Изучаем V3x, патчить прошивку еще рановато, а обсуждать - есть что Поделиться Опции

[yakk]

Хай ну чё начнём 3G мучить?
Немного ссылок:
собственно дока:

MCORERM.pdf   ( 3.62 мегабайт ) Кол-во скачиваний: 1906

модуль для IDA: ссылка с Extracted Internals (там erithion'у спс)
Все ссылки уже блуждали по motofan, но как то разрозненно, надеюсь все желающие патчить таки соберуться в районе этой темы, поскольку в рамках своих тем - там уже нечего обсуждать - RSA сломано, дальше надо думать чё из этого выжать можно...

Сообщение отредактировал yakk - 16.7.2007, 18:21

[Chik_v]

А нет ли такого полезного скриптика для IDA который сам все в код переводит (такого как для ARM ассемблера)? Ато вручную немного геморно переводить, много времени занимает.

[yakk]

А нет ли такого полезного скриптика для IDA который сам все в код переводит (такого как для ARM ассемблера)? Ато вручную немного геморно переводить, много времени занимает.

ну если очень грубо:
subi r0, xx
stm xx-r15, [r0]..
если кто умеет писать код, под mcore - напишите - у меня много времени займет..

Сообщение отредактировал yakk - 17.7.2007, 2:25

[Chik_v]

ну если очень грубо:
subi r0, xx
stm xx-r15, [sp]..

Это ты про что? Наверно мы с тобой немного друг друга не поняли, как с идой работать и что там делать я знаю, просто неудобно что размер прошивки большой, да еще данные вперемешку с кодом.

Для ARM есть специальный скриптик для IDA, который сам находит все участки кода и переводит их в asm.

Сообщение отредактировал Chik_v - 16.7.2007, 19:32

[yakk]

Это ты про что? Наверно мы с тобой немного друг друга не поняли, как с идой работать и что там делать я знаю, просто неудобно что размер прошивки большой, да еще данные вперемешку с кодом.

Для ARM есть специальный скриптик для IDA, который сам находит все участки кода и переводит из в asm.

дык ну побольшому счету - то же самое - я не умею писать скрипты для иды - мне проще плугин написать но это как отпуск будет - а пока - держи то что есть.. я пока руками это делаю - всё времени нет, тока чувствую постарею пока всю прошу пройду..

[Chik_v]

Эх, я наверно уже процента 2 разобрал
Меня интересует как можно различить код это или данные, а скрипт я уж както напишу.

[yakk]

Эх, я наверно уже процента 2 разобрал
Меня интересует как можно различить код это или данные, а скрипт я уж както напишу.

ну смотри из того что я уже успел наловить - данные (в смысле строки, картинки и т.п.) лежат массово в нескольких местах и там уже или руками вычислять или ида сама их пометит. Остальные данные - это в основном адреса, или большие константы Функции всегда (почти) заканчиваются jmp r15 (00 cf), после этого следует или начало новой функции (по опкодам дальше сам смотри) или таблицы адресов, обычно они легко видны (т.к. там часть адресов в прошивку смотрят, ну и часть адресов совсем часто встречаются). Чё ещё - адреса всегда лежат по адресу кратному 4, т.е. если функция заканчивается раньше - там будет затычка небольшая, команды всегда с чётного адреса начинаются (ну это думаю ты и сам понял). Перед началом функций (до манипуляций со стеком) еще могут быть доп. операции - обычно с r1. Хватит такой инфы?
Просто по другому искать код, кроме как искать начало функций - смысла не имеет (imho).

Сообщение отредактировал yakk - 17.7.2007, 2:46

[Cot]

Вы бы лучше облегчили работу GandjaFuzz`у и сделали бы патч на отмену подписей корелетов, раз вы шарите.

[Chik_v]

Cot,
Ты почитал что мы обсуждаем? Какие патчи, мы прошивку еще полностью не дизассемблировали, а без этого, как понимаешь, ничего не получится.

[TrojanWorm]

Для того что бы делать патчи надо разобраться с пршей, знать что откуда вызывается, а без этого никак ну найдем мы что то интересное а не будем знать откуда оно вызываетя, так что пока надо всю прошу дизассемблировать

[Chik_v]

Ну что, пришивки уже никто не колупает, закинули это дело?

Меня вот что интересует...
В прошивке в изобилии водятся строки вида "Entering into function <имя ф-ции>".
и такой вот код:

Код

lrw     r3, <адресс строки>
mov     r14, r4 ; тут код в разных местах разный, наверно передача параметров
movi    r2, 1    
jsri    sub_10E5651A

Я так понял что ф-ция по адресу 10E5651A выводит эти строки кудато, т.к. процу они вроде нафиг не нужны. Мож кто знает куда и зачем?

Сообщение отредактировал Chik_v - 13.8.2007, 19:01

[yakk]

Chik_v
Я так понимаю в итоге они отправятся на logger, хотя ты бы подробнее описал что в той функции и что происходит после её вызова.. Скорее всего это сообщения, которые юзались во время отладки - а вычистить их - лень было .

Сообщение отредактировал yakk - 14.8.2007, 3:56

[Chik_v]

Вот эта ф-ция (названая мною Lprint)

Код

ROM:10E5651A Lprint:                                  CODE XREF: ROM:10486B8Ep
ROM:10E5651A                                          ROM:10486B9Ap ...
ROM:10E5651A
ROM:10E5651A var_20          = -0x20
ROM:10E5651A var_18          = -0x18
ROM:10E5651A var_14          = -0x14
ROM:10E5651A _r15            = -0x10
ROM:10E5651A
ROM:10E5651A                 subi    sp, 0x10
ROM:10E5651C                 stq     r4 - r7, (sp)
ROM:10E5651E                 subi    sp, 0x10
ROM:10E56520                 mov     r4, sp
ROM:10E56522                 st.w    r2, (sp, 0x20+var_18)
ROM:10E56524                 st.w    r3, (sp, 0x20+var_14)
ROM:10E56526                 st.w    r15, (sp, 0x20+var_20)
ROM:10E56528                 addi    r4, 0x10
ROM:10E5652A                 jbsr    sub_10E564A0
ROM:10E5652C                 ld.w    r15, (sp, 0x20+var_20)
ROM:10E5652E                 addi    sp, 0x20
ROM:10E56530                 jmp     r15
ROM:10E56530  End of function Lprint

А вот пример её вызова:

Код

ROM:1048A4C4 AP_Play_OpenMedia:                       CODE XREF: sub_10489476+20Cp
ROM:1048A4C4                                          sub_104899C2+28p ...
ROM:1048A4C4
ROM:1048A4C4 _r12            = -0x10
ROM:1048A4C4 _r13            = -0xC
ROM:1048A4C4 _r14            = -8
ROM:1048A4C4 _r15            = -4
ROM:1048A4C4
ROM:1048A4C4                 subi    sp, 0x10
ROM:1048A4C6                 stm     r12 - r15, (sp)
ROM:1048A4C8                 mov     r13, r3
ROM:1048A4CA                 lrw     r3, aEnteringInt_31
ROM:1048A4CC                 mov     r12, r2
ROM:1048A4CE                 movi    r14, 0
ROM:1048A4D0                 movi    r2, 1
ROM:1048A4D2                 jsri    Lprint         ;раз
ROM:1048A4D4                 mov     r2, r13
ROM:1048A4D6                 movi    r3, 1
ROM:1048A4D8                 jsri    AP_Utility_IsOmaDrmSendServiceReq
ROM:1048A4DA                 cmpnei  r2, 0
ROM:1048A4DC                 jbt     loc_1048A4E6
ROM:1048A4DE                 mov     r2, r12
ROM:1048A4E0                 mov     r3, r13
ROM:1048A4E2                 jbsr    AP_Play_SafelyOpenMedia
ROM:1048A4E4                 mov     r14, r2
ROM:1048A4E6
ROM:1048A4E6 loc_1048A4E6:                            CODE XREF: AP_Play_OpenMedia+18j
ROM:1048A4E6                 lrw     r3, aExitOfFunct_33
ROM:1048A4E8                 movi    r2, 1
ROM:1048A4EA                 mov     r4, r14
ROM:1048A4EC                 jsri    Lprint      ; и два
ROM:1048A4EE                 mov     r2, r14
ROM:1048A4F0                 ldm     r12 - r15, (sp)
ROM:1048A4F2                 addi    sp, 0x10
ROM:1048A4F4                 jmp     r15
ROM:1048A4F4  End of function AP_Play_OpenMedia

т.е. после неё ничего не происходит, никаких проверок и переходов.

А то что не вычистили это хорошо, можно функции попереименовывать, читабельность кода повышается.

[yakk]

В той проше что я сейчас ковыряю убраны все строки из ф-ций AP_***, но, наверняка если расковыряешь поглубже sub_10E564A0 найдешь там вызов одной из реализаций sprintf и последующую передачу результата логгеру..

[Chik_v]

Ых, это опять я
Продал я свой тел... Жалко его
Вот решил я выложить одну штукенцию, с которой я так и не успел разобратся.
По идее это толи обновление GCC, толи набор тулзов для компиляции сишных сорцов под проц M*Core. В общем кому интересно качайте: GNUTOOLS46MCORESW.zip(~27 Mb)

[yakk]

mbv06
Вот ссылка на то же самое непосредственно с сайта Freescale:
GNUTOOLS46MCORESW.zip

[BeZ]

А вообще, что реальноможно той тулзой сделать? Разбирался кто?
Пока патчи вроде и руками делаются ))))

[yakk]

BeZ
Это GNU-тулзы для сборки софта под MCore.
Патчи-то можно и руками делать, а вот дуал-бут руками вряд ли сделаешь.