【亲测免费】 shim：一个强大的第一阶段UEFI引导加载程序

项目介绍

shim 是一个轻量级的EFI应用程序，旨在作为第一阶段的UEFI引导加载程序。它的主要功能是尝试加载并执行另一个应用程序。在Secure Boot启用的情况下，shim 能够验证二进制文件的签名，确保只有经过适当签名的应用程序才能被加载和执行。此外，shim 还提供了一个协议，允许第二阶段的引导加载程序进行类似的二进制验证。

项目技术分析

shim 的核心技术在于其对EFI标准的深入理解和应用。它通过EFI的 LoadImage() 和 StartImage() 调用来尝试加载和执行应用程序。如果这些调用失败（例如，由于Secure Boot启用且二进制文件未经过适当签名），shim 将使用内置的证书对二进制文件进行验证。验证成功后，shim 会重新定位并执行该二进制文件。

此外，shim 还支持TPM（可信平台模块）芯片，能够在加载目标时扩展各种PCR（平台配置寄存器）。这为系统的安全性提供了额外的保障。

项目及技术应用场景

shim 主要应用于需要高安全性的UEFI引导环境中。例如：

• 企业级服务器：在企业环境中，Secure Boot是确保系统安全的重要手段。shim 能够确保只有经过认证的引导加载程序和操作系统才能启动，防止恶意软件的入侵。
• 嵌入式系统：在嵌入式设备中，shim 可以确保设备的固件和操作系统是经过验证的，防止未经授权的固件更新。
• 虚拟化环境：在虚拟化环境中，shim 可以确保虚拟机的引导过程是安全的，防止恶意虚拟机的启动。

项目特点

1. 安全性高：shim 支持Secure Boot，能够验证二进制文件的签名，确保只有经过认证的应用程序才能被加载和执行。
2. 灵活性强：shim 提供了多种构建选项和自定义方式，用户可以根据自己的需求进行配置。
3. 兼容性好：shim 支持TPM芯片，能够在加载目标时扩展各种PCR，为系统的安全性提供额外的保障。
4. 易于使用：用户只需将DER编码的公钥证书放入文件中，并通过简单的构建命令即可使用shim。

总之，shim 是一个功能强大且易于使用的UEFI引导加载程序，适用于各种需要高安全性的场景。无论您是企业用户还是个人开发者，shim 都能为您的系统提供坚实的安全保障。