Учимся портировать патчи! Уроки! Обсуждаем!, На основе IDA PRO Поделиться Опции

[Mixa12]

А когда будет продолжение, а то очень интересно.

[c380гуру]

И про написание и архитектуру эльфов напиши.

[yakk]

И про написание и архитектуру эльфов напиши.

А к чему тут эльфы?? К тому же всё что нужно про структуру эльфов есть в соответствующей теме давным-давно..

[GALL]

Mixa12, когда появятся конкретные вопросы по портированию у заинтересованных - тогда и будет продолжение. А то я так понимаю, что всем всё понятно.

[c380гуру]

К тому же всё что нужно про структуру эльфов есть в соответствующей теме давным-давно..

ткни носом. не увидел в теме про elfloader

[yakk]

c380гуру
Вообще ты вначале не про elfloader спрашивал а про архитектуру - тут Elf на (M)otorola в конце 2 страницы есть пост Vilko с ссылкой на описание структуры эльфов.. И еще в этой теме есть несколько полезных ссылок в закрепленном посте.. Только к портированию патчей твой вопрос всё равно отношения не имеет..

Сообщение отредактировал yakk - 28.8.2007, 21:27

[costello666]

GALL раскажи как в ida редактировать строчки.

[GALL]

costello666, Концепция портирования маленько изменилась. В качестве компилятора используем binedit. В него можно скопировать текст на asm и редактировать в обычном режиме. Для поиска последовательностей я пока использую IDA.

[Nur87]

Заходим в меню: File-IDC file и выбираем наш скриптик. Скрипт попросит ввести начальный адрес CG1. вводим в формате: ROM: нач. адрес CG1. Потом конечный адрес CG1: ROM: кон. Адрес CG1. После этого можно заниматься другими делами и не подходить к компьютеру: процесс дизассемблирования длительный, в несколько проходов – вначале идет распознавание кода (бордовые полоски), потом идет инициализация процедур (синие полоски). Потом ещё проход. Окончание процесса полного дизассемблирования можно заметить по слову “idle” в нижнем левом углу вместо мельтешащих значений адресов.

<br />а вот какое окошко у меня выскакивает, и далее ничего не проходит.<br />

[AlexKooper]

Что тут думать, нажимаете на нижнюю строку (верхняя редактировать скрипт, нижняя запустить), и пошел процесс

[phocos]

thank you very much for your lessons on patch porting. But sometimes when I porting a patch, for example, clock on status bar, some of the code is as follow:

STMFD SP!, {R0-R12}
SUB SP, SP, #0x110
LDR R0, =0x1231A580
LDRB R0, [R0]
LDR R1, =0x1231A57B
LDRB R1, [R1]
ORRS R0, R0, R1
BNE loc_105B307C
this address is not in CG1 or any of the other CGs, how does this address come from and how can I change this address when I porting a patch
I am looking forward to your reply!

[GALL]

phocos, упомянутые тобой адреса,действительно, разные в разных прошивках. Надо просто искать соответствия между ними. Во-первых, надо найти места в прошивке-источнике, где проскакивает этот адрес. Если найдено, то эти найденные места надо идентифицировать в прошивке-приемнике и извлечь используемый адрес. Если в искомой прошивке адрес не найден, это хуже. Часто помогает поиск по 3-м байтам адреса, а не по полным четырем. Потом остается подкорректировать разность между найденным и используемым в патче.

[Джуманджи]

Закрыл "хекс" окно, потом (после недолгих поисков) открыл, но оно стало несогласованным с окном "ИДА" (вроде так оно называется), то есть любой переход в окне раньше "ИДА" дублировался в "хекс" окне, а теперь не дублируется. Как это исправить?

[Osta]

Закрыл "хекс" окно, потом (после недолгих поисков) открыл, но оно стало несогласованным с окном "ИДА" (вроде так оно называется), то есть любой переход в окне раньше "ИДА" дублировался в "хекс" окне, а теперь не дублируется. Как это исправить?

проще "сфотографировать" ответ

[cjValentine]

Скиньте пожалуйста скрипт THUMB Big Endian... а то ссылка уже не работает...

[Umka85]

Держи

Сообщение отредактировал Umka85 - 4.6.2008, 21:20

[mushrom]

На мой взгляд через бинэдит всё гораздо легче...

[mushrom]

как с помощью иды создавать исходник?

[DJ Ibrus]

Все. я сдаюсь несколько раз перечитал. вроде понял. начал дизассемблировать прошивку от своего телефона... прошло около 5 часов пока скрипт сделал свое дело. и это только одна прошивка. потом ради интереса взял наугад патч и решил перейти по адресу патча в иде. а она не хочет. пробовал к адресу прибавлять 10092000(начало CG1) все равно ничего. может кто нибудь меня в ICQ/Jabber проконсультировать по портированию? чувствую своими силами я в этом деле не далеко уползу...

[Umka85]

Найди меня 289-577-429 помогу

[Джуманджи]

У V3x начало оперативки
0x03FC0000 и
0x40000
соответсвенно ил другие?

[yakk]

У V3x начало оперативки
0x03FC0000 и
0x40000
соответсвенно ил другие?

на v3x и прочих телах на POG оперативка начинается от 0x08000000.

[Джуманджи]

Скрапт не работает почему-то, прошел
Found ....
И сразу Done

[yakk]

Джуманджи
если ты имеешь ввиду что скрипт Thumb big endian не пошел на прошивке от v3x - так он и не должен идти. На v3x процессор не ARM. а MCore..

Сообщение отредактировал yakk - 24.7.2008, 16:18

[Джуманджи]

yakk,
что-то такого нет. Похоже только Motorola series: ColdFire . Ида пятая

[yakk]

yakk,
что-то такого нет. Похоже только Motorola series: ColdFire . Ида пятая

В стандартной поставке IDA Pro нету такого процессорного модуля - Motorola M-Core.. Поищи на форуме, я где-то его выкладывал.. И в той же теме вроде выкладывал и документацию на процессор..

[Джуманджи]

yakk,
Спасибо! (= Вот решил выложить, потому что искать придется долго.
Добавил сырцы, закачать не могу - диалап
Сырцы к 4.8
Сырцы к 5.0

Добавлено позже (24.7.2008, 23:26):
дизасмит совсем чуть. В чем может быть проблема?

Сообщение отредактировал Джуманджи - 24.7.2008, 19:27

[yakk]

дизасмит совсем чуть. В чем может быть проблема?

Если загружено все на правильные адреса - то скорее всего никакой проблемы.. Надо просто набраться терпения и дизасмить вручную, указывая иде на какаих адресах находится код.
Насколько я знаю никаких скриптов для автоматизации этого процесса на mcore никто не писал.. Вообще можно посмотреть еще тему про эльфлоадер на v3x, оттуда можно взять адреса найденных функций с названиями.. а дальше - все равно вручную все делать.

[Джуманджи]

MIG~,
Дизасм Ганжи не могу скачать, на работе закрыты все файловые обменники, а дома диалап. На сайте Chik_v не нашел

[Chik_v]

Тут он http://mcore.ks.ua/files/R252211LD_U_85_9B_E6P.rar

[Джуманджи]

Metalor,

Урок2. Дизассемблирование.

Пожалуй начнем ковырять прошивку. Используем полезную информацию из раздела ”Учимся Дизассемблировать прошивку”.
Первым делом нам надо получить кодовую группу CG1 из самого файла прошивки. Для разложения файла прошивки по кодовым группам используем замечательную программу Flash@Backup 3. Устанавливаем в Активном профиле свою модель телефона, заходим в раздел ”Обработка прошивок” и Выбираем файл. После обработки файла в таблице слева появится расшифровка кодовых групп по начальным и конечным адресам. Запоминаем диапазон адресов для CG1 в Hex-формате Далее сохраняем с расширением SMG. По умолчанию кодовые группы сохранятся в папку программы \Random's Developments\Flash&Backup 3\Backups. Из нашего последнего Backups извлекаем CG1. С ним и будем работать!
Итак, запускаем IDA pro и открываем сам файл *.smg: File-Open….-тип файлов: All files (*.*) – выбираем наш ****.smg. После этого появляется окошко, в котором надо указать тип процессора – Processor type. Наш выбор – ARM processors: ARMB – почти в самом верху списка. Жмём ОК и мподтверждаем изменение типа процессора. Следующее окно – ”Disassembly memory organization”. Здесь-то нам и пригодятся значения диапазона адресов CG1. Заполняем значения:
RAM:
[V] Create RAM Section
RAM Start Adress – 0x03FC0000
RAM Size - 0x40000

ROM:
[V] Create ROM section
ROM start address – начальный адрес CG1
ROM size – ИДА вычисляет сама

Input file
Loading address – начальный адрес CG1

Остальные позиции оставляем в покое и жмем ОК… Идет процесс загрузки файла в базу..Далее нас IDA предупреждает о наличии двух форматов кода: ARM и THUMB и сама предлагает нам способ определения места нахождения кода. Но мы-то не её советами будем пользоваться! ….Жмем 2 раза ОК и ожидаем загрузки списка строк всей прошивки. Что видем перед собой? А мы видем пока ещё нераспознанный закомпилированный код прошивки в виде зеленой полосы на экране. Пора запускать скрипт распознавания ARM и THUMB команд, т.е. собственно сам процесс дизассемблирования. Воспользуемся файлом скрипта THUMB Big Endian.idc из нижнего закрепления. Заходим в меню: File-IDC file и выбираем наш скриптик. Скрипт попросит ввести начальный адрес CG1. вводим в формате: ROM: нач. адрес CG1. Потом конечный адрес CG1: ROM: кон. Адрес CG1. После этого можно заниматься другими делами и не подходить к компьютеру: процесс дизассемблирования длительный, в несколько проходов – вначале идет распознавание кода (бордовые полоски), потом идет инициализация процедур (синие полоски). Потом ещё проход. Окончание процесса полного дизассемблирования можно заметить по слову ”idle” в нижнем левом углу вместо мельтешащих значений адресов. После окончания процесса дизассемблирования сохраняем нашу базу дизасма. Урок второй закончен – мы должны научиться получать на выходе рабочую базу дизассемблированной прошивки. На следующем уроке будем готовить инструментарий к работе по портированию патчей и искать смещения для патч-кодов!

это для начала сделай, потом если будут вопросы -спрашивай у тебя прошивка не продизассемблирована

Сообщение отредактировал Джуманджи - 2.10.2008, 14:26

[Umka85]

Ну во первых у тебя направильно найден адрес на чистой 372.
Сначала найди его правильно. для этого тебе нужно в 373 на этом адресе нажать кнопку "С", hex превратиться в код, ты увидишь на какой адрес ссылается команда BL F741FE61
Далее тыкнуть два раза на этом адресе, скопировать какую нить неизменяющуюся паттерну найти эту же функцию в 372 проше, вернуться на адрес, ссылающийся на него, клавишей "Х" это и будет "1 адрес", который пойдет в твой патч вместо 0031A87A (только из абсолютного адреса нужно будет вернуться на обычный те вычесть "абс. адрес-10080000" через инженерный калькулятор.
Это ты найдешь тока адрес, далее команда BL F741FE61 это ссылка на какой то адрес прошивки, вот его то искать закалебешься. (самый простой способ через исходник в бинедите) Но если не умеешь...
Для начала нужно пропатчить 373 прошу прямо через иду. Но для этого нужно включить в idagui.cfg "c:\Program Files\IDA\cfg\idagui.cfg" строку DISPLAY_PATCH_SUBMENU вместо NO поставить YES (перезагрузить иду) После этого у тебя появиться меню EDIT > Patch program > Change byte
ставишь курсор на адрес 0031A87A выбираешь меню EDIT > Patch program > Change byte вводишь F7FFFDA9, смотришь на какой адрес перешла проша 373 Переходишь не него, ищешь этот "2 адрес" в проше 372. Теперьче открываешь калькулятор кода в бинедите в адресе вводишь "1 адрес" в мнемонике строку BL 0x2 адрес тебе в коде калькулятор выдаст че то типа F7FFFDD9
Патчишь в иде 372 прошу и проверяешь, на тот ли адрес переход стоит, если да, то ты нашел первую стоку патча.
-------------------------------------------
Теперь посмотри скока ты времени потратил для этого. И запомни через исходник в бинедите будет в несколько раз быстрее.

[Джуманджи]

для этого тебе нужно в 373 на этом адресе нажать кнопку "С", hex превратиться в код,

у тебя код уже продизассмен, "С" надо нажимать, если идет просто "столбик" чисел

[Джуманджи]

на sub_ХХХХХХХ

[Umka85]

Как мне сместиться назад
Нужно не на BX PC курсор ставить, а на рядом (слева) функцию sub_1054B40C и нажимать "х"
И ты неправильно нашел функцию, эти функции нельзя искать, это ссылки на функции. Нужно по этой ссылке пройти на настоящую функцию (ссылка это то что ниже BX PC вида DCD sub_XXXXXXXX+1) вот идешь на адрес sub_XXXXXXXX находишь в 372 проше функцию такую же, и делаешь двойной возврат (ссылок на функцию будет много, по адресу ищи примерно на том же месте)

[Metalor]

Umka85, ещё раз)
Я перешёл на 373_чистой на оффсет 31A87A - там адрес - BL sub_102DC540
Я перешёл на этот адрес - 102DC540. На том адресе было:
sub_102DC540 ; CODE XREF: ROM:102D6E2Ep
ROM:102DC540 ; ROM:102D8EF2p ...
ROM:102DC540 BX PC
ROM:102DC540 ; ---------------------------------------------------------------------------
ROM:102DC542 DCB 0x46 ; F
ROM:102DC543 DCB 0xC0 ; L
ROM:102DC544 ; ---------------------------------------------------------------------------
ROM:102DC544 CODE32
ROM:102DC544
ROM:102DC544 loc_102DC544 ; CODE XREF: sub_102DC540j
ROM:102DC544 B sub_10B07F94
ROM:102DC544 ; End of function sub_102DC540

Следует, что мне нужно перейти на 10B07F94 -
перехожу - выдаёт:
sub_10B07F94 ; CODE XREF: sub_102DC540:loc_102DC544j
ROM:10B07F94 ; sub_10A91854:loc_10A91858j
ROM:10B07F94 CMP R0, #0x7D
ROM:10B07F98 CMPNE R0, #7
ROM:10B07F9C MOV R3, #0
ROM:10B07FA0 MOVEQ R0, R3
ROM:10B07FA4 BXEQ LR
ROM:10B07FA8 STMFD SP!, {R3,LR}
ROM:10B07FAC MOV R3, R2
ROM:10B07FB0 LDR R12, =0x1276B094
ROM:10B07FB4 MOV R2, R1
ROM:10B07FB8 MOV R1, R0
ROM:10B07FBC MOV LR, #1
ROM:10B07FC0 STRB LR, [R12,#0xBD]
ROM:10B07FC4 MOV R0, R12
ROM:10B07FC8 BL sub_10AEA6E4
ROM:10B07FCC LDMFD SP!, {R3,LR}
ROM:10B07FD0 BX LR
ROM:10B07FD0 ; End of function sub_10B07F94

Выделяю sub_10B07F94 (самую верхнюю) - выдаёт - (на скрине)
Что далее?
И объясните пожалуйсто, что адреса, что функции, что комманды, что ссылки на что-либо...
А то я запутался....
(Извените, что так много вопросов задаю, просто хочется всё понять и добить уже))

[Umka85]

Выделяю sub_10B07F94 (самую верхнюю) - выдаёт - (на скрине)

Ну все прально, видишь первый адрес тот самый, с которого ты сюда перешел. Можешь тыкнуть на него и вернешься обратно. Но это нам не надо. Ты дожен найти функцию sub_10B07F94 на проше 372
Вот как найдешь сделаешь тоже самое. ида должна будет тебе вывести тоже 2 адреса и первый из них тебе и нужен будет. Далее нажимаешь "Х" на функции sub_102DC540 только в проше 372 и ищешь нужный тебе адрес

[Metalor]

Umka85, ида поискала енту функцию по всей CG1 и сказало, что патерн не найден(
Pattern is not found
И что, это значит, что патч нельзя портировать??
Или есть ещё какие либо способы по портировке???

[Umka85]

Umka85, ида поискала енту функцию по всей CG1 и сказало, что патерн не найден(

эх ты шутник, ищи лучше. Ты какую паттерну копировал? Нужно искать но тем паттернам, которые не меняються в различных прошах. А лучше всего по строкам отладки, которые поблизости и по ссылкам. Пробуй различные паттерны, я иногда раз по 20 ищу одну функцию. Пробуй и все получиться.

[Metalor]

Я искал по sub_10B07F94 - забил её в поиске по тексту.

Нужно искать но тем паттернам, которые не меняються в различных прошах. А лучше всего по строкам отладки, которые поблизости и по ссылкам.

Вот еси бы я знал, что это ваще)
Я не знаю патерны, одинаковые в прошах, и не знаю где расположены и как выглядят строки отладки) привиди пример пожалуйсто, может я пойму) (или на скрине покажи)

Сообщение отредактировал Metalor - 4.10.2008, 15:08