Coordinadora: Carmen La Riva

Centro de Atención Telefónica: 0800-BECARIO (2322746)

Tercera aproximación: no tengo acceso físico a la placa (sí al PC) y quiero

entrar como sea

Si no podemos abrir el ordenador porque está embebido en una máquina más grande o
porque el acceso físico es complicado y no tenemos problemas en que se sepa que
estuvimos allí, podemos intentar reiniciar la memoria CMOS por software. Para ello
necesitaremos los privilegios suficientes en el Sistema Operativo que se esté ejecutando
en la máquina para poder acceder desde ahí a la BIOS y modificarla. En DOS y
sistemas operativos antiguos no había ninguna limitación de cara a escribir en los
puertos que hiciera falta y acceder directamente al hardware, por lo que se podían usar
técnicas como la típica de usar el debug.exe, un debugger en modo texto, y tratar de
escribir un byte en la memoria de la BIOS, con el objetivo de que en el siguiente
arranque dé un error de checksum y se reinicie a los valores por defecto. Si tenéis DOS
o Microsoft Windows 9x, podéis hacer la prueba ejecutando “debug.exe” y luego
escribiendo lo siguiente:

• Para BIOS AMI/AWARD:

• o 70 17
• o 71 17
q

Para BIOS PHOENIX:

o 70 ff
o 71 17
q

Para otras BIOS:

o 70 2e
o 71 ff
q

Si estamos en un Sistema Operativo moderno como Microsoft Windows XP, deberemos

ejecutar nuestro código desde los privilegios suficientes como para poder acceder
directamente al hardware. Una manera bastante típica de hacer esto es cargar un driver y
hacerlo mediante su uso. Este es el enfoque que sigue la herramienta cmospwd y su
driver ioperm. Para usar cmospwd hay que cargar previamente el driver en memoria y
luego usar el programa:

C:\\BIOS\cmospwd-4.8\windows>ioperm.exe -i

C:\BIOS\cmospwd-4.8\windows>cmospwd_win.exe /h

CmosPwd - BIOS Cracker 4.8, January 2006, Copyright 1996-2006

GRENIER Christophe, grenier@cgsecurity.org

http://www.cgsecurity.org/
Usage: cmospwd [/k[de|fr]] [/d]
cmospwd [/k[de|fr]] [/d] /[wlr] cmos_backup_file
write/load/res
tore
cmospwd /k kill cmos
cmospwd [/k[de|fr]] /m[01]* execute selected module

/kfr french AZERTY keyboard, /kde german QWERTZ keyboard

/d to dump cmos
/m0010011 to execute module 3,6 and 7

NB: For Award BIOS, passwords are differents than original, but work.

Después de cargar el driver, vemos con cmospwd /h las opciones que ofrece como
hacer un backup de la CMOS, volcarlo, borrar la memoria, etc. Si queremos quitar la
contraseña de la BIOS, deberemos elegir /k para borrar la memoria:

C:\BIOS\cmospwd-4.8\windows>cmospwd_win.exe /k

CmosPwd - BIOS Cracker 4.8, January 2006, Copyright 1996-2006

GRENIER Christophe, grenier@cgsecurity.org

http://www.cgsecurity.org/

Warning: if the password is stored in an eeprom (laptop/notebook), the

password
won't be erased

1 - Kill cmos
2 - Kill cmos (try to keep date and time)
0 - Abort
Choice : 1

Cmos killed!

Después de borrar la CMOS es muy probable que el Sistema Operativo se resienta,

porque se habrá modificado la fecha a un valor en el pasado y habrá muchos ficheros
creados en “el futuro”. Por esto mismo no es nada recomendable reiniciar la BIOS si se
está haciendo algo importante con el PC, porque muy probablemente habrá que
reiniciarlo.

Cuarta aproximación: no tengo acceso físico a la placa (sí al PC) pero

quiero que no se sepa que he entrado

Además de borrar la BIOS, cmospwd intenta mostrar el contenido de la BIOS en cuanto

a contraseñas si se ejecuta sin parámetros. En mi caso la BIOS se trataba de una
AWARD y puse como contraseña de usuario “pass” y como contraseña de supervisor
“password”:

C:\BIOS\cmospwd-4.8\windows>cmospwd_win.exe

CmosPwd - BIOS Cracker 4.8, January 2006, Copyright 1996-2006

GRENIER Christophe, grenier@cgsecurity.org

http://www.cgsecurity.org/
Keyboard : US
Acer/IBM [ 7][!]
AMI BIOS []
AMI WinBIOS (12/15/93) []
AMI WinBIOS 2.5 [][][]
AMI ? [][7][][ ][]
Award 4.5x/6.0 [000100][000100][000100]
Award 4.5x/6.0 [000100][2000030][000100][000122]
Award Medallion 6.0 [000100][000100][000100][000100]
Award 6.0 [% ( "De][][password]
Compaq (1992) []
Compaq DeskPro [][?]
Compaq [][]
DTK [ % w][ % w ]
Phoenix A08, 1993 [][]
IBM (PS/2, Activa ...) [Q F][]
IBM Thinkpad boot pwd []
Thinkpad x20/570/t20 EEPROM [][]
Thinkpad 560x EEPROM [][ ]
Thinkpad 765/380z EEPROM [][ ]
IBM 300 GL [Q F]
Press a key to continue

Packard Bell Supervisor/User [???????] [???????]

Phoenix 1.00.09.AC0 (1994) [][]
Phoenix 1.04 [][Q F]
Phoenix 1.10 A03 CRC pwd err
Phoenix 4 release 6 (User) []
Phoenix 4.0 release 6.0 []
Phoenix a486 1.03 []
Phoenix 4.05 rev 1.02.943 [ ][]
Phoenix 4.06 rev 1.13.1107 [ 7]
Gateway Solo Phoenix 4.0 r6 [ ][]
Samsung P25 [4 WWW][K8 4][]
Sony Vaio EEPROM [!] [ !]
Toshiba [KEY floppy][KEY floppy]
Zenith AMI Supervisor/User [] [?]

Como vemos en la siguiente línea, el cmospwd ha logrado obtener la contraseña de

supervisor:

Award 6.0 [% ( "De][][password]

El resto de líneas corresponden con posiciones en la memoria CMOS que no coinciden

en este modelo con el offset o desplazamiento en el que se almacena la contraseña por
lo que carecen de sentido.
¿Y para GNU/Linux?

Como suele ocurrir en estos casos, la mayoría de fabricantes de hardware hace sus
aplicaciones para DOS y/o MS Windows, por lo que los equivalentes en GNU/Linux
son escasos. De todas maneras, supongo que ejecutando como root o vía LKM unas
cuantas ioctl() podríamos hacer una herramienta similar a cmospwd. Su programación
queda como ejercicio para el lector O:-D

Otra forma es utilizar el CmosPWD que es un aplicativo incluído en el Hirens Boot y

que sirve para quitar el password de la bios a distintos fabricantes.

Hay otro fabricante, desarrollador de bios como Award, que tiene una master password,
la cual, es SY_MB

Los comándos básicos del CmosPWD son:

cmospwd [/d]
cmospwd [/d] /[rlw] cmos_backup_file restura/carga/escribe
cmospwd /k borra la cmos
cmospwd /m[01]* ejecuta el módulo seleccionado

Si el comando cmospwd /k no elimina la clave, podemos decir que la clave de la BIOS

está en la Eprom, por lo que tenemos que recurrir al manual del servicio técnico y
buscar como borrarla; esto normalmente se hace con un jumper o puenteando dos pistas,
que provocan un cortocircuito que la borra.

Otro método desde windows arrancado en modo Debug, es resetear el cmos CRC que
está en 0x2E-0x2F para esto ejecutamos un consola (CMD) y escribimos:

Debug
-o 70 2E
-o 71 0
-q

Esto debería haber eliminado la clave de la bios, pero no siempre funciona

Algunas Master Password son:

Bios Award 4.50PG, clave master password = AWARD_SW

Bios Award 4.5x en placas base DFI, clave master = Y. C. Lu (entre la Y. y C. y Lu hay
un espacio)

Saludos y suerte a todos

CmosPwd - herramienta de la recuperación de la

contraseña del Cmos y del BIOS

CmosPwd es un uso de la recuperación de la contraseña del Cmos/del bíos.

CmosPwd trabaja y compila debajo de Dos-Win9x, de Windows NT /W2K/XP/2003,

de linux, de FreeBSD y de NetBSD.

Uso típico para el DOS y todos los usuarios de Windows:

1) Identificar su fabricante del BIOS (exhibido generalmente en el cargador-para

arriba)

2) Comenzar en el DOS, o comenzar una sesión del DOS en Windows 95 /98/ME.

Para el cargador de Windows NT o del Windows 2000 de un DOS o de Windows 95 /
98 disco de cargador (usted puede encontrar discos de cargador en
www.AnswersThatWork.com), y el funcionamiento CMOSPWD de su disco blando
del cargador (o de otro disco blando).

3) C: [Entrar] CMOSPWD cd [entrar]

4) Mecanografiar CMOSPWD en el aviso del DOS y presionar entran.

5) CMOSPWD exhibirá una lista de posibilidades. Utilizar las posibilidades

detalladas contra su fabricante del BIOS. Recordar:

a) Para los bíos de la CONCESIÓN, utilizar el telclado numérico numérico (con

NumLock ENCENDIDO).
b) La CONCESIÓN 4.50PG BIOS acepta siempre “AWARD_SW”, o “d8on”, o
“589589”.
c) Los viejos bíos de Phoenix aceptarán “Phoenix”.

6) si el método estándar no trabaja, después intentar matar la contraseña del Cmos

con CMOSPWD /K (y presionar entran), y entonces ver si usted puede conseguir
en el Cmos sin una contraseña. Si usted puede, usted “mató con éxito” la vieja
contraseña del Cmos. ¡NO MATAR EL CMOS EN LOS ORDENADORES
PORTÁTILES!

En los ordenadores portátiles, la contraseña se almacena generalmente en un

eeprom en la placa madre,
usted necesita un programador del eeprom (dispositivo electrónico) recuperarlo.
Trabajos con los bíos siguientes
- ACER/IBM BIOS
- AMI BIOS
- AMI WinBIOS 2.5
- Concesión 4.5x/4.6x/6.0
- Compaq (1992)
- Compaq (nueva versión)
- IBM (PS/2, Activa, Thinkpad)
- Packard Bell
- Phoenix 1.00.09.AC0 (1994), a486 1.03, 1.04, 1.10 A03, 4.05 rev 1.02.943, 4.06
rev 1.13.1107
- Lanzamiento 6 (usuario) de Phoenix 4
- Entrada a solas - lanzamiento 6 de Phoenix 4.0
- Toshiba
- AMI del zenit