Учимся Патчить Прошивку., Дисассемблируем ARM. Поделиться Опции

[Arkasha18]

Всем привет.
И так будем учиться дисассемблировать прошивку. Тут все просто не чего сложного.

Я не буду объяснять как SHX разобрать, надеюсь все знают. Единственное условие… CG0(MemoryMap) должна быть слита с прошивкой, а то не чего не выйдет, т.е. один файл д.б.
--------------------------
ссылка на программу IDA Pro Advanced https://motofan.ru/soft/?action=view&id=246&parent=5
Запускаем IDA , выбираем файл прошивки (CG1), потом выбираем Processor type – ARMB, жмем ок.
Тут ставим галки на Create RAM section и Create ROM section.
Выставляем адреса:
RAM start address - 0x03FC0000
RAM size - 0x40000
ROM start address - 0x10080000
ROM size - 0x1F80000
Loading address - 0x10080000
Остальное оставьте так как есть.
Жмем Ок, и ждем.


По хорошему теперь еще оперативку будет правильно сделать, идем в меню:
Edit>segments>create>segment
Пишем:
Segment name – любое придумайте;
Start address - 0x12000000
End address - 0x12800000
Base – 0

Теперь переходи на сегмент ROM (жмем на Клаве ”g” пишем 10080000, должны перескочить на 10080000 адрес ).
Объявляем dword (жмем Alt-D, потом на кнопку Double word).
у меня это вылезло это

Код

ROM:10080000                 DCD 0x10BCD3D0

Появилось (оранжевым цветом).
Теперь жмем "O" (Буква латинская О ), должен появиться указатель на точку входа
у меня это вылезло это

Код

ROM:10080000                 DCD byte_10BCD3D0

Встаем на этот (byte_10BCD3D0) адрес курсором и жмем на Enter или просто двойной щелчок мышкой по этому адресу, вы перепрыгнете на адрес (10BCD3D0).

И так мы сейчас на 10BCD3D0.
Теперь сморим. ARM умеет работать в 2х режимах:
ARM - режим 32хразрядных опкодов и
THUMB - режим 16тиразрядных опкодов.
Для самой иды режим задается младшим битом адреса опкода.
т.е. если адрес например был бы 10A01D18 - то это был бы опкод в режиме ARM по адресу 10A01D18
а если адрес 10A01D19 то это опкод по адресу 10A01D18 в режиме THUMB
в ARM режиме набор команд более гибкий, но в THUMB за 1 цикл выполняется 2 команды - он быстрее.

Это мне так Vilko объяснял…я конечно же не Х.. не понял, так что буду говорить своими словами.
Нам сейчас надо задать ИДЕ режим в котором мы будем работать.
Мы стоим на адресе 10BCD3D0, если мы посмотрим на этот адрес в двоичной системе исчисления, то будет видно что это 000100000101111001101001111010000, так вот если последний байт – 0, то значит режим ARM, а если 1 – THUMB.
Теперь говорим идее в каком мы режиме будем работать:
Если THUMB то надо встать на один адрес выше, т.е если стояли например на 10BCD3CF этот адрес говорит что режим THUMB, значит встаем на один адрес выше (10BCD3CE) и
жмем (Alt+G) , выбираем ”T”,а в поле Value ставим 1 (режим THUMB).

А если мы бы определили что режим ARM, то на один адрес выше вставать не надо! Просто на этом же адресе жмем (Alt+G) , выбираем ”T”,а в поле Value ставим 0 (режим ARM).

И так…фух…устал уже (
У меня получилась такая картина:

Код

ROM:10BCD3CC                 DCB 0xE7; ч
ROM:10BCD3CD                 DCB 0xF9; •
ROM:10BCD3CE                 DCB    0;  
ROM:10BCD3CF                 DCB    0;  
ROM:10BCD3D0                 CODE32
ROM:10BCD3D0 byte_10BCD3D0   DCB 0xE3        ; DATA XREF: ROM:10080000 o
ROM:10BCD3D1                 DCB 0x21; !
ROM:10BCD3D2                 DCB 0xF0; Ё
ROM:10BCD3D3                 DCB 0xD1; T

У меня режим ARM !
Теперь встаем курсором на ROM:10BCD3D0 и жмем на Клаве ”c” (объявляем код). (кнопку С надо давить на адресе, около которого появилсяь надпись CODE16 или CODE32 в зависимости от режима )
Должен появиться АСМ примерно такого плана.

Код

M:10A01DA4; ---------------------------------------------------------------------------
ROM:10A01DA4                 CODE16
ROM:10A01DA4                 LDR     R1, =0x28880020; DATA XREF: ROM:10BCD424o
ROM:10A01DA6                 LDR     R0, =0x2201
ROM:10A01DA8                 PUSH    {R4,R5,R7,LR}
ROM:10A01DAA                 STMIA   R1!, {R0}
ROM:10A01DAC                 LDR     R0, =0x3011
ROM:10A01DAE                 MOV     R5, #0
ROM:10A01DB0                 STR     R0, [R1]
ROM:10A01DB2                 MOV     R0, #3
ROM:10A01DB4                 ADD     R1, #4
ROM:10A01DB6                 LSL     R0, R0, #0x11
ROM:10A01DB8                 STMIA   R1!, {R0,R5}
ROM:10A01DBA                 MOV     R0, #0

Собственно и все…дальше только остается объявлять код (вызов unk_address)…..и менять режим….режим меняется только после оператора BX.

Ссылка на литературу по ARM.
Краткий справочний по командам ARM. (Это от ARM9 в нашем ARM7 многих команд нет, учтите это)

P.S.
Задавайте вопросы, я понимаю что не чего не понятно, так что не стесняйтесь.

[Евгений89]

Как мне найти во это значение для свой прошивки
DCD 0x12789BE4
патч smooth_clearing_display_105_ACR_RB

Сообщение отредактировал Евгений89 - 9.6.2008, 14:34

[Osta]

Как мне найти во это значение для свой прошивки
DCD 0x12789BE4

уже отвечали .. читай отсюда Учимся Патчить Прошивку! C помощью проги Binedit и до конца

[ANDS]

Может кто-нибудь еще выложит ида только для арма, очень прошу. Все жпрсники вам спасибо скажут..

[DDA-E398]

Хочу поковырять DSP от 49r.Как с помощью IDA разобрать его?

[Fads]

DSP - массив патчей, расположенных в случайном порядке, причем патчей этих около сотни. Никто не знает в каком порядке они грузятся в дсп-проц

Сообщение отредактировал Fads - 20.6.2008, 14:43

[ANDS]

Скажите пожалуйста, с какими параметрами, с какими адресами нужно загружать бут и дуал.

[yakk]

ANDS
Бут начинается с адреса 0x10000000, соответственно нужно установить в иде ROM start address и loading address в 0x10000000. Проц - ARM processors: ARMB.
Загружать дуал в иду совсем не обязательно, можно просто изучать исходники в любом текстовом редакторе.

[ANDS]

yakk, спасибо. Просто дуалы разных версий есть, хочу "найти 10 отличий", eго значит с адресa 0x11FE0000, а RAM нужно создавать?

[yakk]

yakk, спасибо. Просто дуалы разных версий есть, хочу "найти 10 отличий", eго значит с адресa 0x11FE0000, а RAM нужно создавать?

Дуалы для разных моделей размещаются по разным адресам (так что лучше все равно сверятся с исходниками и с опциями компоновки).. RAM для LTE телефонов создаешь как написано в первом посте..

[SteeD]

Я установил ИДУ пытаюсь запустить и вылетает такая ошибка
IDA\cfg\idagui.cfg.174:"OpNumber" = "#" Illegal hotkey

Что мне делать?Может это из-за файла idagui.cfg,его наверное надо заменить?

Сообщение отредактировал SteeD - 28.6.2008, 3:11

[ANDS]

SteeD, cотри эту строчку в конфиге, должно помочь.

[ANDS]

Подскажите плз, вот вижу у людей в ИДА прошивка отображается нормально, с именами функций, а у меня только sub_ loc_ unk_ и т.д. - как это исправить?

[Osta]

как это исправить?

это эльф-прошивка от E398 Some useful stuff for patchers! так отображается.

[ANDS]

И еще хотел спросить, какой максимальной длины должны быть переходы у команд BEQ, B, BL ?

[Osta]

B, BL ?

B=FF
BL = FF FF FF FF

[ANDS]

Osta, я с 45R видел скрины..

[Vilko]

ANDS,
на 45R люди функции ручками именуют. находя по аналогии с эльфом.

[ANDS]

А как найти место в прошивке, откуда идёт обращение к строчке из ленга?

[Osta]

А как найти место в прошивке, откуда идёт обращение к строчке из ленга?

в IDA становишься на ссылку нужной строки ленга и нажимаешь клавишу анг. Х

[SteeD]

Теперь переходи на сегмент ROM (жмем на Клаве ”g” пишем 10080000, должны перескочить на 10080000 адрес ).
Объявляем dword (жмем Alt-D, потом на кнопку Double word).

Нажимаю Double word и вылазит это.
ROM:10080000 DCD unk_11FE0000

Это нормально,если нет,что мне делать???

[-=M@STER=-]

тебе надо прошивка без снятой RSA

[dimonp25]

Здрасьте.Я вот учусь писать\портить патчи на Л7е.Как в проше для функций хранятся картинки,звуки и строчки ленгпака,которые они используют?В виде ссылок на область памяти ?

[SteeD]

-=M@STER=- так вот именно она со снятой RSA.Мне кое-кто говрил что так и должно быть,небуду говорить кто именно,непортить репутацию))))

[Osta]

так вот именно она со снятой RSA.

нужна с неснятой , или пользуйся Бинедитом

Как в проше для функций хранятся картинки,звуки и строчки ленгпака,которые они используют?В виде ссылок на область памяти ?

в виде указателей , я уже расписывал , ищи в ветке "указател"

[SteeD]

Osta
Спасибо

А где же мне ее интересно взять, тут на форуме помоему нет
Если есть дайте плиз ссылку

Сообщение отредактировал SteeD - 14.9.2008, 10:27

[Евгений89]

Опытные люди подскажие: что означает когда в иде адреса подсвечиваются красным цветом?
PS прошивка 373_49r

Сообщение отредактировал Евгений89 - 19.9.2008, 13:39

[Osta]

когда в иде адреса подсвечиваются красным цветом?

запредельные адреса
бывают если нет некоторых кодовых групп , а ссылки на них есть (рам,drm...)

[Евгений89]

странно 0x127E5000 подсвечивается, а 0x127E5004 нет (на скрине в предыдушем посте видно)
загружена cg1 с 0x10080000 по 0x10CFFFFF

Сообщение отредактировал Евгений89 - 19.9.2008, 18:18

[elsysso]

странно 0x127E5000 подсвечивается, а 0x127E5004 нет (на скрине в предыдушем посте видно)
загружена cg1 с 0x10080000 по 0x10CFFFFF

Скорее всего IDA ожидает увидеть данные по адресу 0x127E5000, а у тебя там код.

[Евгений89]

Как добавить какую-нибудь кодовую группу (рам) в иду, если уже cg1 дисассемблирована? чтобы получилось как в эльфе прошивки от е398.

[_lex]

скрипт грузит имена из elfloader.lib

Код

#include <idc.idc>
static main()
{
auto i, sbase, pnt, add, nam, fli;
fli = fopen("elfloader.lib", "rb");
i=readlong(fli, 1);
sbase = 8*i+4;
for (; i>>0; i--)
{
nam=readlong(fli, 1);
add=readlong(fli, 1);
pnt=ftell(fli);
fseek(fli, sbase+nam, 0);
nam=readstr(fli);
fseek(fli, pnt, 0);
if (add&&1)
{
add--;
SetReg(add, "T", 1);
}
MakeNameEx(add, nam, SN_PUBLIC);
MakeCode(add);
}
fclose(fli);
}

[Umka85]

Ещё бы объяснил как пользоваться?

[Джуманджи]

_lex,
молодцом! (= Очень сильно помог людям
Umka85,
-сохраняешь текст в файл с разрешением .idc
-кидаешь файл elfloader.lib в папку, где лежит дизассемблированная проша
-открываешь файл проши, жмешь file - IDC file.. и указываешь путь к скрипту

[Umka85]

Да, классная вещь. Очень удобно. Спасибо.

[-_makar_-]

я чото не понял а при чом тут патчи для прошывок

[Umka85]

Я чот тоже не понял о чем именно ты спрашиваешь.

Если об иде, то идой патчи и делают
Если об скрипте, ктоторый грузит имена из elfloader.lib, то он нужен для именования функций, что удобно при портировании патчей и поиске функций на разных прошивок. Особенно если ищешь функции из эльфа в какой нибудь прошивке.

Да кстати, кто нибудь может исправить глюк и этом скрипте, а то при записи функций арм в иде имена записываються на байт выше положенного. как при режиме тхамб.

[_lex]

'if(add&&1)' - 'if(add&1)'
...достали эти странные языки...

[ANDS]

а наоборот, из иды все адреса с именами функций в файл?


Добавлено позже (3.2.2009, 7:46):
в тот же lib) например для переноса на другую машину или для выкладывания в сети.
кстати почему-то скрипт не сработал, "execution function main..." и все, он для 5ой иды?

[kai...]

Народ, а если декомпильнуть ВСЮ прошу целиком (ROM start address - 0x10000000):
1) Выделяем на диске место (Я смотрел адрес окончания CG 18 и задавал его как конечный)
2) Загоняем по очереди бут, пдс, flash, flex и тд (с учётом [адрес CG в прошивке]-0x10000000)

Я полагаю, что проиграв во времени, можно будет упростить работу в дальнейшем.
Я такой Full CG уже собрал.
(аккуратнее с оперативой, у меня её не хватило, был глюк с исчезанием куска кода.)

Сообщение отредактировал kai... - 2.10.2009, 21:29

[Fenja]

если декомпильнуть ВСЮ прошу целиком

А зачем?