<div dir="ltr"><div><div><div><div><div><div><span id="gmail-m_-7073711948428108671result_box" lang="en"><span title="c'è la possibilità di disabilitare questa funzione del BIOS ?">> is there a way to disable this BIOS function? </span><span title="più precisamente, coreboot può essere impostato per evitare di ricevere comandi dal GRUB e dal KERNEL di Ubuntu?">More precisely, coreboot can be set to avoid<br>> receiving commands from GRUB and Ubuntu KERNEL?<br><br></span></span></div><span id="gmail-m_-7073711948428108671result_box" lang="en"><span title="più precisamente, coreboot può essere impostato per evitare di ricevere comandi dal GRUB e dal KERNEL di Ubuntu?">If you build the following structure (please, do understand that this is very high level of presentation, which does not reflect reality 100%) on x86 architecture: FSP -> Coreboot -> Tiano Core [as payload], you might be able to avoid any/entirely legacy INT services.<br><br></span></span></div><span id="gmail-m_-7073711948428108671result_box" lang="en"><span title="più precisamente, coreboot può essere impostato per evitare di ricevere comandi dal GRUB e dal KERNEL di Ubuntu?">In nutshell, Tiano Core dies after it passes control to the GRUB2. But... There are so called "run-time services" that Tiano Core sets, and passes them to Linux/WIN and these are alive through the life of the entire system.<br><br></span></span></div><span id="gmail-m_-7073711948428108671result_box" lang="en"><span title="più precisamente, coreboot può essere impostato per evitare di ricevere comandi dal GRUB e dal KERNEL di Ubuntu?">I have no idea what these run time services are, actually (might be reminiscences of INT legacy...)! :-(<br></span></span></div><div><span id="gmail-m_-7073711948428108671result_box" lang="en"><span title="più precisamente, coreboot può essere impostato per evitare di ricevere comandi dal GRUB e dal KERNEL di Ubuntu?"><br></span></span></div><div><span id="gmail-m_-7073711948428108671result_box" lang="en"><span title="più precisamente, coreboot può essere impostato per evitare di ricevere comandi dal GRUB e dal KERNEL di Ubuntu?">The similar use case if you use UEFI (so CSM is set OFF). Still, the same question remains: what are (WTF/WTH) "run time services"?<br></span></span></div><span id="gmail-m_-7073711948428108671result_box" lang="en"></span><span id="gmail-m_-7073711948428108671result_box" lang="en"></span><br></div>The other use cases are to do NSF mounting to these devices, but with Read ONLY attributes (on remote ARM system). So then you can copy files over to x86 based host system (having admin/root privileges) and inspect them, preserving (not compromising) originals.<br><br></div>All respective to x86 use cases.<br><br>You can also use Rpi 3, and mount these devices as RO (as already suggested). But this will not give you NTFS clear file accesses (for WIN HDD/SSD and USB storage systems).<br><div><div><br><span id="gmail-m_-7073711948428108671result_box" lang="en"><span title="più precisamente, coreboot può essere impostato per evitare di ricevere comandi dal GRUB e dal KERNEL di Ubuntu?"></span></span><span id="gmail-m_-7073711948428108671result_box" lang="en"></span><div><div><div><div><span id="gmail-m_-7073711948428108671result_box" lang="en"><span title="Spero di essere stato più chiaro questa volta.">> I hope I've been clear this time.</span></span></div><div><span id="gmail-m_-7073711948428108671result_box" lang="en"><span title="Spero di essere stato più chiaro questa volta."><br></span></span></div><div><span id="gmail-m_-7073711948428108671result_box" lang="en"><span title="Spero di essere stato più chiaro questa volta.">Well... I hope this clearly helps this time.</span></span></div><div><span id="gmail-m_-7073711948428108671result_box" lang="en"><span title="Spero di essere stato più chiaro questa volta."><br></span></span></div><div><span id="gmail-m_-7073711948428108671result_box" lang="en"><span title="Spero di essere stato più chiaro questa volta.">Zoran<br></span></span></div></div></div></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Sep 3, 2017 at 12:32 AM, <a href="mailto:ingegneriaforense@alice.it">ingegneriaforense@alice.it</a> <span dir="ltr"><<a href="mailto:ingegneriaforense@alice.it" target="_blank">ingegneriaforense@alice.it</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span id="m_-7073711948428108671result_box" lang="en"><span title="ciao ragazzi

">Hello guys, <span title="voglio innanzitutto ringraziare tutti per le risposte, i suggerimenti e i link che mi avete inviato.

">First of all I want to thank everyone for the answers, suggestions and links you have sent me. <span title="Forse ho sbagliato a porre le mie domande, senza chiarire il problema che sto analizzando e quindi lasciando a voi dei dubbi sul perchè io ho fatto un certo tipo di domande riguardo all'INT13, il real mode, e così via.

">Maybe I was wrong to ask my questions without clarifying the problem 

I'm analyzing, leaving you doubts about why I did some sort of 

questions about INT13, real mode, and so on. <span title="Come voi ben sapete, quando si collega un dispositivo di memoria (hard disk, chiavetta usb) ad un PC, i dati utente possono subire delle variazioni.

">As you well know, when connecting a memory device (hard drive, USB stick) to a PC, user data may be subject to change. <span title="Basti pensare alla variazione che subisce il campo "data di ultima modifica" della timestamp di un file.

">Just think of the variation under the "date modified" field of the timestamp of a file. <span title="In ambito forense, questo non è accettato.">In the forensic field, this is not accepted. <span title="Di conseguenza è necessario acquisire l'immagine di un drive, congelata al momento del sequestro da parte della polizia.

">As a result, it is necessary to capture the image of the suspect drive, frozen at the time of the police seizure. <span title="Per questo motivo si utilizzano dei dispositivi noti come Write Blocker, that allow acquisition of information on a drive without creating the possibility of accidentally damaging the drive contents.

">For this reason, devices known as Write Blocker are used, which 

allow the acquisition of information on a drive without creating the 

possibility of accidentally damaging (writing) the drive contents. <span title="Io sto studiando l'implementazione di un simile dispositivo su un PC.">I'm studying the implementation of such a device on a PC. <span title="In realtà, attualmente, il blocco in scrittura a livello di kernel è stata risolta.

">Actually, the writing block at kernel level at this time has been resolved. <span title="Ma resta il dubbio che, per un evento accidentale qualsiasi, il dispositivo sospetto potrebbe subire modifiche dei dati utente.

">But there remains the doubt that, for any accidental event (that i don't know), the suspect device may be affected by user data.<br><br></span><span title="Per questo motivo ho chiesto se c'e interazione tra BIOS e KERNEL.">For this reason I asked, in my previous email, if there is interaction between BIOS and KERNEL. </span><span title="Correttamente

">Correctly <span title="Zoran, allegando l'immagine, mi sembra che fa capire che  possono esserci casi in cui il Kernel concede al BIOS la possibilità di effettuare alcuni servizi, come l'INT13.

">Zoran, adding the picture, has shown that there may be

 cases where the Kernel grants the BIOS the ability to perform some 

services (I think using the INT13).<br><br></span><span title="Allora vi chiedo:

">Then I ask you: <span title="c'è la possibilità di disabilitare questa funzione del BIOS ?">is there a way to disable this BIOS function? <span title="più precisamente, coreboot può essere impostato per evitare di ricevere comandi dal GRUB e dal KERNEL di Ubuntu?

">More precisely, coreboot can be set to avoid receiving commands from GRUB and Ubuntu KERNEL? <span title="Spero di essere stato più chiaro questa volta.

">I hope I've been clear this time.<br><br></span><span title="Grazie per la vostra pazienza

">Thanks for your patience<br><br></span><span title="Best Regards.">Best Regards.<br><br>Vincenzo.<br><br></span></span><br>Forensic Consultant<br>Tribunale di Lecce<br><br>Studio: Strada di Garibaldi - Contrada Paradisi<br>73010 Lequile (LE)<br><br>cell: <a href="tel:(339)%20796-8555" value="+13397968555" target="_blank">339.7968555</a><br>skype: vincenzo.di_salvo<br><br>--<br>

coreboot mailing list: <a href="mailto:coreboot@coreboot.org">coreboot@coreboot.org</a><br>

<a href="https://mail.coreboot.org/mailman/listinfo/coreboot" rel="noreferrer" target="_blank">https://mail.coreboot.org/<wbr>mailman/listinfo/coreboot</a><br></blockquote></div><br></div>