4.1.2 镜像完整性校验

文档摘要

4.1.2 镜像完整性校验 4.1.2 镜像完整性校验：从PE/COFF签名解析到信任链落地的全栈实践你有没有想过，当一台服务器在凌晨三点自动重启后，BIOS刚完成内存自检、CPU刚释放复位引脚、UEFI固件尚未加载任何驱动——就在那不到500微秒的“信任真空期”，是谁在默默守护着那第一行指令不被篡改？不是杀毒软件，不是EDR代理，甚至不是内核模块。是那段嵌入在SPI Flash芯片里、用SHA-256哈希值硬编码进ROM的公钥，是它，在CPU还听不懂C语言时，就已开始逐字节比对固件镜像的数字签名。这就是镜像完整性校验的真实战场：它不发生在用户空间，不在ring 3，甚至不在ring 0；它发生在ring -2——那个连中断向量表都尚未初始化的原始物理地址空间。