【原创】一波三折破密码——T30超级用户密码破解记

wq0551

更新历史：

2007年2月1日：破解出来的密码居然原本就贴在机器上。参见：T30超级用户密码破解记 之 黑色幽默篇


去年在淘宝上买了台成色不错的T30，到手后很是满意。当天晚上发现BIOS中设置了超级密码，可以进入，但是所有选项都不能更改。联系卖家，挺爽快，说寄回去换一台。因为不影响使用，而且换来的不见得有这样好成色，所以就懒得麻烦了。

我是个“有强迫症的完美主义者”，每次想到BIOS的密码心里都会咯噔一下。前几天实在是受不了了，决定试试能不能破？

在论坛用“密码 破解”搜索，”断萧“XD的帖子里面把破解的原理和步骤说得比较清楚了。但是真正要照着他的方案来实施，对我来说几乎是不可能的。首先，那个读出密码芯片ROM的专用编程器无处可寻；其次，一想到要把芯片从板子上焊下来，总觉得会破坏主板的完整性（可恶的完美主义思想**\）。

继续在论坛搜索，耐心地看完所有的跟密码有关的帖子，心中渐渐有了眉目，而且需要用到的软件也都从论坛下载到了。

从收集的资料来看，24RF08的读写器可以有两种，一种是很简单的，不需要芯片和电源，另一种比较复杂，需要转换芯片。

最开始我用的是简单的方法，在一小块单面电路板上刻出需要的线路，焊上电阻和二极管。按要求接好所有信号线，运行软件，总是提示“Eeprom not available”。仔细检查N遍电路板，也没发现问题，看来只能放弃这种偷懒的方案了。（这种简版读取器就不贴照片了，反正是失败的东西，大家也没必要跟着做。）
  
  

第二种电路稍微复杂些，需要用到TTL-RS232电平转换芯片，最常见的就是美信的MAX232系列了。我用的是MAX232CPE(其实就是MAX232)，从美信申请的免费样片。这个芯片很容易买到，有些老式手机的串口数据线里面用的就是这个。我当时申请样品的时候就是准备自己做手机数据线的。其他配件包括：5个1uf 电容，2个1N4148二极管，2个4.7K电阻，1个9针串口插头等。

本来准备周末继续在电路板上刻电路，周五去公司硬件部串门，发现他们正在做一些小玩意，其中就有用MAX232A的接口电路，于是找他们要了两块。嘿嘿，虽然跟我要的不完全一样，但是只要在上面稍加改动应该就可以了。其实就算没有这块板子，自己刻出电路也不困难。


照着原理图改好读取器。仔细核对的过程中发现第15脚居然没有接地，*.*lll 继续核对三遍，没有问题了。

成品就是这个样子：


接下来要准备读取器的电源。原理图上说用3节5号电池供电，手头只有4节的电池盒，没关系，将其中一个电池槽用导线短接即可。为了方便连接，用间距2.54mm的双排母插座改造，相应的读取器上的电源接口用公插头。


最后需要从eeprom上引出GND，SDA，SCL三根信号线，具体位置如下图。同样的，为了方便连接，引出的三根线焊上母插座，读取器引出的三根线用公插头。注意：千万不要图省事直接将eeprom上的GND，SDA，SCL信号线焊在读取器上！！！资料上对连接和去除信号线的顺序有严格的要求。



读取器连接步骤：

1. 将读取器插到台式机的COM1口。

2. 接上电池盒，但是不要打开开关。

3. 去掉笔记本电池，接上电源适配器。万一电路有问题，拔掉电源的速度远远快于去掉电池的速度。

4. 笔记本开机，按F1，会在输入密码的位置停住。稍等一会，确认硬盘灯不再闪动。

5. 将从芯片上引出的信号线按照GND -> SDA -> SCL的顺序依次连接。（去除信号线的时候顺序相反。一定要保证地线GND最先接上，最后断开。）

6. 打开电池盒上的开关。

7. 在台式机上进行如下操作: 开始 -> 运行 -> 输入：cmd -> 按回车 -> 输入：cd c:\allservice\24rf08\ -> 按回车 -> 输入：r24rf08 mynb.bin /x /d /i -> 按回车

这次没有报错！也能在程序所在目录下生成mynb.bin的rom文件，文件大小1k！！太激动了，成功就在眼前啦。

8. 运行windows界面的IBMpass 2.0 Lite密码计算程序，打开刚才生成的rom文件。

天啊！数据全部是0 ！！

不甘心啊！都已经到这一步了，不能就这么放弃。核对电路没有发现问题，把所有焊接点重新过一遍。继续接上测试，这回居然出现新的错误提示。


难道是电路出问题把串口给烧掉了？早知道加上光电隔离器就好了，后悔啊……

通常碰到这种久攻不下的情况，我都会强迫自己去做一些其它事情，让脑子休息休息，再回来的时候经常会发现之前没有注意的问题。这次也不例外，玩了几圈Brnout3，撞翻N辆跑车，再重新连接读取器的时候，发现居然插在COM2上*.*lll

重新来过，终于顺利读出rom了。


运行IBMpass解密，密码随即显现。原来只是5位数字！


去掉芯片上的三根线，还原本本。开机按F1，输入92677，顺利进入BIOS。各个选项也都可以修改了，破解成功！



后记：

现在离破解成功已经有将近一天的时间，心情也平静了许多。仔细回想整个过程，可以说没有什么特别困难的，真正应该佩服的是编写IBM Pass程序的牛人，没有他破解IBM的加密算法，读出了ROM文件也没有用。

我有点奇怪的就是，为什么第一种方法会失败？文档上明明说是可以的嘛！不知有没有用这种方法成功读取ROM的XD。

[ Edited by  htttg on 2011-3-24 17:01 ]

highsun

老贴子了。挖个坟。今天把一台X61的密码给破了。二手机，不知道有密码，刷BIOS以后彻底锁了。开机都进不去。

需要补充的是楼住说的简易连接器不好用是不对的。非常好用，制作也很简单。

上几张图片。

整体


细节


装到串口盒子里面


[ Edited by  highsun on 2014-5-15 15:10 ]

highsun

老贴子了。挖个坟。今天把一台X61的密码给破了。二手机，不知道有密码，刷BIOS以后彻底锁了。开机都进不去。

需要补充的是楼住说的简易连接器不好用是不对的。非常好用，制作也很简单。

上几张图片。

整体



细节


装到串口盒子里面

highsun

老贴子了。挖个坟。今天把一台X61的密码给破了。二手机，不知道有密码，刷BIOS以后彻底锁了。开机都进不去。

需要补充的是楼住说的简易连接器不好用是不对的。非常好用，制作也很简单。

上几张图片。

hsf001002003

今夜无人入眠

szywang

07年的帖子？挖坟啊

cheneychina

回顾老帖子，，再给你顶顶。。。

zh1979

应了那句老话，会了不难，可以淘宝开家店，专破密码了

punree

碰到同样的问题了，发个线路图吧，谢谢啦

czbtw

XUEXILE .

yishizuli

楼主强人啊！一般人还是记好super password吧！

pp9000

t4x可以搞么

catgto

LZ好强啊，我还想弱弱的问一句，可以通过刷新BIOS的方法把密码刷掉吗？

dantone

牛人..............

dlseafisher

QUOTE:

Posted by xiaohui5555 on 2007-5-20 19:00
今天去市场上买了两个max232 ，不知道怎么用 ，

BAIDU一下 “MAX232 电路”就行了，http://www.mydigit.cn/?dp-bbsthread-15817.html

dlseafisher

淘宝上有USB的数据线，TTL->COM的，十几块，我做单片机ISP时候买过几跟，好看好用

[ Edited by  dlseafisher on 2009-6-27 20:47 ]

tercelyang

不知俺的X31能否参照此方法进行解密,呵呵...

tonykian

呵呵   很强大  支持。。。。

hello888

好贴要留下名。。

kthh

dolby

谢谢哥们，我已根据你的方案成功**我的T42超级密码！成本就花了4块钱

kingbird41

真不错，赞一个

meizhuiqiu

这么好的帖子，不得不顶呀，虽然我喜欢潜水！

基因蓝色

留名做记号

lano

牛人

d505

不错,强啊.
公司里高手还是挺多的．．．

blithelife

呵呵，我的T21的超级用户密码也自己破出来了喔！！！！！！！！
大家可以看这个链接
http://allservice.ro/forum/viewtopic.php?t=47
楼主就是用里面说的第二种方法**的。
网站里面专门有一个分论坛专门供**的人讨论，里面还有详细的步骤和电路图。
最关键的一点是里面的关于**ibm T 系列的软件和电路图都是免费的，你还可以发信到论坛管理员处，他们会免费给你解答喔！！！
我去你妈的破个密码还要100块大洋！！！！！

torchtao

太强了！ **\

sunlesmile

支持技术贴,顶一下

taolongwu

单片机学得太好啦!!1