В следующих двух подразделах основное внимание уделяется способу для определения местонахождения обработчиков прерываний I3h И I9h В двоичном файле BIOS. Прерывание I3h Обрабатывает деятельность жесткого диска. Особый интерес для разработчика руткита представляет процедура для загрузки секторов диска. Прерывание I9h Представляет собой загрузчик операционной системы, который загружает код операционной системы в RAM и передает ему управление, начиная исполнение операционной системы. Хотя объяснение ведется на примере Award BIOS, излагаемые принципы применимы и к BIOS других поставщиков. Однако серьезной проблемой с BIOS Других поставщиков является недостаток способов и инструментов для внесения модификаций в пригодный к использованию двоичный файл BIOS. Что касается Award BIOS, то методы ее модификации хорошо изучены, а инструментальные средства для этой цели можно легко найти в Интернете. Двоичный файл BIOS, изучаемый в этом подразделе, называется vd30728.bin. Эго — BIOS для материнской платы Iwill VD133, выпущенная в 2000. ДанНый Двоичный файл Award BIOS основан на коде Award BIOS В архитектуре х86 существует два типа прерываний — аппаратные и программные. Разница между этими видами прерываний незначительна. Сигналы аппаратных прерываний контроллер PIC пропускает к линии прерываний процессора согласно их приоритету. Для программных прерываний такого механизма приоритетов не существует. Прерывания I3h и I9h являются программными прерываниями. Тем не менее, чтобы получить полное представление о процессе обработки прерываний BIOS, необходимо проследить процесс инициализации прерываний, начиная с инициализации аппаратных прерываний. В большинстве случаев код BIOS отключает механизм обработки прерываний до тех пор, пока не завершится процесс инициализации механизма аппаратных прерываний. Краткий обзор прерываний BIOS приведен в
Рубрика: Женский интерес
