物联网和智能设备这两年还是比较火的,我们的手中或多或少都有了几个智能设备,比如手环,智能手表,或者门锁什么之类的东西,但是同学们在做逆向的时候,却有很多问题。要不然是根本拿不到固件,要不然是拿到了Bin之后看不懂,这篇文章带大家手把手调教IDA pro,让他逆向无符号的Bin文件。
一、意义
先说一下逆向固件的意义把,一般来说,这种小东西都会和外界有交互,蓝牙,WIFI,网络,4G,zigbee等等,我们逆向出他的协议就可以发现其中的安全问题。比如如果你逆向了一个手环的协议,发现它没有做身份验证或者验证不严谨,就可以批量的影响手环,或者你搞定了一个网络协议,可能发现一个网络的暴露服务,对云平台发起攻击,等等。
我们当然可以从APP上入手去搞,但是这几年,随着APP加固的大面积使用,难度系数正在上升,而硬件上,特别是M系的MCU,为了成本,运算速度和功耗,很少有使用加密一类防御手段的。STM32系列可以使用设置RDP位的方式锁死固件读取,但是这样搞了之后,程序也就没有办法升级了,同时也带来了开发和调试时间上的消耗,面对整分夺秒的市场,使用的还是很少的。(实际上即便是开了防御也是有方法搞的。)
二、通过文件结构使IDA正确反汇编
在开始搞之前,我们先了解一下文件的结构。
大家熟悉的windows或者linux下的可执行文件,里面会包含一些函数信息,也会包含加载基址,段,架构等信息,但是嵌入式设备为了减小flash的占用,这一切统统没有。所以拖进IDA中之后是这个样子的。
IDA会问你,他是什么架构的。
我们可以通过查询芯片信息的方式或得到架构的信息(ARM架构当然是ARM啊),选择使用ARM小端序进行反汇编。
确定进入之后,IDA还会问你一些信息。
IDA会问你,RAM的位置,ROM的位置和加载基址。由于我们什么都不知道,直接按OK进入,等我们拿到了一些信息之后回来改。
进去之后是这个样子的,先别慌,我们还要改一个东西。
M系使用的是ARM的Thumb指令集,所以需要先改为Thumb指令集汇编。按ALT+g,把里面T的值改为0x1.
之后就成了这个样子:
我们先在0x00000000的位置按d,改变IDA的显示位数,到DCB。在0x00000004的位置也一样。
这个时候就要对整个ARM M核心的启动流程有熟悉了,首先,0x00000000位置的值作为栈的SP指针,之后把0x00000004位置的值写入PC指针,也就是芯片上电之后开始的位置。
这个时候,就看出加载基质的作用了,由于加载基地址不明确,我们跳不到0x10001065中去。
我们可以在每个0x2对齐的位置去按C(因为Thumb指令是0x2对齐的),让IDA Pro强行反汇编。
按了几个之后,就会发现整个调用的架构逐渐清晰起来了。
这时候,会发现一些位置的地址是红色的,表示超出索引:
可以看出这两句使用BX的绝对跳转,加载基地址不会小于0x10000000,实际上就是0x10000000.具体加载基址的确定,还是需要研究人员对硬件和架构的熟悉,有很大程度是猜和试的成分。
比如上面的两句话,实际上就是0x00000004地址上的值跳转过来的,0x10001065和0x10001064相差0x1,这是一个历史遗留问题,但是不会产生影响,CPU会自动纠偏。凭借此就可以得出加载基址的位置。
去年KCON,有一个议题就是讲如何自动寻找加载地址,利用的就是固件中一些绝对的加载位置,有兴趣大家可以看一下。
确定了加载地址,我们重新载入之后,就可以看见正常的调用关系了。
之后在还是按照上面的方法,进行操作,由于加载地址是正确的,就可以识别出很多的函数调用关系,我们按C强制让ida pro汇编的地方也会少很多。
里面还会发现一些红色的地址,这就要参考硬件的芯片手册确定意义了。
有一些函数是硬件中断处理函数,由硬件触发,与主线没有调用关系,所以还是会发现一些没有反汇编的代码,手动按C汇编一下就行了。
但是其中的函数没有名字,是这个样子的,很难受:
怎么办呢?由于硬件的底层函数大部分都是标准函数,由芯片厂商提供,因此可以自己搭建一个和目标相同的开发环境,编译一个函数比较全的固件,之后使用bindiff进行函数查找。
我们先写一个函数比较多的程序,之后编译,得到axf文件,使用ida进行反编译
axf文件是有很多辅助信息的,拖入之后ida pro直接可以识别。
反汇编之后,代码结构和函数名可以直接显示出来:
这个时候直接关闭,保存反汇编的结果
打开目标bin文件,恢复出函数结构之后,打开bindiff,加载之前保存的axf文件的反汇编结果。
加载之后:
可以看到函数名的对应关系:
我们也可以简单看一下bindiff的匹配原理是什么,每个匹配的函数,bindiff都会给一个匹配理由。
这样我们就可以使用IDA PRO继续进一步的分析了,希望这篇文章抛砖引玉,可以让大家的研究出更多好玩的东西。
今天下载的NSA刚发布的ghidra 9.0,逆向ARM M也是同一个套路,只不过操作的键位不同。效果如下:
还算可以。
但是他的diff功能更倾向于查找不同点,我暂时还没找到构建函数名索引,目前还是IDA Pro比较好用。
原文作者:backahasten
原文链接:https://bbs.pediy.com/thread-249844.htm
转载请注明:转自看雪学院
更多阅读:
“深入”探索CVE-2018-8174
挖掘ruckus路由器漏洞总结的几个点
漏洞挖掘技术之 AFL 项目分析
穿山甲的菊花开了