Отключение ME — какие последствия меня могут ждать?
Привет. Сегодня фана ради отключил Intel ME. До — после. Какие меня могут ожидать последствия, кроме как отсутствие бэкдора?
veyayawet ★
12.09.18 22:13:48 MSK
Привет. Сегодня фана ради отключил Intel ME. До — после. Какие меня могут ожидать последствия, кроме как отсутствие бэкдора?
Придут Мур с Нойсом и банально покарают.
Zhbert ★★★★★
( 12.09.18 22:17:02 MSK )
а откуда эту отключалку брать
Harald ★★★★★
( 12.09.18 22:17:44 MSK )
Ответ на: комментарий от Harald 12.09.18 22:17:44 MSK
Сдампил биос через flastrom, пропатчик https://github.com/corna/me_cleaner и залил назад
veyayawet ★
( 12.09.18 22:18:32 MSK ) автор топика
Ответ на: комментарий от veyayawet 12.09.18 22:18:32 MSK
veyayawet ★
( 12.09.18 22:19:02 MSK ) автор топика
Ответ на: комментарий от Zhbert 12.09.18 22:17:02 MSK
>> Привет. Сегодня фана ради отключил Intel ME. До — после. Какие меня могут ожидать последствия, кроме как отсутствие бэкдора?
> Придут Мур с Нойсом и банально покарают.
Они уже старенькие, у них не стоит
ZenitharChampion ★★★★★
( 12.09.18 22:24:40 MSK )
Ответ на: комментарий от veyayawet 12.09.18 22:18:32 MSK
Но несмотря на «However, obtaining the original firmware and flashing back the modified one is usually not trivial, as the Intel ME firmware region is often non-writable from the OS» в ридми, у меня плата старая, и, как показал опыт, это у меня сработало.
veyayawet ★
( 12.09.18 22:30:11 MSK ) автор топика
Только позавчера дособирал комп на 1151. Поставил 7-ку и не установил с оригинального диска материнки Intel ME и у меня всё работает! И ещё не поставил дрова на чипсет, так как давно было замечено, что система начинает на 15-20% работать медленне и отклик остался как у чистой системы. Повтоорю, всё работает ии видюшка и игры. В чём прикол я до сих пор не могу понять.
Что мне потестить, чтобы увидеть, что что-то не работает(без ME и без дроов на чипсет(H110))?
xwicked ★★☆
( 12.09.18 22:58:14 MSK )
Ответ на: комментарий от xwicked 12.09.18 22:58:14 MSK
и не установил с оригинального диска материнки Intel ME
Это обновления. ME всегда есть. Без него комп через некоторое время перезагружается.
ox55ff ★★★★★
( 12.09.18 23:11:53 MSK )
Ответ на: комментарий от ox55ff 12.09.18 23:11:53 MSK
Какие на диске обновления. Там драйвер интерфейса к ME, службы и утилиты его конфигурации.
boowai ★★★★
( 12.09.18 23:17:23 MSK )
Какие меня могут ожидать последствия
Не сможете удаленно получить доступ к консоли Вашего компьютера, что в ряде ситуаций очень удобно. Впрочем, не знаю, насколько полно Ваша плата поддерживала эту технологию.
Serge10 ★★★★★
( 12.09.18 23:49:39 MSK )
Ответ на: комментарий от veyayawet 12.09.18 22:18:32 MSK
отпуск? отгулы? безработный?
мне бы столько времени для фана.
eR ★★★★★
( 13.09.18 00:06:11 MSK )
Разница в производительности есть?
Korchevatel ★★★★★
( 13.09.18 00:22:42 MSK )
Ответ на: комментарий от xwicked 12.09.18 22:58:14 MSK
и не установил с оригинального диска материнки Intel ME и у меня всё работает!
LOLище! :)) Это драйвер.
Deleted
( 13.09.18 00:35:54 MSK )
Ответ на: комментарий от eR 13.09.18 00:06:11 MSK
На это ушло буквально 30 минут: чтение статей на хабре про МЕ и какое это решето, гуглежку как это отключить, пропатчивание биоса, решение «а нужно ли мне это» и собственно на саму прошивку биоса.
veyayawet ★
( 13.09.18 00:38:53 MSK ) автор топика
Ответ на: комментарий от Korchevatel 13.09.18 00:22:42 MSK
Пока не замечаю. Ребутов нету, система работает будто бы ничего и не поменялось.
veyayawet ★
( 13.09.18 00:39:24 MSK ) автор топика
Ответ на: комментарий от Serge10 12.09.18 23:49:39 MSK
AMT (удаленного управления) вроде как в моей плате нету (ga-b75m-d2v)
veyayawet ★
( 13.09.18 00:41:07 MSK ) автор топика
никаких вообще. ну кроме того что зондом меньше.
alwayslate ★★
( 13.09.18 01:44:42 MSK )
Проверь всякие ждущие/спящие режимы и энергосбережения
TheAnonymous ★★★★★
( 13.09.18 02:44:15 MSK )
спящий/ждущий режим полетит, энергосбережение полетит, вентиляторы начнут неправильно регулироваться(вплоть до остановки). и все все все что бывыет после патчей БИОСа
девелоперы патчей биоса в силу физических возможностей тестируют это на паре материнок
как с coreboot например тыщу лет прошо а там лишь пара 100% рабочих материнок(все что ниже 90% в их таблице лучше даже не пытаться ставить(я тестировал знаю))
биос под каждую материнку имееет свой конфиг от производителя любое изменение-практически равносильно рипу
missxu
( 13.09.18 04:27:50 MSK )
Ответ на: комментарий от veyayawet 13.09.18 00:41:07 MSK
AMT (удаленного управления) вроде как в моей плате нету (ga-b75m-d2v)
от этого защищает любой, даже самый копеешный роутер (тоеть если теоретически найдется дыра дающая контроль над любым ПК в мире-те кто за роутерами не пострадают очевидно)
missxu
( 13.09.18 04:29:45 MSK )
Ответ на: комментарий от missxu 13.09.18 04:27:50 MSK
спящий/ждущий режим полетит, энергосбережение полетит, вентиляторы начнут неправильно регулироваться(вплоть до остановки). и все все все что бывыет после патчей БИОСа
ME за это не отвечает как раз таки.
биос под каждую материнку имееет свой конфиг от производителя любое изменение-практически равносильно рипу
Далеко не любое. К тому-же все современные прошивки для биосов имеют стандартизированную модульную структуру, и даже есть утилиты (как официальные так и не очень) которые позволяют добавлять\удалять модули. Я, например, без каких-либо проблем обновлял модуль UNDI для работы PXE на нескольких материнках ASUS с чипсетом H77. Этот самый модуль стандартный для всех. Проблема потом только в том что-бы залить штатными средствами биос без валидной цифровой подписи (хотя и она решается быстро).
Ну а если дружите с паяльником, то экспериментировать с биосом вообще практически безопасно становится, а программатор делается за 10 минут из копеечной ардуины нано\микро\мини за 100 рублей.
DawnCaster ★★
( 13.09.18 05:40:00 MSK )
Ответ на: комментарий от missxu 13.09.18 04:29:45 MSK
от этого защищает любой, даже самый копеешный роутер
Вот только есть мнение, что малварь сидящая в прошивке ME — может искать и активироваться на определённые паттерны в пакетах. То есть, условно, можно активировать аппаратный бекдор тупо перейдя по ссылке в браузере, присланной вам каким-нибудь ФБР\АНБ\Моссад’ом или другой спецслужбой причастной к данной технологии. Если код биоса и его модулей можно получить хотя-бы в биде бинарников и просто дизассемблировать их — то код Intel ME — наглухо зашифрован (поправьте меня кто-нибудь если я не прав).
Собственно, отсюда и вся паранойя вокруг него — никто точно не знает всего функционала Intel ME. И самый копеечный роутер вас никак не спасет. ВОЗМОЖНО, если на роутере поднять VPN во внутренней локальной сети, который будет подключать вас к NAT’у внешней сети (интернету) — это спасет от срабатывания малвари по какому-нибудь хитрому паттерну в принимаемых данных, т.к они будут зашифрованы для сетевого интерфейса который сканирует прошивка ME. Но такие вещи копеечным роутером не реализовать — производительности не хватит, да и прошивки самих роутеров как правило такого не умеют — нужно будет выбирать модель на которую можно будет установить OpenWRT.
DawnCaster ★★
( 13.09.18 05:50:33 MSK )
Последнее исправление: DawnCaster 13.09.18 05:56:49 MSK (всего исправлений: 2)
Ответ на: комментарий от DawnCaster 13.09.18 05:50:33 MSK
процессор анализирует трафик
missxu
( 13.09.18 06:23:16 MSK )
Ответ на: комментарий от missxu 13.09.18 06:23:16 MSK
Производительности там вполне хватит для поиска простого паттерна во входящих пакетах, т.к в новых чипсетах для работы ME используется x86 совместимый процессор типа Intel quark, встроенный прямо в северный мост.
DawnCaster ★★
( 13.09.18 06:27:22 MSK )
Ответ на: комментарий от missxu 13.09.18 04:27:50 MSK
Это всё было проверено. S3 state (в оперативку) работает. Вентиляторы тоже крутят и регулируются исправно. Пресловутых ребутов каждые 30 минут нету. Видимо у меня тот случай, когда МЕ не был зашит по самые гланды и позволяет зациклить себя без последствий. Вот действительно каких-либо негативных изменений в работе я не вижу.
veyayawet ★
( 13.09.18 09:53:07 MSK ) автор топика
Ответ на: комментарий от missxu 13.09.18 04:27:50 MSK
спящий/ждущий режим полетит, энергосбережение полетит, вентиляторы начнут неправильно регулироваться(вплоть до остановки). и все все все что бывыет после патчей БИОСа
Чушь собачья. ME вообще не для этого.
Deleted
( 13.09.18 11:10:51 MSK )
Если процессор до skylake, то компьютер будет безопаснее. Если skylake и выше, то практически ничего не изменится.
Quasar ★★★★★
( 13.09.18 11:19:58 MSK )
Ответ на: комментарий от missxu 13.09.18 04:29:45 MSK
от этого защищает любой, даже самый копеешный роутер
Что такое компоненты Intel Management Engine и как их отключить
Если на вашем ПК установлен процессор Intel, вполне вероятно, что вы могли столкнуться с «Компонентами Intel Management Engine» при использовании определенного стороннего антивирусного программного обеспечения. Иногда это считается вредоносным ПО, а в других случаях оно потребляет значительные аппаратные ресурсы, которые можно было бы использовать в другом месте.
В этом посте мы собираемся обсудить, что такое Intel Management Engine и его компоненты, а также нужно ли это нашему ПК или нет.
Что такое Intel Management Engine
Intel Management Engine — это встроенный микроконтроллер, который входит в состав некоторых наборов микросхем Intel. Он работает под управлением очень легкой операционной системы на основе микроядра MINIX, которая добавляет собственные функции и поддерживает компьютеры на базе процессоров Intel.
Этот модуль питается от батареи CMOS на материнской плате, поэтому он всегда включен, даже когда многие другие компоненты системы спят, включая блок питания (PSU). Это позволяет ядру отвечать на команды Out Of Box (OOB) с консоли управления ИТ без необходимости пробуждения остальной системы.
Intel Management Engine загружает свой код из системной флэш-памяти во время инициализации системы. В результате Engine может работать раньше основной операционной системы. Intel Management Engine имеет доступ к защищенным частям системной памяти для хранения данных во время выполнения.
Этот движок предоставляет несколько различных функций, таких как мониторинг оборудования Intel, установленного на вашем ПК, отчет об обновлениях или проблемах с дисками, а также другую полезную информацию.
Существует несколько преимуществ Intel Management Engine, например:
- Он не зависит от состояния питания ОС, включая многие другие системные ресурсы.
- Он может отвечать на команды OOB от ИТ-администраторов без необходимости пробуждения других компонентов системы.
- Это позволяет ОС Windows связываться с двигателем напрямую через шину HECI.
- Механизм может определить, когда компьютер украден/утерян, и защитить данные или предотвратить загрузку ОС с помощью своей технологии защиты от кражи.
Тем не менее, этот механизм запускает процессы на вашем компьютере для выполнения своей функции назначения, которую вы можете встретить под названием «Компоненты Intel Management Engine». Они часто занимают значительное место на вашем жестком диске, а также могут занимать другие ресурсы, такие как ОЗУ, процессор и даже графический процессор.
В этом случае вы можете безопасно отключить компоненты Intel Management Engine. Однако, поскольку полностью отключить его невозможно, вы можете отключить его компоненты для экономии ресурсов вашей системы.
Отключить технологию Intel Active Management (AMT) из BIOS
Технология активного управления Intel (AMT) — это функция, которую некоторые устройства (в основном серверы) используют для удаленного управления устройством. Это одна из функций, использующих Intel Management Engine, которая потребляет больше системных ресурсов.
Однако, если вы не используете Intel AMT, вы просто отключите его в BIOS компьютера. Вот как:
- Когда компьютер загружается, войдите в его BIOS, используя назначенную горячую клавишу.
- Здесь ищите Интел АМТ (обычно находится под Передовой раздел) и отключить его.
Примечание: Если вы не найдете опцию, вполне вероятно, что ваш компьютер ее не поддерживает.
После отключения загрузитесь в обычном режиме в операционную систему Windows, а затем снова проверьте, не используют ли компоненты Intel Management Engine ресурсы вашей системы.
Если вы обнаружите, что проблема не устранена или в BIOS отсутствует параметр отключения Intel AMT, вы можете попробовать отключить драйвер интерфейса Intel Management Engine.
Отключить драйвер интерфейса Intel Management Engine
Драйвер интерфейса Intel Management Engine помогает операционной системе взаимодействовать с прошивкой Intel Management Engine. Если вы удалите драйвер, между ними не будет связи.
Тем не менее, мы рекомендуем удалять этот драйвер только в том случае, если вы не используете Intel AMT.
Выполните следующие действия, чтобы отключить драйвер интерфейса Intel Management Engine:
- Откройте диспетчер устройств, введя devmgmt.msc в поле «Выполнить команду».
Откройте диспетчер устройств - Вот, разверните Системные устройства нажав на нее.
Разверните системные устройства - Теперь щелкните правой кнопкой мыши «Интерфейс Intel Management Engine», а затем нажмите Характеристики из контекстного меню.
Откройте свойства интерфейса Intel Management Engine. - Из Характеристики окно, переключитесь на Водитель вкладку и нажмите Отключить устройство. Затем нажмите Хорошо.
Отключить устройство Если появится предупреждение, нажмите Да продолжить отключение.
Отключение драйвера интерфейса не нанесет вреда вашему компьютеру и может быть повторно включено в любой момент времени.
После отключения драйвера интерфейса Intel Management Engine проверьте, потребляют ли компоненты Intel Management Engine значительные системные ресурсы. Если это так, то вы можете попробовать обновить драйвер вместо его отключения.
Установить/обновить драйвер Intel Management Engine
Драйвер Intel Management Engine не является универсальным, и для каждого устройства существует его индивидуальная версия. Поэтому Intel не предоставляет нам этот драйвер для установки. Вместо этого этот драйвер предоставляется производителем компьютера.
Тем не менее, Intel собрала список веб-сайтов поддержки для различных OEM-производителей, откуда вы можете загрузить драйвер Management Engine для своих соответствующих устройств. Вы можете открыть этот список, нажав на следующую ссылку:
Список OEM-производителей Intel
Отсюда откройте веб-сайт «Драйверы и программное обеспечение» производителя вашего ПК, а затем загрузите оттуда последнюю версию «Драйвер Intel Management Engine».
Пример: драйвер Intel Management Engine для Dell
Часто задаваемые вопросы (FAQ)
Безопасно ли отключать Intel Management Engine?
Отключение Intel Management Engine не повредит вашему компьютеру, но лишит вас возможности управлять своим компьютером с помощью команд Out Of Box (OOB) с использованием Intel AMT.
Можно ли отключить Intel Management Engine?
Intel Management Engine разработан таким образом, что пользователи не могут отключить его полностью. Однако его компоненты и связанный с ним интерфейсный драйвер можно отключить, но ME все равно будет работать.
Полезен ли Intel Management Engine?
Целью Intel Management Engine является выполнение определенных действий без полного пробуждения компьютера. Например, ИТ-администраторы могут удаленно запускать OOB-команды, не выводя из спящего режима другие компоненты компьютера. Это также может предотвратить загрузку ОС или заблокировать данные в случае обнаружения кражи или потери компьютера.
Отключение управления Intel AMT — управление состоянием модуля управления Intel AMT
В этой статье содержится информация о том, как отключать управление состоянием модуля управления Intel AMT-Intel.
Сводка: В этой статье содержится информация о том, как отключать управление состоянием модуля управления Intel AMT-Intel.
- Содержание статьи
- Свойства статьи
- Оцените эту статью
Возможно, эта статья была переведена автоматически. Если вы хотите поделиться своим мнением о ее качестве, используйте форму обратной связи в нижней части страницы.
Содержание статьи
Симптомы
Как отключить управление состоянием Intel ME
Обнаружена неисправность, в которой с помощью расширения BIOS Intel AMT – Intel Management Engine (MEBx) запрашивается пароль после выполнения тестирования системы. Если на экране Intel MEBx отображается запрос на ввод пароля Intel MEBx, выполните указанные ниже действия, чтобы отключить управление состоянием Intel ME.
Причина
Разрешение
- Введите пароль администраторапо умолчанию MEBx. Если этот пароль был изменен ранее, введите новый пароль MEBx.
Примечание. Если вам будет предложено изменить пароль, в поле «пароль» будет указано следующее: восемь символов, одна прописная буква, одно число и один специальный символ (*. %).
О подсистеме Intel ME и ее отключении
Начиная с 2006 года на всех материнских платах компьютеров с процессорами Intel устанавливается микроконтроллер подсистемы ME (в современных компьютерах он интегрирован в чипсет).
Его назначение и функционал большинству пользователей непонятны.
Официально Intel® ME — это маленькая, мало потребляющая энергию компьютерная подсистема, которая выполняет различные задачи в спящем режиме, во время запуска компьютера и во время его работы.
Фрагмент вывода команды hwinfo, показывающий информацию о контроллере Intel 200 Series PCH CSME HECI, отвечающем за работу подсистемы Intel ME на компьютере с материнской платой Gigabyte Z370P D3:
31: PCI 16.0: 0780 Communication controller [Created at pci.386] Unique ID: WnlC.+ignOUsuRuB SysFS ID: /devices/pci0000:00/0000:00:16.0 SysFS BusID: 0000:00:16.0 Hardware Class: unknown Device Name: "Onboard - Other" Model: "Intel 200 Series PCH CSME HECI #1" Vendor: pci 0x8086 "Intel Corporation" Device: pci 0xa2ba "200 Series PCH CSME HECI #1" SubVendor: pci 0x1458 "Gigabyte Technology Co., Ltd" SubDevice: pci 0x1c3a Driver: "mei_me" Driver Modules: "mei_me" Memory Range: 0xf7f2d000-0xf7f2dfff (rw,non-prefetchable) IRQ: 137 (39 events) Module Alias: "pci:v00008086d0000A2BAsv00001458sd00001C3Abc07sc80i00" Driver Info #0: Driver Status: mei_me is active Driver Activation Cmd: "modprobe mei_me" Config Status: cfg=new, avail=yes, need=no, active=unknown
Что такое и зачем нужна подсистема Intel ME?
Модуль Intel ME изначально назывался Intel Manageability Engine, затем — Intel Management Engine, а также Converged Security and Manageability Engine (CSME) или сокращенно Converged Security Engine (CSE).
В ноутбуках и embedded-компьютерах эта система называется Trusted Execution Engine (TXE), а на серверах — Server Platform Services (SpS).
Первая версия (ME 1.0) появилась в 2005 году, вторая (встроенная в северный мост) — в 2006-м. В 2007-м году были созданы ME 3.0 для desktop-ов и ME 4.0 — для мобильных устройств. Очередные релизы Intel ME затем стали регулярно обновляться, например:
- в 2009 году вышла версия AMT/ME 6.0 (превая PCH платформа), а также ME Gen 2 (для ARC600 CPU), добавлена поддержка KVM (на основе протокола VNC);
- в 2011-м — появилось обновление ME 7.1 DAL (Dynamic Application Loader) для IPT/OTP;
- в 2014 году вышел ME 10.0;
- в 2015 — ME 11.0.
Программная часть кода Intel ME прописана в BIOS материнской платы:
Intel ME имеет собственную маленькую память (SRAM), потребляет очень мало энергии. Подсистема способна читать данные на PC без ведома пользователя (шпионить за ним) и в некоторых случаях даже может дистанционно отключать компьютер. Фактически, Intel ME — это шпионский backdoor.
Intel ME firmware активна, даже если компьютер находится в дежурном режиме (состояние sleeping/hibernating).
Intel Management Engine может читать/писать данные RAM с помощью функционала DMA, а также используется для:
- менеджмента служб Low-power, out-of-band (OOB);
- управления службой Capability Licensing Service (CLS)
- реализации функционала Anti-Theft Protection и Protected Audio Video Path (PAVP);
- может осуществлять доступ и контроль функций AMT/vPro, TPM (Trusted Platform Module), QST (fan control), ICC (Integrated Clock Control), DAL (IPT/OTP), SWC (Silicon Workaround Capability).
В современных компьютерах для питания подсистемы Intel ME, используется отдельная линия. Таким образом, работа Intel® Management Engine не зависит от операционной системы компьютера, функционируя независимо от ядра.
Когда компьютер работает (состояние процессора S0/M0), подсистема Intel ME работает следующим образом:
Когда компьютер находится в дежурном режиме (состояние CPU S3/M1), подсистема Intel ME продолжает ограниченно работать:
Лишь когда, компьютер обесточен, подсистема Intel ME отдыхает (находится в состоянии S3/M-off):
Так как обычному пользователю функционал Intel ME не нужен, сторонники теории заговора предполагают, что эта подсистема создана и работает в интересах американского Агентства национальной безопасности. Правда это или нет, каждый может судить сам…
Как отключить Intel Manageability Engine?
Функционал современной Intel ME невозможно полностью отключить, так как в противном случае компьютер перестанет работать.
Зато можно отключить большинство ненужных пользователю функций это подсистемы, отредактировав BIOS, попутно увеличив быстродействие и надежность работы компьютера.
На компьютерах, использующих Intel ME 6.0 (модели, выпускавшиеся до 2008-2009 годов) включительно, ее можно полностью отключить.
Более современные версии Intel ME используются для инициализации оборудования и power-менеджмента, поэтому на них полностью отключить эту подсистему нельзя.
Функционал Intel ME компьютеров под управлением Linux можно максимально ограничить с помощью открытого программного обеспечения coreboot.
На любом компьютере можно прошить очищенную от Intel Meпрошивку, которую можно сделать с помощью утилиты me_cleaner.
me_cleaner – это программа написанная Nicola Corna на Python, которая может частично отключить функционал ME для компьютеров с процессорами Intel, начиная с архитектуры Nehalem и новее.
После модификации уменьшается реальный размер BIOS, что значительно сокращает время загрузки компьютера, а также улучшает стабильность его работы.
Для использования me_cleaner используется оригинальный файл BIOS (original_dump.bin), который модифицируется командой
python me_cleaner.py -S -O modified_image.bin original_dump.bin
Модифицированный файл (modified_image.bin) нужно записать на микросхему SPI-флеш BIOS вместо родного BIOS, либо штатной утилитой, либо с помощью программатора.
Для устранения возможных проблем перед прошивкой обязательно нужно сохранить в безопасное место ориганальную версию BIOS.
Отключение функционала Intel ME на примере материнской платы Gigabyte Z370P D3
На плате Gigabyte Z370P D3 можно модифицировать прошивку BIOS и без программатора, с помощью одной из утилит со страницы HowToReflashBIOS.
Автором использовалась оригинальная версия bios, скачанная с сайта производителя и утилита Q-Flash, встроенная в BIOS.
Для очищения BIOS от функционала Intel ME:
- скачиваем оригинальный BIOS с сайта производителя:
- распаковываем архив, копируем оригинал BIOS и и модифицируем его скриптом me_cleaner:
python me_cleaner.py -S -O Z370PD3_mod.bin Z370PD3.F15
- получаем вывод с сообщением об успехе (в конце: Checking the FTPR RSA signature… VALID
Done! Good luck!): Full image detected The ME/TXE region goes from 0x3000 to 0x200000 Found FPT header at 0x3010 Found 11 partition(s) Found FTPR header: FTPR partition spans from 0x1000 to 0xa8000 Found FTPR manifest at 0x1448 ME/TXE firmware version 11.8.81.3807 Public key match: Intel ME, firmware versions 11.x.x.x The HAP bit is NOT SET Reading partitions list. FTPR (0x00001000 - 0x0000a8000, 0x000a7000 total bytes): NOT removed FTUP (0x00110000 - 0x0001bc000, 0x000ac000 total bytes): removed DLMP ( no data here , 0x00000000 total bytes): nothing to remove PSVN (0x00000e00 - 0x000001000, 0x00000200 total bytes): removed IVBP (0x0010c000 - 0x000110000, 0x00004000 total bytes): removed MFS (0x000a8000 - 0x00010c000, 0x00064000 total bytes): removed NFTP (0x00110000 - 0x0001bc000, 0x000ac000 total bytes): removed ROMB ( no data here , 0x00000000 total bytes): nothing to remove FLOG (0x001bc000 - 0x0001bd000, 0x00001000 total bytes): removed UTOK (0x001bd000 - 0x0001bf000, 0x00002000 total bytes): removed ISHC ( no data here , 0x00000000 total bytes): nothing to remove Removing partition entries in FPT. Removing EFFS presence flag. Correcting checksum (0x54). Reading FTPR modules list. FTPR.man (uncompressed, 0x001448 - 0x002000): NOT removed, partition manif. rbe.met (uncompressed, 0x002000 - 0x002096): NOT removed, module metadata kernel.met (uncompressed, 0x002096 - 0x002124): NOT removed, module metadata syslib.met (uncompressed, 0x002124 - 0x002188): NOT removed, module metadata bup.met (uncompressed, 0x002188 - 0x00274a): NOT removed, module metadata pm.met (uncompressed, 0x00274a - 0x0027f8): NOT removed, module metadata vfs.met (uncompressed, 0x0027f8 - 0x003124): NOT removed, module metadata evtdisp.met (uncompressed, 0x003124 - 0x0032b2): NOT removed, module metadata loadmgr.met (uncompressed, 0x0032b2 - 0x0033da): NOT removed, module metadata busdrv.met (uncompressed, 0x0033da - 0x00375e): NOT removed, module metadata gpio.met (uncompressed, 0x00375e - 0x0038a8): NOT removed, module metadata prtc.met (uncompressed, 0x0038a8 - 0x003a58): NOT removed, module metadata policy.met (uncompressed, 0x003a58 - 0x003c18): NOT removed, module metadata crypto.met (uncompressed, 0x003c18 - 0x003da2): NOT removed, module metadata heci.met (uncompressed, 0x003da2 - 0x003f6e): NOT removed, module metadata storage.met (uncompressed, 0x003f6e - 0x00426a): NOT removed, module metadata pmdrv.met (uncompressed, 0x00426a - 0x00438e): NOT removed, module metadata maestro.met (uncompressed, 0x00438e - 0x004478): NOT removed, module metadata fpf.met (uncompressed, 0x004478 - 0x004590): NOT removed, module metadata hci.met (uncompressed, 0x004590 - 0x004692): NOT removed, module metadata fwupdate.met (uncompressed, 0x004692 - 0x00479a): NOT removed, module metadata ptt.met (uncompressed, 0x00479a - 0x0048a6): NOT removed, module metadata touch_fw.met (uncompressed, 0x0048a6 - 0x0049c0): NOT removed, module metadata rbe (Huffman , 0x0049c0 - 0x007240): NOT removed, essential kernel (Huffman , 0x007240 - 0x017280): NOT removed, essential syslib (Huffman , 0x017280 - 0x0285c0): NOT removed, essential bup (Huffman , 0x0285c0 - 0x053040): NOT removed, essential pm (LZMA/uncomp., 0x053040 - 0x055300): removed vfs (LZMA/uncomp., 0x055300 - 0x05d600): removed evtdisp (LZMA/uncomp., 0x05d600 - 0x05efc0): removed loadmgr (LZMA/uncomp., 0x05efc0 - 0x061e40): removed busdrv (LZMA/uncomp., 0x061e40 - 0x0636c0): removed gpio (LZMA/uncomp., 0x0636c0 - 0x0647c0): removed prtc (LZMA/uncomp., 0x0647c0 - 0x065340): removed policy (LZMA/uncomp., 0x065340 - 0x06a080): removed crypto (LZMA/uncomp., 0x06a080 - 0x077d40): removed heci (LZMA/uncomp., 0x077d40 - 0x07bc00): removed storage (LZMA/uncomp., 0x07bc00 - 0x080040): removed pmdrv (LZMA/uncomp., 0x080040 - 0x0811c0): removed maestro (LZMA/uncomp., 0x0811c0 - 0x082f40): removed fpf (LZMA/uncomp., 0x082f40 - 0x084900): removed hci (LZMA/uncomp., 0x084900 - 0x085180): removed fwupdate (LZMA/uncomp., 0x085180 - 0x089e80): removed ptt (LZMA/uncomp., 0x089e80 - 0x09f6c0): removed touch_fw (LZMA/uncomp., 0x09f6c0 - 0x0a8000): removed The ME minimum size should be 360448 bytes (0x58000 bytes) The ME region can be reduced up to: 00003000:0005afff me Setting the HAP bit in PCHSTRP0 to disable Intel ME. Checking the FTPR RSA signature. VALID Done! Good luck!
Каталог со скриптом me_cleaner.py и файлами bios:
Как видно из примера, me_cleaner удалил из BIOS материнской платы Gigabyte Z370P D3 восемнадцать (!) модулей: pm, vfs, evtdisp, loadmgr, busdrv, gpio, prtc, policy, crypto, heci, storage, pmdrv, maestro, fpf, hci, fwupdate, ptt и touch_fw.
- прошиваем модифицированный Bios (файл Z370PD3_mod.bin) любым удобным способом, например, штатной утилитой Q-Flash (для этого нужно сохранить файл BIOS на флешку);
При прошивке модифицированного BIOS на материнскую плату Gigabyte Z370P D3 утилита Q-Flash показывает разницу прошиваемого файла (версия Fast) с оригиналом (Intact):
- наслаждаемся работой компьютера без шпионского модуля Intel ME.
После прошивки модифицированого BIOS компьютер стал работать ощутимо быстрее, загрузка памяти также уменьшилась.
Hwinfo теперь не видит шпионского устройства PCI 16.0: 0780 Communication controller. Потребление процессора хоть и незначительно, но снизилось, что положительно сказалось на его температуре при майнинге.
P.S. В ubuntu 22.04 предустановлен python3, поэтому команда для модификации BIOS выглядит так:
python3 me_cleaner.py -S -O modified_image.bin original_dump.bin