Учимся портировать патчи! Уроки! Обсуждаем!, На основе IDA PRO Поделиться Опции

[Джуманджи]

Metalor,

Урок2. Дизассемблирование.

Пожалуй начнем ковырять прошивку. Используем полезную информацию из раздела ”Учимся Дизассемблировать прошивку”.
Первым делом нам надо получить кодовую группу CG1 из самого файла прошивки. Для разложения файла прошивки по кодовым группам используем замечательную программу Flash@Backup 3. Устанавливаем в Активном профиле свою модель телефона, заходим в раздел ”Обработка прошивок” и Выбираем файл. После обработки файла в таблице слева появится расшифровка кодовых групп по начальным и конечным адресам. Запоминаем диапазон адресов для CG1 в Hex-формате Далее сохраняем с расширением SMG. По умолчанию кодовые группы сохранятся в папку программы \Random's Developments\Flash&Backup 3\Backups. Из нашего последнего Backups извлекаем CG1. С ним и будем работать!
Итак, запускаем IDA pro и открываем сам файл *.smg: File-Open….-тип файлов: All files (*.*) – выбираем наш ****.smg. После этого появляется окошко, в котором надо указать тип процессора – Processor type. Наш выбор – ARM processors: ARMB – почти в самом верху списка. Жмём ОК и мподтверждаем изменение типа процессора. Следующее окно – ”Disassembly memory organization”. Здесь-то нам и пригодятся значения диапазона адресов CG1. Заполняем значения:
RAM:
[V] Create RAM Section
RAM Start Adress – 0x03FC0000
RAM Size - 0x40000

ROM:
[V] Create ROM section
ROM start address – начальный адрес CG1
ROM size – ИДА вычисляет сама

Input file
Loading address – начальный адрес CG1

Остальные позиции оставляем в покое и жмем ОК… Идет процесс загрузки файла в базу..Далее нас IDA предупреждает о наличии двух форматов кода: ARM и THUMB и сама предлагает нам способ определения места нахождения кода. Но мы-то не её советами будем пользоваться! ….Жмем 2 раза ОК и ожидаем загрузки списка строк всей прошивки. Что видем перед собой? А мы видем пока ещё нераспознанный закомпилированный код прошивки в виде зеленой полосы на экране. Пора запускать скрипт распознавания ARM и THUMB команд, т.е. собственно сам процесс дизассемблирования. Воспользуемся файлом скрипта THUMB Big Endian.idc из нижнего закрепления. Заходим в меню: File-IDC file и выбираем наш скриптик. Скрипт попросит ввести начальный адрес CG1. вводим в формате: ROM: нач. адрес CG1. Потом конечный адрес CG1: ROM: кон. Адрес CG1. После этого можно заниматься другими делами и не подходить к компьютеру: процесс дизассемблирования длительный, в несколько проходов – вначале идет распознавание кода (бордовые полоски), потом идет инициализация процедур (синие полоски). Потом ещё проход. Окончание процесса полного дизассемблирования можно заметить по слову ”idle” в нижнем левом углу вместо мельтешащих значений адресов. После окончания процесса дизассемблирования сохраняем нашу базу дизасма. Урок второй закончен – мы должны научиться получать на выходе рабочую базу дизассемблированной прошивки. На следующем уроке будем готовить инструментарий к работе по портированию патчей и искать смещения для патч-кодов!

это для начала сделай, потом если будут вопросы -спрашивай у тебя прошивка не продизассемблирована

Сообщение отредактировал Джуманджи - 2.10.2008, 14:26

[Umka85]

Ну во первых у тебя направильно найден адрес на чистой 372.
Сначала найди его правильно. для этого тебе нужно в 373 на этом адресе нажать кнопку "С", hex превратиться в код, ты увидишь на какой адрес ссылается команда BL F741FE61
Далее тыкнуть два раза на этом адресе, скопировать какую нить неизменяющуюся паттерну найти эту же функцию в 372 проше, вернуться на адрес, ссылающийся на него, клавишей "Х" это и будет "1 адрес", который пойдет в твой патч вместо 0031A87A (только из абсолютного адреса нужно будет вернуться на обычный те вычесть "абс. адрес-10080000" через инженерный калькулятор.
Это ты найдешь тока адрес, далее команда BL F741FE61 это ссылка на какой то адрес прошивки, вот его то искать закалебешься. (самый простой способ через исходник в бинедите) Но если не умеешь...
Для начала нужно пропатчить 373 прошу прямо через иду. Но для этого нужно включить в idagui.cfg "c:\Program Files\IDA\cfg\idagui.cfg" строку DISPLAY_PATCH_SUBMENU вместо NO поставить YES (перезагрузить иду) После этого у тебя появиться меню EDIT > Patch program > Change byte
ставишь курсор на адрес 0031A87A выбираешь меню EDIT > Patch program > Change byte вводишь F7FFFDA9, смотришь на какой адрес перешла проша 373 Переходишь не него, ищешь этот "2 адрес" в проше 372. Теперьче открываешь калькулятор кода в бинедите в адресе вводишь "1 адрес" в мнемонике строку BL 0x2 адрес тебе в коде калькулятор выдаст че то типа F7FFFDD9
Патчишь в иде 372 прошу и проверяешь, на тот ли адрес переход стоит, если да, то ты нашел первую стоку патча.
-------------------------------------------
Теперь посмотри скока ты времени потратил для этого. И запомни через исходник в бинедите будет в несколько раз быстрее.

[Джуманджи]

для этого тебе нужно в 373 на этом адресе нажать кнопку "С", hex превратиться в код,

у тебя код уже продизассмен, "С" надо нажимать, если идет просто "столбик" чисел

[Джуманджи]

на sub_ХХХХХХХ

[Umka85]

Как мне сместиться назад
Нужно не на BX PC курсор ставить, а на рядом (слева) функцию sub_1054B40C и нажимать "х"
И ты неправильно нашел функцию, эти функции нельзя искать, это ссылки на функции. Нужно по этой ссылке пройти на настоящую функцию (ссылка это то что ниже BX PC вида DCD sub_XXXXXXXX+1) вот идешь на адрес sub_XXXXXXXX находишь в 372 проше функцию такую же, и делаешь двойной возврат (ссылок на функцию будет много, по адресу ищи примерно на том же месте)

[Metalor]

Umka85, ещё раз)
Я перешёл на 373_чистой на оффсет 31A87A - там адрес - BL sub_102DC540
Я перешёл на этот адрес - 102DC540. На том адресе было:
sub_102DC540 ; CODE XREF: ROM:102D6E2Ep
ROM:102DC540 ; ROM:102D8EF2p ...
ROM:102DC540 BX PC
ROM:102DC540 ; ---------------------------------------------------------------------------
ROM:102DC542 DCB 0x46 ; F
ROM:102DC543 DCB 0xC0 ; L
ROM:102DC544 ; ---------------------------------------------------------------------------
ROM:102DC544 CODE32
ROM:102DC544
ROM:102DC544 loc_102DC544 ; CODE XREF: sub_102DC540j
ROM:102DC544 B sub_10B07F94
ROM:102DC544 ; End of function sub_102DC540

Следует, что мне нужно перейти на 10B07F94 -
перехожу - выдаёт:
sub_10B07F94 ; CODE XREF: sub_102DC540:loc_102DC544j
ROM:10B07F94 ; sub_10A91854:loc_10A91858j
ROM:10B07F94 CMP R0, #0x7D
ROM:10B07F98 CMPNE R0, #7
ROM:10B07F9C MOV R3, #0
ROM:10B07FA0 MOVEQ R0, R3
ROM:10B07FA4 BXEQ LR
ROM:10B07FA8 STMFD SP!, {R3,LR}
ROM:10B07FAC MOV R3, R2
ROM:10B07FB0 LDR R12, =0x1276B094
ROM:10B07FB4 MOV R2, R1
ROM:10B07FB8 MOV R1, R0
ROM:10B07FBC MOV LR, #1
ROM:10B07FC0 STRB LR, [R12,#0xBD]
ROM:10B07FC4 MOV R0, R12
ROM:10B07FC8 BL sub_10AEA6E4
ROM:10B07FCC LDMFD SP!, {R3,LR}
ROM:10B07FD0 BX LR
ROM:10B07FD0 ; End of function sub_10B07F94

Выделяю sub_10B07F94 (самую верхнюю) - выдаёт - (на скрине)
Что далее?
И объясните пожалуйсто, что адреса, что функции, что комманды, что ссылки на что-либо...
А то я запутался....
(Извените, что так много вопросов задаю, просто хочется всё понять и добить уже))

[Umka85]

Выделяю sub_10B07F94 (самую верхнюю) - выдаёт - (на скрине)

Ну все прально, видишь первый адрес тот самый, с которого ты сюда перешел. Можешь тыкнуть на него и вернешься обратно. Но это нам не надо. Ты дожен найти функцию sub_10B07F94 на проше 372
Вот как найдешь сделаешь тоже самое. ида должна будет тебе вывести тоже 2 адреса и первый из них тебе и нужен будет. Далее нажимаешь "Х" на функции sub_102DC540 только в проше 372 и ищешь нужный тебе адрес

[Metalor]

Umka85, ида поискала енту функцию по всей CG1 и сказало, что патерн не найден(
Pattern is not found
И что, это значит, что патч нельзя портировать??
Или есть ещё какие либо способы по портировке???

[Umka85]

Umka85, ида поискала енту функцию по всей CG1 и сказало, что патерн не найден(

эх ты шутник, ищи лучше. Ты какую паттерну копировал? Нужно искать но тем паттернам, которые не меняються в различных прошах. А лучше всего по строкам отладки, которые поблизости и по ссылкам. Пробуй различные паттерны, я иногда раз по 20 ищу одну функцию. Пробуй и все получиться.

[Metalor]

Я искал по sub_10B07F94 - забил её в поиске по тексту.

Нужно искать но тем паттернам, которые не меняються в различных прошах. А лучше всего по строкам отладки, которые поблизости и по ссылкам.

Вот еси бы я знал, что это ваще)
Я не знаю патерны, одинаковые в прошах, и не знаю где расположены и как выглядят строки отладки) привиди пример пожалуйсто, может я пойму) (или на скрине покажи)

Сообщение отредактировал Metalor - 4.10.2008, 15:08

[Umka85]

Паттерна это строка hex данных и брать её нужно не в этой вкладке (IDA View-A), а во вкладке Hex View-A
вот ставишь курсор на первую строку функции к примеру, переходишь на вкладку Hex View-A копируешь с этого места 6-8 байт, переходишь на 372 прошу, нажимаешь Search > Sequence of Butes ищешь эту паттерну, если много нашел, увеличь колво байт, если ни одной, бери другую паттерну, например с адреса 10B07FB4 и так далее главное BL функции не бери, они всегда разные.

[Metalor]

Я забил паттерну во вкладке по хэкс "01 A0 00 03" - там где на вкладке Иды - "MOVEQ R0, R3" (самой первой - где функции)
Нашёл только одну - схожую такую же как и в 373 (более менее похожую по сравнению с остальными) - на скрине
И несколько других - вида - совсем не похожих с 373 (на скрине)
Теперь мне по 1 возвращать назад по функциям?
Правильно ли я ваще нашёл нужную функцию по паттерне?

[fkcoder]

Metalor, MOVEQ, насколько я помню это арм команды. Нажми alt+g и где написано rom набери 1 и нажми ок и будет режим тумб . чтобы найти функцию я сверху от нее копирую около 16 байт и ищу через бинэдит, ида для меня не очень удобна. Ты бы лучше через бинэдит портировал там все понятно к тому же еще и компилятор есть

[Umka85]

И несколько других - вида - совсем не похожих с 373 (на скрине)

Вот это мне ваще параллельно.

Я тебе говорил нужно 6-8 байт а не 4, четыре тока в крайнем случае.
Ты ваще чушь нашел. Ищи по другим паттернам и сравнивай.

[fkcoder]

Metalor, байт это не одна циферка а две.

[Metalor]

lavmen, СПС, но это я уж знаю (не настолько тупой))
Буду пробовать - отпишусь.
А вообще, с этой идой стоко возни...
Просто ужас! Я порировал раньше просто через хэкс - было гораздо легче)

[Джуманджи]

Metalor,
мой совет, попробуй пока через бинедит, потом переходи на иду

[GALL]

Metalor, слушай, а при чем здесь ида? я приводил общий метод поиска схожих последовательностей разных прошивок, не связанный с платформой декомпилятора. Я не удивлюсь, если ты начнешь такие же тупые вопросы писать в тему про binedit. Принцип поиска схожих последовательностей един, просто в одной среде он ораганизован более удобно и наглядно.

[Umka85]

просто в одной среде он ораганизован более удобно и наглядно.

Не подскажешь в какой именно?
Я вот к бинедиту никак не привыкну, паттерны всегда через иду ищу.

[logotoy73]

В бинэдите удобно по маске искать. Там проще всё и нагляднее. Сразу видно какие байты будут другими, заменяются вопросиками.
Исследовать прошивку конечно лучше в иде, а портировать бинэдитом. Это лишь моё мнение.

[Джуманджи]

Плагин для IDA Pro для совместного reverse engineering

collabREate – это плагин для IDA Pro, позволяющий IDA-реверсерам одновременно «расковыривать» один и тот же бинарный файл. CollabREate состоит из клиентского плагина, который подключается к IDA, начиная с версии 4.9 и до 5.3, а также серверной компоненты, использующей Java/JDBC и СУБД PostgreSQL/MySQL. Когда в любимой IDA включается плагин, она устанавливает соединение с сервером collabREate. Плагин отслеживает сообщения IDA о произведенных действиях, помещая информацию в базу данных сервера. Каждое такое сообщение складывается на сервере и дублируется другим пользователям IDA, работающим над тем же самым проектом. Как видишь, все предельно просто. Причем, любой пользователь может в любой момент отключиться или присоединиться заново: у него будет самая последняя версия файла и история изменений. Во время работы можно создавать так называемые savepoint'ы – своеобразные точки восстановления, к которым всегда можно вернуться, чтобы откатить сомнительные изменения. Такие точки хранятся на сервере, у которого, кстати, есть возможность управления пользователями – подключиться абы кто к проекту не сможет.

Зачем это вообще нужно? Если не брать в расчет профессиональных реверсов, то это отличное средство для обучения крекингу. Более опытный товарищ может наглядно показывать новичку, как и что он делает, каким образом лучше поступить в сложившейся ситуации и пр. Правда, встроенных средств общения в CollabREate нет, но ничего не мешает тебе запустить Skype.

http://www.idabook.com/collabreate
Источник
Думаю удобная прога, не могу разобраться как интегрировать саму прогу

Сообщение отредактировал Джуманджи - 22.11.2008, 17:11

[VEX]

Скрапт не работает почему-то, прошел
Found ....
И сразу Done

У меня тоже самое,пытался дизассемблить прошивку от v3 R374_G_0E.42.17R.Народ подскажите в чём дело?

Джуманджи
если ты имеешь ввиду что скрипт Thumb big endian не пошел на прошивке от v3x - так он и не должен идти. На v3x процессор не ARM. а MCore..

А на v3 процесср ARM,или я ошибаюсь?
Ещё вопрос:

Следующее окно – “Disassembly memory organization”. Здесь-то нам и пригодятся значения диапазона адресов CG1. Заполняем значения:
RAM:
[V] Create RAM Section
RAM Start Adress – 0x03FC0000
RAM Size - 0x40000

ROM:
[V] Create ROM section
ROM start address – начальный адрес CG1
ROM size – ИДА вычисляет сама

Input file
Loading address – начальный адрес CG1

RAM Start Adress и RAM Size теже что в примере или на V3 другие?Если другие то скажите пожалуйста какие.

[fkcoder]

Теже. V3 это LTE, размер и местоположение RAM такие же как на е1

[Charles Manson]

Даже незнаю к кому и обратиться-то. Делаю всё так:
тип процессора указываю ARMB затем

Код

RAM:
[V] Create RAM Section
RAM Start Adress: 0x03FC0000
RAM Size: 0x40000

ROM:
[V] Create ROM section
ROM start address: 10092000
ROM size: 0x00DCE000 //автоматом такое выдаёт

Input file
Loading address: 10092000

, потом как появляется idle в левом нижнем углу запускаю idc-скрипт "THUMB Big Endian.idc" указываю адреса начала ROM:10092000, конца ROM:10E5FFFF, жду пока появится idle. залезаю в окно Functions, а вместо названий ф-ций одни case_XXXX,nullsub_XXXX, да sub_XXXXXXXX. С какими прошивками аналогичные действия не повторял - всё едино. Сейчас точно могу сказать что с:
R4513_G_08.B7.E0R_RB [L7, 10092000-10E5FFFF]
R4513_G_08.B7.DCR_RB [L7, 10092000-10E5FFFF]
R4441D_G_08.01.03R [V3i, 100A0000-1135FFFF]
Прошивки пробовал как не патченные (без снятия РСА), так и патченные (со снятой РСА ес-но)
IDA v5.0.0.879 пробовал как x86 так и x64 .exe'шник (Win7x64)
Где я неправ, подскажите :(

Сообщение отредактировал Charles Manson - 27.4.2010, 19:58

[Fenja]

а вместо названий ф-ций одни case_XXXX,nullsub_XXXX, да sub_XXXXXXXX.

Это нормально.
Если тебе нужны имена функций, то дизасмь эльф от е398 https://motofan.ru/firmware/?action=view&am...5&parent=17

[Джуманджи]

Charles Manson,
у v3i "ROM start address" должен быть не 10092000, а 100A0000

[Fenja]

у v3i "ROM start address" должен быть не 10092000, а 100A0000

R4441D_G_08.01.03R [V3i, 100A0000-1135FFFF]

[Rastаman]

Привет всем Гуру!!! Раскажите пожалуста по подробнее как портировать патчи написаные на языке Си
Есле можно по подробнее
Вот для примера прикреплю исходник

Сообщение отредактировал Rastаman - 26.8.2010, 8:34
Пользователю запрещено создавать сообщения

[Osta]

вначале отредактируй в блокноте конфиг.ини под свою прошивку
замени DEF.SYM на DEF.SYM от своей прошивки

в MidTransfer.c пропиши номера иконок и сим с имеем для своей прошивки

#define DRMRES_SELECTED 0x120000CC
#define DRMRES_APPJAVA 0x120000D0
#define DRMRES_PHONE 0x120000D9
#define DRMRES_TRANSFLASH 0x120000DA
static const UINT32 SEM_IMEI = 0x9CE;


в мейк.бат замени
-ro-base 0x104706C0 -RW-base 0x12503238
на свои


для начала

[Rastаman]

define DRMRES_SELECTED 0x120000CC
#define DRMRES_APPJAVA 0x120000D0
#define DRMRES_PHONE 0x120000D9
#define DRMRES_TRANSFLASH 0x120000DA
static const UINT32 SEM_IMEI = 0x9CE;

-RW-base 0x12503238

Подскажи пожалуста как мне это портировать???
Пользователю запрещено создавать сообщения

[DmT]

epicfacepalm
1)Тебе нужно определить идентификторы ресурсов для своей прошивки.
2)Тебе нужно используя исходную прошивку и исходные адреса найти соответствующие адреса в своей прошивке.

[Osta]

нужно тогда читать основы портирования Путеводитель по ветке PATCHs. Патчи и все для них

[Rastаman]

define DRMRES_SELECTED 0x120000CC
#define DRMRES_APPJAVA 0x120000D0
#define DRMRES_PHONE 0x120000D9
#define DRMRES_TRANSFLASH 0x120000DA
static const UINT32 SEM_IMEI = 0x9CE;

Оперативку портировал а это не могу обясни пожалуста как это зделать с помошю бинэдита
Пользователю запрещено создавать сообщения

[Евгений89]

Код

define DRMRES_SELECTED 0x120000CC
#define DRMRES_APPJAVA 0x120000D0
#define DRMRES_PHONE 0x120000D9
#define DRMRES_TRANSFLASH 0x120000DA

это номера иконок дрм, например берем 0x120000DA отбрасываем 0x1200, а 00DA из hex переводим в dec и получается 218 находишь в своем дрм аналогичную иконку и проделываешь все наоборот

Код

static const UINT32 SEM_IMEI = 0x9CE;

а это посмотри в либе от первого эп адрес SEEM_IMEI и по этому адресу и будет 0x9CE

Сообщение отредактировал Евгений89 - 27.8.2010, 11:52

[Rastаman]

Fenja,
LINK IMAGE
!!!ERROR FROM LINK!!!
GEN BINARY IMAGE
"fromelf" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.
!!!ERROR FROM GEN BINARY!!!
MAKE FPA PATCH
BinToFpa by AzT59 Perm 2007

Use BinToFpa.exe StartAdr InputFile
Example BinToFpa.exe 03FC0000 Test.bin

OK!
Для продолжения нажмите любую клавишу . . .
Пользователю запрещено создавать сообщения

[Fenja]

Rastаman,
fromelf.exe есть в папке, которая прописана в переменных средах?

Скинь fromelf.exe этот файл

fromelf.rar   ( 3.69 килобайт ) Кол-во скачиваний: 164

[Rastаman]

Fenja,
Теперь у меня пишет
LINK IMAGE
!!!ERROR FROM LINK!!!
GEN BINARY IMAGE
Error: Q0122E: Could not open file 'MidTransfer.elf'.
Finished: 0 information, 0 warning and 1 error messages.
!!!ERROR FROM GEN BINARY!!!
MAKE FPA PATCH
BinToFpa by AzT59 Perm 2007

Use BinToFpa.exe StartAdr InputFile
Example BinToFpa.exe 03FC0000 Test.bin

OK!
Для продолжения нажмите любую клавишу . . .

Сообщение отредактировал Rastаman - 1.9.2010, 11:36
Пользователю запрещено создавать сообщения

[Fenja]

Rastаman,
Что написано в log файле? И текст батника в студию.

[Rastаman]

Что написано в log файле? И текст батника в студию.

вот
"armlink" ­Ґ пў«пҐвбп ў­гв७­Ґ© Ё«Ё ў­Ґи­Ґ©
Є®¬ ­¤®©, ЁбЇ®«­пҐ¬®© Їа®Ја ¬¬®© Ё«Ё Ї ЄҐв­л¬ д ©«®¬.


и вот
@ECHO OFF
ECHO LINK IMAGE
armlink -via link2t.lst -scatter scatter.link -Output Tunes.elf 2>err_link.log

fromelf -Bin -output build Tunes.elf



BinToFpa.exe 2CA088 build/Tunes.bin
BinToFpa.exe 2CEE00 build/Graphics.bin
BinToFpa.exe 2C6E28 build/utils.bin
BinToFpa.exe 2C6E08 build/folder.bin
BinToFpa.exe 3E7DA8 build/config.bin

Uniter.exe build/Tunes.fpa build/Graphics.fpa build/utils.fpa build/folder.fpa build/config.fpa build/Reg.fpa

pause


Сообщение отредактировал Rastаman - 1.9.2010, 20:51
Пользователю запрещено создавать сообщения

[CarbonZyn]

и ты портируешь мидтрансфер??где хоть слово в батнике о нем?

Добавлено позже (2.9.2010, 3:18):
где прописанный путь к сдк и к самим исходникам