Как взломать биос: Как сбросить пароль биос?

Содержание

Взлом BIOS — 3 метода — Хакинг — Articles

Если вам необходимо взломать пароль BIOS, то нет ничего проще. В этой статье я описал универсальный, аппаратный и программный способы взлома любой версии BIOS и если вам это интересно — читайте дальше. С чего начать?

Прежде всего, изучить документацию к вашей материнке, где наверняка можно найти подробную информацию о сбросе установок в изначальные, (принятые по умолчанию изготовителем). В самых новых версиях BIOS (AWARD BIOS 4.5 и выше) возможны варианты обнуления параметров с помощью удерживания определенной клавиши (чаще всего «Ins»). Клавишу необходимо нажать до включения питания и удерживать до загрузки компа.

Также есть универсальные пароли. Достаточно знать производителя и версию BIOS что бы ими воспользоваться:

AWARD BIOS

Версия 2.50:
AWARD_SW, j262, TTPTHA, 01322222, KDD, ZBAAACA, aPAf, lkwpeter, t0ch88, t0ch30x, h6BB, j09F, TzqF.

Версия 2.51:
AWARD_WG, j256, BIOSTAR, HLT, ZAAADA, Syxz, ?award, 256256, alfarome, SWITCHES_SW, Sxyz, SZXY, t0ch30x.

Версия 2.51G:
g6PG, j322, ZJAAADC, Wodj, bios*, biostar, h6BB, HELGA-S, HEWITTRAND, HLT, t0ch88, zjaaadc.

Версия 2.51U:
1EAAh, condo, biostar, CONDO, CONCAT, djonet, efmukl, g6PG, j09F, j64, zbaaaca.

Версия 4.5x: (для всех подверсий пароли одинаковые)
AWARD_SW, AWARD_PW, 589589, PASSWORD, SKYFOX, AWARD SW, award.sw, AWARD?SW, award_?, award_pc, ZAAADA.

Версия 6.0:
AWARD_SW, lkwpeter, Wodj, aPAf, j262, Syxz, ZJAADC, j322, ?award, TTPTHA, KDD, HLT, шесть пробелов, девять пробелов, 01355555, ZAAADA.

Для версий выше 4.51PG универсальные пароли могут и несработать, выше описано как это обойти.

AMI BIOS

AMI, SER, A.M.I., AMI!SW, AMIPSWD, BIOSPASS, aammii, AMI.KEY, amipswd, CMOSPWD, ami.kez, AMI?SW, helgaЯs, HEWITT RAND, ami’, AMISETUP, bios310, KILLCMOS, amiami, AMI~, amidecod.

Кроме этого обнуление может произойти если при включении удерживать ,+++, или просто . После аппаратного сброса установок по умолчанию функции универсального пароля будет нести пароль AMI_SW.

BIOS других производителей

Здесь приведены версии BIOS для ноутбуков, серверных систем и т.д.

AMPTON BIOS — Polrty;

AST BIOS — SnuFG5;
BIOSTAR BIOS — Biostar, Q54arwms;
COMPAQ BIOS — Compaq;
CONCORD BIOS — last;
CTX International BIOS — CTX_123;
CyberMax BIOS — Congress;
Daewoo BIOS — Daewuu, Daewoo;
Daytec BIOS — Daytec;
DELL BIOS — Dell;
Digital Equipment BIOS — komprie;
Enox BIOS — xo11nE;
Epox BIOS — Central;
Freetech BIOS — Posterie;
HP Vectra BIOS — hewlpack;
IMB BIOS — IBM, MBIUO, sertafu;
Iwill BIOS — iwill;
JetWay BIOS — spooml;
Joss Technology BIOS — 57gbz6, technology;
M Technology BIOS — mMmM;
MachSpeed BIOS — sp99dd;
Magic-Pro BIOS — prost;
Megastar BIOS — star, sldkj754, xyzall;
Micronics BIOS — dn_04rjc;
Nimble BIOS — xdfk9874t3;
Packard Bell BIOS — bell9;
QDI BIOS — QDI;
Quantex BIOS — teX1, xljlbj;
Research BIOS — Col2ogro2;
Shuttle BIOS — Col2ogro2;
Siemens Nixdorf BIOS — SKY_FOX;
SpeedEasy BIOS — lesarot1;
SuperMicro BIOS — ksdjfg934t;
Tinys BIOS — tiny, tinys;
TMC BIOS — BIGO;
Toshiba BIOS — Toshiba, 24Banc81, toshy99;
Vextrec Technology BIOS — Vextrex;
Vobis BIOS — merlin;
WIMBIOS v. 2.10 BIOS — Compleri;
Zenith BIOS — 3098z, Zenith;
ZEOS BIOS — zeosx.

Теперь я расскажу как хакнуть BIOS если универсальный пароль не помогает с помощью АППАРАТНЫХ СРЕДСТВ

1) Не пытайтесь вынимать и вставлять обратно микросхему BIOS, она без питания может продержаться больше суток!!! К тому же это надо делать специальным пинцетом. Лучше попробуйте найти на материнке перемычку (обычно рядом с CMOS-батареей) для сброса параметров BIOS. Если CMOS-батареи нет то найдите на плате микросхему с надписью Dallas или Odin, перемычка должна быть возле нее.

2) Если перемычка заблокированна, запаяна или ее прсто нет. Если на материнке нет CMOS-батарейки, то необходимо замкнуть при выключенном питании, на несколько секунд, следующие контакты вашей микросхемы BIOS (контакт номер 1 обычно выделяется специальной меткой — цветной точкой или выемкой в корпусе микросхемы):

P82C206 Chip
Квадратная микросхема, устаревшая, контакты 12 и 32 либо 74 и 75

F82C206 Chip
Прямоуголная микросхема, контакты 3 и 26

Dallas DS1287A, DS12887A, Benchmarq bq3287AMT
Прямоуголная микросхема, контакты 12 и 21

Dallas DS1287, DS12887, Benchmarq bq3287MT
Прямоуголная микросхема, обнуление не возможно! необходимо менять микросхему

Motorolla MC126818AP, Hitachi HD146818AP, Samsung KS82C6818A и т. д. с маркировкой заканчивающейся на 6818
Прямоугольная микросхема, контакты 12 и 24

Dallas DS12885S, Benchmarq bq3258S
Прямоугольная микросхема, контакты 12 и 20 либо 12 и 24

Теперь я расскажу как хакнуть BIOS с помощью ПРОГРАММНЫХ СРЕДСТВ.

При использовании программных средств не требуется открытие системника (т.к. он может быть на гарантии) в этом их основное преимущество.
Для этого необходимо загрузить комп в режиме MS-DOS. Обладая элементарными навыками программирования, можно быстро получить доступ к проге CMOS Setup Utility и соответственно ко всем параметрам BIOS. Наиболее эффективные способы взлома:

1) С помощью любого языка программирования (Pascal, Assembler и т.п.) в порт 70H записывается значение от 10H до 2FH, а в порт 71H любое значение не равное старому. Например если вы используете язык программирования Borland Pascal 7.0, программа выполняющая данную операцию будет выглядеть следующим образом:

Port[$70]:=$10
Port[$71]:=Port[$71] xor $FF

Принцип действия этого способа основан на разрушении контрольной суммы содержимого CMOS-памяти. В результате, при первой загрузке BIOS будут загружены параметры Default и пароль соответственно установится в стандартный, характерный для данной версии BIOS.
Если ваш компилятор Turbo Pascal, то программа будет выглядеть по-моему так:

Begin
Port[$70]:=$2E;
Port[$71]:=$00;
Port[$70]:=$2F;
Port[$71]:=$00;
end

2) В составе любой операционки есть утилита DEBUG для оперативного изменения содержимого указанных ячеек. Для самых распространенных BIOS: AWARD и AMI последовательность команд будет выглядеть следующим образом:
DEBUG
-O 70 17
-O 71 17
Q

3) Если вы не владеете программированием то, создайте текстовый файл с помощью встроенных средств какого-нибудь навигатора типа NC, DN, VC, или FAR задав имя, например, killcmos.com. Затем наберите следующие коды при помощи нажатой клавиши (нажали , ввели код, отпустили и т.д.): 178, 112, 50, 246 ,176, 46, 238, 66, 50, 192, 238, 205, 32 Сохраните внесенные изменения и запустите полученный файл.

4) Можно воспользоваться и готовыми утилитами для просмотра пароля BIOS, но если они не совместимы с вашей версией BIOS или содержат хоть одну ошибку, ваши данные микросхемы CMOS будут повреждены или что еще хуже повреждены данные микросхемы BIOS, а это может обернуться покупкой новой материнки.

Вместо заключения.
Эта статья была собрана из материалов «закрытой» печати, данных спецслужб, материалов сайтов производителей микросхем BIOS и материнских плат. О взломе BIOS мало пишут и говорят, многие люди вообще не знают что это возможно. 90% — менеджеров, бухгалтеров, директоров фирм по статистике используют именно этот способ защиты своего ПК как рабочего так и домашнего. Так что теперь, изучив эту статью, вам не составит труда быстро и легко взломать любой комп с такой защитой.

Источник: http://www.cyberinfo.ru

Как обойти пароль BIOS на ноутбуке?

Как обойти пароль BIOS?

На материнской плате компьютера найдите перемычку сброса BIOS или пароля или DIP-переключатель и измените ее положение. Эта перемычка часто обозначается CLEAR, CLEAR CMOS, JCMOS1, CLR, CLRPWD, PASSWD, PASSWORD, PSWD или PWD. Чтобы очистить, снимите перемычку с двух контактов, которые в данный момент закрыты, и поместите ее над двумя оставшимися перемычками.

Что такое пароль администратора BIOS?

Что такое пароль BIOS? … Пароль администратора: компьютер будет запрашивать этот пароль только при попытке доступа к BIOS. Он используется для предотвращения изменения настроек BIOS другими лицами. Системный пароль: он будет запрошен перед загрузкой операционной системы.

Как сбросить BIOS моего ноутбука?

Как сбросить BIOS

  1. Перезагрузите компьютер.
  2. Обратите внимание на клавишу, которую вам нужно нажать на первом экране. Эта клавиша открывает меню BIOS или утилиту «Setup». …
  3. Найдите возможность сбросить настройки BIOS. Этот вариант обычно называется одним из следующих:…
  4. Сохраните эти изменения.
  5. Выйдите из BIOS.

Какой пароль BIOS по умолчанию для Dell?

Пароль по умолчанию

На каждом компьютере по умолчанию установлен пароль администратора для BIOS. На компьютерах Dell используется пароль по умолчанию «Dell». Если это не сработает, быстро опросите друзей или членов семьи, которые недавно использовали компьютер.

Как я могу взломать пароль BIOS ноутбука Dell?

Как сбросить BIOS из интерфейса BIOS

  1. Включи компьютер.
  2. Несколько раз нажмите клавишу F2, пока не появится «Вход в настройки».
  3. Сбросьте BIOS до заводских настроек по умолчанию. …
  4. Нажмите клавишу Esc и выберите Сохранить и выйти или Выйти.
  5. Нажмите клавишу Enter, чтобы сохранить все изменения и выйти из экрана настройки BIOS.
  6. Компьютер перезагрузится.

12 мар. 2021 г.

Какую клавишу нажимаете, чтобы войти в BIOS?

Чтобы получить доступ к BIOS на ПК с Windows, вы должны нажать клавишу BIOS, установленную вашим производителем, которая может быть F10, F2, F12, F1 или DEL. Если ваш компьютер выходит из строя при запуске самотестирования слишком быстро, вы также можете войти в BIOS через расширенные настройки восстановления меню запуска Windows 10.

Как установить BIOS по умолчанию?

Сброс BIOS до настроек по умолчанию (BIOS)

  1. Откройте программу настройки BIOS. См. Доступ к BIOS.
  2. Нажмите клавишу F9, чтобы автоматически загрузить заводские настройки по умолчанию. …
  3. Подтвердите изменения, выделив OK, затем нажмите Enter. …
  4. Чтобы сохранить изменения и выйти из утилиты настройки BIOS, нажмите клавишу F10.

Как сбросить забытый пароль на моем ноутбуке?

Сбросить пароль

На вкладке «Пользователи» в разделе «Пользователи для этого компьютера» выберите имя учетной записи пользователя, а затем выберите «Сбросить пароль». Введите новый пароль, подтвердите новый пароль и нажмите ОК.

Как сбросить пароль BIOS на моем ноутбуке HP?

Метод 2. Сбросьте пароль BIOS с помощью мастер-пароля.

  1. Включите ноутбук и нажмите соответствующую функциональную клавишу, чтобы войти в программу настройки BIOS / CMOS.
  2. Введите неверный пароль три (3) раза.
  3. Вы получите сообщение «Система отключена» и цифровой код.

Как сбросить настройки ноутбука с Windows 10 без пароля?

  1. Нажмите и удерживайте клавишу «Shift», нажмите кнопку «Питание», а затем нажмите «Перезагрузить».
  2. На экране «Выберите вариант» нажмите «Устранение неполадок».
  3. На экране устранения неполадок нажмите «Сбросить этот компьютер».
  4. Выберите свою учетную запись, введите пароль и нажмите «Продолжить».

Как взломать пароль на BIOS | Samoe_interesnoe

Метод 1. С помощью главного пароля

1. Включите компьютер. Если компьютер выключен, включите его, чтобы открыть экран ввода пароля к BIOS.

2. Трижды введите неверный пароль. BIOS заблокирует доступ к компьютеру.

3. Обратите внимание на число под «System Disabled» (Система заблокирована). Под сообщением «System Disabled» вы увидите код из нескольких цифр; запишите его.

4. Откройте сайт, на котором можно узнать главный пароль. Перейдите на страницу https://bios-pw.org/ на другом компьютере.

5. Введите записанный код. Щелкните по текстовому полю «Code» (Код), а затем введите число, которое вы записали ранее.

6. Щелкните по Get password (Получить пароль). Это синяя кнопка под текстовым полем.

7. Просмотрите список паролей. Под текстовым полем должен отобразиться хотя бы один пароль.

8. Перезагрузите заблокированный компьютер и попробуйте ввести разные пароли. Можно ввести три пароля подряд; если ни один из них не подойдет, снова перезагрузите компьютер. В идеале один из паролей, отображенных на сайте bios-pw.org, должен подойти.

Если ни один из паролей не разблокировал компьютер, перейдите к следующему методу.

Метод 2. С помощью материнской платы

1. Выключите компьютер и отключите его от электросети. Убедитесь, что компьютер выключен и отключен от источника питания, чтобы избежать поражения электрическим током. В случае настольного компьютера на задней панели корпуса найдите переключатель «Вкл./Выкл.» Убедитесь, что переключатель находится в положении «Выключить».

2. Отсоедините от корпуса кабели и USB-устройства. Сюда входят кабель питания, USB-устройства (например, флешка) и Ethernet-кабель.

3. Заземлите себя. Так вы предотвратите повреждение внутренних компонентов компьютера статическим электричеством.

4. Откройте корпус компьютера. Как правило, для этого нужно открутить несколько винтов.

  • Открывая корпус, положите его так, чтобы разъемы (USB, аудио и другие) на задней панели были расположены ближе к поверхности стола.
  • Если вы открываете ноутбук, снимите его нижнюю панель. Если это невозможно, у вас не получится сбросить пароль к BIOS этим способом.

5. Найдите CMOS-батарейку. Это маленькая круглая («кнопочная») батарейка, подобная тем, которые ставятся в часы.

  • Если вы не можете найти CMOS-батарейку, сбросьте пароль к BIOS с помощью перемычки.
  • Посмотрите в инструкции к компьютеру или материнской плате, где находится CMOS-батарейка; также эту информацию можно найти на сайте производителя компьютера или материнской платы.

6. Аккуратно вытащите CMOS-батарейку. Возможно, вам придется нажать на специальный элемент, чтобы освободить аккумулятор.

7. Подождите один час. В течение этого времени конденсаторы батареи разрядятся.

8. Поставьте батарею обратно. Так вы сбросите настройки BIOS к заводским и удалите пароль к BIOS.

9. Воспользуйтесь специальной перемычкой. Она представляет собой прямоугольную деталь, которая устанавливается на два из трех контактов. Если передвинуть перемычку так, что она установится на контакт, который до этого был свободен, настройки BIOS будут сброшены, включая пароль. Пропустите этот шаг, если вы уже сбросили настройки BIOS с помощью CMOS-батареи.

  • На некоторых материнских платах перемычка представляет собой простой переключатель. В этом случае поставьте переключатель в положение «Выключить», подождите несколько минут и снова включите его.
  • Перемычка будет помечена так: CLEAR CMOS, CLEAR, CLR, JCMOS1, PASSWORD, PSWD или аналогичным образом.
  • Обычно перемычка находится возле края материнской платы или CMOS-батареи.

10. Соберите компьютер и включите его. Теперь войдите в компьютер как обычно.

взято с wikihow.com

Как удалить «забытый» пароль BIOS

Последнее изменение: 9 августа 2020 г.

Вы забыли пароль BIOS на вашем компьютере? Это руководство дает вам ДВА метода удалить пароль BIOS !

В первом методе вы увидите, как сбросить пароль BIOS выполнив простую манипуляцию с материнской платой вашего ПК.

Второй метод позволяет удалить пароль BIOS, не открывая корпус со своего компьютера, что интересно пользователю, не желающему прикасаться к аппаратным компонентам своего ПК …

В этом руководстве вы познакомитесь с пошаговой процедурой дляудалить пароль из любого BIOS за несколько минут…

Внимание: Внимательно прочтите это руководство, я не несу ответственности.

Давайте!

Как взломать пароль BIOS

Использование метода стека

«Аккумуляторный метод» предполагает удаление аккумулятора, прикрепленного к материнской плате вашего компьютера.

Когда вынимаете аккумулятор, чтобы 30 секунд это возвращает его BIOS при заводских настройках даже пароль сбрасывается на пароль, установленный производителем в первый раз, и если производитель не установил пароль, у вас его не будет.

Перед извлечением аккумулятора необходимо полностью выключить компьютер и отсоединить шнур питания.

La накапливаться является Ronde, вот изображение батареи моего компьютера:

Если у вас нет батареи, вы можете попробовать метод перемычки, я не буду об этом говорить, у меня на материнской плате нет перемычки …

На ноутбук, это точно так же!

После снятия клавиатуры вы увидите круглая кучатебе просто нужно отсоедините кабель этого аккумулятора на 30 секунд или больше, затем снова подключите его.

Примечание: Выньте аккумулятор и отсоедините шнур питания.

Если вы не хотите открывать или касаться внутри своего ПК, вот программное решение.

Использование компакт-диска PC CMOS Cleaner

Le Очиститель CMOS для ПК ходить с почти все типы BIOSВ том числе BIOS AWARD, AMI, Compaq, Phoenix, Samsung, IBM, Compaq, DTK, Thinkpad, Sony, Toshiba и т. Д.

Чтобы скачать ISO файл перейдите на эту страницу и нажмите «Скачать«: Окно выдачи https://www. raymond.cc/blog/download/did/83/

Если у вас нет программы записи, я рекомендую бесплатную программу. ImgBurn, вот его ссылка для скачивания: http://www.imgburn.com/index.php?act=download

После загрузки файла ISO из Очиститель CMOS для ПК и программа ImgBurn

Ищите чистый компакт-диск

запуск ImgBurn и нажмите «Запишите файл образа на диск«.

Импортируйте ISO файл, выберите горелку в «Destination«и уменьшите скорость, затем нажмите на кнопку записи.

Когда-то компакт-диск очиститель КМОП создан, вам просто нужно перезагрузить компьютер и загрузиться с вашего компакт-диска

Для старого DELL я использовал ключ F12 чтобы получить этот экран, содержащий загрузочные компоненты

Вы можете — если вы хотите управлять порядком загрузки — пройти через CMOS (BIOS SETUP), вот ключи, которые могут вам помочь:

  • «Принадлежащий»,

Убедитесь, что вы вставили компакт-диск в дисковод, затем подождите, пока компакт-диск загрузится.

Дождитесь окончания загрузки, программа должна запуститься автоматически …

Примечание: Если у вас были проблемы типа «Ошибка видеокарты«, снимите видеокарту … У меня была такая же проблема, я удалил ее, и все заработало!

После того, как очиститель КМОП запущен, нажмите на кнопку в центре для продолжения.

Нажмите на кнопку «Далее«.

Нажмите на «Выбор 1«удалить пароль …

Примечание: Второй вариант позволяет обнулить весь BIOS, а не только пароль.

Подтвердите, нажав «Да«.

Нажмите на кнопку «Выход«.

Перезагрузите компьютер нажав второй раз на «Да«.

И вот оно!

Вопрос? Спроси это!

Используйте комментарии ниже, чтобы добавить свои вопросы …

Soufiane — Easytutoriel. com

index

Часть 2. Автономный компьютер

Загрузка со съемного носителя
Утилита NTFSDOS Pro
Взлом паролей BIOS
Взлом паролей экранной заставки
Расширение привилегий
Взлом базы SAM
Заключение

В этой части книги мы обсуждаем методы локального вторжения хакеров в компьютер и ответные действия антихакера. Вначале обсуждаются препятствия, которые должен преодолеть хакер для входа в атакуемую систему. Далее описываются этапы хакерской атаки на компьютер с использованием локального доступа — проникновение в систему, расширение привилегий, реализация цели и сокрытие следов.

Проникновение в систему

Познакомившись в предыдущей главе с системой защиты Window 2000/XP, вы наверное, уже задались вопросом, а как же можно обойти все «ЗА» навороченных средств обеспечения безопасности, которые создавало большое число квалифицированных специалистов? Все зависит от обстоятельств, и в Главе 2, где были перечислены возможные пути вторжения в компьютер, первым в списке стояло локальное вторжение, когда хакер получает физический доступ к консоли управления компьютерной системы, что обеспечивает ему наибольшее число возможностей хакинга.

Вот с него мы и начнем. (Только не подумайте, что вас будут учить лазить в форточку или обшаривать помойки — для этого вы можете обратиться к Интернету. Здесь же мы ограничимся компьютерными технологиями.)

Вообще-то возможность такого вторжения в наибольшей степени обуславливается ненадлежащим выполнением правил политики безопасности организации, а то и полным ее отсутствием. Ныне вполне заурядна ситуация, когда к компьютерной сети неведомо кем и как подключено множество компьютеров, а политика информационной безопасности сводится к листочку со списком паролей, приклеенным к монитору (потом их выбрасывают на помойку — ну и…).

Так что для получения локального доступа к компьютеру хакеру может и не потребоваться орудовать отмычками, лазить через забор или в открытую форточку, чтобы попасть в помещение с компьютерами. После чего, пройдя все испытания, бедный хакер, подсвечивая себе фонариком и пугливо озираясь, должен заняться выкручиванием винчестера для последующего исследования, или пытаться войти в компьютерную систему, поминутно рискуя быть схваченным и посаженным за решетку (поскольку все это — чистейшей воды уголовщина). Неужели все так страшно? Да нет же, нет — чаще всего нужно просто протянуть руку и сорвать плод, висящий над головой. Во многих случаях свободный доступ к компьютерному оборудованию — вещь достаточно обычная.

Итак, хакер сел за рабочий стол с компьютером и приступил к работе. Первое, что ему следует сделать — это войти в систему под учетной записью с высокими привилегиями, лучше всего — администратора системы. Тут существуют варианты, и мы их постараемся рассмотреть.

Во-первых, вполне возможна ситуация, когда и делать-то ничего не надо — сотрудник Вася Пупкин вышел на перекур и надолго застрял в курительной комнате за обсуждением вчерашнего футбольного матча, а его компьютер отображает на экране окно проводника Windows. Это вполне реально, как и то, что на мониторе может быть приклеен листочек со списком паролей доступа, и каждый пользователь — как минимум член группы опытных пользователей, которым разрешена установка программ и доступ почти ко всем ресурсам компьютера. И чего тут удивляться, что, рано или поздно, все такие системы попадают в лапы типов наподобие доктора Добрянского, а уме они-то найдут чем там заняться, мало не покажется. Описанная ситуация — это полный хаос в политике безопасности организации, и, повторяем, таких организаций — полным-полно.

Во-вторых, в более благополучных организациях на экране покинутых компьютеров может светиться заставка, защищенная паролем, или же при попытке входа хакеру отображается приглашение на ввод пароля системы Windows или системы BIOS компьютера. Тогда хакеру для входа в компьютер придется поработать с системой защиты, и один из путей получения доступа к ресурсам компьютера Windows 2000/XP состоит в загрузке системы со съемного носителя.

3aгрузка со съемного носителя

Если вход в компьютерную систему закрыт паролем доступа, то хакер может попытаться загрузить систему со съемного носителя — дискеты или компакт-диска (естественно, при наличии дисководов). Чего, казалось бы, проще — вставляй загрузочную дискету с системой MS-DOS в дисковод и включай компьютер! Однако подождите с выводами — все не так просто, и тут есть свои подводные камни. Во-первых, загрузка системы со съемного носителя может быть запрещена настройкой параметров BIOS системы, а доступ к параметрам BIOS закрыт паролем. Эту ситуацию мы рассмотрим в следующем разделе.

Во-вторых, даже если загрузка со съемного носителя в BIOS разрешена, то вы можете столкнуться с проблемой доступа к файловой системе NTFS, поддерживаемой только системами Windows 2000/XP. Таким образом, после загрузки системы MS-DOS вы просто-напросто не увидите жесткого диска — вожделенного хранилища информации, из-за которого все и было затеяно.

Конечно, можно быстро-быстро, потея и озираясь по сторонам, вывинтить жесткий диск и убежать (автор категорически не советует — если поймают — все, и надолго! И потом, как говаривал О. Бендер, все это «низкий сорт, грязная работа»), чтобы потом спокойно исследовать его содержимое на своем компьютере Windows 2000/XP. Но более квалифицированный хакер поступит иначе — он прибегнет к утилите NTFSDOS Professional (http://www.winternals.com) компании Winternals Software LP, которая позволяет получить доступ к дискам NTFS из системы MS-DOS. Помимо всего прочего, эта утилита чрезвычайно полезна при порче операционной системы, утрате пароля входа в Windows 2000/XP и в других случаях. Так что эта утилита полезна обоим участникам виртуальной битвы — и хакеру, и антихакеру. Поэтому опишем работу с утилитой NTFSDOS Professional — она это заслужила.

Утилита NTFSDOS Pro

Применение утилиты NTFSDOS Pro заключается в следующем. После инсталляции программы в главном меню Windows создается папка NTFSDOS Professional с командой вызова мастера NTFSDOS Professional Boot Disk Wizard (Мастер загрузочных дисков NTFSDOS Professional). Запуск этого мастера создает загрузочную дискету или жесткий диск, который может быть использован для работы с томами NTFS. Опишем работу мастера по шагам.

Перед началом работы вы должны создать две загрузочные дискеты, воспользовавшись командами FORMAT/S или SYS системы MS-DOS. Или же можно создать эти дискеты с помощью команды форматирования Windows XP с установленным флажком Create an MS-DOS startup disk (Создать загрузочную дискету MS-DOS).

• Выберите команду главного меню Пуск * Программы * NTFSDOS Professional (Start * Programs * NTFSDOS Professional). На экране появится диалог с приветствием (Рис. 1).

Рис. 1. Приветственный диалог мастера установки NTFSDOS Pro

• Щелкните мышью на кнопке Next (Далее). На экране появится следующий диалог (Рис. 2), в котором отображается напоминание о необходимости иметь под рукой две загрузочные дискеты, о них мы уже упоминали чуть выше.

Рис. 2. Диалог с предупреждением о необходимости иметь системные дискеты

• Щелкните на кнопке Next (Далее).

По умолчанию NTFSDOS Pro использует версию набора символов MS DOS для США (кодовая страница 437). В отобразившемся третьем диалоге мастера (Рис. 3) предлагается выбрать дополнительный набор символов.

Рис. 3. Диалог выбора языковой поддержки

• Выберите MS-DOS Russian (former USSR), code page 866 и щелкните мышью на кнопке Next (Далее). На экране появится следующий диалог мастера установки NTFSDOS Рro (Рис. 4).

Рис. 4. Выбор каталога с системными файлами Windows

В этом диалоге надо указать место хранения системных файлов Windows NT/2000/XP, необходимых NTFSDOS Pro.

• В своей папке на диске E:\ создайте папку Файлы для уроков по безопасносити.

• Найдите с помощью поисковика следующие системные файлы в корневом каталоге системы и скопируйте их в свою папку:

autochk.exe

c_1252.nls

c_866.nls

c_437.nls

l_intl.nls

ntdll.dll

ntfs.sys

ntoskrnl.exe

• Нажмите на кнопку Обзор и укажите путь к вашей папке в которую вы скопировали файлы из предыдушего пункта (Рис. 5). Нажмите ОК.

Рис. 5. Выбор каталога с системными файлами Windows

• Щелкните на кнопке Next (Далее). На экране появится следующий диалог мастера установки NTFSDOS Pro (Рис. 6).

Рис. 6. Выбор места инсталляции NTFSDOS Pro

В этом диалоге необходимо указать каталог или диск для инсталляции программы NTFSDOS Pro. Этот каталог или диск должен быть доступен для MS-DOS, т.е. должен быть томом FAT или FAT32. При указании диска А: мастер создаст три дискеты. Кнопка Advanced (Дополнительно) позволяет инсталлировать NTFSDOS Pro для других систем, отличных от MS-DOS.

• Вставьте первую дискету. Выберите диск A:\ и щелкните мышью на кнопке Next (Далее). На экране появится диалог мастера установки с сообщением о начале инсталляции NTFSDOS Pro (Рис. 7).

Рис. 7. Диалог с сообщением о начале инсталляции NTFSDOS Pro

• Щелкните мышью на кнопке Next (Далее), чтобы начать копирование файлов.

• После завершения копирования на экране появится следующий диалог мастера установки. Вставьте вторую дискету и нажмите Next (Далее) (Рис. 8).

Рис 8. Просьба мастера вставить вторую дискету

• Когда мастер завершит копирование файлов на экране появится следующий диалог мастера. Сдесь будет скопирована дискета с файлами программы NTFSCHK.EXE, позволяющая выполнить проверку дисков NTFS. Вставьте третью дискету и нажмите Next (Далее) (Рис. 9).

Рис 9. Диалог с сообщением о копировании программы NTFSCHK.EXE

По завершении копирования файлов отобразится диалог (Рис. 10) с сообщением о создании набора дискет NTFSDOS Professional.

Рис. 10. Диски NTFSDOS Pro готовы

• Щелкните мышью на кнопке Finish (Завершить), чтобы завершить работу мастера.

Теперь вы готовы работать с программой NTFSDOS Pro, что не вызывает особых затруднений.

• Установите в дисковод загрузочную дискету и перезагрузите компьютер.

• Отобразиться следующее сообщение:

Microsoft Windows Millennium Startup Menu

1. Help

2. Start computer with CD-ROM support.

3. Start computer without CD-ROM support.

4. Minimal Boot.

• Выберите пункт 2 и нажмите Enter.

• После недолгих ожиданий, когда все успокоится, вставьте первую дискету созданную в программе NTFSDOS. Введите с клавиатуры NTFSPRO и нажмите Enter.

• Когда отобразиться диалог Please enter NTFSDOS Professional disk 2 and then press enter: вставьте вторую дискету в дисковод и нажмите Enter

Исполняемый файл NTFSPRO.EXE, смонтирует диски NTFS компьютера.

Последующая работа с этими дисками, как и со всем компьютером, выполняется с помощью команд MS-DOS так, как это делается при использовании файловых систем FAT и FAT32, причем утилита NTFSDOS Pro поддерживает длинные имена файлов и папок.

Загрузив систему MS-DOS и обеспечив поддержку NTFS, вы можете безо всяких помех со стороны системы входной регистрации Windows 2000/XP делать с системой что угодно. Вы сможете копировать файлы, форматировать жесткий диск (зачем — дело ваше), и выполнять другие, не менее увлекательные действия, которые едва ли понравятся хозяину компьютера. Однако, если вы — уважающий свое время и труд хакер, вам, прежде всего, следует подумать о будущем и заняться делом. Например, полезно встроить в только что взломанную систему различные инструменты для облегчения последующего доступа, что достигается установкой трояна, который будет сообщать вам обо всех действиях пользователей. Также очень неплохо скопировать на свой носитель информации разные файлы и папки взломанной системы для последующего изучения — и не забудьте о базе SAM, которая, напоминаем, находится в каталоге корень_системы/system32/config.

• Введите с клавиатуры copy f:\windows\system32\config\sam a:, которая скопирует SAM базу на вашу дискету.

• Выньте дискету и нажмите сочетание клавишь Ctrl+Alt+Del. Если появится диалог нажмите Esc

Что делать дальше с файлом SAM, мы опишем чуть далее, в разделе «Взлом базы SAM», а пока подумаем вот над чем. Все эти наши действия молчаливо предполагали, что параметры BIOS компьютера установлены так, что они разрешают загрузку системы со съемных носителей. Однако хозяин системы, не будучи законченным ламером, вполне в состоянии запретить такую загрузку и закрыть доступ к программе Setup паролем BIOS (это стандартное правило политики безопасности — но кто ему следует…). Следовательно, хакер должен взломать эту защиту BIOS.

Взлом паролей BIOS

Параметры BIOS материнской платы хранятся записанными в микросхему постоянной памяти ПЗУ (Постоянное запоминающее устройство), сохраняющей информацию при выключении питания компьютера. Если при загрузке системы в определенный момент нажать клавишу Delete то отобразится диалог программы Setup, с помощью которой можно настраивать параметры BIOS, в том числе пароль и разрешение на загрузку со съемного носителя. Введенные значения сохраняются в перепрограммируемой памяти CMOS. Набор параметров BIOS и внешний вид диалога Setup сильно зависят от типа BIOS и с их содержимым лучше всего познакомиться в документации на материнскую плату.

Вообще-то пароли BIOS никогда не считались надежной защитой, поскольку их установку очень легко отменить простыми манипуляциями с оборудованием компьютера. Дело в том, что память CMOS требует постоянного электропитания, которое обеспечивает маленькая батарейка на материнской плате. Если батарейку снять, микросхема с памятью CMOS разрядится, и при загрузке системы BIOS будут использованы параметры, установленные по умолчанию в микросхеме ПЗУ, которые открывают доступ к настройкам BIOS. Так что главное — это суметь открыть корпус компьютера и произвести манипуляции с материнской платой (конечно, на выключенном компьютере!). Это не так-то просто, учитывая, что некоторые производители материнских плат и корпусов снабжают свои изделия защитой от вскрытия корпуса. Но это уже как повезет.

Если батарейка впаяна в материнскую плату, то лучше всего не возиться с паяльником, а просто закоротить две перемычки (джампера), которые, как правило, устанавливаются на материнской плате специально для очистки памяти CMOS. Положение этих джамперов можно выяснить по документации на материнскую плату, или найти методом «научного тыка», т.е. просто замыкая все пары джамперов вблизи микросхемы BIOS. Надеемся, что вам повезет; но что делать, если и тут ничего не вышло?

В этом случае можно прибегнуть к такому методу обхода паролей BIOS — попытаться использовать универсальные пароли, пригодные для любых программ Setup — списки таких паролей можно найти на хакерских сайтах и книгах по хакингу.

Обсудим еще одну интересную возможность. На некоторых Web-сайтах и компакт-дисках можно найти программы для чтения паролей BIOS. По сугубо личному мнению автора польза от таких программ для взлома доступа к системе сомнительна — ведь чтобы запустить такую программу, нужно вначале загрузить на компьютер операционную систему, а если вы это сумеете сделать, то зачем вам утилита взлома BIOS? Вдобавок ко всему прочему, такие программы пишутся программистами-любителями, поэтому эти программы порой способны нарушить работу компьютера, причем с тяжелыми последствиями; другая опасность связана с возможным заражением вирусами.

Тем не менее, на Рис. 10 представлен пример работы программы amipswd.exe группы известных авторов такого рода инструментов, извлекающей пароли BIOS фирмы AMI из памяти CMOS компьютера. Как видим, пароль извлечен — но ведь для этого хакеру уже потребовалось войти в систему! Ну может, когда-нибудь и пригодится. ..

Рис. 11. Пароль BIOS взломан!

Взлом паролей экpaннoй saставки

Ну хорошо, с паролями BIOS мы управились, и вряд ли это было такой уж сложной задачей. Вообще-то, настройку BIOS способны выполнить, как правило, люди достаточно опытные, которых отнюдь не большинство, поэтому защита BIOS паролями — не слишком распространенная практика. Тем не менее, стандартная политика безопасности организации запрещает оставлять компьютеры без защиты, даже при кратковременном уходе с рабочего места. Как же это сделать — выйти из системы, и снова войти по возвращении? Но это крайне неудобно, поскольку предполагает закрытие документов, остановку работы приложений, закрытие соединений, и т.д. — короче говоря, разрушает рабочий стол пользователя.

Однако есть один выход, предусмотренный разработчиками Windows — запуск экранной заставки с паролем. В Windows 95/98/NT/2000/XP имеются встроенные заставки с парольной защитой, однако удобнее использовать программы электронных заставок сторонних производителей, поскольку они запускаются самими пользователями, а не автоматически, по прошествии некоторого времени, как это делается в Windows. Одной из наиболее удачных программ такого рода можно считать утилиту ScreenLock компании iJen Software. По мнению автора, основное преимущество такой утилиты — это принуждение пользователя задавать новый пароль при каждом запуске, что исключает необходимость запоминания пароля и затрудняет его взлом.

Заставки с паролем, предоставляемые системами Windows 95/98, по сути являются единственным методом защиты этих компьютеров от несанкционированного входа в систему, поскольку входная регистрация пользователей Windows 95/98 фактически выполняет только загрузку пользовательских профилей. Если вместо ввода пароля входной регистрации нажать на клавишу [Esc], то произойдет вход в систему со стандартными настройками. Таким образом, для преодоления защиты заставкой с паролем систем Windows 95/98 следует только перезагрузиться.

Если же перезагрузка нежелательна, поскольку разрушает рабочий стол компьютера, демаскирует взломщика звуками, издаваемыми компьютером при перезапуске, требует некоторого времени и т. д., то у хакера имеются в запасе еще два метода. Первый — извлечение паролей заставки Windows 95/98, хранимых в системном реестре Windows 95/98 с помощью специальных программ, например, 95sscrk. Запуск этой программы из командной строки Windows 95/98 приводит к отображению введенного пароля экранной заставки, как показано на Рис. 12.

Рис. 12. Пароль экранной заставки взломан!

Другой, более эффективный метод извлечения паролей из реестра Windows — использование функции автозапуска систем Windows. Если в устройство CD-ROM установить компакт-диск, то компьютер, при включенной функции автозапуска автоматически загрузит программу, указанную в файле Autorun.ini, причем в oбход заставки с паролем систем Windows 95/98 (но не систем Windows 2000/XP). То же самое касается программ экранных заставок независимых производителей — большинство из них (включая Screen Lock) «пропускают» атаку с помощью автозапуска компакт-дисков на компьютерах Windows.

Таким образом, функция автозапуска — это прекрасный метод локального вторжения в компьютер, поскольку для его применения достаточно создать компакт диск с файлом Autorun.ini, в котором указан автозапуск записанной на CD-ROM: хакерской программы. Далее, пока хозяин компьютера гуляет по коридору, надеясь на защиту экранной заставки с паролем (если она еще запущена), хакер помещает в дисковод свой компакт-диск с автозапуском инсталляционных файлов. Пятьдесять минут «работы» — и на компьютере «ламера» сидит троян, который «стучит» по сети своему хозяину обо всех действиях пользователя А всего то и делов…

Имеется даже программа, называемая SSBypass (http://www.amecisco.com), которая, используя автозапуск, взламывает пароль экранной заставки Windows 95/9E и отображает его пользователю. Программа SSBypass стоит около $40, но ее ценность представляется небесспорной. Все, что нужно для защиты от таких атак — это отключение функции автозапуска компьютера, что делается с помощью стандартных процедур настройки системы Windows.

Расширение привилегий

Так или иначе, не мытьем, так катаньем, хакеру удалось загрузить операционную систему и получить доступ к ресурсам компьютера. Само собой, это уже хорошо, и для личностей, вроде доктора Добрянского вполне достаточно — теперь можно очистить жесткий диск компьютера этого ламера, или так откорректировать документы своего «друга», что его выгонят с работы (вот потеха-то!), или… Ну, в общем, читайте журнал «Хакер» и информацию на Web-сайтах.

Серьезный же хакер, потратив столько трудов, чтобы попасть в столь привлекательное место, как чужой компьютер, должен попытаться извлечь из этого максимум пользы. Самое главное на этом этапе — получить права доступа к максимально большому объему ресурсов компьютера.

В компьютерах Windows 95/98 любой вошедший в систему пользователь имеет одинаковые права, так что перед хакером стоит лишь задача взлома доступа к ресурсам компьютера. В компьютерах же Windows NT/2000/XP для этого необходимо зарегистрироваться под учетной записью с высокими привилегиями, лучше всего с привилегиями администратора.

Как указывалось в Главе 4, один из путей решения этой задачи — взлом базы SAM компьютера, хранящей пароли учетных записей в шифрованном виде. Посмотрим, что для этого можно сделать.

Взлом базы SAM

Чтобы взломать базу SAM, вначале следует получить доступ к файлу SAM. Для этого можно прибегнуть к описанной выше утилите NTFSDOS Pro, загрузить систему MS-DOS компьютера и скопировать файл SAM из системной папки компьютера /корень_системы/system32/config на дискету. Далее этот файл может быть использован для дешифрования какой-либо программой, например, LC4 — новейшей версией широко известной программы LOphtCrack (http://www.atstake.com).

На Рис. 11 представлено окно приложения LC4 с открытым меню Import (Импорт).

Как видим, возможности программы LC4 позволяют извлекать пароли учетных записей различными методами, включая снифинг локальной сети и подключение к другим сетевым компьютерам. Для взлома паролей в SAM следует выполнить такую процедуру:

• Скопируйте базу SAM с дискеты на диск E:\ в свою папку Файлы для уроков по безопасности.

• Выберите команду главного меню Пуск * Программы * LC4 (Start * Programs * LC4).

• Выберите команду меню File * New Session (Файл * Создать сеанс). Отобразится диалог, подобный Рис. 13.

Рис. 13. Возможности взлома паролей у программы LC4 весьма обширны

• Выберите команду меню Import * Import From SAM File (Импорт * Импорт из файла SAM). Откройте SAM базу из своей папки Файлы по безопасности. Нажмите кнопку OK.

• В отобразившемся диалоге (Рис. 14) выберите команду Session * Begin Aud (Сеанс * Запуск аудита) и запустите процедуру взлома паролей учетных записей.

Рис. 14. Ход процедуры взлома SAM отображается в панели справа

В зависимости от сложности пароля, время, необходимое для взлома SAM, может быть весьма велико. При благоприятном исходе отобразится диалог, показанный на Рис. 15, в котором представлены взломанные пароли SAM.

Рис. 15. Пароли базы SAM взломаны!

Все это очень интересно, поскольку теперь мы знаем пароль учетной записи администратора — 007 и, следовательно, можем делать с компьютером что угодно. Время, потраченное на взлом пароля, составляет около 5 минут на компьютере Pentium 2 с частотой процессора 400 МГц. Такая скорость обусловлена простотой пароля — всего три цифры, что позволило программе LC4 быстро перебрать все комбинации цифр и символов.

Для настройки процедуры взлома fe программе LC4 применяется диалог Auditing Options For This Session (Параметры аудита для текущего сеанса), представленный на Рис. 16.

Рис. 16. Параметры настройки процедуры взлома паролей

Как видим, параметры работы LC4 разделены на три группы:

Dictionary Crack (Взлом по словарю), в которой содержится кнопка Dictionary List (Список словарей), отображающая диалог для выбора словаря с тестируемым набором слов. Вместе с программой LC4 поставляется небольшой словарь английских слов, однако в Интернете можно найти весьма обширные словари, позволяющие хакеру быстро перебрать практически все общераспространенные слова английского языка. Отсюда понятно, почему не следует при выборе пароля использовать осмысленные словосочетания, например, имена, названия городов, предметов и т. д., поскольку все они элементарно взламываются словарной атакой.

Dictionary/Brute Hybrid Crack (Словарь/Комбинированный силовой взлом), где можно указать число цифр, добавляемых после и/или перед словом, выбранных из словаря, перед тестированием полученной строки. Так что если вы выберете, себе пароль типа Password???, его взлом неминуем.

Brute Force Crack (Взлом грубой силой), где вы можете настроить взлом паролей прямым перебором всех комбинаций символов из указанного набора. Это наиболее трудоемкий взлом паролей, и его успех зависит от сложности паролей и мощности компьютера. В открывающемся списке Character Set (Набор сим волов) можно выбрать набор применяемых при взломе символов или, выбран пункт Custom (Пользовательский), ввести в ставшее доступным поле Custom Character Set (List each character) (Пользовательский набор символов (перечислите каждый символ)) набор дополнительных символов. Установка флажка Distributed (Распределенный) предоставляет возможность вычислять пароль сразу на нескольких компьютерах. Для этого следует командой File * Save Distributed (Файл * Сохранить распределенный) сохранить файл сеанса в виде нескольких частей и исполнять их на нескольких компьютерах.

Программа LC4 представляет собой весьма мощный инструмент взлома защиты Windows NT/2000/XP.

Заключение

Описанные в этой главе инструменты позволяют получить доступ к ресурсам компьютера, защищенного паролем BIOS, экранными заставками и средствами входной регистрации. Для их использования хакер должен работать непосредственно на консоли атакуемой системы, что несколько снижает ценность предложенных здесь технологий. В самом деле, опыт показывает, что при наличии физического доступа к компьютеру хакер просто похищает его жесткий диск для последующей «работы». Тем не менее, все описанные здесь средства — это отнюдь не игрушки, и если система защиты компьютера плохо настроена, а политика безопасности организации, мягко говоря, слабовата (что весьма традиционно), то хакер, овладев описанными в главе методами, может достичь очень и очень многого.

А для антихакера здесь наука — не будь ламером, защищай систему паролями достаточной сложности, не бросай компьютер без всякой защиты на растерзание типам вроде доктора Добрянского и иже с ним. Одна только установка шаблона безопасности для рабочей станции Windows 2000/XP вполне способна пресечь многие и многие штучки подобного рода персонажей. Что касается пользователей Windows 9х/Me, то их возможности по защите системы невелики — только применение методов шифрования, наподобие предоставляемых пакетом PGP Desktop Security, может защитить их компьютер от полного разгрома. Сама же по себе система защиты Windows 9x/Me весьма слаба, как мы могли только что убедиться.

Как поставить пароль на BIOS и пароль на загрузку компьютера.

Если вы не хотите, чтобы посторонние глаза и руки лазили в настройки BIOS и изменяли там что-либо, то в таком случае вам необходимо будет поставить пароль на BIOS. Об этом вы можете прочитать в данной статье. Хочется здесь также отметить, что поставить пароль на вход в BIOS позволяют все его версии, а вот на загрузку компьютера пароль поставить удастся не во всех версиях  BIOS (как у меня, поэтому фотографии к статье будут прелагаться частично).

И так, для начала попадаем в BIOS. Для этого сразу после включения компьютера жмем либо DEL, либо F2 (у каждого по разному), если не знаете вообще с помощью какой клавиши конкретно у вас осуществляется вход в BIOS, тогда жмите по очереди DEL и F2.

Далее находим строчку BIOS Setting Password. Жмем Enter.

Вводим  пароль и жмем Enter.

Подтверждаем  пароль и жмем Enter.

Все сохраняемся и выходим — Save and Exit Setup.
Теперь при входе в BIOS у нас будут спрашивать пароль.

Если версия и производитель вашей BIOS отличается от моей и картинка примерно следующая:

То в этой версии BIOS пароль на вход устанавливается во вкладке Security. Перейдите на строчку Set Supervisor Password, нажмите Enter и установите пароль.

Так же в этой версии можно установить пароль на загрузку, то есть ОС не загрузится, пока вы не введете пароль, не путайте данный пароль с тем, который устанавливается непосредственно в ОС Windows.
Установка пароля на загрузку осуществляется в строчке Password on boot (из предыдущей картинки).

Для того чтобы поубирать все эти пароли необходимо проделать те же действия только вместо паролей пооставлять пустые строчки и сохранить изменения.


Оценить статью: Загрузка… Поделиться новостью в соцсетях

 

Об авторе: Олег Каминский

Вебмастер. Высшее образование по специальности «Защита информации». Создатель портала comp-profi.com. Автор большинства статей и уроков компьютерной грамотности

Взлом BIOS — 3 метода — Дыры и взлом — Чтиво

Если вам необходимо взломать пароль BIOS, то нет ничего проще. В этой статье я описал универсальный, аппаратный и программный способы взлома любой версии BIOS и если вам это интересно — читайте дальше.
С чего начать?
Прежде всего, изучить документацию к вашей материнке, где наверняка можно найти подробную информацию о сбросе установок в изначальные, (принятые по умолчанию изготовителем). В самых новых версиях BIOS (AWARD BIOS 4.5 и выше) возможны варианты обнуления параметров с помощью удерживания определенной клавиши (чаще всего «Ins»). Клавишу необходимо нажать до включения питания и удерживать до загрузки компа.
Также есть универсальные пароли. Достаточно знать производителя и версию BIOS что бы ими воспользоваться:

AWARD BIOS

Версия 2.50:
AWARD_SW, j262, TTPTHA, 01322222, KDD, ZBAAACA, aPAf, lkwpeter, t0ch88, t0ch30x, h6BB, j09F, TzqF.

Версия 2.51:
AWARD_WG, j256, BIOSTAR, HLT, ZAAADA, Syxz, ?award, 256256, alfarome, SWITCHES_SW, Sxyz, SZXY, t0ch30x.

Версия 2.51G:
g6PG, j322, ZJAAADC, Wodj, bios*, biostar, h6BB, HELGA-S, HEWITTRAND, HLT, t0ch88, zjaaadc.

Версия 2.51U:
1EAAh, condo, biostar, CONDO, CONCAT, djonet, efmukl, g6PG, j09F, j64, zbaaaca.

Версия 4.5x: (для всех подверсий пароли одинаковые)
AWARD_SW, AWARD_PW, 589589, PASSWORD, SKYFOX, AWARD SW, award.sw, AWARD?SW, award_?, award_pc, ZAAADA.

Версия 6.0:
AWARD_SW, lkwpeter, Wodj, aPAf, j262, Syxz, ZJAADC, j322, ?award, TTPTHA, KDD, HLT, шесть пробелов, девять пробелов, 01355555, ZAAADA.

Для версий выше 4.51PG универсальные пароли могут и несработать, выше описано как это обойти.

AMI BIOS

AMI, SER, A.M.I., AMI!SW, AMIPSWD, BIOSPASS, aammii, AMI.KEY, amipswd, CMOSPWD, ami.kez, AMI?SW, helgaЯs, HEWITT RAND, ami’, AMISETUP, bios310, KILLCMOS, amiami, AMI~, amidecod.
Кроме этого обнуление может произойти если при включении удерживать ,+++, или просто . После аппаратного сброса установок по умолчанию функции универсального пароля будет нести пароль AMI_SW.

BIOS других производителей

Здесь приведены версии BIOS для ноутбуков, серверных систем и т.д.

AMPTON BIOS — Polrty;
AST BIOS — SnuFG5;
BIOSTAR BIOS — Biostar, Q54arwms;
COMPAQ BIOS — Compaq;
CONCORD BIOS — last;
CTX International BIOS — CTX_123;
CyberMax BIOS — Congress;
Daewoo BIOS — Daewuu, Daewoo;
Daytec BIOS — Daytec;
DELL BIOS — Dell;
Digital Equipment BIOS — komprie;
Enox BIOS — xo11nE;
Epox BIOS — Central;
Freetech BIOS — Posterie;
HP Vectra BIOS — hewlpack;
IMB BIOS — IBM, MBIUO, sertafu;
Iwill BIOS — iwill;
JetWay BIOS — spooml;
Joss Technology BIOS — 57gbz6, technology;
M Technology BIOS — mMmM;
MachSpeed BIOS — sp99dd;
Magic-Pro BIOS — prost;
Megastar BIOS — star, sldkj754, xyzall;
Micronics BIOS — dn_04rjc;
Nimble BIOS — xdfk9874t3;
Packard Bell BIOS — bell9;
QDI BIOS — QDI;
Quantex BIOS — teX1, xljlbj;
Research BIOS — Col2ogro2;
Shuttle BIOS — Col2ogro2;
Siemens Nixdorf BIOS — SKY_FOX;
SpeedEasy BIOS — lesarot1;
SuperMicro BIOS — ksdjfg934t;
Tinys BIOS — tiny, tinys;
TMC BIOS — BIGO;
Toshiba BIOS — Toshiba, 24Banc81, toshy99;
Vextrec Technology BIOS — Vextrex;
Vobis BIOS — merlin;
WIMBIOS v. 2.10 BIOS — Compleri;
Zenith BIOS — 3098z, Zenith;
ZEOS BIOS — zeosx.

Теперь я расскажу как хакнуть BIOS если универсальный пароль не помогает с помощью АППАРАТНЫХ СРЕДСТВ

1) Не пытайтесь вынимать и вставлять обратно микросхему BIOS, она без питания может продержаться больше суток!!! К тому же это надо делать специальным пинцетом. Лучше попробуйте найти на материнке перемычку (обычно рядом с CMOS-батареей) для сброса параметров BIOS. Если CMOS-батареи нет то найдите на плате микросхему с надписью Dallas или Odin, перемычка должна быть возле нее.
2) Если перемычка заблокированна, запаяна или ее прсто нет. Если на материнке нет CMOS-батарейки, то необходимо замкнуть при выключенном питании, на несколько секунд, следующие контакты вашей микросхемы BIOS (контакт номер 1 обычно выделяется специальной меткой — цветной точкой или выемкой в корпусе микросхемы):
-P82C206 Chip
Квадратная микросхема, устаревшая, контакты 12 и 32 либо 74 и 75
-F82C206 Chip
Прямоуголная микросхема, контакты 3 и 26
-Dallas DS1287A, DS12887A, Benchmarq bq3287AMT
Прямоуголная микросхема, контакты 12 и 21
-Dallas DS1287, DS12887, Benchmarq bq3287MT
Прямоуголная микросхема, обнуление не возможно! необходимо менять микросхему
-Motorolla MC126818AP, Hitachi HD146818AP, Samsung KS82C6818A и т. д. с маркировкой заканчивающейся на 6818
Прямоугольная микросхема, контакты 12 и 24
-Dallas DS12885S, Benchmarq bq3258S
Прямоугольная микросхема, контакты 12 и 20 либо 12 и 24

Теперь я расскажу как хакнуть BIOS с помощью ПРОГРАММНЫХ СРЕДСТВ.

При использовании программных средств не требуется открытие системника (т.к. он может быть на гарантии) в этом их основное преимущество.
Для этого необходимо загрузить комп в режиме MS-DOS. Обладая элементарными навыками программирования, можно быстро получить доступ к проге CMOS Setup Utility и соответственно ко всем параметрам BIOS. Наиболее эффективные способы взлома:

1) С помощью любого языка программирования (Pascal, Assembler и т.п.) в порт 70H записывается значение от 10H до 2FH, а в порт 71H любое значение не равное старому. Например если вы используете язык программирования Borland Pascal 7.0, программа выполняющая данную операцию будет выглядеть следующим образом:
Port[$70]:=$10
Port[$71]:=Port[$71] xor $FF
Принцип действия этого способа основан на разрушении контрольной суммы содержимого CMOS-памяти. В результате, при первой загрузке BIOS будут загружены параметры Default и пароль соответственно установится в стандартный, характерный для данной версии BIOS.
Если ваш компилятор Turbo Pascal, то программа будет выглядеть по-моему так:
Begin
Port[$70]:=$2E;
Port[$71]:=$00;
Port[$70]:=$2F;
Port[$71]:=$00;
end

2) В составе любой операционки есть утилита DEBUG для оперативного изменения содержимого указанных ячеек. Для самых распространенных BIOS: AWARD и AMI последовательность команд будет выглядеть следующим образом:
DEBUG
-O 70 17
-O 71 17
Q

3) Если вы не владеете программированием то, создайте текстовый файл с помощью встроенных средств какого-нибудь навигатора типа NC, DN, VC, или FAR задав имя, например, killcmos.com. Затем наберите следующие коды при помощи нажатой клавиши (нажали , ввели код, отпустили и т.д.):
178, 112, 50, 246 ,176, 46, 238, 66, 50, 192, 238, 205, 32
Сохраните внесенные изменения и запустите полученный файл.

4) Можно воспользоваться и готовыми утилитами для просмотра пароля BIOS, но если они не совместимы с вашей версией BIOS или содержат хоть одну ошибку, ваши данные микросхемы CMOS будут повреждены или что еще хуже повреждены данные микросхемы BIOS, а это может обернуться покупкой новой материнки.

Вместо заключения.
Эта статья была собрана из материалов «закрытой» печати, данных спецслужб, материалов сайтов производителей микросхем BIOS и материнских плат. О взломе BIOS мало пишут и говорят, многие люди вообще не знают что это возможно. 90% — менеджеров, бухгалтеров, директоров фирм по статистике используют именно этот способ защиты своего ПК как рабочего так и домашнего. Так что теперь, изучив эту статью, вам не составит труда быстро и легко взломать любой комп с такой защитой.

Взлом BIOS вашего компьютера для разблокировки скрытых настроек, разгона и многого другого « Null Byte :: WonderHowTo отвечает за инициализацию оборудования вашего компьютера при первом включении. Пробует видеоадаптеры, оперативку, все работает. BIOS предоставляет небольшую библиотеку основных функций ввода-вывода, используемых для работы и управления периферийными устройствами, такими как клавиатура, функции отображения текста и т. д., и эти функции библиотеки программного обеспечения могут вызываться внешним программным обеспечением, таким как ОС и системное программное обеспечение в рамках указанного ОПЕРАЦИОННЫЕ СИСТЕМЫ.

Когда вы входите в свой BIOS, настройки BIOS позволяют нам манипулировать устройствами в компьютере, чтобы делать некоторые довольно интересные вещи. Мы можем разгонять части, создавать RAID-массивы, добавлять загрузочные пароли и многое другое. По умолчанию большинство производителей не позволяют вам иметь много настроек, особенно если вы являетесь пользователем ноутбука (за исключением пользователей игровых ноутбуков). Это действительно может быть обломом, особенно когда вы действительно близки к идеальному запуску игры, а ваше оборудование не может с этим справиться, разгон может быть тем последним ускорением, которое вам нужно.Даже если разгон вам не по душе, вы можете понизить частоту для экономии энергии.

Отличный BIOS позволяет пользователям делать великие вещи, но, как мы уже говорили, многим компьютерам этого не хватает. Альтернатива Null Byte — взломать его! Если мы взломаем наш BIOS, мы сможем дать нашему компьютеру функции, которых у него раньше не было, например Загрузка с USB . Обратите внимание, что не для всех BIOS доступны взломанные версии.

Требования
  • ОС Windows
  • Знайте имя и версию BIOS или модель компьютера
Предупреждение
  • Вы можете заблокировать материнскую плату вашего компьютера, если вы неправильно прошиваете или возникает ошибка, которая делает его непригодным для использования,Не выключайте компьютер и не делайте ничего другого во время прошивки.

Шаг 1 Найдите правильный взломанный BIOS для вас

Чтобы найти наш BIOS, возьмите его имя и используйте соответствующие запросы. Я буду искать взломанный BIOS A05 для Alienware M18x.

  1. Перейдите в раздел Моды биоса. Если вы не можете найти его здесь, выполните простой поиск в Google. Я использовал «hacked m18x bios a05», который вернул прекрасный разблокированный BIOS A05.
  2. Найдите свой BIOS, модель компьютера или и то, и другое.

Шаг 2 Перепрограммируйте BIOS

  1. Отключите все работающие программы, какие только сможете.Запущенное программное обеспечение может привести к плохой прошивке, которая испортит вашу материнскую плату.
  2. Распакуйте архив утилиты.
  3. Загрузите инструмент и при необходимости выберите взломанную версию BIOS.
  4. Дождитесь завершения прошивки.

При перезагрузке у вас должен появиться BIOS с множеством новых опций, как в примере ниже.

Следуйте и общайтесь с нулевым байтом !

Хотите начать зарабатывать как белый хакер? Начните свою хакерскую карьеру с нашего комплекта обучения Premium Ethical Hacking Certification 2020 от нового магазина Null Byte и получите более 60 часов обучения от профессионалов в области кибербезопасности.

Купить сейчас (скидка 90%) >

Другие выгодные предложения:

Изображение через Gametecknow

Взломайте BIOS вашего компьютера, чтобы разблокировать скрытые настройки, разгон и многое другое

Your BIOS , или B asic I nput O output S ystem — это прошивка на материнской плате, отвечающая за инициализацию оборудования компьютера при первом включении питания.Пробует видеоадаптеры, оперативку, все работает. BIOS предоставляет небольшую библиотеку основных функций ввода-вывода, используемых для работы и управления периферийными устройствами, такими как клавиатура, функции отображения текста и т. д., и эти функции библиотеки программного обеспечения могут вызываться внешним программным обеспечением, таким как ОС и системное программное обеспечение в рамках указанного ОПЕРАЦИОННЫЕ СИСТЕМЫ.

Когда вы входите в свой BIOS, настройки BIOS позволяют нам манипулировать устройствами в компьютере, чтобы делать некоторые довольно интересные вещи.Мы можем разгонять части, создавать RAID-массивы, добавлять загрузочные пароли и многое другое. По умолчанию большинство производителей не позволяют вам иметь много настроек, особенно если вы являетесь пользователем ноутбука (за исключением пользователей игровых ноутбуков). Это действительно может быть обломом, особенно когда вы действительно близки к идеальному запуску игры, а ваше оборудование не может с этим справиться, разгон может быть тем последним ускорением, которое вам нужно. Даже если разгон вам не по душе, вы можете понизить частоту для экономии энергии.

Отличный BIOS позволяет пользователям делать великие вещи, но, как мы уже говорили, многим компьютерам этого не хватает.Альтернатива Null Byte — взломать его! Если мы взломаем наш BIOS, мы сможем дать нашему компьютеру функции, которых у него раньше не было, например Загрузка с USB . Обратите внимание, что не для всех BIOS доступны взломанные версии.

Требования
  • ОС Windows
  • Знайте имя и версию BIOS или модель компьютера
Предупреждение
  • Вы можете заблокировать материнскую плату вашего компьютера, если вы неправильно прошиваете или возникает ошибка, которая делает его непригодным для использования,Не выключайте компьютер и не делайте ничего другого во время прошивки.

Шаг 1 Найдите правильный взломанный BIOS для вас

Чтобы найти наш BIOS, возьмите его имя и используйте соответствующие запросы. Я буду искать взломанный BIOS A05 для Alienware M18x.

  1. Перейдите в раздел Моды биоса. Если вы не можете найти его здесь, выполните простой поиск в Google. Я использовал «hacked m18x bios a05», который вернул прекрасный разблокированный BIOS A05.
  2. Найдите свой BIOS, модель компьютера или и то, и другое.

Шаг 2 Перепрограммируйте BIOS

  1. Отключите все работающие программы, какие только сможете. Запущенное программное обеспечение может привести к плохой прошивке, которая испортит вашу материнскую плату.
  2. Распакуйте архив утилиты.
  3. Загрузите инструмент и при необходимости выберите взломанную версию BIOS.
  4. Дождитесь завершения прошивки.

При перезагрузке у вас должен появиться BIOS с множеством новых опций, как в примере ниже.

Подписывайтесь и общайтесь с нулевым байтом !

Изображение через Gametecknow

Через взлом BIOS вашего компьютера, чтобы разблокировать скрытые настройки, разгон и многое другое с нулевым байтом.Wonderhowto.com.

Читать больше постов на WonderHowTo »

Взлом микросхем BIOS больше не является прерогативой АНБ. По словам двух исследователей,

миллионов машин содержат базовые уязвимости BIOS, которые позволяют любому, обладающему средними навыками взлома, тайно скомпрометировать систему и управлять ею.

Разоблачение произошло через два года после того, как каталог шпионских инструментов АНБ, утекший журналистам в Германии, удивил всех своим рассказом об усилиях АНБ по заражению микропрограммы BIOS вредоносными имплантатами.

BIOS загружает компьютер и помогает загрузить операционную систему. Заражая это основное программное обеспечение, которое работает ниже антивирусов и других продуктов безопасности и поэтому обычно не сканируется ими, шпионы могут внедрять вредоносное ПО, которое остается живым и незамеченным, даже если операционная система компьютера была удалена и переустановлена.

Взлом BIOS до сих пор в основном был прерогативой продвинутых хакеров, таких как АНБ. Но сегодня на конференции CanSecWest в Ванкувере исследователи Ксено Кова и Кори Калленберг представили доказательство концепции атаки, показав, как они могут удаленно заразить BIOS нескольких систем, используя множество новых уязвимостей, на обнаружение которых у них ушло всего несколько часов. Они также нашли способ получить системные привилегии высокого уровня для своей вредоносной программы для BIOS, чтобы подорвать безопасность специализированных операционных систем, таких как Tails, которые используются журналистами и активистами для скрытой связи и обработки конфиденциальных данных.

Хотя большинство BIOS имеют средства защиты от несанкционированных модификаций, исследователи смогли обойти их, чтобы перепрошить BIOS и внедрить свой вредоносный код.

Кова и Калленберг недавно покинули MITRE, государственного подрядчика, который проводит исследования для Министерства обороны и других федеральных агентств, чтобы запустить LegbaCore, консалтинговую компанию по безопасности микропрограмм. Они отмечают, что недавнее открытие исследователями «Лаборатории Касперского» инструмента для взлома прошивки ясно показывает, что взлом прошивки, такой как их демонстрация BIOS, — это то, на чем должно сосредоточиться сообщество безопасности.

Поскольку многие BIOS используют один и тот же код, им удалось обнаружить уязвимости в 80 процентах исследованных ПК, в том числе от Dell, Lenovo и HP. Уязвимости, которые они называют уязвимостями вторжения, было настолько легко найти, что они написали сценарий для автоматизации процесса и в конечном итоге перестали считать обнаруженные уязвимости, потому что их было слишком много.

«Есть один тип уязвимости, и в каждом конкретном BIOS есть буквально десятки экземпляров», — говорит Кова.Они сообщили поставщикам об уязвимостях, а исправления находятся в разработке, но еще не выпущены. Однако Кова говорит, что даже если в прошлом поставщики выпускали патчи для BIOS, мало кто их применял.

«Поскольку люди не обновляют свои BIOS, все уязвимости, обнаруженные за последние пару лет, открыты и доступны злоумышленнику», — отмечает он. «Последние пару лет мы провели в MITRE, бегая по компаниям, пытаясь заставить их делать патчи.Они думают, что BIOS с глаз долой, [потому что] мало что слышат о том, что на него нападают в дикой природе».

Как обойти пароль BIOS на ноутбуке Toshiba?

Если вы забыли пароль BIOS, удалить его может только авторизованный поставщик услуг Toshiba. 1. Начиная с полностью выключенного компьютера, включите его, нажав и отпустив кнопку питания. Немедленно и несколько раз нажмите клавишу Esc, пока не появится сообщение «Проверить систему.

Как взломать пароль BIOS?

Как удалить пароль BIOS вручную?

Сброс пароля BIOS Введите пароль BIOS (с учетом регистра) Выберите меню «Безопасность» и параметр, похожий на «Пароль администратора». Если потребуется, введите текущий пароль BIOS. Введите и подтвердите новый пароль или оставьте это поле пустым. Выберите меню «Выход». Выберите «Сохранить изменения и выйти», затем подтвердите, если будет предложено.

Как войти в BIOS на ноутбуке Toshiba?

Быстро нажмите клавишу «F2», прежде чем Windows сможет загрузиться.На экране загрузки на экране должна быть подсказка, говорящая вам, когда ее нажимать. Мгновенно открывается экран настройки BIOS.

Как обойти пароль BIOS на ноутбуке?

Выключите компьютер и отсоедините кабель питания от компьютера. Найдите перемычку сброса пароля (PSWD) на системной плате. Снимите перемычку с контактов перемычки пароля. Включите питание без перемычки, чтобы сбросить пароль.

Что такое пароль администратора BIOS?

Пароль BIOS — это информация для аутентификации, которая иногда требуется для входа в базовую систему ввода-вывода (BIOS) перед загрузкой компьютера.Поскольку пароль BIOS обеспечивает дополнительный уровень безопасности, он может помочь предотвратить несанкционированное использование компьютера.

Как обойти BIOS при запуске?

Войдите в BIOS и найдите все, что относится к включению, включению/выключению или отображению экрана-заставки (формулировка отличается в зависимости от версии BIOS). Установите для параметра значение «отключено» или «включено», в зависимости от того, что противоположно тому, как оно установлено в данный момент. При отключении экран больше не появляется.

Можно ли удалить пароль BIOS?

Самый простой способ удалить пароль BIOS — просто извлечь батарейку CMOS.Компьютер запоминает свои настройки и сохраняет время, даже когда он выключен и отключен от сети, потому что эти части питаются от небольшой батареи внутри компьютера, называемой батареей CMOS. У некоторых компьютеров эта часть стоит вертикально.

Можно ли получить доступ к BIOS из командной строки?

Использование командной строки для входа в BIOS Вы также можете получить доступ к BIOS через командную строку. Нажмите кнопку «Пуск» и введите «Командная строка». Он попросит вас перезагрузить компьютер, и когда вы нажмете кнопку «Перезагрузить», вы сразу попадете в BIOS.

Как сбросить пароль UEFI BIOS, если эта информация утеряна или забыта?

Выполните следующие действия: Несколько раз введите неверный пароль при появлении соответствующего запроса BIOS. Разместите это, новый номер или код на экране. Откройте веб-сайт пароля BIOS и введите в нем код XXXXX. Затем он предложит несколько ключей разблокировки, с помощью которых вы можете попытаться снять блокировку BIOS / UEFI на вашем компьютере с Windows.

Как войти в BIOS, если не работает клавиша F2?

Программа настройки BIOS не открывается при нажатии клавиши F2 во время загрузки.Перейдите в «Дополнительно»> «Загрузка»> «Конфигурация загрузки». На панели конфигурации экрана загрузки: включите отображение горячих клавиш функции POST. Включите дисплей F2, чтобы войти в настройки. Нажмите F10, чтобы сохранить изменения и выйти из BIOS.

Как принудительно восстановить заводские настройки на ноутбуке Toshiba?

От полного отключения. Удерживайте нажатой клавишу 0 (ноль), а затем отпустите эту клавишу сразу после включения компьютера. Выберите «Устранение неполадок» -> «Утилита обслуживания TOSHIBA» -> «Мастер восстановления TOSHIBA». Следуйте инструкциям на экране, чтобы завершить восстановление.

Как войти в BIOS на Windows 8 Toshiba?

Метод клавиши F12 Включите компьютер. Если вы видите приглашение нажать клавишу F12, сделайте это. Параметры загрузки появятся вместе с возможностью входа в программу установки. С помощью клавиши со стрелкой прокрутите вниз и выберите . Нажмите Ввод. Появится экран настройки (BIOS). Если этот способ не сработал, повторите его, но зажмите F12.

Как удалить пароль администратора?

Вариант 1. Откройте панель управления в виде крупных значков.Нажмите «Учетные записи пользователей». Введите исходный пароль и оставьте поля для нового пароля пустыми, нажмите кнопку «Изменить пароль». Он немедленно удалит ваш пароль администратора.

Как отключить BIOS?

Вне зависимости от случая, вот как отключить параметры памяти BIOS: Шаг 1: Получите доступ к BIOS. Перезагрузите компьютер. Перейдите в меню «Пуск», щелкните значок «Питание» и выберите «Перезагрузить». Шаг 2: Отключите параметры памяти. Перейдите в раздел «Дополнительно», выбрав опцию «Дополнительно» в верхней части экрана.Нажмите Enter.

Как пропустить BIOS и сразу перейти к Windows?

Если Windows загружается нормально, попробуйте отключить быстрый запуск и посмотреть, разрешает ли это доступ к BIOS при загрузке. Перейдите в «Панель управления» > «Электропитание» > выберите действие кнопок питания (слева на странице) > «Изменить параметры, которые сейчас недоступны» > снимите флажок — включите «Быстрый запуск» (рекомендуется) > сохраните изменения.

Как отключить быструю загрузку в BIOS?

[Ноутбук] Как отключить быструю загрузку в конфигурации BIOS Нажмите горячую клавишу [F7] или используйте курсор, чтобы щелкнуть [Расширенный режим]①, отображаемый на экране.Перейдите на экран [Boot]②, выберите элемент [Fast Boot]③, а затем выберите [Disabled]④, чтобы отключить функцию Fast Boot. Сохранить и выйти из настройки.

Как получить доступ к BIOS из командной строки?

Использование командной строки в Windows Введите CMD в поле поиска. Выберите Командная строка или CMD. Появится окно командной строки. Введите wmic bios, получите smbiosbiosversion и нажмите Enter. Строка букв и цифр, следующая за SMBBIOSBIOSVersion, является версией BIOS. Запишите номер версии BIOS.

Как открыть UEFI BIOS?

Как получить доступ к UEFI (BIOS) с помощью «Настройки» Откройте «Настройки». Нажмите «Обновление и безопасность». Нажмите «Восстановление». В разделе «Расширенный запуск» нажмите кнопку «Перезагрузить сейчас». Источник: Центр Windows. Нажмите «Устранение неполадок». Нажмите Дополнительные параметры. Щелкните параметр Настройки встроенного ПО UEFI. Нажмите кнопку «Перезагрузить».

Как войти в BIOS Powerspecs?

Ключ BIOS для ноутбуков PowerSpec 1510 и 1710 — F2. Повторно нажимайте эту клавишу примерно раз в секунду при запуске ноутбука, чтобы получить доступ к BIOS.

миллионов компьютеров остались уязвимыми для взлома чипа BIOS

В микросхемах BIOS, установленных на миллионах компьютеров, обнаружена уязвимость, которая может сделать пользователей уязвимыми для взлома.

В микросхемах BIOS, установленных на миллионах компьютеров, обнаружены уязвимости, которые могут сделать пользователей уязвимыми для взлома, как показали два исследователя на конференции CanSecWest в Ванкувере, Канада.

Согласно Wired, микросхема BIOS работает ниже антивирусного программного обеспечения, поэтому обычно не сканируется, а это означает, что успешный взлом может позволить злоумышленникам внедрить вредоносное ПО на компьютеры и остаться незамеченными. Микросхемы BIOS используются для загрузки компьютера и загрузки операционной системы, но вредоносное ПО останется, даже если операционная система будет удалена и переустановлена.

Исследователи Ксено Кова и Кори Калленберг в прошлую пятницу представили доказательство концепции взлома, объяснив, что недостатки были обнаружены в 80 % протестированных ими компьютеров, включая компьютеры Dell, Lenovo и HP.Как только вредоносное ПО LightEater пары проникло в систему, они показали, как его можно использовать для чтения всех данных, которые появляются в памяти машины.

The Register сообщает, что атака может быть проведена всего за две минуты, если у хакера будет физический доступ, и им потребуются лишь ограниченные технические навыки. Злоумышленник также может удаленно скомпрометировать микросхему BIOS с помощью фишинговой электронной почты или других подобных методов.

Уязвимости были описаны как «уязвимости вторжения», что означает, что их так много, что сценарий, написанный для их поиска, в конечном итоге сдастся, обнаружив более чем достаточное количество уязвимостей для использования.

Несмотря на то, что поставщики затронутых машин были уведомлены, а исправление находится в разработке, Кова отмечает, что мало кто устанавливал исправления BIOS в прошлом, когда они поставлялись поставщиками.

«Поскольку люди не исправляли свои BIOS, все уязвимости, которые были раскрыты за последние пару лет, открыты и доступны для злоумышленника», — сказал Кова, как сообщает Rappler. «Мы провели последние пару лет в MITRE, бегая по компаниям, пытаясь заставить их делать патчи.Они думают, что BIOS скрылся из виду, [потому что] они мало слышат о том, что на него нападают в дикой природе».

Группа хакеров

использует руткит UEFI BIOS

Анализ данных из утечки Hacking Team привел к еще одному важному открытию: Hacking Team использует руткит UEFI BIOS, чтобы поддерживать установленный агент системы удаленного управления (RCS) в системах своих целей.Это означает, что даже если пользователь отформатирует жесткий диск, переустановит ОС и даже купит новый жесткий диск, агенты будут имплантированы после запуска Microsoft Windows. Они написали процедуру специально для Insyde BIOS (очень популярный поставщик BIOS для ноутбуков). Однако код вполне может работать и на AMI BIOS. В презентации Hacking Team утверждается, что для успешного заражения требуется физический доступ к целевой системе; однако мы не можем исключить возможность удаленной установки.Пример сценария атаки: злоумышленник получает доступ к целевому компьютеру, перезагружается в оболочке UEFI, сбрасывает BIOS, устанавливает руткит BIOS, перепрошивает BIOS, а затем перезагружает целевую систему. Мы обнаружили, что команда Hacking Team разработала справочный инструмент для пользователей своего руткита BIOS и даже предоставила поддержку в случае несовместимости образа BIOS:

Рисунок 1. Техническая поддержка, предоставляемая Hacking Team

При установке три модуля сначала копируются из внешнего источника (это может быть USB-ключ с оболочкой UEFI) в файловый том (FV) в модифицированном UEFI BIOS. Ntfs.mod  позволяет UEFI BIOS читать/записывать файл NTFS . Затем Rkloader.mod перехватывает событие UEFI и вызывает функцию дроппера при загрузке системы. Файл dropper.mod  содержит фактические агенты, которые имеют имена файлов scout.exe и солдат.exe .

Рис. 2. Файлы, скопированные при установке руткита UEFI BIOS

Это означает, что при установке руткита BIOS существование агентов проверяется при каждой перезагрузке системы.Если они не существуют, агент scout.exe устанавливается по следующему пути: \Users\[имя пользователя]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6To_60S7K_FU06yjEhjh5dpFw96549UU.

Рисунок 3. Агенты RCS, установленные в целевых системах>

Хотя дроппер проверяет наличие солдат. exe , он не устанавливает файл по какой-то неизвестной причине.

Рисунок 4. Scoute.exe (имя агента в режиме отладки) развертывается для каждого пользователя в \Users\[username]\Appdata

Рис. 5.Развертывание scout.exe

Это открытие является лишь самым последним среди многочисленных открытий, вызванных утечкой Hacking Team. На данный момент в их файлах были обнаружены три уязвимости Adobe Flash нулевого дня, хотя это конкретное обнаружение дает больше информации об их действиях. Хотя мы не уверены, кто пострадал, тот факт, что группа называет инструмент «Хакерским пакетом для правительственного перехвата», поясняет, для кого этот инструмент предназначен. Чтобы предотвратить это, мы рекомендуем пользователям:
  • Убедитесь, что UEFI SecureFlash включен
  • Обновляйте BIOS при наличии исправления безопасности
  • Установите пароль BIOS или UEFI
Администраторы, управляющие серверами, также могут купить сервер с физической защитой от записи BIOS, при этом пользователю нужно будет установить перемычку или включить двухпозиционный переключатель, чтобы обновить BIOS. Хронология сообщений, связанных с Hacking Team
ДАТА ОБНОВЛЕНИЕ
5 июля Итальянская компания Hacking Team была взломана, более 400 ГБ конфиденциальных данных компании стали доступны общественности.
7 июля

Первоначально в информационном дампе были обнаружены три эксплойта — два для Flash Player и один для ядра Windows.Одной из них [CVE-2015-5119] была угроза нулевого дня для Flash.

Уязвимость ядра Windows (CVE-2015-2387) существовала в модуле диспетчера шрифтов открытого типа (ATMFD.dll) и может быть использована для обхода механизма защиты песочницы.

Эксплойт нулевого дня Flash (CVE-2015-5119) был добавлен в набор эксплойтов Angler и пакет ядерных эксплойтов. Он также использовался в ограниченных атаках в Корее и Японии.

11 июля В дампе команды хакеров были обнаружены две новые уязвимости нулевого дня Flash, CVE-2015-5122 и CVE-2015-5123.
13 июля Дальнейший анализ дампа команды хакеров показал, что компания использовала руткит UEFI BIOS, чтобы установить агент системы удаленного управления (RCS) в системах своих целей.
14 июля В Internet Explorer обнаружена новая уязвимость нулевого дня (CVE-2015-2425).
16 июля На мобильном фронте было обнаружено поддельное новостное приложение, предназначенное для обхода Google Play.
20 июля В Windows была обнаружена новая уязвимость нулевого дня (CVE-2015-2426), которую Microsoft исправила внеплановым патчем.
21 июля Анализ шпионского инструмента RCSAndroid показал, что Hacking Team может прослушивать звонки и рутировать устройства для входа.
28 июля Недавняя кампания взломала тайваньские и гонконгские сайты для распространения эксплойтов Flash, связанных с Hacking Team.

Бэкдор BIOS АНБ, также известный как вредоносное ПО God Mode, часть 1: DEITYBOUNCE

Эта статья является первой частью серии статей о внутреннем устройстве бэкдора BIOS АНБ.Прежде чем мы начнем, я хотел бы указать, почему эти вредоносные программы классифицируются как «режим бога». Во-первых, большинство вредоносных программ использует внутреннее (АНБ) кодовое имя в сфере «богов», таких как DEITYBOUNCE, GODSURGE и т. д. Во-вторых, эти вредоносные программы имеют возможности, аналогичные читам «режим бога» в видеоиграх, которые заставляют игрока используя его близко к тому, чтобы быть непобедимым. Так обстоит дело с этим типом вредоносных программ, потому что их очень трудно обнаружить и удалить даже с помощью самых сложных средств защиты от вредоносных программ в течение возможного периода времени их развертывания.

Эта часть серии посвящена вредоносному ПО DEITYBOUNCE, описанному в документе NSA ANT Server, опубликованном Эдвардом Сноуденом. Анализ, представленный в этой статье, основан на технических последствиях информации, представленной в документе. В документе отсутствуют многие технические подробности, но, основываясь на технологии BIOS в тот день, когда DEITYBOUNCE начал работать, мы можем сделать некоторые технически обоснованные гипотезы или выводы, если хотите :-).

Знакомство с вредоносным ПО DEITYBOUNCE

DEITYBOUNCE работает как часть системы, показанной на рис. 1.На рис. 1 показаны несколько специфических терминов, таких как ROC, SNEAKERNET и т. д. Некоторые из этих терминов используются АНБ внутри компании. ROC является аббревиатурой удаленного центра управления. ROC действует как точка контроля АНБ над целевой системой; он расположен за пределами штаб-квартиры АНБ. SNEAKERNET — это сказочный термин для физической доставки данных, то есть использования людей для перемещения данных между компьютерами путем перемещения съемных носителей, таких как магнитная лента, дискеты, компакт-диски, флэш-накопители USB (флэш-накопители, USB-накопители) или внешние жесткие диски. с одного компьютера на другой.

Рис. 1 Расширенная концепция работы DEITYBOUNCE

На рис. 1 показано, как DEITYBOUNCE нацелен на машины, отмеченные красной точкой. Сам DEITYBOUNCE не установлен на этих машинах, поскольку DEITYBOUNCE предназначен для RAID-серверов Dell PowerEdge серии 1850/2850/1950/2950 с версиями BIOS A02, A05, A06, 1.1.0, 1.2.0 или 1.3.7, а не для ноутбуков или настольных компьютеров. рабочие станции. Это означает, что DEITYBOUNCE установлен на серверах, к которым обращаются ноутбуки или настольные компьютеры/рабочие станции, отмеченные красными точками.Красная точка также означает, что целевые системы могут действовать как «узлы перехода» для имплантации DEITYBOUNCE на целевые серверы.

Рисунок 1 также показывает наличие ARKSTREAM. ARKSTREAM — это, по сути, дроппер вредоносных программ, который содержит функции прошивки BIOS и дроппера вредоносных программ. ARKSTREAM может установить DEITYBOUNCE на целевой сервер либо с помощью эксплойтов, управляемых удаленно (сетевое заражение), либо с помощью заражения USB-накопителя. Этот метод заражения в некотором роде очень похож на дроппер вредоносных программ STUXNET.ARKSTREAM устанавливает DEITYBOUNCE посредством перепрошивки BIOS, т. е. замены BIOS сервера PowerEdge на тот, который «заражён» вредоносным ПО DEITYBOUNCE.

Документ сервера NSA ANT не раскрывает мельчайших подробностей, объясняющих «технический контекст» работы DEITYBOUNCE. Однако мы можем вывести некоторые части «технического контекста» из технических требований DEITYBOUNCE, упомянутых в документе. Вот важные технические детали, раскрытые в документе сервера NSA ANT:

.
  1. DEITYBOUNCE обеспечивает постоянство программных приложений на серверах Dell PowerEdge за счет использования BIOS материнской платы и режима управления системой (SMM) для периодического выполнения во время загрузки операционной системы (ОС).
  2. DEITYBOUNCE поддерживает многопроцессорные системы с аппаратным обеспечением RAID и Microsoft Windows 2000, XP и 2003 Server.
  3. После имплантации частота выполнения DEITYBOUNCE (отбрасывание полезной нагрузки) настраивается и будет происходить при включении целевой машины.

В последующих разделах мы более подробно рассмотрим архитектуру вредоносного ПО DEITYBOUNCE на основе этих технических деталей. Эти детали дают гораздо более ценные подсказки, чем вы думаете :-). Но перед этим вам нужно иметь некоторые важные базовые знания.

Подробный обзор оборудования Dell Power-Edge

Начнем с первого пункта базовых знаний. В предыдущем разделе мы узнали, что DEITYBOUNCE предназначен для RAID-серверов Dell PowerEdge серии 1850/2850/1950/2950. Поэтому нам нужно более внимательно изучить серверы, чтобы понять среду выполнения DEITYBOUNCE. Соответствующие спецификации сервера можно скачать по этим ссылкам:

  1. Технические характеристики Dell PowerEdge 1950: http://www.dell.com/downloads/global/products/pedge/en/1950_specs.пдф
  2. Спецификация Dell PowerEdge 2950: http://www.dell.com/downloads/global/products/pedge/en/2950_specs.pdf

Спецификации сервера довольно обычные. Однако, если вы внимательно посмотрите на варианты хранения обоих типов серверов, вы заметите возможность использования RAID-контроллера на обоих типах серверов. Контроллер RAID имеет тип PERC 5/i, PERC4e/DC или PERC 5/e. Мы сосредоточились на аппаратном обеспечении RAID-контроллера, поскольку в технических характеристиках DEITYBOUNCE упоминалось наличие RAID в качестве одного из «требований» к оборудованию.

Теперь перейдем к более подробному анализу. Руководство пользователя для RAID-контроллера семейства Dell PERC можно загрузить по адресу: ftp://ftp.dell.com/Manuals/Common/dell-perc-4-dc_User’s%20Guide_en-us.pdf. Несмотря на то, что документ является только руководством пользователя, в нем содержится важная информация, а именно:

  1. PERC означает расширяемый RAID-контроллер PowerEdge. Это означает, что RAID-контроллеры серии PERC либо имеют белую маркировку Dell, либо разрабатываются внутри Dell.
  2. Существует несколько типов RAID-контроллеров PERC. Те, что имеют прозвище XX/i, являются интегрированными версиями, прозвище XX/SC означает, что RAID-контроллер является одноканальным, прозвище XX/DC означает, что RAID-контроллер является двухканальным, а прозвище XXe/XX означает, что контроллер RAID-контроллер использует PCI Express (PCIe) вместо шины PCI. Если последний моникер отсутствует, это означает, что RAID-контроллер использует PCI, а не PCIe.
  3. Все варианты PERC имеют 1 МБ встроенной флэш-памяти.Имейте в виду, что это , а не флэш-ПЗУ материнской платы сервера PowerEdge, а флэш-ПЗУ контроллера PERC RAID (эксклюзивное). Он используется для инициализации и настройки RAID-контроллера.
  4. Все варианты PERC имеют энергонезависимую память для хранения данных конфигурации. NVRAM находится на плате адаптера PERC, за исключением случаев, когда PERC встроен в материнскую плату.

Размер флэш-ПЗУ контроллера PERC RAID (1 МБ) огромен с точки зрения кода встроенного ПО. Поэтому любой может вставить в него продвинутый — читай: большой по размеру кода — вредоносный модуль уровня прошивки.

Не могу найти информацию о размере чипа BIOS Dell PowerEdge 1850/2850/1950/2950. Однако размер их сжатых файлов BIOS превышает 570 КБ. Таким образом, можно с уверенностью предположить, что размер микросхемы BIOS материнской платы составляет не менее 1 МБ, потому что, насколько мне известно, не существует микросхемы флэш-ПЗУ, используемой для хранения кода BIOS, размером от 570 КБ до 1 МБ. Ближайший размер флэш-ПЗУ к 570 КБ составляет 1 МБ. Этот факт также предоставляет огромные возможности для размещения вредоносных программ BIOS в BIOS материнской платы, помимо ПЗУ расширения RAID-контроллера.

Начальный загрузчик программ (IPL) Учебник по устройству

Второй элемент базовых знаний, который вам необходимо знать, относится к устройству IPL. Контроллер RAID или другой контроллер хранения — привлекательная жертва для вредоносного программного обеспечения микропрограммного обеспечения, поскольку они являются устройствами IPL в соответствии со спецификацией загрузки BIOS. Спецификация загрузки BIOS и спецификация PCI требуют, чтобы встроенное ПО устройства IPL выполнялось при загрузке, если устройство IPL используется. Прошивка устройства IPL в основном реализуется как ПЗУ расширения PCI.Поэтому микропрограмма устройства IPL выполняется всегда, если устройство IPL используется. Этот факт открывает путь для вредоносного ПО на уровне встроенного ПО, которое может находиться в встроенном ПО устройства IPL, особенно если вредоносное ПО должно запускаться при каждой загрузке или по определенному триггеру при загрузке.

Дополнительные сведения о выполнении прошивки устройства IPL см. на странице https://sites.google.com/site/pinczakko/low-cost-embedded-x86-teaching-tool-2. В этой статье вам нужно более подробно рассмотреть вектор загрузочного соединения (BCV) в ПЗУ расширения PCI.Системный BIOS вызывает/переходит в BCV во время начальной загрузки, чтобы запустить загрузчик, который затем загружает и запускает ОС. BCV реализован в ПЗУ расширения PCI устройства контроллера хранения. Поэтому RAID-контроллер PERC в серверах Dell PowerEdge должен также реализовывать BCV, чтобы соответствовать спецификации загрузки BIOS.

IPL устройство PCI расширения ПЗУ также имеет особенность. В некоторых реализациях BIOS он выполняется всегда, независимо от того, используется ли устройство IPL.Причина в том, что код BIOS, скорее всего, проверяет только код подкласса устройства PCI и код интерфейса в своем регистре конфигурации PCI. См. раздел «Особенности PCI PnP Expansion ROM» по адресу https://sites.google.com/site/pinczakko/low-cost-embedded-x86-teaching-tool-2#pci_pnp_rom_peculiarity.

Режим управления системой (SMM) Введение

Третий элемент базовых знаний, необходимых для понимания DEITYBOUNCE, — это SMM. Основополагающую работу по вредоносному ПО для SMM можно найти в статье электронного журнала Phrack A Real SMM Rootkit: Reversing and Hooking BIOS SMI Handlers на http://www.phrack.com/issues.html?issue=66&id=11#статья. SMI в данном контексте означает прерывание управления системой. Статья Phrack содержит сведения, необходимые для понимания того, как может работать руткит SMM.

Тем не менее, есть одна вещь, которую нужно обновить в этой статье Phrack. Недавние и современные процессоры больше не используют верхний сегмент (HSEG) для хранения кода SMM. Для этой цели используется только верхний сегмент памяти (TSEG). Если вы не знакомы с HSEG и TSEG, вы можете обратиться к https://resources.infosecinstitute.com/system-address-map-initialization-in-x86x64-architecture-part-1-pci-based-systems/ и https://resources.infosecinstitute.com/system-address-map-initialization-x86x64-architecture -part-2-pci-express-based-systems/ для получения подробной информации о расположении HSEG и TSEG в пространстве памяти ЦП. Это означает, что для максимальной прямой совместимости DEITYBOUNCE, возможно, использует только TSEG в своем компоненте SMM.

Войти в SMM через программный SMI в x86/x64 довольно просто. Все, что вам нужно сделать, это записать определенное значение на определенный адрес порта ввода/вывода.Транзакция записи в этот порт ввода-вывода интерпретируется набором микросхем как запрос на вход в SMM, поэтому набор микросхем отправляет сигнал SMI в ЦП для входа в SMM. Существуют определенные процессоры x86/x64, которые напрямую «ловят» такого рода транзакцию записи ввода-вывода и интерпретируют ее напрямую как запрос на вход в SMM без предварительной передачи чего-либо набору микросхем. Полный алгоритм входа в SMM следующий:

  1. Инициализировать регистр DX с помощью порта «активации» SMM. Обычно порт «активации» SMM имеет номер порта 0xB2.Однако это может быть другой порт, в зависимости от конкретной комбинации процессора и набора микросхем. Вы должны прибегнуть к их таблицам данных для деталей.
  2. Инициализировать регистр AX значением команды SMI.
  3. Войдите в SMM, записав значение AX в выходной порт, содержащийся в регистре DX.

Что касается методов передачи параметров в подпрограмму обработчика SMI, то они подробно не рассматриваются в статье Phrack. Поэтому мы рассмотрим методы здесь.

Некоторый код SMM (обработчик SMI) должен взаимодействовать с другими модулями BIOS или с программным обеспечением, работающим внутри ОС. Механизм связи осуществляется посредством передачи параметров между кодом SMM и кодом, работающим вне SMM. Передача параметров между модулем BIOS и обработчиком SMI в целом осуществляется с использованием одного из следующих механизмов:

  1. Через глобальное энергонезависимое хранилище (GNVS). GNVS является частью спецификации ACPI v4.0 и называется энергонезависимой памятью ACPI (NVS) в спецификации ACPI.Однако в некоторых описаниях патентов NVS означает энергонезависимую спящую память, поскольку область памяти, занятая NVS в ОЗУ, хранит данные, которые сохраняются, даже если система находится в спящем режиме. Любой термин относится к одной и той же области в оперативной памяти. Поэтому на разночтения в именовании можно не обращать внимания. GNVS или ACPI NVS — это часть оперативной памяти, управляемая подсистемой ACPI в BIOS. Он хранит различные данные. GNVS не управляется ОС, но доступна ОС через интерфейс исходного языка ACPI (ASL).В Windows части этого региона доступны через интерфейс инструментария управления Windows (WMI).
  2. Через регистры общего назначения (GPR) в архитектуре x86/x64, т. е. RAX/EAX, RBX/EBX, RDX/EDX и т. д. В этом методе указатель физического адреса передается через GPR в код обработчика SMI. . Поскольку состояние системы, включая значения регистров, сохраняется в «состоянии сохранения SMM», код в области SMM (обработчики SMI) может считывать значение указателя. Загвоздка в том, что и обработчик SMI, и код, передающий параметр(ы), должны согласовываться с «соглашением о вызовах», т.е.e., какие регистры использовать.

Важно знать о передаче параметров между модулем BIOS и обработчиком SMI, поскольку DEITYBOUNCE широко использует этот механизм во время работы. Мы рассмотрим его более подробно в следующих разделах.

Предшественник архитектуры вредоносных программ DEITYBOUNCE

Как и в случае с другим программным обеспечением, мы можем определить архитектуру вредоносного ПО DEITYBOUNCE по среде его выполнения. В документе сервера NSA ANT упоминаются три технических совета, как вы можете видеть в разделе «Введение».Мы углубимся в них один за другим, чтобы раскрыть возможную архитектуру DEITYBOUNCE.

Необходимость в оборудовании RAID означает, что DEITYBOUNCE содержит вредоносное ПО, внедренное в ПЗУ расширения PCI RAID-контроллера. Контроллер RAID, используемый в сервере Dell PowerEdge 1950, представляет собой плату адаптера PERC 5/i, PERC4e/DC или PERC 5/e. Все эти RAID-контроллеры являются RAID-контроллерами PCI или PCI Express (PCIe). Вы должны обратить внимание на тот факт, что ПЗУ расширения PCI также включает ПЗУ расширения PCIe, потому что оба они практически одинаковы.В другой статье я рассказал об основах вредоносного ПО расширения ПЗУ PCI. Подробнее см. https://resources.infosecinstitute.com/pci-expansion-rom/.

Наличие полезной нагрузки, отбрасываемой DEITYBOUNCE, означает, что DEITYBOUNCE, по сути, представляет собой дроппер вредоносного ПО «второго этапа» — первый этап представляет собой дроппер вредоносного ПО ARKSTREAM. DEITYBOUNCE, вероятно, обеспечивает только эти две основные функции:

  1. Первый — это постоянный и скрытный дроппер вредоносных модулей.
  2. Во-вторых, обеспечить «невидимую» функцию управления другими вредоносными модулями для конкретной ОС.Модули вредоносного ПО могут запускаться во время инициализации ОС или внутри работающей ОС, либо модули вредоносного ПО могут работать в обоих сценариях. Вредоносное ПО для конкретной ОС взаимодействует с DEITYBOUNCE посредством SMM-вызовов.

Вышеуказанные основные функции DEITYBOUNCE подразумевают, что для работы DEITYBOUNCE могут потребоваться три вида вредоносных компонентов:

  1. Постоянно «зараженное» ПЗУ расширения PCI. Этот модуль содержит подпрограмму для настройки частоты выполнения DEITYBOUNCE.Подпрограмма, возможно, сохраняет конфигурацию в энергонезависимой памяти RAID-контроллера. Этот модуль также содержит обработчик испорченного прерывания 13h (Int 13h), который может вызывать другие подпрограммы через SMI для исправления ядра загружаемой в данный момент ОС.
  2. Код обработчика SMI, внедренный в BIOS материнской платы PowerEdge для обслуживания вызовов SMI программного обеспечения (SW) из «зараженного» ПЗУ расширения PCI RAID-контроллера.
  3. Полезная нагрузка вредоносного ПО для конкретной ОС, работающая в Windows 2000, Windows Server 2003 или Windows XP.

На данный момент нам уже известны вредоносные компоненты DEITYBOUNCE. Это не означает, что мы сможем узнать точную архитектуру вредоносного ПО, потому что существует несколько возможных путей реализации компонентов. Тем не менее, я представляю здесь наиболее вероятную архитектуру. Это обоснованное предположение. Могут быть неточности, потому что у меня нет образца бинарного файла DEITYBOUNCE для подтверждения моих утверждений. Но я думаю, что догадки должны быть достаточно точными, учитывая характер архитектуры прошивки x86/x64.Если бы вы могли предоставить бинарный образец с подозрением на DEITYBOUNCE, я готов его проанализировать :-).

Архитектура вредоносных программ DEITYBUNCE

Нам нужно сделать несколько предположений, прежде чем перейти к архитектуре DEITYBOUNCE. Это должно упростить определение технических деталей DEITYBOUNCE. Это предположения:

  1. BIOS, используемый целевыми устройствами Dell PowerEdge, — это устаревший BIOS, а не EFI/UEFI. Это предположение подкрепляется документом сервера NSA ANT, в котором целевая ОС упоминается как Windows 2000/XP/2003.Ни одна из этих операционных систем не обеспечивает полноценной поддержки EFI/UEFI. Во всех руководствах пользователя, включая руководство пользователя по настройке BIOS, не указаны какие-либо меню, связанные с поддержкой UEFI/EFI, например загрузкой в ​​устаревшем режиме BIOS. Поэтому можно с уверенностью предположить, что BIOS является устаревшей реализацией BIOS. Более того, во время запуска DEITYBOUNCE поддержка EFI/UEFI на рынке все еще незрелая.
  2. Пользовательские подпрограммы обработчика SMI, необходимые для исправления ядра ОС во время начальной загрузки, больше, чем свободное пространство, доступное в BIOS материнской платы.Поэтому подпрограммы должны быть размещены в двух отдельных хранилищах флэш-ПЗУ, то есть в микросхеме флэш-ПЗУ контроллера PERC RAID и микросхеме флэш-ПЗУ материнской платы Dell PowerEdge. Это может быть не так, но давайте здесь просто сделаем предположение, ведь даже рудиментарный NTFS-драйвер при сжатии потребовал бы как минимум несколько десятков килобайт места, не говоря уже о сложном вредоносном ПО, предназначенном для пропатчивания ядер трех разных операционных систем.

Приведенные выше предположения имеют несколько следствий для нашей предполагаемой архитектуры DEITYBOUNCE.Во-первых, выполнение DEITYBOUNCE состоит из двух этапов. Второй заключается в том, что вредоносный код, который исправляет ядро ​​целевой ОС во время начальной загрузки (прерывание 19h), выполняется в SMM.

Теперь давайте рассмотрим этапы выполнения DEITYBOUNCE. Этапы выполнения DEITYBOUNCE следующие:

  1. Этап 1 — Инициализация ПЗУ расширения PCI во время самотестирования при включении питания (POST). На этом этапе DEITYBOUNCE устанавливает дополнительные вредоносные обработчики SMI в диапазоне ОЗУ управления системой (SMRAM) в ОЗУ на материнской плате.Здесь предполагается, что диапазон SMRAM еще не заблокирован BIOS материнской платы, поэтому диапазон SMRAM по-прежнему доступен для записи. SMRAM — это область системной памяти (ОЗУ), которая используется специально для кода и данных SMM. Содержимое SMRAM доступно только через SMI после его блокировки. В большинстве наборов микросхем Intel Northbridge или последних процессорах SMRAM управляется регистром, который управляет областью памяти TSEG. Обычно в документации на чипсет Intel этот регистр называется TSEG_BASE.
  2. Этап 2 — Прерывание выполнения 13h во время начальной загрузки (прерывание 19h).Обработчик прерывания 13h в ПЗУ расширения PCI RAID-контроллера PERC «исправлен» вредоносным кодом для обслуживания вызова прерывания 19h (загрузка). Прерывание 19h копирует загрузчик в ОЗУ, вызывая функцию прерывания 13h 02h, читает сектора с диска и переходит в него. DEITYBOUNCE не ставит под угрозу загрузчик. Однако DEITYBOUNCE компрометирует обработчик прерывания 13h. «Исправленный» обработчик прерывания 13h изменит загруженное ядро ​​ОС в ОЗУ.

На рисунке 2 показан этап 1 выполнения DEITYBOUNCE, а на рисунке 3 показан этап 2 выполнения DEITYBOUNCE.

Рис. 2. DEITYBOUNCE. Этап выполнения 1

Выполнение

DEITYBOUNCE на этапе 1, показанное на рис. 2, происходит во время этапа инициализации ПЗУ расширения PCI во время POST. Если вы не знакомы с подробными шагами, выполняемыми BIOS для инициализации системы x86/x64, также известной как самопроверка при включении питания, прочитайте мою статью об инициализации карты системных адресов на x86/x64, часть 1, на странице https:// resources.infosecinstitute.com/system-address-map-initialization-in-x86x64-architecture-part-1-pci-based-systems/.

Мы знаем, что инициализация ПЗУ расширения PCI инициируется BIOS материнской платы из статьи Выполнение вредоносного кода в ПЗУ расширения PCI (https://resources.infosecinstitute.com/pci-expansion-rom/). BIOS материнской платы вызывает функцию INIT (смещение 03h от начала ПЗУ расширения PCI) с дальним вызовом, чтобы начать инициализацию дополнительной платы с помощью ПЗУ расширения PCI. Это событие является этапом 1 выполнения DEITYBOUNCE. В случае DEITYBOUNCE дополнительной платой является плата PERC PCI/PCIe или микросхема PERC, интегрированная в материнскую плату PowerEdge.

На рис. 2 показаны следующие этапы выполнения:

  1. ПЗУ расширения PERC RAID PCI выполняется из точки входа INIT.
  2. Зараженный код ПЗУ считывает данные конфигурации DEITYBOUNCE из NVRAM RAID-контроллера.
  3. Зараженный код ПЗУ копирует дополнительные обработчики SMI DEITYBOUNCE в диапазон SMRAM в основной памяти материнской платы (системная оперативная память).
  4. Зараженный код ПЗУ при необходимости исправляет контрольные суммы содержимого SMRAM.

После выполнения вышеуказанных шагов SMRAM будет содержать все обработчики SMI DEITYBOUNCE.На рисунке 2 показано, что SMRAM содержит «встроенные» обработчики DEITYBOUNCE SMI, которые уже присутствуют в SMRAM до того, как компонент DEITYBOUNCE в ПЗУ расширения PCI контроллера RAID будет скопирован в SMRAM. Встроенный компонент DEITYBOUNCE внедряется в BIOS материнской платы. Вот почему он уже присутствует в SMRAM на ранней стадии.

На рис. 2 показаны данные конфигурации DEITYBOUNCE, хранящиеся в NVRAM дополнительной платы PERC. Это элегантный и незаметный способ хранения данных конфигурации. Сколько средств защиты от вредоносных программ сканируют дополнительную плату NVRAM? Я никогда не слышал ни об одном.

Рис. 3. Этап выполнения DEITYBOUNCE 2

Теперь давайте перейдем ко второму этапу исполнения DEITYBOUNCE. На этом этапе выполнения есть несколько шагов, а именно:

  1. BIOS материнской платы выполняет процедуру расширения ПЗУ PCI RAID-контроллера PERC при загрузке через прерывание 19h (загрузка). На этот раз точкой входа в ПЗУ расширения PCI является его BCV, а не функция INIT. Прерывание 19h вызывает функцию прерывания 13h 02h для чтения первого сектора загрузочного устройства — в данном случае жесткого диска, управляемого RAID-контроллером, — в ОЗУ, а затем перехода в него для запуска загрузчика.
  2. Зараженная подпрограмма расширения ПЗУ PCI содержит специальный обработчик прерывания 13h. Этот пользовательский обработчик прерывания выполняется, когда прерывание 13h вызывается загрузчиком и является частью кода инициализации ОС. Пользовательские подпрограммы содержат исходную логику обработчика прерывания 13h. Но кастомный добавляет подпрограммы для заражения ядра загружаемой ОС. Прерывание 13h предоставляет услуги для чтения/записи/запроса устройства хранения. Таким образом, злоумышленник может изменить содержимое процедуры обработки прерывания 13h, чтобы изменить содержимое, загружаемое в ОЗУ.На рис. 3 показано, что пользовательский обработчик прерывания 13h содержит процедуру для вызова обработчика DEITYBOUNCE SMI через программный SMI. Обработчик DEITYBOUNCE SMI содержит подпрограмму для установки вредоносных программ или активации определенных уязвимостей в ядре целевой ОС, когда ОС все еще находится на этапе инициализации. Выполнение пользовательского обработчика прерывания 13h зависит от данных конфигурации DEITYBOUNCE. Рис. 3 Данные конфигурации DEITYBOUNCE, относящиеся к пользовательскому обработчику прерывания 13h, хранятся в энергонезависимой памяти RAID-контроллера PERC.

Целевая ОС содержит уязвимость или вредоносное ПО после шагов 1 и 2 второго этапа выполнения DEITYBOUNCE. Имейте в виду, что уязвимость или вредоносное ПО существует только в оперативной памяти, поскольку экземпляр ОС, модифицированный DEITYBOUNCE, находится в оперативной памяти, а не в постоянном запоминающем устройстве (жесткий диск или твердотельный накопитель).

На данный момент мы достаточно подробно знаем, как может работать DEITYBOUNCE. Однако вы должны знать, что это только результат моей предварительной оценки на DEITYBOUNCE.Поэтому обязательно будут неточности.

Заключительные мысли: гипотезы о технической цели DEITYBOUNCE

Есть две неоспоримые стратегические ценности, которыми обладает DEITYBOUNCE по сравнению с «обычными» вредоносными программами:

  1. DEITYBOUNCE обеспечивает скрытый способ изменения загруженной ОС, не оставляя следов на устройстве хранения, т. е. жестком диске или твердотельном накопителе, чтобы избежать обнаружения с помощью «обычных» компьютерных криминалистических процедур. Почему? Поскольку манипуляции с ОС происходят при ее загрузке в ОЗУ, установка ОС на самом устройстве хранения остается нетронутой (подлинной).Выполнение кода SMM позволяет скрыть выполнение кода от возможных проверок целостности ОС сторонними сканерами. В этом отношении мы можем рассматривать DEITYBOUNCE как очень сложный дроппер вредоносных программ.
  2. DEITYBOUNCE позволяет сохранить присутствие вредоносного ПО в целевой системе, поскольку оно устойчиво к переустановке ОС.

Учитывая возможности, предоставляемые DEITYBOUNCE, возможно, существует скрытый руткит Windows, который взаимодействует с DEITYBOUNCE через программный SMI для вызова подпрограммы-обработчика DEITYBOUNCE SMI во время выполнения из Windows.На данный момент цель такого руткита неясна. На данный момент неизвестно, реализован ли необходимый обработчик SMI в DEITYBOUNCE.

.

Leave a comment