+- WeHack BBS (https://bbs.wehack.space)
+-- 版块: 计算机技术 (https://bbs.wehack.space/forum-5.html)
+--- 版块: 固件技术讨论区 (https://bbs.wehack.space/forum-8.html)
+--- 主题: 最近几天开始做一些UEFI SMM的逆向分析 (/thread-47.html)
最近几天开始做一些UEFI SMM的逆向分析 - vimacs - 07-19-2018
freevanx写了一系列的UEFI编程的文章:
https://docs.google.com/View?docID=0AXM7WqiAoyr_ZDk3dnI4el8zOTNobmt0a3BkOQ&a
其中有一篇是讲怎么写SMM驱动的:
https://drive.google.com/file/d/0B3M7WqiAoyr_NWI2NjdhYWUtMjE1NS00Njc2LThmZjItNWExZDZkYzUzMjJk/view?ddrp=1&authkey=CM6a8JYE&hl=en
其中的关键点是EFI_SMM_SW_DISPATCH_PROTOCOL,逆向分析的时候可以重点找这个GUID.
另一个要点是通过机器的FADT表找到操作系统往APM_CNT发送的用于启用/禁用ACPI的命令,通过这个可以知道哪个SMM驱动用于启用ACPI.
HP Elitebook的那个模块叫做SmmPlatform. Dell的叫AcpiModeEnable,但是AcpiModeEnable还在SMM中写了APM_CNT...