【原创】一波三折破密码——T30超级用户密码破解记 - ◇ThinkPad技术讨论区◇

专门网论坛 » ◇ThinkPad技术讨论区◇ » [BIOS] 【原创】一波三折破密码——T30超级用户密码破解记

		打印 \| 推荐 \| 订阅 \| 收藏 14334 views, 109 replies ‹‹ 上一主题 \| 下一主题 ››
本帖已经被作者加入博客

wq0551

初级会员

离线
帖子 700
积分 2.8 积分
资产 597 nb
阅读权限 20
注册 2004-5-29
来自安徽合肥

第 1 帖

于 2007-1-29 02:38 信息悄悄话加为好友

只看该作者

【原创】一波三折破密码——T30超级用户密码破解记

更新历史：

2007年2月1日：破解出来的密码居然原本就贴在机器上。参见：T30超级用户密码破解记之黑色幽默篇

去年在淘宝上买了台成色不错的T30，到手后很是满意。当天晚上发现BIOS中设置了超级密码，可以进入，但是所有选项都不能更改。联系卖家，挺爽快，说寄回去换一台。因为不影响使用，而且换来的不见得有这样好成色，所以就懒得麻烦了。

我是个“有强迫症的完美主义者”，每次想到BIOS的密码心里都会咯噔一下。前几天实在是受不了了，决定试试能不能破？

在论坛用“密码破解”搜索，”断萧“XD的帖子里面把破解的原理和步骤说得比较清楚了。但是真正要照着他的方案来实施，对我来说几乎是不可能的。首先，那个读出密码芯片ROM的专用编程器无处可寻；其次，一想到要把芯片从板子上焊下来，总觉得会破坏主板的完整性（可恶的完美主义思想

）。

继续在论坛搜索，耐心地看完所有的跟密码有关的帖子，心中渐渐有了眉目，而且需要用到的软件也都从论坛下载到了。

从收集的资料来看，24RF08的读写器可以有两种，一种是很简单的，不需要芯片和电源，另一种比较复杂，需要转换芯片。

最开始我用的是简单的方法，在一小块单面电路板上刻出需要的线路，焊上电阻和二极管。按要求接好所有信号线，运行软件，总是提示“Eeprom not available”。仔细检查N遍电路板，也没发现问题，看来只能放弃这种偷懒的方案了。（这种简版读取器就不贴照片了，反正是失败的东西，大家也没必要跟着做。）
[attach]342171[/attach]
[attach]342220[/attach]

第二种电路稍微复杂些，需要用到TTL-RS232电平转换芯片，最常见的就是美信的MAX232系列了。我用的是MAX232CPE(其实就是MAX232)，从美信申请的免费样片。这个芯片很容易买到，有些老式手机的串口数据线里面用的就是这个。我当时申请样品的时候就是准备自己做手机数据线的。其他配件包括：5个1uf 电容，2个1N4148二极管，2个4.7K电阻，1个9针串口插头等。

本来准备周末继续在电路板上刻电路，周五去公司硬件部串门，发现他们正在做一些小玩意，其中就有用MAX232A的接口电路，于是找他们要了两块。嘿嘿，虽然跟我要的不完全一样，但是只要在上面稍加改动应该就可以了。其实就算没有这块板子，自己刻出电路也不困难。
[attach]342221[/attach]

照着原理图改好读取器。仔细核对的过程中发现第15脚居然没有接地，

继续核对三遍，没有问题了。

成品就是这个样子：
[attach]342222[/attach]

接下来要准备读取器的电源。原理图上说用3节5号电池供电，手头只有4节的电池盒，没关系，将其中一个电池槽用导线短接即可。为了方便连接，用间距2.54mm的双排母插座改造，相应的读取器上的电源接口用公插头。
[attach]342177[/attach]

最后需要从eeprom上引出GND，SDA，SCL三根信号线，具体位置如下图。同样的，为了方便连接，引出的三根线焊上母插座，读取器引出的三根线用公插头。注意：千万不要图省事直接将eeprom上的GND，SDA，SCL信号线焊在读取器上！！！资料上对连接和去除信号线的顺序有严格的要求。
[attach]342246[/attach]
[attach]342186[/attach]

读取器连接步骤：

1. 将读取器插到台式机的COM1口。

2. 接上电池盒，但是不要打开开关。

3. 去掉笔记本电池，接上电源适配器。万一电路有问题，拔掉电源的速度远远快于去掉电池的速度。

4. 笔记本开机，按F1，会在输入密码的位置停住。稍等一会，确认硬盘灯不再闪动。

5. 将从芯片上引出的信号线按照GND -> SDA -> SCL的顺序依次连接。（去除信号线的时候顺序相反。一定要保证地线GND最先接上，最后断开。）

6. 打开电池盒上的开关。

7. 在台式机上进行如下操作: 开始 -> 运行 -> 输入：cmd -> 按回车 -> 输入：cd c:\allservice\24rf08\ -> 按回车 -> 输入：r24rf08 mynb.bin /x /d /i -> 按回车

这次没有报错！也能在程序所在目录下生成mynb.bin的rom文件，文件大小1k！！太激动了，成功就在眼前啦。

8. 运行windows界面的IBMpass 2.0 Lite密码计算程序，打开刚才生成的rom文件。

天啊！数据全部是0 ！！

不甘心啊！都已经到这一步了，不能就这么放弃。核对电路没有发现问题，把所有焊接点重新过一遍。继续接上测试，这回居然出现新的错误提示。
[attach]342223[/attach]

难道是电路出问题把串口给烧掉了？早知道加上光电隔离器就好了，后悔啊……

通常碰到这种久攻不下的情况，我都会强迫自己去做一些其它事情，让脑子休息休息，再回来的时候经常会发现之前没有注意的问题。这次也不例外，玩了几圈Brnout3，撞翻N辆跑车，再重新连接读取器的时候，发现居然插在COM2上

重新来过，终于顺利读出rom了。
[attach]342231[/attach]

运行IBMpass解密，密码随即显现。原来只是5位数字！
[attach]342191[/attach]

去掉芯片上的三根线，还原本本。开机按F1，输入92677，顺利进入BIOS。各个选项也都可以修改了，破解成功！

后记：

现在离破解成功已经有将近一天的时间，心情也平静了许多。仔细回想整个过程，可以说没有什么特别困难的，真正应该佩服的是编写IBM Pass程序的牛人，没有他破解IBM的加密算法，读出了ROM文件也没有用。

我有点奇怪的就是，为什么第一种方法会失败？文档上明明说是可以的嘛！不知有没有用这种方法成功读取ROM的XD。

[ 本帖最后由 wq0551 于 2007-2-1 16:37 编辑 ]

附件: 您所在的用户组无法下载或查看附件

C610 -> T23 -> T30 -> ？
http://www.51nb.com/forum/thread-488973-1-1.html

shf1207

入门会员

离线
帖子 19
积分 0 积分
资产 69 nb
阅读权限 10
注册 2007-1-27
来自绍兴诸暨

第 2 帖

于 2007-1-29 02:50 信息主页悄悄话加为好友

只看该作者

用得着这样嘛??

fslongge

入门会员

离线
帖子 1602
积分 0 积分
资产 2964 nb
阅读权限 10
注册 2006-9-27
来自残城

第 3 帖

于 2007-1-29 03:24 信息悄悄话加为好友只看该作者

QUOTE:

原帖由 shf1207 于 2007-1-29 02:50 发表
用得着这样嘛??

破解超级密码……不这样，还能怎么样？？
楼上的有什么好方法，可以说出来帮助一下楼主呀。

从t23+X30开始，在用X31/X32/T43，准备购入T400。

onway

入门会员

离线
帖子 1038
积分 0 积分
资产 736 nb
阅读权限 10
注册 2005-11-19

第 4 帖

于 2007-1-29 07:37 信息悄悄话加为好友只看该作者

玩的开心就好，

zljsfgitfk

荣誉版主

离线
帖子 49944
积分 0.2 积分
资产 48956 nb
阅读权限 70
注册 2005-2-11
来自黑龙江齐齐哈尔

第 5 帖

于 2007-1-29 07:40 信息悄悄话加为好友

只看该作者

期待楼主继续。

东北区恢复了！开心中！
X60 英文，蓝牙无线指纹，T7200,2G、RAM。TREO650
qq.264154138 or 309739807
msn zljsfgitfk@hotmail.com.

学习技术在51nb专门网、购买笔记本请到upnb游本网

diomandcold

入门会员

离线
帖子 8309
积分 0 积分
资产 12743 nb
阅读权限 10
注册 2004-2-18

第 6 帖

于 2007-1-29 08:51 信息悄悄话加为好友

只看该作者

超级密码还是要花点功夫的，看看楼主的实践

X31 BT

Edward197975

入门会员

离线
帖子 216
积分 0 积分
资产 128 nb
阅读权限 10
注册 2006-12-27
来自苏州

第 7 帖

于 2007-1-29 09:31 信息悄悄话加为好友

只看该作者

顶！！强人！

qigong

入门会员

离线
帖子 226
积分 0 积分
资产 66 nb
阅读权限 10
注册 2004-3-4
来自湖北省

第 8 帖

于 2007-1-29 10:10 信息悄悄话加为好友

只看该作者

留个名先!

yourfrishen

入门会员

离线
帖子 4422
积分 0 积分
资产 4800 nb
阅读权限 10
注册 2003-6-20
来自 MN

第 9 帖

于 2007-1-29 10:30 信息悄悄话加为好友只看该作者

不错，支持动手自己解决问题
咱们要花钱也要花到自己身上长知识，别便宜JS了

T60/Macbook Pro
MxRevolution/2408WFP/MiniDock/iPhone

fishway

入门会员

离线
帖子 561
积分 0 积分
资产 887 nb
阅读权限 10
注册 2004-4-4
来自重庆

第 10 帖

于 2007-1-29 13:00 信息悄悄话加为好友只看该作者

支持，好事情，这样做了技术也飞跃了，原理也清楚了

X61 1.8G 1.5G 160G
X31 ICC 1.3GHz / 768MB / 80GB / 802.11b /WIN XP

wq0551

初级会员

离线
帖子 700
积分 2.8 积分
资产 597 nb
阅读权限 20
注册 2004-5-29
来自安徽合肥

第 11 帖

于 2007-1-29 16:14 信息悄悄话加为好友

只看该作者

公司的网络上传图片太受罪，晚上继续。

C610 -> T23 -> T30 -> ？
http://www.51nb.com/forum/thread-488973-1-1.html

zzzzzz

入门会员

离线
帖子 1122
积分 0 积分
资产 1195 nb
阅读权限 10
注册 2003-2-11
来自天津

第 12 帖

于 2007-1-29 16:19 信息悄悄话加为好友只看该作者

"注意：千万不要图省事直接将eeprom上的GND，SDA，SCL信号线焊在读取器上！！！资料上对连接和去除信号线的顺序有严格的要求。"

嘿嘿，顺序错了安全芯片会不会自我销毁内部数据啊

第二种的电路图，支持达人，踢上去

larblue

入门会员

离线
帖子 941
积分 0 积分
资产 1903 nb
阅读权限 10
注册 2004-8-11
来自山东济南

第 13 帖

于 2007-1-29 16:23 信息悄悄话加为好友只看该作者

注意解密不要在笔记本上读
很多本子的串口供电有问题
读出的数据都是0
应该在台式机的串口上读

IBM T21 800M 512 SDR 40G 8XDVD 14.1TFT
IBM 600x 500M 128 SDR 20G 8XDVD 13.3TFT

larblue

入门会员

离线
帖子 941
积分 0 积分
资产 1903 nb
阅读权限 10
注册 2004-8-11
来自山东济南

第 14 帖

于 2007-1-29 16:25 信息悄悄话加为好友只看该作者

看了一下你的电路
max232这么这种封装的不用电容是拉不起来的
少四个电容吧
最好用电解的
楼主回去再改改电路吧

IBM T21 800M 512 SDR 40G 8XDVD 14.1TFT
IBM 600x 500M 128 SDR 20G 8XDVD 13.3TFT

dglsq

入门会员

离线
帖子 274
积分 0 积分
资产 261 nb
阅读权限 10
注册 2006-11-3

第 15 帖

于 2007-1-29 16:49 信息悄悄话加为好友只看该作者

看看，留个名吧。。。。

T23 1.2G 1G 5K160 80G+40G SXGA,DVD,Modem,100M,TV,WiFi,深度 XP 5.6 & Ubuntu 6.10

wq0551

初级会员

离线
帖子 700
积分 2.8 积分
资产 597 nb
阅读权限 20
注册 2004-5-29
来自安徽合肥

第 16 帖

于 2007-1-29 16:56 信息悄悄话加为好友

只看该作者

QUOTE:

原帖由 larblue 于 2007-1-29 16:25 发表
看了一下你的电路
max232这么这种封装的不用电容是拉不起来的
少四个电容吧
最好用电解的
楼主回去再改改电路吧

还有四个电容在反面，搭焊的。密码已经破解了，只是现在上传图片不行，等会晚上回去继续。

C610 -> T23 -> T30 -> ？
http://www.51nb.com/forum/thread-488973-1-1.html

Drifter

高级会员

离线
帖子 56656
积分 16 积分
资产 78081 nb
阅读权限 40
注册 2004-6-23

第 17 帖

于 2007-1-29 17:00 信息悄悄话加为好友只看该作者

7个"0"的密码对吗?

Drifter

高级会员

离线
帖子 56656
积分 16 积分
资产 78081 nb
阅读权限 40
注册 2004-6-23

第 18 帖

于 2007-1-29 17:01 信息悄悄话加为好友只看该作者

如果成功的话, 这帖要加分了.

larblue

入门会员

离线
帖子 941
积分 0 积分
资产 1903 nb
阅读权限 10
注册 2004-8-11
来自山东济南

第 19 帖

于 2007-1-29 17:21 信息悄悄话加为好友只看该作者

呵呵
我直接用手机的数据线改过一个
效果还不错
usb的用cp2101转换

IBM T21 800M 512 SDR 40G 8XDVD 14.1TFT
IBM 600x 500M 128 SDR 20G 8XDVD 13.3TFT

Drifter

高级会员

离线
帖子 56656
积分 16 积分
资产 78081 nb
阅读权限 40
注册 2004-6-23

第 20 帖

于 2007-1-29 17:30 信息悄悄话加为好友只看该作者

奇怪T30没有加密芯片的吗?

wq0551

初级会员

离线
帖子 700
积分 2.8 积分
资产 597 nb
阅读权限 20
注册 2004-5-29
来自安徽合肥

第 21 帖

于 2007-1-29 18:16 信息悄悄话加为好友

只看该作者

QUOTE:

原帖由 larblue 于 2007-1-29 17:21 发表
呵呵
我直接用手机的数据线改过一个
效果还不错
usb的用cp2101转换

呵呵，这位XD跟我的想法一样，本来准备那我的原装SIEMENS数据线改的，但是没舍得动手。道理上是一样的，只是电平的转换而已。

C610 -> T23 -> T30 -> ？
http://www.51nb.com/forum/thread-488973-1-1.html

icfree

入门会员

离线
帖子 653
积分 0 积分
资产 664 nb
阅读权限 10
注册 2005-2-8
来自深圳福田

第 22 帖

于 2007-1-29 18:18 信息悄悄话加为好友只看该作者

过瘾啊!!!!!!!!!!

huyu0577

入门会员

离线
帖子 586
积分 0 积分
资产 951 nb
阅读权限 10
注册 2005-12-26
来自温州

第 23 帖

于 2007-1-29 19:01 信息悄悄话加为好友只看该作者

晕，板子是LZ自己设计的吗？

fucheng

入门会员

离线
帖子 5888
积分 0 积分
资产 1018 nb
阅读权限 10
注册 2005-5-22
来自温州

第 24 帖

于 2007-1-29 19:09 信息悄悄话加为好友

只看该作者

强,硬盘密码能解吗?

X61T 7762 AA3 2*2G 80G SSD MC5725
X301 2774 A13 2G+1G 64G SSD UNDP-1

布恩

入门会员

离线
帖子 1371
积分 0 积分
资产 1212 nb
阅读权限 10
注册 2005-9-21
来自重庆

第 25 帖

于 2007-1-29 19:33 信息主页悄悄话加为好友

只看该作者

啊，原来破解超级密码这么容易？？

那个破芯片拿来有什么用，晕……

wq0551

初级会员

离线
帖子 700
积分 2.8 积分
资产 597 nb
阅读权限 20
注册 2004-5-29
来自安徽合肥

第 26 帖

于 2007-1-29 19:34 信息悄悄话加为好友

只看该作者

QUOTE:

原帖由 huyu0577 于 2007-1-29 19:01 发表
晕，板子是LZ自己设计的吗？

呵呵，帖子里面说了，那个PCB是找公司硬件部的同事要的。

C610 -> T23 -> T30 -> ？
http://www.51nb.com/forum/thread-488973-1-1.html

wq0551

初级会员

离线
帖子 700
积分 2.8 积分
资产 597 nb
阅读权限 20
注册 2004-5-29
来自安徽合肥

第 27 帖

于 2007-1-29 19:38 信息悄悄话加为好友

只看该作者

QUOTE:

原帖由布恩于 2007-1-29 19:33 发表
啊，原来破解超级密码这么容易？？

那个破芯片拿来有什么用，晕……

基本上密码这玩意都是防君子不防小人的。

要是IBM把这个eeprom放在主板正面，应该会增加破解的难度，但是T30却放在最容易接触的内存槽下面，不知这算不算设计上的BUG。

据说用24RF08这个芯片的本本有很多，不仅仅是IBM，所以，这些本本的密码都不是固若金汤的。

C610 -> T23 -> T30 -> ？
http://www.51nb.com/forum/thread-488973-1-1.html

ypbsfy

入门会员

离线
帖子 20
积分 0 积分
资产 11 nb
阅读权限 10
注册 2006-12-20
来自天津

第 28 帖

于 2007-1-29 19:50 信息主页悄悄话加为好友

只看该作者

好牛一帖

hpqgod

入门会员

离线
帖子 3083
积分 0 积分
资产 3081 nb
阅读权限 10
注册 2005-11-24

第 29 帖

于 2007-1-29 20:16 信息悄悄话加为好友只看该作者

也算看过了.没有太懂,反正密码没啥用的.谢谢楼主慷慨分享经验.

怀念3508I 650出问题了换了9K和PRO.

ffshow

入门会员

离线
帖子 7380
积分 0 积分
资产 3178 nb
阅读权限 10
注册 2006-8-20

第 30 帖

于 2007-1-29 20:42 信息悄悄话加为好友只看该作者

破得那么容易，难怪赛格7楼某档口挂牌笔记本密码破解10元

详见头像

110 1/4 1 2 3 4 ››

专门网论坛 » ◇ThinkPad技术讨论区◇ » [BIOS] 【原创】一波三折破密码——T30超级用户密码破解记