概述:
我们知道,DOS 的中断例程的入口地址存在 0000:0000 开始的中断向量表中,当程序要要建立一个中断例程时,需要修改中断向量表把入口地址指向自己的程序,为了使原来的中断例程能正常使用,在出口的时候还要用远跳转指令回到原中断的入口地址,如 DOS 中断 INT 21H,在 DOS 启动后,后面要挂上很多的新的例程,如 SMARTDRV 等等,磁盘中断 INT 13H 也是如此。
但在程序中,有时需要用到真正的中断入口,如 INT 13H 的 BIOS 入口举例说为 F000:EC59,为了反跟踪,程序中有时要用 PUSHF/CALL F000:EC59 的方法来调用,这就需要在程序开始运行时检测出真正的中断入口地址以备用。
检测真正的入口地址可以用单步中断的方法来进行,在调用 INT XX之前,把单步中断指向自己的程序,
在单步中断中,从堆栈中取出要返回的地址,这就起到的跟踪 INT XX 的执行的作用,举例程序中将跟踪 INT 21H 的执行,然后把执行的地址输出到屏幕上,在 INT 21H 中远跳转的地方给出提示。
真正的中断地址往往在远跳转的地方,在判断哪个远跳转是真正的中断地址时,不同的中断要具体判断,如跟踪 INT 13H 时,我们知道 BIOS 的段地址一般为 E000,所以一旦判断到段地址为 E000 时,就可以把这个地址保存下来作为真正 INT 13H 地址,而跟踪 INT 21H 时,INT 21H 在 DOS 的内核中,所以要先用第一个 MCB 地址的功能取出 MCB 地址,而第一个 MCB 地址之前是系统内核区,当判断到段地址小于第一个 MCB 地址时,这个地址就是真正的 INT 21H 地址。
汇编编程示例:
.286
CODE SEGMENT
ASSUME CS:CODE,DS:CODE
ORG 100H
start:
jmp install
D_MES1 DB 'CS:IP = %04h:%04h %,FLAG = %017b%,',0dh,0ah,0
DW _CS,_IP,_FLAG
_CS DW ?
_OLD_CS DW ?
_IP DW ?
_FLAG DW ?
D_MES2 DB '%14r- SEGMENT CHANGE %13r-',0dh,0ah,0
;新的单步中断 INT 1 例程
;
int1:
push ax
push bp
mov bp,sp ;
mov ax,ss:[bp+4] ;返回的 ip
mov cs:_ip,ax
mov ax,ss:[bp+6] ;返回的 cs
mov cs:_cs,ax
mov ax,ss:[bp+8] ;flag
mov cs:_flag,ax
pop bp
pop ax
pushf
pusha
push ds
push es
push cs
pop ds
push cs
pop es
mov ax,_cs
cmp ax,_old_cs
mov _old_cs,ax
jz int1_1
mov si,offset d_mes2 ;segment has changed
call printf
int1_1:
mov si,offset d_mes1 ;print return address
call printf ;and flags
pop es
pop ds
popa
popf
iret
install:
mov ax,cs
mov _old_cs,ax
mov ax,3501h ;keep int 01
int 21h
push es
push bx
mov ax,2501h ;set new int 01
mov dx,offset int1
int 21h
pushf
pop ax
or ax,0100h
push ax
popf ;set int 01 flag
;--------------------------------------------------------
xor ax,ax
mov es,ax ;从这一句开始单步中断
mov ah,-1 ;由于 INT 语句要清单步中断,所以
pushf ;要用 PUSHF/CALL FAR 的形式执行 INT 21H
call dword ptr es:[4*21h]
pushf
pop ax
and ax,0feffh
push ax ;跟踪完毕后清楚单步中断
popf ;clear int 01 flag
;---------------------------------------------------------
pop dx
pop ds
mov ax,2501h
int 21h ;restore old int 01
int 20h
INCLUDE PRINTF.ASM ;公用屏幕输出子程序
CODE ENDS
END START
)
