什么是Boot Guard?电脑启动中的信任链条解析

最新推荐文章于 2025-05-23 20:54:28 发布
最新推荐文章于 2025-05-23 20:54:28 发布
阅读量1.8k 收藏 35
点赞数 11
分类专栏: # 安全架构 文章标签: 电脑 算法 arm开发 intel UEFI 安全启动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45264425/article/details/136340977
版权
本文探讨了黑客关注的固件安全问题,特别是UEFI固件的BootGuard技术,如何通过加密散列和公钥加密确保BIOS的真实性。文章还揭示了安全链条的构建过程,从微码的信任问题到服务器领域的自定义安全策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

“无事可干”的黑客们早已经把目光从操作系统转移到固件上了,毕竟一旦攻破了固件的大门,那么在其上的操作系统也会门户洞开。现在电脑或者x86服务器系统中固件众多:

UEFI在其中居于中间地位,它的安全性也是重中之重。我们在前文中介绍了UEFI安全启动:

这种技术把UEFI固件当做安全计算基石Trusted Computing Base (TCB),在其上验证操作系统的bootloader真伪,保证我们和操作系统之间不被插入一个伪造的bootloader。

但大家有没有想过,这里有个假设,那就是UEFI固件也就是BIOS是安全而可信的。这年头,谁会那么靠谱呢,如果某黑客拿个Flash烧写器,做个假BIOS怎么办?

要解决这个真假BIOS的问题,就需要我们今天的主角,Boot Guard出场了。今天我们就一起来了解一下它,并顺便看看其他的解决方案。在进入正题之前,我们需要补充一点密码学相关的知识。

密码学基础

很显然,本篇文章的重点在于Boot Guard,而想要更好地理解它的运作机理则需要一定的密码学基础。密码学是一门高深的学科,关于它的论著数不胜数,此处我们只讲大致原理,不讲细节,感兴趣的读者不妨自行寻找完整的资料来深入的理解这门学科。

1.加密Hash(散列)函数

稍有了解的人都知道:散列函数h是使一个较大域的X的值变为较小范围Y的一种数学函数,同时尽可能的使X均匀投影到Y的取值空间中࿰

最低0.47元/天 解锁文章
2024年网安最全ARM安全启动—ATF TF-A以及它与UEFI的互动_atf runtime spmd
2401_84264536的博客
05-01 1233
ATF的官网一张图包含了更多的信息:如果你仅仅对ATF的UEFI启动路径感兴趣,下面这张图可能更加简单明了:NXP 2160A的开源和良好的文档,让我们可以在一个具体的平台上切片观察ATF的具体实现,建议大家仔细阅读参考资料2和下载代码来看看。关于ATF启动这里先整个宏观的概念。这个blog讲的很好,就不重复写了,自己写还写不到这么清晰,图页很漂亮。原文链接:https://www.cnblogs.com/arnoldlu/p/14175126.html。
英语四级单词
热门推荐
xxiyy0411的博客
12-18 2万+
// ==UserScript== // @name 背单词 // @description 边上网边刷英语四级单词 // @namespace Xiaomaxin // @version 1.31 // @author Xiaomaxin // @include * // @require http://cdn.bootcss.com
【转】什么是Boot Guard电脑启动中的信任链条解析
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
12-08 2389
无事可干”的黑客们早已经把目光从操作系统转移到固件上了,毕竟一旦攻破了固件的大门,那么在其上的操作系统也会门户洞开。现在电脑或者x86服务器系统中固件众多:UEFI在其中居于中间地位,它的安全性也是重中之重。我们在前文中介绍了UEFI安全启动:老狼:趣话安全启动:迷思与启示这种技术把UEFI固件当做安全计算基石Trusted Computing Base (TCB),在其上验证操作系统的bootloader真伪,保证我们和操作系统之间不被插入一个伪造的bootloader。
【计算机】可信平台模块Trusted Platform Module - TPM
欢迎光临
11-29 3715
引述:什么是Boot Guard电脑启动中的信任链条解析 - 知乎“无事可干”的黑客们早已经把目光从操作系统转移到固件上了,毕竟一旦攻破了固件的大门,那么在其上的操作系统也会门户洞开。现在电脑或者x86服务器系统中固件众多: UEFI在其中居于中间地位,它的安全性也是重中…
UEFI Secure Boot
qq_40569221的博客
03-05 2844
在计算机世界,安全是一个永恒的话题。微软的Windows的安全性一直深受诟病,但随着操作系统层面的漏洞逐渐减少,黑客们盯上了BIOS固件。那如何保证从开机到进入操作系统这个过程中的安全呢?下图是Intel CPU的整个UEFI安全启动链条,涉及到了Boot Guard、Secure Boot等技术。Microcode验证ACM, ACM验证IBB,IBB验证OBB,而OBB后面就是本文的主题UEFI Secure BootUEFI Secure BootUEFI规范中所定义的一个功能。
PC的ARM安全启动
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
12-08 921
ATF的官网一张图包含了更多的信息:如果你仅仅对ATF的UEFI启动路径感兴趣,下面这张图可能更加简单明了:NXP 2160A的开源和良好的文档,让我们可以在一个具体的平台上切片观察ATF的具体实现,建议大家仔细阅读参考资料2和下载代码来看看。
bootice 此功能仅在uefi环境下可用_固件安全|硬件信任根—BIOS和UEFI
weixin_39864373的博客
11-24 1658
导读Keynote本文讲解了计算机硬件固件安全中的BIOS和UEFI机制,涉及如何测试、攻击者会如何感染固件以及虚拟化安全等话题。如果在设备上发现了一个root权限的恶意软件,你会想到它可能感染了设备,但是否想过攻击者是通过底层硬件或者内核驱动实现的攻击?本文解释了新的成熟方法,应对攻击者已经通过内核态驱动或固件植入实现root级别驻留的情形。它提供了一系列测试步骤,让安全工程师判定,攻...
英特尔固件引导绕过攻击(New Intel firmware boot verification bypass enables low-level backdoors)
nie19940803的博客
05-13 1795
安全研究人员发现一种新的绕过intel安全启动的攻击方法,并且在Hack in the Box会议上演示了这种攻击方法。本篇文章就来分析一下这个攻击的原理,以及可能带来的影响,和影响消除的方法。 一、攻击原理 Intel从第四代酷睿处理器中引入了新的被称为Boot Guard的安全技术,此技术的引入目的是在系统启动的每个阶段都会去验证后续需要启动的代码的完整性,以防止非法的恶意修改软件执...
禁用Intel ME
mengxp的博客
04-04 8679
参考了国外disabling-intel-me的研究,成功禁用掉了ME,方法是使用Intel的FlashImageTool工具修改BIOS固件,ME Kernel页面的Reserved改成Yes即可。这其实是修改了Flash Descriptor的一个比特位。也就是传说中的reserve_hap = 1。修改后上电,进入系统后发现MeInfoWin64已经无法和ME通讯。可以认为ME已经被禁用。参...
p8b75-m修改bios文件_实战泄露笔记本电脑的BIOS密码
weixin_39617502的博客
11-02 799
我们在办公室周围发现了一台笔记本电脑,该笔记本电脑已启用BIOS密码。最重要的是,笔记本电脑安全启动已打开。我们想运行一个未使用Microsoft密钥签名的操作系统,因此我们确实需要一种进入设置实用程序的方法。UEFI入门安全术语· SEC-安全· PEI-EFI之前的初始化· DXE-驱动程序执行环境· PEI模块/ DXE驱动程序/ UEFI应用程序-包含固件代码的Microsoft PE格...
如何把一台电脑作为另外一台电脑的显示器
qq_64671439的博客
05-23 257
使用蓝牙,如何把一台电脑作为另外一台电脑的显示器
将VMware上的虚拟机和当前电脑上的Wifi网卡处在同一个局域网下,实现同一个局域网下实现共享
dxgcbhj的博客
05-21 499
将VMware上的虚拟机和当前电脑上的Wifi网卡处在同一个局域网下,实现同一个局域网下实现共享
电脑无法识别打印机usb设备怎么办 一键解决!
weixin_56386428的博客
05-23 467
电脑无法识别通过USB连接的打印机?本文将详细探讨这一问题的原因,并提供一系列实用的解决方案,帮助您快速修复电脑无法识别USB打印机的问题。
遨游科普:三防平板有哪些品牌?哪个品牌值得推荐?
AORO_BEIDOU的博客
05-21 425
在工业数字化与户外作业场景日益多元化的今天,三防平板凭借其卓越的防护性能与功能集成能力,成为电力巡检、地质勘探、应急救援等领域不可或缺的智能终端。
电脑风扇转速不正常的原因
最新发布
.m博客
05-23 541
电脑风扇转速不正常的原因
鸿蒙系统电脑:开启智能办公新时代
m0_74096349的博客
05-18 2019
华为于2025年5月8日推出的鸿蒙系统电脑,标志着智能办公新时代的到来。该电脑深度融合AI与操作系统,提供小艺智能体等AI助手,提升办公效率。其全新星盾安全架构确保数据安全与隐私保护,而分布式软总线技术则实现了跨设备的无缝协同。鸿蒙电脑的应用生态逐步完善,支持多种办公、设计、教育和娱乐场景。随着技术的不断创新和生态系统的持续繁荣,鸿蒙系统电脑有望在智能设备领域占据重要地位,为用户带来更高效、安全的智能办公体验。
610Hz!无惧环境光新薄膜!ROG全新电竞显示器亮相2025台北电脑
2301_78436271的博客
05-23 429
Super TN面板技术有助于实现极低的输入延迟,该显示器输入延迟仅为0.8ms,比竞品低56%,在色彩表现上,更广的色域也带来约20%的色彩增强。它采用26.5英寸的QD-OLED面板设计,支持2K超清分辨率,原生10-bit色深,并覆盖99%DCI-P3色域,可以呈现出极为细腻、丰富且颜色绚丽的生动游戏画面。此外,它还具有OLED Care Pro屏幕保护,内置Neo接近传感器,能精准检测玩家与显示器的距离,自动实现黑屏,以保护屏幕,在玩家返回时也会及时唤醒,调整到绝佳的画面状态。
四、GPU是如何成为当前电脑中不可或缺的一部分的,opengl在其中起到了什么效果
jijie_ming的博客
05-23 1213
GPU 因并行计算架构成为图形与计算核心,而 OpenGL 通过标准化接口释放其性能,二者形成 “硬件进化 - API 迭代 - 应用创新” 的正向循环。从游戏到 AI,GPU 的不可替代性不仅源于硬件算力,更依赖 OpenGL 等 API 构建的跨平台生态 —— 这使得开发者能持续挖掘 GPU 潜力,推动电脑技术向更高性能、更丰富场景演进。
电脑浓雾之上,一轮鸿蒙之火
脑极体
05-21 792
从鸿蒙手机、鸿蒙平板、鸿蒙电脑,到繁荣的鸿蒙生态,再到每一位鸿蒙开发者的心怀与梦想,种种底色汇聚在一起,就是鸿蒙世界的底色。当转轴铰链、超大屏幕、散热效率、续航平衡等世界级难题一个个被攻克,当鸿蒙特性、端侧大模型、星盾安全被反复打磨,终于开始咆哮的鸿蒙电脑,不打算做任何“局部创新”,只有全力投入,全方位变革,才能给电脑带来那久违的震撼感。华为这么做的核心原因,是必须毕其功于一役,用一次行动点燃电脑浓雾里最核心的那些障碍物,让消费者、开发者与电脑产业知道,电脑不能再进行亦步亦趋地更新,必须顷刻间漫卷雷霆。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TrustZone_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值