Учимся Патчить Прошивку., Дисассемблируем ARM. Поделиться Опции

[Arkasha18]

Всем привет.
И так будем учиться дисассемблировать прошивку. Тут все просто не чего сложного.

Я не буду объяснять как SHX разобрать, надеюсь все знают. Единственное условие… CG0(MemoryMap) должна быть слита с прошивкой, а то не чего не выйдет, т.е. один файл д.б.
--------------------------
ссылка на программу IDA Pro Advanced https://motofan.ru/soft/?action=view&id=246&parent=5
Запускаем IDA , выбираем файл прошивки (CG1), потом выбираем Processor type – ARMB, жмем ок.
Тут ставим галки на Create RAM section и Create ROM section.
Выставляем адреса:
RAM start address - 0x03FC0000
RAM size - 0x40000
ROM start address - 0x10080000
ROM size - 0x1F80000
Loading address - 0x10080000
Остальное оставьте так как есть.
Жмем Ок, и ждем.


По хорошему теперь еще оперативку будет правильно сделать, идем в меню:
Edit>segments>create>segment
Пишем:
Segment name – любое придумайте;
Start address - 0x12000000
End address - 0x12800000
Base – 0

Теперь переходи на сегмент ROM (жмем на Клаве ”g” пишем 10080000, должны перескочить на 10080000 адрес ).
Объявляем dword (жмем Alt-D, потом на кнопку Double word).
у меня это вылезло это

Код

ROM:10080000                 DCD 0x10BCD3D0

Появилось (оранжевым цветом).
Теперь жмем "O" (Буква латинская О ), должен появиться указатель на точку входа
у меня это вылезло это

Код

ROM:10080000                 DCD byte_10BCD3D0

Встаем на этот (byte_10BCD3D0) адрес курсором и жмем на Enter или просто двойной щелчок мышкой по этому адресу, вы перепрыгнете на адрес (10BCD3D0).

И так мы сейчас на 10BCD3D0.
Теперь сморим. ARM умеет работать в 2х режимах:
ARM - режим 32хразрядных опкодов и
THUMB - режим 16тиразрядных опкодов.
Для самой иды режим задается младшим битом адреса опкода.
т.е. если адрес например был бы 10A01D18 - то это был бы опкод в режиме ARM по адресу 10A01D18
а если адрес 10A01D19 то это опкод по адресу 10A01D18 в режиме THUMB
в ARM режиме набор команд более гибкий, но в THUMB за 1 цикл выполняется 2 команды - он быстрее.

Это мне так Vilko объяснял…я конечно же не Х.. не понял, так что буду говорить своими словами.
Нам сейчас надо задать ИДЕ режим в котором мы будем работать.
Мы стоим на адресе 10BCD3D0, если мы посмотрим на этот адрес в двоичной системе исчисления, то будет видно что это 000100000101111001101001111010000, так вот если последний байт – 0, то значит режим ARM, а если 1 – THUMB.
Теперь говорим идее в каком мы режиме будем работать:
Если THUMB то надо встать на один адрес выше, т.е если стояли например на 10BCD3CF этот адрес говорит что режим THUMB, значит встаем на один адрес выше (10BCD3CE) и
жмем (Alt+G) , выбираем ”T”,а в поле Value ставим 1 (режим THUMB).

А если мы бы определили что режим ARM, то на один адрес выше вставать не надо! Просто на этом же адресе жмем (Alt+G) , выбираем ”T”,а в поле Value ставим 0 (режим ARM).

И так…фух…устал уже (
У меня получилась такая картина:

Код

ROM:10BCD3CC                 DCB 0xE7; ч
ROM:10BCD3CD                 DCB 0xF9; •
ROM:10BCD3CE                 DCB    0;  
ROM:10BCD3CF                 DCB    0;  
ROM:10BCD3D0                 CODE32
ROM:10BCD3D0 byte_10BCD3D0   DCB 0xE3        ; DATA XREF: ROM:10080000 o
ROM:10BCD3D1                 DCB 0x21; !
ROM:10BCD3D2                 DCB 0xF0; Ё
ROM:10BCD3D3                 DCB 0xD1; T

У меня режим ARM !
Теперь встаем курсором на ROM:10BCD3D0 и жмем на Клаве ”c” (объявляем код). (кнопку С надо давить на адресе, около которого появилсяь надпись CODE16 или CODE32 в зависимости от режима )
Должен появиться АСМ примерно такого плана.

Код

M:10A01DA4; ---------------------------------------------------------------------------
ROM:10A01DA4                 CODE16
ROM:10A01DA4                 LDR     R1, =0x28880020; DATA XREF: ROM:10BCD424o
ROM:10A01DA6                 LDR     R0, =0x2201
ROM:10A01DA8                 PUSH    {R4,R5,R7,LR}
ROM:10A01DAA                 STMIA   R1!, {R0}
ROM:10A01DAC                 LDR     R0, =0x3011
ROM:10A01DAE                 MOV     R5, #0
ROM:10A01DB0                 STR     R0, [R1]
ROM:10A01DB2                 MOV     R0, #3
ROM:10A01DB4                 ADD     R1, #4
ROM:10A01DB6                 LSL     R0, R0, #0x11
ROM:10A01DB8                 STMIA   R1!, {R0,R5}
ROM:10A01DBA                 MOV     R0, #0

Собственно и все…дальше только остается объявлять код (вызов unk_address)…..и менять режим….режим меняется только после оператора BX.

Ссылка на литературу по ARM.
Краткий справочний по командам ARM. (Это от ARM9 в нашем ARM7 многих команд нет, учтите это)

P.S.
Задавайте вопросы, я понимаю что не чего не понятно, так что не стесняйтесь.

[Arkasha18]

Vilko,
Круто :) Ща испробую.

[Trog]

Появилось (оранжевым цветом).
Теперь жмем "O" (Буква латинская О ), должен появиться указатель на точку входа
у меня это вылезло это

у меня вылезло вот такое
ROM:10080000 DCD unk_1022564F

переходим
ROM:1022564F unk_1022564F DCB 0x70 ; p ; DATA XREF: ROM:10080000o

судя по адресу - режим ARM

встаю на адрес ROM, нажимаю С и получаю...

Command "MakeCode" failed

[Vilko]

переходим
ROM:1022564F unk_1022564F DCB 0x70 ; p ; DATA XREF: ROM:10080000o

судя по адресу - режим ARM

встаю на адрес ROM, нажимаю С и получаю...

Command "MakeCode" failed

не. не совсем правильно.
ты видишь адрес 1022564F:
это режим thumb а не arm(адрес нечетный!)
и вставать ты должен на адрес 1022564E, его обозначить как thumb и его пометить как код.

[Trog]

разобрался..
есть неточность в инструкции..

кнопку С надо давить на адресе, около которого появилсяь надпись CODE16 или CODE32 в зависимости от режима

[Vilko]

Trog,
дык ты ж координатор :) поправь :))

[Trog]

а как дадбше анализировать и править код??
например для

отключение проверки залоченности ОТП:
10A6325E:
MOV R0,0
BX LR

[Vilko]

Trog,
а дальше - анализировать код, пытатся понять(часто с помощью эмулятора) что делает та или иная процедура, искать нужные тебе и думать, что в них ихменить для достижения желаемого результата.

[Trog]

ну эт понятно..
ну вот ты написал в теме Ковырнём Прошивку ...

отмена проверки версии бута:
с 10A01CF6 по 10A01D35 заменяем код NOP'ами

или

отключение проверки залоченности ОТП:
10A6325E:
MOV R0,0
BX LR

вот как это сделать???

[GregF]

Для знающих Инглыш пару ссылок: ;)

http://www.arm.com/miscPDFs/8031.pdf
http://www.heyrick.co.uk/assembler/qfinder.html
http://www.heyrick.co.uk/assembler/index.html
http://www.tek-tips.com/viewthread.cfm?qid=1101136&page=1

http://ipodlinux.org/ARMDev :
http://www.arm.com/pdfs/QRC0001H_rvct_v2.1_arm.pdf - была выше, но эта работает - ARM Instruction Set Quick Reference Card
http://www.arm.com/pdfs/QRC0001H_rvct_v2.1_thumb.pdf - Thumb Instruction Set Quick Reference Card
http://www.arm.com/pdfs/DVI0027B_7_R3.pdf - ARM7TDMI Product Overview
http://www.arm.com/pdfs/DDI0210C_7tdmi_r4p1_trm.pdf - ARM7TDMI Technical Reference Manual
http://www.arm.com/pdfs/DUI0056D_ADS1_2_Dev.pdf - ARM Developer Guide (http://www.arm.com/pdfs/DUI0056D_ADS1_2_Dev.pdf) (Runtime conventions)

[KOPAY]

ребят, такой вопрос, открыл в иде файл прошивки, правдв ида 4.3, так вот всё расставил, ажреса, сегментацию сделал, но при переходе на 10080000 и про объявлении dword в том месте, где у вас DCD byte_10BCD3D0 у меня DCD 0x11FE0000 почему так? что я сделал не так?

[GregF]

Небольшая добавка:

Архитектура процессора ARM (внизу страницы PDF)
The ARM Instruction Set Architecture - http://www.arm.com/products/CPUs/architecture.html

[KOPAY]

при чём тут? ведь 10080000 - это начало уже? и у меня оно тоже, или начало это то, что появляется? :)

[KOPAY]

объясните мне, что же я не так делаю? сначала открываю с помощью shx прошивку, убираю галочку с separate затем жму сплит и получаю файл CG1 беру, идой открываю его, выставляю там все адреса, делаю сегментацию. перехожу на начало, кстати, начало ли написано в параметрах файла в shx? так вот заием я перехожу на него, а там та картина, какая и была раньше, переход совершенно не на оот адрес, да и, смотря код весь, там очень много пустоты, какие-то неизвестные мне до этого команды. подскажите кто-нибудь, плиз

[Arkasha18]

KOPAY,
Возъми другую прошивку (не 42, 43 и не 44), другую

[UNLM-Trojan]

Подскажите plz... Можно этими манипуляциями поправить прошивку так, что-бы LangPack она читала начиная из другого адреса... Дело в том, что Лэнг ОЧЕНЬ "жырно" розлегся в прошивке (~1.3 Mb)... Поставить полноэкранное меню в DRM не получится, потому-что мало пространства между ним и LangPack'ом(~786 Kb)... А вот если LangPack обрезать до одного языка и сдвинуть в прошивке, то появится не мало места которое можно забить DRM'ом...

P.S: Прошивка 365...32r

[GregF]

ЛЮЮЮДИ У МУНЯ ИДА48 ПО ССЫЛКЕ НЕ КАЧАЕТСЯ ВЫКИНЬТЕ КТО-НИТЬ ГДЕ ЕЩЕ ВЗЯТЬ,
А ТО Я В НЕТЕ МАКСИМУМ НА МИНУТ 20!!!!
:o

http://samsfan.ru/soft/?action=list&parent=10

[demanishe]

а другой адрес IDA есть?

[FatumNNM]

demanishe, я отсуда скачал: ftp://213.148.6.195/Software/Reversing/

[HolodovAlexey]

Извините за оффтоп... <_<
А что этим можно добиться в итоге? Это непосредственное редактирование исходного кода ОС телефона?
Ещё раз sorry. =)

[aligatro]

Извините за оффтоп... 
А что этим можно добиться в итоге? Это непосредственное редактирование исходного кода ОС телефона?
Ещё раз sorry. =)

Будем патчить проши для поддержки разных форматов звуков(мелодий) к примеру.

[Exebyte]

Exebyte, Через IrDA 100% не получиться.

Когда ещё в придачу и прошу пропатчить для приёма загрузчика через IrDA, то получится...
Говорю прошу, потому как бутлоадер пока для правки недоступен... ;)

Exebyte,
Возможно, как-то получится подключить интересующихся людей, например, отсюда http://forum.sources.ru/index.php?showforum=38

Спасибо.. загляну.. :)

[forpost]

нашел тут интересную статейку http://xtin.km.ru/view.shtml?id=154

[Sinensis]

Вот нарыл еще док:
Описание ARM на русском: http://sub.chipdoc.ru/html.cgi/txt/doc/mic...ndex.htm?fid=12
Книга на английском: http://www.peter-cockerell.net/aalp/html/frames.html

[0vZ]

Вот линки по реверсингу самсунгов на ARM7 (нам тоже многое подойдет)
http://sobakator.samsfan.ru/
Ещё можно поискать хорошую прогу BinEdit, имеет встроенный дизассемблер и ассемблер ARM7, и весит это чудо 0.5 Мб
вот линк, но качать могут только зарегистрированные на этом форуме: http://forum.samsung-mobile.ru/download.php?id=570

[bad-rustamka]

Подскажите плз адрес точки входа в прошу 6fr, а то ИДА выдаёт полнейшую бедиберду, если делать по мануалу, написанному выше

[KOPAY]

да, скажите пожалуйста

2 Exebyte
писал патчи на сименс, хорошие патчи, могу дать их. возможно, по аналогии можно сделать подобие.
могу привести список патчей.

[KOPAY]

ребят, способен ли кто-нибудь из нас написать прогу, которая прозванивала бы конкретную процедуру во время работы телефона и выполняла её?

[Vilko]

KOPAY,
выполняла - легко. а "прозванивала" это что?

[KOPAY]

KOPAY,
выполняла - легко. а "прозванивала" это что?

я это и имел ввиду. т.е. в процессе работы телефона выполнять конкретную процедуру по заданному нами адресу.
Уже есть такая? можешь поделиться, если есть.

[Vilko]

KOPAY,
есть много разных способов запуска.
ты имеешь ввиду просто встройку своей процедуры в какой-либо процесс или принудительный запуск процедуры, инициированный "извне"?

[KOPAY]

второе конечно же.

[Random]

Подскажите плз адрес точки входа в прошу 6fr, а то ИДА выдаёт полнейшую бедиберду, если делать по мануалу, написанному выше

Попробуй 10BE28BC
Скорее всего поможет.

[Vilko]

KOPAY, ну, возможно и это. причем разными способами...
1 - проще, но менее аккуратно: в телефоне есть tci-команда MEMACC, дающая доступ к оперативке в процессе работы. а в оперативке есть таблицы задач, вектора прерываний и прочее. продолжать надо? ;)
2 - сложнее, но "правильнее": добавление патчем в обработчик TCI новой команды, реализующий выделение памяти, загрузку в оперативку и запуск там кода(опционально - добавление этого кода в список работающих процессов телефона).

[Vscz]

Извините, а чем кроме айды чем ещё можно пользоваться. Я лично Хайвив люблю, лежит на этом сайте --> КрекЛаб
Vilko, если сможешь, перебей хайвив под мобилу, чтоб мог всё необходимое делать
(блин тупею, о чем прошу, ну и ладно :) )

[Lezhik]

господа, кто-нибудь пользует иду 4.51 ?
мож там какие лишние крыжики выставить/убрать надо ?
у меня адрес смещения (т.е. DWORD по адресу 10080000h) в любой прошивке (42-48) получается 11FE0000h :(
CG1 вместе с MemoryMap (одним файлом), вобщем, чего перечислять - всё изложенное в 1-ом посте, проделано.

[bad-rustamka]

Я тут кстати статейку одну нашёл, про дизасм прошивки. Там рассказывается на примере гнусмаса х100, но есть линки на полезные для нас скрипты к ИДЕ. Читать здесь

[Stigmata]

Для прошивки 6FR V635 пробовал по совету Random'a точку входа 10BE28BC. Завтра напишу что вышло. Я занимаюсь исследование прошивки на мобилфане. Но там нет поддержки и мало толковых людей. Сегодня случайно наткнулся на этот форум и нашел много полезной информации. Кстати, скрипт который писали раньше подойдет для 6FR? С выравниванием в 32 бита, значит адрес начала например 1000, а конца 1004 или 1008?

[bad-rustamka]

Stigmata,
Лучше АРМ функции скриптом не искать, только хуже будет. А вот THUMB можно. Я когда скрипт запускал, об адресах не заботился, просто указал ему в качестве стартового начальный адрес флехи, а в качестве конечного - конечный флехи, и всё!

[Stigmata]

Я вот еще не много не понял насчет THUMB и ARM функций. Точнее их объявление. Вот смотрите, для примера есть опкод по адресу 10BE28BC (просто для примера), берем последний байт BC в двоичной системе это 1011 1100, значит опкод ARM. И объявляем этот адрес как ARM. Потом следующий опкод по адресу 10BE28BD, последний байт BD, двоичная система - 10111101. Значит Thumb. Но при объявлений Thumb надо перейти на один адрес вверх, то есть на 10BE28BC, а он уже у нас объявлен как ARM. То есть у меня получилось что весь код THUMB. Объясните пожалуйста как делать правильно.

[bad-rustamka]

Заусти приложенный скрипт. В качестве начального адреса указывай 10080000, а в качестве конечного - 12000000, вроде в е398 так было :) Он сам найдёт все ТУМБ функции, а также некоторые АРМ функции ;)
з.ы. Скрипт для ИДЫ