Windows进行UEFI启动过程

最近在看Windows的UEFI启动过程中发现相关资料较少，且外文资料多为机翻，本帖总结的同时进行了校对，部分译名可能不通用，如有错误，望大佬轻喷。

1.概述

1)UEFI 固件执行UEFI平台初始化，执行CPU和芯片组初始化，并加载UEFI引导驱动程序。
2)UEFI引导管理器枚举外部总线，如PCI总线上的设备，加载UEFI设备驱动程序，然后加载Windows引导应用程序。
3)Windows 引导管理器(bootmgfw.efi) 加载Windows引导加载程序。
4)Windows 引导加载程序(winload.efi) 加载 Windows 操作系统。
如图：

2.讨论UEFI与Windows之间的过渡关系

1.EFI分区

操作系统加载程序由存储在EFI系统分区中的几个文件组成，包括bootmgfw.efi和 winload.efi模块。第一个称为Windows引导管理器，第二个称为Windows引导加载程序。

(EFI分区)
这些程序的位置也由NVRAM变量（类似于ROM）指定。而包含EFI分区的驱动器的UEFI路径存储在引导顺序NVRAM变量BOOT_ORDER中，EFI分区文件系统中的路径存储在另一个变量BOOT 中(通常在\EFIMicrosoft\BOOT\中)

2.UEFI如何访问Windows

UEFI引导管理器会依据上文的NVRAM变量来查找EFI分区，进而查找到bootmgfw.efi（Windows引导管理器）。然后UEFI引导管理器将其加载到内存。bootmgfw.efi加载后，跳转到bootmgfw.efi的入口点EfiEntry。这是Windows引导过程的开始。
EfiEntry的定义原型：

EfiEntry 的第一个参数指向 bootmgfw.efi模块，负责继续引导过程并在后面调用winload.efi。第二个参数包含指向UEFI配置表(EFI_SYSTEM_TABLE)的指针，它是访问大部分EFI数据的关键。

3.从EfiEntry到BmMain

EfiEntry的反汇编结果：

EfiInitCreateInputParametersEx：
该函数将EfiEntry参数转换为bootmgfw.efi所需要的格式，同时在这个函数中的 EfiInitpCreateApplicationEntry函数会在引导配置数据(BCD)中为bootmgfw.efi创建一个条目。在下文中会介绍。
在 EfInitCreateInputParametersEx返回后，BmMain(在图中突出显示)开始执行。

4.BmMain做了什么

调用BmFwInitializeBootDirectoryPath用于初始化引导程序路径(\EFI\Microsoft\Boot)。
调用BmOpenDataStore用于通过UEFI服务(磁盘I/O)挂载和读取BCD数据库文件(\EFI\Microsoft\Boot\BCD)。
调用BmpLaunchBootEntry和ImgArchEfiStartBootApplication用于执行引导程序（从winload.efi开始）
可以通过bcdedit和IDA验证：

注意：分页在这时才由bootmgw.efi开启

总调用流程

在bootmgfw.efi最后阶段，BmpLaunchBootEntry将加载并执行winload.efi。
BmpLaunchBootEntry函数之前的控制流根据之前提到的BCD存储的值选择正确的引导条目。如果启用了BitLocker，那么引导管理器在将控制转移到引导加载程序之前对系统分区进行解密。

BmpLaunchBootEntry函数接着执行BmpTransferExecution检查引导选项ImgArchEfiStartBootApplication函数负责初始化winload.efi的受保护内存模式。在此之后，Archpx64TransferTo64BitApplicationAsm执行，该函数完成启动winload.efi的准备工作。

5.winload.efi与OslMain函数

winload.efi执行以下操作:
1.如果操作系统在调试模式下引导(包括管理程序的调试模式)，则初始化内核调试器。
2.将UEFI引导服务封装到HAL抽象中，以供内核稍后使用调用。
3.检查 CPU的 Hyper-V特性，如果支持，就设置它们。
4.在内核本身和Windows组件上运行完整性检查，然后将控制权转移到内核。
winload.efi从OslMain开始执行

6.OslMain分析

执行OslBuildKernelMemoryMap：配置内核内存。接下来，通过调用OslFwpKernelSetupPhase1函数来加载内核。
OslFwpKernelSetupPhase1函数调用EfiGetMemoryMap函数来获取之前配置的 EFI_BOOT_SERVICE结构的指针，然后将其存储在一个全局变量中，以便通过HAL进行之后的操作。
之后，OslFwpKernelSetupPhase1调用EFI函数ExitBootServices。这个函数通知操作系统它将得到完全的控制。
最后，通过OslArchTransferToKernel到达操作系统内核(ntoskrnl.exe)。

OslArchTransferToKernel函数：

3.总结

Windows启动过程极为复杂，本贴只为概述，欢迎批评指正

参考

深入解析Windows操作系统---人民邮电出版社
Rootkits and Bootkits: Reversing Mordern Malare and Next Generation Threats------No Starch Press
Intel® 64 and IA-32 Architectures Software Developer Manuals
EDK2:050K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6@1K9h3q4F1L8$3y4G2M7X3g2Q4x3V1k6W2k6r3D9J5
GRUB2:1fcK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2Y4L8Y4g2Q4x3X3g2G2M7X3N6Q4x3V1k6K6L8$3k6@1N6$3q4J5k6g2)9J5c8X3N6J5N6h3u0Q4x3V1k6Y4M7Y4g2T1i4K6u0V1k6r3g2$3k6h3I4G2M7r3#2W2L8Y4c8Q4x3X3g2Z5N6r3#2D9
其余帮助文献，在此一并感谢！

[培训]科锐逆向工程师培训第53期2025年7月8日开班！