我们知道,DOS 的中断例程的入口地址存在 0000:0000 开始的中断向量表中,当程序要要建立一个中断例程时,需要修改中断向量表把入口地址指向自己的程序,为了使原来的中断例程能正常使用,在出口的时候还要用远跳转指令回到原中断的入口地址,如 DOS 中断 INT 21H,在 DOS 启动后,后面要挂上很多的新的例程,如 SMARTDRV 等等,磁盘中断 INT 13H 也是如此。
但在程序中,有时需要用到真正的中断入口,如 INT 13H 的 BIOS 入口举例说为 F000:EC59,为了反跟踪,程序中有时要用 PUSHF/CALL F000:EC59 的方法来调用,这就需要在程序开始运行时检测出真正的中断入口地址以备用。
检测真正的入口地址可以用单步中断的方法来进行,在调用 INT XX之前,把单步中断指向自己的程序,
在单步中断中,从堆栈中取出要返回的地址,这就起到的跟踪 INT XX 的执行的作用,举例程序中将跟踪 INT 21H 的执行,然后把执行的地址输出到屏幕上,在 INT 21H 中远跳转的地方给出提示。
真正的中断地址往往在远跳转的地方,在判断哪个远跳转是真正的中断地址时,不同的中断要具体判断,如跟踪 INT 13H 时,我们知道 BIOS 的段地址一般为 E000,所以一旦判断到段地址为 E000 时,就可以把这个地址保存下来作为真正 INT 13H 地址,而跟踪 INT 21H 时,INT 21H 在 DOS 的内核中,所以要先用第一个 MCB 地址的功能取出 MCB 地址,而第一个 MCB 地址之前是系统内核区,当判断到段地址小于第一个 MCB 地址时,这个地址就是真正的 INT 21H 地址。
.286 CODE SEGMENT ASSUME CS:CODE,DS:CODE ORG 100H start: jmp install D_MES1 DB 'CS:IP = %04h:%04h %,FLAG = %017b%,',0dh,0ah,0 DW _CS,_IP,_FLAG _CS DW ? _OLD_CS DW ? _IP DW ? _FLAG DW ? D_MES2 DB '%14r- SEGMENT CHANGE %13r-',0dh,0ah,0 ;新的单步中断 INT 1 例程 ; int1: push ax push bp mov bp,sp ; mov ax,ss:[bp+4] ;返回的 ip mov cs:_ip,ax mov ax,ss:[bp+6] ;返回的 cs mov cs:_cs,ax mov ax,ss:[bp+8] ;flag mov cs:_flag,ax pop bp pop ax pushf pusha push ds push es push cs pop ds push cs pop es mov ax,_cs cmp ax,_old_cs mov _old_cs,ax jz int1_1 mov si,offset d_mes2 ;segment has changed call printf int1_1: mov si,offset d_mes1 ;print return address call printf ;and flags pop es pop ds popa popf iret install: mov ax,cs mov _old_cs,ax mov ax,3501h ;keep int 01 int 21h push es push bx mov ax,2501h ;set new int 01 mov dx,offset int1 int 21h pushf pop ax or ax,0100h push ax popf ;set int 01 flag ;-------------------------------------------------------- xor ax,ax mov es,ax ;从这一句开始单步中断 mov ah,-1 ;由于 INT 语句要清单步中断,所以 pushf ;要用 PUSHF/CALL FAR 的形式执行 INT 21H call dword ptr es:[4*21h] pushf pop ax and ax,0feffh push ax ;跟踪完毕后清楚单步中断 popf ;clear int 01 flag ;--------------------------------------------------------- pop dx pop ds mov ax,2501h int 21h ;restore old int 01 int 20h INCLUDE PRINTF.ASM ;公用屏幕输出子程序 CODE ENDS END START