Искажение содержимого BIOS ROM

На одном из этапов эволюции платформы PC, а именно в середине 90-х годов прошлого века, во времена процессоров Intel Pentium и AMD K5, в качестве носителя BIOS начали использовать микросхемы электрически стираемых и перепрограммируемых постоянных запоминающих устройств (Flash ROM). Это позволило изменять ("перешивать") содержимое BIOS без физического вмешательства в компьютер. Мотивацией для обновления BIOS является поддержка новых технологий и устройств, исправление ошибок, допущенных разработчиками BIOS, установка пользовательских заставок и т.п. Одной из важнейших функций BIOS является выполнение стартовой процедуры POST (Power-On Self Test) при включении питания или сбросе. Именно в ходе этой процедуры платформа инициализируется и подготавливается к загрузке ОС. Именно к BIOS (по адресу FFFFFFF0h) обращается процессор при чтении первой команды после сброса или включения питания. Таким образом, искажение содержимого BIOS может привести к отсутствию старта материнской платы. Такое искажение может произойти не только из-за действий вредительских программ, стирающих содержимое BIOS ROM или записывающих в него некорректную информацию, но и по другим причинам, например из-за дефекта микросхемы Flash ROM или зависания программы перезаписи в интервале времени, когда старый BIOS уже вытерт, а новый еще не записан.

Большинство микросхем Flash ROM, используемых в качестве физического носителя BIOS, имеют так называемый Boot Block размером 8-16 Кбайт (в зависимости от типа микросхемы). Это область, аппаратно защищена от перезаписи и вероятность ее искажения существенно меньше, чем у основного блока. Иногда используется синоним - Top Block, поскольку данный блок расположен в верхних адресах микросхемы Flash ROM. Основная задача Boot Block - проинициализировать контроллер ОЗУ, выполнить распаковку основного блока в ОЗУ и передать управление на распакованный код для продолжения старта платформы. При распаковке проверяется целостность основного блока. Если он искажен, Boot Block активирует механизмы, позволяющие его восстановить без физического вмешательства в компьютер, например, ищет файл с образом BIOS на сменных носителях и, найдя его, записывает в микросхему Flash ROM. Этот процесс может проходить без вывода информации на экран, контролировать его можно по обращению к CD или FDD приводу и звуковым сигналам на PC Speaker. Многие производители материнских плат помещают файл образа BIOS на CD диск, которым комплектуется плата. Более старый подход - загрузка DOS и запуск утилит перезаписи BIOS с гибкого диска. Важно понимать, что функциональные возможности Boot Block существенно меньше, чем у BIOS. По этой причине, например, Boot Block часто не умеет инициализировать видео адаптеры, подключенные к шинам AGP и PCI Express. Шансы увидеть на экране какие-либо сообщения от Boot блока, пытающегося восстановить BIOS, возрастут, если установить видео адаптер, использующий шину PCI. Как было сказано выше, при распаковке основного блока и проверке его целостности используется ОЗУ, поэтому, при некоторых неисправностях ОЗУ или кэш-памяти процессора, могут быть такие же симптомы, как при искажении BIOS, несмотря на то, что BIOS не искажен.

Выше рассмотрена ситуация, при которой основной блок BIOS искажен, а Boot Block исправен и пытается выполнить восстановление основного блока. Если данная операция завершится успешно, BIOS будет восстановлен без физического вмешательства в систему. Разумеется, если для такого аварийного запуска использовался "старый" BIOS с CD диска, желательно после восстановления нормального функционирования компьютера, "прошить" свежий BIOS с сайта производителя платы.

Если защита Boot Block оказалась неэффективной, и он вытерт или искажен, восстановить работоспособность материнской платы можно только путем физического извлечения микросхемы BIOS и "перепрошивки" ее в программаторе или другой плате того же класса, методом "hot-swap". Если микросхема BIOS не установлена в "панельку", а запаяна, потребуется паяльная станция. Такая операция обычно выполняется в условиях сервисного центра.

Что, кроме банального соблюдения антивирусной дисциплины, можно сделать для профилактики подобных неприятностей?

Рекомендуется обратить внимание на перемычки (jumpers) управления доступом к Flash ROM, установленные на некоторых платах. Такая защита более эффективна по сравнению с программной защитой, управляемой из BIOS Setup. Если есть перемычка для запрета записи в Boot Block, рекомендуется запретить запись. Как было сказано выше, если BIOS искажен, но Boot Block сохранился, восстановление BIOS под силу даже рядовому пользователю. Так как данная перемычка может по-разному называться на платах различных производителей, следует обратиться к документации на плату. Пример названия - TBL (Top BIOS Lock).

Наличие перемычки, полностью запрещающей запись в BIOS Flash ROM (а не только в Boot Block), позволяет еще более повысить уровень безопасности, однако может препятствовать законным операциям BIOS по перезаписи блоков ESCD (Extended System Configuration Data) и DMI (Desktop Management Interface) при изменении конфигурации системы. Иногда помогает компромиссный вариант - после изменений в конфигурации системы (например, перестановки модулей памяти), разрешить запись на время одной перезагрузки, чтобы BIOS обновил блоки параметров. Разумеется, не следует путать информацию Flash ROM и CMOS. Память CMOS, хранящая установки BIOS Setup находится в составе "южного моста" чипсета и запрет записи Flash ROM на нее никак не влияет.

При выборе материнской платы, обратите внимание на модели, имеющие описанные механизмы защиты, если вопрос вирусоустойчивости BIOS для Вас актуален. Если на Вашей плате нет описанных перемычек, но вы разбираетесь в цифровой схемотехнике и умеете держать в руках паяльник, защиту Flash ROM можно реализовать самостоятельно.