一、问题的提出
ＲＯＭ－ＢＩＯＳ是ＩＢＭ系列兼容机的基本输入输出系统程序，其中含有磁盘、
键盘、通讯等基础功能的常规例程。在有些情况下，如调试修改过的ＢＩＯＳ程序，或
需要通过ＢＩＯＳ截获某个中断调用，就希望能够方便地改写ＢＩＯＳ的内容。然而，
ＢＩＯＳ是写在ＲＯＭ当中的，不易修改。那么，是否有其它变通的办法呢？

二、８０３８６的分页内存管理
为了达到上述目的，可以考虑８０３８６及更高性能的处理器所采用的保护方式。
其中的分页内存管理机制提供了线性地址到逻辑地址的对应关系。大家可能都有在
ＷＩＮＤＯＷＳ下同时运行多个ＤＯＳ进程的经验。显然，ＷＩＮＤＯＷＳ通过分页内
存管理为多个ＤＯＳ进程提供了０－１Ｍ的逻辑地址空间，同时启动了多个Ｖ８６模式
任务。所幸的是，当我们启动计算机时，只要加载了ＥＭＭ３８６．ＥＸＥ这一内存管
理驱动程序，我们就已经处在了分页内存管理的环境之中。
为了进行更深入的讨论，有必要先介绍一下８０３８６分页内存管理的具体过程。
８０３８６的分页部件包含两级分页管理，如图所示。页目录及页表每项均由４个字节
构成，而每一页目录及页表都为４Ｋ字节，因此，每级页表含１０２４项。每页内存块
大小也是４Ｋ，一个页目录可以映射１０２４个页表，从而映射全部４Ｇ字节的线性地
址。
当进入ＥＭＭ３８６．ＥＸＥ后，当前页目录的第一项所指的页表就是０－１Ｍ逻
辑地址空间对应的页表。该表的第一项是逻辑地址０：０－０：ＦＦＦ，第二项是逻辑
地址１００：０－１００：ＦＦＦ．．．最后一项是ＦＦ００：０－ＦＦ００：ＦＦＦ
分别对应的线性地址页号。

三、编程实现
要得到当前页目录，可以将控制寄存器ＣＲ３去掉低１２位的内容，即为当前页目
录所在的页。不过，这一线性地址在０－１Ｍ的逻辑地址中是不可见的。如果不想使用
保护模式下编程，可以考虑ＢＩＯＳ提供的线性地址的数据拷贝服务。中断号１５Ｈ，
功能号８７Ｈ。
调用参数：
入口 ＡＨ＝８７Ｈ
ＣＸ＝拷贝字数（ＷＯＲＤ）
ＥＳ：ＳＩ＝拷贝过程中使用的全局描述表（ＧＤＴ）
ＤＢ １６ ＤＵＰ（０）
ＤＷ 源块字节数
ＤＢ ３ ＤＵＰ（？）；源块线性地址
ＤＢ ９３Ｈ
ＤＷ ０
ＤＷ 目的块字节数
ＤＢ ３ ＤＵＰ（？）；目的块线性地址
ＤＢ ９３Ｈ
ＤＢ １８ ＤＵＰ（０）
出口 Ｃ＝１出错
ＡＨ＝０成功，＝１奇偶校验错，＝２被中断，＝３ Ａ２０失效
下面提供一个实例，它修改页表，将最后一项（ＦＦ００：０－ＦＦ００：ＦＦＦ）
重新映射到程序的ＲＡＭ地址空间，并将ＦＦ００：ＦＦＢ处的内容改写为‘９９’的
ＡＳＣＩＩ码（在笔者所用的计算机上，该地址处为‘９６’的ＡＳＣＩＩ码）然后驻
留内存。此处为ＢＩＯＳ时间的年号，此时再用ＭＳＤ查看，会显示ＢＩＯＳ生产时间
为９９年。若想继续修改ＢＩＯＳ内容，只需修改其映射的ＲＡＭ地址空间。

四、结语
利用本文提供的方法，可以生成功能很强的密钥仿真程序，在ＲＯＭ－ＢＩＯＳ区
域截取来自加密软件的读磁盘调用，从而可以获得密钥或仿真密钥。对磁盘加密软件提
出了严重的挑战。另外，利用这一方法来动态改写及调试ＢＩＯＳ程序也不失为一种简
单有效的方法。

├─────┤
├─────┤ │ │
│ ├──→├─────┤
├─────┤ │ 用户页面 │
├─────┤ │ 页表 │ └─────┘
┌───┐ │ 页目录 ├──→└─────┘
│ＣＲ３├──→└─────┘
└───┘

附图：８０３８６两级分页图

2) 页式管理的地址映射

首先要说明的是页式管理完全可以在没有段式管理的基础上实现，但是为了实现保护模式和以前的内存管理模式相兼容，才不得不在段式管理的基础上实现页式管理。
这样由段式管理而映射出的线性地址（没有页式管理前即为“物理地址”）就和以前由段式管理映射出的物理地址含义不同了。线性地址的具体含义如下：
typeded struct
{
unsigned int dir:10; // 表示页面表目录的下标，该目录指向一个页面表
unsigned int page: 10; // 表示页面表的下表，该表项指向一个物理页面
unsigned int offset:12; // 在4K字节物理页面内的偏移量
}线性地址

下面详细说明页式管理的内存映射过程：
a) 在CR3寄存器中取得页面目录的基地址。
b) 以线性地址中的dir项为下标，在目录中取得相应页面表的基地址
c) 以线性地址中的page项为下标，在所得的页面表中取得相应的页面描述项。
d) 将页面描述项中给出的页面基地址与线性地址中的offset项相加得到物理地址

另外,中断处理程序用C/C++还是ASM,还是机器语言写的并不重要,因为编译之后都是二进制机器指令或数据.但如果你的中断处理程序有空间和效率的限止,则一般使用汇编语言写,比如BIOS中断处理程序都是用汇编写的,被放在0xB0000-0xFFF00之间,而保护模式下,被OS开发者写的中断处理程序一般都是用C写的,比如linux.这些都不重要.
还有就是,BIOS中断处理程序被固化在ROM中,但BIOS中断向量表却是在PC启动时被POST(Power-On Self Test,是一段被固化在ROM中的程序)初始化在RAM中的,因此,你可以修改这些向量,让它们指向你自己写的程序.这样当中断发生时, CPU就会执行你所写的中断处理程序.

对于那些针对硬件操作的中断处理程序,我们看起来只要调用这些中断,就可以达到对硬件操作的效果(比如磁盘操作,显示器操作等等),但事实上,这只不过是中断处理程序直接调用I/O操作(in或out指令)来帮你完成了这一切罢了.

Dos引导程序所做的事情如下:
1>调整堆栈位置
2>修改并用修改后的磁盘参数表来复位磁盘系统
3>计算根目录表的首扇区的位置及IO.SYS的扇区位置
4>读入根目录表的首扇区
5>检查根目录表的开头两项是否为IO.SYS及MSDOS.SYS
6>将IO.SYS文件开头三个扇区读入内存0000:0700H处
7>跳到0000:0700H处执行IO.SYS,引导完毕
上述每一步若出错,则显示"Non system disk or disk error..."信息,等用户按任一键后试图重新起动.
下面的Dos引导程序是从硬盘上得来的,显示MSDOS5.0,但Dos的ver命令报告的是6.22版.FAT表自然是16位的.

说明:
(DX) 表示寄存器DX的值
逻辑扇区号 以0面0道1扇区作为逻辑0扇区,而不是以Dos引导扇区为逻辑0扇区,
当然,对软盘来说二者是相同的,对硬盘则不同
面号 即磁头号
磁道号 即柱面号(对硬盘)
物理扇区号 由面号,磁道号,扇区号三者共同指定

偏移 机器码 符号指令 说明
========================================================================
0000 EB3C JMP 003E ;跳过数据区
;以下数据是厂商OEM信息和磁盘BPB表
0000 90 4D 53 44 4F 53-35 2E 30 00 02 08 01 00 .MSDOS5.0.....
0010 02 00 02 00 00 F8 CC 00-3F 00 10 00 3F 00 00 00 ........?...?...
0020 F1 59 06 00 80 00 29 E3-0B 3F 26 53 4C 4D 20 20 .Y....)..?&SLM
0030 20 20 20 20 20 20 46 41-54 31 36 20 20 20 FAT16
------------------------------------------------------------------------
003E FA CLI
003F 33C0 XOR AX,AX
0041 8ED0 MOV SS,AX
0041 8ED0 MOV SS,AX
0043 BC007C MOV SP,7C00 ; 初始化堆栈
0046 16 PUSH SS
0047 07 POP ES ;(ES)=0000H
0048 BB7800 MOV BX,0078 ;1EH 号中断向量的地址为0000:0078H
004B 36 SS: ;(SS)=0000H
004C C537 LDS SI,[BX] ;取1EH号中断向量的内容存入DS:SI
004E 1E PUSH DS ;该中断向量指向一个11字节的磁盘参数表
004F 56 PUSH SI ;取到后压入堆栈中保存
0050 16 PUSH SS
0051 53 PUSH BX ;保存地址0000:0078H
0052 BF3E7C MOV DI,7C3E ;7C3E-7C00=003EH,即偏移003EH,以下类推
0055 B90B00 MOV CX,000B ;磁盘参数表共11字节 
0058 FC CLD
0059 F3 REPZ
005A A4 MOVSB ;将磁盘参数表复制到0000:7C3EH处
005B 06 PUSH ES
005C 1F POP DS ;(DS)=0000H
005D C645FE0F MOV BYTE PTR [DI-02],0F ;修改参数表中"磁头定位时间"
0061 8B0E187C MOV CX,[7C18] ;从BPB中取"每磁道扇区数"
0065 884DF9 MOV [DI-07],CL ;修改参数表中"每磁道扇区数"
0068 894702 MOV [BX+02],AX ;(AX)=0000H,修改1EH号中断向量(段址)
006B C7073E7C MOV WORD PTR [BX],7C3E ;修改1EH号中断向量(偏移),这样1EH号
006F FB STI ;中断向量的内容为0000:7C3EH,指向新的磁盘参数表
0070 CD13 INT 13 ;用新的磁盘参数表来复位磁盘
0072 7279 JB 00ED ;出错则转出错处理
------------------------------------------------------------------------
; 下面一段程序计算扇区位置
0074 33C0 XOR AX,AX
0076 3906137C CMP [7C13],AX ;偏移0013H处是Dos分区的总扇区数
007A 7408 JZ 0084 ;为零表示大硬盘?
007C 8B0E137C MOV CX,[7C13] ;不为0则取出来放到偏移0020H处
0080 890E207C MOV [7C20],CX ;这个值本程序未用,似乎为IO.SYS准备的
0084 A0107C MOV AL,[7C10] ;取FAT表的个数
0087 F726167C MUL WORD PTR [7C16] ;乘以一个FAT表所占的扇区数
008B 03061C7C ADD AX,[7C1C] ;加上Dos分区前的扇区数(隐藏扇数,低位)
008F 13161E7C ADC DX,[7C1E] ; 高位
0093 03060E7C ADD AX,[7C0E] ;加上Dos分区内的保留扇区数(低位)
0097 83D200 ADC DX,+00 ; (高位)
009A A3507C MOV [7C50],AX ;根目录表的首扇的逻辑扇区号(低位)
009D 8916527C MOV [7C52],DX ; (高位)
00A1 A3497C MOV [7C49],AX ;此处放IO.SYS的首扇的逻辑扇区号(低位)
00A4 89164B7C MOV [7C4B],DX ; (高位)
00A8 B82000 MOV AX,0020 ;根目录表中每项占32字节
00AB F726117C MUL WORD PTR [7C11] ;乘以根目录表中的项数
00AF 8B1E0B7C MOV BX,[7C0B] ;取"每扇区的字节数"
00B3 03C3 ADD AX,BX ;这两条指令是为了取整
00B5 48 DEC AX
00B6 F7F3 DIV BX ;除以每扇字节数,得到根目录所占扇区数
00B8 0106497C ADD [7C49],AX ;得到根目录表后首扇的逻辑扇区号(低位)
00BC 83164B7C00 ADC WORD PTR [7C4B],+00 ; (高位)
-----------------------------------------------------------------------
;下面一段程序在根目录表中找系统文件IO.SYS和MSDOS.SYS
00C1 BB0005 MOV BX,0500 ;内存缓冲区的偏移值
00C4 8B16527C MOV DX,[7C52] ;取根目录表的首扇的逻辑扇区号(高位)
00C8 A1507C MOV AX,[7C50] ; (低位)
00CB E89200 CALL 0160 ;将逻辑扇区号转换为物理扇区号
00CE 721D JB 00ED ;出错则转出错处理
00D0 B001 MOV AL,01
00D2 E8AC00 CALL 0181 ;读一个扇区到内存(根目录的首扇)
00D5 7216 JB 00ED ;出错处理
00D7 8BFB MOV DI,BX ;内存缓冲区的首址
00D9 B90B00 MOV CX,000B ;比较11个字节
00DC BEE67D MOV SI,7DE6 ;偏移01E6处是串"IO SYS",长11字节
00DF F3 REPZ
00E0 A6 CMPSB ;看第一项是否为IO.SYS
00E1 750A JNZ 00ED ;不是则出错
00E3 8D7F20 LEA DI,[BX+20] ;跳过32字节就指向第二项
00E6 B90B00 MOV CX,000B ;比较11个字节
00E9 F3 REPZ
00EA A6 CMPSB ;看第二项是否为MSDOS.SYS
00EB 7418 JZ 0105 ;是则两个文件都已找到,跳过出错处理
------------------------------------------------------------------------
;下面一段进行出错处理
00ED BE9E7D MOV SI,7D9E ;偏移019EH处是串"Non system disk..."
00F0 E85F00 CALL 0152 ;显示字符串
00F3 33C0 XOR AX,AX
00F5 CD16 INT 16 ;等待任一键按下
00F7 5E POP SI
00F8 1F POP DS ;得到1EH号中断向量的地址0000:0078H
00F9 8F04 POP [SI]
00FB 8F4402 POP [SI+02] ;恢复1EH号中断向量的内容
00FE CD19 INT 19 ;自举
0100 58 POP AX
0101 58 POP AX
0102 58 POP AX ;清理堆栈
0103 EBE8 JMP 00ED ;再次试图起动
------------------------------------------------------------------------
;下面读入IO.SYS的头3个扇区到内存0000:0700H处
0105 8B471A MOV AX,[BX+1A] ;从根目录表第一项中取IO.SYS的首簇号
0108 48 DEC AX
0109 48 DEC AX ;首簇号减二
010A 8A1E0D7C MOV BL,[7C0D] ;取每簇的扇区数
010E 32FF XOR BH,BH
0110 F7E3 MUL BX ;(首簇号 - 2)乘以 每簇的扇区数
0112 0306497C ADD AX,[7C49] ;相加后得到IO.SYS的首扇的逻辑扇区号
0116 13164B7C ADC DX,[7C4B]
011A BB0007 MOV BX,0700 ;内存缓冲区的偏移值
011D B90300 MOV CX,0003 ;循环计数初值,读3个扇区
0120 50 PUSH AX ;逻辑扇区号进栈(低位)
0121 52 PUSH DX ; (高位)
0122 51 PUSH CX ;循环计数器进栈
0123 E83A00 CALL 0160 ;逻辑扇区号转换为物理扇区号
0126 72D8 JB 0100 ;出错处理
0128 B001 MOV AL,01
012A E85400 CALL 0181 ;读一个扇区到内存缓冲区
012D 59 POP CX ;循环计数出栈
012E 5A POP DX
012F 58 POP AX ;逻辑扇区号出栈
0130 72BB JB 00ED ;读盘出错处理
0132 050100 ADD AX,0001
0135 83D200 ADC DX,+00 ;下一个扇区
0138 031E0B7C ADD BX,[7C0B] ;缓冲区指针移动一个扇区的大小
013C E2E2 LOOP 0120 ;循环读入三个扇区
013E 8A2E157C MOV CH,[7C15] ;取"磁盘介质描述",传给IO.SYS
0142 8A16247C MOV DL,[7C24] ;取"系统文件所在的驱动器号"
0146 8B1E497C MOV BX,[7C49] ;取IO.SYS的首扇的逻辑扇区号
014A A14B7C MOV AX,[7C4B]
014D EA00007000 JMP 0070:0000 ;执行IO.SYS,引导完毕
-----------------------------------------------------------------------
;显示字符串的子程序
0152 AC LODSB ;从串中取一个字符
0153 0AC0 OR AL,AL
0155 7429 JZ 0180 ;为0则已到串尾,返回(共用RET指令)
0157 B40E MOV AH,0E
0159 BB0700 MOV BX,0007
015C CD10 INT 10 ;显示该字符
015E EBF2 JMP 0152 ;循环显示下一个
-----------------------------------------------------------------------
;将逻辑扇区号转换为物理扇区号的子程序
0160 3B16187C CMP DX,[7C18] ;这两条指令是为了避免第二次除法时除数
0164 7319 JNB 017F ;为0
0166 F736187C DIV WORD PTR [7C18] ;逻辑扇取号除以每道扇区数,商(AX)=总磁
016A FEC2 INC DL ;道数,余数(DX)再加一即为扇区号,因为扇
016C 88164F7C MOV [7C4F],DL ;区号是从1开始的,而不是从0开始
0170 33D2 XOR DX,DX
0172 F7361A7C DIV WORD PTR [7C1A] ;总磁道数(AX)再除以面数,所得的
0176 8816257C MOV [7C25],DL ;余数(DX)=面号(即磁头号)
017A A34D7C MOV [7C4D],AX ;商(AX)=磁道号
017D F8 CLC
017E C3 RET ;正常返回
017F F9 STC
0180 C3 RET ;异常返回