我建议您研究可信计算的方向。它不会“保护”您，但它可能会帮助您确保您在已知/安全的环境中启动。

这里有大量可用信息，只需搜索 TXT 和可信计算。

但是对于初学者来说，您可以通过使用带有TPM和Intel TXT的平台来确保这一点，然后通过使用类似 tboot的东西保护自己免受邪恶女仆攻击，更进一步。

您还可以在您的平台上运行chipsec，以对您的平台进行评估。Chipsec 在这两个演示文稿中得到了很好的介绍：

• 使用 CHIPSEC 进行平台安全评估
• CHIPSEC 平台安全评估框架

不完全正确 - BIOS 可以被覆盖。这就是 BIOS 升级工具的工作原理。

另一个小的更正：至少在现代系统上，BIOS 不会在低于操作系统的级别上运行。这意味着操作系统使用 BIOS API 调用来处理硬件。但事实并非如此，操作系统具有几乎独立于 bios 的软件堆栈。最后一个与 BIOS 交互的著名操作系统是WindowsME。最后一个通过 BIOS 调用使用其几乎全部功能的著名操作系统是DOS。（尽管 BIOS 和操作系统之间的最小交互一直存在。）

BIOS 实际上是一种固件，它在启动过程开始时加载到（但仍是实模式）内存中。它的代码位于焊接在主板上的闪存芯片上。

此闪存 ROM可以被覆盖，尽管这只是一种重要的、未记录的且非常依赖于供应商的方式。在大多数情况下，它还有基于加密的保护。这些是硬件（主板）供应商的“防御线”，可以防御您所询问的确切类型的恶意软件。

因此，在我看来，随机黑客编写具有 bios 黑客功能的恶意软件（或扩展已经存在的恶意软件）的可能性几乎可以忽略不计——假设我们是在没有政府支持的情况下从独立的良好尝试中讨论的。

如果我们还考虑政府的权力，情况会更糟。他们不需要破解 BIOS 的加密和无证覆盖协议，很多情况下他们可以通过主板厂商的合作“解决”他们的问题。如果供应商在他们的国家或盟国，并且他们有资源来实施需要数百名程序员长达一年的合作的软件，则尤其如此。

例如，著名的Stuxnet恶意软件使用了多个硬件供应商的这些商业机密，尽管它覆盖的不是 BIOS 闪存，而是网卡固件——不知何故，正是伊朗核项目计算机上使用的那种类型的 NIC 固件（还有一些浓缩铀离心机的固件）。

也可以为 BIOS 覆盖开发类似的恶意软件，但它非常依赖于供应商，需要主板供应商（有意或无意的）合作。

面对积极的政府 BIOS 覆盖攻击，您可能无法为自己辩护。针对不那么普遍的攻击，也许您可​​以通过扩展使用防火墙、虚拟化和其他高资源安全措施来保护自己。

针对网络上随处可见的“常见”恶意软件，无需进行额外的测量（假设您的主板供应商没有任何标准的安全措施）。