Основная загрузочная запись MBR Windows 7

Метки:  , , , , , , , , ,

Master Boot Record (MBR) - это так называемая главная загрузочная запись, то есть блок кода и данных, размещаемый на первом физическом секторе носителя информации, обеспечивающий начальный этап автозагрузки с выбранного носителя, дополнительно описывающий схему разбиения носителя на разделы.
В алгоритме загрузки персональных компьютеров архитектуры x86, использующих классический принцип загрузки, непосредственно после включения питания начинает работать код Базовой системы ввода-вывода (БИОС, BIOS). Почему я акцентировал внимания на термине "классический"? Дело в том, что в последнее время интенсивно разрабатывается спецификация Extensible Firmware Interface (EFI), которая призвана прийти на смену базовой системе ввода-вывода. Тем не менее, в данной статье мы будем поведем рассказ именно о классическом методе загрузки (иначе называемом legacy boot), так называемом исторически сложившемся сценарии запуска посредством BIOS с использованием MBR-сектора. На финальной стадии работы BIOS, после инициализации и тестирования оборудования (POST), происходит выбор устройства, с которого предполагается дальнейшая загрузка пользовательского кода (операционной системы). Загрузочным устройством может служить любой тип накопителя, доступный для загрузки: гибкий диск, жесткий диск, флеш-диск, компакт-диск, карта памяти и некоторые другие. После того, как загрузочное устройство инициализировано (выбрано), код BIOS считывает с него первый физический сектор (цилиндр:головка:сектор (CHS) которого = 0:0:1 или адрес логического блока (LBA) = 0), в память по адресу 0000:7С00, проверяет сигнатуру 55AAh в последних двух байтах, и если сигнатура присутствует, то управление передается по адресу 0000:7C00. Если же сигнатура не найдена, то управление получает собственный специализированный код BIOS, сигнализирующий об отсутствии операционной системы на носителе. Перед передачей управления на код загрузочного сектора, в регистр DL записывается номер текущего диска (с которого сектор был считан).

Для чего нужна сигнатура 55AAh? Представьте себе ситуацию, когда валидный код MBR в следствии какого-либо сбоя не был записан в первый сектор диска, или туда попал "мусор". После того, как BIOS передаст на подобный "код" управление, система с большой вероятностью зависнет!! Как раз с целью исключить подобные ситуации и была придумана сигнатура MBR - 55AAh, на основании которой код BIOS может хоть как-то идентифицировать сектор перед передачей управления. Если идентификатор не найдет, то диск считается не загрузочным.

Поскольку размер физического сектора равен 512 байт, а MBR в классическом понимании ограничивается одним сектором, то и размер MBR, соответственно, равен 512 байт. Кстати, никто не запрещает разработчику построить реализацию MBR таким образом, что он будет занимать более одного сектора последовательно (или не последовательно) на пространстве диска, что, в некоторых случаях, упрощает и алгоритм работы. В подобных ситуациях под MBR понимают весь загрузочный код, а первые 512 байт (то есть первый сектор) называют MBS (Master Boot Sector). Поскольку в загрузчиках Windows подобный подход не используется, термины MBS и MBR для нас абсолютно идентичны.
Теперь давайте перейдём к изучению функциональных особенностей сектора и в данной статье мы с вами будем исследовать загрузочный сектор одной из операционных систем линейки Windows - Microsoft Windows 7. С самого начала, немного забегая вперед, давайте посмотрим на общую структуру сектора MBR Windows 7:

Смещение Длина, байт Описание
0000h 355 Код загрузчика
0163h 80 Сообщения об ошибках
01B3h 2 Заполнители (00)
01B5h 3 Каждый байт из этих трех является указателем на сообщение об ошибке. Значение 0700h + значение байта определяет смещение сообщения в текущем сегменте данных: 0763h, 077Bh, 079Ah.
01B8h 4 Сигнатура диска (NT Disk Signature) или Идентификатор тома (Volume ID) или Серийный номер диска (Drive Serial Number). Используется самой системой Windows для однозначной идентификации носителя информации, а так же для сопоставления литеры (буквы) устройству. Так же может использоваться различного рода защитами с целью привязки устанавливаемого программного обеспечения к компьютеру.
01BCh 2 Заполнитель (обычно нули). Возможно зарезервировано для будущего использования.
01BEh 16 Таблица разделов. Описывает каждый из четырех возможных для MBR-разметки разделов накопителя.
Раздел 1
01CEh 16 Раздел 2
01DEh 16 Раздел 3
01EEh 16 Раздел 4
01FEh 2 Сигнатура (55AAh). Последние 2 байта сектора.

Как раз по этой структуре можно проследить, что помимо загрузочного кода в MBR содержатся еще и данные о разметке диска, так называемая таблица разделов, каждая запись в которой описывает параметры одного раздела. Возможно, небольшие вопросы по структуре оставляют попытки использовать замысловатый триггер на сообщения об ошибках и размещение таблицы разделов непосредственно в MBR-секторе (устоявшаяся традиция), однако в остальном можно отдать должное лаконичности и логичности размещения кода в миниатюрном 512-байтовом пространстве, в таком пространстве особо не разбежишься, как говорится.
Не мешало бы тут же привести и общий алгоритм работы сектора:

  1. Код BIOS загружает 512 байт сектора MBR в память по адресу 0000:7C00.
  2. Код MBR копирует себя по адресу 0000:0600 и передает управление на этот адрес. Стек устанавливается в значение 0000:7C00.
  3. Парсим (разбираем) таблицу разделов. В таблице разделов ищется запись активного раздела. Если раздел найден, то запоминаем его. Если найдено несколько активных разделов, или активного раздела вовсе нет, то выводим ошибку.
  4. Проверяем наличие расширений прерывания int 13h.
  5. Грузим загрузочный сектор активного раздела (PBR) по адресу 0000:7C00.
  6. Включаем адресную линию 20.
  7. Проверяем наличие TPM версии 1.02.
  8. Уходим на дальнейшую загрузку ОС: передаем управление на уже загруженный к этому моменту код PBR по адресу 0000:7C00.

Теперь давайте взглянем на код внимательнее и попробуем углубиться в логику работы MBR Windows 7. В целях изучения с загрузочного диска нам необходимо этот самый MBR сектор каким-либо образом извлечь и записать в файл, а затем выполнить дизассемблирование кода MBR, то есть перевод его из шестнадцатеричного представления в понятный человеку язык Ассемблера. Для сохранения загрузочной записи MBR с диска я подумал использовать что-нибудь легковесное и, по возможности, не требующее инсталляции.. и инструмент был довольно быстро найден - им оказалась утилита DM Disk Editor and Data Recovery. Спасибо огромное автору за хороший и простой в освоении инструментарий.
У меня получилось выгрузить сектор MBR Windows 7 в виде .bin-файла, в итоге, после данной процедуры я получил 512 байт кода сектора. Теперь можно взглянуть на получившийся шестнадцатеричный дамп:

Собственно, как вы поняли, этот блок данных есть ни что иное, как шестнадцатеричное представление 512 байт сектора. Что же, дамп сектора у нас на руках, теперь самое время воспользоваться дизассемблером с целью трансляции этого самого кода. На этом этапе мной был использован достаточно популярный и проверенный дизассемблер IDA, один из наиболее мощных в своем классе. С другой стороны, в коде MBR Windows 7 ничего сверхсложного нет, поэтому можно было бы использовать абсолютно любые доступные в сети дизассемблеры. После того, как исходный код MBR получен, мы попытаемся понять логику его работы.

Сразу оговоримся, что без знания языка ассемблера, хотя бы начального уровня, разобраться в хитросплетениях инструкций можно будет только по моим комментариям, да и то не полностью. Для достаточно же хорошего понимания рекомендую обзавестись хотя бы базовыми знаниями в этой области, или использовать вспомогательную литературу.

Итак, BIOS, посредством прерывания 19h, производит загрузку первого сектора устройства в память, затем передает на только что загруженный код управление. Управление получено, и в этой точке мы имеем следующее состояние:

  • значение регистра CS = 0;
  • значение регистра IP = 7c00;
  • значение регистра DL = номер "текущего" диска (с которого была выполнена загрузка сектора);
  • Прерывания запрещены.

Так уж сложилось, что любой код (функционирующий в реальном режиме) на старте производит подготовку собственного рабочего окружения: инициализацию сегментных регистров. Не далеко ушел от этого постулата и код сектора MBR Windows 7. Тут мы видим инициализацию сегмента стека, данных, дополнительного сегмента. Затем производится копирование блока размером в 512 байт (то есть код копируется сам себя) с адреса 0000:7С00 по адресу 0000:061C. Делается это по той причине, что впоследствии, на очередном этапе загрузки, код по адресу 0000:7C00 будет перезаписан кодом из PBR (загрузочного сектора раздела). После копирования кода управление передается по адресу 0000:061С.

  1. Обнуляем регистр AX. Этот регистр использоваться для дальнейшей инициализации сегментных регистров;
  2. Обнуляем сегмент стека SS;
  3. Устанавливаем указать стека SP в значение 7C00h. Не смотря на то, что по этому адресу у нас располагается первая инструкция, стек у нас не будет пересекаться с кодом, поскольку перед выполнением команда помещения в стек и SP уменьшается;
  4. Обнуляем сегментный регистр ES;
  5. Обнуляем сегментный регистр DS;
  6. Устанавливаем SI в значение 7C00h;
  7. Устанавливаем DI в значение 0600h. Значение 0600h будет использоваться как смещение адреса назначения для пересылки 512 байт далее по коду;
  8. Устанавливаем CX в значение 0200h. Это количество копируемых байт (512 в десятичной системе);
  9. Устанавливаем флаг направления cld. Направление "вперед" для инструкции movsb;
  10. Переносим 512 байт;
  11. Записываем в стек содержимое AX, который равен 0 (сегмент для перехода);
  12. Записываем в стек значение 061Ch (смещение для перехода);
  13. Командой retf делаем "дальний возврат" из процедуры. На самом деле, наш код никакой процедуры не вызывал, чтобы потом из нее "вернуться". Это просто распространенный прием, используемый для перехода по адресу, записанному в стеке (в нашем случае - 0000:061Ch), то есть ровно в то местоположение, в которое мы только что скопировали код.
Поскольку мы передали управление по адресу 0000:061C, с этого момента будет логичнее продолжить адресацию уже относительно нового адреса, куда мы, собственно и переместились после копирования участка кода.

Следующая секция кода MBR Windows 7 предназначена для поиска активного раздела на текущем диске. Для этого используется таблица разделов, размещающаяся внутри 512 байт MBR по смещению 01B8h от начала сектора. Активный (загрузочный) раздел нам нужно найти для того, чтобы считать (и в дальнейшем запустить) с него код загрузочного сектора активного раздела, который имеет несколько названий: VBR (Volume Boot Record), PBR (Partition Boot Record) и даже PBS (Partition Boot Sector). Признак загрузочного раздела - это наличие значения 80h в первом байте 16-байтовой записи (которой описывается каждый раздел в таблице разделов). Значение 00h указывает на не загрузочную запись. Любое другое значение кроме 00h и 80h считается некорректным и игнорируется.
Давайте, сначала, рассмотрим структуру 16-байтовой записи таблицы разделов:

Смещение Длина Описание
00h 1 Признак активности раздела. 80h - активный (загрузочный) раздел. 00h - неактивный раздел.
01h 1 Начало раздела — головка. Для совместимости со старыми функциями int 13h, работающими в формате CHS.
02h 1 Начало раздела — сектор (биты 0—5), цилиндр (биты 6, 7). Для совместимости со старыми функциями int 13h, работающими в формате CHS.
03h 1 Начало раздела — цилиндр (старшие биты 8, 9 хранятся в байте номера сектора). Для совместимости со старыми функциями int 13h, работающими в формате CHS.
04h 1 Код типа раздела.
05h 1 Конец раздела — головка. Для совместимости со старыми функциями int 13h, работающими в формате CHS.
06h 1 Конец раздела — сектор (биты 0—5), цилиндр (биты 6, 7). Для совместимости со старыми функциями int 13h, работающими в формате CHS.
07h 1 Конец раздела — цилиндр (старшие биты 8, 9 хранятся в байте номера сектора). Для совместимости со старыми функциями int 13h, работающими в формате CHS.
08h 4 Номер первого сектора в формате LBA. С какого сектора раздел начинается.
0Ch 4 Количество секторов раздела. То есть, длина раздела.

Ну а теперь, собственно, сам код поиска активного раздела:

  1. Разрешить асинхронные прерывания (аппаратные, от "внешних" устройств).
  2. Задаем счетчик записей (4) в регистре CX.
  3. задаем в BP смещение таблицы разделов (07BEh = 0600h + 01BEh). помните, мы переместили код по адресу 0000:0600h? значит теперь любые смещения у нас скорректированы относительно адреса 0600h.
  4. сравниваем первый байт первого раздела со значением 0.
  5. (знаковое) если меньше (то есть значение попадает в диапазон 80h-0FFh), то мы, предположительно, нашли загрузочную запись, и переходим на 0000:0634 для дальнейшей проверки.
  6. если не равно (с учетом первого сравнения jl - или больше, то есть значение попало в диапазон 01h-79h), то переходим на процедуру выдачи ошибки Invalid partition table.
  7. добавляем к BP значение 10h (16) для того, чтобы сместить указатель на следующую запись в таблице разделов;
  8. цикл на 0623h. то есть проверяем все четыре раздела, пока cx не будет равен 0;
  9. если мы проверили все 4 записи и не нашли среди них ни одной активной - то вызываем прерывание 18h. На многих современных BIOS просто выдается текст PRESS ANY KEY TO REBOOT, на очень старых моделях IBM PC вызывался встроенный интерпретатор языка BASIC.

Активный раздел найден. Перед тем как перейти к считыванию с этого раздела загрузочного сектора раздела PBR, который обеспечивает дальнейшее выполнение загрузки, необходимо выбрать метод чтения. Часть кода MBR Windows 7, описанная ниже, предназначена для проверки факта поддержки BIOS так называемых "расширений прерывания 13h". Почему именно "расширения" и зачем они потребовались разработчикам из Microsoft? Почему, к примеру, не использовать старые-добрые стандартные функции чтения секторов? Я постараюсь, в меру собственного понимания вопроса дать исчерпывающее пояснение. История этого события, как я полагаю, уходит корнями в то время, когда для дисков в BIOS существовало ограничение на количество адресуемых секторов - 16 515 072, поскольку в интерфейсе int 13h для номера цилиндра отводилось 10 бит, для номера головки — 8 бит, для номера сектора — 6 бит, то есть всего 24 бита. Но диски неуклонно "росли" в объемах, а используемая логика позволяла адресовать не более 8 455 716 864 байт (~8 гигабайт), очевидно что требовалось что-то в данной ситуации менять. Вот именно тогда и были добавлены дополнительные (расширенные) функции, которые предусматривали использование так называемого режима LBA (Logical Block Addressing), который обеспечивал автоматическое изменение геометрии жестких дисков и позволял адресовать сектор уже как 64 битное целое число. LBA адресовал любой сектор на носителе линейным адресом, в отличии от старого неудобного стандарта CHS, в котором сектор адресовался посредством трех параметров - цилиндра, головки и номера сектора как такового. Этот режим LBA, судя по всему, не поддерживался стандартными (устаревшими) функциями прерывания int 13h, для его то поддержки и требуются "расширения".

  1. Регистр DL содержит номер текущего диска (мы не "портили" регистр DX в коде выше), который он получает от кода BIOS. Записываем его значение в память по адресу ds:[bp+0]. Соответственно, локальная переменная, адресуемая как [bp+0] - номер текущего диска. Если в системе один диск и загрузка происходит с него, то значение равно 80h, если же дисков много и загрузка происходит не с первого диска, то, вероятно, значение может быть иным.
  2. Сохраняем значение регистра BP в стек.
  3. [bp+11h] - локальная переменная, содержащая счетчик попыток чтения диска. Задаем 5 попыток.
  4. [bp+10h] - локальная переменная, указывающая на наличие/отсутствие расширений прерывания 13h.
  5. Записываем в аккумулятор AX значение 41h. Эта функция проверяет наличие расширений прерывания int 13h в BIOS.
  6. В регистре BX должно быть значение 55AAh.
  7. Вызываем прерывание.

Далее в MBR Windows 7 следует блок кода, который предназначается для обработки возвращенных функцией 41h прерывания 13h значений. На этом этапе мы и понимаем, если ли в BIOS расширения, или их нет. Не все BIOS (особенно старые реализации) поддерживают расширения, поэтому нам надо подобный вариант предусмотреть. Если возвращается сброшенный carry flag (CF=0) и значение регистра BX меняется на AA55h, то это означает наличие расширений. Версия возвращается в регистре AH. В регистре CX возвращается битовая карта поддерживаемого функционала.

  1. Восстанавливаем из стека регистр BP.
  2. Условие (беззнаковое) "если меньше", то есть если флаг CF=1 (установлен), то расширений нет и мы передаем управление по адресу 0000:0659.
  3. Еще одна проверка на отсутствие ошибки выполнения функции: проверяем BX на значение 0AA55h;
  4. Если нет - то передаем управление на 0000:0659.
  5. Заключительная проверка - тест значения в регистре CX на установленный нулевой бит;
  6. Если он не установлен (0), то расширения не установлены и код прыгает на 0000:0659;
  7. Иначе, проверка прошла успешно, расширения есть. Увеличим на единицу содержимое ячейки [bp+10]. Вспомним, что она используется как внутренняя переменная, описывающая наличие или отсутствие расширений int 13h.
  8. Сохраняем все 32-битные регистры в стек.
  9. Сравниваем нашу локальную переменную [bp+10h], которая определяет наличие расширений, с 0;
  10. если 0 - то мы не можем использовать расширения и переходим под адресу 0000:0687. Иначе идем далее по коду.

Описанный далее код выполняет в случае присутствия расширений и использует функцию 42h прерывания int 13h под названием “Extended Read” (Расширенное чтение), которая предназначается для считывания секторов с диска в режиме LBA. А считываем мы первый сектор активного раздела (PBR). Тут используется один не совсем стандартный прием: весь пакет DAP записывается в стек (то есть для задания параметров функции используется стек) и функции перед вызовом дается на этот блок данных указатель. Стоит помнить, что информация в стеке формируется в обратном порядке.

данные, формирующие блок DAP (Disk Address Packet, Адресный пакет диска) следующие:

смещение размер описание
00h 1 байт длина DAP. 10h или 18h (16 или 24 байта).
01h 1 байт зарезервировано, не используется. должно быть 0.
02h..03h 2 байта количество секторов для чтения (некоторые BIOS имеют ограничение).
04h..07h 4 байта сегмент:смещение буфера памяти для чтения секторов (в x86 сначала задается смещение, потом сегмент)
08h..0Fh 8 байт абсолютный номер стартового сектора для чтения (1 сектор диска имеет номер 0)
10h 8 байт Опционально. 64-битный адрес буфера трансфера. используется только тогда, когда двойное слово по смещению 04h DAP имеет значение FFFF:FFFF

* Поскольку у нас используется стандартный, 16-байтный пакет DAP, то последнее поле расширенного пакета DAP в нашем случае не задействовано.

  1. Поместим в стек старшие 4 байта номера стартового сектора для чтения (00000000);
  2. Поместим в стек младшие 4 байта номера стартового сектора для чтения сразу из переменной [bp+8]. Это у нас смещение в записи таблицы разделов?
  3. Поместим в стек сегмент буфера для чтения;
  4. Поместим в стек смещение буфера для чтения;
  5. Поместим в стек количество секторов для чтения (в нашем случае 1);
  6. Поместим в стек длину блока DAP (в нашем случае 10h = 16 байт);
  7. Инициализируем AH = 42h. (номер функции расширенного чтения);
  8. В DL поместим индекс (номер) диска. он у нас лежим в [bp+0];
  9. А теперь DS:SI приравняем к SS:SP, чтобы они указывали на блок DAP;
  10. Вызываем функцию прерывания;

Блок кода, описанный ниже предназначен для корректировки указателя стека, иными словами для "освобождения" стека от занесенных туда 20 байт параметров при вызове функции, но только так, чтобы не затронуть флаги. Если carry flag (CF) сброшен и AH=0, то функция завершилась удачно. В случае возникновения ошибки CF=1, а AH содержит код ошибки. В обеих случаях, поле счетчика блоков DAP содержит количество фактически считанных блоков.

  1. Сохраняем флаги в регистр AH.
  2. Оригинальным образом исключаем все данные блока DAP из стека просто "сдвигом" указателя стека на 10h.
  3. Восстановим флаги из регистра AH. Таким образом, операция сложения не тронула флаги.
  4. Переход по адресу 0000:069B. Там у нас в коде сектора MBR Windows 7 располагает код проверки успешности чтения.

Что мы видим далее? Приведенный ниже блок кода выполняется в том случае, если расширения int 13h не были найдены. В современных машинах трудно представить подобную ситуацию, однако разработчики, видимо, решили обеспечить совместимость со старым оборудованием, ведь сектор то считать необходимо в любом случае. Код считывает загрузочный сектор активного раздела (PBR) при помощи стандартной функции 02h прерывания int 13h. В регистре AL указывается количество секторов для чтения. DL = диск, DH = головка, CL = сектор, CH = цилиндр.

  1. Инициализируем AX. AL=1, значит читаем одни сектор;
  2. В BX = смещение буфера для чтения 7C00h;
  3. Инициализируем DL = [bp+0] - номер (индекс) диска;
  4. Инициализируем DH = [bp+1] - номер головки;
  5. Инициализируем CL = [bp+2] - номер сектора;
  6. Инициализируем CH = [bp+3] - номер цилиндра;
  7. Вызываем функцию прерывания.

Ну а далее, судя по всему, в секторе MBR у нас присутствует блок проверки на успешность считывания стандартной функцией чтения. Это часть большого цикла.

  1. Восстанавливаем все 32-битные регистры из стека. Напомню, что незадолго до этого мы их сохраняли.
  2. Проверяем успешность выполнения функции 02h прерывания 13h. (беззнаковое) "если не меньше", то уходим на проверку считывания именно загрузочного сектора (0000:06BB).
  3. Уменьшаем счетчик попыток чтения сектора (байт по адресу [bp+11]).
  4. Если счетчик попыток не исчерпан еще (не 0), то передаем управление по адресу 0000:06B0 (сброс диска);
  5. Иначе сравниваем индекс текущего диска ([bp+0]) с 80h. первый диск?
  6. Если диск первый (+ с учетом всех вышеописанных условий) - то уходим на ошибку Error loading operating system;
  7. Загрузим в DL значение 80h (первый жесткий диск в системе);
  8. Возвращаемся на проверку расширений int 13h (0000:0634);
  9. Сохраняем BP. он у нас используется как база адресации внутренних переменных;
  10. Функция AH=0 - инициализация (сброс) диска;
  11. В DL поместим значение байта по адресу [bp+0], это у нас индекс (номер) диска;
  12. Вызываем функцию 0 прерывания 13h;
  13. Восстанавливаем значение регистра BP.
  14. Передаем управление код по адресу 0000:0659 (считывание сектора);
  15. Сюда мы перешли после считывания сектора стандартной функцией. Проверим на наличие в последних двух байтах считанного сектора (ds:7DFEh) значения AA55h (сигнатура MBR). А действительно ли мы считали PBR (VBR)?
  16. Если нет сигнатуры MBR, то вероятно, что по какой-то причине сектор не был считан, либо считан не тот сектор - уходим на ошибку Missing operating system;
  17. Сохраним индекс (номер) диска в стеке;

Следующий блок кода сектора Windows 7 MBR является подготовительным перед проверкой наличия TPM (подробнее о TPM ниже). Для проверки наличия TPM, сперва требуется включить адресную линию A20 (которая обеспечивает, помимо прочего, возможность передачи 21-го бита на адресной шине, соответственно открывая доступ к расширенной памяти). Управлением этой линией в системах архитектуры x86 занимается контроллер клавиатуры (исторически?), поэтому с ним мы и будем работать напрямую через порты.

  1. Вызываем процедуру по адресу 0000:0756. Она является частью кода по включению линии A20 и ожидает готовности контроллера клавиатуры к приему очередного байта;
  2. Если функция вернула не 0 (то есть линия уже включена), то сразу уходим по адресу 0000:06E2;
  3. Маскируем прерывания;
  4. Инициализируем AL значением 0D1h. Это команда управления линией A20. выдачи данных в порт 2 контроллера, то есть мы говорим, что хотим записать байт статуса;
  5. Запишем в порт 64h это значение;
  6. Вызовем подпрограмму по адресу 0000:0756. Она предназначена для ожидания готовности;
  7. Инициализируем AL значением 0DFh. это данные для порта 2. мы хотим открыть линию A20;
  8. Запишем в порт 60h это значение;
  9. Вызовем подпрограмму по адресу 0000:0756. Ожидание готовности;
  10. Инициализируем AL значение 0FFh: восстановление клавиатуры и запуск диагностики;
  11. Запишем в порт 64h это значение;
  12. Вызовем подпрограмму по адресу 0000:0756. Ожидание готовности;
  13. Разрешим прерывания.

Затем у нас следует блок определения наличия интерфейса TPM (Trusted Platform Module) версии 1.2. Что это за интерфейс и почему разработчики вынуждены были включить его поддержку в и без того переполненные 512 байт сектора MBR Windows 7?

TPM (Trusted Platdorm Module) - это "доверяемый платформенный модуль", интерфейс, предоставляющий дополнительные функциональные возможности для технологии шифрования разделов Microsoft BitLocker Drive Encryption. А если проще, то это чип на материнской плате, представляющий собой своеобразную "смарт-карту", на которой хранятся криптографические ключи, используемые для шифрования разделов при помощи BitLocker'а.

Именно по этой причине TPM нам требуется на столь раннем этапе загрузки, иначе мы не сможем в нужный момент расшифровать раздел, а соответственно и продолжить с него загрузку операционной системы. Функция BB00h прерывания int 1Ah (TCG_StatusCheck) возвращает в EAX=0, если TPM поддерживается, при этом регистр EBX должен содержать строку ‘TCPA’ (шестнадцатеричное: 54 43 50 41). Если значение не совпадает, то выходим из TCG кода. Делаем проверку версии в регистре CX, если версия не 1.02, то так же выходим из TCG кода. Если нужная версия найдена, то вызываем функцию TCG_CompactHashLogExtendEvent. При возврате из функции мы получаем имеем выходные данные в регистрах EAX и EDX.

  1. Теперь начинаем проверку. AX=BB00h. Функция TCG_StatusCheck;
  2. Вызываем функцию прерывания;
  3. Логическое "И" над EAX. Для проверки, вернула ли функция 0 в регистре EAX. Поддерживается ли TPM?
  4. Если не поддерживается, то уходим на 0000:0727;
  5. Продолжаем проверку. Сравниваем EBX со значением 41504354h (TCPA);
  6. Если не равно, то уходим на код по адресу 0000:0727;
  7. Продолжаем проверку. сравниваем CX со значением 102h. Версия 1.02 TPM?
  8. (беззнаковое) "если меньше", то уходим на код по адресу 0000:0727;
  9. TPM найдена нужной версии. готовим вызов функции TCG_CompactHashLogExtendEvent. Заносим параметры через стек. AH=0bbh, AL=07h.
  10. Занесем в стек значение 00000200h. 0200h - 512 в десятичном.
  11. Занесем в стек значение 00000008. старшее слово 0000, младшее слово 0008;
  12. Занесем в стек содержимое регистра EBX.
  13. Занесем в стек содержимое регистра EBX.
  14. Занесем в стек содержимое регистра EBP.
  15. Занесем в стек значение 00000000;
  16. Занесем в стек значение 00007C00;
  17. Восстановим из стека основные 32-разрядные регистры. Вот для чего мы заносили все эти значения в стек, чтобы потом одной командой popad инициализировать сразу все регистры, необходимые для вызова функции BB07h прерывания int 1Ah. получается AX = BB07h, DI = смещение буфера для хеширования (7C00h), ECX = длина буфера (0200h=512), EDX = номер PCR (Platform Configuration Registry) = 8, SI = значение для лога событий = 0, EBX = 41504354h;
  18. Занесем в стек значение 0000;
  19. Восстановим значение из стека в регистр ES, тем самым инициализировав его в значение 0000 (es=0000);
  20. Вызовем функцию BB07h прерывания 1Ah.

Нижеприведенная часть кода сектора является подготовительной. Она подготавливает регистр DL для последующего применения его уже кодом PBR (VBR) и выполняет переход на код PBR, который был загружен в коде MBR Windows 7 ранее. Помните?

  1. Восстанавливаем из стека слово в регистр DX. там у нас слово [bp+0], а это текущий диск. Обычно значение 80h;
  2. Обнуляем DH, ведь для нас важен только DL;
  3. Выполняем "длинный прыжок" по адресу 0000:7C00, куда мы считали загрузочный сектор активной партиции (Partition Boot Record);
  4. Вызов прерывания 18h. Похоже, что сюда никогда не передается управление и эта часть кода написана "на всякий случай"?.

Теперь в секторе следует блок кода, который отвечает у нас за вывод сообщений об ошибках. Ошибки критические, то есть после их вывода возвращаться в основную программу уже нет никакого смысла. Поэтому стоит отметить, что инструкции под адресам 0748, 0753, 0754 вводят машину в бесконечный цикл. Соответственно, потребуется ручная перезагрузка. Для вывода символов на экран используется функция 0Eh (телетайп) прерывания int 10h.

  1. Занесем в регистр AL смещение первого сообщения, которое размещается по адресу ds:07B7. Сообщение: Invalid partition table;
  2. Перейдем на процедуру подготовки вывода по адресу 0000:073E;
  3. Занесем в AL смещение второго сообщения, которое размещается по адресу ds:07B6. Сообщение: Error loading operating system;
  4. Перейдем на процедуру подготовки вывода по адресу 0000:073E;
  5. Занесем в AL смещение третьего сообщения, которое размещается по адресу ds:07B5. Сообщение: Missing operating system;
  6. Обнулим AH.
  7. Прибавим к ax значение 0700h, чтобы скорректировать смещение сообщений;
  8. SI = смещение сообщения;
  9. Загрузим в AL байт из DS:SI;
  10. AL=0? это конец строки?
  11. Если да, то переходим по адресу 0000:0753;
  12. BX=7 - BH-страница, BL-цвет символа;
  13. AH=0Eh - функция 0Eh прерывания 10h. Вывод на экран в режиме телетайпа;
  14. Вызываем функцию прерывания;
  15. Тут организуется цикл с адресом 0000:0745, выход из цикла по условию достижения конца строки, чтобы допечатать строку по одному символу;
  16. Команда hlt = останов;
  17. Прыжок "на месте". Другими словами это бесконечный цикл. Требуется аппаратная перезагрузка.

Оставшаяся часть кода MBR Windows 7 - это дополнение для включения линии A20: процедура, ожидающая готовность контроллера клавиатуры к приему очередного байта. Выше, в коде открытия линии A20 мы постоянно вызывали её для ожидания готовности.

  1. Обнулим регистр CX;
  2. Считываем байт из порта 64h в регистр AL;
  3. Делаем небольшую паузу;
  4. Логическое И: проверка флага готовности;
  5. Если он не активен (бит выставлен) и счетчик в CX не равен 0, то выполняем очередную итерацию цикла ожидания;
  6. Иначе опять логическое И;
  7. Возврат из процедуры.

На этом код MBR заканчивается и далее в секторе располагаются разнообразные данные, как я уже и говорил ранее. Их можно увидеть на общем дампе MBR Windows 7, приведенном в начале статьи. Эти данные представляют из себя сообщения об ошибках, различные внутренние переменные и таблица партиций, а так же - завершающий сектор байт со значением AA55h - сигнатура MBR, записанная в обратном порядке (в силу особенностей архитектуры Intel x86).

19 комментариев:

  1. виктор

    Для Window7 x64 дамп MBR совершенно другой.

    • einaare

      Странно, я дамп брал со своей Windows 7 x64 версии. Windows 7 Professional SP1 русская. 6.1.7601.

      UPD: Сейчас специально проверил еще раз сектор LBA0. Дамп соответствует. Какая у Вас версия?

  2. Евгений

    Код поиска активного раздела:
    >sti

    Комментарии:
    "1: Запрещаем немаскируемые прерывания."
    -------------------------------------------------------------------
    Тут какая-то ошибка. Sti их наоборот, разрешает. Раньше в секции инициализации в начале было cli, а сразу перед "самокопированием" - sti. Здесь, может, cli из дампа выпало?

    А в целом - огромное спасибо за проделанную работу. Чёткий, грамотный, пошаговый разбор кусочков кода (это тоже хороший приём, т.к. не приходится глазами по общему листингу шарить). Всё супер!

    P.S. Ещё бы ссылочку на скачивание чистого дампа в bin-формате и файлы lst и asm. То же и к PBR относится.

  3. Igor

    Будьте добры подскажите, а какой код запускает драйвер ntfs.sys? Наверно загрузочная запись, которая в PBR?

    • einaare

      Честно говоря пока не разбирался с этим вопросом. Но, судя по всему, код поддержки NTFS (в виде серии функций) присутствует уже на стадиях PBR и Bootmgr, но полноценным драйвером не является. Полноценный драйвер \Windows\System32\Drivers\Ntfs.sys загружается на стадии функционирования Winload, перед передачей управления ntoskrnl.exe.

  4. Maxel

    Такой вопрос, подскажите начинающему, а что за сигнатура AA55h и адрес 01FE? Это я про структуру сектора mbr, я вот открыл hex-редактор. Сектор 512 байт . Кончается он слева строчкой 0000001F0 , по центру. Да , в самом конце этой строчки есть 55 AA, AA идет под буквой F, если смотреть сверху. А откуда берется h? В книге тоже одной прочитал , сигнатура AA 55 по адресу 01FE-01FF. Откуда эти адреса берутся, в hex-редакторе такого нет. Их надо как-то самостоятельно высчитывать?

    • einaare

      01FE - адрес последних двух байт 512 байтового сектора, обычно не показывается в hex-редакторе, поскольку он отображает только адреса начала каждой строки, а конец надо высчитывать самостоятельно. 55AA - два байта 55 и AA, расположенные по этому смещению (01FE) относительно начала сектора. в типовом hex-редакторе каждая строка 16 байт, поэтому высчитать смещение конкретного байта от начала строки не сложно. и 01FE и 55AA - это шестнадцатеричные числа. просто первое - это смещение от начала сектора, а второе - непосредственно значение (2 байта), хранящееся по данному смещению. h - обозначение шестнадцатеричного числа, может быть опущено.

  5. Maxel

    Ага, спасибо, понял, что h - это просто обозначение системы счисления. А адрес видимо получается так - последняя строчка 0000001F0 , мы ноль в конце заменяем на E(55) получается как раз 01FE, ну а если AA, то заменяем на F(АА), получается 01FF. Т.е этот ноль в конце строчки для того, что потом вместо него поставить одно из 16-ти верхних значений.

    • einaare

      ну да, если в вашем hex-редакторе есть вертикальные обозначения смещения в строке, то актуальное смещение вычисляет так, как вы и описали. 0 в конце шестнадцатеричного числа означает, что число кратно 16, собственно строка у нас и есть размером 16 байт.

  6. Влад

    очень хорошо, серьёзная работа, а чему могут помочь такие знания?

    • einaare

      я думаю многому.. например, написанию mbr-загрузчика для собственной ОС или пониманию внутренней организации загрузки Windows, пониманию, на каком этапе с каким железом взаимодействует ОС, с какой целью и какие именно функции задействованы. С точки зрения обучения ассемблеру :) пониманию принципов разбиения на разделы... ну и со всеми вытекающими смежными областями - огромное количество механизмов и алгоритмов :) для общего развития, одним словом :))

  7. Юзер

    задаюсь вопросом - для кого эта статья?
    - те, кто как рыба в воде в этих знаниях, им это не нужно.
    Кто разбирается и занимается восстановлением дисков - это давно съели и ... Программистам на это на чихать. Остаются юзеры вроде меня :(
    Чтобы понять то, что здесь написал автор, как он выматерился - нужно выучить Ассемблер. Вы в своём уме? предлагать такое самоубийство юзеру.
    В таком случае, нужно было тогда посоветовать узерам изучить мат. часть, железо, Булеву алгебру со всеми системами исчисления ну про BIOS не забыть вдогонку.

    Статья мне понравилась еще бы картинок цветных типа конек-горбунок, Иван царевич и лягушка болотная и т.п.
    Но начать сначала не мешало бы с того: Что, при включении ПК после процедуры тестирования которая прошита в BIOS (да, ешо как сам BIOS сапускается ) и удачном отклике всех прицепленных железок к MB (motherboard) - BIOS начинает рыскать MBR на диске Мастер первого слота который задается в параметрах самого окна BIOS, а потом уже MBR выбор диска, системы ОС и т.д.
    Иль я чёт не так понимаю.
    Не мешало бы вкратце объяснить, что за абракадабра в окне утилита DM Disk Editor and Data Recovery - а то, сразу дизассемблировать код MBR.
    Да я может и дизассемблировать не буду, а попросту гыляну что там матерное написано про разделы внесу поправки и забуду это может на всю жизнь.

    Нет, так дело не попрет - статью нужно полностью переписать. Не понимаю, за что платят деньги блин, ученным :(

    • einaare

      :) отличный комментарий!! единственно я вот подумал, что вы не совсем правы относительно целевой аудитории: как минимум он нужен тем, кто помнил, но забыл. а так многое по делу. ок, на досуге приведу статью к более упрощенному варианту.

    • Геннадий

      Судя по тому что статья 3-я в гугле по запросу "mbr pbr" статья много кому нужна :)))
      Отличная статья, спасибо.

  8. Геннадий

    В таблице "общая структура сектора MBR Windows 7" после "01B8h - 4 - Сигнатура диска (NT Disk Signature)" по моему должно идти "01BCh - 2 - заполнители (00)". Иначе 2 байта выпадают

    • einaare

      да, выпадают, спасибо :) но по сути там все верно, посмотрите еще раз таблицу, подправил!!

  9. Геннадий

    И оффтоп конечно. Но подскажите как сделать в IDA, чтобы с начало кода сегмент начинался с 0000:7C00, а потом оно менялось на 0000:0600. А то у меня получается только целиком сегмент смещать (или 7С00 или 0600)?

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *