记得本BBS的病毒版上曾有人提到过在BIOS里植进病毒。其时固然认为它是一种新设法,但是诸多方面都不成熟。例如在软件上,BIOS中代码和数据的安放无必然之规,所以病毒代码就找不到适宜的位置存放;硬件上BIOSROM是不成改写的,至少FLASH BIOS是能够报酬掌握制止写进的,消弭了病毒传染的可能性。所以关于BIOS病毒的议论就被弃捐一旁了。比来研究了下BIOS,那个很古老而少有人感兴致的东东。其成果却令偶食了一惊,重新的BIOS构造上看,BIOS病毒不单单是个料想,如今几乎是唾手可得的
了。下面从软、硬件两个角度论述下成果:
I.Software portion:
我研究的BIOS是最普及利用的AWARD BIOS,Pentium机以上几乎没有破例的。
其它的BIOS例如AMI的,也许不是如许,但是因为利用面已经很少了,不与考虑。
AWARD BIOS的冗杂水平已经超越了传统BIOS的概念,可粗分为4个部门:
1.BOOT BIOS。那部门完成传统BIOS的工做,但是是简化版的,仅仅负责极其初等的CPU周边的初始化工做,在屏幕上没有任何提醒。然后就挪用第二部门:二部门:
2.Decompression BIOS。听了那个名字感应骇怪吧,BIOS竟然有解压缩功用!
没错,BIOS里有很独立的一小块,大约4K,是个小UNZIP。不外算法不是ZIP的,是别的一种。不外其压缩比却很高,超越了ZIP的压缩才能。DecompressionBIOS负责把第三部门解压缩出来。
3.Compressed BIOS。那才是BIOS的主体,大小约64K摆布吧,BIOS版本越高体积越大。解压缩后前半部门整整128K是现实利用的Main BIOS,后半部门32K是NCR SCSI BIOS。BOOT BIOS挪用Decompression BIOS解出Main BIOS后就把掌握权交给它,那以后利用者才气在屏幕上看见Video BIOS的标识表记标帜、AWARDBIOS的版权信息、EPA的符号、内存查抄等等一系列的后续现象。
4.Free Space。BOOT BIOS和Decompress BIOS位于BIOS存储器的尾部,CompressedBIOS从存储器的头部起头。在二者之间则是宽广的Free Space,一般都填成FF,那段空间大小可达32K摆布!那么大的空间能够放个很不错的宝物儿了。假设考虑挪用Decompression BIOS的解压缩功用的话,放个64K的东东不成问题。病毒带个GUI若何?:-)
BIOS中BOOT BIOS必然起始于FE000h,Decompression BIOS必然起始于FB000h。BOOT BIOS没有任何自校验,做了修改不会被发现。Decompression BIOS有很简单的Checksum,搞颠它几乎是小菜。病毒获得掌握权能够通过修改BOOTBIOS完成,那最简单。要费事点呢,就改Decompress BIOS吧。
Hardware portion:
假设BIOS是ROM做的,只能看不克不及改,那么病毒仍是没有可乘之机。所“幸“的是有FLASH BIOS。但是对FLASH BIOS还有一关就是能够跳线制止写进。
更“幸“的是,对新近普遍利用的29EE010之类的新FLASH BIOS,其编程电压Vpp = 0。所以那个跳线就成了聋子的耳朵--安排。不信往碰运气,对ASUS之类的主板,(用Winbond 或 SST的EEPROM做BIOS片子的)不消改跳线间接利用pflash更新BIOS,包你胜利。有了Software和Hardware两边面的包管,BIOS病毒完全能够实现了。不外我颁发那篇可是为了提醒主板厂家赶紧摘取提防办法的呦。^_*
附录:AWARD BIOS Bug
AWARD BIOS在硬盘处置上有Bug,它在启动时要往读下MBR,只要把MBR中硬盘的磁头数改成FF,机器自检就通不外,象硬盘物理坏了似的。那个锁比江米的“江民炸弹”凶猛多了吧。谁在病毒里用了,别忘了写上是“主动硬件锁”啊。