Tbsi_Revoke_Attestation函式 (tbs.h)
如果 ELAM 驅動程式偵測到 rootkit (原則違規,例如) ,就會使 PCR 失效。
Syntax
TBS_RESULT Tbsi_Revoke_Attestation();
傳回值
| 傳回碼/值 | Description |
|---|---|
|
此函數已成功。 |
|
發生內部軟體錯誤。
注意 如果傳回TBS_E_INTERNAL_ERROR,系統事件記錄檔可能包含來自 TBS 事件來源的事件標識碼 16385,且錯誤碼0x80070032。 這可能表示硬體平臺未提供TCG事件記錄檔給作業系統。 有時候,您可以從平臺製造商安裝 BIOS 升級來解決此問題。
|
備註
此函式可從核心模式呼叫。
您必須使用系統管理許可權來執行此函式。 此函式會以未指定的值擴充PCR[12],並在 TPM 中遞增事件計數器。 這兩個動作都是必要的,因此信任會以從這裡開始建立的所有引號中中斷。 由於 PCR 會在休眠時重設,且延伸至PCR[12] ,因此將會消失,事件計數器中的間距會指出記錄鏈結中斷。
因此,WBCL 檔案不會反映 TPM 的目前狀態,但 TPM 已啟動的其餘時間,遠端系統將無法在系統的安全性狀態中形成信任。 請注意,反惡意代碼系統可能會執行額外的補救或警示,但如果支持證明,則失效步驟非常重要。
當計算機進入休眠狀態並後續繼續時,將會遺失先前的PCR範圍,而且中斷的信任將不再反映在PCR 測量中。 若要解決此問題, Tbsi_Revoke_Attestation函 式也會遞增位於 TPM 中的單調事件計數器。 進一步的 TPM 證明驗證會注意到封存 WBCL 記錄的開機計數器值有差距。 探索這類差距時,證明驗證程式碼應該會失敗驗證,就如同記錄檔中沒有其他必要事件時一樣。 請注意,TPM 中的計數器無法復原,您無法在事實之後建構遺失的 WBCL。
規格需求
| 需求 | 值 |
|---|---|
| 最低支援的用戶端 | Windows 8 [僅限傳統型應用程式] |
| 最低支援的伺服器 | Windows Server 2012 [僅限傳統型應用程式] |
| 目標平台 | Windows |
| 標頭 | tbs.h |
| 程式庫 | Tbs.lib |
| Dll | Tbs.dll |