汇编语言全接触-86.如何获取真正中断入口地址

概述：

我们知道，DOS 的中断例程的入口地址存在 0000：0000 开始的中断向量表中，当程序要要建立一个中断例程时，需要修改中断向量表把入口地址指向自己的程序，为了使原来的中断例程能正常使用，在出口的时候还要用远跳转指令回到原中断的入口地址，如 DOS 中断 INT 21H，在 DOS 启动后，后面要挂上很多的新的例程，如 SMARTDRV 等等，磁盘中断 INT 13H 也是如此。

但在程序中，有时需要用到真正的中断入口，如 INT 13H 的 BIOS 入口举例说为 F000：EC59，为了反跟踪，程序中有时要用 PUSHF/CALL F000：EC59 的方法来调用，这就需要在程序开始运行时检测出真正的中断入口地址以备用。

检测真正的入口地址可以用单步中断的方法来进行，在调用 INT XX之前，把单步中断指向自己的程序，

在单步中断中，从堆栈中取出要返回的地址，这就起到的跟踪 INT XX 的执行的作用，举例程序中将跟踪 INT 21H 的执行，然后把执行的地址输出到屏幕上，在 INT 21H 中远跳转的地方给出提示。

真正的中断地址往往在远跳转的地方，在判断哪个远跳转是真正的中断地址时，不同的中断要具体判断，如跟踪 INT 13H 时，我们知道 BIOS 的段地址一般为 E000，所以一旦判断到段地址为 E000 时，就可以把这个地址保存下来作为真正 INT 13H 地址，而跟踪 INT 21H 时，INT 21H 在 DOS 的内核中，所以要先用第一个 MCB 地址的功能取出 MCB 地址，而第一个 MCB 地址之前是系统内核区，当判断到段地址小于第一个 MCB 地址时，这个地址就是真正的 INT 21H 地址。

汇编编程示例：

.286

CODE SEGMENT

ASSUME CS:CODE,DS:CODE

ORG 100H

start:

jmp install

D_MES1 DB 'CS:IP = %04h:%04h %,FLAG = %017b%,',0dh,0ah,0

DW _CS,_IP,_FLAG

_CS DW ?

_OLD_CS DW ?

_IP DW ?

_FLAG DW ?

D_MES2 DB '%14r- SEGMENT CHANGE %13r-',0dh,0ah,0

;新的单步中断 INT 1 例程

;

int1:

push ax

push bp

mov bp,sp ;

mov ax,ss:[bp+4] ;返回的 ip

mov cs:_ip,ax

mov ax,ss:[bp+6] ;返回的 cs

mov cs:_cs,ax

mov ax,ss:[bp+8] ;flag

mov cs:_flag,ax

pop bp

pop ax

pushf

pusha

push ds

push es

push cs

pop ds

push cs

pop es

mov ax,_cs

cmp ax,_old_cs

mov _old_cs,ax

jz int1_1

mov si,offset d_mes2 ;segment has changed

call printf

int1_1:

mov si,offset d_mes1 ;print return address

call printf ;and flags

pop es

pop ds

popa

popf

iret

install:

mov ax,cs

mov _old_cs,ax

mov ax,3501h ;keep int 01

int 21h

push es

push bx

mov ax,2501h ;set new int 01

mov dx,offset int1

int 21h

pushf

pop ax

or ax,0100h

push ax

popf ;set int 01 flag

;--------------------------------------------------------

xor ax,ax

mov es,ax ;从这一句开始单步中断

mov ah,-1 ;由于 INT 语句要清单步中断，所以

pushf ;要用 PUSHF/CALL FAR 的形式执行 INT 21H

call dword ptr es:[4*21h]

pushf

pop ax

and ax,0feffh

push ax ;跟踪完毕后清楚单步中断

popf ;clear int 01 flag

;---------------------------------------------------------

pop dx

pop ds

mov ax,2501h

int 21h ;restore old int 01

int 20h

INCLUDE PRINTF.ASM ;公用屏幕输出子程序

CODE ENDS

END START