逆向分析part1-信息收集

-

 信息收集用于辅助固件的逆向分析

一、strings — 字符串检索

【Linux系统自带命令】strings:在对象文件或二进制文件中查找可打印的字符串!!!

$ strings -h
Usage: strings [option(s)] [file(s)]
 Display printable strings in [file(s)] (stdin by default)
 The options are:
  -a - --all                Scan the entire file, not just the data section [default]
  -d --data                 Only scan the data sections in the file
  -f --print-file-name      Print the name of the file before each string
  -n --bytes=[number]       Locate & print any NUL-terminated sequence of at
  -<number>                   least [number] characters (default 4).
  -t --radix={o,d,x}        Print the location of the string in base 8, 10 or 16
  -w --include-all-whitespace Include all whitespace as valid string characters
  -o                        An alias for --radix=o
  -T --target=<BFDNAME>     Specify the binary file format
  -e --encoding={s,S,b,l,B,L} Select character size and endianness:
                            s = 7-bit, S = 8-bit, {b,l} = 16-bit, {B,L} = 32-bit
  -s --output-separator=<string> String used to separate strings in output.
  @<file>                   Read options from <file>
  -h --help                 Display this information
  -v -V --version           Print the program's version number

通过strings查找一些特殊的字符串具有意义的字符串,用于固件分析

$ strings firmware.bin # -a 参数为默认参数
product:LXAMM01&mcu:1&
fotaconfig.xml
(*N"b
3ci?M1
6mYW
+N: 
8z] 5
oemapp.ubi
=xkv
=xkv
O0sv8
(+"K#rl%
a2roy
VJXm
SZS:&
.....
.....
*vWT
8:/w
<\\"$-
fotaconfig.xmlPK    # 通过如下oemapp.ubi,mdm9607-boot.img,mdm9607-sysfs.ubi,mcu.bin,猜测是升级固件包或者完整的固件,因此使用binwalk
										# (PS:binwalk不是万能的)可以进一步识别、分离、提取等操作
oemapp.ubiPK
PlTR5
mdm9607-boot.imgPK
PlT8/
mdm9607-sysfs.ubiPK
PlT%c
mcu.binPK

二、hexdump — 十六进制查看

三、芯片手册检索地址

对于能够看到芯片的实体设备可以尝试检索芯片手册,可以更快的确定架构、IRQ等,方便进一步分析!!!

进行MCU逆向分析时,datasheet对逆向分析有很大的作用

立创商城_电子元器件采购网上商城_领先的现货元器件交易平台-嘉立创电子商城

ALLDATASHEET.COM - Electronic Parts Datasheet Search

icspec-电子元器件查询网-datasheet-芯片查询-芯片规格书-半导体芯片

四、binwalk — 文件头识别

五、特定文件格式

SREC、Hex、Bin的区别是什么

具体参考如下:

程序烧录中SREC、Hex、Bin文件格式有啥区别?一文看懂!-面包板社区

.srec文件

对于.srec结尾的文件是ARM GUN GCC工具链生成的S19文件(摩托罗拉(或现在的飞思卡尔)S-Record)

SREC文件格式详解参考如下:

映像文件工具srec

程序烧录中SREC、Hex、Bin文件格式有啥区别?一文看懂!-面包板社区

对于SREC格式的文件转换成bin文件,可以使用SRecord,ARM buildroot,burner进行转换,这里使用最多的是ARM buildroot,工具的详细使用参考如下:

SRecord转换SREC文件为BIN

SRecord 1.64

burner转换SREC文件为BIN

.s19 文件转换为 .hex 和 .bin文件的方法_hb69222的博客-CSDN博客_.s19

S-Record, Intel Hex and Binary Files

ARM Buildroot转换SREC文件为BIN

Converting S19 Files into Binary Files with GNU objcopy

Cross-compilation toolchains for Linux - armv7-eabihf toolchains

六、在线逆向分析平台

ODA - The Online Disassembler

评论

发表评论

此博客中的热门博文

逆向分析part2-MCU逆向

-
图片
 这里主要介绍MCU逆向分析过程中如何恢复更多的代码,以加快逆向分析的进度和相关代码的准确性 一、前言 在逆向分析MCU固件时,我们获得是MCU芯片中运行的真个固件。MCU的固件其压缩效率是十分恐怖的,可能几兆的固件,它的代码量可能就有百万行,而其中用户自定义进行编写的代码可能仅有几千行,所以,我们还原MCU正向开发过程中的SDK的函数是十分重要的,只有这样我们才能更快的找到用户自己编写的代码。 二、环境准备 在我们逆向分析前,我们需要准备的环境如下: MCU固件(这里使用的是本人正向开发的STM32固件) IDA/Ghidra逆向分析工具 IDA/Ghidra相关的插件 三、逆向分析 这里我们重点介绍如何还原MCU的代码以及最为重要的符号表,但是不可能100%还原和原代码一致的内容。 0x01.IDA逆向分析STM32固件 这里我们有两个固件, .axf 的固件为ELF格式带有符号表的固件, .bin 的固件为不带有符号表的固件,同时也是我们平时遇到的最多的固件。 我们首先使用IDA载入 demo3.axf 带有符号表的固件。 这里可以看到IDA将其直接识别为ELF结构的文件,使用默认的选项即可。 我们可以清晰的看到所有的符号表,这对于逆向分析是最美好的状态,因为通过符号表我们能很快的分析出程序执行的逻辑及功能。但是我们在进行相关的安全研究下是很难获得这种ELF格式的MCU固件的,这种只适用在正向开发过程中进行灰盒测试使用。 接下来,我们看看我们平时获得最多类型的.bin格式的固件,这种固件符号表已经被去除,同时也不是ELF结构的固件了,那么对于这种固件我们如何进行分析呢? 使用file简单查看下demo333.bin固件 发现是data数据。对于这个固件是哪种架构的可以参照对应的芯片手册来确实,因为这个是STM32的固件,因此,可以确定为ARM32架构的。接下来,我们可以使用IDA 32加载固件 这里IDA将其识别为binary文件,我们重新指定芯片类型为ARM小端 接下来,我们指定一下ARM对应的具体架构 接下来,我们需要设置对应的ROM和RAM起始地址,对于这些起始地址,我们一般有以下几种途径获取: 通过芯片手册获取 通过开发项目的参数配置获取 对于摩托罗拉类型的固件,其文件的起始...
阅读全文