Начну по порядку. Дали задачу убрать защиту от изменения файлов. Партизан сидел в биосе.
Слил дамп, распарсил его, разложил на модули, нашёл нужное место и всё вроде как сделал.
Но потом ради интереса начал копать дальше и увидел невероятное!
В биосе лежал PE файл(dll), при том, не обычный - в секции кода есть код, пишущий в порты. Файл в аттаче.
Так-же в дампе лежит целая куча всяких файлов, но они все упакованы неизвестным алго. Прилагаю один из них.
Если кому-то удастся сказать что это за алгоритм, буду признателен. И вот список найденных там файлов:

PROJECT.ABS
CRL_1471.DAT
KERNEL32.DLL
REGISTRY.SYS
SMBIOS.EXE
ROMUSERS.TXT
LOWRAM.RLE
SPLASH.RLE
HIRAM.RLE
INTL1049.LD
I965.EXE
PROJECT.ABS
GMCHSMI.EXE
EIST.EXE
HUGERAM.RLE
DRVBIOS.RLE
ENTERSET.RLE
EXTBIOS.RLE
NETBIOS.RLE
CPU.RLE
CDROM.RLE
BOOTBIOS.RLE

EXE и SYS файлы намекают на мелкомягких. Вопрос скорее чисто академический. Что там делают эти файлы?
При этом, аппарат работает под линухой. Кажется, дебиан

953e_04.04.2013_EXELAB.rU.tgz - Bios.rar

-----
Research For Food

| Сообщение посчитали полезным: plutos, Abraham

Точно уже не помню и могу ошибаться, но как будто подобную тему рассматривал Салихан (SALIHUN) в своей книге про BIOS Disassembly или на где-то на своем сайте (https://sites.google.com/site/pinczakko/home).
А вообще тема очень интересная и хотелось бы услышать мнения экспертов.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: daFix

plutos
Спасибо, интересный ресурс. Теперь ждём Хекса, у него наверняка есть что сказать по теме

-----
Research For Food

| Сообщение посчитали полезным:

Выложи весь биос.

P.S. а MINITDLL.dll - это просто инициализация памяти (MRC=memory reference code). Интел просто компилирует в PE чтобы не париться с линковкой в бинарник.



| Сообщение посчитали полезным:

Тут недавно сырцы фирменных биосов утекли , я так думаю хорошо подойдут для education purposes --> Link <--

| Сообщение посчитали полезным: carver, Dr0p

Поднял древнюю тему, наверное, но всё же - это наверняка UEFI BIOS, там практически все модули PE.
А неизвестные алгоритмы - скорее всего, TIANO или модифицированный LZMA. Но могут быть и другие.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

daFix пишет:
Так-же в дампе лежит целая куча всяких файлов, но они все упакованы неизвестным алго.

daFix пишет:
HUGERAM.RLE
DRVBIOS.RLE
ENTERSET.RLE
EXTBIOS.RLE
NETBIOS.RLE
CPU.RLE
CDROM.RLE
BOOTBIOS.RLE

Интересно, этот неизвестный алго случайно не RLE?

| Сообщение посчитали полезным:

IOCTL_ пишет:
Интересно, этот неизвестный алго случайно не RLE?
Предположение классное, но если один из приложенных сжатых файлов Dat_8c5bb_Size_11169.bin, то нет. RLE это когда двумя полями кодируется длина повторяемой последовательности и количество повторений, в нем как в лемпеле-зиве очень хорошо должны быть видны несжатые участки. Если только этот RLE не оперирует с битами, а не байтами, но это было бы странно. Некрофильство какое-то, тема 5летней давности.

ЗЫ:
Глядя на это я бы сказал, что файл зашифрован чем-то простеньким с длиной слова 8 байт, возможно поверх этого самого RLE, где в конце сжатые нули идут. Но блин, кому это щас надо.

-----
2 оттенка серого

| Сообщение посчитали полезным:

надо было весь дамп выкладывать а не какие-то огрызки...

| Сообщение посчитали полезным: