Event Log
Другие идентичные по назначению опции: Event Logging, Event Log Capacity.
Опция Event Log относится к категории опций, предназначенных для настройки журнала событий BIOS. Обычно данная опция позволяет включить или выключить этот журнал.
Принцип работы
Далеко не всегда наши компьютеры работают безупречно, как часы, и нередко возникают такие ситуации, когда пользователю ПК приходится иметь дело с той или иной неисправностью, связанной с аппаратной частью компьютера или с его программным обеспечением. И в подобных ситуациях зачастую трудно обойтись без такой вещи, как журнал событий (Event Log).
Журнал (лог) событий является важным инструментом, позволяющим пользователю или системному администратору разобраться в причинах произошедшей неполадки и впоследствии устранить ее. Данный журнал представляет собой комплекс записей, расположенных в хронологическом порядке и описывающих важные события, происходящие в системе.
Большинству опытных пользователей операционных систем семейства Windows, наверное, знакома программа просмотра событий этой операционной системы (Event Viewer), в которой отображаются самые важные вещи, происходящие во время работы ОС, такие, как запуск приложений, события, связанные с безопасностью, а также возникающие в ходе работы ОС ошибки. В случае возникновения проблем в функционировании операционной системы анализ этого журнала поможет выявить причину возникновения неисправности и устранить ее.
Тем не менее, далеко не все пользователи персонального компьютера, наверное, знают о том, что некоторые материнские платы также оснащены возможностью вести и записывать в память лог событий, связанных с аппаратной частью компьютера. В частности, в лог могут записываться события, происходящие во время процедуры проверки работоспособности отдельных элементов компьютера (процедуры POST). Эта функция может быть полезной как для обычных пользователей, так и для системных администраторов. В том случае, если во время процедуры POST возникают ошибки, то далеко не всегда пользователь имеет возможность увидеть соответствующее сообщение об ошибке на экране. А при использовании лога пользователь может просмотреть необходимую запись в BIOS и определить причину неисправности.
Включение функции записи лога событий осуществляется при помощи выбора варианта Enabled, а выключение – при помощи выбора варианта Disabled. Также в BIOS обычно присутствуют и другие опции, позволяющие работать с журналом, например, осуществлять его просмотр или очистку.
Стоит ли включать опцию?
Ответ на данный вопрос зависит исключительно от ваших предпочтений. В большинстве случаев журнал событий может быть полезен пользователю или системному администратору, как эффективный инструмент для анализа и исправления возникших аварийных ситуаций, поэтому лучше всего будет включить данную опцию.
Что полезного можно вытащить из логов рабочей станции на базе ОС Windows
Пользовательская рабочая станция — самое уязвимое место инфраструктуры по части информационной безопасности. Пользователям может прийти на рабочую почту письмо вроде бы из безопасного источника, но со ссылкой на заражённый сайт. Возможно, кто-то скачает полезную для работы утилиту из неизвестно какого места. Да можно придумать не один десяток кейсов, как через пользователей вредоносное ПО может внедриться на внутрикорпоративные ресурсы. Поэтому рабочие станции требуют повышенного внимания, и в статье мы расскажем, откуда и какие события брать для отслеживания атак.
Для выявления атаки на самой ранней стадии в ОС Windows есть три полезных событийных источника: журнал событий безопасности, журнал системного мониторинга и журналы Power Shell.
Журнал событий безопасности (Security Log)
Это главное место хранения системных логов безопасности. Сюда складываются события входа/выхода пользователей, доступа к объектам, изменения политик и других активностей, связанных с безопасностью. Разумеется, если настроена соответствующая политика.
Перебор пользователей и групп (события 4798 и 4799). Вредоносное ПО в самом начале атаки часто перебирает локальные учетные записи пользователей и локальные группы на рабочей станции, чтобы найти учетные данные для своих тёмных делишек. Эти события помогут обнаружить вредоносный код раньше, чем он двинется дальше и, используя собранные данные, распространится на другие системы.
Создание локальной учётной записи и изменения в локальных группах (события 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 и 5377). Атака может также начинаться, например, с добавления нового пользователя в группу локальных администраторов.
Попытки входа с локальной учётной записью (событие 4624). Добропорядочные пользователи заходят с доменной учётной записью и выявление входа под локальной учётной записью может означать начало атаки. Событие 4624 включает также входы под доменной учетной записью, поэтому при обработке событий нужно зафильтровать события, в которых домен отличается от имени рабочей станции.
Попытка входа с заданной учётной записью (событие 4648). Такое бывает, когда процесс выполняется в режиме “Запуск от имени” (run as). В нормальном режиме работы систем такого не должно быть, поэтому такие события должны находиться под контролем.
Блокировка/разблокировка рабочей станции (события 4800-4803). К категории подозрительных событий можно отнести любые действия, которые происходили на заблокированной рабочей станции.
Изменения конфигурации файрволла (события 4944-4958). Очевидно, что при установке нового ПО настройки конфигурации файрволла могут меняться, что вызовет ложные срабатывания. Контролировать такие изменения в большинстве случаев нет необходимости, но знать о них точно лишним не будет.
Подключение устройств Plug’n’play (событие 6416 и только для WIndows 10). За этим важно следить, если пользователи обычно не подключают новые устройства к рабочей станции, а тут вдруг раз — и подключили.
Windows включает в себя 9 категорий аудита и 50 субкатегорий для тонкой настройки. Минимальный набор субкатегорий, который стоит включить в настройках:
Системный монитор (Sysmon)
Sysmon — встроенная в Windows утилита, которая умеет записывать события в системный журнал. Обычно требуется его устанавливать отдельно.
Эти же события можно в принципе найти в журнале безопасности (включив нужную политику аудита), но Sysmon даёт больше подробностей. Какие события можно забирать из Sysmon?
Создание процесса (ID события 1). Системный журнал событий безопасности тоже может сказать, когда запустился какой-нибудь *.exe и даже покажет его имя и путь запуска. Но в отличие от Sysmon не сможет показать хэш приложения. Злонамеренное ПО может называться даже безобидным notepad.exe, но именно хэш выведет его на чистую воду.
Сетевые подключения (ID события 3). Очевидно, что сетевых подключений много, и за всеми не уследить. Но важно учитывать, что Sysmon в отличие от того же Security Log умеет привязать сетевое подключение к полям ProcessID и ProcessGUID, показывает порт и IP-адреса источника и приёмника.
Изменения в системном реестре (ID события 12-14). Самый простой способ добавить себя в автозапуск — прописаться в реестре. Security Log это умеет, но Sysmon показывает, кто внёс изменения, когда, откуда, process ID и предыдущее значение ключа.
Создание файла (ID события 11). Sysmon, в отличие от Security Log, покажет не только расположение файла, но и его имя. Понятно, что за всем не уследишь, но можно же проводить аудит определённых директорий.
А теперь то, чего в политиках Security Log нет, но есть в Sysmon:
Изменение времени создания файла (ID события 2). Некоторое вредоносное ПО может подменять дату создания файла для его скрытия из отчётов с недавно созданными файлами.
Загрузка драйверов и динамических библиотек (ID событий 6-7). Отслеживание загрузки в память DLL и драйверов устройств, проверка цифровой подписи и её валидности.
Создание потока в выполняющемся процессе (ID события 8). Один из видов атаки, за которым тоже нужно следить.
События RawAccessRead (ID события 9). Операции чтения с диска при помощи “\\.\”. В абсолютном большинстве случаев такая активность должна считаться ненормальной.
Создание именованного файлового потока (ID события 15). Событие регистрируется, когда создается именованный файловый поток, который генерирует события с хэшем содержимого файла.
Создание named pipe и подключения (ID события 17-18). Отслеживание вредоносного кода, который коммуницирует с другими компонентами через named pipe.
Активность по WMI (ID события 19). Регистрация событий, которые генерируются при обращении к системе по протоколу WMI.
Для защиты самого Sysmon нужно отслеживать события с ID 4 (остановка и запуск Sysmon) и ID 16 (изменение конфигурации Sysmon).
Журналы Power Shell
Power Shell — мощный инструмент управления Windows-инфраструктурой, поэтому велики шансы, что атакующий выберет именно его. Для получения данных о событиях Power Shell можно использовать два источника: Windows PowerShell log и Microsoft-WindowsPowerShell / Operational log.
Windows PowerShell log
Загружен поставщик данных (ID события 600). Поставщики PowerShell — это программы, которые служат источником данных для PowerShell для просмотра и управления ими. Например, встроенными поставщиками могут быть переменные среды Windows или системный реестр. За появлением новых поставщиков нужно следить, чтобы вовремя выявить злонамеренную активность. Например, если видите, что среди поставщиков появился WSMan, значит был начат удаленный сеанс PowerShell.
Microsoft-WindowsPowerShell / Operational log (или MicrosoftWindows-PowerShellCore / Operational в PowerShell 6)
Журналирование модулей (ID события 4103). В событиях хранится информация о каждой выполненной команде и параметрах, с которыми она вызывалась.
Журналирование блокировки скриптов (ID события 4104). Журналирование блокировки скриптов показывает каждый выполненный блок кода PowerShell. Даже если злоумышленник попытается скрыть команду, этот тип события покажет фактически выполненную команду PowerShell. Ещё в этом типе события могут фиксироваться некоторые выполняемые низкоуровневые вызовы API, эти события обычно записывается как Verbose, но если подозрительная команда или сценарий используются в блоке кода, он будет зарегистрирован как c критичностью Warning.
Обратите внимание, что после настройки инструмента сбора и анализа этих событий потребуется дополнительное время на отладку для снижения количества ложных срабатываний.
Расскажите в комментариях, какие собираете логи для аудита информационной безопасности и какие инструменты для этого используете. Одно из наших направлений — решения для аудита событий информационной безопасности. Для решения задачи сбора и анализа логов можем предложить присмотреться к Quest InTrust, который умеет сжимать хранящиеся данные с коэффициентом 20:1, а один его установленный экземпляр способен обрабатывать до 60000 событий в секунду из 10000 источников.
Table of Contents:
Базовая система ввода / вывода, или BIOS, каждого компьютера или сервера является жизненно важным компонентом в работе системы этого компьютера. Он хранит важную информацию, такую как внутренние часы системы, конфигурация оборудования, пароли и включенные / отключенные устройства. Пользователям компьютеров разрешен доступ к системному журналу BIOS для проверки операций и внесения необходимых изменений, но для этого существует протокол. Этот протокол варьируется от производителя к производителю.
Вы должны сделать некоторые маневры для доступа к системе BIOS.
Доступ к BIOS для Windows
Шаг 1
Включи компьютер. Когда компьютер загружается, посмотрите на нижнюю часть экрана. Вы заметите указания, которые читаются как «BIOS = F2, Boot System = F12» или что-то похожее на эти команды. Опять же, это будет зависеть от производителя. Нажмите кнопку, указанную для BIOS.
Шаг 2
Нажмите кнопку «Системный журнал» или «Журнал событий» в появившемся меню. Меню предложит вам различные варианты, доступ к которым осуществляется нажатием указанных кнопок.
Шаг 3
Просмотр системного журнала. Если вы не видите ни одной подсказки, указанной на предыдущих шагах, возможно, вам придется связаться с производителем BIOS. Чтобы найти производителя BIOS для вашей системы, перейдите в область поиска на рабочем столе и введите «Информация о системе». Нажмите «Информация о системе» в результате, а затем просмотрите «Системную сводку». Производитель BIOS будет указан.
Доступ к BIOS для Mac
Шаг 1
Включите компьютер и дождитесь загрузки экрана рабочего стола.
Шаг 2
Перейдите в «Приложения», «Утилиты», затем «Консоль» или введите «Консоль» в области Spotlight.
Шаг 3
Перейдите в «system.log», чтобы просмотреть системный журнал BIOS.
Доступ к BIOS для серверов шлюзов
Шаг 1
Откройте консоль Gateway System Manager и войдите в систему, используя свой идентификатор администратора и пароль
Шаг 2
Нажмите на знак «+» рядом со значком «GSM».
Шаг 3
Нажмите знак «+» рядом с сервером, который вы хотите просмотреть, затем нажмите «События».
Шаг 4
Щелкните значок «IPMI SEL» (сокращение от «Журнал системных событий Intelligent Platform Management Interface»), чтобы отобразить журнал системных событий.
Как почистить системный блок компьютера
Как отключить системный звуковой сигнал в Windows
Когда вы нажимаете не ту клавишу или появляется ошибка, вы слышите звуковой сигнал. Это раздражает, и я всегда отключаю это. Вот как это можно отключить во всех версиях Windows.
Как зашифровать системный раздел с помощью bitlocker в windows
Как зашифровать системный диск Windows с помощью BitLocker, даже если у вас нет чипа TPM. Вот как это делается в Windows 10, Windows 7 и Windows 8.1.
Журнал событий: Как просмотреть информацию об ошибках, исправить ошибки в Windows 10, 8 или 7 💥📜💻 (Ноябрь 2021).
System Event Logging Submenu
Наряду с конфигурационным подменю консоли BIOS серверной материнской платы может содержать подменю с характеристиками различных системных событий. Установленный пользователем (администратором) ряд имеющих решающее значение системных событий, таких как, например, скорректированные с помощью кода коррекции ошибки памяти, может заноситься системной платой в специальный журнал. Предлагаемые опции активируют или отключают журнал, отдельные составные его части. Просмотр журнала осуществляется с помощью программы System Setup Utility (SSU), поставляемой вместе с материнской платой.
System Event Logging
— опция для включения («Enabled») ведения журнала или отказа («Disabled») от его использования.
Event Log Control
— опция управления журналом имеет подопции:
«All Events» с возможными «Enabled» (по умолчанию) и «Disabled»,
«ECC Events» с возможными «Enabled» и «Disabled».
Понятно, что отказ от протоколирования всех событий равносилен отключению журнала.
Clear Event Log
— опция установки параметров очистки журнала. Возможны значения:
«Phoenix BIOS» для данной опции предлагает значения «No» и «Yes».
Event Log Capacity
— опция выводит на монитор информацию о заполненности журнала. Возможны «Not Full» или «Full».
Event Count Granularity
Event Time Granularity
— опцией устанавливается промежуток времени (в минутах), который должен пройти до следующей записи события в журнал. По умолчанию устанавливается «0».
Mark Existing Events
Critical Events in Log:
x Single Bit ECC Events
— фиксируются однобитовые ошибки при работающем механизме коррекции ошибок.
x Multiple Bit ECC Events
— фиксируются двух- и более битовые ошибки при работающем механизме коррекции ошибок.
x Parity Error Events
— фиксируются ошибки по контролю четности.
— фиксируются ошибки при проведении POST-тестирования.
Для эффективной работы с этими меню необходимо рационально использовать опцию «On Next Boot» для очистки журнала. Выбирая любой из типов системных событий, пользователь «имеет дело» с небольшим подменю (subscreen), содержащим три информационных поля. Они не имеют параметров (опций) и предназначены исключительно для информирования. Вот они:
«Date of Last Occurrence»,
«Time of Last Occurrence»,
«Total Count of Events/Errors».
В некоторых случаях к вышеперечисленным опциям отбора может быть добавлена опция
Security
Floppy Disk Access Control (R/W)(283),
Hardware Reset Protect
Password Checking
— опция «AMI BIOS», аналогичная «Security Option» для «Award BIOS», с той лишь разницей, что значению «System» соответствует значение «Always», но только лишь с блокировкой загрузки системы.
Справочные данные BIOS
В настоящее время большая часть системных плат комплектуется BIOS производства следующих фирм:
— AWARD Software International Inc. (с 1999 г. вошла в состав фирмы Phoenix) – AWAD BIOS;
— Phoenix Technologies Ltd. – Phoenix BIOS;
— American Megatrends Inc. – AMI BIOS.
Компьютеры класса «бренд» (IBN, Acer, Compad, DELL и некоторые другие) могут комплектоваться BIOS других производителей: ACER/IBM BIOS; Compad BIOS; DELL BIOS; Packard Bell BIOS; Toshiba BIOS; Zenit AMI BIOS; Gatrway Solo/Phoenix BIOS.
При начальной загрузке компьютера на экран выводится сообщение о марке, версии и дате выпуска BIOS, установленной на системной плате. Кроме того, в нижней части экрана приводится код, соответствующий модификации BIOS для конкретной модели системной платы. По информации кода можно опознать производителя и модель системной платы и обновить документацию на сайте производителя в Интернете.
Ниже, в таблице, приведена информация о кодах, принятых в AWARD (Phoenix) BIOS для производителей системных плат.
| Фирма изготовитель | Код | Фирма изготовитель | Код | Фирма изготовитель | Код |
| Asustek | A0 | Abit | A1 | Atrend | A2 |
| Bcom | A3 | Adcom | A8 | Acer-open | AB |
| Anson | AD | Advantech | AK | Acme | AM |
| Achitec | AX | Biostar | B0 | Boser | B2 |
| Chaintech | C3 | Dataexpert | D0 | Dtk | D1 |
| Dfi | D4 | Daewoo | D7 | Darter | DJ |
| Ecs | E1 | Efa | E3 | Enpc | EC |
| Fic | F0 | Flytech | F1 | Fiexus | F2 |
| Full-yes | F3 | Formosa | F8 | Fedfox | F9 |
| Gigabyte | G0 | Gemlight | G3 | Gvc | G5 |
| Global | G9 | Giantec | IC | Itri | IE |
| Jetway | J1 | Jbond | J3 | Kaimei | K1 |
| Фирма изготовитель | Код | Фирма изготовитель | Код | Фирма изготовитель | Код |
| Kinpo | KF | Luckstar | L1 | Lanner | L7 |
| Luckytiger | L9 | Mycomp | M2 | Mitac | M3 |
| Microstar | M4 | Mustek | M8 | Macrotek | MH |
| Nexcom | N0 | Ocean | O0 | Protech | P6 |
| Proteam | P8 | Peox | PA | Procomp | PN |
| Palmax | PS | Pionix | PX | Quanta | Q0 |
| Qdi | Q1 | Rise | R0 | Rsaptek | R9 |
| Soyo | S2 | Chuttle | S5 | Seanix | SA |
| Smt | SE | Sye | SH | Superpower | SM |
| Soltek | SN | S&D | SW | Taken | T4 |
| Tyan | T5 | Trkram | TG | Totem | TJ |
| Commate | TP | Usi | U1 | Uhc | U2 |
| Umax | U3 | Unicom | U4 | PC-partner | V3 |
| Vision | V5 | Win | W0 | Winco | W5 |
| Winlan | W7 | Xrima | X5 | Yamashita | Y2 |
| Zida | Z1 |
Для получения доступа к средству SETUP системы BIOS, закрытой паролем, можно использовать служебные пароли в приведенном ниже списке.
Все версии: AMI_SW (не универсальный, но устанавливается при сбросе CMOS).
Все версии: комбинация клавиш CTRL+ALT+DEL+INS (держать при перезагрузке, иногда просто INS).
Доступ к скрытым настройкам UEFI BIOS от Insyde
Одно из направлений моей компании — продажа технологических решений в области виртуализации. По долгу службы, приходится делать пилотные проекты или устраивать тестовые стенды. Недавно, компания Citrix выпустила новый продукт под название XenClient XT, который по сути является клиентским гипервизором первого уровня, то есть работает на чистом железе. Основной идеей клиентского гипервизора является создание виртуальных машин на собственном ноутбуке. Где и как это применимо — опустим.
Все современные процессоры Intel и AMD поддерживают технологию аппаратной виртулизации.
И так, в моем распоряжении был ноутбук с H77 чипсетом и Intel Core i7-3820QM процессором. Согласно спецификации от производителя, мой процессор поддерживал Intel Virtualization Technology (VT-x) и Intel Virtualization Technology for Directed I/O (VT-d) технологии. Если первая имеется почти на всех новых ноутбуках, то вторая технология встречается только на топовых моделях. Но она дает много преимуществ, как например прямой проброс GDU в виртуальную среду, соответственно клиентская машина получает полную поддержку 3D. Но давайте не будем углубляться в технологии, отличные от тематики данной статьи.
В моем биосе была возможность включения VT-x, но вот управление технологией VT-d не было предусмотрено изначально.
В расстроенных чувствах, я стал бродить по разным ресурсам в интернете и наткнулся на два очень интересных ресурса: mydigitallife и bios-mods.
Оказалось, что большая часть настроек биоса скрыта от обычного пользователя. Причина понятно — не давать пользователям ковыряться в настройках инициализации железа, дабы не создавать очереди у сервисных центров из армии любопытных «бородатых» субъектов с «кирпичами» в руках.
Первоначальное знакомство с технологией повергло меня в некоторое замешательство. Куча незнакомых мне утилит, новые термины, непонятные трактовки… Я решил не мучиться и написал на обоих ресурсах, что готов заплатить тому, кто мне поможет открыть скрытые от меня меню. Для этого было необходимо покопаться в ассемблерном коде, убрать несколько проверок, прошить патченный биос и у вас полное меню вашего биоса.
Так я прождал неделю, а заработать никто не захотел… ну или не смог.
Взяв себя в руки, я решил сам разобраться как этот биос работает и сделать патч самому. Спустя две недели и с помощью русского сообщества IXBT я написал свой первый патч к биосу моего тестового ноутбука. Скрестив пальцы на руках и с замиранием сердца я прошил свой ноутбук…
Вы помните в лохматые годы мы прошивали свои системные блоки новыми биосами для материнских плат? Тогда на экране красовалась надпись, мол ни в коем случае не выключайте компьютер до окончания прошивания? Были случаи, когда по странному стечению обстоятельств именно в тот момент отключалось электричество… В итоге получали большой не функциональный ящик. Что делалось дальше — история умалчивает.
Мой ноутбук не включился. Перебои с электричеством с батарейкой ему не страшны. Но вот я что-то сделал не правильно. Душевному расстройству не было предела. К моей большой радости оказалось, что биос имеет функцию recovery и путем нехитрых комбинаций клавиш и заранее подготовленной флешки ноутбук можно оживить.
Я пошел другим путем: пропатчил те места, которые ну ни как не могли повлиять на функционал биоса, а точнее заменил логотип. Снова прошил и снова получил кирпич. Размышляя и советуясь с опытными дельцами в этом деле мы пришли к выводу, что современные UEFI биосы имеют вторичную проверку на контрольную сумму образа прошивки. Первая проверка происходит когда вы пытаетесь прошить, а вторая когда биос запускается. Если в первом случае я также пропатчил прошивальщик, чтобы он не проверял контрольную сумму, то вторую проверку мне не преодолеть, так как она зашита в самом железе.
На данный момент имеем следующее: Можно патчить EFI биосы и не можем UEFI. Мой, конечно же, второй случай. Опять долгие поиски в интернете и натыкаюсь на статью Enable VT on InsydeH2O based Sony Vaio laptops, the EFI way.
Суть метода проста: вы загружаетесь в EFI режим с помощью специального загрузчика и получаете доступ к VSS памяти, где настройки вашего биоса и хранятся. Я протестировал что на моем ноутбуке это работает, снова открыл прекрассный дизассемблер IDA, скачал последние спецификации и в полном вооружении начал потрошить свой биос.
Успешным результатом двухнедельной работы стало выпотрошенное меню
Я успешно загрузился в загрузчик с доступом к VSS памяти, прописал нужные мне переменные и включил или выключил чего мне не хватало или мешало в моей работе.
Ну а теперь о том как это сделать вам.
Подготовка инструментария
1. Необходимо скачать PhoenixTool с этого форума, где постоянно выкладывается текущая версия. Он вам будет нужен, чтобы разложить файл прошивки на его составляющие.
2. Вам нужен perl. Если у вас есть UNIX система, то все просто, если нет, то ActivePerl или Cygwin под Windows.
3. Вам нужен последний биос от вашего производителя.
4. Любой архиватор.
Получение образа прошивки
12. Сохраняете его себе на компьютер туда, где у вас лежит файл из пункта 10 и даете ему удобное для вас название, например uefidump.pl
13. Переходите в консольный режим и даете команду perl uefidump.pl FE3542FE-C1D3-4EF8-657C-8048606FF670_2_514.ROM > uefidump.log
14. По окончанию вы найдете дамп меню вашего биоса в файле uefidump.log.
Подготовка загрузочной дискеты
1. Берем флешку, размер не важен.
2. Форматируем ее в FAT32
3. Создаем структуру каталогов EFI\Boot
4. Скачиваем BOOTX64.EFI
5. Кладем в папку Boot
6. Перегружаемся в BIOS, включаем Legacy и отключаем Secure Boot.
7. Сохраняемся и загружаемся через флешку.
8. После загрузки вы должны увидеть желтый текст на черном экране
9. К модификации настройки биоса все готово.
Изменение параметров
Для изменений используются поля VarStore и Value. Value в логе в десятичном варианте, при изменении необходимо указывать шестнадцатиричное значение.
1. Допустим вам надо изменить режим работы диска с IDE на AHCI. Кому-то это надо для хакинтошей, а кто-то купил себе твердотельный жесткий диск, а ноутбук его не видит. Ищем в лог файле что что касается сабжа и находим следующие строки:
2. Например вам надо запретить дискретный видеоадаптер. За этот пункт отвечает следующие строки:
Команда setup_var 0x1e6 0x0 отключит дискретный и будет работать только встроенный.
3. Хотим чтобы Numlock не включался
Команда setup_var 0x08 0x0 отключит его при загрузке.
Эпилог
Данное руководство составлено как оно есть и так как я делаю это на практике. Я не несу ответственности за испорченные материнские платы или утерянную информацию. Все что мы можете сделать — вы делаете на свой страх и риск.
Если что-то пошло не так, то первым спасательным кругом может быть извлечение батарейки биоса для стирания VSS памяти. Если не помогает, то вам нужно искать способ recovery для вашего биоса. В случае HP инструкцию можно посмотреть здесь. Для других вендоров там же, но я не искал.
Моя тема, где я нет, нет помогаю страждущим находится здесь. Благодарности от пользователей в доказательство тому, что это все работает.
И последнее, не пытайтесь отключить оборудование, которое у вас имеется или включить то, которого у вас нет, иначе сбой инициализации оборудования приведет к полном краху и невозможности восстановления материнской платы.
И самое последнее, мой вам совет: прежде чем начинать экспериментировать с оверклокингом и тюнингом биоса, проверьте, что для вашего ноутбука работает способ восстановления биоса в случае его краха. Пока таких случаев не было, но мало ли.
