Cstyle的UEFI导读之SEC --- Reset Vector（上篇）

===================================================================== 

固件C字营·版权所有·欢迎转载
敬请关注微信公众号：“固件C字营”
敬请关注QQ群：1052307
敬请关注CSDN博客：Cstyle_0x007

=====================================================================    

        最近小看了一下SEC部分的code，现在来做个总结。所谓SEC就是CPU刚刚完成硬件初始化的是时候执行的和CPU体系架构息息相关的代码。主要是为后续CPU以及Chipset初始化代码所需的必备的环境做准备。大概总结了下有以下几个方面：

1.RestVector的初始化，以及异常向量的初始化

2.CPU工作模式的切换

3.Enable Memory mape PCI-E Config Space，RCBA，MCHBAR，GPIOBASE，PMBASE，HPEC，等

4.MicroCode的加载（FIT可选）

5.侦测系统中的CPU的数量

6.初始化NEM（至此我们基本从渺无人烟的荒漠跳到了小绿洲了）

7.跳转到PEICore至此SEC阶段结束（继续在这片贫瘠的小绿洲上辛勤耕耘，亟待解救）

8.PEICore初始化内存（这次算是从绿洲迁移到土地肥沃富庶的中原地带了）

9.从PEI跳到DXECore（在核心的中原腹地大展拳脚，攻城略地）

10.从DXE历经BDS引导操作系统，交由OS来掌控大权。（功成身退，为避兔死狗烹，正式进行权利交接，BIOS退出历史舞台，到后台享清福去）

ResetVector:

      这里我们用一个intel的的BIOS ROM作为分析对象，ROM是从系统当中用RW读取的，当然你不需要读取所有的ROM文件，实际上SEC部分很小，大概只有几百字节到几K的大小，用RW来读完全没有问题，当然你RU之类的工具也行，如果使用其他的一些工具能读回来整个ROM更好，或者如果你是一个BIOSREN的话完全可以打开你的source code来看，读取回来之后保存为BIOS.bin文件，然后就可以使用UE或者Notpadd来打开查看，这个bin档案是我们的CPU最终执行的二进制目标文件，我们可以在DOS下使用debug工具来进行反汇编，可以在没有源代码的情况下分析我们的CPU的第一条指令是如何执行的。具体的实现方法大概如下：

    1.使用RW来读取memory的0xfffffff0位置就像下面截图1一样，不过在做这个之前，下确认下你的主板的BIOS是否是UEFI的，本人的NB是intel的HM86，看了下是AMI Aptio的core这里仅仅以intel的板子为例，AMD的可自行研究，但是方法一样。上面的90 90就是CPU上电之后执行的第一条指令，可以查intel的文档，这两个字节其实是表示两条指令，NOP NOP意思是CPU什么也不做，等待两个指令周期。然后下一条指令是 E9 C3F8 这里的意思是一条跳转指令，意思是JMP 0xF8C3，这是一条段内相对跳转指令，CPU只改变IP地址，不改变段地址。跳转的目标地址是：0xfffffff5+0xF8C3 =？这地址是多少，会算吗?这里有好几个陷阱需要我们注意:

1.JMP指令是基于当前的下一条地址往另外一个地址做段内跳转，所以是0xfffffff5

2.X86是小端模式，所以目标的偏移地址是0xF8C3，而不是0xC3F8

3.0xF8C3是一个负数，所以跳转地址是在0xfffffff5基础上往回跳，否则IP已经指向了0xfffffff5，再跳就跳出了4G的范围了（不知道的跳出去了，会发生什么异常）。

4.所以最终的结果是：0xfffffff5+0xF8C3 =0xfffff8B8

                                                                                    图1

下面2就是CPU完成了ResetVector跳转之后执行的第一条有意义的指令，我们通过查询inel的手册：FINIT指令(0xdb,0xe3)用来清除浮点数据寄存器栈和异常，初始化 FPU。为程序提供一个“干净”的初始状态。否则，遗留在浮点寄存器栈中的数据可能会产生堆栈溢出，至此的第一条指令的讲解到此为止。细节有再说。

                                                                                    图2

5.刚刚说完了第一条指令，下面来说重点SECCore。

    那么说了半天SECCore到底在哪里呢，其实刚刚我们看到的第一条指令就是SECCore的入口，经过刚刚的一番折腾其实我们已经进入到了SECCore，那么现在我们来看看真正的SECCore。这回还是使用RW。从下面的这张图可以看到在0xffffff60的位置有如下的一系列数字，这个看似无序的数字其实是有着特殊的意义的，相信高手一眼就能可能出端倪来。仔细看看能看到什么?没错这个从offset 00~0F其实是一个很特殊的数字，我们把他称之为top file GUID当然它还有一个更为官方的名字叫做Volume Top File (VTF)，从这里开始到我们刚刚的ResetVector结束这一段所有的内容就是我们的SECCore，看起来很诡异是吧，其实不然，这个都是有文档规定的，细节可以参考intel的大叔们写的那一堆的文档。

6.接着往下看图3，Offset 10~17，这里是SECCore的FFS file header，意思是说，SECCore文件的校验和是（0xAA5e），文件是0x03（SECCore），属性是0x00（1 Byte对齐），文件大小是0xaa0字节，当前文件状态是0xF8（可查看相关文档具体信息）；再往下就是offset 18~ 1b，这里表示FFS file section大小是0x0a44字节，Section类型是0x10（PE32类型），这里我们找到了第一个的FFS file section；如图4接着刚刚的步骤递归的往下找，我们可以找到第二个section在0xffffffbc的位置，其大小为0x44字节，类型为0x19（RAW类型），其实深究的话你会发现这个部分并不是我们的汇编语言编译产生的，而是在我们的代码编译完成之后使用特殊的工具来修改我们的SECcore代码，把这部分的二进制的文档强行插入进来的。然后修改部分的地址定位和文件大小的偏移。细看下底下的第二幅图4和最上面的图1是否有些相似，是的，其实这两个就是同一幅图，只不过是用不同的方式去找打他们并且读出来而已。

                                                                                    图3

                                                                                    图4

7.现在我接着看图3，来看下PE32 section里面有什么东西。

    我们先紧接着（6）来看，仔细看图3的Offset 1c~1d看能看到什么，“MZ”没错，这个就是传说中的幻数，说起这个幻数，我还查了一下资料，这是是MS的一位大叔Mark Zbikowski的名字的缩写，牛人就是牛人，让所有的KB的程序猿都记住他的大名了，更可恨的是这辈子咱们离不开它，你不用他还不行。看到了幻数我们就距离真相不远了，看下下面的数据结构，偏移量为0x3d的位置是0xB8（ e_lfanew），然后我们再看offset 0xB8的位置，看到了什么 "PE",没错看到了熟悉的字符，这个就表示这里是这个PE32 格式section的文件头，剩下的就是一些关于PE32/PE32+格式的一些头，大家可以自行研究，再附上一张图5展示PE的格式。方便进行之后的分析。

typedef struct {

  UINT16  e_magic;    // Magic number

  UINT16  e_cblp;     // Bytes on last page of file

  UINT16  e_cp;       // Pages in file

  UINT16  e_crlc;     // Relocations

  UINT16  e_cparhdr;  // Size of header in paragraphs

  UINT16  e_minalloc; // Minimum extra paragraphs needed

  UINT16  e_maxalloc; // Maximum extra paragraphs needed

  UINT16  e_ss;       // Initial (relative) SS value

  UINT16  e_sp;       // Initial SP value

  UINT16  e_csum;     // Checksum

  UINT16  e_ip;       // Initial IP value

  UINT16  e_cs;       // Initial (relative) CS value

  UINT16  e_lfarlc;   // File address of relocation table

  UINT16  e_ovno;     // Overlay number

  UINT16  e_res[4];   // Reserved words

  UINT16  e_oemid;    // OEM identifier (for e_oeminfo)

  UINT16  e_oeminfo;  // OEM information; e_oemid specific

  UINT16  e_res2[10]; // Reserved words

  UINT32  e_lfanew;   // File address of new exe header//偏移量为0x3d

} EFI_IMAGE_DOS_HEADER;

                                                                                    图5

今天就先到这里，觅食去，今天的第二顿，饿、饿、饿，之后在接着图5往下分析，尽请期待。

===================================================================== 

固件C字营·版权所有·欢迎转载
敬请关注微信公众号：“固件C字营”
敬请关注QQ群：1052307
敬请关注CSDN博客：Cstyle_0x007

===================================================================== 

@微信公众号《固件C字营》不定期更新状态，关注&订阅公众号不迷路。

完整PDF版整理中,可以在CSDN下载频道搜索”UEFI内核导读“下载样张......