回的虚拟空间基址是按照4KB对齐的,返回的长度也是4KB的整数倍。在上面的ReadPhysicalMemory()中,认为输入的物理地址也是4KB对齐的,如果不是,需要更加全面地考虑。
[相关资源]
- 在NT中直接访问物理内存
- 在NT中直接访问物理内存
- 在NT中直接访问物理内存
- 在NT中直接访问物理内存
- 在NT中直接访问物理内存
- 在NT中直接访问物理内存
- 在NT中直接访问物理内存
- 在NT中直接访问物理内存
- EOS中在java代码中直接访问逻辑流
- springMVC中直接访问controller404
- oracle中直接访问sqlserver的数据
- 如何在普通类中直接访问service层或dao层
- asp.net mvc 中直接访问静态页面
- struts2国际化-JSP中直接访问某个资源文件
- struts2中直接访问jsp页面报错解决方法!
- 关于WinCE6.0 应用程序中直接访问物理地址
- JSP代码段中直接访问值valuestack栈内容
- 介绍一种很棒的wince驱动调试方法——在wince应用程序中直接访问硬件(作者:gooogleman)
- 文本分类之特征简约算法说明
- cpio 命令的用法
- 跨服务器返回临时表数据
- 批处理手把手编写教程
- 系统调用和库函数的区别
- 在NT中直接访问物理内存
- windows和linux下的python备份脚本
- Flex学习资源
- 炒鸡蛋
- 转)初学者如何学习FPGA
- WinCE下NBoot编译
- 在友善之臂mini2440上驱动LCD
- 屏蔽基于对话框的MFC程序中按下ESC关闭窗口的功能
- 中国第一应用质量管理互动平台中国测试平台网上线