本文发表在 rolia.net 枫下论坛一、什么是硬盘的序列号
---- 硬盘的序列号是生产时由厂家设定的,存在于硬盘的控制芯片内,不随硬盘的分区、格式化状态而改变,象硬盘的物理柱面数、扇区数一样,是一个与操作系统无关的特性。该序列号只能用硬盘控制器的I/O指令读取.,并且不能用常规办法修改。
---- 需要注意的是,硬盘的序列号是物理存在的,这与将硬盘格式化成FAT或FAT32后在分区引导扇区自动生成的序列号有着根本的区别。格式化产生的序列号是一种逻辑上的号码,每次格式化产生的序列号是不同的,并且可以手工修改。
二、为什么要读取硬盘的序列号
---- 可以想到的唯一原因就是软件防拷贝保护。这是由硬盘序列号的唯一性和只读性所决定的。一般的做法是在软件安装到硬盘时读取该序列号,在做些适当的变化后保存起来,以后,安装到硬盘的软件可以根据当前的硬盘序列号和安装时保存的序列号进行比较,如果发现二者不一致时,说明该软件被非法拷贝到其实硬盘上运行。
---- 因为该序列号已经由生产厂家保证了它的唯一性,并且用户又不可能修改,所以用这种方法基本上保证了软件的合法效益,国内已经有许多DOS下的软件采用了这种方式。顺便提一下,这些软件还常利用主板的BIOS配合硬盘的序列号进行保护。究其原因,一方面是为了增大加密的强度,另一方面,也就是本方法的缺点,就是有些硬盘,如SANSUNG 的某些型号,是没有序列号的。
三、如何读取硬盘的序列号
---- 硬盘的序列号只能采用对硬盘控制器直接操作的方式进行读取,也就是说只能采用CPU的I/O指令操作硬盘控制器,读取的方法如下面的C语言程序所示:
static int WaitIde()
{
int al;
while ((al=inp(0x1F7)) >=0x80) ;
return al;
}
static void ReadIDE()
{
int al;
int i;
WORD pw[256];
WaitIde();
outp(0x1F6,0xA0);
al = WaitIde();
if ((al&0x50)!=0x50) return;
outp(0x1F6,0xA0);
outp(0x1F7,0xEC);
al = WaitIde();
if ((al&0x58)!=0x58) return;
for (i=0;i< 256;i++)
pw[i] = inpw(0x1F0);
}
---- 上面的程序实际上读取了保存在硬盘控制器内的全部信息,而序列号只是其中的一部分,位于上面提到的 pw[] 数组的 10 至 20 元素内,即从 &pw[10] 开始的10个WORD内,每个WORD占两个字节,共占用了20个字节。由于该序列号保存时每个WORD的高、低字节是非Intel顺序,也就是说它的高字节在前,低字节在后,所以在使用时需要将高、低字节颠倒一下,这样就能得到完整的序列号。
四、上面所说的读取方法为什么不能在Windows 95下用
---- 以前,在DOS时代,用这种方法完全可以读到硬盘的序列号并利用它进行软件防拷贝保护,即使在Windows 3.x下也没有问题,但随着Windows 95(及Windows 98,下简称Windows 9x)的普及,这种方法的局限性也显露出来,因为在Windows 9x下用这种方法根本就读不到任何信息。
---- 原因是在Windows 9x下,上面代码所用的I/O指令被作为特权指令限制起来了。那么,什么是特权指令呢?
---- 首先,简单回顾一下Intel 80386以上CPU的保护机制,从80386以后,CPU分为四个特权级别(即Ring 0-3),供操作系统使用,其中Ring 0的级别最高,Ring 3的级别最低。所允许的CPU指令集从0到3有所减少。那些仅在Ring 0级别上使用的指令即为特别指令。在其它级别上执行特权指令会导致CPU异常的产生。
---- 现在回到Windows 9x中,Windows 95/98在设计时只使用了CPU的两个特权级别,即Ring 0和Ring 3。在这两个级别中,Windows的虚拟机管理、各种驱动程序(VxD)运行在Ring 0级,其它应用程序,甚至包括KERNEL、GDI、USER三个主要模块在内都运行在Ring 3级, 这个级别的程序通过CPU的异常从Ring 0模块中取得所需要的服务。而Windows 9x自己提供了异常处理程序,所以可以提供相应的服务。
---- 在Ring 3级别上,操作硬盘控制器的I/O指令是不可使用的,所以第三节中所列出的代码在执行到 WaitIde()时会陷到死循环中,原因就是Windows 9x的异常处理程序总是让 IN 0x1F7返回 0xFF(事实上,即使跳过这个等待也不行)。
五、在Windows 9x下应该如何读
---- 那么,应该如何在Windows 9x下绕过这层保护来操作硬盘控制器从而达到读取序列号的目的呢?容易想到的解决办法是写一个虚拟设备驱动程序,即VxD,因为VxD是运行在CPU的Ring 0最高特权级别上的。在该级别,所有的指令都是可用的。采用这种方法是可以直接读取的。事实上我已经写了这样的 VxD,效果与在DOS下是一样的。
---- 然而,这种方法存在三个问题(或称为缺点):
---- 第一, 写VxD要比写普通的Windows 9x程序要复杂得多,所需要的操作系统知识也多得多。需要编程人员熟悉Windows 9x的DDK及相关的内核技术。在可视化编程风行一时的今天,许多VB、Delphi的程序员几乎连Windows 9x的SDK都有些生疏,就更别提用DDK进行编程了,从这个角度看,用编写VxD的方法确实平空增加了许多难度。(实在有兴趣的读者可以参阅拙作“VxD入门教程”)
---- 第二, 由于VxD运行在CPU的Ring 0级,实际上也运行在Windows 9x操作系统的核心级,所以任何一个小小的疏忽都足以让Windows 9x崩溃,毫无疑问,这将会增加系统的不稳定性,特别是经验不足的程序员编写的VxD,更容易出现问题。
---- 第三, 读硬盘序列号的主要目的是为了保护软件,也就是防止非法拷贝,如果带上一个VxD,很明显会提示别人应该如何破解。
---- 其实,我们完全可以在普通应用程序中采用VxD技术进行操作,这将会涉及到如何在应用程序级(Ring 3)执行Ring 0级代码的技术。
六、如何从应用程序中执行特权0级代码
---- 采用这种方法唯一的一个技术难点就是利用 CPU 的异常从 Ring 3 直接切换到 Ring 0。如果解决了这个问题,那么剩下的工作就非常简单了。值得一提的是,由于该技术将CPU切换到 Ring 0 级别运行,所以,可以进行的操作就不仅仅是读取硬盘序列号这么简单了。
---- 为了解决这个问题,我们还需要再回头看看CPU的保护模式和中断处理方式。
---- 在实模式下,中断向量表位于内存地址的0:0处,每当中断发生时,无论是硬中断还是软中断,CPU都会从该表中查找中断的入口位置,并执行相应的中断处理程序。
---- 在保护模式下(包括V86方式),中断向量表不是必须放在物理内存0000:0000处,事实上,象“0000:0000”这种表示方式也发生了根本变化,原来意义上的的段址已经不复存在了,代之以段选择器。相应地,中断向量表也用中断描述符表(IDT)取代了,这意味着当发生中断或异常时(异常只在保护模式下存在,可以简单地把它当作中断看待),CPU查找的是IDT,然后再根据查到的入口地址执行相应的处理程序。
---- 关于这部分内容的详细情况请参阅80386 (及以上) CPU的技术手册。
---- 从上面可以看出,虽然查找的内容及方法发生了变化,但原理并没有变,如果要修改中断入口,所需要修改的地方无非是变成了IDT而已。更妙的是,中断(或异常)处理程序是运行在CPU最高特权级Ring 0上,仅有这点还不够,我们还需要对IDT具有写的权限,幸运的是,在Windows 95/98下,IDT位于内存的0C0000000以上的共享区域,而这部分区域是对所有进程都可见的,其中的IDT则对所有进程都是可写的,这就使得我们从Ring 3执行Ring 0级别的代码成为可能。
七、如何利用Ring 0代码读取硬盘的序列号
---- 根据以上的分析,可以将具体的方法归结如下:
---- 首先,需要取得系统 IDT,这可用 SIDT 指令一步到位,该指令不受特权级3的限制;
---- 然后,选定一个中断(异常),修改其在 IDT 中的入口(修改的方法请参阅IDT的格式),使其指向我们自己的处理程序;虽然IDT表中的所有的项都可以使用,但我建议使用中断 3, 这个中断是给调试器用的,平常没用。
---- 最后,通常执行该中断产生异常。方法是直接执行代码 INT 3,当然,在 Ring 3 上执行该指令必然地导致CPU异常的发生,于是,我们的处理程序就这样轻易而举地得到了控制权。
---- 一旦得到CPU最高特权级的控制权,中断处理程序就可以进行任何平常在 Ring 3 级别上不能够进行的操作了,包括读取硬盘序列号。
---- 说得再具体一些,就是将本文前面第三节中列出的程序代码放到中断处理程序中即可全部搞定了。
---- 采用这种方法读取硬盘序列号的完整C语言程序限于篇幅就不在文中列出。
八、小结
---- 实际上我写这篇文章的目的并不完全是为了读取硬盘的序列号(这东东毕竟没多大用途,有些硬盘,如三星的 32543A 根本就没有序列号),主要的目的是想在从 Ring 3 获取 Ring 0 特权这个问题上做些尝试。
---- 最后,需要说明的是,这种方法不可以在 Windows NT 下使用。原因是在Windows NT下无法修改IDT。更多精彩文章及讨论,请光临枫下论坛 rolia.net
---- 硬盘的序列号是生产时由厂家设定的,存在于硬盘的控制芯片内,不随硬盘的分区、格式化状态而改变,象硬盘的物理柱面数、扇区数一样,是一个与操作系统无关的特性。该序列号只能用硬盘控制器的I/O指令读取.,并且不能用常规办法修改。
---- 需要注意的是,硬盘的序列号是物理存在的,这与将硬盘格式化成FAT或FAT32后在分区引导扇区自动生成的序列号有着根本的区别。格式化产生的序列号是一种逻辑上的号码,每次格式化产生的序列号是不同的,并且可以手工修改。
二、为什么要读取硬盘的序列号
---- 可以想到的唯一原因就是软件防拷贝保护。这是由硬盘序列号的唯一性和只读性所决定的。一般的做法是在软件安装到硬盘时读取该序列号,在做些适当的变化后保存起来,以后,安装到硬盘的软件可以根据当前的硬盘序列号和安装时保存的序列号进行比较,如果发现二者不一致时,说明该软件被非法拷贝到其实硬盘上运行。
---- 因为该序列号已经由生产厂家保证了它的唯一性,并且用户又不可能修改,所以用这种方法基本上保证了软件的合法效益,国内已经有许多DOS下的软件采用了这种方式。顺便提一下,这些软件还常利用主板的BIOS配合硬盘的序列号进行保护。究其原因,一方面是为了增大加密的强度,另一方面,也就是本方法的缺点,就是有些硬盘,如SANSUNG 的某些型号,是没有序列号的。
三、如何读取硬盘的序列号
---- 硬盘的序列号只能采用对硬盘控制器直接操作的方式进行读取,也就是说只能采用CPU的I/O指令操作硬盘控制器,读取的方法如下面的C语言程序所示:
static int WaitIde()
{
int al;
while ((al=inp(0x1F7)) >=0x80) ;
return al;
}
static void ReadIDE()
{
int al;
int i;
WORD pw[256];
WaitIde();
outp(0x1F6,0xA0);
al = WaitIde();
if ((al&0x50)!=0x50) return;
outp(0x1F6,0xA0);
outp(0x1F7,0xEC);
al = WaitIde();
if ((al&0x58)!=0x58) return;
for (i=0;i< 256;i++)
pw[i] = inpw(0x1F0);
}
---- 上面的程序实际上读取了保存在硬盘控制器内的全部信息,而序列号只是其中的一部分,位于上面提到的 pw[] 数组的 10 至 20 元素内,即从 &pw[10] 开始的10个WORD内,每个WORD占两个字节,共占用了20个字节。由于该序列号保存时每个WORD的高、低字节是非Intel顺序,也就是说它的高字节在前,低字节在后,所以在使用时需要将高、低字节颠倒一下,这样就能得到完整的序列号。
四、上面所说的读取方法为什么不能在Windows 95下用
---- 以前,在DOS时代,用这种方法完全可以读到硬盘的序列号并利用它进行软件防拷贝保护,即使在Windows 3.x下也没有问题,但随着Windows 95(及Windows 98,下简称Windows 9x)的普及,这种方法的局限性也显露出来,因为在Windows 9x下用这种方法根本就读不到任何信息。
---- 原因是在Windows 9x下,上面代码所用的I/O指令被作为特权指令限制起来了。那么,什么是特权指令呢?
---- 首先,简单回顾一下Intel 80386以上CPU的保护机制,从80386以后,CPU分为四个特权级别(即Ring 0-3),供操作系统使用,其中Ring 0的级别最高,Ring 3的级别最低。所允许的CPU指令集从0到3有所减少。那些仅在Ring 0级别上使用的指令即为特别指令。在其它级别上执行特权指令会导致CPU异常的产生。
---- 现在回到Windows 9x中,Windows 95/98在设计时只使用了CPU的两个特权级别,即Ring 0和Ring 3。在这两个级别中,Windows的虚拟机管理、各种驱动程序(VxD)运行在Ring 0级,其它应用程序,甚至包括KERNEL、GDI、USER三个主要模块在内都运行在Ring 3级, 这个级别的程序通过CPU的异常从Ring 0模块中取得所需要的服务。而Windows 9x自己提供了异常处理程序,所以可以提供相应的服务。
---- 在Ring 3级别上,操作硬盘控制器的I/O指令是不可使用的,所以第三节中所列出的代码在执行到 WaitIde()时会陷到死循环中,原因就是Windows 9x的异常处理程序总是让 IN 0x1F7返回 0xFF(事实上,即使跳过这个等待也不行)。
五、在Windows 9x下应该如何读
---- 那么,应该如何在Windows 9x下绕过这层保护来操作硬盘控制器从而达到读取序列号的目的呢?容易想到的解决办法是写一个虚拟设备驱动程序,即VxD,因为VxD是运行在CPU的Ring 0最高特权级别上的。在该级别,所有的指令都是可用的。采用这种方法是可以直接读取的。事实上我已经写了这样的 VxD,效果与在DOS下是一样的。
---- 然而,这种方法存在三个问题(或称为缺点):
---- 第一, 写VxD要比写普通的Windows 9x程序要复杂得多,所需要的操作系统知识也多得多。需要编程人员熟悉Windows 9x的DDK及相关的内核技术。在可视化编程风行一时的今天,许多VB、Delphi的程序员几乎连Windows 9x的SDK都有些生疏,就更别提用DDK进行编程了,从这个角度看,用编写VxD的方法确实平空增加了许多难度。(实在有兴趣的读者可以参阅拙作“VxD入门教程”)
---- 第二, 由于VxD运行在CPU的Ring 0级,实际上也运行在Windows 9x操作系统的核心级,所以任何一个小小的疏忽都足以让Windows 9x崩溃,毫无疑问,这将会增加系统的不稳定性,特别是经验不足的程序员编写的VxD,更容易出现问题。
---- 第三, 读硬盘序列号的主要目的是为了保护软件,也就是防止非法拷贝,如果带上一个VxD,很明显会提示别人应该如何破解。
---- 其实,我们完全可以在普通应用程序中采用VxD技术进行操作,这将会涉及到如何在应用程序级(Ring 3)执行Ring 0级代码的技术。
六、如何从应用程序中执行特权0级代码
---- 采用这种方法唯一的一个技术难点就是利用 CPU 的异常从 Ring 3 直接切换到 Ring 0。如果解决了这个问题,那么剩下的工作就非常简单了。值得一提的是,由于该技术将CPU切换到 Ring 0 级别运行,所以,可以进行的操作就不仅仅是读取硬盘序列号这么简单了。
---- 为了解决这个问题,我们还需要再回头看看CPU的保护模式和中断处理方式。
---- 在实模式下,中断向量表位于内存地址的0:0处,每当中断发生时,无论是硬中断还是软中断,CPU都会从该表中查找中断的入口位置,并执行相应的中断处理程序。
---- 在保护模式下(包括V86方式),中断向量表不是必须放在物理内存0000:0000处,事实上,象“0000:0000”这种表示方式也发生了根本变化,原来意义上的的段址已经不复存在了,代之以段选择器。相应地,中断向量表也用中断描述符表(IDT)取代了,这意味着当发生中断或异常时(异常只在保护模式下存在,可以简单地把它当作中断看待),CPU查找的是IDT,然后再根据查到的入口地址执行相应的处理程序。
---- 关于这部分内容的详细情况请参阅80386 (及以上) CPU的技术手册。
---- 从上面可以看出,虽然查找的内容及方法发生了变化,但原理并没有变,如果要修改中断入口,所需要修改的地方无非是变成了IDT而已。更妙的是,中断(或异常)处理程序是运行在CPU最高特权级Ring 0上,仅有这点还不够,我们还需要对IDT具有写的权限,幸运的是,在Windows 95/98下,IDT位于内存的0C0000000以上的共享区域,而这部分区域是对所有进程都可见的,其中的IDT则对所有进程都是可写的,这就使得我们从Ring 3执行Ring 0级别的代码成为可能。
七、如何利用Ring 0代码读取硬盘的序列号
---- 根据以上的分析,可以将具体的方法归结如下:
---- 首先,需要取得系统 IDT,这可用 SIDT 指令一步到位,该指令不受特权级3的限制;
---- 然后,选定一个中断(异常),修改其在 IDT 中的入口(修改的方法请参阅IDT的格式),使其指向我们自己的处理程序;虽然IDT表中的所有的项都可以使用,但我建议使用中断 3, 这个中断是给调试器用的,平常没用。
---- 最后,通常执行该中断产生异常。方法是直接执行代码 INT 3,当然,在 Ring 3 上执行该指令必然地导致CPU异常的发生,于是,我们的处理程序就这样轻易而举地得到了控制权。
---- 一旦得到CPU最高特权级的控制权,中断处理程序就可以进行任何平常在 Ring 3 级别上不能够进行的操作了,包括读取硬盘序列号。
---- 说得再具体一些,就是将本文前面第三节中列出的程序代码放到中断处理程序中即可全部搞定了。
---- 采用这种方法读取硬盘序列号的完整C语言程序限于篇幅就不在文中列出。
八、小结
---- 实际上我写这篇文章的目的并不完全是为了读取硬盘的序列号(这东东毕竟没多大用途,有些硬盘,如三星的 32543A 根本就没有序列号),主要的目的是想在从 Ring 3 获取 Ring 0 特权这个问题上做些尝试。
---- 最后,需要说明的是,这种方法不可以在 Windows NT 下使用。原因是在Windows NT下无法修改IDT。更多精彩文章及讨论,请光临枫下论坛 rolia.net