如何获得硬盘的序列号
博士网(https://www.360docs.net/doc/999113345.html,)问答区--Delphi版
作者:kongfang(bnnay) 来源:210.28.70.67
标题:如何获得硬盘的序列号-文章
如何在Windows 95/98下读取硬盘序列号
――兼谈“如何从应用程序中执行特权0级代码”
北京时代先锋软件有限责任公司
丁凯
一、什么是硬盘的序列号
---- 硬盘的序列号是生产时由厂家设定的,存在于硬盘的控制芯片内,不随硬盘的
分区
、格式化状态而改变,象硬盘的物理柱面数、扇区数一样,是一个与操作系统无关的
特
性。该序列号只能用硬盘控制器的I/O指令读取.,并且不能用常规办法修改。
---- 需要注意的是,硬盘的序列号是物理存在的,这与将硬盘格式化成FAT或FAT32
后在
分区引导扇区自动生成的序列号有着根本的区别。格式化产生的序列号是一种逻辑上
的
号码,每次格式化产生的序列号是不同的,并且可以手工修改。
二、为什么要读取硬盘的序列号
---- 可以想到的唯一原因就是软件防拷贝保护。这是由硬盘序列号的唯一性和只读
性所
决定的。一般的做法是在软件安装到硬盘时读取该序列号,在做些适当的变化后保存
起
来,以后,安装到硬盘的软件可以根据当前的硬盘序列号和安装时保存的序列号进行
比
较,如果发现二者不一致时,说明该软件被非法拷贝到其实硬盘上运行。
---- 因为该序列号已经由生产厂家保证了它的唯一性,并且用户又不可能修改,所
以用
这种方法基本上保证了软件的合法效益,国内已经有许多DOS下的软件采用了这种方
式。
顺便提一下,这些软件还常利用主板的BIOS配合硬盘的序列号进行保护。究其原因,
一
方面是为了增大加密的强度,另一方面,也就是本方法的缺点,就是有些硬盘,如
SANS
UNG 的某些型号,是没有序列号的。
三、如何读取硬盘的序列号
---- 硬盘的序列号只能采用对硬盘控制器直接操作的方式进行读取,也就是说只能
采用
CPU的I/O指令操作硬盘控制器,读取的方法如下面的C语言程序所示:
static int WaitIde()
{
int al;
while ((al=inp(0x1F7)) >=0x80) ;
return al;
}
static void ReadIDE()
{
int al;
int i;
WORD pw[256];
WaitIde();
outp(0x1F6,0xA0);
al = WaitIde();
if ((al&0x50)!=0x50) return;
outp(0x1F6,0xA0);
outp(0x1F7,0xEC);
al = WaitIde();
if ((al&0x58)!=0x58) return;
for (i=0;i< 256;i++)
pw[i] = inpw(0x1F0);
}
---- 上面的程序实际上读取了保存在硬盘控制器内的全部信息,而序列号只是其中
的一
部分,位于上面提到的 pw[] 数组的 10 至 20 元素内,即从 &pw[10] 开始的10个
WOR
D内,每个WORD占两个字节,
共占用了20个字节。由于该序列号保存时每个WORD的
高、低
字节是非Intel顺序,也就是说它的高字节在前,低字节在后,所以在使用时需要将
高、
低字节颠倒一下,这样就能得到完整的序列号。
四、上面所说的读取方法为什么不能在Windows 95下用
---- 以前,在DOS时代,用这种方法完全可以读到硬盘的序列号并利用它进行软件防
拷
贝保护,即使在Windows 3.x下也没有问题,但随着Windows 95(及Windows 98,下简
称
Windows 9x)的普及,这种方法的局限性也显露出来,因为在Windows 9x下用这种方
法根
本就读不到任何信息。
---- 原因是在Windows 9x下,上面代码所用的I/O指令被作为特权指令限制起来了。
那
么,什么是特权指令呢?
---- 首先,简单回顾一下Intel 80386以上CPU的保护机制,从80386以后,CPU分为
四个
特权级别(即Ring 0-3),供操作系统使用,其中Ring 0的级别最高,Ring 3的级别
最低
。所允许的CPU指令集从0到3有所减少。那些仅在Ring 0级别上使用的指令即为特别
指令
。在其它级别上执行特权指令会导致CPU异常的产生。
---- 现在回到Windows 9x中,Windows 95/98在设计时只使用了CPU的两个特权级
别,即
Ring 0和Ring 3。在这两个级别中,Windows的虚拟机管理、各种驱动程序(VxD)运行
在
Ring 0级,其它应用程序,甚至包括KERNEL、GDI、USER三个主要模块在内都运行在
Rin
g 3级, 这个级别的程序通过CPU的异常从Ring 0模块中取得所需要的服务。而
Windows
9x自己提供了异常处理程序,所以可以提供相应的服务。
---- 在Ring 3级别上,操作硬盘控制器的I/O指令是不可使用的,所以第三节中所列
出
的代码在执行到 WaitIde()时会陷到死循环中,原因就是Windows 9x的异常处理程序
总
是让 IN 0x1F7返回 0xFF(事实上,即使跳过这个等待也不行)。
五、在Windows 9x下应该如何读
---- 那么,应该如何在Windows 9x下绕过这层保护来操作硬盘控制器从而达到读取
序列
号的目的呢?容易想到的解决办法是写一个虚拟设备驱动程序,即VxD,因为VxD是运
行
在CPU的Ring 0最高特权级别上的。在该级别,所有的指令都是可用的。采用这种方
法是
可以直接读取的。事实上我已经写了这样的 VxD,效果与在DOS下是一样的。
---- 然而,这种方法存在三个问题(或称为缺点):
---- 第一, 写VxD要比写普通的Windows 9x程序要复杂得多,所需要的操作系统知
识也
多得多。需要编程人员熟悉Windows 9x的DDK及相关的内核技术。在可视化编程风行
一时
的今天,许多VB、Delphi的程序员几乎连Windows 9x的SDK都有些生疏,就更别提用
DDK
进行编程了,从这个角度看,用编写VxD的方法确实平空增加了许多难度。(实在有
兴趣
的读者可以参阅拙作“VxD入门教程”)
---- 第二, 由于VxD运行在CPU的Ring 0级,实际上也运行在Windows 9x操作系统的
核
心级,所以任何一个小小的疏忽都足以让Windows 9x崩溃,毫无疑问,这将会增加系
统
的不稳定性,特别是经验不足的程序员编写的VxD,更容易出现问题。
---- 第三, 读硬盘序列号的主要目的是为了保护软件,也就是防止非法拷贝,如果
带
上一个VxD,很明显会提示别人应该如何破解。
---- 其实,我们完全可以在普通应用程序中采用VxD技术进行操作,这将会涉及到如
何
在应用程序级(Ring 3)执行Ring 0级代码的技术。
六、如何从应用程序中执行特权0级代码
---- 采用这种方法唯一的一个技术难点就是利用 CPU 的异常从 Ring 3 直接切换到
R
ing 0。如果解决了这个问题,那么剩下的工作就非常简单了。值得一提的是,由于
该技
术将CPU切换到 Ring 0 级别运行,所以,可以进行的操作就不仅仅是读取硬盘序列
号这
么简单了。
---- 为了解决这个问题,我们还需要再回头看看CPU的保护模式和中断处理方式。
---- 在实模式下,中断向量表位于内存地址的0:0处,每当中断发生时,无论是硬中
断
还是软中断,CPU都会从该表中查找中断的入口位置,并执行相应的中断处理程序。
---- 在保护模式下(包括V86方式),中断向量表不是必须放在物理内存0000:0000
处,事
实上,象“0000:0000”这种表示方式也发生了根本变化,原来意义上的的段址已经
不复
存在了,代之以段选择器。相应地,中断向量表也用中断描述符表(IDT)取代了,这
意味
着当发生中断或异常时(异常只在保护模式下存在,可以简单地把它当作中断看待),
CP
U查找的是IDT,然后再根据查到的入口地址执行相应的处理程序。
---- 关于这部分内容的详细情况请参阅80386 (及以上) CPU的技术手册。
---- 从上面可以看出,虽然查找的内容及方法发生了变化,但原理并没有变,如果
要修
改中断入口,所需要修改的地方无非是变成了IDT而已。更妙的是,中断(或异常)处
理程
序是运行在CPU最高特权级Ring 0上,仅有这点还不够,我们还需要对IDT具有写的权
限
,幸运的是,在Windows 95/98下,IDT位于内存的0C0000000以上的共享区域,而这
部分
区域是对所有进程都可见的,其中的IDT则对所有进程都是可写的,这就使得我们从
Rin
g 3执行Ring 0级别的代码成为可能。
七、如何利用Ring 0代码读取硬盘的序列号
---- 根据以
上的分析,可以将具体的方法归结如下:
---- 首先,需要取得系统 IDT,这可用 SIDT 指令一步到位,该指令不受特权级3的
限
制;
---- 然后,选定一个中断(异常),修改其在 IDT 中的入口(修改的方法请参阅IDT
的
格式),使其指向我们自己的处理程序;虽然IDT表中的所有的项都可以使用,但我建
议
使用中断 3, 这个中断是给调试器用的,平常没用。
---- 最后,通常执行该中断产生异常。方法是直接执行代码 INT 3,当然,在 Ring
3
上执行该指令必然地导致CPU异常的发生,于是,我们的处理程序就这样轻易而举地
得
到了控制权。
---- 一旦得到CPU最高特权级的控制权,中断处理程序就可以进行任何平常在 Ring
3
级别上不能够进行的操作了,包括读取硬盘序列号。
---- 说得再具体一些,就是将本文前面第三节中列出的程序代码放到中断处理程序
中即
可全部搞定了。
---- 采用这种方法读取硬盘序列号的完整C语言程序限于篇幅就不在文中列出。
八、小结
---- 实际上我写这篇文章的目的并不完全是为了读取硬盘的序列号(这东东毕竟没多
大
用途,有些硬盘,如三星的 32543A 根本就没有序列号),主要的目的是想在从 Ring
3
获取 Ring 0 特权这个问题上做些尝试。
---- 最后,需要说明的是,这种方法不可以在 Windows NT 下使用。原因是在
Windows
NT下无法修改IDT。
回复人: cobi(小新国际) (2001-8-2 9:47:39) 得0分
转帖:
博士网(https://www.360docs.net/doc/999113345.html,)问答区--Delphi版
作者:kongfang(bnnay) 来源:210.28.70.67
标题:如何获得硬盘的序列号-程序清单
声明:不能用于NT
unit Unit1;
interface
uses
Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms,
Dialogs,
StdCtrls;
type
TForm1 = class(TForm)
Button1: TButton;
Label0: TLabel;
Label1: TLabel;
Label2: TLabel;
Label3: TLabel;
Label4: TLabel;
procedure Button1Click(Sender: TObject);
private
{ Private declarations }
public
{ Public declarations }
end;
const
hookexceptionno = 5;
ErrNo : integer =0;
var
pw : array [0..255] of WORD;// pw[256];
idtr_1 : array [0..5] of byte; //保存中断描述符表寄存器
oldexceptionhook : dword; //保存原先的中断入口地址
IdeBase : word;
SelectDisk: integer;
var
Form1: TForm1;
implementation
{$R *.DFM}
function inp(rdx:word) : byte;
asm
mov dx, rdx
in al, dx
end;
function inpw(rdx: word) : word;
asm
mov dx, rdx
in ax, dx
end;
procedure outp(ral : byte; rdx : word);
asm
mov dx, rdx
mov al, ral
out dx, al
end;
function WaitIde:byte;
var
al:byte;
b
egin
repeat
al:=inp(IdeBase+7);
until (al<$80) or (al=$a0); //$a0可能就没有硬盘
WaitIde := al;
end;
procedure ReadIDE;
var
al : byte;
i : integer;
begin
WaitIde;
outp(SelectDisk,IdeBase+6);
al := WaitIde;
if ((al and $50) <>$50) then
begin
ErrNo:=1;
exit;
end;
outp(SelectDisk,IdeBase+6);
outp($EC,IdeBase+7);
al := WaitIde;
if ((al and $58)<>$58) then
begin
ErrNo:=2;
exit;
end;
for i:=0 to 255 do
begin
pw[i] := inpw(IdeBase);
end;
end;
// 新的中断处理程序
procedure ReadIt; assembler;
asm
push eax
push ebx
push ecx
push edx
push esi
push edi
// 在这里写读程序
call ReadIDE
pop edi
pop esi
pop edx
pop ecx
pop ebx
pop eax
iretd
end;
procedure GetSerialNo; assembler;
begin
asm
push eax
// 获取修改的中断的中断描述符(中断门)地址
sidt idtr_1
mov eax,dword ptr idtr_1+02h
add eax,hookexceptionno*08h+04h
// 保存原先的中断入口地址
cli
push ecx
mov ecx,dword ptr [eax]
mov cx,word ptr [eax-04h]
mov dword ptr oldexceptionhook,ecx
pop ecx
// 设置修改的中断入口地址为新的中断处理程序入口地址
push ebx
lea ebx,ReadIt
mov word ptr [eax-04h],bx
shr ebx,10h
mov word ptr [eax+02h],bx
pop ebx
// 执行中断,转到ring 0(与cih 病毒原理相似!)
push ebx
int hookexceptionno
pop ebx
// 恢复原先的中断入口地址
push ecx
mov ecx,dword ptr oldexceptionhook
mov word ptr [eax-04h],cx
shr ecx,10h
mov word ptr [eax+02h],cx
pop ecx
// 结束
sti
pop eax
ret
end;
end;
procedure GetPN(DriveNo: integer; var s:string);
var
i : integer;
begin
// asm int 3 end;
ErrNo:=0;
fillchar(pw,sizeof(pw),0);
s:=''
case DriveNo of //设置基址
0,1:IdeBase:= $1f0;
2,3:IdeBase:= $170;
end;
case DriveNo of //指定主从
0,2:SelectDisk:=$A0;
1,3:SelectDisk:=$B0;
end;
GetSerialNo;
if ErrNo<>0 then
exit; //读错误
if (pw[0]=0) then
s := '没有序列号:('
else
for i:=10 to 20 do
begin
s := s+ char(pw[i] shr 8) + char(pw[i] and $ff);
end;
end;
procedure TForm1.Button1Click(Sender: TObject);
var
s:string;
i:integer;
begin
for i:=0 to 3 do
begin
GetPN(i, s);
if (s<>'') then
case i of
0: Label1.Caption := 'IDE1 主盘' +s;
1: Label2.Caption := 'IDE1 从盘' +s;
2: Label3.Caption := 'IDE2 主盘' +s;
3: Label3.Caption := 'IDE2 从盘' +s;
end;
end;
end;
end.