Всем привет.
И так будем учиться дисассемблировать прошивку. Тут все просто не чего сложного.

Я не буду объяснять как SHX разобрать, надеюсь все знают. Единственное условие… CG0(MemoryMap) должна быть слита с прошивкой, а то не чего не выйдет, т.е. один файл д.б.
--------------------------
ссылка на программу IDA Pro Advanced https://motofan.ru/soft/?action=view&id=246&parent=5
Запускаем IDA , выбираем файл прошивки (CG1), потом выбираем Processor type – ARMB, жмем ок.
Тут ставим галки на Create RAM section и Create ROM section.
Выставляем адреса:
RAM start address - 0x03FC0000
RAM size - 0x40000
ROM start address - 0x10080000
ROM size - 0x1F80000
Loading address - 0x10080000
Остальное оставьте так как есть.
Жмем Ок, и ждем.


По хорошему теперь еще оперативку будет правильно сделать, идем в меню:
Edit>segments>create>segment
Пишем:
Segment name – любое придумайте;
Start address - 0x12000000
End address - 0x12800000
Base – 0

Теперь переходи на сегмент ROM (жмем на Клаве ”g” пишем 10080000, должны перескочить на 10080000 адрес ).
Объявляем dword (жмем Alt-D, потом на кнопку Double word).
у меня это вылезло это

Появилось (оранжевым цветом).
Теперь жмем "O" (Буква латинская О ), должен появиться указатель на точку входа
у меня это вылезло это

Встаем на этот (byte_10BCD3D0) адрес курсором и жмем на Enter или просто двойной щелчок мышкой по этому адресу, вы перепрыгнете на адрес (10BCD3D0).

И так мы сейчас на 10BCD3D0.
Теперь сморим. ARM умеет работать в 2х режимах:
ARM - режим 32хразрядных опкодов и
THUMB - режим 16тиразрядных опкодов.
Для самой иды режим задается младшим битом адреса опкода.
т.е. если адрес например был бы 10A01D18 - то это был бы опкод в режиме ARM по адресу 10A01D18
а если адрес 10A01D19 то это опкод по адресу 10A01D18 в режиме THUMB
в ARM режиме набор команд более гибкий, но в THUMB за 1 цикл выполняется 2 команды - он быстрее.

Это мне так Vilko объяснял…я конечно же не Х.. не понял, так что буду говорить своими словами.
Нам сейчас надо задать ИДЕ режим в котором мы будем работать.
Мы стоим на адресе 10BCD3D0, если мы посмотрим на этот адрес в двоичной системе исчисления, то будет видно что это 000100000101111001101001111010000, так вот если последний байт – 0, то значит режим ARM, а если 1 – THUMB.
Теперь говорим идее в каком мы режиме будем работать:
Если THUMB то надо встать на один адрес выше, т.е если стояли например на 10BCD3CF этот адрес говорит что режим THUMB, значит встаем на один адрес выше (10BCD3CE) и
жмем (Alt+G) , выбираем ”T”,а в поле Value ставим 1 (режим THUMB).

А если мы бы определили что режим ARM, то на один адрес выше вставать не надо! Просто на этом же адресе жмем (Alt+G) , выбираем ”T”,а в поле Value ставим 0 (режим ARM).

И так…фух…устал уже (
У меня получилась такая картина:

У меня режим ARM !
Теперь встаем курсором на ROM:10BCD3D0 и жмем на Клаве ”c” (объявляем код). (кнопку С надо давить на адресе, около которого появилсяь надпись CODE16 или CODE32 в зависимости от режима )
Должен появиться АСМ примерно такого плана.

Собственно и все…дальше только остается объявлять код (вызов unk_address)…..и менять режим….режим меняется только после оператора BX.

Ссылка на литературу по ARM.
Краткий справочний по командам ARM. (Это от ARM9 в нашем ARM7 многих команд нет, учтите это)

P.S.
Задавайте вопросы, я понимаю что не чего не понятно, так что не стесняйтесь.

Arkasha18
Выставляем адреса:
RAM start address - 0x03FC0000
RAM size - 0x40000
ROM start address - 0x10080000
ROM size - 0x1F80000
Loading address - 0x10080000

это для всех прошивок?

hobbit19,
Да. т.к. начало у всех одинаковое (ROM start address - 0x10080000)
а RAM тоже
RAM start address - 0x03FC0000
RAM size - 0x40000

Самое плохое это то, что IDA в общем-то плохо умеет сам понимать, где код, а где данные.
Даже если запускать его анализ с EntryPoint, то он подумает-подумает, и определит от силы 1-2% процента кода.

Можно схитрить, выделить часть кода через скроллинг, и нажать C (предварительно выбрав нужный режим).
Тогда он лучше автоматически анализирует, но все. Большие блоки кода он считает данными, и их приходится обрабатывать руками :-(

Второе что плохо - так это сам код прошивки. Из-за особенностей адресации ARM архитектуры, данные и код находится рядом. А иногда таблицы по вызовам процедур прямо в самом коде.

Inlined,
никто и не обещал, что будет легко и что ида сама все сделает :)
руками придется работать ОЧЕНЬ много. и твой метод - выделить все и пометить кодом - далеко не самый лучший и правильный.
правильнее будет идти по ходу выполнения кода и там где у иды цепочка прерывается - подсказывать ей - как найти код дальше...

Добавляю:
Можно так же ориентироваться на примеры по сименам, вот например
http://forum.allsiemens.com/viewtopic.php?...der=asc&start=0
или вот
http://forum.siemens-club.org/viewtopic.php?TopicID=55280

Vilko,


это и ежу понятно, что легко не будет.
этот метод лишь грубая обработка, после которой следует метод ручной обработки. согласись, что он лучше, чем ничего. хоть какую-то часть работы он может сделать - особенно, если если выделять непомногу.

очень хочется еще реализовать такой метод - из прошивки CG0 вытащить все 32-битные значения, находящиеся в ее диапазоне адресов и имеющие значения первых 4 бит - 01,05,09,13 (32bit-align +1)
таких чисел должно быть много, и все они `defacto' - на 95% = указатели на куски THUMB-кода (понятно, почему)
запихать их в IDA - и пусть он их анализует себе часа 2-3. тогда может что путное и выйдет

найти такие куски можно, но вот как их засунуть в IDA я пока не знаю, с его скрипт-языков пока не разбирался.

кроме того, я бы порекомендовал подгружать в IDA не только остальные CG-куски, а еще и обе области RAM.
в процессорную часть RAM копируется определенный код - причем для каждый прошивки разный, по разным адресам и т.п. да и в области основной RAM тоже много важных данных. эти дампы нужно предварительно снять - обязательно на той же версии прошивки.

нет, этот метод скорее все-таки больше навредит, ибо таблица, обозначенная кодом или код не в том режиме только запутает.

ну тогда уж все указатели в пределах прошивки ис младшим битом=1, ибо thumb инструкции выровнены на 16 а не на 32.
но зато сами указатели(эти самые 32-битные значения) как раз будут выровненными на 32.
на самом деле подобное достаточно легко реализуется idc скриптом, но метод надо еще немного оптимизировать, например проверять наличие push в начале кода, на который идет указатель. скоро выложу подобный скрипт...


не, дампы снимать не самый правильный метод. точнее снять дамп "верхней RAM" - 12000000.. можно, а вот нижней - 03FC.... - большая часть затирается загрузчиком при переходе во флеш. НО! в самом начале кода легко находится процедура , всегда одинаковая, и ее таблица, которая перемещает код и данные из флешки в обе RAM, что легко повторяется скриптом IDA memcpy.idc
опять-же на днях будет скрипт, находящий процедуру и таблицы и проводящий все перемещения сам.

Vilko
а вобще какая достоверность кода будет после
дисассемблировании прошивки?
как ее можно повысить ( что бы потом меньше править)?

как и обещал - скриптик, ищущий все потенциальные указатели на thumb код и помещающий их как указатели и код, на который они указывают - как код :)
//


начальный адрес задавать выровненным на 32бита!

Vilko,
Круто :) Ща испробую.

у меня вылезло вот такое
ROM:10080000 DCD unk_1022564F

переходим
ROM:1022564F unk_1022564F DCB 0x70 ; p ; DATA XREF: ROM:10080000o

судя по адресу - режим ARM

встаю на адрес ROM, нажимаю С и получаю...

Command "MakeCode" failed

не. не совсем правильно.
ты видишь адрес 1022564F:
это режим thumb а не arm(адрес нечетный!)
и вставать ты должен на адрес 1022564E, его обозначить как thumb и его пометить как код.

разобрался..
есть неточность в инструкции..

кнопку С надо давить на адресе, около которого появилсяь надпись CODE16 или CODE32 в зависимости от режима

Trog,
дык ты ж координатор :) поправь :))

а как дадбше анализировать и править код??
например для

отключение проверки залоченности ОТП:
10A6325E:
MOV R0,0
BX LR

Trog,
а дальше - анализировать код, пытатся понять(часто с помощью эмулятора) что делает та или иная процедура, искать нужные тебе и думать, что в них ихменить для достижения желаемого результата.

ну эт понятно..
ну вот ты написал в теме Ковырнём Прошивку ...

отмена проверки версии бута:
с 10A01CF6 по 10A01D35 заменяем код NOP'ами

или

отключение проверки залоченности ОТП:
10A6325E:
MOV R0,0
BX LR

вот как это сделать???

Для знающих Инглыш пару ссылок: ;)

http://www.arm.com/miscPDFs/8031.pdf
http://www.heyrick.co.uk/assembler/qfinder.html
http://www.heyrick.co.uk/assembler/index.html
http://www.tek-tips.com/viewthread.cfm?qid=1101136&page=1

http://ipodlinux.org/ARMDev :
http://www.arm.com/pdfs/QRC0001H_rvct_v2.1_arm.pdf - была выше, но эта работает - ARM Instruction Set Quick Reference Card
http://www.arm.com/pdfs/QRC0001H_rvct_v2.1_thumb.pdf - Thumb Instruction Set Quick Reference Card
http://www.arm.com/pdfs/DVI0027B_7_R3.pdf - ARM7TDMI Product Overview
http://www.arm.com/pdfs/DDI0210C_7tdmi_r4p1_trm.pdf - ARM7TDMI Technical Reference Manual
http://www.arm.com/pdfs/DUI0056D_ADS1_2_Dev.pdf - ARM Developer Guide (http://www.arm.com/pdfs/DUI0056D_ADS1_2_Dev.pdf) (Runtime conventions)

ребят, такой вопрос, открыл в иде файл прошивки, правдв ида 4.3, так вот всё расставил, ажреса, сегментацию сделал, но при переходе на 10080000 и про объявлении dword в том месте, где у вас DCD byte_10BCD3D0 у меня DCD 0x11FE0000 почему так? что я сделал не так?