Биография конфигурации ПК, что это такое
Обновлено: 20.11.2024
В прошлый раз (см. часть 1 блога) мы обсуждали, как вредоносное ПО удалило файл Rwdrv.sys, запустилось как служба и использовало DeviceIOControl для связи с оборудованием. Мы сказали, что необходимо запросить управляющие коды, и эти управляющие коды будут отправлены драйверу rwdrv для выполнения желаемой операции. Также есть представление об идентификаторе устройства платформы и идентификаторе поставщика. Теперь мы продолжим рассказ о том, как эта информация будет использоваться этой вредоносной программой.
В дополнение к нашему предыдущему анализу, где происходит связь между вредоносным ПО и оборудованием целевой машины, мы обнаружили порт ввода-вывода адреса пространства конфигурации (0xCF8) и порт ввода-вывода данных пространства конфигурации (0xCFC). Эти адреса портов будут использоваться для чтения/записи в пространство конфигурации PCI.
Чтение пространства конфигурации PCI
- Он будет использовать функцию для записи данных в аппаратные порты ввода/вывода и 0xCF8 для установки адреса устройства PCI.
- Затем используйте функцию чтения данных из аппаратных портов ввода/вывода и 0xCFC для чтения пространства конфигурации PCI.
Запись в пространство конфигурации PCI
- Он будет использовать функцию для записи данных в аппаратные порты ввода/вывода и 0xCF8 для установки адреса устройства PCI.
- Затем используйте функцию записи данных из аппаратных портов ввода/вывода и 0xCFC для записи в пространство конфигурации PCI.
Упомянутая выше процедура чтения пространства конфигурации PCI будет использоваться для чтения идентификатора поставщика, идентификатора устройства и идентификатора версии. Это поможет вредоносной программе узнать, на какой платформе (ЦП и PCH) она была запущена.
После получения VID, DID и RID мы столкнулись с несколькими процедурами сравнения:
Мы попытались найти, что такое A143, и обнаружили, что это идентификатор устройства Platform Controller Hub (PCH) набора микросхем Intel H110
PCH – это набор микросхем, обеспечивающий связь между процессором, памятью и другими устройствами, подключенными к материнской плате.
Вот как это выглядело, когда мы проверили значение ecx+6BC0402C на изображении выше:
Мы видим, что существует несколько идентификаторов устройств PCH.
- 0xA143 – идентификатор устройства PCH набора микросхем Intel H110.
- 0xA144 – это идентификатор устройства PCH набора микросхем Intel H170.
- 0xA154 – это идентификатор устройства PCH набора микросхем Intel CM238.
При этом мы обнаружили, что собранный идентификатор устройства PCH с зараженной машины будет сравниваться со списком известных идентификаторов устройств PCH. По результатам исследований все Intel PCH сгруппированы по семействам, и каждое семейство отличается. Эта подпрограмма сравнения была бы еще одной проверкой вредоносного ПО для определения того, какое семейство PCH оно запускало, чтобы иметь представление о том, где находится контроллер SPI. Но прежде чем мы объясним подключение PCH и контроллера SPI, вот семейство Intel PCH, найденное в процедуре сравнения, а внутри них — идентификаторы устройств PCH для указанного семейства:
- ecx+6BC0402C = набор микросхем серии 100.
- ecx+6BC04050 = набор микросхем серии 200.
- ecx+6BC04060 = набор микросхем серии 300.
- ecx+6BC04080 = набор микросхем серии 400.
- ecx+6BC04098 = набор микросхем серии C620
- ecx+6BC040B4 = Серия COMET LAKE
Этот контроллер SPI является частью концентратора контроллера платформы (PCH) и связан с микросхемой флэш-памяти SPI, в которой хранится BIOS, являющийся целью вредоносного ПО. Как только семейство PCH было идентифицировано, вредоносное ПО установит некоторую информацию, которая будет использоваться в дальнейшем.
Затем, углубившись в наш анализ, мы обнаружили еще один вызов DeviceIOControl с управляющим кодом 22280C и 222808, который будет использоваться для чтения/записи в физической памяти.
Чтение физической памяти с помощью DeviceIOControl с управляющим кодом 222808:
Запись в физическую память с помощью DeviceIOControl с управляющим кодом 22280C:
Доступ к BIOS и его анализ будут рассмотрены в следующем анализе, но сначала подведем итоги наших выводов:
На экране отображаются настройки даты, времени и функций загрузки, а также основная информация о системе:
Информация о системе
- Версия BIOS: CR_2.2.0.377 X64 (пример)
- Время сборки: ДД/ММ/ГГГ
- Тип процессора: Intel(R) Core(TM) iX-3XXXXX CPU @ X,X ГГц
- Частота процессора: 1,7 ГГц (пример)
- Частота системной памяти: 1600 МГц (пример)
- Оперативная память кэш-памяти L2: 256 КБ
- Общая память 8192 МБ
- Канал памяти A, слот 0: 4096 МБ (DDRIII-1600) (пример)
- Канал памяти B, слот 0: 4096 МБ (DDRIII-1600) (пример)
Функции загрузки
- NumLock: выбор состояния NumLock при включении — выкл./вкл.
- Быстрая загрузка: включение/выключение быстрой загрузки.
- Загрузка UEFI: включите загрузку UEFI.
- Устаревшая загрузка. Включите унаследованную загрузку.
- Загрузка в устаревшем видеорежиме: включите этот параметр, чтобы заставить адаптер дисплея переключать видеорежим в текстовый режим 3 в конце процедуры POST BIOS для режима загрузки без UEFI (устаревшая загрузка). Некоторое устаревшее программное обеспечение, такое как DUET, требует, чтобы BIOS перед загрузкой явно перешел в режим текстового видео.
- Загрузить OPROM: загрузить все OPROM или по запросу в зависимости от загрузочного устройства.
Дополнительно
В этом разделе представлены расширенные системные функции и настройки функциональности.
Внимание! Только для опытных пользователей. Установка неправильных значений элементов может привести к сбоям в работе системы.Информация о кремнии
Подписи процессора и PCH (примеры номеров):
- ID процессора: 306A9
- ВЕРСИЯ ЦП: степпинг E1
- ИДЕНТИФИКАТОР ИЗМЕНЕНИЯ: 17
- ТИП PCH: PantherPoint
- PCH REV.: шаг C1
- Семейство: процессор Intel Core 3-го поколения
- Модель: Ivy Bridge, 22 нм
- Частота: 1,7 ГГц.
- Кэш L1: 64 КБ
- Кэш L2: 256 КБ
- Кэш L3: 4096 КБ
- ВЕРСИЯ печатной платы: 1.2
Конфигурация процессора
- Активные ядра процессора: количество ядер, которые необходимо включить в каждом пакете процессоров.
- Технология Intel(R) HT: при отключении активируется только один поток на каждое включенное ядро.
- Динамическое переключение FSB: включение/отключение динамического переключения FSB процессора (шина GV).
- Enabled XD: функция Enabled Execute Disabled. Также известно как предотвращение выполнения данных (DEP).
- Ограничить максимальные значения CPUID: если этот параметр включен, это приводит к тому, что cpuid возвращает максимальное значение 3.
- Проверка компьютера: включена функция проверки компьютера процессора (отключить только для тестирования).
- Быстрые строки: включены быстрые строки процессора.
- Режим доставки прерывания по теплу: установите режим доставки прерывания на SMI и установите бит маски в регистре Thermal LVT.
- Технология виртуализации Intel(R): если она включена, VMM может использовать дополнительные аппаратные возможности.
Конфигурация периферийных устройств
- Часы с расширенным спектром: включение функции расширения спектра часов. Рекомендуется оставить отключенным.
- Поддержка PCIe SR-IOV: настройка виртуализации ввода-вывода
- Отключите неиспользуемые часы PCI/PCIe:
- Отключено — все часы включены
- Включено: часы для пустых слотов PCI/PCIe будут отключены для экономии энергии, особенно для теста на электромагнитные помехи.
Конфигурация жесткого диска
Установите конфигурацию жесткого диска и контроллера:
- Устройство SATA: включение/выключение устройства SATA.
- Комбинация интерфейсов: выберите режим работы контроллеров SATA. Используйте этот режим для SSD-дисков.
- Агрессивное питание канала: если этот параметр включен, включает агрессивное управление питанием канала на всех портах жестких дисков.
- Порт Serial ATA i:
- Тип устройства SATA: выберите «Твердотельный накопитель», только если устройство SSD подключено к порту i.
Конфигурация системного агента (SA)
Отображает и предоставляет параметры для изменения настроек SA
- Intel(R) VT для направленного ввода-вывода (VT-d): включает или отключает технологию виртуализации Intel для направленного ввода-вывода (VT-d), сообщая о назначении устройств ввода-вывода в VMM через таблицы ACPI DMAR< /li>
- Конфигурация порта PCIEx8 ЦП: Конфигурация порта PCI Express
- Всегда включать CPU PCIE (x8, x1): включить CPU PCIE
- CPU PCIE ASPM: Disabled/L0S/L1/L0S и L1/Auto — настройки CPU PCIEx8 ASPM
- Чип часов с расширенным спектром: включение функции расширения спектра часов.
- Аппаратное обеспечение — спред контролируется чипом
- Программное обеспечение — распространение контролируется BIOS
Конфигурация южного моста
Установите конфигурацию южного моста:
- Устройство SMBUS: включение/выключение устройства SMBUS
- mSATA-PCIe: переключение между интерфейсами SATA и PCI Express на полноразмерном разъеме mini PCIe.
- Собственный PCI Express: включение/выключение собственного PCI Express
- Конфигурация SB PCI Express:
- Строка синхронизации корневого порта PCI Express: включает/отключает синхронизацию корневого порта PCI Express.
- PCIe-USB Glitch W/A: PCIe-USB Glitch W/A для неисправных USB-устройств, подключенных к порту PCIE/PEG
- Конфигурация MINI-PCIE HALF: управление корневым портом PCI Express
- Конфигурация MINI-PCIE FULL: управление корневым портом PCI Express и установка типа Gen
- Скорость PCIe: выберите Gen1 или Gen2.
- Azalia: управление обнаружением устройства Azalia
- Внутренний кодек HDMI Azalia: включает/отключает внутренний кодек HDMI
- Порт кодека HDMI C: включает/отключает внутренний кодек HDMI
- Порт кодека HDMI D: включает/отключает внутренний кодек HDMI
Конфигурация сети
- Внутренняя локальная сеть PCH: включить/отключить внутреннюю локальную сеть PCH.
- Выбор LAN OPROM: используется для выбора LAN OPROM для минимальной конфигурации быстрой загрузки
- Wake on PCH LAN: включите внутреннюю функцию PCH Wake on LAN на Moff.
Конфигурация SuperIO
Управление настройками SuperIO:
- Встроенный UART1: этот параметр управляет адресом встроенного UART1. При включении UART1 использует адрес 0x3F8 и IRQ 4
Конфигурация МЕ
Настроить параметры технологии Management Engine:
- Версия микропрограммы 8.1.30.1350
- Прошивка ME Прошивка Intel ME 5 МБ
- Служба событий отладки ME: включение/отключение службы событий отладки
Тепловая конфигурация
Подменю терморегулирования:
Безопасность
Настройте различные параметры безопасности.
Установите приоритеты порядка загрузки.
На экране выхода можно сохранить или отменить изменения перед выходом из BIOS.
Ваша оценка отправлена. Пожалуйста, сообщите нам, как мы можем сделать этот ответ более полезным.
Спасибо за ваше мнение.
Руководство по BIOS
Где найти руководство по продукту
Например: введите MPG Z390M GAMING EDGE AC в значок [Поиск], нажмите клавишу [Ввод], чтобы найти соответствующий результат.
Нажмите кнопку [Вручную] под названием продукта
Выберите вариант с вашим языком и нажмите на значок со стрелкой, указывающей вниз, чтобы загрузить руководство.
Щелкните правой кнопкой мыши загруженный файл и выберите [Извлечь все]
После распаковки файла откройте файл PDF.
Найдите раздел [Настройка BIOS] в файле PDF.
Введение в BIOS
РЕЖИМ EZ
Расширенный режим
Расширенный режим включает шесть частей: НАСТРОЙКИ, OC, M-FLASH, OC PROFILE, HARDWARE MONITOR и BOARD EXPLORER
НАСТРОЙКИ
Статус системы: обзор системы
Дополнительно: дополнительные настройки
Загрузка: настройки загрузки системы
Безопасность: настройки безопасности
Сохранить и выйти: сохранить текущие настройки и выйти
Статус системы
Чтобы настроить системную дату и время, найдите информацию о жестком диске и DMI.
Дополнительно
Настройки подсистемы PCI
Протокол PCIE, задержка, настройка нескольких GPU
Настройки ACPI
Настройка состояния индикатора питания, настройки предупреждений о температуре процессора
Встроенные периферийные устройства
Конфигурация встроенной локальной сети, конфигурация SATA, конфигурация аудио.
Встроенная конфигурация графики
Для отображения источника графики, общей памяти встроенной графики, настроек нескольких мониторов
Этот раздел содержит экран расширенного меню BIOS. Параметры, доступные в расширенном меню, описаны в следующих разделах. Параметры в таблицах, помеченные как «(R/O)», предназначены только для чтения и не могут быть изменены.
В следующих разделах описываются параметры расширенного меню BIOS:
Параметры конфигурации iSCSI в расширенном меню BIOS
В следующей таблице описаны параметры конфигурации iSCSI в расширенном меню BIOS.
Установите значение Включено для многопутевого ввода-вывода (MPIO). MPIO может повысить производительность приложения за счет балансировки нагрузки на несколько портов.
Можно установить IP4, IP6 или автонастройку. IP-адрес инициатора назначается системой на IP6. В режиме автонастройки драйвер iSCSI пытается подключиться к цели iSCSI, используя стек IPv4. Если это не удается, драйвер iSCSI пытается подключиться с использованием стека IPv6.
Время ожидания в миллисекундах. Минимальное значение — 100 миллисекунд, максимальное — 20 секунд.
ISID формата OUI составляет 6 байт. Значение по умолчанию выводится из MAC-адреса. Можно настроить только последние 3 байта.
Определите протокол проверки подлинности вызов-рукопожатие (CHAP). Доступные настройки: CHAP, Kerberos и Нет.
Изменить порядок попыток. Используйте клавиши со стрелками, чтобы выбрать попытку, затем нажмите клавиши "плюс" или "минус" (+/-), чтобы переместить попытку вверх/вниз в списке очередности попыток.
Расширенное меню BIOS Параметры подключения к гигабитной сети
В следующей таблице описаны параметры гигабитного сетевого подключения в расширенном меню BIOS.
Номер адаптера платы продукта (PBA). Вы можете использовать номер PBA сетевого адаптера Intel для поиска номера модели адаптера. Номер PBA — это девятизначный номер, который является последней частью серийного номера платы адаптера. Номер PBA представлен в следующем формате: xxxxxxx-xxx, например, C80222-001.
Параметры состояния драйвера расширенного меню BIOS
В следующей таблице описаны параметры работоспособности драйвера расширенного меню BIOS.
Примечание. В зависимости от устройств, которые используются в слотах PCIe, вы увидите разные записи, если устройства публикуют состояние работоспособности своих драйверов.
Параметры перенаправления консоли последовательного порта в расширенном меню BIOS
В следующей таблице описаны параметры перенаправления консоли последовательного порта в расширенном меню BIOS.
VT100: набор символов ASCII.
VT100+: расширение VT100 для поддержки цвета, функциональных клавиш и т. д.
VT-UTF8: использует кодировку UTF8 для сопоставления символов Unicode с одним или несколькими байтами.
ANSI: расширенный набор символов ASCII.
Выберите скорость передачи через последовательный порт. Скорость должна быть согласована на подключенном последовательном устройстве. Длинные или шумные линии требуют более низкой скорости.
Нет: биты четности не отправляются.
Четный: бит четности равен 0, если количество единиц в битах данных четное.
Нечетный: бит четности равен 0, если количество единиц в битах данных нечетное.
Отметка: бит четности всегда равен 1.
Пробел: бит четности всегда равен 0.
Стоповые биты указывают на конец пакета последовательных данных. (Стартовый бит указывает на начало пакета последовательных данных.) Стандартная настройка — 1 стоповый бит. Для связи с медленными устройствами может потребоваться более 1 стопового бита.
Управление потоком может предотвратить потерю данных из-за переполнения буфера. При отправке данных, если приемные буферы заполнены, может быть отправлен сигнал «стоп», чтобы остановить поток данных. Как только буферы опустеют, можно отправить сигнал «старт» для перезапуска потока.Аппаратное управление потоком данных использует два провода для отправки сигналов запуска/остановки.
Параметры сетевого стека в расширенном меню BIOS
В следующей таблице описаны параметры сетевого стека BIOS Advanced Menu.
Читайте также: