Why

反病毒软件是OS的一个应用,
它没法在OS运行之前启动,
所以反病毒软件拿在系统启动之前的病毒是没有办法的.

利用这个特性,
黑阔编写一个BIOS阶段或者OS LOADER阶段(系统加载前的一个阶段)的病毒,
不就无敌了?不幸的是这样的病毒已经存在.
----Rootkit.

How

操作系统启动流程

操作系统的启动过程如图所示,
问题出在操作系统之前的OSLoader阶段没有保护措施.

UEFI选项打开SecureBoot

针对该问题,
微软公司推出了一项保护BIOS和操作系统衔接阶段的安全功能,
阻止病毒篡改OSLoader和系统驱动和操作系统映像.(可以在主板选项中关闭和开启)
(原理是通过密码学工具验证OSLoader阶段一系列组件的完整性,
至于固件本身的安全和操作系统启动后的安全则由它们各自负责)

Secure Boot

微软公司推出的SecureBoot保证了OSLoader的安全性,
不过还有一个问题,验证OSLoader的是BIOS/UEFI,
如果BIOS/UEFI是不安全的被病毒感染过的应该怎么办?
谁来验证BIOS/UEFI的安全性?
由于在BIOS/UEFI启动之前的东西只有CPU的内部代码(严格来说还有一些中间环节),
所以对BIOS/UEFI的校验工作落到了Intel和AMD公司头上,
Intel公司方面设计了一套保证BIOS/UEFI安全可信的解决方案,
即BootGuard,作为一种处理器特性,一般情况下普通用户无需设置.

Snipaste_2020-10-10_15-53-45.png

TXT不是一个单一的技术点,
Intel推出的一套安全功能的集合,
在启动和启动过程中验证平台可靠性,
用于防御那些破坏系统/BIOS代码/修改平台配置的软件攻击.
TXT同样依赖于TPM芯片.

趣话安全启动：迷思与启示(SecureBoot)
https://zhuanlan.zhihu.com/p/30136593

什么是Boot Guard？电脑启动中的信任链条解析
https://zhuanlan.zhihu.com/p/116740555

Trusted Execution Technology (TXT) --- 基本原理篇
https://www.cnblogs.com/chipsec/p/8409600.html

Attacking Intel Trusted Execution Technology (Wojtczuk Rukowska)
https://www.youtube.com/watch?v=kja8ATnvW00