ATA Security eXtension BIOS
English Version
Einleitung:
Die meisten modernen ATA- aber auch SATA Festplatten (IDE=ATA) unterstuetzen das "ATA Security Mode Feature Set".
Es beinhaltet spezielle Funktionen, um:
- mit einem Passwort die Festplatte vor unbefugtem Zugriff zu schuetzen und
- das unbefugte Setzen eines neuen Passwortes (eventuell durch Viren) zu verhindern.
Entwickelt wurden diese "ATA Security Mode Feature Set"-Funktionen eigentlich fuer Laptops / Notebooks.
Seit Microsoft diese Funktionen auch fuer die XBOX verwendet hat, werden diese heutzutage auch von fast allen 3.5" Festplatten unterstuetzt.
Die in den meisten PCs verwendeten BIOS Versionen bieten keine oder nur beschraenkte Unterstuetzung
der "ATA Security Mode Feature Set"-Funktionen.
Hierdurch entsteht eine Sicherheitsluecke, die Schadprogramme nutzen koennen.
Es koennten zum Beispiel boeswillige Personen gefaehrliche Viren erschaffen, die waehrend des Rechnerbetriebs unbemerkt und im Hintergrund
ein Festplattenpasswort setzen und somit beim naechsten Neustart den Festplattenzugriff
und das Booten eines Betriebssystems verweigern bzw. den Benutzer "aussperren".
Der Heise Verlag hat die Thematik der Festplattensicherheit in der c't 8/2005 - Artikel Baerendienst beschrieben.
Es wird empfohlen, die Anfaelligkeit der Rechner zu pruefen und wenn noetig das BIOS zu aktualisieren.
Da viele Mainboardhersteller ihre BIOS Versionen nur fuer kurze Zeit erneuern, habe ich eine BIOS-Erweiterung geschrieben, die
- beim Systemstart aufgerufen wird
- die Festplattenpasswortfunktionen unterstuetzt und
- das ungewollte Setzten eines Festplattenpasswortes durch Schadprogramme verhindert.
Somit entstand das ATASX (ATA Security eXtension) BIOS.
Diese BIOS-Erweiterung kann mit zwei verschiedenen Methoden in ein PC/Notebook eingebunden und somit genutzt werden.
Download:
ATA Security eXtension BIOS v2.11 [56.0KB] 08.08.06
(frei fuer eigene Nutzung)
Aeltere Versionen:
ATA Security eXtension BIOS v2.10 [55.7KB] 01.08.06
(frei fuer eigene Nutzung)
ATA Security eXtension BIOS v2.02 [55.0KB] 06.05.06
(frei fuer eigene Nutzung)
ATA Security eXtension BIOS v2.01 [23.3KB] 23.12.05
(frei fuer eigene Nutzung)
ATA Security eXtension BIOS v2.00 [23.2KB] 06.10.05
(frei fuer eigene Nutzung)
ATA Security eXtension BIOS v1.00 [9.2KB] 27.06.05
(frei fuer eigene Nutzung)
Andere Tools:
ADDATASX v2 [6.6KB] 09.08.06
Werkzeug um den ATASX Code mit einem anderen ROM zu verknuepfen
Vorbereitung:
Das ATASX BIOS liegt in einer Rohform vor,
da es vor dem eigentlichen Einsatz noch in wenigen einfachen Schritten konfiguriert und
der vorliegenden Hardware angepasst wird.
Dies geschieht mit dem beiliegendem Programm: BROMCFG
Mit BROMCFG
- wird das ATASX BIOS als PCI- oder ISA-Erweiterungs-BIOS gespeichert
- kann ein Standard-Festplattenpasswort festgelegt werden ("XBOX-Modus" :D)
- kann ein Setup-Passwort gesetzt werden
- wird die Wartedauer fuer das Betaetigen der Tastenkombination: "STRG+S"
(zum Aufrufen des ATASX BIOS Setup) eingestellt.
- kann die fertigkonfigurierte ATASX BIOS-Datei auf gaengige E/EEPROM-Groessen aufgefuellt werden. (/sxxx)
Soll ein PCI-Erweiterungs-BIOS erstellt werden, dann fragt BROMCFG nach der Vendor ID und Device ID.
Es werden dann die beiden vierstelligen IDs der Netzwerkkarte benoetigt, auf der das ATASX BIOS im BOOTROM-Chip zum Einsatz kommen soll.
Vendor ID und Device ID der zu nutzenden Netzwerkkarte koennen im Handbuch nachgelesen und/oder vom Hersteller
(via Telefon/E-Mail erfragt werden).
Auch Hardware-Diagnose-Programme, wie PC-Analyser, Dr. Hardware oder Everest zeigen die jeweiligen IDs an.
Zudem koennen in der Windows XP SP2 Systemsteuerung unter Details-->Geraeteinstanzkennung die IDs der PCI-Karten abgelesen werden.
Vendor, Device IDs und die Namen von allen Geraeten werden meist auch beim Systemstart angezeigt:
ATASX BIOS im "PCI-Erweiterungs-BIOS"-Format:
- wird standardmaessig bei PCI-Netzwerkkarten benoetigt --> Methode 1.
- kann auch in Methode 2 genutzt werden - besonders bei AMI-BIOS.
ATASX BIOS im "ISA-Erweiterungs-BIOS"-Format
- ISA-Netzwerkkarten --> Methode 1.
- Vorwiegend bei Integrierung in ein Award, Phoenix - Award und Phoenix BIOS --> Methode 2.
Methode 1 - ATASX BIOS als Netzwerk BOOTROM
Viele Netzwerkkarten besitzen einen Sockel, in dem man kleine Speicherbausteine (ROMs, PROMs, EPROMs, EEPROMs/FLASH-(E)EPROMs) einsetzen kann.
Normalerweise sind diese Speicherbausteine bereits im Sockel der Netzwerkkarte vorhanden und mit einer Software (Firmware, BOOTROM, ETHERBOOT) programmiert,
die einen Bootvorgang von der Netzwerkkarte bzw. einen Bootvorgang von einem anderen Rechner im lokalen Netzwerk ermoeglichen.
Nun kann man diesen Sachverhalt nutzen, um anderen ausfuehrbaren Code, in diesem Fall das ATASX BIOS,
in den BOOTROM-Chip der Netzwerkkarte ein zu programmieren und beim Bootvorgang des PCs automatisch starten zu lassen.
Netzwerkkarten werden im Normalfall mit einem vernuenftigen Treiberpaket ausgeliefert.
Bei diesem Treiberpaket liegt auch ein kleines Programm zum Beschreiben und/oder Auslesen des BOOTROM-Chips bei.
Dies dient eigentlich nur zur Aktualisierung der BOOTROM-Firmware.
Mit diesem Programm wird dann das mit BROMCFG fertigkonfigurierte ATA
Security eXtension BIOS in den BOOTROM-Chip geschrieben.
Nach erfolgreichen Programmiervorgang, steht dann das ATASX BIOS bei jedem Bootvorgang zur Verfuegung.
Falls nicht, ist gegebenenfalls die Aktivierung des Bootens von Netzwerkkarte
- im Mainboard-BIOS oder
- mit Hilfe des jeweils im Treiberpaket beiligenden Netzwerkkartenkonfigurationsprogramms
einzustellen.
Ist man im Besitz eines P-/EP-/EEP-/FLASH-EP-/FLASH-EEP- ROM Programmiergeraetes,
dann kann das ATASX BIOS auf den BOOTROM-Chip auch damit programmiert werden.
Anmerkungen:
a)
Vorteile:
+ Methode 1 ist eine einfache und guenstige Variante, um eine zusaetzliche ROM-Erweiterung in einen PC zu intergrieren.
+ Die ISA/PCI Netzwerkkarte und somit das ATASX BIOS kann ueberall hin transportiert und in andere ISA/PCI-Mainbaords eingesetzt werden.
Nachteile:
- Es ist immer eine Netzwerkkarte mit BOOTROM-Sockel und BOOTROM-Chip noetig.
- Portabilitaet als Vorteil ist aber nachteilig fuer die mechanische Beanspruchung der Netzwerkkarte selbst und nachteilig fuer den mit Arbeitsaufwand verbundenen Ein/Ausbauvorgang
- Nicht/kaum mit Notebooks anwendbar.
b)
Anleitung zur Nutzung der BOOTROM-Chip-Programmiersoftware und zum Programmieren des BOOTROM-Chips ist von Netzwerkkarte zu Netzwerkkarte unterschiedlich.
Deshalb gilt es, das Handbuch zur jeweiligen Netzwerkkarte zu lesen.
Ist im Treiberpaket (Treiber-CD/Diskette) der Netzwerkkarte keine BOOTROM-Chip-Programmiersoftware aufzufinden,
gilt es ebenfalls, den Hersteller/Haendler zu kontaktieren.
c)
Sollte kein Speicherbaustein im Sockel der Netzwerkkarte vorhanden sein, dann kann dieser nachtraeglich gekauft und eingestzt werden.
Dazu einfach das Handbuch der Netzwerkkarte lesen und/oder den Hersteller/Haendler kontaktieren.
Methode 2 - ATASX BIOS als Teil des Mainboard-BIOS
Heutzutage ist (so gut wie) jedes BIOS, aehnlich einem gepackten Archiv aufgebaut, d.h. es besteht aus bestimmten gepackten Modulen, die fuer jeweils einen bestimmten Aufgabenbereich vorgesehen sind.
- SystemBIOS
- Sprachendatei
- AntiVirus-Modul gegen Bootviren
- PCI/ISA-Erweiterungs-BIOS-Modul(e) fuer Onboard-Komponenten,
wie zum Beispiel: OnBoard-RAID-Controller, -Netzwerkkarten, ...
- OEM-Logo
usw...
Beim Award, Phoenix - Award und Phoenix BIOS gibt es (noch) die Moeglichkeit,
"ISA-Erweiterungs-BIOS"-Modul(e) einzubinden, so dass dort das ATASX BIOS ohne Probleme als ISA-Erweiterungs-BIOS genutzt werden kann.
Beim AMI-BIOS gibt es derzeitig keine Moeglichkeit, ein ISA-BIOS-Modul einzufuegen.
Das bedeutet, dass das ATASX BIOS nur als "PCI-Erweiterungs-BIOS" in ein AMI-BIOS eingebunden werden kann.
Dies setzt aber voraus, dass dann im "PCI-Erweiterungs-BIOS"-Format vorliegenden ATASX BIOS mit Hilfe von BROMCFG eine Vendor ID und Device ID gesetzt werden muss,
zu denen es auch ein relles Onboard/PCI-Geraet im jeweiligen PC gibt.
Bsp.:
Ein PC mit AMI-BIOS besitzt eine (Onboard)/PCI-Netzwerkkarte (Ohne BOOTROM-Chip)
mit der Device ID 1234 und der Vendor ID 5678.
Um dann das ATASX BIOS nutzen zu koennen, muss es als "PCI-Erweiterungs-BIOS" mit der Device ID 1234 und der Vendor ID 5678
in das AMI-BIOS eingebunden werden.
Award BIOS / Phoenix - Award BIOS
Benoetigte Werkzeuge:
CBROM / CBROM32, Abdruck/Images des Mainboard-BIOS bzw. BIOS Update Datei.
Das fertigkonfigurierte ATASX-ISA-BIOS oder ATASX-PCI-BIOS, CBROM und die Mainboard-BIOS-Datei
in ein Arbeitsverzeichnis kopieren und die Eingabeaufforderung starten.
Danach in das Arbeitsverzeichnis wechseln und sich mit der CBROM Befehlsreferenz und Hilfeseite auseinandersetzen
CBROM /? >Enter/Eingabetaste<
Nun wird das ATASX-ISA-BIOS/ATASX-PCI-BIOS als ISA/PCI-BIOS-Modul in die Mainboard-BIOS-Datei eingefuegt.
Gegebenenfalls vorher noch das PCI-BIOS-Modul (fuer die jeweilige PCI/Onboard-Karte) entfernen,
das durch das ATASX BIOS ersetzt werden soll.
Zum Schluss erfolgt der Flash-Vorgang der modifizierten Mainboard-BIOS-Datei.
Fuer das Einfuegen des ATASX BIOS in ein AMI-BIOS oder in ein anderes BIOS,
kann hier Kontakt mit Borg Number One aufgenommen werden.
Ab jetzt sollte der Rechner beim Booten auch die Erweiterung anzeigen:
|
Anklicken fuer das Foto.
|
Die Fujitsu-Festplatte kennt die Sicherheitsfunktionen nicht.
Die IBM-Festplatte ist mit Passwort geschuetzt.
|
Das ATASX BIOS Setup kann mit STRG+S (CTRL+S) aufgerufen werden.
Hier kann man die Sicherheitsoptionen der Festplatten aendern.
Bitte lesen sie auch die FAQ von Heise, da fuer einen umfassenden Schutz noch ein Dienst noetig ist, der die Funktion beim Aufwecken aus dem Stromspaarmode neu sperrt, da die Festplatte mit unter komplett abgeschaltet wird.
In meinem Forum hab ich die Ergebnisse meiner Tests zusammengestellt und ein paar Hinweise zu bestimmten Konfigurationen abgelegt.
Auch kann ueber das Forum und dessen Nachrichtensystem mit mir Kontakt aufgenommen werden.
Forum betreten
weitere Interessante Seiten
BNOBTC - Borg Number One Bios Tool Collection
Tipps und Werkzeuge zu BIOS-Modifikationen und zum Integrieren eigener Module ins Mainbord BIOS.
Haben Sie Probleme, ATASX in Ihr BIOS einzubinden, dann einfach im Forum das Problem schildern oder Kontakt mit Borg Number One aufnehmen.
AMD K6-2 mit zusaetzlichem Highpoint 370 Controller
A7N8X-E mit nVidia P-ATA und SiI 3112 S-ATA (SATA) Raid on board
MSI Neo2-F mit nVidia P-ATA und 4x nVidia S-ATA (SATA-Raid) on board
Alter 486 ohne PCI Bus, ATASX BIOS scannt 01F0 und 0170
Dank an: Borg Number One fuer
- das Regenerieren der Bilder aus den Fotos.
- die extremste Neuueberarbeitung dieser Seite
(Vorgaenger-Version)
zurueck zur Startseite
Das Entnehmen von Anleitungen, Beispielen, Informationen, Tutorials oder einzelnen/kompletten Abschnitten von dieser Homepage fuer kommerzielle und/oder offizielle Zwecke ist ohne die Erlaubnis des Autors untersagt.
Bei Interesse zur Publikation der hier veroeffentlichten Anleitung/Informationen von ATASX in Zeitschriften oder auf anderen Homepages, einfach mit mir Kontakt aufnehmen.
Haftungsausschluss
Ich uebernehme keinerlei Haftung fuer Schaeden die mit diesen Daten oder Programmen entstehen.