如何在windows程序中读取bios内容（物理内存内容）

　　大家都知道，windows接管了对物理内存的直接存取，而bios信息存在物理内存 的f000:0000处，关键就是如何读取物理内存。

　　查阅了msdn的文章后，发现以下有几个函数和物理内存访问有关：

　　NTSTATUS ZwOpenSection(OUT PHANDLE SectionHandle, IN ACCESS_MASK DesiredAccess,IN POBJECT_ATTRIBUTES ObjectAttributes);

　　NTSTATUS ZwMapViewOfSection(IN HANDLE SectionHandle,

　　 IN HANDLE ProcessHandle,

　　 IN OUT PVOID *BaseAddress,

　　 &n!

　　bsp; IN ULONG ZeroBits,

　　 IN ULONG CommitSize,

　　 IN OUT PLARGE_INTEGER SectionOffset OPTIONAL,

　　 IN OUT PSIZE_T ViewSize,

　　 IN SECTION_INHERIT Inher!

　　itDisposition,

　　 &!

　　nbsp;&nb

　　sp; IN ULONG AllocationType,

　　 IN ULONG Protect

　　 );

　　NTSTATUS ZwUnmapViewOfSection(IN HANDLE ProcessHandle,IN PVOID BaseAddress);

　　用到的结构定义如下

　　typedef struct _UNICODE_STRING {

　　USHORT Length;//长度

　　USHORT MaximumLength;//最大长度

　　PWSTR Buffer;//缓存指针，访问物理内存时，此处指向UNICODE字符串"\device\physicalmemory"

　　} UNICODE_STRING,*PUNICODE_STRING; 　　

　　typedef struct _OBJECT_ATTRIBUTES {

　　 ULONG Leng!

　　th;//长度 18h

　　 HANDLE RootDirectory;// 00000000

　　 PUNICODE_STRING ObjectName;//指向对象名的指针

　　 ULONG Attributes;//对象属性00000040h

　　 PVOID SecurityDescriptor; // Points to type SECURITY_DESCRIPTOR，0

　　 PVOID SecurityQualityOfService; // Points to type SECURITY_QUALITY_OF_SERVICE，0

　　} OBJECT_ATTRIBUTES;

　　typedef OBJECT_ATTRIBUTES *POBJECT_ATTRIBUTES; 　　

　　函数说明

　　第一个函数ZwOpenSection用来打开section，第一个参数是指向HANDLE变量的指针，第二个是访问参数，第三个是指向OBJECT_ATTRIBUTES的指针

　　第二个函数ZwMapViewOfSection用来建立物理内存和当前进程的一段物理内存的联系，参数很多，一会在例程里再详细解释

　　第三个函数ZwUnmapViewOfSection用来断开物理内存和当前进程中的映射断开联系，第一个参数是进程句柄，必须掉用第二个函数时一样，第二 个是当前进程中映射的基址，由ZwMapViewOfSection返回 　　

　　这三个函数都在ntdll.!

　　dll中，msdn里的帮助说这几个函数用在驱动编制上。

　　例程如下 　　br>

　　/

　　/结构定义

　　typedef struct _UNICODE_STRING {

　　USHORT Length;//长度

　　USHORT MaximumLength;//最大长度

　　PWSTR Buffer;//缓存指针

　　} UNICODE_STRING,*PUNICODE_STRING;

　　typedef struct _OBJECT_ATTRIBUTES {

　　 ULONG Length;//长度 18h

　　 HANDLE RootDirectory;// 00000000

　　 PUNICODE_STRING ObjectName;//指向对象名的指针

　　 ULONG Attributes;//对象属性00000040h

　　 PVOID SecurityDescriptor; // Points to type SECURITY_DESCRIPTOR，0

　　 PVOID SecurityQualityOfService; // Points to type SECURITY_QUALITY_OF_SERVICE，0

　　} OBJECT_ATTRIBUTES;

　　typedef OBJECT_ATTRIBUTES *POBJECT_ATTRIBUTES;

　　//函数指针变量类型生命

　　typedef DWORD (__stdcall *ZWOS)(PHANDLE,ACCESS_MASK,POBJECT_ATTRIBUTES);

　　typedef DWORD (__stdcall *ZWMV)(HANDLE,HANDLE,PVOID,ULONG,ULONG,P!

　　LARGE_INTEGER,PSIZE_T,DWORD,ULONG,ULONG);

　　typedef DWORD (__stdcall *ZWUMV)(HANDLE,PVOID);

　　//以上在程序开始定义全局变量处定义 　　

　　//以下在程序的主函数里

　　//变量声明

　　 UNICODE_STRING struniph;

　　 OBJECT_ATTRIBUTES obj_ar;

　　 ZWOS ZWopenS;

　　 ZWMV ZWmapV;

　　 ZWUMV ZWunmapV;

　　 HANDLE hSection;

　　 DWORD ba;

　　 LARGE_INTEGER so;

　　 SIZE_T ssize;

　　 so.LowPart=0x000f0000;//物理内存的基址，就是f000:0000

　　 so.HighPart=0x00000000;

　　 ssize=0xffff;

　　 wchar_t strPH[30]=L"\\device\\physicalmemory";

　　//变量初始化

　　 ba=0;//联系后的基址将在这里返回

　　 struniph.Buffer=strPH;

　　 struniph.Length=0x2c;//注意大小是按字节算

　　 struniph.MaximumLengt!

　　h =0x2e;//也是字节

　　 ob!

　　j_ar.Att

　　ributes =64;//属性

　　 obj_ar.Length =24;//OBJECT_ATTRIBUTES类型的长度

　　 obj_ar.ObjectName=&struniph;//指向对象的指针

　　 obj_ar.RootDirectory=0;

　　 obj_ar.SecurityDescriptor=0;

　　 obj_ar.SecurityQualityOfService =0;

　　//读入ntdll.dll,得到函数地址

　　 hinstLib = LoadLibrary("ntdll.dll");

　　 ZWopenS=(ZWOS)GetProcAddress(hinstLib,"ZwOpenSection");

　　 ZWmapV=(ZWMV)GetProcAddress(hinstLib,"ZwMapViewOfSection");

　　 ZWunmapV=(ZWUMV)GetProcAddress(hinstLib,"ZwUnmapViewOfSection");

　　//调用函数，对物理内存进行映射

　　 ZWopenS(&hSection,4,&obj_ar);

　　 ZWmapV(

　　 (HANDLE)hSection, //打开Section时得到的句柄

　　 !

　　; (HANDLE)0xffffffff, //将要映射进程的句柄，

　　 &ba, //映射的基址

　　 0, //没怎么看明白,设为0就好了

　　 0xffff, //分配的大小

　　 &so, //物理内存的地址

　　 &ssize, //指向读取内存块大小的指针

　　 1, //子进程的可继承性设定

　　 0, //分配类型

　　 2 //保护类型

　　&!

　　nbsp; &nb!

　　sp;

　　; );

　　 //执行后会在当前进程的空间开辟一段64k的空间，并把f000:0000到f000:ffff处的内容映射到这里

　　 //映射的基址由ba返回,如果映射不在有用,应该用ZwUnmapViewOfSection断开映射

　　BTW: