home *** CD-ROM | disk | FTP | other *** search

---

/ Chip: 2005 Utilities / CHIP Utilities 2005.7z / CHIP Utilities 2005.iso / docs / freedos / www.cgsecurity.org / cmospwd.txt

next >

Wrap

Text File  |  2003-06-17  |  10KB  |  281 lines

---

1. =========================================================================
2. CmosPwd 
3. Christophe GRENIER
4. grenier@cgsecurity.org
5. http://www.cgsecurity.org
6. =========================================================================
7.  
8. CmosPwd 4.3 is a cmos/bios password recovery tool.
9. CmosPwd is under GNU Public License. You can freely distribute it.
10.  
11.  
12. Bios and history
13.  
14. Acer/IBM                        1.3
15. AMI BIOS                        1.0
16. AMI WinBIOS (12/15/93)          1.4d
17. AMI WinBIOS 2.5                 1.0 & 2.7
18. AMI Bios ?            4.2
19. Award 4.5x                      1.0 & 1.4c & 2.3 & 2.8 & 2.9
20. Award Medallion 6        3.1
21. Compaq (1992)                   1.0
22. Compaq                         1.4 & 3.0
23. Phoenix A08, 1993              1.0
24. IBM (PS/2, Activa ...)          1.3
25. IBM Thinkpad boot pwd           1.5
26. IBM 300 GL                      1.5
27. Packard Bell Supervisor/User    1.4
28. Phoenix 1.00.09.AC0 (1994)      1.0
29. Phoenix 1.04                    1.4
30. Phoenix 1.10 A03/Dell GXi       1.4c
31. Phoenix 4 release 6 (User)    1.6 & 2.2
32. Phoenix 4.05 rev 1.02.943    2.6
33. Phoenix 4.06 rev 1.13.1107    2.6
34. Gateway Solo - Phoenix 4.0 r6    2.4
35. Toshiba                2.1
36. Zenith AMI                      1.5
37.  
38.  
39. ---------------------------------------------------
40. ---------------------------------------------------
41. ª  Typical Usage for DOS and all Windows users    ª
42. ---------------------------------------------------
43. ---------------------------------------------------
44.  
45. 1)  Identify your BIOS manufacturer (usually displayed at boot-up)
46.  
47. 2)  Start in DOS, or start a DOS session in Windows 95/98/ME.
48.     For Windows NT or Windows 2000 boot from a DOS or Windows 95/98 boot
49.     disk  (you can find boot disks at www.AnswersThatWork.com), and run
50.     CMOSPWD from your boot floppy (or another floppy).
51.  
52. 3)  C:              [Enter]
53.     CD\CMOS_Pwd     [Enter]
54.     
55. 4)  Type  CMOSPWD  at the DOS prompt and press Enter.
56.  
57. 5)  CMOSPWD will display a list of possibilities.  Use the possibilities
58.     itemised against your BIOS manufacturer.
59.     Remember :
60.     
61.          a)  For AWARD BIOSes, use the Numeric Keypad (with NumLock ON).
62.          b)  AWARD 4.50PG BIOS always accepts  "AWARD_SW", or "d8on", 
63.              or "589589".
64.          c)  Old Phoenix BIOSes will accept  "phoenix".
65.        
66. 6)   If the standard method does not work, then try to kill
67.      the CMOS password with  CMOSPWD /K  (and press Enter), 
68.      and then see if you can get into the CMOS without a password.
69.      If you can, you successfully "killed" the old CMOS password.
70.      DO NOT KILL THE CMOS on IBM ThinkPad 765 laptops.
71.      
72. 7)   If you cannot kill the CMOS with CMOSPWD, then try the following,
73.      all done from the DOS prompt of real DOS or of a DOS session :
74.      
75.                DEBUG                  [Enter]
76.                O 70 2E                [Enter]
77.                O 71 0                 [Enter]
78.                Q                      [Enter]
79.         
80.      (The first character of each line above MUST be a letter, so whenever
81.       you see  "O",  read it as the letter "O" and not the digit ZERO, "0").
82.  
83.  
84. ---------------------------------------------------
85. ---------------------------------------------------
86. |General Usage  (List of commands)                |
87. ---------------------------------------------------
88. ---------------------------------------------------
89.  
90. cmospwd [/d]
91. cmospwd [/d] /[rlw] cmos_backup_file  restore/load/write
92. cmospwd /k                            kill cmos
93. cmospwd /m[01]*                       execute selected module
94.  
95.  /d to dump cmos in ascii and scan code
96.  /m0010011 to execute module 3,6 and 7
97.  
98. Keyboard:
99.  /kfr French AZERTY
100.  /kde German QWERTY
101.  default is US QWERTY
102.  
103.  
104.  
105. Platforms
106. - Dos-Windows version
107. Well, ... it works!
108.  
109. - Linux && BSD version
110. Users can work on cmos backup but they need root priviledge to
111. use ioperm function to have full access to cmos.
112.  
113. - Windows NT, W2K, XP
114. Users can work on cmos backup. To work on cmos memory, gwiopm need to be
115. installed and running.
116. gwiopm gives direct port I/O access for specified ports to user-mode process
117. (ring 3) using Ke386SetIoAccessMap and Ke386IoSetAccessProcess kernel functions.
118.  
119. 1- You need administrator priviledges to install this driver
120. "instdrv gwiopm c:\tmp\gwiopm.sys"
121. (To remove the driver, run "instdrv gwiopm remove".)
122. 2- Start the service if needed with "net start gwiopm"
123. 3- Run "Cmospwd_nt /w cmos_backup"
124. 4- Run "Cmospwd /l cmos_backup"
125. ---------------------------------------------------
126. ---------------------------------------------------
127. |Laptops                                          |
128. ---------------------------------------------------
129. ---------------------------------------------------
130.  
131. On laptops, the password is usually stored in an eeprom on the motherboard,
132. you need an eeprom programmer (electronic device) to retrieve it.
133.  
134. Acer 630: eeprom 93c56 ?
135. Compaq M700: eeprom 24C02
136. Dell Inspirion 7500: eeprom 24c164
137. Dell Inspirion 8100: eeprom 24c02
138. Dell Latitude C600: eeprom 24c02, password in scan code at 0x00, 0x10 and 0x90
139. Dell Latitude CPI: eeprom 24c02, password in scan code at 0x00, 0x10, 0x80
140. IBM Thinkpad X20: eeprom 24RFC08CN, password in scan code at 0x338
141. IBM TP 380Z: eeprom 24c01, password in scan code at 0x38 and 0x40
142. IBM TP 390: eeprom 24c03 (be carrefull, there are two eeprom)
143. IBM TP 560X: eeprom 24c01, password in scan code at 0x38 and 0x40
144. IBM TP 570: eeprom ?, password in scan code at 0x338 and 0x3B8.
145. IBM TP 755CX,760C,765D: eeprom 93c46, password in scan code at 0x38 and 0x40
146. IBM TP 770:  eeprom 24c01
147. IBM TP 600E, T21, T23: 14 PIN 24RF08
148. IBM TP T20: 24RF08, password in scan code at 0x338 and 0x3B8
149. HP Omnibook 2100,4150,7150: eeprom AT24c164, 0x6D-0x7F area, unknow algo
150.                     put a 00 at 0x7F to clear admin password
151. HP Omnibook 6000: eeprom 24c08 or 24c164 0x50-0xBF area
152.           (maybe 0x50-0x6F only), unknow algo
153. HP Omnibook 6100: eeprom 24c08
154. HP Omnibook XE3: eeprom 24c16
155. HP Omnibook 770x: eeprom 24c01
156. Sony pcg-fx950: eeprom 93c46 ?
157. Toshiba 74600C: eeprom 93c56
158.  
159. You can get/buy eeprom programmer in electronic shops or labs, you need
160. another PC to use it.
161. You can desolder the eeprom with hot air or you can try to "clip" the
162. eeprom. With the eeprom programmer, backup your eeprom and run
163. "cmospwd /d /l eeprom_backup". If you don't see the password, you can try
164. to fill the eeprom with zero or FF, don't forget the reset the cmos.
165.  
166. ---------------------------------------------------
167. ---------------------------------------------------
168. |Toshiba                                          |
169. ---------------------------------------------------
170. ---------------------------------------------------
171. Differents passwords give the same 32-bit CRC, so CmosPwd can only give one
172. of them.
173. To reset the password of an old Toshiba, you can use KeyDisk. (cf my web page)
174. If this doesn't work, you can try to build the Toshiba Parallell loopback.
175. To make a simple device that you connect to your parallell port, a lot of
176. Toshiba computers remove the password when you boot it up.
177. The device, named "loopback" by some, could be made out of any
178. parallell wire with 25pins connectors (db25). You should connect
179. these pins: 1-5-10, 2-11, 3-17, 4-12, 6-16, 7-13, 8-14, 9-15, 18-25.
180.  
181. A db25 looks like:
182. 1    13
183. _______
184. \_____/
185. 14   25
186.  
187. ---------------------------------------------------
188.  
189. Divers
190. - Award 4.50PG
191. There is an universal password AWARD_SW.
192. (d8on, 589589 ... works too)
193. - Award
194. Differents passwords give the same 32-bit CRC, so CmosPwd can only give one
195. of them. Use the numeric keypad.
196. - COMPAQ LTE 5300 notebook
197. Tolga Sinan Guney: there is a reset jumper on the motherboard
198. - DIGITAL PC300, Phoenix 4.0 Rel 6.0,0
199. Rene Pocisk: cmospwd /k works
200. - Fujitsu ICL
201. aksion: passwords are stored in EEPROM
202. - Phoenix
203. There is a backdoor in old version of Phoenix BIOS, the universal
204. password is "phoenix".
205. - Siemens Nixdorf
206. PCD-4ND, Michael: You can clear the password of this phoenix 1.03 with "cmospwd /k"
207. Scenic Mobil 700, Josef Benda: "cmospwd /k" works! Phoenix Note BIOS v4.0
208. Scenic Mobile 510AGP, Bernd: "cmospwd /k" works! Phoenix 4.0 R6 Version 3F31 dated 9.2.2000
209.  
210. What to do if you can't use cmospwd to clear your cmos ?
211. You can use debug to reset cmos CRC stored at 0x2E-0x2F
212. debug
213. -o 70 2E
214. -o 71 0
215. -q
216.  
217.  
218.  
219. What to do if cmospwd don't work on your PC ?
220.  
221. Try to clear password with cmospwd /k.
222. If cmospwd /k doesn't work, password is stored in an EEPROM. Try to find a
223. reset jumper on your motherboard or contact your PC vendor.
224. If it works, I can try to discover how passwords are encrypted.
225. I need to know what Bios you used and
226. some cmos memory backup with their passwords. (cmospwd /w backupfile)
227. For passwords, choose
228. - some 1 and 2-letter passwords
229. - BBBBBBB
230. - BBBBBBC
231. - BBBBBCB
232. - BBBBCBB
233. - BBBCBBB
234. - BBCBBBB
235. - BCBBBBB
236. - CBBBBBB
237.  
238.  
239.  
240. Thanks to
241. - Philippe Garcia-Suarez (AMI Zenith, IBM Thinkpad)
242. - Mark Miller (AMI WinBIOS)
243. - Ian Sharpe (Award 4.51PG)
244. - Darren Evans (Phoenix 4 release 6)
245. - Teun van de Berg (bug report for "cmospwd /w")
246. - Giovanni (IO access under NT)
247. - Robert Rafai (Dell Latitude)
248. - Guillaume Letessier (Toshiba)
249. - hackvenger (Phoenix 4.0 realase 6.0)
250. - "P. MADRE" (Award 4.51PG)
251. - SerbianHacker/Sasha Miloshevic (IBM ThinkPad 770)
252. - Michael (Siemens Nixdorf PCD-4ND, Phoenix 1.03)
253. - w0rm (Phoenix a486 1.03)
254. - Olaf Freyer (Phoenix 4.05 rev 1.02.943, Phoenix 4.06 rev 1.13.1107)
255. - Peter "Bluefish" Magnusson, author of !BIOS
256. - Tjiq (User password of AMI WinBIOS)
257. - Jedi (Award 4.51PG)
258. - Michel Creppy from Le Software Man
259. - YOGESH M (Award 4.51PG)
260. - Quattrocchi Stefano (Compaq DeskPro)
261. - Pencho Penchev (Award Medallion 6.0)
262. - Ernst Oudhof, bug correction for MODE_RESTORE_FORCE
263. - Lewis Hadley (Award 6.0 Medallion)
264. - Philippe Biondi (another AMI BIOS)
265. - Tompa Lorand-Mihaly (AMI Bios ver. 1.08 AN 1994 and Award 6)
266. - Jose Velasquez Villegas (ThinkPad 560x)
267. - bre786 (IBM ThinkPad T20)
268. and to all the guys, who provided information about cmos and reported bugs.
269.  
270. gwiopm has been written by Graham Wideman (http://www.wideman-one.com/).
271. instdrv comes from Microsoft NTDDK.
272.  
273.  
274. If you have problems or questions about cmospwd,
275. please mail me.
276.  
277. Christophe GRENIER
278. grenier@cgsecurity.org
279. http://www.cgsecurity.org
280.  
281.