New posts with new assets.

know-how/hacking/_posts/2009-04-11-jamba-downloads.md

@@ -0,0 +1,52 @@
+---
+title: Jamba Downloads
+language: de
+layout: default
+created: 2009-04-11 22:06:49 +0200
+updated: 2009-04-11 22:06:49 +0200
+toc: false
+tags:
+  - know-how
+  - hacking
+  - hardware
+  - jamba
+---
+Vor etlicher Zeit hatte ich mal 100,- € Guthaben bei Jamba gewonnen. Beim Versuch, ein Programm auf mein Samsung Z300
+zu laden (das Z300 gibt's bei Jamba nur unter der T-Mobile-Bezeichnung *ZM60*), zeigte mir Jamba, dass mein Handy
+angeblich keine Software downloaden könne. Der kleinere Bruder, das Z500, hingegen unterstützt das merkwürdigerweise.
+
+Früher hatte es mal funktioniert, dass ich mir den Download-Link an mein Smartphone schicken lasse, und dann von dort
+oder vom PC aus die .jad und .jar Dateien herunterlade - aber neuerdings kommt nur "*Ihr Handy unterstützt keine Spiele
+- bitte suchen Sie sich stattdessen ein Logo aus:*" und ein paar Logos, die ich nicht mal unter Androhung von Gewalt
+herunterladen würde.
+
+Von einigen Experimenten mit einem P910i und Jamba hatte ich herausgefunden, dass Jamba nach dem UserAgent-String vom
+Browser geht. (Für ein Opera auf dem PC ist das z.B. `Opera/9.00 (Windows NT 5.1; U; en)`.) Und wenn Jamba einen String
+nicht erkennt, verweigert es den Download. Dies ist sicherlich auch dazu da, dass man die Spiele nur auf ein Handy
+bekommt, von wo aus man sie nicht weiter verschicken kann. Wär ja auch doof, weil sonst könnte man ja die Software auf
+ein neues Handy kopieren.
+
+Also hab ich meine Geräte auf eine von mir präparierte PHP-Seite geschickt und mal die Browser-Strings gespeichert.
+Hier ein paar:
+
+* `SonyEricssonP910i/R5B SEMC-Browser/Symbian/3.0 Profile/MIDP-2.0`
+* `SGH-Z300 SHP/VPP/R5 SMB3.1 SMM-MMS/1.2.0 profile/MIDP-2.0`
+* `MOT-V3v/0E.42.08R MIB/2.2.1 Profile/MIDP-2.0 Configuration/CLDC-1.0 UP.Link/6.3.0.0.0`
+
+Um das Z500 zu simulieren, habe ich den zweiten String in folgenden abgewandelt:
+
+* `SGH-Z500 SHP/VPP/R5 SMB3.1 SMM-MMS/1.2.0 profile/MIDP-2.0`
+
+Nimmt man jetzt einen Browser und stellt diesen UserAgent ein, bekommt man eine WML-Seite zum Download. In dieser
+befindet sich dann auch der ersehnte Link zur `.jad`-Datei. Hat man diese heruntergeladen, findet man darin auch den
+Link zur finalen `.jar`-Datei.
+
+Das Z300 akzeptiert nun aber auch keine Java-Programme, die man per Bluetooth sendet, sondern nur welche, die per
+WAP/GPRS heruntergeladen wurden. Dazu bietet sich [David Pye's FreeWap-Service](http://www.davidpye.com/index.php?page=freewap) an.
+Wer es über seinen eigenen Server laufen lassen will, muss zusehen, dass die `.jar`-Dateien mit dem MIME-Typ
+"`application/java-archive`" gesendet werden, statt "`application/octet-stream`". Das erreicht man beim
+Apache-Webserver mit folgender Zeile in einer Datei `.htaccess`:
+
+    AddType application/java-archive .jar
+
+Dann braucht man nur noch per GPRS auf den URL der `.jar`-Datei zuzugreifen und der Download startet.

know-how/hacking/_posts/2009-06-05-cisco-catalyst-2950.md

@@ -0,0 +1,174 @@
+---
+title: Cisco Catalyst 2950
+language: de
+layout: default
+created: 2009-06-05 09:54:04 +0200
+updated: 2009-06-05 17:01:15 +0200
+toc: false
+tags:
+  - know-how
+  - hacking
+  - hardware
+  - cisco
+  - catalyst
+---
+MAC Adresstabelle
+=================
+
+Mit folgendem Befehl (im `enable` Modus) kann man sich den Zustand der MAC-Adresstabelle anzeigen lassen:
+
+    show mac-address-table count
+
+Die Ausgabe sieht in etwa so aus:
+
+~~~
+Mac Entries for Vlan 1:
+---------------------------
+Dynamic Address Count  : 89
+Static  Address Count  : 0
+Total Mac Addresses    : 89
+
+Total Mac Address Space Available: 8178
+~~~
+
+Laut [cisco.com](http://supportwiki.cisco.com/ViewWiki/index.php/The_circumstances_that_delete_the_learned_MAC_addresses_from_the_switch_MAC_table)
+ist der normale Timeout einer MAC-Adresse 5min (=300 Sekunden). Während der STP-Erkennung ist der Timeout
+15 Sekunden - das erklärt auch, warum die MAC-Adresstabelle nach Ändern der Topologie plötzlich leer ist.
+
+
+MAC Flooding Angriff
+====================
+
+Üblicherweise schalten Switches bei überfüllter CAM-Tabelle (MAC <=> Port-Zuordnung) in eine Art Hub-Modus für
+unbekannte MAC-Adressen, so dass man auf allen Ports ALLE Pakete bekommt, die an MAC-Adressen gehen sollen, welche
+nicht in der Tabelle stehen. Dadurch wird das Mitsniffen von fremder Kommunikation möglich.
+
+Dies ist nochmal genauer unter [tomshardware.com](http://www.tomshardware.com/forum/19910-42-switch-behavior-table-full#t74120) erläutert.
+Demnach ändert sich für bereits bestehende Einträge der CAM-Tabelle nichts - diese werden weiterhin geswitcht.
+
+Der genaue Ablauf ist auch nochmal unter [hakipedia.com](http://www.hakipedia.com/index.php/CAM_Table_Overflow)
+erklärt. Dort wird auch gezeigt, wie man den Switch gegen diesen Angriff absichern kann.
+
+
+Versuchsaufbau
+--------------
+
+![Versuchsaufbau]({{ site.url }}/assets/macflooding.png)
+
+*IP305* und *IP110* sind VoIP-Geräte. Die *IP305* ist die Telefonanlage, die beiden *IP110* sind Telefone. Durch diesen
+Aufbau ist gewährleistet, das jeglicher Verkehr zwischen Telefonanlage und Telefon durch den Switch geht. Die
+Kommunikation unter den Telefonen bei erfolgtem Verbindungsaufbau dürfte direkt über den PoE-Switch abgewickelt werden.
+
+
+Benutzte Software
+-----------------
+
+* [BackTrack 4](http://www.remote-exploit.org/backtrack.html) --- *insbes. das `macof`-Tool aus dem
+  [dsniff](http://www.monkey.org/~dugsong/dsniff/)-Paket zum Fluten der MAC-Tabelle*
+* [PuTTY](http://www.chiark.greenend.org.uk/~sgtatham/putty/) oder [PuTTY Tray](http://haanstra.eu/putty/) --- *für
+  den Zugriff auf die Cisco-Konsole*
+* [Wireshark](http://www.wireshark.org/) --- *zum Mitprotokollieren des VoIP-Verkehrs*
+
+
+Vorbereitung
+------------
+
+* *BackTrack 4* in einer virtuellen Maschine auf dem *Angreifenden PC* booten (VM mit ca. 512MB oder mehr RAM anlegen,
+  ISO-Image als CD-Laufwerk einbinden; alternativ direkt das [VMware-Image](http://www.remote-exploit.org/backtrack_download.html) herunterladen)
+* mit `root` / `toor` in BackTrack anmelden
+* mit folgenden Befehlen die IP-Adresse einrichten: (die IP durch eine freie IP im Netz ersetzen)
+
+  ~~~
+  /etc/init.d/networking start
+  ifconfig eth0 192.168.0.9
+  ~~~
+
+* am *Logging PC* das Programm *Wireshark* installieren und starten
+* eine Überwachungs-Sitzung auf dem benutzten Netzwerk-Interface starten
+* in der Filterzeile folgenden Filter angeben und Anwenden: `h225 || q931` (Unterlässt man dies, wird Wireshark durch
+  die MAC-Flut überlastet und man kann Stunden warten, bis die interessanten Pakete sichtbar sind.)
+
+
+Durchführung
+------------
+
+* auf dem *Angreifenden PC* wird jetzt in der VM das Tool `macof` gestartet:
+
+        macof
+
+* jetzt laufen haufenweise MAC-Adressen über den Bildschirm; die Bildschirmausgabe bremst allerdings den Ablauf des
+  Programms. Schaltet man mit <kbd>Strg</kbd>-<kbd>Alt</kbd>-<kbd>F2</kbd> auf ein anderes Terminal, wird die
+  CAM-Tabelle schneller geflutet. (Mit <kbd>Strg</kbd>-<kbd>Alt</kbd>-<kbd>F1</kbd> kommt man jederzeit wieder zurück
+  auf das erste Terminal.)
+* den Erfolg kann man an der Konsole des Switches mit dem o.g. Befehl verfolgen:
+
+  ~~~
+  Switch>en
+  Switch#show mac-address-table count
+
+  Mac Entries for Vlan 1:
+  ---------------------------
+  Dynamic Address Count  : 8186
+  Static  Address Count  : 0
+  Total Mac Addresses    : 8186
+
+  Total Mac Address Space Available: 0
+  ~~~
+
+* erhält man zuerst keine Pakete auf dem *Logging PC*, liegt das daran, dass die "echten" MAC-Adressen im Netz noch in
+  der Tabelle des Switches stehen; das Löschen dieser kann man forcieren, indem man ein Kabel abzieht und/oder
+  ansteckt - dadurch wird der MAC-Timeout auf 15 Sekunden gesetzt und 15 Sekunden später sind alle alten MAC-Adressen
+  aus der Tabelle gefallen - dabei muss `macof` aktiv sein und die Telefone sollten in den 15 Sekunden nicht angefasst
+  werden (sonst beginnt der Timeout von vorn), damit die freigewordenen Plätze gleich "zugemüllt" werden.
+* jetzt erscheinen im *Wireshark* die H225-Nachrichten, wenn man an einem Telefon einen Hörer abhebt bzw. das andere
+  Telefon anruft:  
+  <img src="{{ site.url }}/assets/wireshark.png" alt="Wireshark Screenshot" width="600" />
+
+
+Absicherung
+-----------
+
+Mit folgenden Befehlen kann man den Switch gegen solche Angriffe absichern:
+
+~~~
+Switch>en
+Switch#conf ter
+Switch(config)#interface range FastEthernet 0/1 - 8
+Switch(config-if-range)#switchport mode access
+Switch(config-if-range)#switchport port-security
+Switch(config-if-range)#switchport port-security maximum 5
+Switch(config-if-range)#switchport port-security violation shutdown
+Switch(config-if-range)#end
+Switch#
+~~~
+
+Dadurch werden pro Port nur 5 MAC-Adressen erlaubt. Kommen von einem Port Nachrichten von weiteren MAC-Adressen, wird
+dieser Port deaktiviert, d.h. das Gerät wird vom Netz getrennt. Die Befehle sind [hier](http://www.cisco.com/en/US/docs/ios/security/command/reference/sec_s6.html#wp1033679)
+erläutert. Evtl. muss man noch `switchport port-security aging` setzen, damit alte MAC-Adressen auch aus der Statistik
+genommen werden.
+
+Die deaktivierten Ports bekommt man auf zwei Wege wieder an:
+
+~~~
+Switch>en
+Switch#conf ter
+Switch(config)#interface FastEthernet 0/2
+Switch(config-if)#shutdown
+Switch(config-if)#no shutdown
+~~~
+
+oder global:
+
+~~~
+Switch>en
+Switch#conf ter
+Switch(config)#errdisable recovery cause psecure-violation
+~~~
+
+
+Netgear FS108P PoE-Switch
+-------------------------
+
+Der gleiche Angriff auf einen *Netgear FS108P* Switch bringt den Switch nur dazu, Pakete an unbekannte MAC-Adressen zu
+ignorieren. Somit wäre das eine DoS-Attacke - aber keine Möglichkeit, fremde Daten mitzusniffen. Die Broadcast-Pakete
+hingegen werden auf allen Ports ausgegeben und fluten somit auch angeschlossene Switches/Router.

know-how/hacking/_posts/2009-10-30-bios-passwords-de.md

@@ -0,0 +1,114 @@
+---
+title: BIOS Passwörter
+language: de
+layout: default
+created: 2008-07-18 01:36:55 +0200
+updated: 2009-10-30 22:53:14 +0100
+toc: true
+tags:
+  - know-how
+  - hacking
+  - hardware
+  - bios
+  - passwords
+---
+[This page in English.]({% post_url 2009-10-30-bios-passwords %})
+
+Da Notebook-Hersteller die Vergesslichkeit von Passwörtern als Problem erkannt haben, ist es oft recht einfach, ein
+vergessenes BIOS-Passwort zu entfernen. 
+
+<p><div class="notewarning" markdown="1">
+**ACHTUNG!  
+Ich übernehme keine Garantie dafür, dass diese Tricks funktionieren und ich weise hiermit darauf hin, dass
+man das Notebook durch Anwendung dieser Tricks unter Umständen beschädigen oder auch zerstören kann.**
+</div></p>
+
+
+Entfernen der Batterie
+======================
+
+Man trennt das Notebook vom Netz und nimmt den Akku heraus. Danach findet und entfernt man die BIOS-Batterie für ca.
+eine Minute und setzt sie danach wieder ein. Falls es nicht klappen sollte, auch mal mit 10 oder 20 Minuten probieren.
+
+Ist die BIOS-Batterie nicht so leicht zu entfernen, kann man sie auch für ca. 1-2 Sekunden kurzschliessen. Aber auf
+keinen Fall länger, da sich die Batterie sonst stark erhitzt und explodieren könnte.
+
+Die BIOS-Batterie befindet sich meist unter der Tastatur. Um die Tastatur zu entfernen, reicht es manchmal, die
+Halteclips weg zu drücken und die Tastatur heraus zu klappen - manchmal jedoch muss man das halbe Notebook zerlegen,
+damit man an das Innenleben kommt. Dieser Trick funktioniert dafür fast überall - selbst bei den "hochsicheren"
+[Fujitsu-Siemens Lifebook E-Serie]({% post_url 2008-07-20-fujitsu-lifebook-e-series %}).
+
+<img src="{{ site.url }}/assets/baycomwb2_5.jpg" alt="" width="320" />
+
+
+Reset-Schalter
+==============
+
+Wird man das Passwort durch Entfernen der BIOS-Batterie nicht los, gibt es meist einen Jumper oder einen DIP-Schalter,
+der das Passwort aushebelt. Ein Jumper könnte sich z.B. im Schacht der RAM-Erweiterung befinden. Aber auch unter der
+Tastatur kann er versteckt sein. Manchmal sind diese Jumper auch entsprechend beschriftet - ansonsten hilft nur
+Probieren.
+
+Bei DIP-Schaltern sollte man - sofern man eine Schalter-Bank gefunden hat - mit dem höchsten Schalter beginnen, da die
+ersten Schalter oft Einfluss auf die Prozessorgeschwindigkeit haben und man damit evtl. den Prozessor zerstören könnte.
+Hierbei sollte man, wenn das Notebook ausgeschaltet ist, einfach den höchsten Schalter umschalten, das Notebook
+einschalten und dann prüfen, ob das BIOS-Passwort immer noch verlangt wird und auch kein leeres Passwort (einfach ENTER
+drücken) akzeptiert wird. Ist dies der Fall, Notebook wieder ausschalten und den Schalter in seine ursprüngliche
+Position zurück schalten. Dann das gleiche mit dem nächsten probieren.
+
+Hat man den richtigen Schalter gefunden, sollte man, bevor man den Schalter zurück schaltet, in das BIOS-Setup gehen
+und das Passwort dort löschen oder ein anderes vergeben. Danach kann man das Notebook wieder ausschalten, den Schalter
+in seine ursprüngliche Position bringen und das Notebook wieder zusammensetzen.
+
+<img src="{{ site.url }}/assets/acer203tx3.jpg" alt="" width="320" />
+
+
+DELL Notebooks
+==============
+
+DELL-Notebooks speichern das BIOS-Passwort in einem EEPROM vom Typ 24C02 und somit bleibt es auch beim Entfernen der
+BIOS-Batterie erhalten. Es gibt bei diesen Notebooks auch keinen Jumper oder DIP-Schalter, der das Passwort
+zurücksetzt. Dafür wird beim Passwort-Prompt ein sogenannter "Service-Tag" mit angezeigt. Durch diesen ist die
+DELL-Hotline in der Lage, ein Entsperr-Passwort zu berechnen. Will man sich den Aufwand und die Kosten mit der Hotline
+sparen, gibt es im Internet Programme zu finden, die aus dem Service-Tag ein Entsperr-Passwort errechnen. Leider habe
+ich bisher nur einen Passwort-Generator für Service-Tags mit der Endung -D35B gefunden.
+
+Für Notebooks mit anderen Service-Tags gibt es allerdings eine Alternative:  
+Man kann den EEPROM manuell löschen. Dazu muss man ihn erstmal ausfindig machen. Irgendwo auf dem Mainboard des
+Notebooks muss sich ein 8-beiniger Schaltkreis mit der Aufschrift "24C02" befinden. Bei einigen Modellen findet man ihn
+unter dem CD-ROM-Laufwerk bzw. unter dem Touchpad. Hat man den EEPROM entdeckt, surft man am besten zur Homepage des
+Chip-Herstellers und sucht das Datasheet zu diesem IC. Dort findet man den richtigen Pin für "Clear" bzw. "Reset".
+Diesen muss man gegen Masse kurzschliessen. Es ist wohl manchmal ein Testpunkt in der Nähe, der zu dem richtigen Pin
+geht. Diesen einfach für einige Sekunden gegen Masse schliessen. Man muss aber darauf achten, nicht den falschen Pin zu
+erwischen, da dies den IC oder vielleicht sogar das ganze Mainboard zerstören könnte. Nach dieser Prozedur, sollte das
+BIOS-Passwort gelöscht sein. Diese Homepage erklärt die Prozedur nochmal richtig detailliert. Weitere Infos gibt's noch
+auf der DELL-Seite.
+
+<img src="{{ site.url }}/assets/delllati.jpg" alt="Passwort-Abfrage eines DELL Notebooks. Hier sieht man auch den Service-Tag." width="320" />
+
+
+Standard-Passwort
+=================
+
+Nur so am Rande sei noch erwähnt, dass es bei Notebooks der ersten Generationen durchaus auch Standardpasswörter geben
+kann, welche einem Zugriff auf den Rechner gestatten. Bei AWARD-BIOS waren das z.B. `LKWpeter` und `aLLy` - je nach
+Version des BIOS. Im Internet finden sich noch mehr solcher Standardpasswörter. Für aktuelle BIOS-Varianten und
+-Versionen sind allerdings keine Standardpasswörter bekannt.
+
+
+Special handling
+================
+
+<ul>
+{% for page in site.categories.bios-password %}
+    <li><a href="{{ page.url }}">{{ page.title }}</a>{% if page.language == 'de' %} (German){% endif %}</li>
+{% endfor %}
+</ul>
+
+
+Notrettung
+==========
+
+Wenn man noch booten kann, und nur das Passwort für das BIOS-Setup braucht, hilft in den meisten Fällen Christophe
+Grenier's CmosPwd weiter. Es liest das Passwort aus dem CMOS-Speicher und entschlüsselt es. Für SONY VAIO-Notebooks,
+siehe [hier]({% post_url 2008-07-20-sony-vaio %}).

know-how/hacking/_posts/2009-10-30-bios-passwords.md

@@ -0,0 +1,109 @@
+---
+title: BIOS Passwords
+language: en
+layout: default
+created: 2008-07-16 00:44:43 +0200
+updated: 2009-10-30 22:53:46 +0100
+toc: true
+tags:
+  - know-how
+  - hacking
+  - hardware
+  - bios
+  - passwords
+---
+[Diese Seite auf Deutsch.]({% post_url 2009-10-30-bios-passwords-de %})
+
+Since Notebook-manufacturers know of the problem of forgotten passwords, they often implement easy ways to remove BIOS
+passwords into their notebooks.
+
+<p><div class="notewarning" markdown="1">
+**WARNING!  
+I don't take any responsibility for damages your notebook could get by using these tricks.**
+</div></p>
+
+
+Removing the battery
+====================
+
+Remove AC power and remove the battery. Now find and remove the BIOS battery for about a minute and then reinsert it.
+If this doesn't work, try it with 10 minutes or even 20.
+
+If you can't easily remove the BIOS battery, you can short it for about 1 to 2 seconds. But never short it for longer
+because it will get hot and could even explode.
+
+The BIOS battery is mostly located somehwere below the notebook's keyboard. To remove the keyboard, there are sometimes
+only some clips holding the whole thing - but sometimes, you have to disassemble half of the notebook just to get to
+the inside.
+
+This trick works with almost any notebook - even with the "high secure" [Fujitsu-Siemens Lifebook E-series]({% post_url 2008-07-20-fujitsu-lifebook-e-series %}).
+
+<img src="{{ site.url }}/assets/baycomwb2_5.jpg" alt="" width="320" />
+
+
+Reset-switch
+============
+
+If you can't get rid of the password by removing the BIOS battery, there often is a Jumper or DIP-switch, which
+disabled the password. A Jumper could be located in the RAM-extension slot. Also take a look at the mainboard below the
+keyboard. Sometimes, the Jumpers are even labeled - if not, just try.
+
+With DIP-switches - if you found some - you should start trying with the highest switch, because the first ones mostly
+define the processor speed and you could possibly destroy your processor. You should - with the notebook switched off -
+switch the highest switch to the opposite position, switch on the notebook, check whether the BIOS password is still
+requested and an empty password doesn't work (just press ENTER at the prompt). If so, switch off the notebook, switch
+the highest switch to its initial position and try the same with the next switch.
+
+If you found the correct switch, do the following before switching the switch back to its initial position: Go to
+BIOS-Setup and clear the password there or define a new one. Afterwards, switch off the notebook, switch the DIP-switch
+to its initial position and reassemble the notebook.
+
+<img src="{{ site.url }}/assets/acer203tx3.jpg" alt="" width="320" />
+
+
+DELL notebooks
+==============
+
+DELL-notebooks store the BIOS-password in an 24C02-EEPROM and therefore, the password can't be deleted by removing the
+BIOS-battery. Also, there's no Jumper or DIP-switch, which resets the password. But you will notice a so-called
+"Service Tag" at the password prompt. With it, the DELL-Hotline is able to generate an unlock-password. If you want to
+save the stress with the Hotline, you can find programs in the Internet which generate an unlock-password from the
+Service-Tag. Sadly, I only found a password-generator for Service-Tags ending with -D35B.
+
+If your notebook has a different Service-Tag, there's an alternative:  
+You can manually erase the EEPROM. But you have to find it first. Somewhere on your mainboard should be an 8-pin IC
+with "24C02" printed on it. Sometimes, it's located near the CD-ROM or Touchpad. If you found it, notice the
+manufacturer and go to his homepage to download the datasheet of that IC. There should be mentioned the correct pin
+for "clear" or "reset". Short-circuit this pin to ground. There could be a test-contact near the IC leading to the
+appropriate pin. Just short it to ground for some seconds. But pay attention not to short the wrong pin to ground -
+this could destroy the notebook. After this procedure, the BIOS password should be deleted.
+[This homepage](http://www.darkmagic.org/mike/dell-tag/dell/dell.html) contains a really good explanation of this
+procedure. Some more infos are on the DELL page.
+
+<img src="{{ site.url }}/assets/delllati.jpg" alt="The password prompt of DELL notebooks. Here you can see the service tag." width="320" />
+
+
+Standard password
+=================
+
+By the way: Notebooks of the first generation used to have standard passwords to enable access to them. For AWARD-BIOS
+there were e.g. `LKWpeter` and `aLLy` - depending on the BIOS' version. You can find lists of such standard passwords
+on the net. For current BIOS-variants and -versions, there are no known standard passwords.
+
+
+Special handling
+================
+
+<ul>
+{% for page in site.categories.bios-password %}
+    <li><a href="{{ page.url }}">{{ page.title }}</a>{% if page.language == 'de' %} (German){% endif %}</li>
+{% endfor %}
+</ul>
+
+
+If everything fails
+===================
+
+If you can still boot and only need the password to the BIOS-setup, Christophe Grenier's
+[CmosPwd](http://www.cgsecurity.org/wiki/CmosPwd) will help you in most cases. It reads out the CMOS-memory and tries
+to decrypt the password stored there. For SONY Vaio notebooks, look [here]({% post_url 2008-07-20-sony-vaio %}).

know-how/hacking/_posts/2009-12-27-medion-hddrive2go.md

@@ -0,0 +1,79 @@
+---
+title: MEDION HDDrive2go
+language: de
+layout: default
+created: 2009-06-09 15:43:52 +0200
+updated: 2009-12-27 20:18:52 +0100
+toc: false
+tags:
+  - know-how
+  - hacking
+  - hardware
+  - medion
+  - hdd
+---
+<img src="{{ site.url }}/assets/hddrive2go.jpg" alt="" height="300" />
+
+
+Hardware
+========
+
+* **Festplatte:** Western Digital Caviar SE, P/N: WD2500JB-00GVC0 (250GB, 8MB Cache, 7200rpm, IDE)
+* **Controller:** Cypress CY7C68300B (AT2LP)
+* **EEPROM:** CSI 24WC02WI
+
+
+Cypress AT2LP RC42
+==================
+
+Schließt man ein inkompatibles Gerät an, z.B. eine *InnoDisk EDC2000* Flash disk, kann es sein, dass kein USB-Laufwerk
+mehr erkannt wird, sondern ein Gerät **Cypress AT2LP RC42**. In diesem Fall wurde der EEPROM gelöscht und der
+Cypress-Chip muss neu programmiert werden.
+
+Dazu gibt es das Tool *Primer*. Dieses hat ein findiger Benutzer in der [WinHelpLine](http://www.winhelpline.info/forum/600431-post148.html)
+zum Download zur Verfügung gestellt. In der ZIP-Datei ist auch der Treiber, mit dem man Windows das Gerät "beibringen"
+kann. Dazu im Treiber-Dialog unbedingt manuell(!) nach einem Treiber suchen, in der näheren Kategorisierung dann
+entweder oben "Alle Geräte" wählen, oder unten "USB Controller". Danach klickt man auf *Diskette...* und wählt das
+`Driver`-Verzeichnis aus der ZIP-Datei. Nun wird der *Cypress AT2LP Manufacturing Driver* installiert.
+
+Jetzt aus dem *HDDrive2go* den Stromstecker ziehen (USB bleibt dran!) und nach ein paar Sekunden wieder einstecken.
+Im *Primer*-Tool sollte jetzt kurz *Programming device EEPROM* auf gelbem Grund erscheinen und gleich zu
+*Programming successful* auf grünem Grund wechseln.
+
+Nun Strom und USB abziehen, ein paar Sekunden warten und alles wieder anschließen. Die Festplatte sollte nun wieder
+erkannt werden.
+
+* **Download:** [primer.zip]({{ site.url }}/assets/primer.zip)
+* **bebilderte Anleitung:** [dbflash.pdf]({{ site.url }}/assets/dbflash.pdf)
+* **English instructions:** [dbflash_en.pdf]({{ site.url }}/assets/dbflash_en.pdf)
+* <http://www.cypress.com/?rID=14406> --- dort gibt's u.a. das Tool *Blaster* (unten in dem **RD1058**-Paket),
+  welches scheinbar ähnlich wie *Primer* arbeitet. Unter den Konfigurationsdateien ist aber nichts, was der benötigten
+  `100_self_ATA.iic` ähnlich sieht.
+
+
+Gerät wird nicht erkannt
+========================
+
+Sollte Windows keinen Ton von sich geben, wenn man das *HDDrive2go* anschließt, kann das durch einen ungültig
+geflashten EEPROM ausgelöst sein. Dies passiert z.B., wenn man die Primer-Datei `PH-1003.iic` benutzt - diese
+funktioniert nur bei USB-Laufwerken von *Targa*.
+
+Der Cypress-Chip hat glücklicherweise einen Reset-Modus, womit man neue Daten in den EEPROM schreiben kann. Dazu muss
+man allerdings das Gehäuse komplett zerlegen, so dass man die Platte von der Platine trennen kann. Dazu das Kabel von
+der Platine abziehen - das andere Ende kann in der Platte stecken bleiben.
+
+Jetzt die Pins 1 und 3 mit einem Jumper überbrücken. Die ersten beiden Pins sind auf der Platine beschriftet. Der
+dritte ist dann wieder in der gleichen Reihe wie der erste.
+
+Sind die beiden Pins überbrückt, erst den USB-Stecker anschließen (auch am PC!) und dann den Stromstecker einstecken.
+Jetzt sollte der PC das *Cypress AT2LP RC42*-Gerät erkennen und man kann wie o.a. fortfahren. Ist die korrekte Kennung
+geflasht, Strom und USB abziehen, Jumper abziehen und die Platte wieder normal anschließen.
+
+
+Links
+=====
+
+* <http://daltrey.org/linux/cypress.html>
+* <http://www.winhelpline.info/forum/600850-post150.html>
+* <http://daltrey.org/tw/tiki-index.php?page=CypressAt2lp>
+* <http://www.cypress.com/products/?gid=9&fid=14&rpn=CY7C68300C>

know-how/hacking/bios-password/_posts/2008-07-16-acer-travelmate-203tx.md

@@ -0,0 +1,40 @@
+---
+title: Acer TravelMate 203TX
+language: de
+layout: default
+created: 2008-07-16 08:29:10 +0200
+updated: 2008-07-16 08:29:10 +0200
+toc: false
+tags:
+  - know-how
+  - hacking
+  - hardware
+  - bios
+  - passwords
+  - acer
+---
+1. Öffne die Klappe.  
+   Hier siehst Du die "Schultern", das QuickAccess-Panel und die Tastatur:  
+   ![]({{ site.url }}/assets/acer203tx1.jpg)
+1. Entferne die "Schultern", indem Du sie nach aussen schiebst. Sie schützen die Display-Scharniere. Sie befinden sich
+   über der Tastatur, links und rechts von den 4 QuickAccess-Knöpfen.
+1. Entferne das QuickAccess-Panel. (erst nach rechts schieben, dann nach oben klappen und dann heraus ziehen)
+1. Jetzt die Tastatur oben etwas anheben und ein wenig nach oben schieben. Dann in der Mitte anheben (ein Finger unter
+   F7/F8, einer unter der Leertaste) bis die Tastatur ausrastet. Leg sie am besten kopfüber auf den Touchpad-Bereich.
+   Jetzt sollte es so aussehen:  
+   ![]({{ site.url }}/assets/acer203tx2.jpg)
+1. Hier sieht man wieder die "Schultern", das QuickAccess-Panel und die Tastatur. Der rote Kreis markiert die
+   DIP-Schalter, die wir suchen.
+1. Finde die DIP-Schalter.
+1. Schalte den 6. Schalter (von links aus; siehe Foto) auf ON (obere Stellung):  
+   ![]({{ site.url }}/assets/acer203tx3.jpg)
+1. Jetzt schalte das Notebook ein und drücke im richtigen Moment F2, so dass Du ins BIOS Setup gelangst.
+1. Gehe zu "System Security" und schalte das "power-on password" (oder sonstige Passwörter) aus oder geb ein neues ein.
+1. Drücke 2x ESC und SPEICHERE die BIOS-Einstellungen.
+1. When das Notebook neu startet, schalte den 6ten Schalter wieder auf OFF (untere Stellung). (Schalte das Notebook
+   auch ruhig aus, wenn Du magst.) 
+1. Bau die Tastatur wieder ein. Erst die Nasen unten in die Halterungen einsetzen, dann links und rechts drücken, bis
+   sie einrastet. Danach, setz das QuickAccess-Panel wieder ein (Einsetzen und nach links schieben). Und zu guter
+   Letzt, die "Schultern".
+
+[Zurück zur Übersicht.]({% post_url 2009-10-30-bios-passwords-de %})

know-how/hacking/bios-password/_posts/2008-07-20-fujitsu-lifebook-e-series.md

@@ -0,0 +1,42 @@
+---
+title: Fujitsu-Siemens Lifebook E-Series
+layout: default
+created: 2008-07-20 15:33:11 +0200
+updated: 2008-07-20 15:33:11 +0200
+toc: false
+tags:
+  - know-how
+  - hacking
+  - hardware
+  - bios
+  - passwords
+  - fujitsu
+  - siemens
+  - lifebook
+---
+1. Turn the notebook on its lid, plug out the power cord, remove the battery and the CD-ROM drive 
+1. Remove the screws marked below:
+
+   ![]({{ site.url }}/assets/fsclbe_1.jpg)
+1. Open the lid as shown below and use a screwdriver to pull the plastic off the clip
+
+   ![]({{ site.url }}/assets/fsclbe_2.jpg)
+1. You should now have removed the top plastic cover with the buttons on it.
+
+   ![]({{ site.url }}/assets/fsclbe_3.jpg)
+1. Now remove the other screws to be able to remove the bottom plastic cover with the touchpad area
+
+   ![]({{ site.url }}/assets/fsclbe_4.jpg)
+1. Here you can see the BIOS battery. Lift the keyboard and carefully lift the bronze sheet metal piece. (If you own
+   the E7110, you need to remove a screw near the Firewire-port to be able to bend the metal sheet up. Thanks to
+   Maris F. for this hint.)
+
+   ![]({{ site.url }}/assets/fsclbe_5.jpg)
+1. Pull out the small plug and wait about a minute.
+
+   ![]({{ site.url }}/assets/fsclbe_6.jpg)
+1. Assemble the notebook the other way around and smile. You just reset your BIOS password although Fujitsu-Siemens
+   says you have to take your notebook to a service point to let it be done. (because the Lifebook E-series is **so**
+   secure LOL )
+
+[Back to overview.]({% post_url 2009-10-30-bios-passwords %})

know-how/hacking/bios-password/_posts/2008-07-20-sony-vaio.md

@@ -0,0 +1,118 @@
+---
+title: SONY VAIO
+layout: default
+created: 2008-07-20 15:44:48 +0200
+updated: 2008-07-20 17:34:22 +0200
+toc: false
+tags:
+  - know-how
+  - hacking
+  - hardware
+  - bios
+  - passwords
+  - sony
+  - vaio
+---
+In the newer SONY VAIO Notebooks, the BIOS password is no longer stored in the volatile CMOS-area but on an EEPROM.
+
+Jean Delvare has published [his results](http://khali.linux-fr.org/vaio/eeprom.html) of an analysis of various Sony
+Vaio EEPROM dumps on [his homepage](http://www.ensicaen.ismra.fr/~delvare/). There you can see that the BIOS password
+is stored encrypted in the first 7 Bytes of the EEPROM and, if no password is set, these Bytes are 00h. So if you
+delete the whole chip - like you can do with DELL notebooks - you should get rid of the password.
+
+Unfortunately, this would delete all other informations like e.g. serial number, model name, etc., so that specific
+Sony-Applications might cause trouble or even don't accept the notebook as a SONY-device.
+
+If you are still able to boot up the notebook, but only can't get into the BIOS setup, you can approach the password
+the following way:
+
+* download and extract the DOS-version of [HWiNFO](http://www.hwinfo.com)
+* copy the program GETSMBUS.EXE from HWiNFO to a FAT(32)-partition on the target computer or on a floppy.
+* boot up a DOS-based operating system, e.g. from a Win98/WinME-Installation-CD.
+* run the program GETSMBUS.EXE.
+
+The file `SMBUS57.DAT` created by GETSMBUS.EXE contains a complete dump of the EEPROM at address 0x57 - in 99% the SONY
+VAIO chip. The EEPROM can be read easily through the so-called SMBus. Usually the SMBus is used to query e.g. the
+RAM-modules for Vendor and Speed-Infos (they have a similar EEPROM). Also temperatures and fan-speeds can be read
+through the SMBus.
+
+Now you have the encrypted password and only have to decrypt it.
+
+Alternatively, you can desolder the EEPROM (likely of Type 93C46) and read it with an EEPROM-Programmer. Or just
+overwrite the first 7 Bytes with 00h. But it seems as if the EEPROM is built onto the bottom side of the mainboard and
+therefore it's hard to reach.
+
+
+Decrypt the password
+====================
+
+If you take a look onto the encrypted Bytes with a Hex-Editor, you'll soon notice that each Byte is an even number. So
+just divide by 2 and take a look at the character with this ASCII-code.
+
+<script type="text/javascript">
+  document.write('<p>I wrote a small JavaScript to demonstrate it. After entering the 7 Bytes with the encrypted password, it calculates the password in cleartext.</p>');
+  document.write('<p><form name="sony">Enter 7 Bytes as Hex: <input type="text" name="vaio" maxlength=20 size=20 value="a8 ca e6 e8 00 00 00" /><input type="button" value="Calculate password" onClick="ShowPwd();" /></form></p>');
+
+  function ShowPwd() {
+    var xBytes = document.sony.vaio.value.toLowerCase();
+    var xHexset = new String('0123456789abcdef');
+    var xPwd = '';
+    var xVal = 0;
+
+    for (var i=0;i<=6;i++) {
+      xCA1 = xBytes.charAt(i*3);
+      xCA2 = xBytes.charAt(i*3+1);
+      xVal1 = xHexset.indexOf(xCA1);
+      xVal2 = xHexset.indexOf(xCA2);
+      xVal = (xVal1*16 + xVal2) / 2;
+      if (xVal>0) { xPwd += String.fromCharCode(xVal); } else { break; }
+    }
+
+    alert('The BIOS-password is: "'+xPwd+'"');
+  }
+</script>
+
+I also wrote a small Program which is able to parse the file `SMBUS57.DAT` or even query the SMBus directly. From the
+obtained data it shows informations about the SONY Vaio-notebook - even the password(s). Here is a screen-shot:
+
+![]({{ site.url }}/assets/sva.png)
+
+**Download here:** [Sony VAIO Analyzer]({{ site.url }}/assets/sony_vaio_analyzer.zip)
+
+
+Interior views
+==============
+
+PCG-Z1XEP
+---------
+
+This is an interior view of a SONY VAIO Z1:
+
+![]({{ site.url }}/assets/sonyvaio.jpg)
+
+(The DIP-switches below the keyboard are probably for setting the used TFT-panel. You can not delete the password with
+them anyway!)
+
+
+PCG-V505
+--------
+
+This is a naked SONY VAIO V505:
+
+![]({{ site.url }}/assets/sonyv505.jpg)
+
+
+[Back to overview.]({% post_url 2009-10-30-bios-passwords %})
+
+
+*[EEPROM]: Electrically Erasable Programmable Read-Only Memory
+*[DIP]: Dual In-Line Package
+*[BIOS]: Basic Input/Output System
+*[CMOS]: Complementary Metal-Oxide-Semiconductor
+*[SMBus]: System Management Bus
+*[ASCII]: American Standard Code for Information Interchange
+*[DOS]: Disk Operating System
+*[VAIO]: Visual Audio Intelligent Organizer, formerly: Video Audio Integrated Operation
+*[CD]: Compact Disc
+*[FAT]: File Allocation Table
+*[RAM]: Random Access Memory