backahasten@0xFA 現(xiàn)在����,各種MCU的價(jià)格越來越低,同等條件下能買到的ROM和RAM資源也多了���。對一些復(fù)雜邏輯的應(yīng)用���,相比于花費(fèi)大量的時(shí)間去扣底層還不如使用操作系統(tǒng)加快開發(fā)速度,使用了操作系統(tǒng)之后�,針對固件的逆向會(huì)比無os的固件逆向有一些不同��。 RT-Thread是國產(chǎn)實(shí)時(shí)操作系統(tǒng)的典范����,我個(gè)人的特別喜歡��。RT-Thread有很多的BSP可以適配眾多的芯片和架構(gòu)����,在本文還是使用最常見的stm32來進(jìn)行介紹。 硬件上我是用了正點(diǎn)原子核RT-Thread聯(lián)合開發(fā)的潘多拉開發(fā)板�����,在本文中沒有使用潘多拉的硬件��,我比較偷懶的使用了開發(fā)板配套的例子去做逆向����。 啟動(dòng) 我一直相信一句話,不會(huì)開發(fā)也就不會(huì)安全�����,開發(fā)能力決定著安全能力的天花板����。在逆向STM32 & RT-Thread的過程中也是這個(gè)樣子的����。我們打開一個(gè)bin文件��,第一件事就是找到main函數(shù)�����,這個(gè)main函數(shù)并不是stm32的main函數(shù)而是操作系統(tǒng)的main函數(shù)�����。例如在stm32 & keil開發(fā)中���,RT-Thread使用$Sub$$main調(diào)用初始化操作系統(tǒng),如果是不帶操作系統(tǒng)的裸開發(fā)��,這個(gè)函數(shù)就是邏輯的main函數(shù)了�����。 詳細(xì)的啟動(dòng)過程可以在https://www./document/site/tutorial/quick-start/stm32f103-simulator/stm32f103-simulator/中找到��,為了本文的完整,我們復(fù)制過來一些代碼�。 //components.c 中定義
/* re-define main function */
int $Sub$$main(void)
{
rt_hw_interrupt_disable();
rtthread_startup();
return 0;
}
這里面調(diào)用了兩個(gè)函數(shù),第一個(gè)函數(shù)關(guān)閉了中斷�����,開始初始化操作系統(tǒng)���。 int rtthread_startup(void)
{
rt_hw_interrupt_disable();
/* board level initalization
* NOTE: please initialize heap inside board initialization.
*/
rt_hw_board_init();
/* show RT-Thread version */
rt_show_version();
/* timer system initialization */
rt_system_timer_init();
/* scheduler system initialization */
rt_system_scheduler_init();
#ifdef RT_USING_SIGNALS
/* signal system initialization */
rt_system_signal_init();
#endif
/* create init_thread */
rt_application_init();
/* timer thread initialization */
rt_system_timer_thread_init();
/* idle thread initialization */
rt_thread_idle_init();
/* start scheduler */
rt_system_scheduler_start();
/* never reach here */
return 0;
}
在rtthread_startup();函數(shù)中�,進(jìn)行各個(gè)組件的初始化�����,其他我們不用管��,重點(diǎn)看其中的rt_application_init();函數(shù)����,這個(gè)函數(shù)用于線程任務(wù)的初始化,在其中�,我們就可以脫離操作系統(tǒng)代碼的范疇,進(jìn)入到真正的邏輯代碼的位置�����。 操作 我們使用潘多拉開發(fā)板的例子29_iot_web_server,這個(gè)例子復(fù)雜程度中等�,可以充分的分析各個(gè)點(diǎn)。keil編譯之后�����,會(huì)的帶axf文件和Hex文件�����,其中axf帶有符號表�����,而hex文件只有基礎(chǔ)的組織結(jié)構(gòu)�����,由于嵌入式的特點(diǎn)�,為了節(jié)約資源����,燒錄進(jìn)芯片里的固件基本都不會(huì)帶符號表。為了仿造真實(shí)情況下拿到的固件����,我們使用jlink的工具打開hex文件之后保存成bin文件���。之后使用ida pro打開。 打開文件之后�����,正確載入逆向��,顯示如下:(使用IDA PRO逆向ARM M核心的方法請參考我之前的文章)
<ignore_js_op> 選中的地址 0x8000495為芯片的上電PC載入地址����,找到地址之后,如下:
<ignore_js_op> 由于最開始是硬件PC設(shè)置�����,沒有軟件引用關(guān)系��,ida pro沒有識(shí)別�,在0x8000494處按C,進(jìn)行反匯編: <ignore_js_op> 發(fā)現(xiàn)可以看到stm32的啟動(dòng)代碼���,進(jìn)入函數(shù)0x800188: <ignore_js_op> 發(fā)現(xiàn)0x800018C處的函數(shù)沒有識(shí)別�����,依舊按C:
<ignore_js_op> 發(fā)現(xiàn)識(shí)別出來一個(gè)函數(shù)的跳轉(zhuǎn)��,繼續(xù)跟蹤�,進(jìn)入: <ignore_js_op> 發(fā)現(xiàn)有四個(gè)函數(shù),具體函數(shù)的意義是什么���,沒有符號表不得而知��。 這里介紹一個(gè)小技巧��,我們現(xiàn)在處于上帝模式,我們有axf文件���,axf文件中有符號表�,并且��,這一段程序在操作系統(tǒng)中�����,所有的stm32都是一樣的,我們現(xiàn)在反匯編axf文件�����,與bin文件互相參照�����,可以更好的分析啟動(dòng)過程����。打開axf文件,找到位置:
<ignore_js_op> 選中的函數(shù)���,也就是第二個(gè)函數(shù)�����,是有關(guān)操作系統(tǒng)線程的設(shè)置��,選擇進(jìn)入:
<ignore_js_op> 發(fā)現(xiàn)又是一堆函數(shù)��,我們依舊參考axf文件: <ignore_js_op> 第六個(gè)函數(shù)跳轉(zhuǎn)是任務(wù)的設(shè)置���,選擇進(jìn)入: <ignore_js_op> 在這里我們可以發(fā)現(xiàn)任務(wù)main函數(shù)的設(shè)置�����,進(jìn)入函數(shù)0x802485C
<ignore_js_op>
還有兩個(gè)函數(shù)�����,參考一下axf: <ignore_js_op>上面的是任務(wù)進(jìn)入的設(shè)置��,下面是main函數(shù)的邏輯��,進(jìn)入main函數(shù):
<ignore_js_op> 按F5轉(zhuǎn)變成偽代碼:
<ignore_js_op> 這就是任務(wù)main函數(shù)的邏輯�����,接下來就可以進(jìn)行下一步的分析了�����。 實(shí)際上,還有另外一個(gè)方法��,直接搜索字符串main: <ignore_js_op> 同樣可以找到main函數(shù)的位置����。但是由于任務(wù)名稱可能修改���,從啟動(dòng)代碼 逐步分析是最可靠的方法。 沒有符號表依然很難受����,我在那篇文章中也介紹了恢復(fù)符號表的方法,有需要大家可以參考��。 來源:https://www./content-4-498901.html
|
