最近几天开始做一些UEFI SMM的逆向分析 - 可打印的版本 +- WeHack BBS (https://bbs.wehack.space) +-- 版块: 计算机技术 (https://bbs.wehack.space/forum-5.html) +--- 版块: 固件技术讨论区 (https://bbs.wehack.space/forum-8.html) +--- 主题: 最近几天开始做一些UEFI SMM的逆向分析 (/thread-47.html) |
最近几天开始做一些UEFI SMM的逆向分析 - vimacs - 07-19-2018 freevanx写了一系列的UEFI编程的文章: https://docs.google.com/View?docID=0AXM7WqiAoyr_ZDk3dnI4el8zOTNobmt0a3BkOQ&a 其中有一篇是讲怎么写SMM驱动的: https://drive.google.com/file/d/0B3M7WqiAoyr_NWI2NjdhYWUtMjE1NS00Njc2LThmZjItNWExZDZkYzUzMjJk/view?ddrp=1&authkey=CM6a8JYE&hl=en 其中的关键点是EFI_SMM_SW_DISPATCH_PROTOCOL,逆向分析的时候可以重点找这个GUID. 另一个要点是通过机器的FADT表找到操作系统往APM_CNT发送的用于启用/禁用ACPI的命令,通过这个可以知道哪个SMM驱动用于启用ACPI. HP Elitebook的那个模块叫做SmmPlatform. Dell的叫AcpiModeEnable,但是AcpiModeEnable还在SMM中写了APM_CNT... |