Breaking BIOS：Acer Aspire OneネットブックでVT-x仮想化サポートを有効にする

この記事では、ネットブックまたはラップトップをファイルする方法について順を追って説明します。MSR0x3Aのビット2はオフになっており、誤解のためにこの状態でロックされています。バイオソームによってブロックされます。



警告：この記事で説明するすべてのことは、あなたが何をしているかを知らせるように設計されています。 すべてあなた自身の危険とリスクで！ よくわからない場合は、自宅でこれを繰り返さないでください。

それで問題は何ですか？

コンピューターのエンドユーザーに対して解決する問題は、次のようになります。2つ目のタイプのハイパーバイザー（たとえば、VirtualBox）を使用する場合

• 複数のプロセッサで仮想マシンを実行することはできません
• 32ビットのホストOS内で64ビットのゲストオペレーティングシステムを実行することはできません。

プロセッサ数が1を超える仮想マシンを起動しようとしたときに表示されるメッセージは次のとおりです。





WinXPなどの32ビットOSホストで64ビット仮想マシン（Debian amd64など）を起動しようとすると、同様のエラーメッセージが表示されます。

これは治りますか？

プロセッサステータスワードの一部のビットをチェックすることで、この質問に答えることができます。 あなたのケースで問題を確実に処理するための最も簡単な方法は、 SecurAbleが示すものを調べることです。 私の場合、次のようになりました。





したがって、プログラムが上記と同じ画像を表示する場合、この問題を解決できます。 ただし、ラップトップの有害なBIOSがゼロに設定するため、BIOSでのみプロセッサレジスタの目的のビットを設定することができるというニュアンスは、ブロックビットをオンにし、このビットを変更することはもはや不可能です（コンピューターが再起動するまで、POST中にBIOSが再起動するまで）スローされ、ロックされます）。



Insyde製のAcer AspireネットブックのBIOSは、その設定が非常に少なく、F2ではBIOS設定編集プログラムに入って仮想化を有効にすることはできません。 それは簡単すぎるでしょう。



したがって、BIOSを逆アセンブルし、コードを変更してビットを1に設定します。準備ができたら、読み進めてください。

始める前に知っておくべきこと

それで、いくつかの技術情報-私たちがしていることとその理由を理解するために。



最新のプロセッサ、少なくともそれらの多くは、仮想化をサポートしています。 CPUXコマンドがパラメーターEAX = 01Hで呼び出された場合、ECXワードのビット番号5がそれを担当します。 実践が示すように、Intelサイトは、たとえば私のIntel Atom N570プロセッサ向けであるため、この検証方法は唯一の真の方法です 。 このリンクは言う：

Intel® Virtualization Technology (VT-x) No
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ただし、これは真実ではないことがわかっています。 アセンブリ言語プログラミングで「あなた」にいる人にとっては、次のようなものを書くことで簡単に見つけることができます

 MOV EAX, 1 CPUID
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

次に、ECXレジスタの5番目のビットをチェックします。

私はこれを行うのが面倒だったので、オープンソースのCPUID Explorerプログラムをダウンロードして起動し、結果を確認しました。 ちなみに、CPU-Zはここでは不適切です-結果が「ユーザーフレンドリー」になりすぎます-ビットの正確な値を見つける必要がありました。 これが私の場合の見た目です：



関心のあるVMXビットは丸で囲まれています。 IntelのWebサイトに書かれていることにもかかわらず、1に設定されています。

215ページのプロセッサコマンドのドキュメントでは、CPUIDコマンドについて説明しています。

Bit #5 VMX Virtual Machine Extensions. A value of 1 indicates that the processor supports this technology









しかし、それだけではありません。 2番目のタイプのハイパーバイザーが仮想化サポートコマンド（VMX）を使用できるようにするには、MSR（特別なプロセッサーレジスタ）番号0x3Aでこれらの命令を明示的に有効にする必要があります。 このレジスタのドキュメントには、 237ページに記載されています。

レジスタ3Ah：IA32_FEATURE_CONTROL

ビット0：ロックビット-設定されている場合、次の再起動までこのレジスタへのさらなる変更は許可されません。

ビット1：SMXのVMX-より安全なモード拡張。 SMXの仮想化機能は、プロセッサがSMXをサポートしている場合にのみ許可されます-これは、CPUID.01Hコマンドが呼び出されたときにECXの隣接する6ビット目で示されます-上記の図ではこのビットはゼロですMSR 0x3Aでは、ビット番号1はゼロでなければなりません。

ビット2：VMXはSMXにはありません-実際、これは仮想化のサポートに責任があります。 CPUIDの丸で囲まれたビットに対応し、1に設定する必要があります。

MSR 0x3Aの内容を確認する方法

コンピューターに関するすべてを正しく理解したことを確認するには、MSR 0x3Aに実際に保存されているものを調べる必要があります。 このために、Debianでmsr-toolsパッケージを使用しました（仮想ではなく、実際。仮想では、結果は正しくありません）。 これは、このビットの値を確認する方法です。

-Debianに入ってから：

 # apt-get install msr-tools # modprobe msr # rdmsr 0x3A 9
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ナイン!!! 9つは00001001です。ご覧のとおり、BIOSは特別なレジスタワード0x3Aで文書化されていないビット番号3を使用しています。文書によると、このビットは予約済みです。 しかし、それはポイントではありません。 一番下の行は、ロックビットがオンになっており、VMXビット2がオフになっているということです。そのため、SecurAbleプログラムは嘘をつかず、実際にはBIOSレベルで仮想化サポートが無効になっています。



私たちはそれを支配します。

この問題に対処する必要がある理由

実際、プロセッサワード0x3Aで仮想化サポート（VMX）が無効になっていると、VirtualBoxの仮想マシンは準仮想化モードで動作します。 彼らは、ハイパーバイザーをVMXルートに、仮想マシンをVMX非ルート操作に転送できないため、夏にプロセッサー命令を変換することを強制されます。 この問題は、「VMセーフ」ではない17個のプロセッサ命令で表されます。 コンピュータ全体のプロセッサで唯一のレジスタまたはデータブロック（テーブル）を使用します。 これらのコマンドは次のとおりです：SGDT、SIDT、SLDT、SMSW、PUSHF / POPF、LAR、LSL、VERR / VERW、CALL、JMP、INT n、INTO、RET、STR、さらには些細なMOV！ これらの命令はすべてオンザフライで変更されるため、仮想マシンはシステムに対して安全な形式でそれらを実行します。 この問題に関する詳細は、ここで説明されています 。 このため、仮想マシンのパフォーマンスが低下します。

何が必要ですか

このタスクには、次のものが必要です。

• 製造元のWebサイトからのネットブック用のオリジナルBIOS。
• IDA
• phoenixtool210.zip（Googleはダウンロードする場所を知っています）
• HHD Hex Editor Neoまたはその他のHEX Editor
• ファーマネージャー:)
• nasm-分解用
• BIOSに緊急時の方法を入力する方法に関する知識

まず、何か問題が発生した場合にコンピューターを復元する方法を知っておくことが非常に重要です。 InsydeH20 BIOSノートブックには、文書化されていないBIOSリカバリ手順があります。

• 100メガ単位のパーティションを持つFAT16のUSB HDDをフォーマットします（FAT32は認識しません）
• 圧縮されたBIOSを含むファイルを1つアップロードします（私の場合はZE6.fd）
• ラップトップの電源を切り、すべてのUSBデバイスとバッテリーを取り外します
• 電源コードを抜きます
• USB HDDを接続する
• Esc + Fnを押し続ける
• 電源を差し込み、5秒後に電源ボタンを押します
• キーボードのボタンを放します

そして出来上がり、マザーボード自体が（なぞなぞとして）USB HDDから新しいBIOSを取り出して1分でフラッシュし、ラップトップが再起動します。



この方法を確認し、製造元のWebサイト（以前とは異なるバージョン）からこのように標準BIOSを満たしました-本当に機能し、BIOSバージョンが更新されました。

同様に、私は最終的にバイオメドバイオをシステムにアップロードすることにしました。



だから、私たちは始めます：

メーカーのウェブサイトからダウンロードしたSFXアーカイブからBIOSを解凍します。 Ios自体のファイル名はZE6.fd



ようになり、サイズは正確に2メガバイトになります。

次に、BIOSは圧縮されているため、解凍する必要があります。 これを行うには、PhoenixTool.exeプログラムを使用します。 そのウィンドウの最初のフィールドで、この圧縮されたBIOSを示し、プログラム自体が逆コンパイルして、GUID.ext形式の名前を持つ最大609個のソースファイルにします。 これらのファイルの一部は構成ファイルであり、一部はバイナリファイルですが、すべてROM拡張機能が付いています。 一部のバイナリには、標準のWindows PEヘッダーを持つプログラムが含まれています。



私たちのタスクは、これらの609ファイルの中から、必要な命令を含むファイルを見つけることです。

 WRMSR
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

WRMSRコマンドの前にMOV EAX、3AHコマンドを探すことは無意味であることが判明しました。私のBIOSでは、WRMSRは独立した機能としてフレーム化され、スタックを介してパラメーターを取得します。 そのため、私はこの方法でそれを行いました（IDAで簡単に思えます）。ndisasmを含むnasmパッケージをLinuxにインストールしました。 次に、コマンドですべての* .ROMファイルを逆アセンブルしました

 ndisasm -b 32 file.rom > file.asm
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そして、簡単な検索でwrmsr



コマンドを見つけました-そのようなファイルは29個あり、それぞれをIDAにロードし、3AHレジスタをロックする適切なコードを探しました。



このようなコードは、62D171CB-78CD-4480-8678-C6A2A797A8DE.MODという名前の1つのファイルでのみ見つかり、次のようになりました（関数の名前をわかりやすいものに変更し、いくつかのコメントを追加した後）：

 LOCK_VMX proc near push esi push 3Ah call ReadMSR pop ecx mov ecx, eax xor esi, esi and ecx, 1 or ecx, esi pop esi jnz short exitprc ; if(ReadMSR() & 1) goto exitprc; push edx or eax, 1 ; Set lock bit (bit #0) push eax push 3Ah call WriteMSR add esp, 0Ch exitprc: retn LOCK_VMX endp
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

定義により、レジスタをロックするコードはこれを1回行います。 したがって、これは私たちのハックを行うのに最適な場所です。手順の番号1を番号5に変更します。

 or eax, 1
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これにより、ロックビットを設定すると同時に、VMXビット（ビット＃2）を設定します。 ここでは、ビット1を設定する権利がないことに注意してください。これは、SMX命令のセットがプロセッサでサポートされていないためです（これにより、CPUID.1H：ECXビット6が示されます）。



* .ROMファイルで完全に変更するのではなく、このファイルを含む* .MODブレードで変更します。 これを行うには、PhoenixTool.exeプログラム（既に開いており、BIOSが既に読み込まれている）で、[構造]ボタンをクリックし、ファイル名を持つブランチを見つけます。



抽出ボタンを押すと、* .MODファイル（* .ROMファイルのヘッダー+本体で構成される）が取得され、このMODファイルのビットが修正されます。 変更する命令の近傍に対応するバイナリコードをIDAで調べ、HEXエディターでファイルを開き、コード内でこの場所を探し、01から05まで1バイトのみを変更します。変更した* .MODファイルを保存します。 次に、PhoenixToolで[置換]をクリックし、変更したMODを選択して、[終了]をクリックします。 それだけです プログラム自体がbiosを再構築し、それをパックして、同時に同じ名前で呼び出しました（古いファイルは.old拡張子で保存されました）。



それだけです 次に、USB HDD（USBフラッシュドライブでも可能）上の新しいBIOSを使用して唯一のファイルに入力し、上記のBIOS緊急復旧手順を実行します。 彼女はこの新しいBIOSでコンピューターをフラッシュし、すべての準備が整います。



SecurAbleの出力は次のようになります。





現在、VirtualBoxは4つのコアを持つ仮想マシンを起動します（以前のように1つのコアではありません）。 これで、メインの32ビットオペレーティングシステムの下から、仮想マシンで64ビットOSを実行できます。

そして、最も重要なことは、仮想マシンが準仮想化ではなく、実際に仮想化される（ハイパーバイザーがVMX命令を使用する）ことです。



PS他の製造元（Insydeではない）のBIOSでは、BIOS自体ではなく、SYMCMOS.EXEプログラムによって抽出された設定のみを修正できます。 プロセスは同じですが、逆アセンブルされたBIOSにはVMXを禁止または有効にするために使用される設定番号があり、この設定はBIOSのCMOSで直接編集されます。 私のBIOSには、そのような設定はありません。またはsymcmosプログラムはそれらを見つけません。そのため、このファイル切断パスは私の場合には適していません。 直接的なBIOSハックパスはより信頼性が高いように見えます。この方法では、BIOS設定を無視し、VMXビットを設定し、その後0x3Aレジスタをロックするだけです。



幸福は:)最後まで読んでくれてありがとう。