win10中的MEI驱动（Intel Management Engine Interface）详解

love

大家都默认主板上有BIOS固件这个事情，如果我说一般的电脑里面单独的固件可以有近十个到几十个，是不是很多人都要惊掉了下巴？好吧，我就举几个例子：

• 网卡。网卡有单独的固件，有自己的控制器，控制器有些还是ARM。Intel南桥的网卡固件甚至和ME的固件一起被包含在BIOS固件中。
• 显卡。这个应该是常识了。实际上几乎所有PCIe设备都有自己的固件和处理器，处理器有的是ARM，有的是MCU，还有用FPGA做的。
• 硬盘。高级硬盘甚至用了Intel的Atom处理器。
• 传感器。很多传感器有固件，并有MCU控制。
• Sensor Hub。SH最早普遍应用在手机上，慢慢地也被平板电脑、笔记本电脑甚至PC上采用。它的固件设计还较传感器复杂一点。
  

还有很多，包括PMIC、PMC等等都含有固件。事实上，让各个部分自我管理是计算机设计的发展趋势，CPU把任务off load出去，让设备自己完成好再通知自己，有利于CPU集中注意力干大事，同时节省用电。

1.ME，其全称为 Management Engine，简称ME。是指Intel芯片中一个独立于CPU和操作系统的微处理器，。ME里面有用于远程管理的功能，它可以在不受用户操控下远程管理企业计算机，(ME物理运算能力由北桥芯片提供)。
2.MEI，其全称为Intel Management Engine Interface（简称Intel MEI）又称英特尔管理引擎接口，是Intel针对其芯片组推出的一款芯片热能管理驱动。它(介于固件和系统驱动之间，类似于一种接口Interface)。通过这个接口，系统可以和固件之间相互作用，从而达到改善热能管理的目的。”
3.AMT，其全称为INTEL Active Management Technology(英特尔主动管理技术)，它实质上是一种集成在芯片组中的嵌入式系统，不依赖特定的操作系统，该技术允许IT 经理们远程管理和修复联网的计算机系统   AMT技术的嵌入式操作系统集成在硬件中(就像BIOS一样)，其功能由主板上的ME(management engine)来实现。
       而有些人所说的什么远程开机之类的功能，应该叫intel AMT英特尔主动管理技术技术，只是企业电脑里面所用的，有些厂家在自己的商务机器（比如thinkpad）里面会有这个功能，intel在MEI驱动里增加了对Intel AMT英特尔主动管理技术的支持，即使安装，电脑本身没有AMT功能的，安装驱动只会有MEI的基础功能，也就是热能管理，比如睿频加速（Acer笔记本把MEI驱动也叫睿频加速驱动），CPU频率调节，在实际使用中甚至还接管笔记本电池消耗之类的功能。这个Intel Management Engine Interface驱动，在电脑厂家的驱动类别中归类为芯片组级别的驱动，重要性不言而喻。

也可以进Windows的设备管理器----系统设备----Intel（R）Management Engine interface，进入其属性---固件页面，可以看到当前ME固件版本。

https://www.intel.cn/content/www ... and-windows-11.html

点选驱动程序及工具程序 -> BIOS及韧体，选取需求的Intel ME版本及下载(建议使用最新版本)。

1-2将下载的Intel ME压缩文件，放在操作系统文件夹内。



2. 解压缩Intel ME压缩文件。


3. 在” MEUpdateTool.exe”双击执行，即可进行Intel ME更新。

Note : 可在Windows 系统下执行

3-1更新Intel ME需要一段时间，为确保正确更新，我们建议您在更新ME之前关闭计算机上所有正在运行的应用程序，点选Yes进行更新。


3-2更新完成，点选确定后重新启用计算机。



(四)、确认ME版本是否已更新
计算机开机时，按F2或Del键进入BIOS设定页面，在Advanced Mode下的Main选单内，确认ME FW Version的版本。

love

Intel ME是一个独立于x86 CPU，BIOS/UEFI固件的一个框架，这个框架分为硬件和软件两个部分，硬件部分根据ME版本不同分别对应ARC4/5, SPARC和x86(=>MEv11)的处理器，而软件的部分则是在flash中和BIOS,GBE以及其他固件模块打包在一起，在ME这个框架(以及独立的小型计算机)下可以运行很多底层的应用，包括永远处于运行状态的远程管理工具包AMT( Advanced Mgt Technology)是ME第一个的基于ME架构的应用，现在也有作为ME实现的TPM: PTT，用于remote attestion的信任链条的EPIDhe Boot Guard，PAVP( Protected Audio and Video Path)和SGX。ME也被称为Ring -3，和BIOS/EFI的启动是并行的，Bootguard的验签OK的话SEC/PEI会有序进行。
为什么要有ME?

远程管理成为了解决问题的良方。远程管理分为带外和带内管理两种：

带外管理（Out-of-band management，OOB）：使用独立管理通道进行设备维护。无论被管理设备是否处于开机状态，只要已经通电并联网，就可以远程监控和管理设备，包括远程关机、远程开机、远程重启、远程更改BIOS设置、远程安装操作系统等。
带内管理（In-Band Network Access，IBN）：是指使用常规数据通道来管理设备。这种管理要求被管理设备不仅要通电、联网，而且必须已经开机、运行了客户端程序等。

我们经常使用的Windows远程桌面、VNC、SNMP和Telnet等等都属于带内管理。而各种KVM（注意这个不是虚拟机世界的KVM），BMC和AMT就属于带外管理。

带内管理的优点是便宜，不要增加什么硬件，安装个软件就可以了。缺点也很明显，OS死掉了就无解了，所以大部分安装、死机问题并不能靠带内管理解决。

服务器领域很早就引入BMC（Baseboard ManagementController），它借助IPMI（Intelligent Platform Management Interface）来进行带外管理。有感于PC领域的现实需求，于是Intel在PC中引入了类似BMC的概念：有一个专门的处理器，带外进行计算机管理。开始是引入AMT技术(Intel Active Management Technology,英特尔主动管理技术,参考资料2)，后来又整合其它技术，推出vPro(博锐，参考资料3)。

看到带有vPro的徽标，就表示可以使用vPro的AMT远程管理技术。它的框架图如下：

后来ME加入了更多安全、校验、防盗和电平信号管理等等新功能。

ME在哪里?

与网上大多数瞎说的不同，ME并不在CPU内核中。它最早在北桥里：

北桥消失后，它被放到了南桥PCH中：

为什么有的人会认为它在CPU中呢？

• 部分SOC的酷睿产品，南桥被放入CPU Package中。因此ME也随着被放入CPU的Package中，这并不意味着ME是CPU内核的一部分，这种做法和单独的PCH并没有本质区别，PCH和CPU还是两个Die。这种设计简化了主板，节约了成本，但是误导了部分IT爱好者。CPU Package设计是一个很有趣的方向，改天写一篇文章介绍一下，这里按下不表。
• 部分ATOM产品中，ME的部分功能被真正植入CPU Die中。但它也并不在CPU core和uncore中，而是在类似南桥的south cluster中。这个ME阉割版也并不含现在被广泛讨论的AMT功能。
  

ME干了哪些事

ME有自己的处理器，它是一款32位的ARC MCU。也有部分片上RAM，但是主要RAM是BIOS在启动时在住内存上挖下来专门给它的。这种方式叫做UMA：

BIOS不仅仅为ME分配内存，也为内置GPU用同样的方法分配内存。

和BMC一样，它脱离于CPU独自运行，有自己的操作系统（具体不详，BMC一般是Linux）。由于电源部分被它管理，在主板有电，但CPU尚未上电的时候，它可以开启电脑。在开机后它和BIOS协同工作，并在OS启动后和ME的操作系统驱动程序一起工作，完成AMT、KVM、电源管理、电平管理等等功能。

ME后来又加入了更多的功能，包括安全管理（fTPM等）、电平管理、电源管理等等高级功能。

一些谣言

• ME是Intel不可告人的后门。实际上AMT曾经被Intel广泛宣传过，并被作为一个很有价值的技术被推广到很多计算机厂家，并受到广泛欢迎，尤其是中小企业。Intel官网上有很多介绍。AMD在芯片中也有单独的固件。
• ME可以干任何事情。实际上它有很多限制，并不能随便访问主存。BIOS为它单独分配了内存，这些内存被保留，OS并不知情。ＭＥ通过一般办法并不能访问被分配空间之外的其他内存（当然也有例外）。我们可以认为它的内存访问和内置GPU内存访问没有本质区别，GPU也有自己的运行单元，为什么没有被诘难？它的USB、IDE/SATA重定向、网口控制也并不是对所有都有效。事实上，和它对应的BMC在服务器领域已经应用更长时间，而服务器对安全更加在乎，为什么没有这么大反对声呢？
• ME可以控制CPU，是ring -3。实际并不行，两者是互相独立工作的。这个说法是纯粹的吸引眼球的标题党干的，ring的概念只在X86上有，ARC并不会存在。
• ME控制网口为了留后门。ME中的AMT既然作为带外管理，必须联网，这是理所应当的。
• ME很容易被篡改。ME受数字签名保护，实际上它是fTPM等等安全手段的提供者。
• ME可以访问硬盘数据。部分有问题，ME固件并不能在操作系统环境下独自访问硬盘，否则会有冲突。可以访问硬盘的是ME的操作系统驱动。事实上硬件驱动大部分都是ring 0的，可以访问任何东西。ME的驱动也不例外，如果不信任驱动，那也不要安装主板驱动了。
• Intel强制安装ME。ME有好几个版本，主板包含哪种ME，这是OEM的选择。
• ME不能关闭。实际上很多主板BIOS中都有ME关闭的功能：
  

关闭后ME会进入一个低功耗状态。

love

使用 Intel 平台的电脑在安装驱动的时候都会看到一个 "Intel 管理引擎接口"，简称 （Intel Management Engine Interface）。ME实际上是集成在芯片组中的一个微处理器，运行一个完整的操作系统而非一般外设的固件。在 2008 年后推出的 Intel 主板全部带有 ME，最早它集成在北桥中，北桥消失后进入南桥

百度百科对于ME的介绍

ME版本过低可能会出现：

使用英特尔i219-V网卡做无盘启动，会卡在Windows启动的界面

由此可见，ME固件的功能不止远程管理这么简单，在基于Intel芯片组主板的BIOS中，ME固件是一个非常重要的部分，它决定了主板可以支持什么样的CPU，甚至对于内存的支持和内存兼容性也有决定性作用。

如何查看当前固件版本？

可以进Windows的设备管理器----系统设备----Intel（R）Management Engine interface，进入其属性---固件页面，可以看到当前ME固件版本。

如何查看BIOS文件中的ME？

我们用UEFITOOL NE

打开BIOS文件，点击ME模块，可以查看ME固件版本

可以看到，上电之后ME最开始被执行，然后才开始执行AMI的代码

ME是英特尔平台中最神秘的程序之一，由于它不开源，对于BIOS开发商和主板生产商来说，它就像一个黑盒

UEFITOOL NE能够很好的解析ME固件结构，并且能够导出ME固件

ME分析工具《MEAnalyzer-master》

项目地址：GitHub - platomav/MEAnalyzer：英特尔引擎和图形固件分析工具

运行环境：需要安装Python >= 3.7，然后在Windows命令行中安装以下第三方 Python 模块：

pip install coloramapip install crccheckpip install PLTable

双击运行MEA.py，然后将BIOS或ME文件拖到窗口内，回车

可以查看到

ME的version（版本）为16.1.32.2473；

sku为consumer（消费级）,H表示高性能，对应的LP表示低功耗；

file system state（文件系统状态），为Configured (已配置)，表示是干净的ME，因为这个是华硕官网下载的BIOS，所以烧录到任意一片PRIME-B760M-K-D4主板上都能直接使用。如果此处状态为Initialized (已初始化)，说明ME不干净，是通过电的BIOS。这里说明一下，当代英特尔主板，即便两片主板型号完全一致，也是不能通过像GHOST备份系统那样，从一个主板备份恢复到另一个主板上面去。因为英特尔主板生产后，只要一通电，BIOS芯片中的ME会被初始化配置，与南桥芯片相绑定。所以，这个备份后的BIOS文件，只能用于本机，而不能用于其它机器。刷新到其它机器后，会出现ME状态异常，开机变慢，进入BIOS设置页面后，会发现ME版本号为0.0.0.0或N/A，此时ME就像被禁用了一样

size表示ME固件大小，消费级的ME由于只有基本功能，相比企业级ME要小一些，这里为3.8MB大小

love

Intel ME管理引擎是一个独立于x86 CPU和BIOS/UEFI固件的框架，由硬件和软件两部分组成。
硬件部分：根据ME版本不同，采用ARC4/5、SPARC或x86（MEv11及以上）架构的处理器。这些处理器独立于主CPU运行，形成一个小型计算机系统，负责处理底层任务。
软件部分：存储在Flash芯片中，与BIOS、GBE（千兆以太网控制器）及其他固件模块集成。软件层包含多个底层应用，例如：

• AMT（主动管理技术）：提供永久在线的远程管理功能，支持系统未启动时的远程控制。
• PTM（可信平台模块）：作为ME实现的TPM替代方案，用于远程认证和信任链构建。
• Boot Guard：保护启动过程免受恶意软件篡改。
• PAVP（受保护音视频路径）：确保音视频数据传输的安全性。
• SGX（软件保护扩展）：创建安全执行环境，保护敏感代码和数据。
  

核心功能：通过Intel vPro技术平台（需芯片组、CPU、核显、网卡协同支持），ME可在未安装操作系统或未通电状态下实现远程管理。例如，用户可在北京远程控制广州的电脑，完成BIOS设置、系统安装等操作。
设计初衷：解决非专业用户的技术障碍。普通用户难以处理复杂证书问题或死机故障，而ME通过远程IT支持，降低了技术门槛。对中小企业而言，ME相当于免费的BMC（基板管理控制器），简化了带外计算机管理流程。其独立处理器和操作系统（固件）架构，确保了底层任务的高效执行。

love

管理引擎（Management Engine，ME）是英特尔（Intel）在其芯片组中集成的一项专有技术。它用于提供硬件级的管理功能，尤其是在企业级计算环境中。ME主要用于以下几个方面：                            
管理引擎（Management Engine，ME）是英特尔（Intel）在其芯片组中集成的一项专有技术。它用于提供硬件级的管理功能，尤其是在企业级计算环境中。ME主要用于以下几个方面：
1. 远程管理

• 远程访问：ME允许管理员在系统关闭或操作系统未加载的情况下远程访问和管理计算机。这对于数据中心和企业环境中的IT支持非常重要。
• KVM（键盘、视频、鼠标）功能：通过远程KVM功能，管理员可以像在本地一样操作远程计算机，进行故障排查和维护。
  

2. 安全性

• 安全启动：ME支持安全启动过程，确保只有经过授权的固件和软件能够加载，从而增强系统的安全性。
• 身份验证：提供身份验证和加密功能，确保远程管理操作的安全性，防止未授权访问。
  

3. 硬件监控和维护

• 传感器监控：ME可以监控系统硬件的状态，例如温度、电压和风扇转速等，帮助及时发现潜在问题。
• 故障诊断：提供故障报告和诊断功能，帮助管理员快速识别和解决硬件问题。
  

4. 系统配置

• 固件更新：ME支持通过远程方式更新系统固件，简化维护和管理过程。
• 硬件设置：管理员可以通过ME进行硬件配置，例如BIOS设置和网络配置。
  

5. 能效管理

• 电源管理：ME提供电源管理功能，可以监控和调整系统的电源使用，提高能效。
  

英特尔的管理引擎技术通过提供丰富的远程管理和监控功能，极大地方便了IT管理人员在大型企业和数据中心的工作。尽管ME带来了许多便利，但也因其固有的权限和功能而引发了一些安全和隐私方面的担忧。因此，许多组织在使用ME时会采取额外的安全措施。

---

Management Engine (ME) 是英特尔的一种专有技术，集成在其芯片组和处理器中。ME 在计算机系统中负责管理和控制各种硬件功能，尤其是在系统启动、远程管理和安全性方面。以下是关于 Intel Management Engine 的底层原理和功能的详细介绍。
1. 基本架构

• 独立性：ME 运行在系统主 CPU 之外，通常在芯片组内的专用处理器中。它拥有自己的固件和操作系统，能够独立于主操作系统执行任务。
• 硬件支持：ME 的功能依赖于主板上集成的硬件，包括处理器、芯片组、网络接口等。它通过这些硬件实现对系统的控制和管理。
  

2. 功能与应用

• 远程管理：ME 使系统管理员能够远程管理和监控计算机，包括重启、关机和安装更新。这对于企业环境中的 IT 管理尤为重要。
• 系统启动管理：在计算机启动时，ME 负责执行硬件自检（POST）并加载操作系统。它确保硬件的正确初始化，支持安全启动功能。
• 安全功能：ME 提供多种安全功能，如 TPM（可信任的平台模块）集成、加密支持以及防止恶意软件攻击的能力。
• 固件更新：通过 ME，用户可以在主操作系统之外进行固件更新，从而提升系统的安全性和稳定性。
  

3. 底层通信

• 总线通信：ME 通过系统总线（如 PCI Express 和 I2C）与主板上的其他组件进行通信。这种通信方式允许 ME 直接访问硬件资源。
• 固件与协议：ME 使用特定的固件和通信协议（如 AMT - Active Management Technology），以便与主机操作系统进行交互并提供管理服务。
  

4. 安全与隐私考虑

• 固件安全：由于 ME 是在操作系统之外运行的，因此其固件存在一定的安全风险。恶意软件可以利用 ME 的访问权限进行攻击，影响系统安全。
• 隐私问题：ME 的远程管理功能可能引发隐私担忧，尤其是在没有用户知情的情况下，系统管理员可以访问计算机。
  

5. 发展历程

• 版本更新：ME 自推出以来，经历了多个版本的更新和功能扩展。每个新版本通常会引入新的管理功能和安全增强。
• 与其他技术的集成：ME 与其他技术（如 Intel vPro、TPM、UEFI）密切集成，以提供更全面的管理和安全解决方案。
  

Intel Management Engine 是一项强大的技术，旨在为企业和个人用户提供更好的管理、监控和安全功能。然而，由于其底层独立性和强大的权限，ME 的使用也引发了安全和隐私方面的关注。因此，了解 ME 的工作原理及其潜在风险，对于用户和 IT 管理员来说都十分重要。

---

Intel Management Engine (ME) 是一种集成于 Intel 处理器和芯片组中的微控制器，主要用于管理和监控计算机系统。它的架构是复杂的，涉及多个组件和技术，以下是关于 Intel ME 的架构详细介绍：
1. 架构组成

• 微控制器：ME 通常基于低功耗的 x86 微处理器架构，专为嵌入式系统设计。它具备自己的内存和存储空间，可以独立于主 CPU 运行。
• 固件：ME 运行专有的固件，负责处理管理任务。固件中包含了各种功能和协议，以支持远程管理、安全性和系统监控等。
• 操作系统：ME 使用一种轻量级的操作系统，类似于实时操作系统（RTOS），以支持快速响应和高效执行管理任务。
  

2. 功能模块

• 远程管理功能：
  
  • Active Management Technology (AMT)：允许远程访问和管理设备，包括开机、关机、重启等操作。AMT 还支持对系统的硬件和软件状态进行监控。
    
• 安全功能：
  
  • TPM (Trusted Platform Module)：集成在 ME 中，以支持硬件级别的加密和安全存储。
  • 安全启动（Secure Boot）：ME 在启动过程中验证固件和操作系统的完整性，以防止恶意软件加载。
    
• 系统自检与初始化：
  
  • ME 在系统启动时执行自检（POST），并初始化硬件，以确保系统正常运行。
    
• 固件更新：支持通过网络或本地方式对 ME 固件进行更新，提升系统的安全性和稳定性。
  

3. 通信架构

• 与主机通信：
  
  • PCI Express (PCIe)：ME 通过 PCIe 总线与主处理器和其他硬件组件进行通信。这种高速连接使 ME 能够快速访问系统资源。
  • I2C 和其他总线：ME 还可以通过 I2C 等其他总线协议与外部设备（如传感器和外部存储）进行通信。
    
• 网络连接：
  
  • ME 可以直接连接到网络接口，使其能够进行远程管理和监控。这意味着即使主系统关闭，ME 仍然能够保持网络连接。
    

4. 安全与隐私

• 独立性：ME 在主 CPU 之外运行，使其具备对系统的独立访问能力。然而，这种独立性也带来了安全隐患，可能被恶意软件利用。
• 固件签名与验证：ME 的固件必须经过数字签名，以防止未授权修改。安全性设计包括对固件的完整性检查。
  

5. 开发与演变

• 版本迭代：ME 自推出以来不断演进，功能逐步增强。不同版本之间可能会有显著差异，包括支持的协议和管理功能。
• 集成技术：ME 与 Intel 的其他技术（如 vPro、TXT）紧密集成，提供全面的管理和安全解决方案。
  

Intel Management Engine 架构的设计旨在提供高效的系统管理、监控和安全功能。虽然它在企业环境中有广泛应用，但其独立运行的特性也引发了关于安全性和隐私的讨论。因此，理解 ME 的架构及其运作机制对于 IT 管理员和用户而言是至关重要的。

---

Intel Management Engine (ME) 内核是一个专有的、轻量级的实时操作系统，旨在为 Intel 处理器和芯片组提供管理和监控功能。虽然具体的实现细节并未公开，但可以总结出以下几个主要特征：

• 实时性：ME 内核设计为实时操作系统（RTOS），能够快速响应系统事件，确保管理任务的及时处理。
• 独立性：ME 在系统的主 CPU 之外运行，能够在操作系统未启动或系统关闭时仍然执行特定的管理任务。这种独立性使得 ME 能够进行远程管理和监控，即使在主机处于关机状态时。
• 封闭性：Intel 对 ME 的具体实现细节和源代码保持高度保密，用户和开发者无法对其进行修改或查看。这种封闭性虽然提供了一定的安全性，但也引发了一些关于隐私和安全的讨论。
• 集成功能：ME 内核集成了多种功能模块，如远程管理、硬件监控、安全启动、固件更新等，能够支持多种管理协议，如 Active Management Technology (AMT)。
  

Intel ME 内核是一个专为硬件管理和安全设计的轻量级实时操作系统，其具体细节和实现是 Intel 的商业机密。