-
-
[分享]Windows初始化过程
-
发表于: 2021-6-28 18:22
-
最近在专研UEFI,发现有段时间没发帖子了... 所以讲一下Windows初始化的过程。
环境:Windows 2004 x64
个人见解,有不对的可以私信我,QQ:1045551070
个人博客:5e7K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2D9k6h3q4F1L8%4c8W2i4K6u0W2j5$3!0E0i4K6u0r3j5i4u0U0K9r3W2$3k6i4y4Q4x3V1k6G2L8X3I4&6i4K6g2X3N6r3S2W2i4K6g2X3j5Y4u0S2N6X3f1`.
1. 前言
|
1
2
|
随着计算机的发展, 传统的BIOS引导已经过时, 关于UEFI引导的安全对抗已经展开。从如下流程图我们可以看出UEFI中MBR和VBR不再存在, 而是UEFI自己负责加载bootmgr, 这也意味着更加安全和迅速。 |
2. UEFI规范
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
|
与传统的BIOS引导相反, UEFI规范覆盖了硬件初始化开始到操作系统启动前的每一个步骤, 该规范主要分七个步骤,如下: 1. 安全性阶段(SEC):初始化临时缓存区, 即将Cpu的Cache设置为no-eviction模式, 并将整理的参数传递给BFV中找出的PEI入口函数。(在SEC阶段执行的代码是从SPI闪存运行)
2. Pre-EFI 初始化阶段(PEI):配置内存控制器,初始化芯片组,并处理S3恢复过程。在此阶段执行的代码在临时内存中运行,直到初始化内存控制器为止。随后从DXE IPL PPI的Entry服务中找到DXE Image的入口函数并调用。
3. 驱动执行环境阶段(DXE):初始化系统管理模式(SMM) 和 DXE服务(Protocol)以及BS和RT服务。初始化完毕后DXE通过 EFI_BDS_ARCH_PROTOCOL找到BDS并调用入口函数。
4. 引导设备选择阶段(BDS):通过枚举可能包含UEFI兼容引导程序的PCI总线上的外围设备,来发现可以从中引导OS的硬件设备(Os loader)。
5. 临时系统加载阶段(TSL):操作系统加载器(Os loader)执行的第一阶段, 这个阶段是为Os loader准备执行环境,直至启动服务调用ExitBootServices(),系统将进入RT阶段。
6. 运行时阶段(RT):此时系统的控制权已由UEFI内核转交给Os loader手中, 随着Os loader的运行,最终会进入内核入口KiSystemStartup函数,将控制权完全交给OS。
7. AL阶段:在RT阶段系统遇到灾难性错误会来到这(不做详细描述)。
|
如上所述,我们主要将视线放到BDS、TSL、RT阶段。
3. BootMgr
3.1 EfiEntry
1 |
在BDS后,SPI储存的UEFI固件代码已完成工作, 随后UEFI固件启动管理器先查询NVRAM UEFI变量以找到ESP,并找到OS特定的启动管理器bootmgfw.efi调用它入口函数(DXE 驱动)。 |
BootMgr的入口函数:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
|
EFI_STATUS __fastcall EfiEntry( EFI_HANDLE ImageHandle, // 程序内存映像的句柄
EFI_SYSTEM_TABLE *SystemTable // 系统表指针
)
{ int unKnow;
__int64 *BootParameters;
unsigned int Status;
BootParameters = EfiInitCreateInputParametersEx(
ImageHandle,
SystemTable,
unKnow);// 将EfiEntry参数转换为bootmgfw所期望的应用程序参数格式
if ( BootParameters )
Status = BmMain(BootParameters); // 调用Windows引导管理器入口点
else
Status = 0xC000000D; // STATUS_INVALID_PARAMETER
return EfiGetEfiStatusCode(Status); // 将NT状态代码转换为EFI代码
} |
|
1
2
3
|
该函数首先会调用 EfiInitCreateInputParametersEx 函数, 该函数主要用于将EfiEntry参数转换为bootmgfw.efi所期望的参数格式。随后调用Windows引导管理器入口点 BmMain 函数。 |
3.2 BmMain
|
1
2
3
|
在该函数中调用了 BmFwInitializeBootDirectoryPath 用于初始化启动应用程序(BootDirectory)路径(\EFI\Microsoft\Boot)。随后BootMgr会读取系统引导配置信(BCD), 如果有多个启动选项,其会调用 BmDisplayGetBootMenuStatus 显示启动菜单,如下图: |
|
1
2
3
|
再然后其会调用 BmpLaunchBootEntry 函数, 启动应用程序(winload.efi)。当然bootmgfw.efi做的不止这些还有启动策略验证代码完整性以及安全启动组件的初始化,这些就不细说了。 |
3.3 BmpLaunchBootEntry
|
1
2
3
4
5
|
在Windows引导管理器(BootMgr)最后阶段, BmpLaunchBootEntry 函数会根据之前BCD的值选择正确的启动项, 如果启用了全卷加密(BitLocker), 则会先解密系统分区,然后才能将控制权转移到winload.efi。其次会调用 BmTransferExecution 函数,检查启动选项并将执行流传递给BlImgStartBootApplication函数。再然后 BlImgStartBootApplication 函数中会调用 ImgFwStartBootApplication 函数, 而最终调用 ImgArchStartBootApplication 函数。 |
3.4 ImgArchStartBootApplication
1 |
ImgArchStartBootApplication 函数原型如下: |
|
1
2
3
4
5
6
7
|
EFI_STATUS EFIAPI ImgArchStartBootApplication( PBL_APPLICATION_ENTRY AppEntry,
VOID* ImageBase, // winload.efi镜像基址
UINT32 ImageSize, // winload.efi镜像大小
UINT8 BootOption,
PBL_RETURN_ARGUMENTS ReturnArguments
);
|
|
1
2
3
4
|
在其中会初始化winload.efi的内存保护模式, 随后调用BlpArchTransferTo64BitApplication 函数, BlpArchTransferTo64BitApplication 会调用 Archpx64TransferTo64BitApplicationAsm 函数,最终将控制权交给winload.efi。 |
3.5 Archpx64TransferTo64BitApplicationAsm
1 |
该函数会启用新的GDT和IDT, 随后完全把控制权交给winload.efi, 到此BootMgr完成使命,Winload开始工作。 |
4. Winload
4.1 OslMain
1 |
该函数会初始化所需的支持库随后调用 OslpMain。 |
[招生]科锐逆向工程师培训(2025年3月11日实地,远程教学同时开班, 第52期)!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
