{"id":410,"date":"2026-03-08T18:15:18","date_gmt":"2026-03-08T18:15:18","guid":{"rendered":"https:\/\/hackcuba.net\/?p=410"},"modified":"2026-03-08T18:15:18","modified_gmt":"2026-03-08T18:15:18","slug":"como-escribir-un-bootloader","status":"publish","type":"post","link":"https:\/\/hackcuba.net\/?p=410","title":{"rendered":"C\u00f3mo escribir un bootloader"},"content":{"rendered":"\n

Estaba leyendo un articulo que publicaron en BlackHat<\/strong> #16 sobre quitar el password<\/em> al BIOS desde Windows, pero esto s\u00f3lo funciona si arrancamos desde un disco inicio de MS-DOS. Creo que desde las versiones 95, 98 y Me tambi\u00e9n funciona, pero los sistemas basados en NT como XP ya no permiten el acceso directo al hardware<\/em>, ni permite el direccionamiento directo de la memoria.<\/p>\n\n\n\n\n\n\n\n

\u00bfC\u00f3mo escribir un bootloader<\/em>?<\/p>\n\n\n

\nchar *videomem = (char *) 0xb8000; \/\/ 0xb8000 es la direcci\u00f3n de la RAM de video\nvoid putc(char carattere){\n\u00a0 videomem++ = carattere; \/\/ caracter a imprimir\n\u00a0 videomem++ = 0x7; \/\/ atributo del char\n}\n<\/pre><\/div>\n\n\n
C\u00f3digos como \u00e9ste s\u00f3lo son permitidos en SO como MS-DOS, que permiten el acceso a toda la memoria, puertos, etc., por lo que pueden hacer caer o da\u00f1ar al sistema f\u00e1cilmente. Pues Windows usa un modelo de memoria llamado Flat<\/em> (o plano), donde cada proceso cree que tiene asignado 4 Gb de memoria para \u00e9l solo. Un proceso no conoce la direcci\u00f3n de memoria de otro proceso, por lo que no puede modificarla. El \u00fanico que conoce las direcciones es el kernel del SO; de este modo un programa puede caer, pero no comprometer el sistema completamente (existen casos en que un programa o una biblioteca contiene un bug<\/em> y su explotaci\u00f3n permite la elevaci\u00f3n de privilegios al atacante, ej: buffer overflow<\/em>, heap overflow<\/em>).<\/p>\n\n\n\n
El microprocesador posee un modo de funcionamiento llamado \u00abprotegido\u00bb, existente desde el 286. \u00c9ste cuenta con cuatro niveles de privilegios enumerados desde el 0 al 3, donde el mayor privilegio lo tiene el llamado anillo 0 y el menor es el 3:<\/p>\n\n\n\n
0<\/strong>– N\u00facleo del SO (Modo Supervisor)
1<\/strong>– Servicios del sistema
2<\/strong>– Aplicaciones del sistema
3<\/strong>– Aplicaciones del usuario (Modo Usuario)<\/p>\n\n\n\n
Instrucciones en ASM, como sti<\/code>, cli<\/code> y hlt<\/code> s\u00f3lo le son permitidas al modo N\u00facleo o Supervisor.<\/p>\n\n\n\n
Windows y Linux s\u00f3lo usan los anillos 0 y 3 (en Linux el usuario root<\/em> tiene m\u00e1s privilegios que el administrador de Windows). Ahora, \u00bfc\u00f3mo aceden al hardware<\/em> las aplicaciones del usuario? Si estas no tienen suficientes privilegios, se accede mediante las llamadas a las APIs del sistema operativo (en Linux, Syscalls<\/em> o Llamadas al sistema). \u00c9stas proporcionan un gran nivel de abstracci\u00f3n al programador, ya que \u00e9ste sabe lo que hacen \u00e9stas, no c\u00f3mo funcionan internamente.<\/p>\n\n\n\n
Ahora compilemos el siguiente c\u00f3digo en XP:<\/p>\n\n\n\n
\/\/ hay que usar Dev-C++ o llamar directamente al compilador de la siguiente forma
\/\/ gcc -o quitarpass quitarpass.c
<\/p>\n\n\n
\n#include <stdio.h>\nmain()\n{\n\u00a0 asm (".intel_syntax noprefix");\n\u00a0 __asm ("cli"); \/\/ desactivamos las interrupciones\n\u00a0 __asm ("mov al,0x2e"); \/\/ movemos el valor 0x2e a registro AL\n\u00a0 __asm ("out 0x70,al"); \/\/ escribimos el valor de AL en el puerto 70\n\u00a0 __asm ("out 0x71,al"); \/\/ escribimos el valor de AL en el puerto 71\n\u00a0 __asm ("sti"); \/\/ habilitamos las interrupciones\n\u00a0 asm (".att_syntax noprefix");\n\n\u00a0return 0;\n}\n<\/pre><\/div>\n\n\n
Explicaci\u00f3n del c\u00f3digo:<\/strong>
Las Directivas asm (\".intel_syntax noprefix\");<\/code> y asm (\".att_syntax noprefix\");<\/code> son para que acepte la sintaxis de Intel, ya que el gcc usa por defecto la de AT&T. Por ejemplo:<\/p>\n\n\n\n
intel syntax At&t syntax Mov ax,5 mov $5,%ax<\/code><\/p>\n\n\n\n
Si lo compilamos veremos que no da ning\u00fan error, pero si lo ejecutamos nos dar\u00e1 el t\u00edpico error \u00abEl programa quitarpass.exe ha efectuado una operaci\u00f3n no v\u00e1lida y debe cerrarse<\/em>\u00ab.<\/p>\n\n\n\n
\u00bfQue sucedi\u00f3 entonces, que ni como administrador podemos ejecutarlo?<\/p>\n\n\n\n
S\u00f3lo s\u00e9 que el sistema no lo permite. Quiz\u00e1s lo haga si lo lanzamos con la cuenta system<\/em>, ya que \u00e9sta tiene m\u00e1s privilegios que el Administrador. Pero no lo he probado, as\u00ed que si alguien lo prueba que me lo comunique. Existen programas como el asusupdate<\/em>, que como administrador te permiten flashear<\/em>, actualizar, e incluso cambiarle el logo de inicio al BIOS. Estos programas usan generalmente una funci\u00f3n que se llama DeviceIOcontrol<\/code>,que tambi\u00e9n es usada en la creaci\u00f3n de controladores de dispositivos, ya que estos necesitan acceder directamente al hardware<\/em>. Dicha funci\u00f3n no he podido probarla, ya que no he encontrado suficiente documentaci\u00f3n sobre c\u00f3mo usarla.<\/p>\n\n\n\n
En el caso del debug<\/em> no da ning\u00fan error, pero si reiniciamos la PC veremos que no ha eliminado el pass<\/em> del BIOS.<\/p>\n\n\n\n
Ahora probemos el siguiente c\u00f3digo en Linux:<\/p>\n\n\n
\n#include <sys\/io.h> \/\/ contiene el prototipo de la funci\u00f3n iopl\n\nmain()\n{\n\u00a0 iopl(3); \/\/ elevamos los privilegios de E\/S, que normalmente es 0\n\u00a0 asm(".intel_syntax noprefix");\n\u00a0 asm("cli");\n\u00a0 asm("mov al,0x2e");\n\u00a0 asm("out 0x70,al");\n\u00a0 asm("out 0x71,al");\n\u00a0 asm("sti");\n\u00a0 asm(".att_syntax noprefix");\n\u00a0 return 0;\n}\n<\/pre><\/div>\n\n\n
Lo compilamos:<\/p>\n\n\n\n
rnapoles rodas:~\/prog\/asm\/cm$ gcc -o clearcmos clearcmos.c<\/code><\/p>\n\n\n\n
Lo ejecutamos:<\/p>\n\n\n\n
rnapoles rodas:~\/prog\/asm\/cm$ .\/clearcmos<\/code>
Violaci\u00f3n de segmento
rnapoles rodas:~\/prog\/asm\/cm$<\/em><\/p>\n\n\n\n
Esto sucede porque no tenemos suficientes privilegios. Ejecut\u00e9moslo como root<\/em> a ver que pasa:<\/p>\n\n\n\n
rnapoles rodas:~\/prog\/asm\/cm$ su<\/code>
Password:
root rodas \/home\/rnapoles\/prog\/asm\/cm :.\/clearcmos<\/code><\/p>\n\n\n\n
Y todo sale ok. Reiniciemos la PC y entremos al BIOS. \u00a1Hecho est\u00e1: sin password<\/em>!, por lo que s\u00f3lo debemos usar la cuenta de root<\/em> para tareas administrativas. Ya que no soy un especialista en la materia, el texto anterior puede que quiz\u00e1s contenga algunos errores.<\/p>\n\n\n\n
Para saber m\u00e1s…<\/h2>\n\n\n\n