Thinkpad-EEPROM-Reset

Aus LaborWiki
Wechseln zu: Navigation, Suche
           
Thinkpad-EEPROM-Reset

Release status: experimental [box doku]

Thinkpad board.jpg
Description How to reset the supervisor password of your Thinkpad
Author(s)  Peter, Philipp (Philipp)
Last Version  0.1 ()
Platform  Atmega
License  GPL
Download  https://www.das-labor.org/trac/browser/microcontroller/src-atmel/playground/thinkpad-24rf08-reset




Informationen zu Thinkpad Modellen

Modelle T43/p, R52, R60, T60/p, X60/s, Z60 und Z61:

Diese Modelle sollen angeblich das Passwort im TPM speichern (fraglich). Deshalb funktioniert hier unsere Mehtode nicht.

Alle anderen Modelle:

Aktuell sollte die Methode mit allen andenren Modellen funktionieren. Allerdings konnten wir dies nur beim X61 testen.

Die Lage des EEPROM

Die Lage ist von Modell zu Modell unterschiedlich. Teils werden auch andere EEPROM's verwendet, einer der standard EEPROM's im thinkpad ist der 24RF08. Entweder sucht ihr nach mögliuchen EEPROM's auf der Platine oder ihr guckt einfach auf dieser Seite.

Das EEPROM

Der Inhalt des EEPROM besteht zum größten Teil aus Nullen. Die Standard größe liegt bei 1024 Byte. Wir schätzen das in dem EEPROM die Serienummer, BIOS und POP Passwörter etc. gespeichert werden. Diese werden dann mit einem scancode codiert und wenn der TPM aktiv ist, zusätzlich verschlüsselt. Das SVP liegt doppelt in irgendeinen (meist 0x338 bis 0x348) Adressbereich. Das EEPROM besitzt einen zusätzlichen Schreibschutz der sich auf einzelne Adressbereiche bezieht. Dies könnt ihr alles im Datenblatt vom 24RF08 nachlesen.

Hardware

Die Hardware kann einfach ein standard Atmega Board sein, welches ein serielles interface zum PC und drei Kabel "SDA,SCL,GND" besitzt. Diese sollten an den I2C ports des Atmega angeschlossen sein. Danach baut und flasht ihr unsere fertige Firmware auf den Atmega. Startet das Thinkpad. Drückt F1. und haltet SDA, SCL und GND an die entsprechenden PIN's. Danach startet ihr den Atmega, bekommt euren dump und rebootet den PC.

Software

Die Software dumped den EEPROM und gibt Ihn auf der seriellen konsole aus. Danach beschreibt sie den Adressbereich 0x338 bis 0x348 mit Nullen. In diesem Adressbereich befindet sich das verschlüsselt Passwort, dies kann jedoch von Modell zu Modell abweichen.

Deshalb lest bitte nur den EEPROM aus und schaut euch den dump erst im hex editor an, damit ihr den Adressbereich bestimmen könnt.

Wenn ihr einen doppelten Eintrag hinereinander findet, handelt es sich sehr wahrscheinlich um das verschlüsselte Passwort.