【原创】一波三折破密码——T30超级用户密码破解记

wq0551

更新历史：

2007年2月1日：破解出来的密码居然原本就贴在机器上。参见：T30超级用户密码破解记 之 黑色幽默篇


去年在淘宝上买了台成色不错的T30，到手后很是满意。当天晚上发现BIOS中设置了超级密码，可以进入，但是所有选项都不能更改。联系卖家，挺爽快，说寄回去换一台。因为不影响使用，而且换来的不见得有这样好成色，所以就懒得麻烦了。

我是个“有强迫症的完美主义者”，每次想到BIOS的密码心里都会咯噔一下。前几天实在是受不了了，决定试试能不能破？

在论坛用“密码 破解”搜索，”断萧“XD的帖子里面把破解的原理和步骤说得比较清楚了。但是真正要照着他的方案来实施，对我来说几乎是不可能的。首先，那个读出密码芯片ROM的专用编程器无处可寻；其次，一想到要把芯片从板子上焊下来，总觉得会破坏主板的完整性（可恶的完美主义思想**\）。

继续在论坛搜索，耐心地看完所有的跟密码有关的帖子，心中渐渐有了眉目，而且需要用到的软件也都从论坛下载到了。

从收集的资料来看，24RF08的读写器可以有两种，一种是很简单的，不需要芯片和电源，另一种比较复杂，需要转换芯片。

最开始我用的是简单的方法，在一小块单面电路板上刻出需要的线路，焊上电阻和二极管。按要求接好所有信号线，运行软件，总是提示“Eeprom not available”。仔细检查N遍电路板，也没发现问题，看来只能放弃这种偷懒的方案了。（这种简版读取器就不贴照片了，反正是失败的东西，大家也没必要跟着做。）
  
  

第二种电路稍微复杂些，需要用到TTL-RS232电平转换芯片，最常见的就是美信的MAX232系列了。我用的是MAX232CPE(其实就是MAX232)，从美信申请的免费样片。这个芯片很容易买到，有些老式手机的串口数据线里面用的就是这个。我当时申请样品的时候就是准备自己做手机数据线的。其他配件包括：5个1uf 电容，2个1N4148二极管，2个4.7K电阻，1个9针串口插头等。

本来准备周末继续在电路板上刻电路，周五去公司硬件部串门，发现他们正在做一些小玩意，其中就有用MAX232A的接口电路，于是找他们要了两块。嘿嘿，虽然跟我要的不完全一样，但是只要在上面稍加改动应该就可以了。其实就算没有这块板子，自己刻出电路也不困难。


照着原理图改好读取器。仔细核对的过程中发现第15脚居然没有接地，*.*lll 继续核对三遍，没有问题了。

成品就是这个样子：


接下来要准备读取器的电源。原理图上说用3节5号电池供电，手头只有4节的电池盒，没关系，将其中一个电池槽用导线短接即可。为了方便连接，用间距2.54mm的双排母插座改造，相应的读取器上的电源接口用公插头。


最后需要从eeprom上引出GND，SDA，SCL三根信号线，具体位置如下图。同样的，为了方便连接，引出的三根线焊上母插座，读取器引出的三根线用公插头。注意：千万不要图省事直接将eeprom上的GND，SDA，SCL信号线焊在读取器上！！！资料上对连接和去除信号线的顺序有严格的要求。



读取器连接步骤：

1. 将读取器插到台式机的COM1口。

2. 接上电池盒，但是不要打开开关。

3. 去掉笔记本电池，接上电源适配器。万一电路有问题，拔掉电源的速度远远快于去掉电池的速度。

4. 笔记本开机，按F1，会在输入密码的位置停住。稍等一会，确认硬盘灯不再闪动。

5. 将从芯片上引出的信号线按照GND -> SDA -> SCL的顺序依次连接。（去除信号线的时候顺序相反。一定要保证地线GND最先接上，最后断开。）

6. 打开电池盒上的开关。

7. 在台式机上进行如下操作: 开始 -> 运行 -> 输入：cmd -> 按回车 -> 输入：cd c:\allservice\24rf08\ -> 按回车 -> 输入：r24rf08 mynb.bin /x /d /i -> 按回车

这次没有报错！也能在程序所在目录下生成mynb.bin的rom文件，文件大小1k！！太激动了，成功就在眼前啦。

8. 运行windows界面的IBMpass 2.0 Lite密码计算程序，打开刚才生成的rom文件。

天啊！数据全部是0 ！！

不甘心啊！都已经到这一步了，不能就这么放弃。核对电路没有发现问题，把所有焊接点重新过一遍。继续接上测试，这回居然出现新的错误提示。


难道是电路出问题把串口给烧掉了？早知道加上光电隔离器就好了，后悔啊……

通常碰到这种久攻不下的情况，我都会强迫自己去做一些其它事情，让脑子休息休息，再回来的时候经常会发现之前没有注意的问题。这次也不例外，玩了几圈Brnout3，撞翻N辆跑车，再重新连接读取器的时候，发现居然插在COM2上*.*lll

重新来过，终于顺利读出rom了。


运行IBMpass解密，密码随即显现。原来只是5位数字！


去掉芯片上的三根线，还原本本。开机按F1，输入92677，顺利进入BIOS。各个选项也都可以修改了，破解成功！



后记：

现在离破解成功已经有将近一天的时间，心情也平静了许多。仔细回想整个过程，可以说没有什么特别困难的，真正应该佩服的是编写IBM Pass程序的牛人，没有他破解IBM的加密算法，读出了ROM文件也没有用。

我有点奇怪的就是，为什么第一种方法会失败？文档上明明说是可以的嘛！不知有没有用这种方法成功读取ROM的XD。

[ Edited by  htttg on 2011-3-24 17:01 ]

shf1207

用得着这样嘛??

fslongge

QUOTE:

原帖由 shf1207 于 2007-1-29 02:50 发表
用得着这样嘛??

破解超级密码……不这样，还能怎么样？？
楼上的有什么好方法，可以说出来帮助一下楼主呀。

onway

玩的开心就好，

zljsfgitfk

期待楼主继续。

diomandcold

超级密码还是要花点功夫的，看看楼主的实践

Edward197975

顶！！强人！

qigong

留个名先!

yourfrishen

不错，支持动手自己解决问题
咱们要花钱也要花到自己身上长知识，别便宜JS了

fishway

支持，好事情，这样做了技术也飞跃了，原理也清楚了

wq0551

公司的网络上传图片太受罪，晚上继续。

zzzzzz

"注意：千万不要图省事直接将eeprom上的GND，SDA，SCL信号线焊在读取器上！！！资料上对连接和去除信号线的顺序有严格的要求。"

嘿嘿，顺序错了安全芯片会不会自我销毁内部数据啊

第二种的电路图，支持达人，踢上去

larblue

注意解密不要在笔记本上读
很多本子的串口供电有问题
读出的数据都是0
应该在台式机的串口上读

larblue

看了一下你的电路
max232这么这种封装的不用电容是拉不起来的
少四个电容吧
最好用电解的
楼主回去再改改电路吧

dglsq

看看，留个名吧。。。。

wq0551

QUOTE:

原帖由 larblue 于 2007-1-29 16:25 发表
看了一下你的电路
max232这么这种封装的不用电容是拉不起来的
少四个电容吧
最好用电解的
楼主回去再改改电路吧

还有四个电容在反面，搭焊的。密码已经破解了，只是现在上传图片不行，等会晚上回去继续。

Drifter

7个"0"的密码对吗?

Drifter

如果成功的话, 这帖要加分了.

larblue

呵呵
我直接用手机的数据线改过一个
效果还不错
usb的用cp2101转换

Drifter

奇怪T30没有加密芯片的吗?

wq0551

QUOTE:

原帖由 larblue 于 2007-1-29 17:21 发表
呵呵
我直接用手机的数据线改过一个
效果还不错
usb的用cp2101转换

呵呵，这位XD跟我的想法一样，本来准备那我的原装SIEMENS数据线改的，但是没舍得动手。道理上是一样的，只是电平的转换而已。

icfree

过瘾啊!!!!!!!!!!

huyu0577

晕，板子是LZ自己设计的吗？

fucheng

强,硬盘密码能解吗?

布恩

啊，原来破解超级密码这么容易？？

那个破芯片拿来有什么用，晕……

wq0551

QUOTE:

原帖由 huyu0577 于 2007-1-29 19:01 发表
晕，板子是LZ自己设计的吗？

呵呵，帖子里面说了，那个PCB是找公司硬件部的同事要的。

wq0551

QUOTE:

原帖由 布恩 于 2007-1-29 19:33 发表
啊，原来破解超级密码这么容易？？

那个破芯片拿来有什么用，晕……

基本上密码这玩意都是防君子不防小人的。

要是IBM把这个eeprom放在主板正面，应该会增加破解的难度，但是T30却放在最容易接触的内存槽下面，不知这算不算设计上的BUG。

据说用24RF08这个芯片的本本有很多，不仅仅是IBM，所以，这些本本的密码都不是固若金汤的。

ypbsfy

好牛一帖

hpqgod

也算看过了.没有太懂,反正密码没啥用的.谢谢楼主慷慨分享经验.

ffshow

破得那么容易，难怪赛格7楼某档口挂牌 笔记本密码破解10元