给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网络安全面试题
绿盟护网行动
还有大家最喜欢的黑客技术
网络安全源码合集+工具包
所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
最重要的两步都在这个函数中完成:初始化硬件和找到BL31。
bl2\_plat\_preload\_setup()中会初始化一堆硬件,包括读取RCW初始化Serdes等,对内存初始化感兴趣的人(比如我)也可以在里面找到初始化DDR4的代码:dram\_init(),它在Plat\nxp\drivers\ddr\nxp-ddr下。比较遗憾的是DDR4 PHY的代码是个Binary,不含源码,这里对DDR4的初始化仅仅聚焦设置timing寄存器和功能寄存器,而没有内存的Training过程。
Anyway,x86带内初始化硬件的很多代码ARM ATF体系都包括在BL2中,而不在UEFI代码中,这是和x86 UEFI代码的一个显著区别。部分原因这些代码都要求是Secure的。更加糟糕的是,很多ARM平台,BL1和BL2,甚至后面的BL31都是以二进制的形式提供,让定制显得很困难。BL2能否提供足够的信息和定制化选择给固件厂商和提供足够信息给UEFI代码,考验BL2的具体设计实现。NXP在两个方面都做的不错,不但提供RCW等配置接口,还开源了大部分代码,十分方便。
BL2在初始化硬件后,开始寻找BL3的几个小兄弟:BL31,BL32和BL33。它先找到BL31,并验签它,最后转入BL31。
**BL31:EL3 Runtime Firmware**
BL31作为EL3最后的安全堡垒,它不像BL1和BL2是一次性运行的。如它的runtime名字暗示的那样,它通过SMC为Non-Secure持续提供设计安全的服务。关于SMC的调用calling convention我们今后再详细介绍,这里只需要知道它的服务主要是通过BL32。它负责找到BL32,验签,并运行BL32。
**BL32:OPTee OS + 安全app**
BL32实际上是著名的Open Portable Trusted Execution Enveiroment[[5]]( ) OS,它是由Linaro创立的。它是个很大的话题,我们今后再细聊。现在仅需要知道OPTee OS运行在 S-EL1,而其上的安全APP运行在S-EL0。OPTee OS运行完毕后,返回EL3的BL31,BL31找到BL33,验签它并运行。
**BL33: Non-Trusted Firmware**
BL33实际上就是UEFI firmware或者uboot,也有实现在这里直接放上Linux Kernel。2160A的实现是UEFI和uboot都支持。我们仅仅来看UEFI的路径。
第一次看到UEFI居然是Non-Trusted,我是有点伤心的。UEFI运行在NS\_EL2,程序的入口点在ARM package
edk2/ArmPlatformPkg/PrePi/AArch64/ModuleEntryPoint.S
做了一些简单初始化,就跳到C语言的入口点CEntryPoint( )。其中ArmPlatformInitialize()做了一些硬件初始化,调用了
| |
| --- |
| edk2-platforms/Silicon/NXP/ |
的代码。重要的是PrimaryMain()。
PrimaryMain()有两个实例,2160A NXP选择的是PrePI的版本(edk2/ArmPlatformPkg/PrePi/MainUniCore.c),说明它跳过了SEC的部分,直接进入了PEI的后期阶段,在BL2已经干好了大部分硬件初始化的情况下,这个也是正常选择。PrePI的实例直接调用PrePiMain()(仅保留重要部分)
VOID
PrePiMain (
IN UINTN UefiMemoryBase,
IN UINTN StacksBase,
IN UINT64 StartTimeStamp
)
{
…
ArchInitialize ();
SerialPortInitialize ();
InitializeDebugAgent (DEBUG_AGENT_INIT_POSTMEM_SEC, NULL, NULL);
// Initialize MMU and Memory HOBs (Resource Descriptor HOBs)
Status = MemoryPeim (UefiMemoryBase, FixedPcdGet32 (PcdSystemMemoryUefiRegionSize));
BuildCpuHob (ArmGetPhysicalAddressBits (), PcdGet8 (PcdPrePiCpuIoSize));
BuildGuidDataHob (&gEfiFirmwarePerformanceGuid, &Performance, sizeof (Performance));
SetBootMode (ArmPlatformGetBootMode ());
// Initialize Platform HOBs (CpuHob and FvHob)
Status = PlatformPeim ();
…
Status = DecompressFirstFv ();
Status = LoadDxeCoreFromFv (NULL, 0);
}
从中我们可以看到,这里几乎就是UEFI PEI阶段DXEIPL的阶段了,后面就是直接DXE阶段。
好了,我们来梳理一下,ATF整个信任链条是逐步建立的:
来源:参考资料2
从作为信任根的BL1开始,一步一步验签CSF头中的签名,最后来到BL33,后面就是OS了。那BL33后面怎么就断了呢?其实后面的验签就是UEFI Secure Boot了
[老狼:趣话安全启动:迷思与启示152 赞同 · 24 评论文章编辑]( )
### 结语
ATF的官网一张图包含了更多的信息:
如果你仅仅对ATF的UEFI启动路径感兴趣,下面这张图可能更加简单明了:
NXP 2160A的开源和良好的文档,让我们可以在一个具体的平台上切片观察ATF的具体实现,建议大家仔细阅读参考资料2和下载代码来看看。
关于ATF启动这里先整个宏观的概念。
这个blog讲的很好,就不重复写了,自己写还写不到这么清晰,图页很漂亮。
原文链接:https://www.cnblogs.com/arnoldlu/p/14175126.html
## 启动正文
下图划分成不同EL,分别描述BL1、BL2、BL31、BL32、BL33启动流程,以及PSCI、SP处理流程。
### 1. 冷启动(Cold boot)流程及阶段划分
restart–冷启动
reset–热启动
ATF冷启动实现分为5个步骤:
* BL1 - AP Trusted ROM,一般为BootRom。
* BL2 - Trusted Boot Firmware,一般为Trusted Bootloader。
* BL31 - EL3 Runtime Firmware,一般为SML,管理SMC执行处理和中断,运行在secure monitor中。
* BL32 - Secure-EL1 Payload,一般为TEE OS Image。
* BL33 - Non-Trusted Firmware,一般为uboot、linux kernel。
ATF输出BL1、BL2、BL31,提供BL32和BL33接口。
(我想提供的接口就是BL32和BL33的镜像可以是指定的,atf其实是一个启动框架,这其中包含的五个步骤,每个步骤你想要的内容,可以由厂商自己定义。)
启动流程如下:
#### 1.1 BL1
BL1位于ROM中,在EL3下从reset vector处开始运行。(bootrom就是芯片上电运行的(chip-rom的作用就是跳转到bootrom))
BL1做的工作主要有:
* 决定启动路径:冷启动还是热启动。
* 架构初始化:异常向量、CPU复位处理函数配置、控制寄存器设置(SCRLR\_EL3/SCR\_EL3/CPTR\_EL3/DAIF)
* 平台初始化:使能Trusted Watchdog、初始化控制台、配置硬件一致性互联、配置MMU、初始化相关存储设备。
* 固件更新处理
* BL2镜像加载和执行:
+ BL1输出“Booting Trusted Firmware"。
+ BL1加载BL2到SRAM;如果SRAM不够或者BL2镜像错误,输出“Failed to load BL2 firmware.”。
+ BL1切换到Secure EL1并将执行权交给BL2.
### 1.2 BL2
BL2位于SRAM中,运行在Secure EL1主要工作有:
* 架构初始化:EL1/EL0使能浮点单元和ASMID。
* 平台初始化:控制台初始化、相关存储设备初始化、MMU、相关设备安全配置、
* SCP\_BL2:系统控制核镜像加载,单独核处理系统功耗、时钟、复位等控制。
* 加载BL31镜像:BL2将控制权交给BL1;BL1关闭MMU并关cache;BL1将控制权交给BL31。
* 加载BL32镜像:BL32运行在安全世界,BL2依赖BL31将控制权交给BL32。SPSR通过Secure-EL1 Payload Dispatcher进行初始化。
* 加载BL33镜像:BL2依赖BL31将控制权交给BL33。
### 1.3 BL31
BL31位于SRAM中,EL3模式。除了做架构初始化和平台初始化外,还做了如下工作:
* PSCI服务初始化,后续提供CPU功耗管理操作。
* BL32镜像运行初始化,处于Secure EL1模式。
* 初始化非安全EL2或EL1,跳转到BL33执行。
* 负责安全非安全世界切换。
* 进行安全服务请求的分发。
这两幅图真的不错,棒。
## 小结
**ATF将系统启动从最底层进行了完整的统一划分**,将secure monitor的功能放到了bl31中进行,这样当系统完全启动之后,在CA或者TEE OS中触发了smc或者是其他的中断之后,首先是遍历注册到bl31中的对应的service来判定具体的handle,**这样可以对系统所有的关键smc或者是中断操作做统一的管理和分配**。
在上述启动过程中,每个Image跳转到写一个image的方式各不相同,下面将列出启动过程中每个image跳转到下一个image的过程:
### 1. bl1跳转到bl2执行
在bl1完成了bl2 image加载到RAM中的操作,中断向量表设定以及其他CPU相关设定之后,在bl1\_main函数中解析出bl2 image的描述信息,获取入口地址,并设定下一个阶段的cpu上下文,完成之后,调用el3\_exit函数实现bl1到bl2的跳转操作,进入到bl2中执行.
### 2.bl2跳转到bl31执行
在bl2中将会加载bl31, bl32, bl33的image到对应权限的RAM中,**并将该三个image的描述信息组成一个链表保存起来**,以备bl31启动bl32和bl33使用在AACH64中,bl31位于EL3 runtime software,运行时的主要功能是管理smc指令的处理和中断的主力,运行在secure monitor状态中
**bl32一般为TEE OS image**,本章节以OP-TEE为例进行说明
**bl33为非安全image,例如uboot, linux kernel等,当前该部分为bootloader部分的image,再由bootloader来启动linux kernel.**(所以不会这么久就是为了整个bootloader吧,应该是kernel吧)
**从bl2跳转到bl31是通过带入bl31的entry point info调用smc指令触发在bl1中设定的smc异常来通过cpu将全向交给bl31并跳转到bl31中执行。**(这个handle是再bl1配置的)
### 3.bl31跳转到bl32执行
在bl31中会执**行runtime\_service\_inti操作,该函数会调用注册到EL3中所有service的init函数,** **其中有一个service就是为TEE服务,该service的init函数会将TEE OS的初始化函数赋值给bl32\_init变量**,当所有的service执行完init后,**在bl31中会调用bl32\_init执行的函数来跳转到TEE OS的执行**
### 4.bl31跳转到bl33执行
当TEE\_OS image启动完成之后会触发**一个ID为TEESMC\_OPTEED\_RETURN\_ENTRY\_DONE的smc调用来告知EL3 TEE OS image已经完成了初始化,然后将CPU的状态恢复到bl31\_init的位置继续执行。**
**bl31通过遍历在bl2中记录的image链表来找到需要执行的bl33的image。然后通过获取到bl33 image的镜像信息,设定下一个阶段的CPU上下文,退出el3然后进入到bl33 image的执行**
这一步对宏观的步骤有所认识,下一步对每个步骤的细节进行认识。
在上述启动过程中,每个Image跳转到写一个image的方式各不相同,下面将列出启动过程中每个image跳转到下一个image的过程:
**1. bl1跳转到bl2执行**
在bl1完成了bl2 image加载到RAM中的操作,[中断向量表]( )设定以及其他CPU相关设定之后,在bl1\_main函数中解析出bl2 image的描述信息,获取入口地址,并设定下一个阶段的cpu上下文,完成之后,调用el3\_exit函数实现bl1到bl2的跳转操作,进入到bl2中执行.
**2.bl2跳转到bl31执行**
在bl2中将会加载bl31, bl32, bl33的image到对应权限的RAM中,并将该三个image的描述信息组成一个链表保存起来,以备bl31启动bl32和bl33使用.在AACH64中,bl31位EL3 runtime software,运行时的主要功能是管理[smc]( )指令的处理和中断的主力,运行在secure monitor状态中
bl32一般为TEE OS image,本章节以OP-TEE为例进行说明
bl33为非安全image,例如uboot, linux kernel等,当前该部分为bootloader部分的image,再由bootloader来启动linux kernel.
从bl2跳转到bl31是通过带入bl31的entry point info调用smc指令触发在bl1中设定的smc异常来通过cpu将全向交给bl31并跳转到bl31中执行。
**3.bl31跳转到bl32执行**
在bl31中会执行runtime\_service\_inti操作,该函数会调用注册到EL3中所有service的init函数,其中有一个service就是为TEE服务,该service的init函数会将TEE OS的初始化函数赋值给bl32\_init变量,当所有的service执行完init后,在bl31中会调用bl32\_init执行的函数来跳转到TEE OS的执行
**4.bl31跳转到bl33执行**
### 一、网安学习成长路线图
网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
### 二、网安视频合集
观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
### 三、精品网安学习书籍
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
### 四、网络安全源码合集+工具包
光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
### 五、网络安全面试题
最后就是大家最关心的网络安全面试题板块
**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**
**[需要这份系统化资料的朋友,可以点击这里获取](https://bbs.csdn.net/forums/4f45ff00ff254613a03fab5e56a57acb)**
**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
1011
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
