|
记得曾有人提到过在BIOS里植入病毒。当时虽然认为它是一种新想法,但是诸多方面都不成熟。例如在软件上,BIOS中代码和数据的安排无一定之规,所以病毒代码就找不到合适的位置存放;硬件上BIOS
ROM是不可改写的,至少FLASH
BIOS是可以人为控制禁止写入的,消除了病毒感染的可能性。所以关于BIOS病毒的讨论就被搁置一旁了。最近研究了下BIOS,这个很古老而少有人感兴趣的东东。其结果却令偶吃了一惊,从新的BIOS结构上看,BIOS病毒不仅仅是个猜想,现在简直是唾手可得的了。下面从软、硬件两个角度阐述下结果:
I.Software portion:
我研究的BIOS是最普遍应用的AWARD BIOS,Pentium机以上几乎没有例外的。其它的BIOS例如AMI的,也许不是这样,但是由于应用面已经很少了,不与考虑。AWARD
BIOS的复杂程度已经超过了传统BIOS的概念,可粗分为4个部分: 1.BOOT
BIOS。这部分完成传统BIOS的工作,但是是简化版的,仅仅负责极其初等的CPU周边的初始化工作,在屏幕上
没有任何提示。然后就调用第二部分:
2.Decompression
BIOS。听了这个名字感到诧异吧,BIOS居然有解压缩功能!没错,BIOS里有很独立的一小块,大约4K,是个小UNZIP。不过算法不是ZIP的,是另外一种。不过其压缩比却很高,超过了ZIP的压缩能力。DecompressionBIOS
负责把第三部分解压缩出来。
3.Compressed
BIOS。这才是BIOS的主体,大小约64K左右吧,BIOS版本越高体积越大。解压缩后前半部分整整128K是实际使用的Main
BIOS,后半部分32K是NCR SCSI BIOS。BOOT BIOS调用 Decompression BIOS解出Main
BIOS后就把控制权交给它,这以后使用者才能在屏幕上看见 Video BIOS的标记、AWARD BIOS的版权信息、EPA的符号、内存检查等等一系列
的后续现象。
4.Free Space。BOOT BIOS和Decompress BIOS位于BIOS存储器的尾部,Compressed
BIOS从存储器的头部开始。 在二者之间则是广阔的Free Space,一般都填成FF,这段空间大小可达32K左右!
这么大的空间可以放个很不错的宝贝儿了。如果考虑调用Decompression BIOS的解压缩功能的话,放个64K的东东不成问题。病毒带个GUI如何?
BIOS中BOOT BIOS一定起始于FE000h,Decompression BIOS一定起始于FB000h。BOOT
BIOS没有任何自校验,做了修改不会被发现。Decompression BIOS有很简单的Checksum,搞颠它简直是小菜。病毒取得控制权可以通过修改BOOTBIOS完成,这最简单。要麻烦点呢,就改Decompress
BIOS吧。
Hardware portion:
如果BIOS是ROM做的,只能看不能改,那么病毒还是没有可乘之机。所"幸"的是有FLASH BIOS。但是对 FLASH
BIOS还有一关就是可以跳线禁止写入。更"幸"的是,对新近广泛使用的29EE010之类的新FLASH BIOS,其编程电压Vpp =
0。所以这个跳线就成了聋子的耳朵--摆设。不信去试试看,对ASUS之类的主板,(用Winbond 或 SST的EEPROM作BIOS片子的)不用改跳线直接使用pflash更新BIOS,包你成功。
|
