Содержание

Восстановление (сброс) пароля на вход в BIOS

В связи с тем, что многие программы, используемые для восстановления паролей, имеют специфические отличия, благодаря которым они могут ложно определяться некоторыми антивирусами как вредоносное программное обеспечение (ПО), и данный ресурс периодически попадает в списки вредоносных сайтов, я вынужден закрыть паролем все архивные файлы, доступные по ссылкам для скачивания на страницах, связанных с методиками восстановления забытых паролей. В качестве пароля к архиву используйте имя домена – admcomp.ru.

Дешифрация существующего пароля BIOS

&nbsp &nbsp Существует немало программного обеспечения, как платного, так и свободно распространяемого, для дешифрации забытого пароля, хранящегося в энергонезависимой памяти CMOS. Но, к сожалению, универсальных «взломщиков» паролей не существует.
Даже профессиональные версии, стоящие приличные деньги, ориентированы на использование под конкретные модели материнских плат. Из бесплатно распространяемого ПО, очень неплохими возможностями обладает CmosPwd 5.0 (Скачать, (106 кб), пароль- admcomp.ru Кристофа Гренье (Christophe Grenier), автора популярных программ для восстановления данных и забытых паролей.

Официальный сайт — www.cgsecurity.org
Устаревшая версия CmosPwd 4.8 (Скачать, (106 кб), пароль – admcomp.ru
Программа позволяет дешифрировать пароли к BIOS следующих производителей:

  • ACER/IBM BIOS
  • AMI BIOS
  • AMI WinBIOS 2.5
  • Award 4.5x/4.6x/6.0
  • Compaq (1992)
  • Compaq (New version)
  • IBM (PS/2, Activa, Thinkpad)
  • Packard Bell
  • Phoenix 1.00.09.AC0 (1994), a486 1.03, 1.04, 1.10 A03, 4.05 rev 1.02.943, 4.06 rev 1.13.1107
  • Phoenix 4 release 6 (User)
  • Gateway Solo — Phoenix 4. 0 release 6
  • Toshiba
  • Zenith AMI

&nbsp &nbsp Программы могут выполняться в среде 32-разрядных ОС NT/2000/XP/2003 . Для их работы понадобится установка драйвера, обеспечивающего доступ прикладной программы к портам ввода-вывода (ioperm.sys):
— Зарегистрируйтесь в системе с правами администратора.

— перейдите в каталог …\cmospwd-4.8\windows и установите драйвер:
&nbsp &nbsp ioperm.exe -i
— запустите сервис (если он не запустился при выполнении предыдущего пункта):
&nbsp &nbsp net start ioperm
— теперь можете пользоваться cmospwd_win.exe
&nbsp &nbsp Для удаления драйвера используйте:
&nbsp &nbsp ioperm.exe -u

&nbsp &nbsp Для DOS-версии установка драйвера не нужна. Перепишите cmospwd на дискету, загрузитесь с нее и запустите cmospwd.exe. Вариант для DOS и Windows используют один и тот же синтаксис и обладают одинаковыми возможностями по дешифрации пароля.


Программа выдаст вам варианты паролей, которые вы можете использовать. Учтите следующие моменты:
— строчные и заглавные символы различаются.
— для AWARD BIOS цифры надо набирать на дополнительной клавиатуре Numeric Keypad при включенном NumLock.

Если ни один из паролей не подошел — попробуйте сбросить CMOS. Никогда не делайте этого для ноутбуков — последствия могут быть очень неприятными.
Подсказку по использованию программы можно получить по:
cmospwd /?
Примеры:
cmospwd /k — Сбросить CMOS

cmospwd /d — Выдать дамп содержимого CMOS
cmospwd /w mycmos.bin — записать содержимое CMOS в файл mycmos.bin
cmospwd /l mycmos.bin — загрузить содержимое CMOS из файла mycmos.bin
cmospwd /m1101 — выполнять поиск пароля выборочно (1 — проверка выполняется)

Подбор пароля производителя BIOS

Некоторые производители BIOS предусматривают возможность ввода специального «инженерного» пароля, открывающего полный доступ к BIOS Setup. В основном, это относится к компьютерам выпуска до 2004-2005 гг.

Паpоли производителя к AWARD BIOS веpсий:

Вводить пароль нужно в соответствии с регистром букв.

2.50

2.51

2.51G

2.51U

4.5x

AWARD_SW

AWARD_WG

g6PJ

1EAAh

AWARD_SW

j262

j256

j322

condo

AWARD_PW

TTPTHA

BIOSTAR

ZJAAADC

589589

01322222

HLT

Wodj

KDD

ZAAADA


ZBAAACA

Syxz


aPAf

?award


lkwpeter



t0ch88



t0ch30x



h6BB



j09F



TzqF



&nbsp &nbsp Если пароль не подошел, можно попробовать:

ALFAROMEBIOSTARKDDZAAADA
ALLyCONCATLkwpeterZBAAACA
aLLyCONDOLKWPETERZJAAADC
aLLYCondoPINT01322222
ALLYd8onpint589589
aPAfdjonetSER589721
_awardHLTSKY_FOX595595
AWARD_SWJ64SYXZ598598
AWARD?SWJ256syxz«Y. C. Lu» — вводить без кавычек и с пробелами
AWARD SWJ262shift + syxz
AWARD PWj332TTPTHA
AWKWARDj322
awkward

Паpоли производителя к AMI BIOS:

AMI

AMI_SW — не унивеpсальный но
устанавливается пpи сбpосе CMOS/SETUP’a

SER

Ctrl+Alt+Del+Ins (держать при загрузке, иногда просто INS)


&nbsp &nbsp Если не помогло, попробуйте:
AAAMMMIII
BIOS
PASSWORD
HEWITT RAND
AMI?SW
AMI_SW
LKWPETER
A.M.I.
CONDO

Паpоли других производителей BIOS:

ПроизводительПароль
VOBIS & IBMmerlin
DellDell
BiostarBiostar
CompaqCompaq
Enoxxo11nE
Epoxcentral
FreetechPosterie
IWilliwill
Jetwayspooml
Packard Bellbell9
QDIQDI
SiemensSKY_FOX
TMCBIGO
ToshibaToshiba
Сброс пароля BIOS.

&nbsp &nbsp Если же подобрать пароль не удалось, попробуйте его сбросить. На большинстве материнских плат имеется специальный переключатель, обычно обозначаемый «Clear CMOS», позволяющий сбросить содержимое энергонезависимой памяти. Если же такого переключателя нет или нельзя вскрывать корпус компьютера, можно сбросить пароль программными средствами, например, программой
killcmos.com Скачать или с использованием ключа /k выше упомянутой cmospwd.exe
Принцип сброса пароля основан на записи в ячейки CMOS какой-нибудь информации без изменения контрольной суммы. При выполнении самотестирования по включению питания (процедуры POST) выполняется проверка контрольной суммы содержимого CMOS и, в случае ошибки, выполняется сброс настроек по умолчанию (в Default) . При этом пароль также сбрасывается.

При отсутствии специальной программы для очистки CMOS, можно воспользоваться любой программой, позволяющей выполнять запись в порты ввода-вывода. Запись в порт 70H задает адрес ячейки CMOS, а запись в порт 71H — ее содержимое. Идеальным вариантом было бы писать непосредственно в ту ячейку, где хранится контрольная сумма. Когда-то (кажется до появления PS/2) контрольная сумма хранилась в ячейках 2Eh и 2Fh и изменение их содержимого однозначно приводила к сбросу CMOS.

Проще всего воспользоваться загрузкой в среде DOS / Win9x, где имеется стандартный отладчик debug.exe, позволяющий напрямую работать с портами ввода-вывода. Запускаем debug и вводим команды:
-o 70 2E &nbsp &nbsp — записать в порт 70 адрес ячейки 2E
-o 71 0 &nbsp &nbsp — записать в порт 71 значение «0»
-q &nbsp &nbsp &nbsp &nbsp — закончить работу с отладчиком
Однако сейчас это не всегда так, область контролируемого содержимого и адрес ячеек контрольной суммы не имеют стандартных значений, поэтому программы обнуления CMOS расписывают либо всю энергонезависимую память, либо большую ее часть. Если вы используете отладчик debug — есть смысл изменить содержимое ячеек 30h-33h, 40h, 70h. Обычно это срабатывает.

И последнее — поскольку подобные программы работают напрямую с портами ввода вывода, их запуск нужно производить в чистом DOS’е, а не в окне DOS-сессии Windows NT/2000/XP, если не предусмотрена возможность работы через специальный драйвер, как у cmospwd_win.exe

Сброс паролей на ноутбуках Toshiba

&nbsp &nbsp В отличие от большинства обычных компьютеров, ноутбуки, за редким исключением, хранят пароли не в CMOS, а программируемом ПЗУ (EEPROM), поэтому все выше перечисленные способы сброса паролей работать не будут. В большинстве случаев, для декодирования или сброса паролей понадобится специальное оборудование и определенная методика, зависящая от конкретной модели. С некоторой долей вероятности, может сработать подбор пароля или его декодирование с помощью специальных программ.
&nbsp &nbsp Для сброса пароля на устаревших ноутбуках Toshiba, используется поставляемая с ним ключевая дискета. Ее можно, создать и самостоятельно, с помощью маленькой программы keydisk.exe Скачать 4кб. Если в процессе загрузки в приводе будет обнаружена такая дискета — пароль сбрасывается.
&nbsp &nbsp Если ключевой диск не помог, можно попробовать специальную заглушку на разъем параллельного порта (Toshiba Parallel loopback). При наличии такой заглушки большинство ноутбуков Toshiba сбросят пароль при первом же включении. Заглушку можно легко изготовить самостоятельно, соединив между собой следующие контакты разъема DB25:
1-5-10, 2-11, 3-17, 4-12, 6-16, 7-13, 8-14, 9-15, 18-25

&nbsp &nbsp Существуют и другие, небезопасные способы сброса пароля — вроде выпаивания и перепрограммирования ПЗУ или обесточивания микросхемы с хранящимся паролем. Однако, лучше всего, все же обратиться в службу технической поддержки производителя ноутбука. Например, для ноутбуков Toshiba, существует способ удаления пароля с использованием метода обмена идентификационными кодами (Response Code method ). Процедура сброса заключается в следующем:
— после вывода запроса на ввод пароля нажимаются определенные комбинации клавиш (Обычно — последовательно нажать и отпустить Ctrl, Tab, Ctrl, Enter), после чего на экране появится сообщение:

PC Serial No.= XXXXXXXXX
Challenge Code= XXXXX XXXXX XXXXX XXXXX XXXXX
Response Code=

— звоните в службу технической поддержки Toshiba и сообщаете «PC Serial No» и «Challenge Code». В ответ вам диктуют «Response Code» для сброса пароля.
— вводите «Response Code» и нажимаете Enter. На экране должно появиться подтверждение правильности введенного кода:

Valid Password Entered. System is now starting up.

&nbsp &nbsp Снова входите в BIOS:

1. Нажимаете ‘P’ для перехода к полю пароля. Подсвечено «Registered».
2. Нажимаете пробел. Значение «Password= Registered» поменяется на «Password= «.
3. Нажимаете Enter. Появится сообщение- «New Password = «.
4. Жмете Enter. Появится сообщение- «Verify Password= «.
5. Жмете Enter. Появится сообщение- «Password= Not Registered».
6. Жмете End . Появится сообщение- «Are You Sure?».
7. Жмете Y.

&nbsp &nbsp Все, пароль сброшен.

&nbsp &nbsp На некоторых ноутбуках существует возможность сброса пароля с помощью нажатия определенной комбинации клавиш сразу после включения. На некоторых моделях Acer срабатывает нажатие или .
Для ноутбуков DELL существует возможность сброса пароля с помощью master password, который генерируется по номеру Service Tag (написан на корпусе ноутбука). Программа для генерации master password (latitude.zip Скачать, (6 кб, пароль к архиву – admcomp.ru)
Некоторые антивирусы определяют latitude.exe как вредоносную программу (hacktool). Для использования запустите:
latitude.exe
Программа использует 5 символов из Service Tag.

В настоящее время взломать пароль на ноутбуке все сложнее и сложнее. Не существует ни единой методики, нет и универсального программного обеспечения, поскольку каждый производитель оборудования использует свой, уникальный даже для отдельных линеек продукции, подход к способам восстановления забытых паролей. У пользователя остается выбор — либо обращаться в авторизованный сервисный центр, либо искать конкретную методику сброса пароля под свой ноутбук на специализированных интернет-ресурсах, например:

Раздел конференции IXBT, посвященный паролям на нетбуках, ноутбуках и ультрабуках.

Раздел форума oszone.net «Способы сброса пароля на ноутбуках.»

Ссылки на англоязычные ресурсы по сбросу пароля на ноутбуках:

dogber.blogspot.com — получение пароля для многих моделей ноутбуков по контрольной сумме, которая отображается на экране при вводе неверного пароля, а также по серийному номеру модели. Ссылки на онайн-калькулятор и программы для получения паролей.

Генераторы инженерных паролей для ноутбуков с БИОС фирмы Phoenix В архиве две программы — BIOS_PW.EXE для БИОС и HDD_PW.EXE для жесткого диска. Пользоваться просто: в DOS-окне вводим имя программы, через пробел — код ошибки из пяти цифр, который выдает ноутбук при трижды неправильно введенном пароле, через пробел — цифру 0 и нажимаем клавишу Enter. Программа выдаст несколько паролей. Один из них может подойти к БИОС. Возможно, для подбора пароля потребуется довольно длительный перебор.

Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»

В начало страницы       |     На главную страницу

Распаковка exe-файла с BIOS от ASRock. — IT-блог

Автор: OFF | 06.10.2013

Как распаковать exe-файл с прошивкой BIOS ASRock ?

Иногда бывают случаи когда производители материнских плат распостраняют bios для своих продуктов используя упакованный exe-файл. Такой файл распаковать и просто достать заветный бинарник не получится никаким архиватором.  Распаковать такой файл и и извлечь файл прошивки нам поможет инструмент AMIUCP(AMI Utility Configuration Program).  Пользоваться  утилитой очень просто. Покажу как распаковать exe-файл с прошивкой bios на примере ASRock. Есть файл N68CSU1.60.EXE. Это файл для обновления bios материнской платы ASRock  N68C-S UCC.   Запускаем AMIUCP, открываем упакованный exe-файл  с прошивкой.

Далее. На закладке UAF Configuration просто отмечаем пункт Extract.  В таблице выбираем строку с ID в которой значится @ROM.  Указываем путь и имя файла под которым будет  извлечен  и сохранен  файл бинарник для прошивки.

 

Нажимаем Apply и получаем в свое распоряжение готовый файл BIOS материнской платы годный для заливки программатором. Вот собственно  и все. Скачать AMIUCP можно по ссылке выше.

 

 

 

Раздел: BIOS Инструменты Метки: BIOS

Интересное в сети

БЛОГ WEB/365

Реклама от GOOGLE

Товары

загрузка. ..

Рубрики

  • BIOS
  • BSOD
  • Linux
  • Видео
  • Драйверы устройств
  • Железо
  • Инструменты
  • Креативы
  • Работа
  • Разное
  • Релакс
  • Электроника начинающим

Метки

ACC Advanced Clock Calibration AGP AMD Arduino Ati ATi Catalyst BIOS BSOD Catalyst Li-ion зарядка Linux manual nVidia oscam OverDrive pdf phoenix reader skype STOP 0x74 STOP 0xED ttyUSB UnrealTournament Восстановление Windows Драйвер Драйвер Radeon Синий экран драйверы драйверы Realtek прошивка Ati прошивка видеокарт ремонт солнечная батарея хобби электроника

Последние записи

  • Прошивка TP-LINK 740ND
  • Прошивка Totolink RT150N
  • Oscam-ymod Ubuntu Server
  • Копеечный Программатор Ch441A
  • BIOS для AFOX ih210-ma

поиск по блогу

Найти:

Iconic One Theme | Powered by WordPress

Анализ вредоносного ПО or4qtckT.

exe Вредоносная активность | ANY.RUN

Добавить для печати

900 07 https://app.any.run/tasks/30a48f99-5aef-4214- b6ed-5863a92825f8 9006 3
Имя файла:

or4qtckT.exe

Полный анализ:
Вердикт: Вредоносная активность
Угрозы:

WannaCry — известная программа-вымогатель, использующая Eternal Синий подвиг. Известно, что эта вредоносная программа заразила не менее 200 000 компьютеров по всему миру и продолжает оставаться активной и опасной угрозой.

Malware Trends Tracker     >>>

Дата анализа: 28 января 2021 г., 10:39:44
ОС: Пакет обновления 1 для Windows 7 Professional (сборка: 7601, 32-разрядная версия)
Теги:

программы-вымогатели

Wantacry

wancryptor

Индикаторы:
MIME: приложение/x-dosexec
Информация о файле: Исполняемый файл PE32 (GUI) Intel 80386, для MS Windows
MD5:

84C82835A5D21BBCF75A61706D8AB5 49

SHA1:

5FF465AFAABCBF0150D1A3AB2C2E74F3A4426467

SHA2 56:
SSDEEP:

98304:QqPoBhz1aRxcSUDk36SAEdhvxWa9P593R8yAVp2g3x:QqPe1Cxcxk3ZAEUadzR8yc4gB

ANY. RUN — интерактивный сервис, обеспечивающий полный доступ к гостевой системе. Информация в этом отчете может быть искажена действиями пользователя и предоставляется пользователю для ознакомления как есть. ANY.RUN не гарантирует вредоносность или безопасность контента.

Добавить для печати

  • ВРЕДОНОСНЫЙ

    • Приложение было удалено или перезаписано из другого процесса
      • taskdl.exe (PID: 2564)
      • @ [электронная почта защищена] (PID: 4052)
      • @[электронная почта protected] (PID: 2832)
      • taskhsvc.exe (PID: 2864)
      • taskdl.exe (PID: 2416)
      • @[email protected] (PID: 768)
    • Сброшенный файл может содержать инструкции программа-вымогатель
      • or4qtckT.exe (PID: 908)
    • Записывает файл в папку запуска Word
      • or4qtckT.exe (PID: 908)
    • Похищает учетные данные из веб-браузеров
      9 0112
    • or4qtckT. exe (PID: 908)
  • Действия выглядят как кража персональных данных
    • or4qtckT.exe (PID: 908)
  • WannaCry Ransomware обнаружен
    • cmd.exe (PID: 928)
    • or4qtckT.exe (PID: 908)
  • Изменяет файлы в папке расширений Chrome. taskhsvc.exe (PID: 2864)
  • Удаляет теневые копии
    • cmd.exe (PID: 2496)
  • Запускает BCDEDIT.EXE для отключения восстановления
    • cmd.exe (PID: 2496)
    9012 2
  • Загружает COM API планировщика заданий
    • wbengine.exe (PID: 2212)
  • Изменяет значение автозапуска в реестре
    • reg.exe (PID: 3316)

  • ПОДОЗРИТЕЛЬНО

    • Использует ATTRIB.EXE для изменения атрибутов файла
      • or4qtckT.exe (PID: 908)
    • Использует ICACLS.EXE для изменения списка управления доступом
      • or4qtckT. exe (PID: 908) 9012 2
    • Удаляет файл с слишком старая дата компиляции
      • or4qtckT.exe (PID: 908)
      • @[email protected] (PID: 4052)
    • Запускает CMD.EXE для выполнения команд
      • или 4qtckT.exe (PID: 908)
      • @[ электронная почта защищена] (PID: 2832)
    • Исполняемый контент был удален или перезаписан
      • or4qtckT.exe (PID: 908)
      • @[email protected] (PID: 4052) 90 122
    • Выполняет сценарии
      • cmd.exe (PID: 2640)
    • Удаляет файл со слишком поздней датой компиляции
      • or4qtckT.exe (PID: 908)
    • Создает файлы, подобные инструкции Ransomware
      9 0112
    • or4qtckT.exe (PID: 908)
  • Создает файлы в каталоге программы. 2)
  • Создает файлы в каталоге пользователя Служба Windows
    • vssvc.exe (PID: 1504)
    • wbengine. exe (PID: 2212)
    • vds.exe (PID: 3076)
  • Низкоуровневые права доступа на чтение к разделу диска
    • wbengine.exe (PID: 2212)
    • vds.exe (PID: 3076)
  • Создает файлы в каталоге Windows
    • wbadmin.exe (PID: 1568)
  • Выполняется через COM
    • vdsldr.exe (PID: 2412)
    • 90 113
    Использует REG.EXE для изменения реестра Windows
    • cmd.exe ( PID: 2600)

  • INFO

    • Удаленный объект может содержать URL-адреса TOR
      • или 4qtckT.exe (PID: 908)
    • Сброшенный объект может содержать URL-адрес браузера Tor
      • or4qtckT.exe (PID: 908)
    • Сброшенный объект может содержать биткойн-адреса )

    • Узнать больше информация об артефактах подписи и сопоставлении с MITRE ATT&CK™ MATRIX в полном отчете

    Добавить для печати

    Нет конфигурации вредоносного ПО.

    No related posts.