Genial! Capto.. voy a probar leer el mbr entonces, seria un buen comienzo para después escribirle.. (igual me queda la duda en que dirección, pero supongo me falta entender como funciona para eso..)
El IRP según leí, es una estructura que encapsula un "I/O request packet",, necesario para la comunicación de drivers (entre drivers solamente??)
Bueno, voy a poner manos a la obra! Tnks!

Mas que una direccion es un offset donde queres leer y escribir, pensalo como un disco o archivo, no como memoria RAM. Por cierto, tenes que trabajar por sectores a ese nivel.


No, no se pierden por ser una direccion virtual, en este caso la que vos mencionas es una direccion fisica. El punto es que no esta mappeado a RAM el disco sino que la BIOS accedio a el en durante el boot, leyo ese sector y lo escribio en memoria. ¿Podes escribir en esa memoria? Si. ¿Tendra algun efecto en el disco? No, en lo absoulto. Si podes escribir en el disco como lo hace la BIOS (con ins y outs) pero no tiene sentido, para eso esta el S.O. y los drivers, para abstraer el hardware.


Si podes perfectamente, hasta el Kernel exporta strlen, aunque normalmente se trabaja en Unicode. No todos los modulos de modo Kernel son drivers (controladores de hardware), el ejemplo clasico es un filtro o un sistema de archivos (el NTFS no trabaja a nivel de sectores, para eso estara por debajo el driver de disco).

#include <windows.h>
#include <winioctl.h>
#include <stdio.h>
#include <iostream>
using namespace std;
 
#define wszDrive L"\\\\.\\PhysicalDrive0"
#define BUFFERSIZE 8192
 
int wmain(int argc, wchar_t *argv[]){
 
	HANDLE hDevice = INVALID_HANDLE_VALUE;
	DWORD  dwBytesRead = 0;
    char   ReadBuffer[BUFFERSIZE] = {0};
	FILE *File;
 
	hDevice = CreateFileW(wszDrive, GENERIC_READ, FILE_SHARE_READ|FILE_SHARE_WRITE, NULL, OPEN_EXISTING, 0, NULL);
 
	if (hDevice == INVALID_HANDLE_VALUE){
		return (FALSE);
	}
 
	ReadFile(hDevice, ReadBuffer, BUFFERSIZE-1, &dwBytesRead, NULL);
 
	File = fopen("c://MBR.txt","w");
	for(int i=0; i<=BUFFERSIZE-1; i++){
		fprintf(File, "%c", ReadBuffer[i]);
	}
 
	fclose(File);
	return 0;
}
 

MBR.txt

Bueno, algo estoy leyendo.. podria representarlo de una forma mas clara esto ?

El Ida sirve? Le puedo mandar "reensamblar" este txt?

Si, pero hay algo que no estoy entendiendo, al fprintf le pongo este formato: "0x%.2X", eso me da un montón de hexadecimales,, y eso lo paso por el IDA (por ejemplo), para reensamblar el código, y así ver que hace el MBR en ensamblador, pero todo esto, es en 16 bits?

Y otra cosa,, si pongo el buffer de lectura como tamaño máximo 512 bytes, no lee nada.. no se supone estoy en el offset 0 del disco, donde hay código maquina? y son unos 446 bytes? :/