Всем доброго времени суток. Задача написать кряк response code для разблокировки бизнес серий ноутбуков ну или найти человека который поможет мне его снять.
История такая: Имею два ноутбука Toshiba Portage R500 хоть и старые но интересные.
1. Модель PPR50E-03202JRU шел в комплекте с zif ssd интерфейс ide pata.
2. Модель PPR50U-07Y0BR02 шел в комплекте с обычным sata ssd
И все бы хорошо но у первого умер ssd и я решил заменить его на обычный sata, спаял шлейф, изучил платы, допаял конденсаторы по линии, перекинул питание с 3,3 на 5v.
Подключаю диск но ноут его не видит, пишет ошибка HDD. Перепроверил платы, прозвонил все до моста, нареканий нет. Решил что проблема в программной части т.к. мосты одинаковые.
Начал с подмены BIOS 25PE16WP от модели с sata зашил его в zif версию прямо с серийными, результата 0.
Снял следующую eeprom 24c02wp та что стоит над южным мостом, результата 0.
Нашел еще одну eeprom 95010wp, как оказалось от сетевой карты, расположена на обратной стороне платы рядом с мостом, результата 0.
Добрался до eeprom 24c08wp, расположена в районе EC/KBC, содержимое похоже на кусок зашифрованного файла, заменил и тут сюрприз, ноут попросил пароль со следующей надписью:
ALERT: System Protection Failure
Password=?
Ну думаю не беда, дампы ведь всего сохранил, да и паролей на ноутбуках не стояло. Зашиваю все дампы на свои места, запаиваю микросхемы, запускаю и понимаю что попал
, Требует пароль!
Погуглив денек понимаю что во всем виноват EC/KBC. Нашел хитрый режим сброса c Response Code когда нужно нажать последовательно клавиши в следующем порядке: CTRL, TAB, CTRL, ENTER.
Выводится серийник и код запроса, на что ему нужно написать ответ в виде Response Code. Самое интересное что у мульта там щелкнуло что он заблокировался, паролей ведь не стояло.
Далее решил закинуть дамп биоса в гидру и посмотреть как происходит проверка пароля, но увы такого функционала нету. Погуглив еще интернет на предмет готового генератора наткнулся на интересную презентацию
http://q3k.org/slides-recon-2018.pdf, Два парня из Польши провели хитрую атаку на EC/KBC сняв дамп прошивки и получили заветный алгоритм генерации пароля с ключами.
Еще один интересный ресурс
https://hackaday.io/project/723/logs, все те же лица только в процессе перед презентацией.
Конечно готового кода там нет, но зато есть методика!
Я решил повторить их путь, все по пунктам:
1. Скачал биос для своей модели
2. Посмотрел, действительно сжат
3. Написал утилиту на c++ для работы с TBDECODE.DLL для распаковки BIOS (кому надо могу дать с исходниками). Ребята конечно приврали про 50 строк кода
.
4. Сверил распакованный с дампом, функционал совпадает. Как ни странно я копал в верном направлении т.к. у нас все совпадало, просто я начал с другого конца.
5. Дошел до прошивки EC/KBC, даже архив S100_EC4X01_ENU.EXE с прошивкой EC для этих серий есть, но она там зашифрована.
Вообщем нужны ключи шифрования для этой прошивки, либо нужно считать ее из EC/KBC (у меня установлена Renesas m306kafclrp, у ребят из Польши Renesas m306k9fclrp).
Пароль для снятия дампа: 0xFF, 0xFF, 0xFF, 0xFF, 0x00, 0xFF, 0x00.
Также репозитории с софтом для снятия тут:
https://github.com/q3k/m16c-interface и тут:
https://code.hackerspace.pl/q3k/ec-prom-dump/У меня увы нечем т.к. из программаторов только wizardprog 87i.
Надеюсь найдутся люди кто поможет снять дамп, подойдет с этих ноутбуков:
Список моделей:
Portege (A30, A600, M100, M200, M300, M400, M700, M750, M780, R30-A, R100, R200, R400, R500, R600, R700, R830, R930, S100, Z830, Z930, Z10T-A, Z20T-B, Z30T-A/B/C, X20W-D, X30-D)
Qosmio (F20, F30, F60, F750, G10, G20, G30, G40, G50)
Satellite (M30, R10, R20, R630, R830, R840, R850, R930, Z930, U200, U920, Z30-A)
Satellite Pro (A30-D, A40-D, A50, A120, M10, M30, R40-D, R50-B/C/D, R840, R850, R950, S200, S300, S300L, S500, U200)
Tecra (A3X, A9, A10, A11, A40-D, A50, A50-D, C50-C, M1, M2, M3, M4, M5, M7, M9, M10, M11, R840,R850, R940, R950, S3, S4, S5, S10, S11, X40-D, W50-A, Z40T-A/B/C, Z50-A/B/C/D)
WT310, Kira, Libretto (U100, W100)
С меня генератор в общий доступ ну или по договоренности, а то эти ребята походу уже не выложат т.к. им занесли
.
