Добрый день, меня зовут Денис Генералов, я являюсь младшим системным администратором Cloud4Y. Надеюсь, что данный пост поможет коллегам, которые оказались в такой же ситуации, что и я: в купленном для компании ноутбуке система стоит в MBR (Legacy BIOS), на нём имеется пароль, а поставить необходимо в GPT (UEFI).
Предостережение
Данная статья носит сугубо информационный характер, не является руководством к действию. Автор не несёт ответственность за порчу вами своих девайсов.
«Что тут такого? В этом нет никакой сложности! Почему не обратиться к вендору? Почему не воззвать к мудрости Гугола?», — спросите вы, а я отвечу:
Вендор на своём официальном сайте сообщает, что для сброса пароля необходимо заменить материнскую плату (ха-ха).
Поиск в Google даёт тонны бесполезной информации с советами вытащить батарейку CMOS, зажать 2 вывода микросхемы BIOS в момент включения – CLK и Dl (IO). Кстати, этот вариант вообще неприемлем, поскольку может повлечь за собой уничтожение микросхемы, а равно и содержимого.
На формах умные (не совсем) люди советуют следующее:
Данный вариант предполагает следующее: приобрести тушку такого же ноута, пересадить оттуда микросхему BIOS.
Всё бы было хорошо, если бы эти работы проводились в 2007-2010 годах. Тогда не было скриптов автоматизированной прошивки мультиконтроллеров aka хабов (привет Intel ME и AMD PSP) при первом старте и обратной записи в BIOS данных мультиконтроллера.
Если мы воспользуемся данным советом, то получим «кирпич» либо неработающую клавиатуру, и лишь с малой долей вероятности — полностью рабочий ноут, но с неродными SN или вовсе без них.
Конечно, любой человек может попробовать восстановить свой ноутбук по советам с форумов, но это дело добровольное, как и колхоз. Мы же привыкли решать задачу красиво и как надо, а не «как проще». Чтобы упорядочить информацию по этой теме, я и решил написать данную статью.
В силу специфики нашей работы, мы закупаем профессиональные линейки HP ввиду простоты ремонта, обслуживания и диагностики, однако в штате имеется пара «боевых лошадок» Lenovo IdeaPad 110-17ACL. С них, пожалуй, мы и начнём.
«Ремонт» Lenovo IdeaPad 110-17ACL
Задача: убрать пароль супервизора из BIOS для переключения режима загрузки в UEFI
Опционально: не потерять ключи и SN от производителя.
Дано: Lenovo IdeaPad 110-17ACL у которого установлен пароль и 0 полезной информации в тынтырнетах.
Ну что, коллеги, поехали?
Разберём тушку до состояния платы. Это несложно. Нам понадобится карта (желательно банковская, с номером и тремя цифрами на обратной стороне. Можете прислать мне фото с двух сторон, я вам подскажу, подойдёт ли ваша карта), отвёртка крестовая PH 00, за неимением лучшего – программатор от наших рисовых собратьев – CH341aPro и «клешня» под Sop-8 к нему.
Приступаем к разборке. Первым делом выкручиваем все винты в нижней крышке, которые видим, а которые не видим – ищем. Должно быть 11 штук М 2,5. Переходим к клавиатуре, она держится на соплях пластмассовых креплениях внутри топкейса.
С места, обозначенного красной стрелкой, подсовываем карту и начинаем вести по стрелке, клавиатура отойдёт от топкейса. Снимаем её, не забыв отключить от платы. Видим 4 винта, воспользуемся отвёрткой и выкрутим их, вытащив привод из корпуса, а также отсоединив батарею.
Подсовываем карту в щель между топкейсом и нижней крышкой, проходимся согласно стрелкам и снимаем нижний кейс. Видим перед собой плату. Отключаем батарею CMOS (с обратной стороны платы).
Не перепутав первый контакт (там, где вытравлена точка на корпусе) подключаем клешню к WB25Q64FV, обозначенную кругом. Начинаем читать, что же там, внутри нашего BIOS.
P.S. Делайте несколько копий оригинального ROM-а.
P.S.2. Лучше не делайте это «клешнёй», а демонтируйте микросхему и считайте припаянную к программатору или к плате-переходнику. Так вы минимизируете возможные потери блоков при считывании из-за пропадающего иногда контакта.
Чтобы понять, где у нас хранится пароль, я приобрёл чистый дамп BIOS на одном из форумов (это дешевле приобретения платы, да и дамп нужен был в исследовательских целях, вам он не понадобится), и начал сравнивать их друг с другом через Fairdell HexCmp2.
Проигнорирую области, где указаны серийные номера и ключ Windows, сразу перейду к тому, с каких значений начинается то, что нас интересует больше всего – пароль.
Блоки данных, которые интересуют нас, начинаются с последовательности – 73 73 50 6F 6C 69 63.
Находим все строки, которые содержат необходимую последовательность. Ниже её находятся строки, которые содержат значения Password (указаны на картинке), заменяем их на нули.
После этого сохраняем дамп и прошиваем его. Проверяем на запуск и радуемся, что у нас нет более пароля.
Собираем в обратном порядке, проверяем правильно подключение батареи – (белой полоской вверх, точкой вниз. Видимо, такую маркировку предпочитает Lenovo).
HP Probook, HP Elitebook
Рассмотрим линейку HP ProBook линеек 4x20-40, Elitebook (2010-2015 годы выпуска) с флеш-памятью 32 – 64 M-BIT.
Здесь всё намного прозаичнее и проще.
Как мы видим на картинке, у HP пароль зашифрован между последовательностями 66 9D C5 и AA 55 7F.
Нам нужны последовательности, которые содержать в себе следующие значения:
H.P._.B.i.o.s.U.s.e.r.0.1
H.P._.B.i.o.s.U.s.e.r.0.2
H.P._.B.i.o.s.U.s.e.r.0.0..B.I.O.S. .A.d.m.i.n.i.s.t.r.a.t.o.r
H.P._.P.w.R.e.c.D.a.t.a.0.0
H.P._.P.w.R.e.c.D.a.t.a.0.1
H.P._.P.w.R.e.c.D.a.t.a.0.2
Ни в коем случае не стоит трогать следующие значения:
T.e.m.p.B.I.O.S.A.d.m.i.n.S.c.a.n.c.o.d.e
H.P.B.I.O.S.A.d.m.i.n.S.c.a.n.c.o.d.e
В случае, если вы их «потрёте», ваш ноутбук будет грузиться в FactoryMode и каждый раз при загрузке оповещать, что необходимо забить в него SN, Notebook model, UUID number, SKU Number, CTO Localization code, PCID, И CT Number платы, а это – неэстетично.
Спасибо за внимание, коллеги. Это моя первая статья на Хабр. Если интересно, напишу что-нибудь ещё, как накопится материал. Задавайте вопросы, постараюсь ответить в комментариях.
Что ещё интересного есть в блоге Cloud4Y
> Частые ошибки в настройках Nginx, из-за которых веб-сервер становится уязвимым
> Фишинг с поддельным приглашением на встречу
> Облачная кухня: готовим данные для мониторинга с помощью vCloud API и скороварки
> Подготовка шаблона vApp тестовой среды VMware vCenter + ESXi
> VMware предупредила о критических уязвимостях в удаленном исполнении кода в vCenter
Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью. Пишем не чаще двух раз в неделю и только по делу.
kITerE
Что за форум, если не секрет? И сколько стоил дамп?
Мне просто интересно: это какой-то сформировавшийся рынок или разовая услуга за деньги?
Cloud4Y Автор
vlab.su — могут и бесплатно поделиться при наличии (самый большой форум)
ascnb1.ru — так же очень отзывчивые люди и при наличии поделятся (форум поменьше)
radiokot.ru — много всего нужного
сервискомп-анна.рф — форум, на котором нашел дамп «за недорого».
Дампы на разную технику обычно стоят по-разному.
Но в целом, если вы приобретаете, то готовьте выложить автору на пиво от 50 до 250 рублей.
Бывают конечно случаи вопиющей жадности, когда за дамп редкой железки просят прилично (до 5000) на моей памяти, но это был дамп ASR-52445 в 2013 году, а тогда сам контроллер стоил порядочно.
shadovv76
вы сравнили с чистым и получили одно различие?
далее вы просто перебирали какое различие является паролем перешивая БИОС или еще были критерии указывающие, что это пароль?
если вы руководствовались источниками для сужения поиска, то какими?
vitvakatu
Судя по картинке в статье, нашли по строковому литералу "Password" в дампе)
shadovv76
конечно password выдал с потрохами производителя, но даже в этой области не все байты могли отвечать за значение пароля.
туда мог попасть какой-нибудь флаг или дополнение до двух в качестве контроля или другая системная переменная и ее некорректное значение может проявится в последствии. вот и хотел уточнить это просто перебор и интуиция или, все таки, материалы реверсинга использовались, пусть даже с аналогов.
можно, к примеру, дизассэмблить и посмотреть как с этим куском памяти обращаются даже в статике без отладки.
aroman313
Купить за 300 ? программатор, скачать настроенный и без паролей BIOS, и всё, я так и сделал. Программатор чуть больше 300 ?, слил 2 микросхемы, 8 и 4 Мб. Вот и всё. В статье программатор понадобится по-любому.
rPman
p.s. как то на pc привык что пароль на (legacy режим) биос защитой не является и достаточно сброса в дефолтные настройки, для чего на материнской плате всегда есть специальный джампер.
а тут, перепрошивка с выпаиванием микросхемы О_о
Cloud4Y Автор
Она дампит BIOS в память, затем после занесения вышеописанных значений собирает и шьёт дамп обратно
allex
В старых thinkpad'ах всё веселее. Пароль хранится в памяти TPM, запись в память недоступна. Но, как умельцы выяснили, не всегда — во время запроса пароля при входе в BIOS она открывается. В этот момент можно подключить KMX1, сбросить пароль и купленный на ebay за копейки кирпич превращается в ноутбук :)
А совет вытащить батарейку в самом деле очень вредный — если настроено, что запрос пароля идет только при входе в BIOS, ноутбуком можно пользоваться. Если же вытащить батарейку, сбросятся часы и при загрузке будет предложено зайти в BIOS, чтобы их установить :)
А для прошивки серийников у Lenovo была Hardware Maintenance Diskette.
Cloud4Y Автор
Ответ Дениса:
Коллега, по идее можно использовать любой девайс с L2C интерфейсом (atmega с али, например). Сам являюсь владельцем ранее запароленного X61S.
allex
Аппаратно — да. Но там не просто надо пароль нулями забить, но и контрольную сумму переписать, а может и еще что, я точно не знаю. Поэтому основное в KMX1 — это прошивка.
Мне только один раз удалось подключиться по L2C и считать пароль в открытом виде — TPM совсем отключен был. Все остальные — только сброс.
Cloud4Y Автор
>>
Если попадётся мне Thinkpad c паролем и включённым TPM, обязательно выложу статью по теме. Спасибо, что поделились опытом.
russur
В старых ThinkPad пароль без проблем сбрасывается замыканием двух контактов.
Делал на x61, t61, t410, и т.д. - всех не помню.
allex
Вот чудеса-то, а народ мучался. Поделитесь сокровенным знанием!
russur
Да какое сокровенное. SDA и SCL пины находим, замыкаем сразу после старта, входим в bios, меняем пароль.
Даже видео инструкций полно на Ютубе. Картинки есть, где пины у каждой модели.
allex
Прошу прощения за сарказм, я, честно говоря, не поверил сразу. Я ж этот вопрос в своё время глубоко копал, в результате пришел к КМХ1. Но было это до 2014 года (когда курс доллара был совсем другой). Сейчас покопался — похоже, что все упоминания о замыкании контактов относятся к более позднему времени.
kovigor
А контрольную сумму прошивки после этого пересчитывать не нужно?
А то ведь можно получить тот же кирпич, ибо прошивка при старте будет признана битой…
JerleShannara
Пароль часто хранится в области NVRAM, которая не используется при подсчёте CRC/Подписей.
Lirix_vladimir
Еще одна достойная старого хабра статья/
Но можно про ХП вопрос. Как определили, что пароль хранится в той области? По тому же принципу сравнения?
enabokov
То что на лептопы ставят пароль на системное менб - для меня новость.
CodeRush
Практически во всех прошивках на основе AMI Aptio4 и AptioV (а это абсолютное большинство десктопов, кроме новых рабочих станций Dell и HP), оба возможных пароля (Administrator и User) хранятся в NVRAM в переменной AMITSESetup, которую можно заполнить нулями кроме последнего байта (этого оставить как было), и таким образом сбросить их.
CodeRush
Отличная статья Педро про сброс пароля на машинах Apple без чипа T2.
DarkTiger
Я бы еще мог понять это для записи, это опасно, да, хотя без верификации записанной прошивки сложно софт найти (flashrom так вообще верификацию по дефолту ставит). Но для чтения?
Мне и в голову не приходило отпаять флешку с БИОСом и припаять ее к чему-то еще. А ведь я паяльник в руках с 14 лет держу, и на парочке работ как раз материнки разрабатывал. И уж припаивать ее к программатору (это как?), или к плате-переходнику, которую непонятно где взять, если не занимаешься ремонтом профессионально…
Да, бывает так, что питание флешки альтернативно-одаренный разработчик материнки пустил не через диод/перемычку, а сэкономил на них 0,1 цента и подцепил к общей шине питания 3.3V у материнки, что сажает слабенькое питание программатора при попытке записи-чтения. Но и тогда отпаивается лишь нога питания флешки, чтобы можно было прицепить клешню (вообще-то она прищепкой называется обычно, но дело вкуса).
В общем, не делайте так. Не надо. Только если рядом что-то крупное стоит и поэтому прищепкой не подлезть. Так бывает, увы. У Вас на фото, кстати, прищепка и стоит, поскольку ничего не мешает.
И еще. Мне кажется, вместо рекомендаций, как откручивать винты на ноутбуке, стоило бы дать ссылки на CH341A на Али и ссылку на flashrom, с образцом командной строки.
marks
А я многократно шил биосы для самых разных паролей — достать дамп можно бесплатно, есть несколько форумов «железячных», на которых дампы предоставляются бесплатно. Всегда в итоге находил нужный биос, вполне работоспособный.
И считывать/перезаписывать микросхему биоса лучше выпаивая его. «Крокодил» может повредить микросхему либо навредить иным образом — случайно замкнуть что-то и т.п.
Oxyd
Это где-ж так надо покупать, что биос запаролен и неизвестен?
Orange11Sky
На ebay часто сбрасывают ноутбуки от Леново, НР, Делла после лиза в основном 5-летней давности. Обычно там нет диска, но все остальное работает. Если сбрасывается ноут бывший в лизе у банка или финансовой организации то там с большой вероятностью биос запаролен.
В силиконовке конторы часто сами скидывают совершенно рабочие и совсем не старые компы, для чего вызают специализированных на этом мусорщиков (e-waste) и уже через последних компы попадают на ebay или крейгслист. Cами мусорщики паролями не заморачиваются в силу альтернативной одарённости, поэтому те что с запароленным биосом идут существенно дешевле.
Частники порой скидывают лаптопы в благотворительные организации для списания налогов.
Леново Thinkpad на вторичке пользуется хорошим спросом. Тут расписано как снимают пароли. www.badcaps.net/forum/showthread.php?t=87588
asion
Современные буки(да и не очень) хранят пароли в памяти ЕС, и доступа снаружи к ним нет. Например у леново тинкпады, или тошиба(настоящая, а не компал). А среди тех кто хранят во внешнем еепроме есть те кто шифруют его содержимое. Еще некоторые предоставляют возможность восстановить пароль используя хинт или ключевой файл.
volodyaleo
Интересно получается. Нет ридбек защиты аппаратной. Похоже на уязвимость.
axe_chita
Притаскивали как-то древний запароленный фирмовый 486 ноут (hp, ibm или compaq не помню). Так на него мало того что процедура сброса платная, так к этому обязательно предоставление документов о купле продажи девайса.
И что естественно оправдательных документов на него уже не было.
И пришлось его вернуть хозяйке как есть.