我正在寻找主板最新UEFI版本中的代码更改,以验证更改是否包括针对行锤漏洞的缓解措施。我特别关注的是华硕Maximus VII英雄板的最新3个发行版(2401、2304、2201),可以在此处下载。 '不习惯看到。显然,这些是“ UEFI胶囊”,英特尔已经为其指定了规格,但是我尝试了自动分析(使用uefi-firmware-parser)和一些手动挖掘,但都没有用。在它们之间运行binwalk会产生通常所说的LZMA斑点的噪音,但是即使我grep超过那些斑点,我也会遇到几次误报检测到的加密数据。 ,结构化和高熵(加密/压缩)块,但我找不到任何明显的东西。在不同的修订版之间运行Bindiff会显示一些发生了重大变化的块,以及到处乱码的地方。陷入困境。

如何开始使用这些CAP文件?有没有我应该阅读的研究?有没有可以使用的工具链?

#1 楼

有人将我指向UEFITool,它确实满足我的要求。还有一个提取器版本,可将所有单独的嵌套二进制组件转储到目录中。由此,我能够遍历并分析IDA中的各个模块(它们是x86 PE文件,因此很容易)。到位,但我正在编写一些脚本来对每个已更改的组件进行绑定,这有望使我对正在寻找的内容有所了解。

#2 楼

固件不包含在普通EFI_CAPSULE_GUID所指示的区域中,就像您的链接描述的规范一样。在公共规范中,我在该CAP文件中找不到对GUID的引用。 -parser。

或者,如果您使用的是IDA,这看起来可能非常有用-它似乎知道奇怪的GUID。