|
|
|
易祝兵 2007-12-10
% Y0 N5 H s4 U8 ?万事开头难,其实真的有难或易么?不扯了,既然谈BIOS,就从第BIOS第一条指令开始吧。: ~$ J2 L0 ~: m2 Z
不过事先准备一下:
( C% o- m& v: O; i8 a9 Q4 W+ A B1、你一定要能看懂汇编语言,如果不会,请直接关闭此话题。' y9 t: m- L( b/ i8 Y7 v
2、debug32.exe/UltraEdit/IDA 当然,你用IDA那就更好,不过我不可能教你如何用IDA,我先用Debug/debug32的方法先进入话题。IDA Free版本你可以在本站搜索下载到。
1 x# I0 e1 A; g. p8 V3、BIOS ROM文件,你可以Download自己主板或笔记本BIOS ROM回来(这是一定可以download的,也方便你找相应的DataSheet和具体Debug动作)# ]4 N! X7 I4 r; ?! k4 p; D- j
4、几分钟看文章的时间,会的直接关闭此话题。
/ W) t, d8 |( b% @- q$ X" e
! W6 _: T, y$ r; {7 x开始吧,启动你的操作系统用UltraEdit打开你的BIOS ROM文件,找你感兴趣的字串如AMI,Insyde,Phoenix等,看我找到的如下图(这一定是Phoenix的BIOS了):6 ^5 o: e/ y" h$ m+ p; `6 T9 {
4 |; d$ J' d% B) X6 A& I7 D, u
# P+ U; O* j: ~然后看文件最后头(也就是BIOS ROM mapping 到4GB的最高端部分),因为刷进BIOS ROM CHIP之后,计算机第一条指令会指向FFFFFFF0h的4G最高端,CS=F000h,EIP=FFF0h,第一条指令为兼容性,现IA32 CPU CS实际为0FFFF000h,当软件执行一个Far jump或一个Far call之后,CS才会跳变到正常实模式。( W" B4 s/ k7 R6 ^! d1 F
) T: f x) Y+ Y; g6 q! D* lCPU会从地址FFFFFFF0h取第一条指令,平台的地址解码器通过设定会指向相应的BIOS ROM CHIP,然后文件最后头的一排,就是指一条指令了。(注意Phoenix现阶段如用Phoenix刷BIOS工具刷的话,所用的ROM会比正常ROM多2K,也是加在文件最后头,所以要去掉那部分内容,文件大小按64KB、32KB、16KB(因那段才2KB,以后未知)...等取整即可,; F4 d6 b& a$ Q
3 | T6 F- `7 f0 o& l
我们再运行DEBUG32把指一条指令反汇编,如下图(这是一个512K的BIOS):
/ N0 X6 P5 l& T, t/ [* W% o/ Z) V+ X$ c8 t
* Y7 j+ @9 O+ h7 K" y( {! _
% ^/ e$ R- \# w% b* Y" }# M
此BIOS的第一条指令是一个近跳转。本例子的文件长度是7ffff,那么我这样计算,因开机CS=F000段(注意实际如上说明),切出文件最大地址的64K做为此段所,这个段的第一条指令地址是F000:FFF0h,对应文件地址是7fff0,指令是jmp到 B66Bh,就是可算出就是跳转在文件的 7B66Bh的位置,注:有很多BIOS讲E05Bh的位置,这是AT BIOS的痕迹,AMI BIOS可能第一条指令就是这个,但Phoenix和Insyde BIOS,这个位置会留给跳转到(Phoenix)Boot block(简称:BB)或Insyde EFI SEC代码位置,如Phoenix BB执行完,再跳转到E05Bh,也就是AT BIOS RESET,我们系统启动后,大家可以看内存的F000:FFF0,反汇编一般都会是Far jmp F000:E05Bh,因为BIOS启动完啦,第一条指令的位置会由BIOS做AT BIOS兼容性处理掉(处不处理看BIOS的)。) n/ i T2 W* P
* ]6 l' N) h: r" }3 y+ d
好的,我再转到文件的7B66Bh的位置,如下图:
2 E7 ~( g, B6 {, E5 J. p$ Y; E
' Q& r" m. W K& a# ?) ]+ H
1 [/ F3 v5 \% Z- u* x4 V/ T代码意思是比较实模式的F000:FFF0h是否是E9h,如果不相等则跳转到F000:E05Bh,如果相等则经过几次其他的判断和跳转,最后到B5F6h,实际上也是跳到B5F6h,其它几个判断都会跳回来,限于啰嗦,不贴其它代码。不过现在,问题出来了,假如你也按我的做了,相信你一定输16进制代码输得眼都花了。启用IDA工具吧,如果不启用工具的话照旧,你用DEBUG或DEBUG32处理。IDA如何使用?自己摸索,我就不大费口舌了。见下图(是不是觉得清爽多了?)
% n9 T$ T" G( k! i/ j2 ]
8 S ^2 @' |4 a( U* `: d: e
3 o: V- i/ g" u' R# h Q- O我们用IDA追到F000:B5F6的位置如下图:
1 Z. Y e+ T9 G+ w6 ?% h' x) ~ J0 @
$ o! F: U+ t8 Y- l. j) r
, k T# v8 a4 _上图中的代码做了点chip的初始化(看第一张图的信息是VIA的Chipset,具体要见DataSheet)和SuperIO的初始化(说不定也是EC初始化)。
. e0 I& {# X! n+ }/ Y1 t% O1 o0 b然后跳转到F000:B68Ah,B68Ah的代码如下图:
+ G' D1 b* k- v4 M3 A, l
- G; \$ u; ^% r. s' ^# R6 n o
3 i8 S3 ?5 r4 [上图中的代码大致意思是在F000:BDECh处放置了一张Table,其中有一码(16bits)是向378h端口输出,另两个参数(double 16bits)是两个Function,跳进去执行,具体这张Table见BDECh的位置:
% S9 h& f1 r- C& ^/ `
8 t. v- G" Y$ l/ f$ U& p: i
6 `) E" u; ~. h9 E* G你可以发现一大串Function Task....我是比较懒的人,你们慢慢看...这应该是Phoenix BB的一张表,它还会跳转到BIOS Reset位置的,要慢慢找...
* b% S$ v. s" [5 ~- a' n2 h7 R9 ^( J
* }) @0 v1 B! M# ?此文告一段落。 |
|
IP卡
狗仔卡
发表于 2007-12-10 17:32:04
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2008-1-31 01:12:08
