荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: Song (默者如我), 信区: Virus
标  题: [转载]如何打开潘多拉的盒子--BIOS瞤?侩?*@蘓
发信站: BBS 荔园晨风站 (Tue May  4 14:18:29 1999), 转信 (WWW POST)

@p**
#localpost:

发信人: dj (贾医生), 信区: Virus
标 题: 如何打开潘多拉的盒子--BIOS病毒可行论
发信站: BBS 水木清华站 (Mon Apr 13 14:14:34 1998)

记得本BBS的病毒版上曾有人提到过在BIOS里植入病毒。当时虽然认为它
是一种新想法,但是诸多方面都不成熟。例如在软件上,BIOS中代码和数
据的安排无一定之规,所以病毒代码就找不到合适的位置存放;硬件上BIOS
ROM是不可改写的,至少FLASH BIOS是可以人为控制禁止写入的,消除了
病毒感染的可能性。所以关于BIOS病毒的讨论就被搁置一旁了。最近研究
了下BIOS,这个很古老而少有人感兴趣的东东。其结果却令偶吃了一惊,
从新的BIOS结构上看,BIOS病毒不仅仅是个猜想,现在简直是唾手可得的
了。下面从软、硬件两个角度阐述下结果:

I.Software portion:

我研究的BIOS是最普遍应用的AWARD BIOS,Pentium机以上几乎没有例外的。
其它的BIOS例如AMI的,也许不是这样,但是由于应用面已经很少了,不
与考虑。
AWARD BIOS的复杂程度已经超过了传统BIOS的概念,可粗分为4个部分:

1.BOOT BIOS。这部分完成传统BIOS的工作,但是是简化版的,仅仅负责极
其初等的CPU周边的初始化工作,在屏幕上没有任何提示。然后就调用第
二部分:
2.Decompression BIOS。听了这个名字感到诧异吧,BIOS居然有解压缩功能!
没错,BIOS里有很独立的一小块,大约4K,是个小UNZIP。不过算法不是ZIP
的,是另外一种。不过其压缩比却很高,超过了ZIP的压缩能力。Decompression
BIOS负责把第三部分解压缩出来。
3.Compressed BIOS。这才是BIOS的主体,大小约64K左右吧,BIOS版本越高
体积越大。解压缩后前半部分整整128K是实际使用的Main BIOS,后半部分
32K是NCR SCSI BIOS。BOOT BIOS调用Decompression BIOS解出Main BIOS后就
把控制权交给它,这以后使用者才能在屏幕上看见Video BIOS的标记、AWARD
BIOS的版权信息、EPA的符号、内存检查等等一系列的后续现象。
4.Free Space。BOOT BIOS和Decompress BIOS位于BIOS存储器的尾部,Compressed
BIOS从存储器的头部开始。在二者之间则是广阔的Free Space,一般都填成
FF,这段空间大小可达32K左右!这么大的空间可以放个很不错的宝贝儿
了。如果考虑调用Decompression BIOS的解压缩功能的话,放个64K的东东
不成问题。病毒带个GUI如何?:-)

BIOS中BOOT BIOS一定起始于FE000h,Decompression BIOS一定起始于FB000h。
BOOT BIOS没有任何自校验,做了修改不会被发现。Decompression BIOS有很
简单的Checksum,搞颠它简直是小菜。病毒取得控制权可以通过修改BOOT
BIOS完成,这最简单。要麻烦点呢,就改Decompress BIOS吧。

Hardware portion:

如果BIOS是ROM做的,只能看不能改,那么病毒还是没有可乘之机。所"
幸"的是有FLASH BIOS。但是对FLASH BIOS还有一关就是可以跳线禁止写入。
更"幸"的是,对新近广泛使用的29EE010之类的新FLASH BIOS,其编程电压
Vpp = 0。所以这个跳线就成了聋子的耳朵--摆设。不信去试试看,对ASUS
之类的主板,(用Winbond 或 SST的EEPROM作BIOS片子的)不用改跳线直接
使用pflash更新BIOS,包你成功。

有了Software和Hardware双方面的保证,BIOS病毒完全可以实现了。不过
我发表这篇可是为了提醒主板厂家赶快采取防范措施的呦。^_*

附录:AWARD BIOS Bug
AWARD BIOS在硬盘处理上有Bug,它在启动时要去读下MBR,只要把MBR中
硬盘的磁头数改成FF,机器自检就通不过,象硬盘物理坏了似的。这个锁
比江米的“江民炸弹”厉害多了吧。谁在病毒里用了,别忘了写上是“主
动硬件锁”啊。

--
        贾医生          酒壶济世真神医

※ 来源:·BBS 水木清华站 bbs.net.tsinghua.edu.cn·[FROM: 166.111.65.169]

--
☆ 来源:.BBS 荔园晨风站 bbs.szu.edu.cn.[FROM: 192.168.0.235]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店