.png)
STMCU小助手
发布时间:2022-12-1 18:00
|
一、概括3 I- m* I: t$ w 用的很久之前做的一个电风扇的课设来做实验。 - `& Z6 }- J. c/ G+ Y: T8 x 
5 l' B: Q$ v0 x2 f2 W 用到了外部中断,定时器中断,pwm。MCU是STM32F103ZET6。3 Q$ O$ W7 q- J2 m g b1 n7 j- I. ^: `% E# _+ P 
+ |" w" B- O6 s, o. b. |2 A9 P6 N $ P+ P+ [" \1 [6 |# s* z% ? 在keil的设置中可以看到固件的起始地址,默认情况下为0x8000000。另外,keil生成的是hex文件,hex文件是带有基地址信息的bin文件,如果我们要生成bin文件,需要进行如下设置:8 t" y* @$ }( f/ s9 m 
6 x. H. P$ A" Z" H6 x X 另外,烧录到mcu中的固件是不带符号表等调试信息的,即hex和bin文件都不带调试信息,因为mcu的内存有限,但keil会单独生成一个带有调试信息的axf文件,我们可以以这个axf文件为基准,对照着恢复bin文件或者hex文件,下面我们来观察一下这三个文件的区别:- U5 j/ m* Z. B. i. e' D 首先是axf文件 
% ~$ u' q$ ~1 ~6 A9 b4 R1 ~ 几乎和源代码一摸一样,除了一些外设名用地址代替了。 再看到hex文件: 
首先需要将架构修改为arm小端序,再修改一下架构版本,stm32f103zet6是cortex-m3内核的,armv7架构。 / Z" `& k5 v# j% @, p# Q $ x; Q8 W' o* l; O 
2 N0 t$ h! G8 k6 n 修改完后加载hex文件。; G( u% l8 ^( u/ _/ F % Q$ d2 \) S ]- f8 Q# d9 \8 H 
& P6 G/ Z5 e& H IDA会自动识别出基地址,能识别出不少函数了,但伪代码是真的难看。# ?4 L% k8 \/ O0 t0 K# B* e! o $ w& v8 }) c# b' ^; J 
1 p' c8 K B% Y; O: z5 M 基本上是看不出个什么东西来。 " j2 P) t5 m) @/ z1 v d; f% L 最后是bin文件。+ L( _9 H/ `$ e& U8 V, I3 Q 
bin文件去除了地址信息的hex文件,需要手动设置基地址。4 t) Z5 v5 h2 ]2 ]+ y 3 t3 ]' h' Y1 V6 j! P3 ` 3 P: L0 ~7 a1 z 二、手动设置固件基地址0 F& w9 f2 \( N* n9 P7 g) m1 _ 我们的分析将以bin文件为目标。, N1 B8 P% R2 m! y4 p 将基地址重设为0x8000000,这个地址怎么来的?可以看stm32f103zet6的datasheet。 9 \$ P' y H( Q' r; q* ~ 
7 L. @5 g$ f+ n( O- ~! w- f% C4 q # p5 B% U" J1 `, F) @ 从0x8000000开始就是flash的空间。- |# {+ w+ i8 _% j6 U( H7 ~ 重新设置加载地址之后再将其按照代码解析就变成了hex文件的样子。' o9 s& {; j' Z$ c$ }! w; k9 | 
" a7 f) g( ^* a; Z + I4 u) g* G6 @ 但此时存在很多标红的地址,这是因为这些地址在IDA中并没有设置,因此IDA将其解析为非法地址,标红了,我们现在要做的就是手动添加一些段。' O/ f0 Q |& r 三、添加SRAM5 A; ?3 V$ x8 s# ?* v 段在axf文件中,IDA解析出了如下几个段: ) K, m: [8 S1 ]" [ 
单片机内存被总分为flash(rom)和sram(ram),flash里面的数据掉电可保存,sram中的数据掉电就丢失,sram的执行速度要快于flash,flash容量大于sram上方的最低内存地址,最高地址,都是在flash和sram中。9 |, @: ~# a( b) [# j 7 G" H: x% F% E% L, a/ C 我们正常下载程序都是下载存储进flash里面,这也是为什么断电可保存的原因。$ }7 n/ E( T6 ^* B& a4 ] 5 R6 R0 o7 n" H% H 单片机的程序存储分为code(代码存储区)、RO-data(只读数据存储区)、RW-data(读写数据存储区) 和 ZI-data(零初始化数据区)* a- u8 L- k. ]; B# P- m Flash 存储 code和RO-data Sram 存储 RW-data 和ZI-data5 q$ ^! F' `" e! z' r9 H - |0 G2 j; I9 Q/ N5 Q2 v, O , H: _5 p( {2 S; ?, A/ C/ m' R 在datasheet中一样可以找到sram的起始地址,为0x20000000,结束地址为0x2000ffff,我们自己添加段不必像IDA自动分析的那样详细,一个sram的段即可。8 I+ s$ T* H* a% _ 也可以在IDA启动时设置好固件加载地址和sram的开始以及结束地址。 添加了sram段之后,红色的非法地址消失了,如下:, X p+ ?7 N6 \# M% c( j* M+ U # F! Y4 R6 D8 k3 i5 ?5 R( R! z 
) F' k& l; ^9 |6 |' t 四、恢复符号表- q7 R6 D( B- O; E% \ 下一步,我们需要恢复符号表,由于bin文件不存在调试信息,所以IDA生成的伪代码几乎没眼看,为了方便我们的逆向,我们需要恢复函数名以及导入一些结构体。在这里就需要用到axf文件。/ [7 h" [% Z# A+ {6 u4 T' c4 x t7 h) V# p 在前面我们看到axf文件几乎和源代码是一样的效果,里面有丰富的调试信息,当然,我们不使用这个课设的axf文件来恢复bin,这样就太刻意了。 由于我这个课设使用的是库函数来开发的,所以就不能使用stm32cube生成的hal库来恢复。具体该怎么恢复?我们采用bindiff来恢复符号表。' T) ` u. C) x* g% d( U 如果有闲工夫或者是对stm32的开发非常上手,就可以自己写一个demo,尽可能多的使用到各种库函数,然后编译出一个axf文件。我这里的话,由于好久没有用stm32了,开发起来有些生疏,所以就不自己手写了,我选择捡现成的项目。我学习stm32的时候买的是xx原子家的开发板,他们提供的例程也是非常丰富的,有五十多个,由易到难,涵盖了stm32开发的方方面面,因此我就直接拿这些例程中的一部分,编译出axf文件。比如下面这个内存分配的例程:8 K% C. j0 q/ G . N& q9 c3 I; |2 c1 _ 又比如这个pwm的例程:) p9 X# Z% k, C) y/ w# V 
可以多选几个例程,能涵盖更多的库函数,将这些axf文件用IDA打开,然后生成idb文件。然后在我们的目标bin文件中,使用bindiff加载idb文件。: I! K- e) W5 }+ ? d8 n* m + G0 w3 n8 M+ M" u) ?$ q 
1 E4 _$ I8 u z 选择一个idb文件,然后会出现这样一个比较界面: 
+ X$ ?) T$ ]- E" k 选取similarity大的函数导入到bin文件中。 
& _( a: e" s' O. [$ y, H/ g * z$ O; h: M& N" a4 p 导入之后实际上就能恢复大部分的函数名了。 
但实际上,由于我这个课设的开发中使用了一些xx原子封装好的初始化函数(相当于xx原子对原本的库函数做了二次开发),例如uart_init,delay_init这两个函数均是二次封装后的函数,所以恢复出来的函数会比一般情况下多一点。 - T6 S& j5 k Y) S* I4 y 多使用几个idb文件进行恢复后,已经可以看了。 - h; G1 z/ O8 H* K6 g% ] 
五、导入SVD文件,恢复外设结构* c, `2 t' B0 \ ! C. a/ I6 A+ j8 j 但这还不够,我们还需要导入SVD文件,啥是SVD文件捏? k6 T; Z, @) J5 D, w) N: B 
* F$ m& ] O7 g: S% F7 S$ N 在IDA7.5以后,就自带SVD文件加载插件了,如下图: : p; z) c7 ]1 `& l* x+ x5 G7 r 0 P }4 c5 z' r1 b. ^; t7 v3 { 
打开之后如下:6 C/ y' R/ @1 [& J. `" D f # v& g. k& O6 k* k( p 
9 U9 N+ L% P0 g9 Y 我们可以自行下载相应的SVD文件,或者加载GitHub上的仓库,我这里选择自行下载然后在本地加载。下载链接是这个:cmsis-svd! D- H: M- {6 u0 G, ? 选中想要加载的svd文件之后,IDA就会自动恢复bin文件中的外设结构,体现在伪代码中就是这样:2 O* J$ w/ j1 j* n/ u" `4 V $ R; p9 o" v: D7 ~0 | 
$ I! {- Z* z8 w7 T8 q9 { 这样: 3 A+ f2 g1 z/ ?$ ^4 Z 
* D; _5 U. @6 m: f1 I, y3 x; p$ K2 H 当然,也不是所有的外设都能恢复,和axf文件中的肯定是有差别的,但对我们的逆向已经起到了很大的作用了。* b2 G$ U( x! O3 a7 P7 s# k. I5 t # E$ q0 V F0 R" D. P0 e) J 到目前位置我们已经做了如下几步:加载bin文件->设置固件加载基地址->添加sram段->恢复符号表->恢复外设信息。程序还原工作已经接近尾声,还剩下最后一步,恢复结构体。 $ k1 z9 S6 `* p. ? 六、恢复结构体. S% z1 e( c5 P( w 打开某个例程的axf文件,可以查看下其中使用的结构体。 
这些结构体中,有TIM_TimeBaseInitTypeDef,NVIC_InitTypeDef,GPIO_InitTypeDef,USART_InitTypeDef,GPIO_TypeDef等是我们经常使用的,用来进行定时器初始化,中断初始化,IO口初始化等等。 我们生成c header file。3 t( p8 F8 C0 u- ~2 _1 f3 h; Z 7 N7 c; f7 A( W* r+ }1 f 
! D- V1 w t; ^8 D) K 然后在bin文件中解析生成的头文件:6 b) J2 Y% p# v' c' A# r 4 ^% k1 x/ q/ u7 m; R' h6 {) K' ~ 
. n$ R A6 H- \8 `* d 然后在local type中就能看到不少结构体了。3 a* Z7 h2 {& \ ; K# H, O- O1 m4 q 
6 X2 y5 S- ~7 x 光导入了结构体还不够,我们还得手动将IDA的伪代码中的变量重新设置类型,怎么确定某个变量的类型是什么呢?需要结合库函数的变量类型来设置。 以GPIO_Init这个函数为例:7 E" n: z6 J6 I: x+ i5 F. Z+ L 3 G4 E, z" f+ j6 X% @ 
. [2 H6 q1 n a" R 我们打开固件库使用手册,找到GPIO_Init的原型。% @& p; w- N* b+ \: v 
可以看到原型为:# o1 j3 _6 I7 }7 H7 F5 q 4 D. Y& ^3 N8 O& z6 A- r8 W' g# k void GPIO_Init(GPIO_TypeDef* GPIOx, GPIO_InitTypeDef* GPIO_InitStruct)" @9 I8 w9 j- O( d8 q( `5 ` ; \" i V' Y5 _5 j! Z 第二个参数为GPIO_InitTypeDef类型的,因此我们将伪代码中的v10的类型修改为GPIO_InitTypeDef,剩下的结构体我们也一样可以使用这样的方法来恢复,只要有固件库函数,我们就能够恢复对应的结构体,效果如下:$ C2 Y/ q( |- ?# ^9 G , ~+ \5 f! e ?- r0 U8 `- W: M ; F$ {' U" y F5 Z$ ~" S 8 `. i' e' I2 B4 p! o. d7 N0 @6 h ( y" c& G2 D- q' g 效果还不错。6 s t- P" @" c 七、总结 此次逆向是基于我的一个小课设,功能不多,而且由于我的课设用到了xx原子的例程二次开发的一些库,而我用来恢复符号表时使用的axf文件也是xx原子的例程编译出来的,所以恢复出来的符号表的比例会偏高。如果能确定使用芯片型号,以及使用的是固件库还是hal库,那么按照此方法大致上能在一定程度上恢复固件,使其可读性大大增加。 ( b# t$ w, o9 W 转载自:Lpwn |
