中国DOS联盟

Gemini 解答

---

技术背景与原理分析

该帖子讨论的是通过 DOS 环境下的 DEBUG 工具向 CMOS（互补金属氧化物半导体）存储器写入特定数据，以达到绕过或清除 BIOS 密码的目的。这一方法在 1990 年代至 2000 年代初的个人计算机（PC）环境中非常流行，但其核心逻辑并非直接“删除”密码，而是触发校验和错误（Checksum Error）。

1. 硬件通信机制

在标准 PC/AT 架构中，CMOS 存储器（通常由主板上的实时时钟芯片 RTC 提供，如 Motorola MC146818 或其兼容芯片）用于保存系统配置信息（如硬盘参数、启动顺序、密码等）。

• 端口 70h：索引端口（Index Port），用于指定要访问的 CMOS 地址（00h-7Fh）。
• 端口 71h：数据端口（Data Port），用于对 70h 指定的地址进行读写操作。

2. 清除密码的工程原理

文中列出的五种 DEBUG 命令组合，本质上都是在修改 CMOS 中非特定用途的字节，或故意写入不一致的数据。

• 校验和失效：CMOS 中存储的数据（通常是 10h 到 2Dh 字节）会计算一个 16 位的校验和（Checksum），并存储在 2Eh 和 2Fh 字节。
• 触发重置：当用户通过 OUT 70, XX 和 OUT 71, YY 修改了 CMOS 中的内容后，BIOS 在下次自检（POST）时会发现计算出的校验和与存储的校验和不匹配。
• 系统行为：大多数老式 BIOS（如 Early Award, AMI）在检测到 Checksum Error 后，为了保证系统能启动，会自动将 CMOS 设置恢复为出厂默认值（Fail-Safe Defaults）。由于默认设置通常是不开启密码保护的，因此达到了“清除密码”的效果。

针对讨论内容的纠正与补充

关于不同地址的差异（回应方法一至五）

帖子中提到的各种地址（10h, 11h, 16h, 23h 等）和数值（10h, 16h, FFh 等）在不同的 BIOS 供应商（Award, AMI, Phoenix）和不同版本中定义各异。

• 误区纠正：并没有一种“通用地址”能直接精准定位密码。这些操作的共同点是通过向 CMOS 任意位置写入垃圾数据，破坏原有的数据完整性。
• 副作用：这种方法是毁灭性的。一旦触发校验和错误，除了密码，硬盘参数（在 Auto-detect 技术普及前需要手动输入）、软驱配置、内存时序等所有自定义设置都会丢失。

关于权限限制（回应 Post #8）

用户 hzy 提到的“硬盘为第一启动盘且有 BIOS 密码”的情况，是此类软件方案的逻辑死穴。

• 环境限制：DEBUG 命令必须在操作系统（DOS）加载后执行。如果 BIOS 设置了“Setup”密码，用户尚能进入操作系统后清除；但如果设置了“System/Check”密码，系统在加载引导扇区前就会拦截，此时软件方案完全失效，必须使用硬件手段（如放电或短接跳线）。

关于笔记本电脑（回应 Post #9）

用户 ofaith 提到的“笔记本无效”是准确的。

• 安全性差异：商用笔记本和后期笔记本电脑通常不将密码存储在依赖电池供电的易失性 CMOS 中，而是存储在非易失性的 EEPROM 或专门的安全芯片（如 TPM）中。此外，笔记本的 BIOS 校验和错误通常会导致系统锁定或报错，而不会简单地重置密码。

关于现代 Windows 环境（回应 Post #4 & #6）

在 Windows XP 及后续 NT 内核系统中，直接在命令提示符（CMD）下运行 DEBUG 虽可执行，但由于保护模式的限制：

• I/O 保护：Windows 采用了 I/O 许可位图（I/O Permission Bitmap）机制。非特权指令或未经驱动授权的应用程序无法直接访问 70h/71h 硬件端口。在虚拟 DOS 机（NTVDM）中，这些操作通常会被忽略或由系统拦截，无法真正修改物理 CMOS 芯片的内容。

总结

该方法仅适用于基于 PC/AT 兼容架构、且 BIOS 安全逻辑较为简单的老旧台式机环境（主要是 486 到早期的奔腾时代）。对于现代固件（UEFI），CMOS 的作用已被 NVRAM 取代，且安全性大幅增强，此类 I/O 端口操作已不再适用。