Fail count bios что это
UEFI (Unified Extensible Firmware Interface) — замена устаревшему BIOS. Эта спецификация была придумана Intel для Itanium, тогда она еще называлась EFI (Extensible Firmware Interface), а потом была портирована на x86, x64 и ARM. Она разительно отличается от BIOS как самой процедурой загрузки, так и способами взаимодействия с ОС. Если вы купили компьютер в 2010 году и позже, то, вероятнее всего, у вас UEFI.
Основные отличия UEFI от BIOS:
Как происходит загрузка в UEFI?
С GPT-раздела с идентификатором EF00 и файловой системой FAT32, по умолчанию грузится и запускается файл \efi\boot\boot[название архитектуры].efi, например \efi\boot\bootx64.efi
Т.е. чтобы, например, создать загрузочную флешку с Windows, достаточно просто разметить флешку в GPT, создать на ней FAT32-раздел и просто-напросто скопировать все файлы с ISO-образа. Boot-секторов больше нет, забудьте про них.
Загрузка в UEFI происходит гораздо быстрее, например, загрузка моего лаптопа с ArchLinux с нажатия кнопки питания до полностью работоспособного состояния составляет всего 30 секунд. Насколько я знаю, у Windows 8 тоже очень хорошие оптимизации скорости загрузки в UEFI-режиме.
Secure Boot
«Я слышал, что Microsoft реализовывает Secure Boot в Windows 8. Эта технология не позволяет неавторизированному коду выполняться, например, бутлоадерам, чтобы защитить пользователя от malware. И есть кампания от Free Software Foundation против Secure Boot, и многие люди были против него. Если я куплю компьютер с Windows 8, смогу ли я установить Linux или другую ОС? Или эта технология позволяет запускать только Windows?»
Начнем с того, что эту технологию придумали не в Microsoft, а она входит в спецификацию UEFI 2.2. Включенный Secure Boot не означает, что вы не сможете запустить ОС, отличную от Windows. На самом деле, сертифицированные для запуска Windows 8 компьютеры и лаптопы обязаны иметь возможность отключения Secure Boot и возможность управления ключами, так что беспокоится тут не о чем. Неотключаемый Secure Boot есть только на планшетах на ARM с предустановленной Windows!
Что дает Secure Boot? Он защищает от выполнения неподписанного кода не только на этапе загрузки, но и на этапе выполнения ОС, например, как в Windows, так и в Linux проверяются подписи драйверов/модулей ядра, таким образом, вредоносный код в режиме ядра выполнить будет нельзя. Но это справедливо только, если нет физического доступа к компьютеру, т.к., в большинстве случаев, при физическом доступе ключи можно заменить на свои.
В Secure Boot есть 2 режима: Setup и User. Первый режим служит для настройки, из него вы можете заменить PK (Platform Key, по умолчанию стоит от OEM), KEK (Key Exchange Keys), db (база разрешенных ключей) и dbx (база отозванных ключей). KEK может и не быть, и все может быть подписано PK, но так никто не делает, вроде как. PK — это главный ключ, которым подписан KEK, в свою очередь ключами из KEK (их может быть несколько) подписываются db и dbx. Чтобы можно было запустить какой-то подписанный .efi-файл из-под User-режима, он должен быть подписан ключом, который в db, и не в dbx.
Для Linux есть 2 пре-загрузчика, которые поддерживают Secure Boot: Shim и PRELoader. Они похожи, но есть небольшие нюансы.
В Shim есть 3 типа ключей: Secure Boot keys (те, которые в UEFI), Shim keys (которые можно сгенерировать самому и указать при компиляции), и MOKи (Machine Owner Key, хранятся в NVRAM). Shim не использует механизм загрузки через UEFI, поэтому загрузчик, который не поддерживает Shim и ничего не знает про MOK, не сможет выполнить код (таким образом, загрузчик gummiboot не будет работать). PRELoader, напротив, встраивает свои механизмы аутентификации в UEFI, и никаких проблем нет.
Shim зависит от MOK, т.е. бинарники должны быть изменены (подписаны) перед тем, как их выполнять. PRELoader же «запоминает» правильные бинарники, вы ему сообщаете, доверяете вы им, или нет.
Оба пре-загрузчика есть в скомпилированном виде с валидной подписью от Microsoft, поэтому менять UEFI-ключи не обязательно.
Secure Boot призван защитить от буткитов, от атак типа Evil Maid, и, по моему мнению, делает это эффективно.
Спасибо за внимание!
"Primary master hard disk fail". Что с жестким диском?!
Добрый вечер. Такая проблема: подсоединяю жесткий Western Digital (WD800) диск IDE, в Биосе.
Цель с предикатом "Fail" и оператором "Или"
Здравствуйте! Выполняя очередное задание на Прологе (Пролог 7.5) столкнулась с следующей.
alexeyk3k, для начала - проверьте версию биоса. Для этой матери она не должна быть выше версии 1.40. Если у вас она выше - убирайте.
у меня версия bios 1.60, это будет "обновлением" или откатом биос. не подскажите гайд/видос.
и возможно уже другая проблема или так же в биосе.
проблема : не работает xmp профиль, комп включается, (спикер издаёт 3 сигнала <-- так 3 раза включается и выключается), потом видимо сбрасывает все настройки и нормально включается с 1 коротким сигналом.
при включении xmp профиля спикер издаёт 3 сигнала и вырубается.
ещё в bios напряжение 1.350 почему то помечается красным цветом.
комп включается, комп включается, спикер издаёт 3 сигнала и выключается и так 3 раза. потом видимо сбрасывает все настройки и нормально включается с 1 коротким сигналом.
железо:
мать
ASRock AB350M Pro4 R2.0
версия биоса 1.60
*ASRock do NOT recommend updating this BIOS if Pinnacle, Raven, Summit or Bristol Ridge CPU is being used on your system.
можно сразу на версию 1.40 , последовательно не надо обновлять биос
Добавлено через 8 минут
можно сразу на версию переходить 1.40 ? последовательно биос не надо обновлять?*
alexeyk3k, можно
Добавлено через 1 минуту
alexeyk3k, Но если вы сами этого никогда не делали - лучше поспрашивайте среди знакомых. кто в теме, чтобы помогли.
Добавлено через 33 минуты
гуглить?
Добавлено через 22 минуты
попытался установить написало "сбой при проверке безопасного перепрограммирования" и комп перезагрузился
Добавлено через 1 минуту
попытался установить, комп завиис и потом когда отвис написало "сбой при проверке безопасного перепрограммирования" и комп перезагрузился*
получилось, обновил.
попробовал с другой флешкой, хотя эту уже в другой слот пихал, они там никак не помечены по особому, только usb 2.0 и обычные.
память пока в xmp не ставил, сейчас попробую.
Добавлено через 31 минуту
Я без понятия в чём была проблема, но похоже что не надо было обновлять биос.
Перед тем как переставить, тоже поставил xmp профиль и так же комп ушёл в перезагрузку с 3 сигналами.
Я переставил плашки в слоты 2 и 4 , и всё заработало.
Правильно, что "%" это "деление по модулю"?
Правильно, что "%" это "деление по модулю"?
Что означает "as count"?
select count (*) as count from student where extract (year from date_mat)=(select extract(year.
Система "видит" больше оперативке че есть в наличии
У меня на компе стояло 2 гига оперативки. В какой-то момент я запустил диспетчер задач ( стоит.
Everest пишет, что "Обнаружено вскрытие корпуса", что это означает?
В программе Everest пишет что ОБНАРУЖЕНО ВСКРЫТИЕ КОРПУСА что это означает.
Как видите ошибся в материнке. Взял не z170. На этом перечеркнул возможность разгона 6600k процессора, а также частота озу 2133MHz вместо 2400 MHz.
Есть ли сейчас смысл менять материнку? Ну, скажем, хотя бы на эту Asus Prime Z270-P? Даст ли это прирост в играх?
Потому что у меня постоянно ощущение, что эта сборка работает не на всю мощь.
Помощь в написании контрольных, курсовых и дипломных работ здесь
БП убил мат. плату?
Здравствуйте. Такая проблема: сначала один комп не включался по нажатию кнопки включения, но после.
Какую мат.плату выбрать
Какая версия данной материнской платы ASUS M5A97 нужна для стабильной работы процессора FX-6300 и.
Нужно заменить мат. плату
Имеется: мат. плата Asus M2N с сокетом AM2, 3 гигабйта памяти ddr2, видеокарта GeForce GT730.
Вывод сигнала на мат. плату
Мат плата H110M-S2V. После включения с кнопки сигнала на монитор нет. POS проходит нормально, все.
DeathBringer, Спасибо, пакет вроде тот.
Вот что пропую из под dos:
fpt -d dump.bin
Пишет найден флеш - девайс. А дальше красным:
Error 26: The host CPU does not have read access to the target flash area. To en
able read access for this operation you must modify the descriptor settings to g
ive host access to this region.
Помощь в написании контрольных, курсовых и дипломных работ здесь Aplikman
Это защита срабатывает. Скорее всего из ME-региона.
Лечится замыканием ног (1 и 5) аудиочипа при включении либо прошивкой программатором. Лечится замыканием ног (1 и 5) аудиочипа при включении либо прошивкой программатором.
Программатора нет. Аудиочип? Попробовать можно.
А почему у меня не получилось прошить через dos и afudos ? То видео, что я скидывал.
Там же залилась 0906, я точно видел версию, проходил пост, прошивка работала. Просто из-за Ez Flash я ничего не мог выбрать. Это что защита или где-то хранится информация, о том, что я понизил прошивку?
Aplikman
Afudos фактически работает только с BIOS-регионом, не трогая ME. Поэтому и шьет.
Я не знаю, может ли Ez Flash прошивать полную прошивку с понижением версии ME. Вероятно, что нет.
Добавлено через 1 минуту
Насчет аудиочипа: нужно закоротить 1 и 5 его ножки скрепкой или пинцетом в выключенном состоянии, включить, дождаться прохождения POST и убрать скрепку. Тогда до перезагрузки должна сняться защита.
DeathBringer, Спасибо, сделал как вы написали.
Чип очень маленький, ножки стоят близко к друг другу. Вдруг кто будет читать, на этой материнке чип перевернут. Поэтому 1 и 5 ножки это сверху справа, т.е. верхняя правая это первая ножка и дальше налево. Закоротил их щупами от тестера. В итоге удачно выполнил команду:
fpt -d dump.bin
Создал бекап текущего биоса.
Далее пытаюсь залить подготовленный 0906 bios (систему не перезагружал):
fpt -f bios_0906.rom
В итоге получаю ошибку
Error 368: Failed to disable write protection for the BIOS space
Так что побороть ее не смог.
ps. Также прочел, что можно понизить прошивку через afudos, при этом изменив системное время на пару дней вперед после выхода прошивки. Попробовал так сделать - не получилось. Ez flash требует указать CAP файл, 0609 не принимает, скормил ему обратно 3805
Вы извлекли его из CAP? Размер равен 16 777 216 байт?- Берем флешку, размер не важен.
- Форматируем ее в FAT32
- Создаем структуру каталогов EFI\Boot
- Скачиваем и распаковываем BOOTX64.EFI
- Кладем его в папку Boot
- Перегружаемся в BIOS, включаем Legacy и отключаем Secure Boot.
- Сохраняемся и загружаемся через флешку
Удостоверяемся, что прочитано значение 0x1. Если так, то выполняем:
setup_var 0x8A7 0x0
В результате значение должно стать 0x0. Это означает, что BIOS Lock отключен.
После этого снова делаете трюк со скрепкой и прошиваете 0906 при помощи FPT.
P.S. 0x8A7 - эта величина достоверно подходит только для текущей 3805 версии BIOS.
Да. Скачал H170-PRO-ASUS-0906.cap , с помощью UEFITool.exe конвертировал в .rom , верно? Да, получилось ровно 16 777 216 байт
Попробую сделать флешку и прошить еще раз как вы написали
DeathBringer,
поставил везде Legacy. Удалил ключи - Security boot state стал Disabled
С флешки загрузился. Применил setup_var 0x8A7 0x0 , потом проверил setup_var 0x8A7, стоит 0x0.
Выключил комп, замкнул контакты. Создал бэкап биоса fpt -d bios.bin, успешно. Пытаюсь прошить fpt -f 0906.rom опять та же ошибка Error 368: Failed to disable write protection for the BIOS space
Добавлено через 13 минут
DeathBringer, вот видимо в чем дело. Слетает setup_var 0x8A7 0x0
Я перепроверил команду setup_var 0x8A7, значение 0x1. Опять ввел setup_var 0x8A7 0x0, снова setup_var 0x8A7 значение 0x0
Перезагружаю систему, ввожу setup_var 0x8A7 значение 0x1 . То есть после перезагрузки системы значение слетает на дефолтный 0х1. Что я не так делаю?
Предлагаю окунуться в дебри микроархитектуры компьютера и разобраться с тем, как работает одна из наиболее распространенных технологий обеспечения аппаратной целостности загрузки BIOS — Intel Boot Guard. В статье освещены предпосылки появления технологии, перечислены все режимы работы, а так же описан алгоритм каждого из них. Обо всем по порядку.
История и предпосылки создания
Процесс загрузки компьютера представляет собой цепочку событий, в которой управление исполнительной аппаратурой передается от звена к звену, начиная с нажатия пользователем кнопки включения и заканчивая работой приложения. Проблема заключается в том, что каждое из этих звеньев может быть взломано злоумышленником. Причем чем более ранний компонент подвергается атаке, тем большую свободу действий получает правонарушитель. Известны случаи атак, при которых злоумышленник заменял BIOS или Boot loader на собственные, уязвимые и, по сути, превращал компьютер в "кирпич" (именно поэтому такой тип атак называется Bricking). В попытках защитить процесс загрузки компьютера были созданы многие программные средства проверки целостностности. Однако любая программа может быть успешно заменена правонарушителем, поэтому на нее невозможно полагаться на сто процентов. Отсюда и возникла необходимость создания более надежной, аппаратной технологии обеспечения целостности загрузки.
В качестве своего варианта обеспечения аппаратной защиты загрузки компьютера Intel в 2013 году встроила в новую микроархитектуру Haswell технологию Boot Guard. В процесс загрузки был добавлен аппаратный модуль аутентифицированного кода (ACM, Authenticated code module), а производителям оборудования пришлось расширить BIOS, добавив в него начальный блок загрузки (IBB, Initial boot block). С тех пор цепочка загрузки компьютера включает в себя ACM, с помощью которого проверяется IBB, после чего управление передается BIOS и так далее.
Схема процесса загрузки компьютера с Intel Boot Guard
Режимы работы
Важной составляющей технологии Boot Guard является настройка ее работы. Производитель оборудования должен выбрать, какой режим работы активирован и какие действия стоит предпринимать в случае ошибки в ACM или IBB. Вся эта информация содержится в политиках загрузки, которые "зашиты" в аппаратуре.
Режимы работы Boot Guard можно классифицировать по корню доверия:
Измеренная загрузка (Measured boot) полагается на дополнительное устройство, встраиваемое производителем оборудования. Одним из возможных вариантов устройства является TPM (Trusted platform module) — криптопроцессор, в который предустановлены генератор случайных чисел, генератор ключей RSA, устройство хеширования и устройство RSA.
Проверенная загрузка (Verified boot) полагается на программируемые предохранители, которые являются частью аппаратуры компьютера. По своей сущности программируемый предохранитель — это ячейка, которая может находиться в двух состояниях: сожжена или не сожжена. Будучи сожженной, ячейка не может вернуться в исходное состояние. Таким образом можно кодировать информацию.
Измеренная загрузка
В памяти криптопроцессора TPM хранится эталон хеша начального блока загрузки (IBB), с помощью которого и производится проверка подлинности IBB. Алгоритм работы Boot Guard в режиме измеренной загрузки следующий:
Начальный блок загрузки записывается в память криптопроцессора TPM
Устройство хеширования криптопроцессора загружает записанный в памяти IBB
Устройство хеширования вычисляет хеш IBB
Хеш IBB записывается в память криптопроцессора
Производится сравнение между текущим хешем IBB и его эталоном
В случае совпадения состема помечается как надежная, иначе — как ненадежная
Проверенная загрузка
Схема работы Boot Guard в режиме измеренной загрузки выглядит несколько сложнее, поскольку помимо начального блока загрузки (IBB) и программируемых предохранителей в нее входят две дополнительные структуры: манифест IBB (IBBM) и манифест ключа. Манифест IBB включает в себя номер версии безопасности, хеш IBB, открытый ключ RSA, подпись RSA номера версии и хеша IBB. Манифест ключа включает в себя номер версии безопасности, хеш открытого ключа RSA манифеста IBB, открытый ключ RSA производителя оборудования, подпись RSA номера версии и хеша открытого ключа RSA манифеста IBB. В программируемых предохранителях записаны хеш открытого ключа RSA производителя и номера версий безопасности манифестов. Все вычисления и сравнения выполняются с помощью модуля аутентифицированного кода (ACM). Алгоритм работы Boot Guard в режиме проверенной загрузки следующий:
В ACM загружаются хеш открытого ключа RSA производителя и номера версий безопасности манифестов из программируемых предохранителей.
Проверяются номера версий безопасности манифестов. Если хотя бы один из номеров оказался меньше, то проверка завершается в соответствии с политиками загрузки. Если хотя бы один из номеров оказался больше, то соответствующее значение будет обновлено в программируемых предохранителях в конце проверки.
Вычисляется хеш открытого ключа RSA производителя и производится сравнение с соответствующим значением из программируемых предохранителей. В случае несовпадения проверка завершается в соответствии с политиками загрузки.
Проверяется подпись RSA в манифесте ключа. В случае несоответствия проверка завершается в соответствии с политиками загрузки.
Вычисляется хеш открытого ключа RSA манифеста IBB и производится сравнение с соответствующим значением из манифеста ключа. В случае несовпадения проверка завершается в соответствии с политиками загрузки.
Проверяется подпись RSA в манифесте IBB. В случае несоответствия проверка завершается в соответствии с политиками загрузки.
Вычисляется хеш IBB и производится сравнение с соответствующим значением из IBBM. В случае несовпадения проверка завершается в соответствии с политиками загрузки.
В случае необходимости номера версий безопасности манифестов обновляются в программируемых предохранителях путем сжигания дополнительного числа предохранителей.
Начальный блок загрузки успешно проверен и ему передается управление.
Заключение
В заключение хотелось бы добавить, что несмотря на всю прелесть и надежность Boot Guard, важно понимать, что настройка этой технологии доверена производителю оборудования. В 2017 году были обнаружены шесть моделей материнских плат, в которых Boot Guard была настроена некорректно и позволяла обойти проверку целостности BIOS. Берегите свои компьютеры и выбирайте надежного производителя оборудования!
При написании статьи была использована литература:
Читайте также: