上节初步介绍一些硬件基础知识和分析硬件所需要的基本工具,本篇将讲述利用编程器直接读取芯片固件的方法。
为了读取Flash芯片的内容,有以下两种常用方式:
1、直接将导线连接到芯片的引脚,在通过飞线连接编程器,进行在线读取固件;
通过夹具夹住芯片引脚,然后连接编程器读取芯片内容,通过编程器连接芯片需要注意引脚的顺序,在IC芯片上都会有一个小点,大多数情况下,小点对应的引脚即为芯片的第一脚,而连接编程器的导线也需要插入编程器上相应的引脚。
拆掉门禁外壳,通过电路图和芯片印字分析,在主板上有一颗FM25F04A存储芯片,通过夹具连接芯片到编程器,在通过专用编程器软件,对该芯片进行读取。
连接完成,确定引脚接线正确后,打开编程器对应软件,通过智能识别芯片ID,即可开始读取固件工作。
如无法识别,可根据印字说明,尝试类似的型号,一般情况下兼容。
点击读取,即可开始固件提取,成功之后会保存为BIN格式文件,打开即可看到16进制的内容,为下一步分析提供基础。
拆掉摄像头外壳,通过分析PCB上的各个IC,找到Flash存储芯片。
识别到芯片型号为GD25Q64,点击读取,读取完毕后按照提示保存到文件。
打开外壳,发现PCB上有一颗Flash存储器,但厂商出于安全考虑,把芯片印字涂抹掉了。
在不知道芯片型号的情况下,我们连接该芯片,让编程器去尝试读取。
通过智能识别,发现编程器无法识别出具体型号,而因为Flash存储芯片的种类多样,通过查找又无法获得该路由器的具体参数,这时我们通过UART串口,读取出UBOOT启动信息,串口输出里面发现了该芯片型号为W25Q128BV。(下一篇将会重点介绍关于串口调试的方法)
拆掉外壳,背面嵌有一块PCB,反面是WIFI处理芯片,正面为存储器,连接编程器。
通过印字分析为25芯片,存储大小为2M字节,尝试该型号芯片,成功读取固件。
一般情况下,对于TSOP8封装的闪存芯片,可以用上述方法来读取,但可能存在在线读取成功率不高或数据丢失的情况,对于更多引脚和封装格式的芯片,飞线的难度更高,有一定锡焊基础的建议采用拆焊芯片,用烧录座离线读取的方法。
热风枪设置在适合的温度,吹下芯片,周围的元件可以用铝箔或锡箔纸适当保护。
拆下的闪存芯片放在烧录座上,在连接编程器进行读写,芯片放置的引脚方向要注意对齐编程器和烧录座的第一脚。
读取完成,用点焊法把芯片焊上焊盘即可。
更多芯片焊接修改操作请参考2.4.2 硬件修改一节
首先用热风枪拆下智能锁主控芯片,该单片机型号为:Stm32F103R6。
芯片第一脚对齐烧录座第一脚,然后把Jlink插入烧录座引出的JTAG接口。
电脑上安装好Jlink驱动,打开J-Flash客户端,设置好参数,主要在配置栏选择正确的芯片型号,然后点击连接,在点击Target->Read Back->Entire trip即可读写固件。
名称 | 链接 |
---|---|
《物联网安全百科》 | iot-security.wiki |
伏宸安全实验室 | future-sec.com |
IOT Security | iot-security.org |
Yaseng Blog | yaseng.org |
知乎专栏 | zhuanlan.zhihu.com |
邮箱 | [email protected] |
qq 交流群 | 306482276 |
微信公众号 | |
微信交流群 |