绕过BIOS/UEFI固件写保护写入SPI闪存

最新推荐文章于 2025-04-21 19:00:00 发布
最新推荐文章于 2025-04-21 19:00:00 发布
阅读量2.2k 收藏 3
点赞数 1
分类专栏: Windows病毒分析 RootKit Windows逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43312649/article/details/111179517
版权
本文详细介绍了如何绕过BIOS/UEFI固件的写保护,以写入SPI闪存。讨论了通过I/O命令访问PCI总线配置空间来控制PCH,解释了BIOS控制寄存器BIOS_CNTL的字段,以及攻击者如何感染UEFI固件。此外,还阐述了读写SPI闪存的过程,包括读取和验证SPI闪存内容的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

针对Bootkit:LoJax或MosaicRegressor和TrickBot等开始进行固件感染方式的病毒逐渐增多而作笔记整理。
对主板上的SPI闪存芯片中存储的UEFI固件的所有请求都将通过SPI控制器,该控制器是Intel平台上的Platform Controller Hub(PCH)的一部分。可以通过PCI设备驱动访问PCI总线配置空间可以获取PCH的值。

绕过BIOS/UEFI固件写保护写入SPI闪存

用I/O命令访问PCI总线配置空间

系统中的CPU是通过PCI设备的设备号以及配置空间中的寄存器编号来访问配置空间寄存器的。

PCI有三个相互独立的物理地址空间:设备存储器地址空间、I/O地址空间和配置空间。
配置空间是PCI所特有的一个物理空间。由于PCI支持设备即插即用,所以PCI设备不占用固定的内存地址空间或I/O地址空间,而是由操作系统决定其映射的基址。系统加电时,BIOS检测PCI总线,确定所有连接在PCI总线上的设备以及它们的配置要求,并进行系统配置。所以,所有的PCI设备必须实现配置空间,从而能够实现参数的自动配置,实现真正的即插即用。
要访问PCI总线设备的配置空间,必须先查找该设备。查找的基本根据是各PCI设备的配置空间里都存有特定的设备号(Device ID)及销售商号(Vendor ID),它们占用配置空间的00h地址。而查找的目的是获得该设备的总线号和设备号

了解本专栏 订阅专栏 解锁全文 超级会员免费看
pci配置基地址_PCIe扫盲——基地址寄存器(BAR)详解
weixin_39962285的博客
12-18 2245
基地址寄存器(BAR)在配置空间(Configuration Space)中的位置如下图所示:其中Type0 Header最多有6个BAR,而Type1 Header最多有两个BAR。这就意味着,对于Endpoint来说,最多可以拥有6个不同的地址空间。但是实际应用中基本上不会用到6个,通常1~3个BAR比较常见。主要注意的是,如果某个设备的BAR没有被全部使用,则对应的BAR应被硬件全被设置为0...
PCI地址
eydwyz的专栏
05-31 590
PCI 分 PCI配置空间 和 BAR空间 PCI配置空间 访问 PCI/PCIe设备的配置空间通过PCIEXBAR加上设备的Bus、Device、Fun号的转换来得到   BAR空间为 PCI总线空间,需iomap映射后访问
SPI通信
最新发布
电子那些事儿
04-21 1023
SPI(Serial Peripheral Interface)由摩托摩拉公司开发的通用数据总线。支持总线挂在多设备(一主多从),同步全双工。IIC和SPI的优劣势:IIC开漏外加上拉电阻的电路结构,使得通信线高电平的驱动能力比较弱,就会导致通信线由低电平向高电平跳变的时候,这个上升沿耗时比较长,会限制IIC的最大通信速度。但消耗硬件资源少。SPI的硬件开销比较大,通信线的个数比较多,并且通信过程中,经常会有资源浪费的现象。但通信速度快。
系统地址空间,PCI地址空间
Augusdi的专栏
01-06 3570
1         系统地址空间与PCI地址空间1.1         PCI地址空间<br />PCI总线具有32位数据/地址复用总线,所以其存储地址空间为2的32次方=4GB。也就是PCI上的所有设备共同映射到这4GB上,每个PCI设备占用唯一的一段PCI地址,以便于PCI总线统一寻址。每个PCI设备通过PCI寄存器中的基地址寄存器来指定映射的首地址。PCI地址空间对应于计算机系统结构中的PCI总线。<br /> <br />一个PCI设备占有PCI存储空间的一部分,PCI上存储器地址的译码是分散在设备
PCI/PCIe基础——配置空间
kunkliu的博客
09-23 3641
简介 PCI/PCIe设备有自己的独立地址空间,这部分空间会映射到整个系统的地址空间。 映射地址在BIOS/UEFI下指定(如果有的话,对于使用非BIOS启动的OS,不清楚),它有两种类型,一种是MMIO,一种是IO。对于MMIO的访问,跟访问内存的方式一样,它从称为PCIEXBAR的基地址开始,有很大的一段空间,这个PCIEXBAR的值根据不同的平台可能不同,大致可能值有0xC0000000、0xE0000000等,关于这个值是怎么使用的后面的章节会讲到;对于...
PCIe扫盲——PCI总线的地址空间分配
kunkliu的博客
06-28 7250
转载地址:http://blog.chinaaet.com/justlxy/p/5100053219 PCI总线具有32位数据/地址复用总线,所以其存储地址空间为2的32次方=4GB。也就是PCI上的所有设备共同映射到这4GB上,每个PCI设备占用唯一的一段PCI地址,以便于PCI总线统一寻址。每个PCI设备通过PCI寄存器中的基地址寄存器来指定映射的首地址。如下图所示: 注:需要注意的是...
耐久性(擦写次数) 10万-100万次 1千-10万次错误率 低 高(需要ECC错误纠正)坏块管理 通常不需要 必需XIP支持 支持(可直接执行代码) 不支持典型容量范围 几MB-几百MB 几GB-几TB典型应用 BIOS/UEFI固件微控制器程序存储启动代码 SSD存储介质SD卡/U盘大容量数据存储NOR Flash详解工作原理:NOR Flash的存储单元直接连接到位线和字线,允许随机访问任何存储单元,类似于RAM的访问方式。主要特点:支持随机读取,可以按字节访问读取速度快,适合存储需要直接执行的代码支持XIP(Execute In Place),程序可以直接从Flash中执行写入和擦除速度较慢容量相对较小,成本较高
04-04
### NOR Flash 的工作原理及特性 #### 工作原理 ...以上代码展示了通过标准 SPI 总线协议同 NOR 类型闪存交互的一个简化例子——发送特定控制字节序列之后接收返回的结果串流作为确认依据之一。 ---
Lenovo IH110MS W25Q64FV BIOS.rar
05-15
W25Q64FV支持SPI(Serial Peripheral Interface)通信协议,能够快速读取和写入数据。 描述中提到“很少见的BIOS,亲测好用”,意味着这个BIOS版本可能不常见,可能是特定问题的修复版或者优化版,且经过了测试,...
SPI FLASH 工具V12:全面支持INTEL ICH7至X57平台
SPI BIOS刷新工具通过与主板上的SPI闪存芯片通信,来实现BIOS的读取、写入和更新操作。这些操作必须非常谨慎地进行,因为错误的BIOS刷新可能会导致主板无法启动。 #### 压缩包子文件的文件名称列表:WSPI.EXE ...
bios信息存放在哪里,是怎样写到SMBIOS里面的?
03-17
例如,在Linux系统中,可以使用dmidecode命令读取SMBIOS信息,但写入可能需要更底层的操作,比如使用内核模块或UEFI固件工具。另外,Windows下可能需要使用WMI或专门的厂商工具。 还需要考虑安全性问题,直接写入...
PCI-E 基础知识
08-13 9503
一、PCI-E/PCI拓扑结构 PCI-E点对点结构 PCI总线结构 二、PCI-E总线特性 协议支持258个bus、每条bus最多支持32个device,每个device最多支持8个function 由BDF构成了每个PCI-E设备几点的身份证,用于PCI-E地址空间寻址。 三、PCI-E一般拓扑图 CPU --> RC --> SWITCH --> ENDPOINT --...
静态路由原理与配置命令
零下二度的博客
10-25 3861
## 标题目录1.理解路由的原理路由器工作原理路由表的形成2.静态路由和默认路由3.路由器转发数据包的封装过程4.静态路由配置 数据包从主机A到达主机B有很多条路径可供选择,但是很显然,这些路径中在某一时刻总会有一条路径是最好(快)的。因此,为了尽可能地提高网络访问速度,就需要有一种方法来判断从源主机到目的主机所经过的最佳路径,从而进行数据转发,这就是路由技术。 1.理解路由的原理 路由器工作原理 路由器工作在 OSI 参考模型的网络层,它的重要作用是为数据包选择最佳路径,最终 送达目的地。 首先来看一下
PCI设备地址分配
DawnChing
02-16 1875
假设分配起始地址 0x7000-0000,每一PCI设备占用0x0100-0000空间 红色序号是分配顺序 首先是PCI0总线,有3个设备。 1、PCI0总线第一个设备是PCI桥,那么顺着PCI桥1向下递归,直到最后一个PCI设备被分配。 2、PCI0总线第二个设备是PCI设备,先不管。 3、PCI0总线第一个设备是PCI桥,那么继续顺着PCI桥4下递归,直到最后一个PCI设备被分配。 4、最后分配PCI0总线第二个设备是PCI设备。 ...
关闭BIOS写保护
weixin_42629522的博客
07-16 1474
关闭BIOS写保护:新手指南 作为一名刚入行的开发者,你可能会遇到需要关闭BIOS写保护的情况。本文将为你提供一个详细的指南,帮助你理解整个流程,并提供必要的代码示例。 流程图 首先,让我们通过一个流程图来了解关闭BIOS写保护的基本步骤: flowchart TD A[开始] --> B{是否需要关闭写保护...
PCI是外设部件互连标准的缩写,由PCISIG(PCI Special Interest Group)推出的一种局部并行总线标准
BLOG域名:programb.blog.youkuaiyun.com
04-19 680
PCI:外设部件互连标准详解一、PCI的基本概念‌PCI,全称为Peripheral Component Interconnect,即外设部件互连标准,是由PCISIG(PCI Special Interest Group)推出的一种局部并行总线标准。它主要用于连接个人电脑中的外围设备,如显示卡、网卡、声卡等,是计算机系统中重要的组成部分。二、PCI的发展历史‌起源‌:PCI总线是从ISA(Industy Standard Architecture)总线发展而来的。随着计算机技术的不断发展,ISA总线由于其
PCI中的base address
Tiger Liu share his technical articles here
10-19 1430
来自:http://hi.baidu.com/qingyayizhan/blog/item/62137d4b1c85810309f7ef10.html 最近因为工作需要用到pci设备的BAR内容,之前看了没深刻印象,这里整理一下。   PCI设备有很好的可配置型和易操作性,这很大方面要归功于其地址空间的可动态分配的特性。而动态分配地址空间就是依赖于BAR(base address regi
UEFI基础】NorFlash和NandFlash以及SpiFlash
jiangwei0512的博客
11-17 4902
UEFI基础】NorFlash和NandFlash以及SpiFlash。
bios清除写保护的方法
热门推荐
a252789828的专栏
11-23 1万+
主板一: 开机时按“DEL”进入BIOS设置,选择IntegratedPeripherals(左边的第四项),进入后选择Onboard Devices(第二项),把BIOS WriteProtect(到数第一项)的值改为Disable。         主板二:      第一步:在CMOSSetup主菜单中选择“CPU Frequency Control(CPU频率控制)”。
PCI总线地址空间分析及编程实现
qq_37934722的博客
06-10 596
PCI总线地址空间是一个32位的地址空间,共2^32个地址。PCI总线的配置空间是指存储PCI设备配置信息的空间,包括设备ID、厂商ID、中断号、总线号等重要信息。配置空间的地址范围是0~FFFFh,每个PCI设备都有一个唯一的配置空间。PCI总线的IO空间指的是PCI设备通过PCI总线映射到IO地址范围内的寄存器空间。能够正确的理解和应用PCI总线地址空间是开发嵌入式系统中使用PCI设备时必不可少的基础知识。PCI总线的内存空间指的是PCI设备通过PCI总线映射到系统物理地址范围内的内存空间。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值