Учимся Патчить Прошивку., Дисассемблируем ARM. Поделиться Опции

[Arkasha18]

Всем привет.
И так будем учиться дисассемблировать прошивку. Тут все просто не чего сложного.

Я не буду объяснять как SHX разобрать, надеюсь все знают. Единственное условие… CG0(MemoryMap) должна быть слита с прошивкой, а то не чего не выйдет, т.е. один файл д.б.
--------------------------
ссылка на программу IDA Pro Advanced https://motofan.ru/soft/?action=view&id=246&parent=5
Запускаем IDA , выбираем файл прошивки (CG1), потом выбираем Processor type – ARMB, жмем ок.
Тут ставим галки на Create RAM section и Create ROM section.
Выставляем адреса:
RAM start address - 0x03FC0000
RAM size - 0x40000
ROM start address - 0x10080000
ROM size - 0x1F80000
Loading address - 0x10080000
Остальное оставьте так как есть.
Жмем Ок, и ждем.


По хорошему теперь еще оперативку будет правильно сделать, идем в меню:
Edit>segments>create>segment
Пишем:
Segment name – любое придумайте;
Start address - 0x12000000
End address - 0x12800000
Base – 0

Теперь переходи на сегмент ROM (жмем на Клаве ”g” пишем 10080000, должны перескочить на 10080000 адрес ).
Объявляем dword (жмем Alt-D, потом на кнопку Double word).
у меня это вылезло это

Код

ROM:10080000                 DCD 0x10BCD3D0

Появилось (оранжевым цветом).
Теперь жмем "O" (Буква латинская О ), должен появиться указатель на точку входа
у меня это вылезло это

Код

ROM:10080000                 DCD byte_10BCD3D0

Встаем на этот (byte_10BCD3D0) адрес курсором и жмем на Enter или просто двойной щелчок мышкой по этому адресу, вы перепрыгнете на адрес (10BCD3D0).

И так мы сейчас на 10BCD3D0.
Теперь сморим. ARM умеет работать в 2х режимах:
ARM - режим 32хразрядных опкодов и
THUMB - режим 16тиразрядных опкодов.
Для самой иды режим задается младшим битом адреса опкода.
т.е. если адрес например был бы 10A01D18 - то это был бы опкод в режиме ARM по адресу 10A01D18
а если адрес 10A01D19 то это опкод по адресу 10A01D18 в режиме THUMB
в ARM режиме набор команд более гибкий, но в THUMB за 1 цикл выполняется 2 команды - он быстрее.

Это мне так Vilko объяснял…я конечно же не Х.. не понял, так что буду говорить своими словами.
Нам сейчас надо задать ИДЕ режим в котором мы будем работать.
Мы стоим на адресе 10BCD3D0, если мы посмотрим на этот адрес в двоичной системе исчисления, то будет видно что это 000100000101111001101001111010000, так вот если последний байт – 0, то значит режим ARM, а если 1 – THUMB.
Теперь говорим идее в каком мы режиме будем работать:
Если THUMB то надо встать на один адрес выше, т.е если стояли например на 10BCD3CF этот адрес говорит что режим THUMB, значит встаем на один адрес выше (10BCD3CE) и
жмем (Alt+G) , выбираем ”T”,а в поле Value ставим 1 (режим THUMB).

А если мы бы определили что режим ARM, то на один адрес выше вставать не надо! Просто на этом же адресе жмем (Alt+G) , выбираем ”T”,а в поле Value ставим 0 (режим ARM).

И так…фух…устал уже (
У меня получилась такая картина:

Код

ROM:10BCD3CC                 DCB 0xE7; ч
ROM:10BCD3CD                 DCB 0xF9; •
ROM:10BCD3CE                 DCB    0;  
ROM:10BCD3CF                 DCB    0;  
ROM:10BCD3D0                 CODE32
ROM:10BCD3D0 byte_10BCD3D0   DCB 0xE3        ; DATA XREF: ROM:10080000 o
ROM:10BCD3D1                 DCB 0x21; !
ROM:10BCD3D2                 DCB 0xF0; Ё
ROM:10BCD3D3                 DCB 0xD1; T

У меня режим ARM !
Теперь встаем курсором на ROM:10BCD3D0 и жмем на Клаве ”c” (объявляем код). (кнопку С надо давить на адресе, около которого появилсяь надпись CODE16 или CODE32 в зависимости от режима )
Должен появиться АСМ примерно такого плана.

Код

M:10A01DA4; ---------------------------------------------------------------------------
ROM:10A01DA4                 CODE16
ROM:10A01DA4                 LDR     R1, =0x28880020; DATA XREF: ROM:10BCD424o
ROM:10A01DA6                 LDR     R0, =0x2201
ROM:10A01DA8                 PUSH    {R4,R5,R7,LR}
ROM:10A01DAA                 STMIA   R1!, {R0}
ROM:10A01DAC                 LDR     R0, =0x3011
ROM:10A01DAE                 MOV     R5, #0
ROM:10A01DB0                 STR     R0, [R1]
ROM:10A01DB2                 MOV     R0, #3
ROM:10A01DB4                 ADD     R1, #4
ROM:10A01DB6                 LSL     R0, R0, #0x11
ROM:10A01DB8                 STMIA   R1!, {R0,R5}
ROM:10A01DBA                 MOV     R0, #0

Собственно и все…дальше только остается объявлять код (вызов unk_address)…..и менять режим….режим меняется только после оператора BX.

Ссылка на литературу по ARM.
Краткий справочний по командам ARM. (Это от ARM9 в нашем ARM7 многих команд нет, учтите это)

P.S.
Задавайте вопросы, я понимаю что не чего не понятно, так что не стесняйтесь.

[KOPAY]

второе конечно же.

[Random]

Подскажите плз адрес точки входа в прошу 6fr, а то ИДА выдаёт полнейшую бедиберду, если делать по мануалу, написанному выше

Попробуй 10BE28BC
Скорее всего поможет.

[Vilko]

KOPAY, ну, возможно и это. причем разными способами...
1 - проще, но менее аккуратно: в телефоне есть tci-команда MEMACC, дающая доступ к оперативке в процессе работы. а в оперативке есть таблицы задач, вектора прерываний и прочее. продолжать надо? ;)
2 - сложнее, но "правильнее": добавление патчем в обработчик TCI новой команды, реализующий выделение памяти, загрузку в оперативку и запуск там кода(опционально - добавление этого кода в список работающих процессов телефона).

[Vscz]

Извините, а чем кроме айды чем ещё можно пользоваться. Я лично Хайвив люблю, лежит на этом сайте --> КрекЛаб
Vilko, если сможешь, перебей хайвив под мобилу, чтоб мог всё необходимое делать
(блин тупею, о чем прошу, ну и ладно :) )

[Lezhik]

господа, кто-нибудь пользует иду 4.51 ?
мож там какие лишние крыжики выставить/убрать надо ?
у меня адрес смещения (т.е. DWORD по адресу 10080000h) в любой прошивке (42-48) получается 11FE0000h :(
CG1 вместе с MemoryMap (одним файлом), вобщем, чего перечислять - всё изложенное в 1-ом посте, проделано.

[bad-rustamka]

Я тут кстати статейку одну нашёл, про дизасм прошивки. Там рассказывается на примере гнусмаса х100, но есть линки на полезные для нас скрипты к ИДЕ. Читать здесь

[Stigmata]

Для прошивки 6FR V635 пробовал по совету Random'a точку входа 10BE28BC. Завтра напишу что вышло. Я занимаюсь исследование прошивки на мобилфане. Но там нет поддержки и мало толковых людей. Сегодня случайно наткнулся на этот форум и нашел много полезной информации. Кстати, скрипт который писали раньше подойдет для 6FR? С выравниванием в 32 бита, значит адрес начала например 1000, а конца 1004 или 1008?

[bad-rustamka]

Stigmata,
Лучше АРМ функции скриптом не искать, только хуже будет. А вот THUMB можно. Я когда скрипт запускал, об адресах не заботился, просто указал ему в качестве стартового начальный адрес флехи, а в качестве конечного - конечный флехи, и всё!

[Stigmata]

Я вот еще не много не понял насчет THUMB и ARM функций. Точнее их объявление. Вот смотрите, для примера есть опкод по адресу 10BE28BC (просто для примера), берем последний байт BC в двоичной системе это 1011 1100, значит опкод ARM. И объявляем этот адрес как ARM. Потом следующий опкод по адресу 10BE28BD, последний байт BD, двоичная система - 10111101. Значит Thumb. Но при объявлений Thumb надо перейти на один адрес вверх, то есть на 10BE28BC, а он уже у нас объявлен как ARM. То есть у меня получилось что весь код THUMB. Объясните пожалуйста как делать правильно.

[bad-rustamka]

Заусти приложенный скрипт. В качестве начального адреса указывай 10080000, а в качестве конечного - 12000000, вроде в е398 так было :) Он сам найдёт все ТУМБ функции, а также некоторые АРМ функции ;)
з.ы. Скрипт для ИДЫ

[Stigmata]

bad-rustamka, Спасибо все получилось. Только для 6fr надо указывать конечный адрес не 12000000, а 11F80000. (0x10080000+0x1F00000=11F80000). Так, дальше. Прошивка вся дизассемблировалась. Есть один вопрос. В середине, и особенно в конце есть большие куски данных, которые не определены никак. Структура их такова:

Код

ROM:102898FE                 DCB 0x55; U
ROM:102898FF                 DCB 0x53; S
ROM:10289900                 DCB 0x42; B
ROM:10289901                 DCB 0x20
ROM:10289902                 DCB 0x52; R
ROM:10289903                 DCB 0x53; S
ROM:10289904                 DCB 0x32; 2
ROM:10289905                 DCB 0x33; 3
ROM:10289906                 DCB 0x32; 2
ROM:10289907                 DCB    0
ROM:10289908                 DCB 0x49; I
ROM:10289909                 DCB 0x52; R
ROM:1028990A                 DCB 0x44; D
ROM:1028990B                 DCB 0x41; A
ROM:1028990C                 DCB    0

То есть идет строка, потом завершающий ноль (я имею ввиду не \n, а байт 0). Как это все грамотно объявить как данные, чтобы потом можно было найти по cross reference (надеюсь все знают что такое перекрестная ссылка) где эти данные в коде используются.

[Stigmata]

Забыл одну вещь, в которой новички могут сделать ошибку. Пример:

Код

ROM:10289948                 DCB 0x53; S
ROM:10289949                 DCB 0x4D; M
ROM:1028994A                 DCB 0x41; A
ROM:1028994B                 DCB 0x52; R
ROM:1028994C                 DCB 0x54; T
ROM:1028994D                 DCB 0x20
ROM:1028994E                 DCB 0x41; A
ROM:1028994F                 DCB 0x55; U
ROM:10289950                 DCB 0x44; D
ROM:10289951                 DCB    0

Новички могут подумать, что строка заканчивается по адресу ROM:1028994D, а дальше идет еще одна, другая. На самом деле нет, просто 0x20 = пробел, а строка всегда завершается нулем (нулевым байтом)

[bad-rustamka]

Stiqmata,
А какой вопрос собсно? Про ссылки? Понимаешь ли, сейчас у тебя есть дизасм отнюдь не всей прошивки, очень много АРМ кода так просто не найдёшь. Так вот, если бы был код, который обращается к той строке, то она сама пометилась бы как данные для той процедурки ;) И ещё, у тебя эти строки отображаются в List of strings? Там есть параметры поиска строк, попробуй настроить, лучше будет ;)

[Dr. Medic]

Вопрос не совсем в тему. Один мой знакомый на тел. с 650 дизасемблировал прошивку и вместо стандартного кодека вставил кодек ogg. Возможно ли вставить такой же в прошивку e 398?

[lv333]

Вопрос не совсем в тему. Один мой знакомый на тел. с 650 дизасемблировал прошивку и вместо стандартного кодека вставил кодек ogg. Возможно ли вставить такой же в прошивку e 398?

Извини конечно, но помоему твой знакомый гонит :)
Для того что бы это зделать надо переписать прошивку заново по сути off_topic;

[Random]

Кодеки вообще в DSP находятся, так что твой знакомый говорит не правду.

[Алекс75]

Возможно вопрос немного не в тему.Но почему бы не начать с простого.Например звук и видео,а конкретнее их редактирование.Ведь размер например gain_table 000003E7 вероятно его исходник получить проще?

[bad-rustamka]

Алекс75,
что ты хотел этим сказать? Типа найти место в прошивке, где идёт декодирование аудио\видео? Я над этим 2 месяца бьюсь, вроде нашёл, но ничего важного

[Алекс75]

bad-rustamka,
Нет я имел ввиду не совсем это.Всем известно что данные файлы отвечают за настройки звука(gain_table) и настройки камеры(param_table) но на данный момент кроме как наугад,методом тыка ничего исправить нельзя.Правда уже кой какая информация есть,накопилась так сказать, но очень много пробелов.Вот я и имею ввиду что возможно проще будет получить исходный код в данных файлах?Там же наверняка есть не только код но и данные или в них только параметры и ничего более?Или для того что бы знать какой байт за что отвечает в данных файлах необходимо дисасемблить прошивку?
P.S.Поиск конечно рулит но как говорится лучше идти по протореной дороге)))Дайте линки на хорошие мануалы по диссасемблированию прошивы.

Сообщение отредактировал Алекс75 - 16.4.2006, 16:13

[bad-rustamka]

Алекс75,
Ну конечно, чтобы точно знать, надо прошивку дизассемблировать. Хороший мануал - в этой теме, на первой странице. Ещё стучись ко мне в асю, может чем помогу. Я тут вроде пару скриптов выкладывал, они тоже помогут ;)

[..Strik3r..]

Добрый вечер всем и с праздником.
У меня проблема с Идой. Вобщем, имеется shx файл от прошивки 08r - включает в себя Ram downloader и SG1.
Запускаю IDA 4.9, выбираю любой тип файла, и потом открываю shx. Ида спрашивает - хотите ли вы, чтобы формат оперделился автоматически? Я говорю да. После чего открывается окно, в котором я выбираю тип процессора - ARMB и жму ОК. В следующем окне ставлю нужные галочки, и ввожу адреса из первого поста этой темы. жму ок - вылетает ошибка и ида закрывается. Прилагаю скрин. В чем дело?

[Dimka]

..Strik3r.., я хоть этим и не занимаюсь, но ведь очевидно, что дизасемблировать надо не shx, а бинарник! Через SHXCoDEC распакуй shx и полученный smg CG1 уже дизасемблируй.

[..Strik3r..]

Dimka, ты гений =)) Чето я ступил

[..Strik3r..]

Вот еще вопрос.
Я не буду объяснять как SHX разобрать, надеюсь все знают. Единственное условие… CG0(MemoryMap) должна быть слита с прошивкой, а то не чего не выйдет, т.е. один файл д.б
1) CG0 - это же RAM Downloader?
2) Разбираю в СШХКодеке СШХ файл. Появляются СМГ файлы. СМГ фалы открываются IDA.. Но как объеденить SG1 и SG0 в 1 SMG? Или как собрать из них бин?

Не игнорируйте пожалуйста.

[3dway]

Разбираю в СШХКодеке СШХ файл. Появляются СМГ файлы. СМГ фалы открываются IDA.. Но как объеденить SG1 и SG0 в 1 SMG? Или как собрать из них бин

В shxcodec вверху не должна стоять галочка около separate. Если она не стоит,то тогда memory map сливается вместе с cg1, и такой файл можно дизасемблировать с помощью IDA.

[..Strik3r..]

3dway, спасибо что откликнулся =)) Но bad-rustamka, это сделал раньше =))

[SK8Azot]

Выложите пожалуйста заново прогу IDA или вышлите на майл ivan-xp@yandex.ru ато у меня не качается. :(

[eklim]

Выложите пожалуйста заново прогу IDA или вышлите на майл ivan-xp@yandex.ru ато у меня не качается. :(

http://cracklab.ru/

[KQ_44]

Может кому сгодятся исходники сиих творений:
Flash-tools is a set of Free Software utilities that allow you to flash and acquire data logs from Motorola P2k handsets
http://flash-tools.jerryweb.org/

he library allows user space applications to access any USB device on Windows in a generic way without writing any line of kernel driver code
http://libusb-win32.sourceforge.net/

[KQ_44]

Немного ссылок для "писателей":

http://www.geocities.com/SiliconValley/Hub.../arm/index.html
NARM - An ARM Assembler based on the NASM x86 assembler

http://www.heyrick.co.uk/assembler/index.html

http://homepage.ntlworld.com/g.mccaughan/g/software.html

http://www.raisonance.com/products/STR7.php
ARM STR7 (ARM7) RIDE, GNU C Compiler, GNU Assembler, GNU Linker, Simulator/Debugger, RFlasher

http://www.ecoscentric.com/ - free RTOS

http://www.vitanuova.com/solutions/embedded/index.html - Inferno is a small and powerful operating system, ideal for use in embedded devices.

http://www.freertos.org/ - FreeRTOSTM is a portable, open source, mini Real Time Kernel

http://www.armclub.org.uk/

http://rtos.com/page/product.php?id=2 - ThreadX is Express Logic's advanced Real-Time Operating System

http://bossos.tivi.net.pl/ - BossOS is a multitasking, priority based kernel for use
in embedded designs (for the ARM Processor Architecture ).

http://www.localcolorart.com/encyclopedia/ARM_family/

http://www.phoenix-rtos.org/

http://arm.convergencepromotions.com/catalog/m_acore.htm

http://www.hitex.com/download.html

http://www.armkits.com/downcenter/software.asp
http://www.armkits.com/Product/ide2005.asp

http://www.rowley.co.uk/crossworks/Downloads.htm

http://www.gnuarm.org/

http://armboot.sourceforge.net/

http://www.davidsharp.com/tarmac/

http://www.arm.linux.org.uk/

http://www.pinknoise.demon.co.uk/ARMinstrs/index.html

http://www.nohau.com/spec_sheets/specarm.html

http://www.lynuxworks.com/?ck=59

http://www.microcross.com/html/gnu_x-tools.html
http://www.microcross.com/html/visual_x-tools.html

http://www.debian.org/ports/arm/

http://www.ee.ic.ac.uk/pcheung/teaching/ee2_computing/

http://www.siwawi.arubi.uni-kl.de/avr_projects/arm_projects/

http://sourceforge.net/projects/devkitpro

[KQ_44]

Нужон файл "pelf.exe" из ИДы старше 4.8! В 4.8 он глюкавый.
Не советуйте качнуть ИДу 4.9, уже есть 5.0.

[KQ_44]

Думаю, многие встречались с сигнатурами в ИДе.
Многие пораскопали вкусности в прошивке.
Так может пора шлепать сигнатуры и не маятся ...?
Есть даже 2 плагина: idb2pat и idb2sig.

Проши не так то и отличаются!
Можно же на новую положить сигнатуры и посмотеть отличия!

Да и описание API не помешает!?

Хотелось бы знать, какое реальное кол-во народа
МОЖЕТ и ХОЧЕТ переписать ПО?
Не затруднит ли вас написать сюда хоть строчку
и очертить ваш круг интересов?
Тип тела и прошивки большого значения не имеет.

[Arkasha18]

KQ_44,
ТЯжеловато....не кажеться?

[KQ_44]

Arkasha18,
Дивные вы люди! Не попробовав уже боитесь!


Интересно! Что нужно, чтоб у вас перестали трястись поджилки?

Ладно! Раскажу детям сказку:
Переписать весь код действительно не просто, хотя бы потому, что некоторые процедуры подразумевают 100% знание протоколов GSM, GPRS и т.д. Но есть же базовые процедуры того же VRTXmc, работы с некоторым железом, с файловой системой которые вызываются постоянно. Может мегабайты кода мы и не выиграем, но уж поверте - можем выжать немного быстродействия.

Как пример - функция:
push {R4, LR}
mov R4,R1
mov R1,R4
BL (что-то там)
pop {R4}
pop {R3}
BX R3
Это не выдумка, а реальный кусок кода! Компилятор честно выполнил то, что от него хотели! Но нам то это зачем?
Можно же заменить:
BL (что-то там)

И если каждый возьмет на себя хоть кусочек кода по своим интересам (все равно же копаемся, анализируем), будет толк!

Хотя не спорю, просто переписать в виде сишного текста легче... :(

[Vilko]

Хотя не спорю, просто переписать в виде сишного текста легче...

увы, как раз после сишного кода и получается вышеприведенный тобой текст :)

[Arkasha18]

Я боюсь что таких людей маловато..которые действительно понимают ASM, но попробывать стоит конечно..

[KQ_44]

Может кому пригодится скрипт под IDA для изготовления сигнатур.
Становишся курсором на процедуру и запускаеш скрипт.
Результат - файлик в той же директории что и обрабатываемый IDB с расширением .рат и названием процедуры в имени.
Из известных глюков: с некоторыми ИДовскими базами глючат ИДовские процедуры работы с массивами. Как результат - не помечаются изменяемые байты.

И еще, если у кого есть ЭЛЬФЫ, то попытка натравить на них прогу pelf.exe может дать не очень хороший результат. Причина: некорректная обработка длинных джампов в THUMB режиме. Его формат FXXXFYYY, где XXX и YYY - изменяемые байты. А этот глупый программ в этой комманде помечает изменяемыми только последние три байта. Как результат, полученная сигнатура глючит. Ниже, корректный вариант pelf.exe.

[Vilko]

KQ_44,
хороший скриптик... :)
я такой начал в свое время писать но как-то забил...

[KQ_44]

2Vilko:
Я этот скрипт скомпилил из 2-х плагинов: idb2sig и idb2pat.
Моя там только оптимизация под скрипт,
по этому и никаких копирайтов и т.п.

И там внутрях 2 параметра:
минимальный размер обрабатываемой функции - в ИДе по дефолту 4, в плагинах было 10. Очень хитрый штук...
размер первой(основной) сигнатурной строки - в ИДе по дефолту 32, я взял тоже значение. Может стоит поднять до 64...?
Так с ними полезно поиграться, может кто найдет оптилальные размеры.

[Vilko]

KQ_44,
наверно есть смысл выгружать сигнатуры в несколько проходов, увеличивая этот размер. тогда бОльший % попаданий будет...
хотя с другой стороны короткие процедурки все равно отсеятся - слишком часто "пересечения" на них...