|
|
|
Как ACER прячет БИОС?
|
|||
|---|---|---|---|
|
#18+
Например, если скачать биос то видно, что внутри 7-zip архив Q_BA40_BIOS.exe. В нём 10 файлов общим сжатым объёмом менее 1 МБ и sfx модуль ~400кБ. Самого биос-а среди 10 файлов нет, но размер файла Q_BA40_BIOS.exe 5,36МБ! Как ACER прячет БИОС в 7-zip архиве? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.05.2016, 23:33 |
|
||
|
Как ACER прячет БИОС?
|
|||
|---|---|---|---|
|
#18+
фсук модСамого биос-а среди 10 файлов нет как это? код биоса кладут просто в файл с любым названием и произвольным расширением. может быть .bin, а может быть еще как. глядя в конкретные файлы подозреваю, что код биоса вшит в ресурс файла xerces-c_2_7.dll, он там самый здоровый, 2мб, и не жмется. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.05.2016, 00:50 |
|
||
|
Как ACER прячет БИОС?
|
|||
|---|---|---|---|
|
#18+
kdvкак это? Поверьте биос-а нет среди видимых 10 файлов. Здесь бинарный файл биос-а размером 4 194 304Б и он в Q_BA40_BIOS.exe есть, но как-то скрывается от архиватора. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.05.2016, 01:10 |
|
||
|
Как ACER прячет БИОС?
|
|||
|---|---|---|---|
|
#18+
фсук модПоверьте биос-а нет среди видимых 10 файлов. ну хорошо. Ваши 10 файлов, в архиве, в сумме занимают 4183954 байт. 4.1 мб. Это в сжатом виде. В несжатом - 4825261, 4.8мб. сам архив - 5621482 байт, 5.6мб. значит, разархиватор весит 796221 байт. как вы определили, что sfx - 400 байт? Ну ладно, xerces-c_2_7.dll - это парсер. тогда не знаю. мне все-таки кажется, что биос воткнут куда-то как ресурс. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.05.2016, 02:53 |
|
||
|
Как ACER прячет БИОС?
|
|||
|---|---|---|---|
|
#18+
kdvну хорошо. Ваши 10 файлов, в архиве, в сумме занимают 4183954 байт. 4.1 мб. Это в сжатом виде. В несжатом - 4825261, 4.8мб. Откуда вы это берёте? 4183954 байт - это в разжатом виде. В архиве 979641 байт. Размер SFX модуля 414942 байта. Как понял это хитрый екзешник. В нём лежит архив 10 файлов. Информация об архиве прокинута в заголовок так, что файл выглядит как самораспаковывающийся архив. При запуске екзешника идёт проверка МП, если это целевая платформа, то идёт распаковка и прошивка биоса. Если платформа другая идёт передача управления SFX модулю и он просто распаковывает свои 10 файлов. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.05.2016, 04:33 |
|
||
|
Как ACER прячет БИОС?
|
|||
|---|---|---|---|
|
#18+
Ну давайте посмотрим на него. Получается, к .exe размером 414942 байта приклеили .7z размером 980029. Да, самораспаковывающиеся архивы у 7zip так и делаются - архив просто приклеивается к sfx модулю, в заголовок ничего прописывать не надо. В сумме получилось 1394971, а файл у нас гораздо больше. Посмотрим в каком-нибудь hex-editor что же там по смещению 1394971 (0х15491B). $ROM_PACKB Оно? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.05.2016, 08:09 |
|
||
|
Как ACER прячет БИОС?
|
|||
|---|---|---|---|
|
#18+
фсук модОткуда вы это берёте? 4183954 байт - это в разжатом виде. winrar показывает в другом виде. 4.1 - это сжатое, 4.8 - несжатое. из 10 файлов в архиве 8 не сжаты вообще, и 2 сжаты, причем один из этих файлов в разжатом виде меньше, чем в сжатом. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.05.2016, 13:01 |
|
||
|
Как ACER прячет БИОС?
|
|||
|---|---|---|---|
|
#18+
Barlone, ага. я не вижу никаких проблем приклеить bios к exe как ресурс. кроме того, можно поглядеть в temp перед прошивкой - наверняка там будет файл биоса выкинутый из ресурса. Потому что сам "прошивальщик" находится как раз в архиве. Зачем так сделано - х.з., это у разрабов асера надо спрашивать. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.05.2016, 13:03 |
|
||
|
Как ACER прячет БИОС?
|
|||
|---|---|---|---|
|
#18+
kdv4.1 - это сжатое, 4.8 - несжатое. из 10 файлов в архиве 8 не сжаты вообще, и 2 сжаты, причем один из этих файлов в разжатом виде меньше, чем в сжатом. Заглянул в ваш профиль. Вы же программист! Старой школы! Как можно нести такой бред! Распакуте 10 файлов и получите 4183954 байт. Это непрерывный архив, по-этому не возможно определить сколько занимает каждый из файлов в нём. Файлы разнородные и архиватор применил 2 алгоритма архивирования, создав фактически 2 непрерывных архива общим объёмом 979641 байт. Wav файл сжат до 79872 байт. Остальные файлы вместе сжаты до 899769 байт. Это не один из этих файлов в разжатом виде меньше, чем в сжатом! Это архив из 9 файлов. kdvага. я не вижу никаких проблем приклеить bios к exe как ресурс. sfx модуль ни как не сумеет отработать с этим ресурсом для выполнения прошивки. Barlone$ROM_PACKB Оно? Спасибо конечно, это не проясняет механизм работы, который я уже успел описать. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.05.2016, 17:32 |
|
||
|
Как ACER прячет БИОС?
|
|||
|---|---|---|---|
|
#18+
фсук модРаспакуте 10 файлов и получите 4183954 байт. я открыл архив и посмотрел циферки, скопировал их в эксель и посчитал. Да, после распаковки действительно 4.1. Странно, что rar так показывает. Видимо, не его формат. фсук модsfx модуль ни как не сумеет отработать с этим ресурсом для выполнения прошивки. почему это? вы после запуска этой утилиты в temp смотрели? у меня она ошибку вываливает, а в processmonitor неохота смотреть. Впрочем посмотрел. ИТАК!!! Распаковщик (сам exe) создает сначала папку в temp, затем распаковывает туда содержимое архива (не все). Потом делает такое (время я убрал, чтобы влезло) Код: plaintext 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. И вуаля - получаем файл ZQW.fd, одиннадцатый, размером 4мб, в котором ваш биос. А берется он оттуда, откуда сказал Barlone (и сказал я) - из ресурса оригинального exe. дальше распаковывается insydeflash.exe, и запускается, обламывается. ключевые моменты: Q_BA40_BIOS.exe 8352 ReadFile S:\Q_BA40_BIOS.exe SUCCESS Offset: 4 194 304, Length: 1 427 178 тут распаковщик вытаскивает 1.4 мб из себя же, видимо это упакованный биос. Действительно, в распакованном файле несколько блоков одинаковых байт, которые хорошо упаковываются. Далее распаковщик создает файл ZQW.fd, и распаковывает туда биос. Результирующий размер - 4 мб. Так что, биос почему-то прилеплен в exe распаковщика, а не в архив, тоже в запакованном виде. sfx, видимо, может делать что угодно - распаковывать прилепленный архив, прилепленные ресурсы, запускать конкретную программу после распаковки - это не проблема. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.05.2016, 17:55 |
|
||
|
Как ACER прячет БИОС?
|
|||
|---|---|---|---|
|
#18+
kdvпочему это? вы после запуска этой утилиты в temp смотрели? Это результат работы этой именно утилиты. SFX модуль ничего кроме распаковки архива в 10 файлов не делает. Просто моё начальное предположение, что биос запрятан именно в этом архиве не верно. P.S. Теперь никогда не буду распаковывать запускать самораспаковывающиеся архивы. Налицо действующий механизм добавления дополнительного функционала во внешне безобидные самораспаковывающийся архивы. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 27.05.2016, 19:54 |
|
||
|
|
start [/forum/topic.php?fid=26&tid=1493499]: |
0ms |
get settings: |
10ms |
get forum list: |
12ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
40ms |
get topic data: |
10ms |
get forum data: |
2ms |
get page messages: |
47ms |
get tp. blocked users: |
2ms |
| others: | 12ms |
| total: | 143ms |
| 0 / 0 |
Извините, этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
... ля, ля, ля ...
