Обновление me code процессора intel. Обновление CPU microcode в AMI BIOS, или пример работы с MMTool. Сведения об этом обновлении
Здравствуйте дорогие друзья, с вами Артём.
Ещё в январе этого года появились сообщения о новых аппаратных уязвимостях в процессорах Intel и AMD.
Не так давно вышли обновления микрокода для процессоров Intel (ревизия 84), и я решил проверить как же обстоят дела на практике.
Хотя информация уже всем давно известна, я всё-таки расскажу короткую предысторию.
Аппаратные уязвимости процессоров получили названия Meltdown и Spectre, а выявили их исследователи из группы Google Project Zero.
Spectre имеет два варианта атаки под кодовыми именами CVE-2017-5753 и CVE-2017-5715.
Meltdown имеет один вариант атаки под кодовым именем CVE-2017-5754.
P . S . CVE это сокращение от английского «Common Vulnerabilities and Exposures » – база данных общеизвестных уязвимостей информационной безопасности.
Видя эти обозначения к описаниям патчев, вы сразу же поймёте, что к чему и для чего.
Причём легче всего на практике эксплуатировать именно Meltdown, которому подвержены все современные процессоры Intel.
Для того, чтобы избавиться от Meltdown требуется обновить микрокод процессора или пропатчить ядро операционной системы.
Spectre же более сложно воплотить в реальность, однако для устранения уязвимости требуется в отдельности латать каждую используемую вами программу.
Чипы от AMD в меньшей степени подвержены уязвимости типа Meltdown (хотя изначально утверждалось, что не подвержены вовсе).
Вредоносный код этого типа работает на них крайне медленно, но всё же работает.
Уязвимости типа Spectre подвержены процессоры и AMD, и Intel, тут уже без вариантов.
Этим же уязвимостям подвержены и процессоры с ARM архитектурой, однако сейчас речь пойдёт только о компьютерах с процессорами семейства x86-64.
P . S . Исследования в области безопасности никогда не останавливаются и всегда может появится что то ещё, в том числе и в процессорах AMD и Intel.
Важное замечание! Пока видео было в монтаже и писался тактовый материал на сайт, появились новые исследования в области безопасности процессоров.
Выявились новые варианты реализации уязвимости Spectre, которые получили кодовые имена CVE-2018-3640 (так называемый вариант атаки 3a) и CVE-2018-3639 (вариант атаки 4).
Напомню, что Spectre исправляется обновлением используемого программного обеспечения, например браузеров и так далее.
Однако от последнего варианта атаки CVE-2018-3639 потребуется ещё и обновить микрокод процессора на чипах Intel, что возможно несколько снизит производительность.
В AMD утверждают, что, чипам компании не потребуется новый микрокод от указанных атак, и всё обойдётся обычными патчами Windows и другого софта.
Указанные уязвимости имеют низкий приоритет опасности для обычных домашних компьютеров.
Так как новых обновлений пока нет, я сосредоточусь на изначальной теме своего видео.
Речь пойдёт о микрокоде процессоров Intel, но микрокод пока что другой и не исправляет вариант атаки Spectre 4.
Если вы используете операционные системы семейства Windows, то вам будут полезны эти ссылки:
Тут вы сможете найти все актуальные патчи (и их имена), которые исправляют уязвимости этой группы.
Например самая первая заплатка для Windows 10 вышла 3 Января 2018 года под именем KB4056892 .
Однако существовала проблема в том, что программные исправления Meltdown снижали производительность систем на базе процессоров Intel.
У меня как-то все не было свободного времени провести свои небольшие тесты.
Однако теперь с выходом новых версий прошивок для материнских плат мне стало интересно как же обстоят дела в этой сфере.
Я использую материнскую плату ASRock Z370 Gaming K6 и соответственно обращаюсь к официальному сайту производителя, для скачивания свежего BIOS.
Обновлённый микрокод для процессоров Intel появился в BIOS версии 1.60, которая вышла в 2 марта 2018 года.
Я же буду ставить ещё более свежую версию BIOS версии 1.80, которая увидела свет 26 марта 2018 года.
Для начала мне интересно протестировать исправления, касающиеся микрокода процессора, без дополнительных программных заплаток.
В качестве операционной системы используется Windows 10 версии 16299.371 без дополнительных установленных патчей от аппаратных уязвимостей Meltdown и Spectre.
P . S . Все сделанные выводы будут касаться только новых процессоров Intel, потому как для старых материнских плат новые версии BIOS вряд ли появятся.
Если вам будет интересно, то можно сделать тесты с программными заплатками и на более старых процессорах Intel.
Полная конфигурация моего компьютера:
Процессор : Intel Core i5 8600K.
Кулер процессора : Arctic Cooling Liquid Freezer 240.
Материнская плата : ASRock Fatal1ty Z370 Gaming K6.
Оперативная память : GoodRam Iridium DDR4 2400 МГц (2×8 Гб IR-2400D464L15S/8G).
Видеокарта : Asus Dual GTX 1060 6 Гб (DUAL-GTX1060-O6G).
Накопители : Sata-3 SSD Plextor M5S и Sata-3 HDD Seagate 1 Тб (ST1000DM003).
Корпус : Fractal Design Define R5.
Блок питания : Fractal Design Edison M 750 Ватт.
Первый тест - это производительность кешей центрального процессора и оперативной памяти в Aida 64 Cache & Memory Benchmark .
Как вы видите, каких-то существенных отличий в работе подсистемы оперативной памяти и кешей процессора нет.
Следующий тест коснётся работы дисковой подсистемы.
К сожалению, у меня нет скоростного M.2 SSD накопителя, поэтому тестировать я буду свой Plextor M5S на обычном SATA-3.
В итоге в тесте ATTO Disk Benchmark получаются практически идентичные результаты.
То же касается и показателей в тесте CrystalDiskMark 5.2.1.
Тест производительности в CrystalDiskMark и новый микрокод процессора Intel. Spectre и Meltdown
По крайней мере для SATA-3 падение производительности при операциях чтения и записи не наблюдается.
Следующий тест 7zip, который покажет производительность при упаковке и распаковке архивов.
Тут наблюдается всё таже картина, разницы в производительности при установке нового исправленного BIOS нет никакой.
Так как я создаю контент, то я не мог оставить в стороне монтаж видео роликов.
В качестве монтажной программы я использую Vegas Pro 13 и вне зависимости от используемой версии BIOS, время рендера не изменилось.
Исходники видео имеют разрешение 1080p, битрейт 50 Мегабит/c и с частотой 50 кадров в секунду.
В качестве профиля для рендера был выбран Sony AVC/MVC с битрейтом в 16 Мегабит/c, все остальные настройки профиля вы видите на своих экранах.
Теперь немного поговорим об играх.
В тестах принимали участие те проекты, которые были у меня установлены на компьютере в данный момент времени (Assassin’s Creed Origins, FarCry 4 и Crysis 3).
Все показатели кадров снимались при помощи программы MSI Afterburner 4.4.2.
В общем и целом, результаты не нуждаются в комментировании.
Тесты производительности в играх Assassin’s Creed Origins. Spectre и Meltdown
Если использовать новую версию процессорного микрокода за ревизией 84, то разницу в производительности невозможно заметить – всё работает также быстро и шустро.
Единственно интересно было бы посмотреть на работу M.2 SSD накопителей с интерфейсом NVMe.
Возможно, в будущем я проведу ещё ряд тестов с программными заплатками для Windows 10 и с одновременно установленным исправленном микрокодом центрального процессора.
Я надеюсь, что вам было интересно. Если так, то поделитесь моей заметкой в социальных сетях с вашими друзьями.
Таким образом таких заметок будет выходить куда больше:)
Также не забывайте вступать в группу Вконтакте и подписываться на YouTube канал.
Приобретённый на Алиэкспрессе в материнскую плату Intel DG965SS (с разъёмом LGA775). Можно конечно и самому переделать LGA771 в LGA775, но при цене в $6,5 долларов за процессор гораздо проще взять его и китайцев.
При использовании Intel Xeon 5320 операционная система Windows 10 заработала только при выключении в БИОСе режима "Core multiplexing" (в отличии от прекрасно работающей Ubuntu 17.10). При этом процессор работал только в однопоточном режиме, так что, согласно тесту CPU-Z, производительность в многопоточном режиме оказалась в 2 раза ниже, чем у Intel Core 2 duo E6300, на замену которому и покупался Xeon.
Оказалось, что микрокоды процессора должны быть обновлены. Можно сделать это и в программном режиме, причём в Ubuntu операция на голову проще, чем в Windows 10. Да и в последней нужно позаботиться о том, чтобы микрокоды обновлялись при каждой загрузке. Также есть возможность обновить микрокоды и в БИОСе, по крайней мере в некоторых BIOS от AWARD, AMI, Phoenix, особенно в версиях до UEFI.
Инструкций для материнских плат Intel намного меньше. И не удивительно. С Intel DG965SS пришлось очень прилично повозиться.
Перед обновлением микрокодов нужно установить процессор, поддержку которого мы хотим обеспечить. Если потребуется установить другой процессор, то процедуру придётся повторить.
Некоторые инструкции предлагают создать загрузочную дискету, т.к. не все компьютеры позволяют загружаться в флешки. Я сделал загрузочную флешку с FreeDOS при помощи бесплатного приложения с открытым исходным кодом Rufus (для этого нужно отметить галочкой "Create a bootable disk using" и выбрать из списка пункт "FreeDOS").
С начала января сложно было пропустить новости, касающиеся аппаратных уязвимостей Spectre и Meltdown — настолько серьёзной и всеобъемлющей оказалась тема. Хотя производители знали об этих проблемах ещё с лета прошлого года, большинство, похоже, начало реагировать лишь после обнародования подробностей специалистами команды Google Project Zero.
Например, Intel ещё в январе помимо прочих заплаток выпустила обновления микрокода против Spectre для своих процессоров Broadwell, Haswell, Skylake, Kaby Lake и Coffee Lake. Но почти сразу выяснилось, что они приводят к сбоям и . Вначале Intel заявила, что проблема касается только чипов Broadwell и Haswell, но позже признала существование сбоев на компьютерах с процессорами Skylake, Kaby Lake и Coffee Lake и партнёрам и пользователям пока воздержаться от установки заплаток. Наконец, в начале февраля исправленный вариант микрокода, но только для мобильных и настольных потребительских чипов семейства Skylake.
Теперь, после месяца интенсивных тестов и обкатки заплаток Intel и её партнёрами, пришло время и других более или менее актуальных процессоров: были выпущены обновления микрокода для чипов на базе архитектур Kaby Lake и Coffee Lake, а также незатронутых предыдущим обновлением Skylake-базированных платформ. Речь идёт о процессорах 6, 7 и 8-го поколений Intel Core i, а также последних семейств Core X, Xeon Scalable и Xeon D.
Новый вариант микрокода будет доступен в большинстве случаев через выпуск OEM-производителями новых прошивок материнских плат и ноутбуков. Intel по-прежнему призвала людей постоянно обновлять свои системы до актуальных версий, а также опубликовала документ , в котором расписала состояние аналогичных исправлений микрокода для других своих продуктов, в том числе более ранних чипов, начиная с 45-нм Core 2. Для каких-то из этих чипов заплатки только планируются, для других — находятся в состоянии раннего тестирования, для третьих — существуют уже в виде бета-версии. Как правило, чем старее архитектура, тем позже она получит прошивки с защитой против Spectre. Тем не менее, обновления микрокода для более-менее актуальных архитектур Sandy Bridge, Ivy Bridge, Haswell и Broadwell уже находятся в состоянии бета-тестирования. Также ряд чипов Atom и даже ускорители Xeon Phi уже получили заплатки.
Intel напомнила, что существуют и другие методы борьбы против вскрытых уязвимостей блока предсказания ветвлений в современных процессорах. Например, Retpoline, разработанный Google против Spectre CVE-2017-5715 (branch target injection или целевое внедрение в ветвь). Для тех, кто интересуется дополнительной информацией о Retpoline и принципах его работы, компания опубликовала особый технический доклад .
Выпущенные Intel обновления микрокода против Spectre в ближайшие дни и недели начнут выходить в виде свежих прошивок BIOS для различных материнских плат. Любопытно, окажут ли они дополнительный эффект на деградацию производительности конечных систем?
Собственно, оригинальный способ, оснастку и микрокоды можно найти (непосредственно инструкция по AMI ), и в большинстве случаев использование этого способа не несет никаких проблем и не имеет подводных камней, но я в своей практике регулярно сталкивался с такой проблемой:
Т.е. имела место банальная нехватка свободного места внутри образа. Когда модифицируешь BIOS для себя под конкретный процессор, на это можно не обращать внимания, т.к. всегда можно загрузить всего один микрокод именно под свой процессор, либо удалить какой-нибудь старый микрокод для освобождения места, но когда модифицируешь потоком, нужно искать другое решение, компромиссное.
В качестве компромисного я выбрал следующее решение — берем последние версии микрокодов для всех процессоров поколения CORE во всех конструктивах (Celeron E, Pentium E, Core 2 Duo, Core 2 Quad, Xeon *3xxx/*5xxx) и подменяем ими всё что было до того. Набор микрокодов получился следующий:
Объём этого набора — всего 76 килобайт. Данный файл получился путём объединения этих файлов:
cpu00010676_plat00000001_ver0000060f_date20100929.bin
cpu00010676_plat00000004_ver0000060f_date20100929.bin
cpu00010676_plat00000010_ver0000060f_date20100929.bin
cpu00010676_plat00000040_ver0000060f_date20100929.bin
cpu00010677_plat00000010_ver0000070a_date20100929.bin
cpu0001067a_plat00000011_ver00000a0b_date20100928.bin
cpu0001067a_plat00000044_ver00000a0b_date20100928.bin
cpu000006f2_plat00000001_ver0000005d_date20101002.bin
cpu000006f6_plat00000001_ver000000d0_date20100930.bin
cpu000006f6_plat00000004_ver000000d2_date20101001.bin
cpu000006f7_plat00000010_ver0000006a_date20101002.bin
cpu000006f7_plat00000040_ver0000006b_date20101002.bin
cpu000006fb_plat00000001_ver000000ba_date20101003.bin
cpu000006fb_plat00000004_ver000000bc_date20101003.bin
cpu000006fb_plat00000010_ver000000ba_date20101003.bin
cpu000006fb_plat00000040_ver000000bc_date20101003.bin
cpu000006fd_plat00000001_ver000000a4_date20101002.bin
Сама процедура модификации тоже немного изменилась и стала если не проще, то быстрее:
Шаг 1
— открываем образ BIOS в программе MMTool:
Шаг 2
— для проверки переходим на последнюю вкладку (CPU PATCH) и смотрим количество микрокодов. Здесь их к примеру 31 штука:
Шаг 3
— переходим на вкладку Replace и ищем на ней пункт «P6 Micro Code»:
Шаг 4
— выбрав пункт «P6 Micro Code» жмём кнопку Икщцыу, выбираем файл ncpucode.bin, описанный выше и заменяем его кнопкой Replace:
Шаг 5
— для проверки переходим на последнюю вкладку (CPU PATCH) и смотрим количество микрокодов. После подмены микрокодов осталось 17, версия самая последняя:
Фундаментальной разницы с порядком модификации, описанным на delidded.com нет. В большинстве случаев на выходе получается конечно не то же самое, но процессор получает нужный микрокод. Из субъективных положительных моментов я хотел бы обратить внимание лишь на то, что гарантированно обновляются микрокоды на все актуальные процессоры, будь то «гражданские» или «серверные», а так же практически нет риска получить сообщение о нехватке места. Хотя, в моей практике даже на такой набор микрокодов пару раз места не хватало, это было с BIOS для плат ECS P4M900T-M и ECS P4M900T-M2, которые в общем совместимы с Xeon E5450.
По традиции публикую ссылку на архив с инструментами — (zip, 234KB). Архив содержит исполняемый файл MMTOL.exe (версия 3.22 BKMOD), файл с микрокодами на все 45/65nm процессоры поколения core/xeon ncpucode.bin , а так же два файла 45nm.bin и 65nm.bin с микрокодами только на 45nm процессоры и только на 65нм. Использование этих файлов может быть полезным в тех случаях когда необходимо освободить дополнительный объём в BIOS, например, для новой firmware какого-то контроллера, сетевого, дискового и пр.
!NB : Ни в файле ncpucode.bin, ни в файлах 45nm.bin/65nm.bin нет поддержки процессоров Pentium 4, Celeron (без буквенных индексов), Pentium D, Celeron D и Xeon W (Xeon 5080 например). Это процессоры поколения NetBrust.
Представляю донора BioStar A740G M2L+ (AMD 740G / SB710) и реципиента BioStar A740G M2+ (AMD 740G / SB700). Мат.плата, что с литерой «L», более свежая и поддерживает процессоры AM3 официально, в отличие от другой, что ограничена лишь поддержкой процессоров AM2+. Напрашиваются на сравнительный анализ БИОСы их.
С оф. сайта загружаем лишь последнее обновление прошивки БИОСа для каждой их этих мат.плат:
- для A740G M2+ последняя бэта
A74GM916.BSS за сентябрь 2009г.
- для A740G M2L+ - файл
74GCU511.BSS - за май 2010г.
Далее вооружаемся утилитой MMTOOL (я использовал версии 3.22, 3.23 и 3.26 - различий в работе не обнаружил) . Для работы с MMTOOL расширения файлов прошивок БИОС необходимо переименовывать на *.rom.
Теперь запускаем две MMTOOL и в них подгружаем файлы прошивок от двух мат. плат. Обращаем внимание на разные размеры в столбце «Source size» (да и в «Size in Rom» тоже разумеется) модуля 11 «P6 Micro Code» в каждой из прошивок.
Переходим в раздел CPU PATCH для детального сравнения:
Файл донора 74GCU511.rom - cpu_list содержит 14 строк с поддержкой CPURev.ID + 1 пустая (рис.1).
Бэта-версия реципиента A74GM916.rom - cpu_list содержит 13 строк с поддержкой CPURev.ID + 1 пустая (рис.2).
После анализа списков этих двух БИОСов становится очевидно, что для более новой мат.платы разработчики использовали более свежие патчи для процессоров AMD, где подправлен микрокод двух строк с CPURev.ID 1043 и 1062 (датируются 2009/07/31) и одна строка с CPURev.ID 10A0 добавлена (датируется 2010/02/17).
Способ №1 - модификация отличительных строк.
Производится извлечение этих трёх отличительных строк из донора 74GCU511.rom - действия «Extract a Patch Data» + «Apply» + 1 последнюю пустую строку и сохранение их в отдельные файлы.Предварительно в в разделе CPU PATCH файла реципиента A74GM916.rom удаляются две строк с номерами CPURev.ID 1043 и 1062 (чей микрокод более старый чем мы будем далее вставлять) и последняя пустая строка - действия «Delete a Patch Data» + «Apply» (рис.3).
После этого поочерёдно вставляется более новый микрокод из четырёх уже ранее полученных файликов-патчей для CPURev.ID 1043, 1062, 10A0 и пустая строка (рис.4).
Обращаем внимание на размеры («Source size» и «Size in Rom») модуля 11 «P6 Micro Code» до и после применения данных изменений в файле реципиента.
После применения эти размеры у реципиента (рис.6) станут идентичны размерам такого же модуля в файле-доноре 74GCU511.rom (рис.5).
Стоит заметить, что несложно понять, как формируется размер модуля (каждая строка, что в разделе CPU PATCH, занимает по 2048 байт).
Сохранять изменения лучше под новым именем файла.
Далее этот файл проверяется, чтобы по новой без ошибок открывался MMTOOL.
Способ №2 - модификация заменой модуля целиком.
Собственно именно он и описан на просторах интернета (например частично ).В MMTOOL подкружаем файл донора 74GCU511.rom, переходим во вкладку «Extract» и ищем строку «P6 Micro Code». Затем выделяем её, в поле «module file» задаем ему имя ncpucode.bin и выполняем Extract module «in uncompressed form».
Теперь в MMTOOL подгружаем файл реципиента A74GM916.rom, переходим во вкладку «Replace» и снова ищем строку «P6 Micro Code». Выделяем её, ждём Browse и выбираем наш донорский модуль ncpucode.bin. Жмём Replase и далее соглашаемся на замену данного модуля.
Снова обращаем внимание на размеры («Source size» и «Size in Rom») модуля 11 «P6 Micro Code» до и после замены данного модуля в файле реципиента.
После применения эти размеры у реципиента (рис.7) станут идентичны размерам такого же модуля в файле-доноре 74GCU511.rom (рис.5).
Если сравнить результаты обоих способов (рис.6 и рис.7), то заметна разница в 10байт в адресе RomLoc модуля «User Defined or Reserved», следующего за обновляемым модулем «P6 Micro Code» - возможно, это особенности работы MMTOOL...
Заключение и послесловие.
Таким вот образом из разных прошивок БИОС различных мат. плат на сокете АМ2+ (и даже АМ3 для сравнения) можно найти самые свежие микрокоды для каждого типа CPURev.ID, как в Award так и AMI биосах, затем скомбинировать в единый ncpucode.bin.В последтсвии он получился у меня размером 32768 байт из 16 строк (микрокодов) с самыми свежими датами из числа изученных прошивок различных БИОСов: с 15ю различными типами ревизий процессоров для сокета АМ2+ (040A, 0413, 0414, 041B, 0433, 0680, 0C1B, 1000, 1020, 1022, 1040, 1041, 1043, 1062, 10A0) и 16-ой строкой для RevID 0000 (видимо некий универсальный микрокод для ревизий процессоров, не описанных в других строках - имхо, например будущих).
При комбинировании собственного ncpucode.bin импортированием необходимых патчей(микрокодов) для каждой необходимой ревизии процессоров в качестве лабораторного можно использовать абсолютно любую прошивку AMI биос с модулем «P6 Micro Code».
Однако при сохранении файла прошивки была замечена неприятная особенность MMTOOL - утилита почему-то прибавляла 8 нулевых байт в конец модуля «P6 Micro Code» - он получался размером 32776 байт. При извлечении тем же MMTOOL из лабораторной прошивки файл ncpucode.bin также становился на выходе размером 32776 байт.
Можно сие отредактировать простыми доступными всем редакторами. Но я также (случайно) обнаружил альтернативный способ: при извлечении универсальной утилитой BIOS_EXT.EXE всех модулей из лабораторной прошивки файл ncpucode.bin уже получался правильного размера 32768 байт - утилита BIOS_EXT.EXE сама правильно определила конец модуля «P6 Micro Code» при сохранении его в файл.
