T30超级用户密码破解手记

去年在淘宝上买了台成色不错的T30，到手后很是满意。当天晚上发现BIOS中设置了超级密码，可以进入，但是所有选项都不能更改。联系卖家，挺爽快，说寄回去换一台。因为不影响使用，而且换来的不见得有这样好成色，所以就懒得麻烦了。

我是个“有强迫症的完美主义者”，每次想到BIOS的密码心里都会咯噔一下。前几天实在是受不了了，决定试试能不能破？

在论坛用“密码破解”搜索，”断萧“XD的帖子里面把破解的原理和步骤说得比较清楚了。但是真正要照着他的方案来实施，对我来说几乎是不可能的。首先，那个读出密码芯片ROM的专用编程器无处可寻；其次，一想到要把芯片从板子上焊下来，总觉得会破坏主板的完整性（可恶的完美主义思想）。

继续在论坛搜索，耐心地看完所有的跟密码有关的帖子，心中渐渐有了眉目，而且需要用到的软件也都从论坛下载到了。

从收集的资料来看，24RF08的读写器可以有两种，一种是很简单的，不需要芯片和电源，另一种比较复杂，需要转换芯片。

最开始我用的是简单的方法，在一小块单面电路板上刻出需要的线路，焊上电阻和二极管。按要求接好所有信号线，运行软件，总是提示“Eeprom not available”。仔细检查N遍电路板，也没发现问题，看来只能放弃这种偷懒的方案了。（这种简版读取器就不贴照片了，反正是失败的东西，大家也没必要跟着做。）

简版读取器的制作

第二种电路稍微复杂些，需要用到TTL-RS232电平转换芯片，最常见的就是美信的MAX232系列了。我用的是MAX232CPE(其实就是MAX232)，从美信申请的免费样片。这个芯片很容易买到，有些老式手机的串口数据线里面用的就是这个。我当时申请样品的时候就是准备自己做手机数据线的。其他配件包括：5个1uf 电容，2个1N4148二极管，2个4.7K电阻，1个9针串口插头等。

本来准备周末继续在电路板上刻电路，周五去公司硬件部串门，发现他们正在做一些小玩意，其中就有用MAX232A的接口电路，于是找他们要了两块。嘿嘿，虽然跟我要的不完全一样，但是只要在上面稍加改动应该就可以了。其实就算没有这块板子，自己刻出电路也不困难。

免费的PCB板

照着原理图改好读取器。仔细核对的过程中发现第15脚居然没有接地，继续核对三遍，没有问题了。

成品就是这个样子：

完整版读取器

接下来要准备读取器的电源。原理图上说用3节5号电池供电，手头只有4节的电池盒，没关系，将其中一个电池槽用导线短接即可。为了方便连接，用间距2.54mm的双排母插座改造，相应的读取器上的电源接口用公插头。

改造后的电池盒

最后需要从eeprom上引出GND，SDA，SCL三根信号线，具体位置如下图。同样的，为了方便连接，引出的三根线焊上母插座，读取器引出的三根线用公插头。注意：千万不要图省事直接将eeprom上的GND，SDA，SCL信号线焊在读取器上！！！资料上对连接和去除信号线的顺序有严格的要求。

24RF08针脚定义

读取前的合影

读取器连接步骤：

1. 将读取器插到台式机的COM1口。

2. 接上电池盒，但是不要打开开关。

3. 去掉笔记本电池，接上电源适配器。万一电路有问题，拔掉电源的速度远远快于去掉电池的速度。

4. 笔记本开机，按F1，会在输入密码的位置停住。稍等一会，确认硬盘灯不再闪动。

5. 将从芯片上引出的信号线按照GND -> SDA -> SCL的顺序依次连接。（去除信号线的时候顺序相反。一定要保证地线GND最先接上，最后断开。）

6. 打开电池盒上的开关。

7. 在台式机上进行如下操作: 开始 -> 运行 -> 输入：cmd -> 按回车 -> 输入：cd c:allservice24rf08 -> 按回车 -> 输入：r24rf08 mynb.bin /x /d /i -> 按回车

这次没有报错！也能在程序所在目录下生成mynb.bin的rom文件，文件大小1k！！太激动了，成功就在眼前啦。

8. 运行windows界面的IBMpass 2.0 Lite密码计算程序，打开刚才生成的rom文件。

天啊！数据全部是0 ！！

不甘心啊！都已经到这一步了，不能就这么放弃。核对电路没有发现问题，把所有焊接点重新过一遍。继续接上测试，这回居然出现新的错误提示。

COM2