|
|
|
易祝兵 2007-12-10
& r) X% U3 W* h U" |; L& l) Z万事开头难,其实真的有难或易么?不扯了,既然谈BIOS,就从第BIOS第一条指令开始吧。2 m6 @) R. Z& u f
不过事先准备一下:) A' g1 e* L6 L! d
1、你一定要能看懂汇编语言,如果不会,请直接关闭此话题。+ k- L: Q+ Y7 Z4 y/ I
2、debug32.exe/UltraEdit/IDA 当然,你用IDA那就更好,不过我不可能教你如何用IDA,我先用Debug/debug32的方法先进入话题。IDA Free版本你可以在本站搜索下载到。
. D: B" h* m4 x+ _9 D3、BIOS ROM文件,你可以Download自己主板或笔记本BIOS ROM回来(这是一定可以download的,也方便你找相应的DataSheet和具体Debug动作)
4 S( K3 }8 j S+ j( U" ?6 v2 c4、几分钟看文章的时间,会的直接关闭此话题。3 [. X6 Y# a2 A+ P8 W+ S _
( R1 E+ k* ~( \, y开始吧,启动你的操作系统用UltraEdit打开你的BIOS ROM文件,找你感兴趣的字串如AMI,Insyde,Phoenix等,看我找到的如下图(这一定是Phoenix的BIOS了):
' b* f) v8 u" Q7 @: y( m
. B0 g( G6 n; v4 U& O6 a
3 j. i% o8 c2 U) [8 L6 \然后看文件最后头(也就是BIOS ROM mapping 到4GB的最高端部分),因为刷进BIOS ROM CHIP之后,计算机第一条指令会指向FFFFFFF0h的4G最高端,CS=F000h,EIP=FFF0h,第一条指令为兼容性,现IA32 CPU CS实际为0FFFF000h,当软件执行一个Far jump或一个Far call之后,CS才会跳变到正常实模式。
1 C) {$ W0 c% Q' z( A) j2 [, r( u- X
CPU会从地址FFFFFFF0h取第一条指令,平台的地址解码器通过设定会指向相应的BIOS ROM CHIP,然后文件最后头的一排,就是指一条指令了。(注意Phoenix现阶段如用Phoenix刷BIOS工具刷的话,所用的ROM会比正常ROM多2K,也是加在文件最后头,所以要去掉那部分内容,文件大小按64KB、32KB、16KB(因那段才2KB,以后未知)...等取整即可,
/ N' J8 R# Y) W4 [8 u- t: o; V. {( i0 s4 M, x5 ]& q* S$ Q
我们再运行DEBUG32把指一条指令反汇编,如下图(这是一个512K的BIOS):6 t5 g2 t2 N o& w% X, V- X
9 D" K" M& q( I- U. {5 b' y
! k6 I! u2 ]0 O1 @ X# \4 w: j( E
此BIOS的第一条指令是一个近跳转。本例子的文件长度是7ffff,那么我这样计算,因开机CS=F000段(注意实际如上说明),切出文件最大地址的64K做为此段所,这个段的第一条指令地址是F000:FFF0h,对应文件地址是7fff0,指令是jmp到 B66Bh,就是可算出就是跳转在文件的 7B66Bh的位置,注:有很多BIOS讲E05Bh的位置,这是AT BIOS的痕迹,AMI BIOS可能第一条指令就是这个,但Phoenix和Insyde BIOS,这个位置会留给跳转到(Phoenix)Boot block(简称:BB)或Insyde EFI SEC代码位置,如Phoenix BB执行完,再跳转到E05Bh,也就是AT BIOS RESET,我们系统启动后,大家可以看内存的F000:FFF0,反汇编一般都会是Far jmp F000:E05Bh,因为BIOS启动完啦,第一条指令的位置会由BIOS做AT BIOS兼容性处理掉(处不处理看BIOS的)。+ ]. H: }5 L% W. d7 V" k3 i: g$ j
# Y2 p2 K% k! {; ~! x好的,我再转到文件的7B66Bh的位置,如下图:
: |: p3 l( H- }9 ?0 a+ z% q+ r: R
L2 I5 r3 g/ p) c% [8 W6 _$ @7 E4 h F/ B& _7 c& \" D+ |
代码意思是比较实模式的F000:FFF0h是否是E9h,如果不相等则跳转到F000:E05Bh,如果相等则经过几次其他的判断和跳转,最后到B5F6h,实际上也是跳到B5F6h,其它几个判断都会跳回来,限于啰嗦,不贴其它代码。不过现在,问题出来了,假如你也按我的做了,相信你一定输16进制代码输得眼都花了。启用IDA工具吧,如果不启用工具的话照旧,你用DEBUG或DEBUG32处理。IDA如何使用?自己摸索,我就不大费口舌了。见下图(是不是觉得清爽多了?)! A W/ H4 k4 @$ J
8 A2 B" J8 j& P U7 c# P
8 M( H) q: }2 F7 K我们用IDA追到F000:B5F6的位置如下图:+ K) {! y8 j2 O& L; } l
% M6 X! s) a6 P0 W4 ~8 S3 P; B5 L* m; u; }
上图中的代码做了点chip的初始化(看第一张图的信息是VIA的Chipset,具体要见DataSheet)和SuperIO的初始化(说不定也是EC初始化)。" j, m7 l$ e; b7 U: s+ u/ |8 B
然后跳转到F000:B68Ah,B68Ah的代码如下图:
. n. g9 {2 ]. g0 F6 a1 @
( {4 Y2 I1 F+ x+ D% E
6 E2 n9 {% q8 i- _0 x3 O8 k
上图中的代码大致意思是在F000:BDECh处放置了一张Table,其中有一码(16bits)是向378h端口输出,另两个参数(double 16bits)是两个Function,跳进去执行,具体这张Table见BDECh的位置:
: W4 ^/ V# p1 V2 L* {
$ D+ [, E- ?" L2 I4 I6 p6 K
; T# J+ d- w, n) W9 @你可以发现一大串Function Task....我是比较懒的人,你们慢慢看...这应该是Phoenix BB的一张表,它还会跳转到BIOS Reset位置的,要慢慢找...% U( i% e7 ]$ O! J b" n
% J) l% l+ Q# Q此文告一段落。 |
|
IP卡
狗仔卡
发表于 2007-12-10 17:32:04
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2008-1-31 01:12:08
