在BIOS中嵌入应用程序的方法及实现
一种在BIOS中嵌入应用程序的方法及实现
介绍
本文针对Award公司开发的计算机系统BIOS提出了一种嵌入应用程序的方法,其基本原理对别的品牌的BIOS也一样适用,仅需稍加修改。文中作者给出并讨论一个完整的例子程序,该程序已经通过实验验证。
一. BIOS简述
这里所讲的BIOS是指计算机主板上的BIOS,是整个计算机的关键和灵魂,计算机一启动就是执行BIOS程序,它负责加电自检,初始化计算系统,响应用户对系统配置的修改,记录数据到CMOS中,将常驻程序库(Runtime Program)常驻于内存中,提供给系统和应用程序调用,经过一系列复杂操作后,最后将控制权转移给操作系统。
一开始BIOS容量仅有8K,随着计算机复杂程度的提高,以及即插即用、高级电源管理等方面的需要,再加上个别主板厂商添加的辅助功能,BIOS容量迅速增大,目前通常主板上BIOS容量为256Kb,有些已经达到512Kb,这些BIOS中常常还会有几十Kb的剩余空间,而且由于BIOS多采用FlashRom作为存储芯片,便于修改,这就为我们在BIOS中嵌入自己的程序提供了便利。
在BIOS中嵌入程序具有多方面的应用,有些主板厂商在BIOS中嵌入杀毒程序,硬盘恢复精灵,超频工具等,提高了产品的竞争力;台湾威胜公司和Elegent公司联合开发出了嵌入在BIOS中的小型浏览器操作系统,整个BIOS大小仅有512Kb,计算机无需硬盘即可上网冲浪;有些监控系统由于功能简单,完全可以把程序做到BIOS中,一开机就自动运行,既提高了可靠性,又降低了成本。另一方面,将病毒嵌入到BIOS中,一开机就常驻内存也完全可以做到。
BIOS代码虽短,但技术含量相当高,全世界仅有AWARD、PHOENIX、AMI、ACER等几家公司有研发BIOS系统的能力(AWARD 已被PHOENIX收购),其他主板厂商有的是直接购买,有的也会在以上几家公司提供的平台上进行少量功能扩展。作为个别应用的场合,就要完全靠自己对BIOS进行改造。
二. 嵌入程序的基础知识
在进行工作前需要几个必备的工具,一个是AWARD公司的BIOS刷新工具AwdFlash;另一个Award BIOS 察看修改工具Cbrom;还有一个是MicroSoft 的汇编工具Masm6.11;最后是作者推荐的二进制文本编辑器HexWorkshop,这些工具都可以从网上下载,下面假定读者已经熟练使用这些工具,具体操作步骤不再祥述。
前面提到BIOS程序是存放在FlashROM芯片中的,实际上它是经过压缩后再存放进去的,仅留下少量启动代码和解压缩程序保持原样,BIOS的执行过程其实相当复杂,好在我们无需去了解其中的详细流程,但有一点应当清楚,BIOS程序实际上也是采用的模块化设计思想,用Cbrom可以察看到BIOS中各个子模块的名称,性质,压缩率等信息,BIOS在执行过程中会将这些模块解压缩到内存中,验证模块的合法性和正确性,如果满足条件,就会转到模块的入口处执行。这里面的详细机制和由来需要参考PNPBIOS协议、PNPISA协议、PCI总线协议和EISA总线协议,内容繁多,本文不拟做深入探讨。
BIOS中有一种模块是ISA模块,来源于ISA协议,由于ISA协议属于早期的协议,内容相对简单,BIOS对ISA模块的验证也较为简单,容易满足,我们可以将自己的程序做成ISA模块挂到BIOS中,这样机器一启动,我们的程序就会启动,而且我们程序的运行是先于操作系统的。
三. 程序设计详细步骤
1. 设计准备
由于系统固有的限制,BIOS中每个模块的大小不能超过64Kb,这里是指没有压缩前的大小,这和DOS下COM程序的限制很相似,实际上我们在用MASM6.11进行编程时的确采用是COM程序的模板,由编译器生成COM文件。然而它又和一般的COM文件具有以下几点不同:
1. 首先它有自己的堆栈段,堆栈大小默认为1K,而COM文件的堆栈是在64K之内的,默认是从段内偏移量0FFFEh处开始。
2. COM文件一开始就是执行代码,而模块一开始是模块头,储存有与模块相关的信息。模块执行代码的入口点在模块中的某一处。
3. COM文件执行完后返回到操作系统,通常通过子功能号4ch的中断INT21h返回到DOS,而模块是远程调用返回,也就是说必须用RETF返回。
4. ISA模块最后一个字节是校验码,所有的字节相加必须为0,BIOS利用这点来验证一个ISA模块的正确性。COM文件没有这点要求。
5. COM文件执行时是先被完整地复制到段内偏移量100h处,然后再执行,而模块的段内偏移量不能确定,有的模块会是0。所以涉及到段内偏移量的汇编指令,如LEA、OFFSET要谨慎适用。
下表是ISA模块头的格式,其中仅列出了几个最基本的相关字段,这是协议中的内容,我们在编写模块头时,需要严格遵循下表的格式:
偏 移 长 度 值 说 明
0h 1 55h 模块标签字节1
1h 1 AAh 模块标签字节2
2h 1 * 模块长度(以512字节为单位)
3h 3 * 入口点,BIOS对此位置做远调用,这里往往放一条跳转指令
6h~19h 20 * 保留
表一 模块头格式
通常一个BIOS嵌入程序设计的基本流程如下,每一步都很关键,有必要给出详细说明:
1. 首先用汇编编写DOS下的COM程序,必须注意到程序是先于操作系统执行的,所以程序中不能调用任何DOS的中断服务。为了程序转化方便,也不要用.code,.startup等汇编伪指令,尽量采用早期的汇编编写方式,争取对整个程序结构的完全控制。
2. 调试通过后,在COM文件前加上文件头,改变返回指令为RETF,控制文件大小为512字节的整数倍,重新编译生成COM文件。
3. 在HexWorkshop中调入刚生成的COM文件,利用其中的checksum工具生成文件的校验码,用100h减去该8位校验码后填入文件最后一个字节。再次生成文件的校验码,确认为零。
4. 用Cbrom将文件作为ISA模块嵌入到BIOS中,在本文中的操作为 “Cbrom save.bin/isa hello.com”,其中save.bin是事先用AwdFlash备份的BIOS文件。注意反复操作时,要先将前一个给释放掉,操作为“Cbrom save.bin/isa release”。
5. 用AwdFlash将新的BIOS文件烧录到FlashROM中。重起计算机,检验程序。
进行以上实验前,最好自备编程器,万一计算机不能正常启动,也可以重新恢复BIOS,如果可以用本身具有双BIOS保护功能的计算机进行实验则更加保险。
下面设计两个简单的Hello程序,分别采用了两种不同的方式,两个程序都是在屏幕上显示一行字“Hello!Press F1 to continue…”,当按下F1功能键后,程序退出,计算机继续启动。
2. Hello程序一
下面给出的源代码是在上面流程2中的文件,所以已经添加了文件头,编译后生成的COM文件是不能在DOS下执行的,请读者务必注意。另外由于程序功能简单,所以在这里文件大小限制为512字节,对不同规模的程序,会有一些小小的变动。程序中所有的中断调用都是BIOS中断服务调用,具体调用规则不做详细说明,请读者查阅有关资料。
;Hello源程序一
code segment
assume cs:code,ds:code
start:
signature db 55h,0aah
comlength db 01h ;文件长512字节
jmp near ptr begin0
reserved db 20 dup(?)
begin0:
mov di,25
mov ah,2
mov bh,0
mov dx,di
mov dh,10 ;将光标移至屏幕
int 10h ;10行25列处
mov si,offset string
;在DOS下调试时应在这里添加 add si,100h
showstr:
mov ah,9
mov al,[si]
and al,0ffh
jz kbinput
mov bh,0
mov bl,0DAh
mov cx,1
int 10h
,
mov ah,2
mov bh,0
inc di
mov dx,di
mov dh,10
int 10h
jmp showstr ;输出字符串
kbinput:
mov ah,0
int 16h
cmp ah,3bh ;接受键盘输入
jne kbinput ;按F1往下执行
mov ax,0 ;返回参数
retf ;远程调用返回
string db 'Hello! Press F1 to continue…',00h ;00h标志字符串结束
org 511 ;文件末尾
checksum db ?
code ends
end start
将上述程序烧入BIOS中运行时,在第一屏信息显示过后,会在第二屏正中央显示一条红底白字的信息,提示按F1键继续,按F1键后,BIOS继续下面的启动步骤。显示第三屏启动信息,即原先的第二屏信息,最后加载操作系统。
以上程序假定了BIOS会将模块解压至段首运行,事实也确是如此,但由于没查到相关资料,目前还不能肯定总会如此。这一点将在下一个Hello程序中有所改进。
3. Hello程序二
Hello程序一在BIOS没有初始化完全的时候即进入运行,所以对程序功能有更多限制,有些BIOS中断服务还不具备,任何对这些服务的调用都会产生意想不到的结果。考虑到BIOS在加载操作系统时实际上是用的INT 19h,Hello程序二就利用挂钩19h中断的方法抢在操作系统之前,BIOS初始化之后运行,这样就可以完整地利用整个计算机系统的所有资源了。
另外必须指出的是,模块本身有责任保持整个模块的校验和为零,也就是说,ISA模块进驻内存中后就不能卸出,BIOS会在模块返回后检查整个模块的检验和,判断模块的正确性,如果错误,则会死机。模块在初始运行时可以更改自己段内的数据,而在BIOS初始化完毕后,模块就不能再有改变自身数据的操作。
;Hello源程序二
.model tiny
.386
code segment
assume cs:code,ds:code
start:
signature db 55h,0aah
comlength db 01h ;文件长512字节
jmp near ptr begin0
reserved db 20 dup(?)
begin0:
call getip ;得到模块的起始段内偏移量
;保存在参数ipstart中
mov ax,0 ;挂钩19h中断
mov es,ax ;保存原来的入口到
mov ax,es:[64h] ;saveip与savecs
mov saveip,ax
mov ax,es:[66h]
mov savecs,ax
mov ax,offset begin1
add ax,ipstart
mov es:[64h],ax
mov es:[66h],cs
mov ax,0 ;重新计算校验码
mov si,510 ;注意不要记入最后一个字节
again: add ax,cs:[si]
dec si
jns again
neg al ;改变最后一个字节
mov checksum,al ;使整个模块校验和为零
mov ax,0
retf ;远程调用返回
begin1: ;19h中断入口
sti ;开中断
pusha
push es
push ds ;保存调用参数
mov ax,cs
mov ds,ax
mov ax,0 ;恢复原19h中断入口
mov es,ax
mov ax,saveip
mov es:[64h],ax
mov ax,savecs
mov es:[66h],ax
;以下基本与程序一相同
;这里为节约篇幅用……代替
;……
mov si,offset string
add si,ipstart ;注意
;……
pop ds
pop es
popa
int 19h ;激发19h中断
iret
getip proc ;得到模块的起始
pop ax ;段内偏移量子程序
push ax
sub ax,29 ;29=模块头大小加3
mov ipstart,ax
ret
getip endp
string db 'Hello! Press F1 to continue…',00h
saveip dw ?
savecs dw ?
ipstart dw ?
org 511
checksum db ?
code ends
end start
Hello2程序在执行时,会在第二屏启动画面的最后一行显示一段黑底白字“Hello! Press F1 to continue…”,当按下F1后,计算机就开始加载操作系统。
需要注意的是,在DOS或Windows下调试Hello程序二时,是不能用19h中断的,任何对19h中断的调用要么结束当前程序,要么会造成死机,所以调试时需要暂时用别的中断代替,如保留中断2bh,当调试成功以后,再将中断改回为19h。
另一个在Hello1与Hello2程序中都要注意的问题是,在程序中不要轻易改动模块头的模块长度字节的值,PCI模块支持并赞成这样的改动,而ISA模块没找到相关资料,笔者曾尝试过改动这一值,结果导致Windows98不能进入通常模式。
四. 结束语
在编程实践中作者感到编写BIOS的嵌入程序具有相当难度,它需要有扎实的汇编语言功底和对计算机硬件系统的深入了解,更需要在实践中不断地摸索BIOS程序的特点,只有这样才能够编写出精悍的代码,满足实践应用的需要。