Учимся Патчить Прошивку., Дисассемблируем ARM. Поделиться Опции

[Arkasha18]

Всем привет.
И так будем учиться дисассемблировать прошивку. Тут все просто не чего сложного.

Я не буду объяснять как SHX разобрать, надеюсь все знают. Единственное условие… CG0(MemoryMap) должна быть слита с прошивкой, а то не чего не выйдет, т.е. один файл д.б.
--------------------------
ссылка на программу IDA Pro Advanced https://motofan.ru/soft/?action=view&id=246&parent=5
Запускаем IDA , выбираем файл прошивки (CG1), потом выбираем Processor type – ARMB, жмем ок.
Тут ставим галки на Create RAM section и Create ROM section.
Выставляем адреса:
RAM start address - 0x03FC0000
RAM size - 0x40000
ROM start address - 0x10080000
ROM size - 0x1F80000
Loading address - 0x10080000
Остальное оставьте так как есть.
Жмем Ок, и ждем.


По хорошему теперь еще оперативку будет правильно сделать, идем в меню:
Edit>segments>create>segment
Пишем:
Segment name – любое придумайте;
Start address - 0x12000000
End address - 0x12800000
Base – 0

Теперь переходи на сегмент ROM (жмем на Клаве ”g” пишем 10080000, должны перескочить на 10080000 адрес ).
Объявляем dword (жмем Alt-D, потом на кнопку Double word).
у меня это вылезло это

Код

ROM:10080000                 DCD 0x10BCD3D0

Появилось (оранжевым цветом).
Теперь жмем "O" (Буква латинская О ), должен появиться указатель на точку входа
у меня это вылезло это

Код

ROM:10080000                 DCD byte_10BCD3D0

Встаем на этот (byte_10BCD3D0) адрес курсором и жмем на Enter или просто двойной щелчок мышкой по этому адресу, вы перепрыгнете на адрес (10BCD3D0).

И так мы сейчас на 10BCD3D0.
Теперь сморим. ARM умеет работать в 2х режимах:
ARM - режим 32хразрядных опкодов и
THUMB - режим 16тиразрядных опкодов.
Для самой иды режим задается младшим битом адреса опкода.
т.е. если адрес например был бы 10A01D18 - то это был бы опкод в режиме ARM по адресу 10A01D18
а если адрес 10A01D19 то это опкод по адресу 10A01D18 в режиме THUMB
в ARM режиме набор команд более гибкий, но в THUMB за 1 цикл выполняется 2 команды - он быстрее.

Это мне так Vilko объяснял…я конечно же не Х.. не понял, так что буду говорить своими словами.
Нам сейчас надо задать ИДЕ режим в котором мы будем работать.
Мы стоим на адресе 10BCD3D0, если мы посмотрим на этот адрес в двоичной системе исчисления, то будет видно что это 000100000101111001101001111010000, так вот если последний байт – 0, то значит режим ARM, а если 1 – THUMB.
Теперь говорим идее в каком мы режиме будем работать:
Если THUMB то надо встать на один адрес выше, т.е если стояли например на 10BCD3CF этот адрес говорит что режим THUMB, значит встаем на один адрес выше (10BCD3CE) и
жмем (Alt+G) , выбираем ”T”,а в поле Value ставим 1 (режим THUMB).

А если мы бы определили что режим ARM, то на один адрес выше вставать не надо! Просто на этом же адресе жмем (Alt+G) , выбираем ”T”,а в поле Value ставим 0 (режим ARM).

И так…фух…устал уже (
У меня получилась такая картина:

Код

ROM:10BCD3CC                 DCB 0xE7; ч
ROM:10BCD3CD                 DCB 0xF9; •
ROM:10BCD3CE                 DCB    0;  
ROM:10BCD3CF                 DCB    0;  
ROM:10BCD3D0                 CODE32
ROM:10BCD3D0 byte_10BCD3D0   DCB 0xE3        ; DATA XREF: ROM:10080000 o
ROM:10BCD3D1                 DCB 0x21; !
ROM:10BCD3D2                 DCB 0xF0; Ё
ROM:10BCD3D3                 DCB 0xD1; T

У меня режим ARM !
Теперь встаем курсором на ROM:10BCD3D0 и жмем на Клаве ”c” (объявляем код). (кнопку С надо давить на адресе, около которого появилсяь надпись CODE16 или CODE32 в зависимости от режима )
Должен появиться АСМ примерно такого плана.

Код

M:10A01DA4; ---------------------------------------------------------------------------
ROM:10A01DA4                 CODE16
ROM:10A01DA4                 LDR     R1, =0x28880020; DATA XREF: ROM:10BCD424o
ROM:10A01DA6                 LDR     R0, =0x2201
ROM:10A01DA8                 PUSH    {R4,R5,R7,LR}
ROM:10A01DAA                 STMIA   R1!, {R0}
ROM:10A01DAC                 LDR     R0, =0x3011
ROM:10A01DAE                 MOV     R5, #0
ROM:10A01DB0                 STR     R0, [R1]
ROM:10A01DB2                 MOV     R0, #3
ROM:10A01DB4                 ADD     R1, #4
ROM:10A01DB6                 LSL     R0, R0, #0x11
ROM:10A01DB8                 STMIA   R1!, {R0,R5}
ROM:10A01DBA                 MOV     R0, #0

Собственно и все…дальше только остается объявлять код (вызов unk_address)…..и менять режим….режим меняется только после оператора BX.

Ссылка на литературу по ARM.
Краткий справочний по командам ARM. (Это от ARM9 в нашем ARM7 многих команд нет, учтите это)

P.S.
Задавайте вопросы, я понимаю что не чего не понятно, так что не стесняйтесь.

[KQ_44]

Vilko,
Согласен!

[arnoldus]

KQ_44 ты говорил о дисплее не можешь подробнее разъяснить где там это хозяйство?

[KQ_44]

arnoldus,
Извини, немного подзабыл.
Это по поводу "сколько на сколько дисплей"?

[arnoldus]

да, про него

[KQ_44]

arnoldus,
Хорошо, я гляну и сегодня/завтра скажу.

[KQ_44]

arnoldus,
Извини, не досмотрел. Уж очень все в прошивке запутано.
Каких-либо процедур по чтению разрешения экрана из железа, как говорил Vilko, так и не нашел.
Зато нашел разрешение прописанным в прошивке, причем для GUI и Java отдельно.
100%-й гарантии дать конечно не могу, надо пробовать.
Если есть желание это делать - пиши!

[arnoldus]

да, кинь все что относится к этому, а опрос железа тут не катит, всетаки мелкая система, и под каждое устройство драйвер пишется индивидуально и они все в проше

[KQ_44]

arnoldus,
Извини, просто упустил момент, когда появилось твое сообщение.
Так просто сбросить не могу - надо риал-тайм где-нить в чате. :(

[NeOXiN]

Ребята, а где взять справочник по ассемблерным командам - ведь ассемблер компа отличается от телефонного.

[lonely_poet]

Кому интересно, даю прямой линк на BinEdit

[arnoldus]

KQ_44 пиши в асю

[Rahanz]

1. а никто не находил координат часов (цифровых нам мнтересно)?

2. и собсвенно процедуры печати этих самых часов ?

3. никто так и не начал комментировать найденные процедуры в прошивке для облегчения народных мучений ???

[mutacipa]

Помогите пожалуйста! Вот решил разковырять прошивку 12I, но не могу деассамблировать... Делаю всё как написано в статье, но у меня появляется по адресу 10080000 после объявления

Код

double word: ROM:10080000                 DCD 0x50324B20

Что делать? Слил cg1 правильно...

[GandjaFuzz]

mutacipa,
скачай скрипт на 1-ой странице
запусти его ида всё сама за тебя сделает...
и да сг1 надо сливать с мемори мап

[mutacipa]

GandjaFuzz,
так я делал как написано! В начале отделил CG1(SHXCodec, убрал галочку с "Separate"), ввёл все адреса, а в итоге появляется что то другое А так хочу разобраться в прошивке! Есть какие нибудь книги по IDA?

[~Gangs2er~]

Кому интересно, даю прямой линк на BinEdit

А инуструкшн по этой проге кто нить дайте!!!! Буду очень благодарен!!!

[~Gangs2er~]

ХМ! ужо не надо вот если кому надо ссылочку интерестную!!! http://sobakator.samsfan.ru

[dzhek]

А что даст нам эта деассамблириация или как там правельно сказать.

Извините за вопрос,просто хочу начать получать полезные знания и что нибудь собрать

[~Gangs2er~]

dzhek, читай тему с первой страницы и вниикай!!!!

[Алекс75]

Кстати поделитесь ссылками на полезные ресурсы по программированию на асме Желательно для не особо продвинутых в этом вопросе юзеров

[sasha45]

А может кто-нибудь дать адреса для 4513_....ABR?

[IronMaster]

Алекс75,
Программная среда ARM (с) Mnemo
Вот довольно интересная дока на русском языке

[sasha45]

Скажте пожалуйста, делая все по инструкции у меня появляется странная вещь (см. изобр), это так и должно быть или нет?

[Vilko]

sasha45,
да, лолжно

[sasha45]

Vilko, спасибо большое. А можно еще один вопрос, как среди этого узнать что делает тот или другой кусок кода?

[Vilko]

sasha45,
обычно - тщательно его(тот или иной кусок) изучив

[КотенокСоШрамом]

Всем привет... Есть предложение - написать эмулятор AMR процессора на Delphi... Довольно нетрудная задача, учитывая то, что вся инфа из телефона в прошивке, т.е. сэмулировать работу телефона можно вполне, то есть хотя бы загрузку (я так понимаю она начинается с точки входа?) и т.д. Единственное - все это будет вслепую, т.е. эмуляция проца с данными телефона будет, но содержимое экрана телефона не будет видно, т.к. неизвестна область памяти, отвечающая за содержимое экрана... Дальше - просканировать область данных на предмет видеопамяти (просто тупо строить изображения и искать в них нечто осмысленное). Что касается анализа точек входа прерываний клавы (если такие там есть) - после поиска видеопамяти такое тоже реально... Да и дизассемблер сделать тоже можно - не пара пустяков конечно, но решаемо. В принципе и не обязательно - можно параллельно IDA юзать. А из этой затеи можно разматывать клубок - находить конкретные функции тела, как например реализацию шрифтов, вывода различной беды типа даты, опсоса и т.п. (контроллируя обращения опкодов к видеопамяти). Возьмемся? ICQ 214781655

Добавлено позже (14.4.2007, 20:51):
Всем привет... Есть предложение - написать эмулятор AMR процессора на Delphi... Довольно нетрудная задача, учитывая то, что вся инфа из телефона в прошивке, т.е. сэмулировать работу телефона можно вполне, то есть хотя бы загрузку (я так понимаю она начинается с точки входа?) и т.д. Единственное - все это будет вслепую, т.е. эмуляция проца с данными телефона будет, но содержимое экрана телефона не будет видно, т.к. неизвестна область памяти, отвечающая за содержимое экрана... Дальше - просканировать область данных на предмет видеопамяти (просто тупо строить изображения и искать в них нечто осмысленное). Что касается анализа точек входа прерываний клавы (если такие там есть) - после поиска видеопамяти такое тоже реально... Да и дизассемблер сделать тоже можно - не пара пустяков конечно, но решаемо. В принципе и не обязательно - можно параллельно IDA юзать. А из этой затеи можно разматывать клубок - находить конкретные функции тела, как например реализацию шрифтов, вывода различной беды типа даты, опсоса и т.п. (контроллируя обращения опкодов к видеопамяти). Возьмемся? ICQ 214781655

Добавлено позже (14.4.2007, 21:04):
Хы... В лучшем случае в видеопамяти найдем "Вставьте сим-карту" :))) Ато и вообще POST какой-нить телефонный не пройдет... Удаляйте :)

Добавлено позже (14.4.2007, 21:04):
Хы... В лучшем случае в видеопамяти найдем "Вставьте сим-карту" :))) Ато и вообще POST какой-нить телефонный не пройдет... Удаляйте :)

[КотенокСоШрамом]

Ладно, уж коли начал писанину, то наверное буду продолжать предлагать :) Предлагаю распотрошить прошивку на уровни абстракций... То есть в коде проанализировать какие процедуры из каких процедур вызываются, и выделить слои абстракций - нижние слои, и дальше - выше. По аналогии с Win API, потому что... Потому что так и есть на самом деле скорее всего...

Добавлено позже (15.4.2007, 2:25):
А для этого надо бы скооперироваться и сделать общую базу знаний, чтобы процедуры именовать (т.е. разобрался человек, что процедура делает - и отписал, а остальные пользуются). Кстати, еще вопрос - вот мы тут вроде как от точки входа плясать собрались, только как разобраться с проверкой сим-карты и возможно с диагностикой телефона на этапе загрузки?.. Хммм... Я думаю для конкретного тела нужно посмотреть схему, посмотреть как там порты проца завязаны с остальной... хм.. периферией... И искать подпрограммы обмена данными. Кстати, от этого тоже можно будет плясать - можно по опкодам вывода в порт и операндам будет определять, кому и куда скидывается инфа... Плюс опять же, есть в этой беде таблица векторов прерываний или нет?

[VEG]

КотенокСоШрамом,
Идея конечно хорошая, но нужны люди, чтобы ее реализовать. Было бы неплохо иметь полный эмулятор наших телефонов
Кстати, есть ведь эмуляторы процессоров arm. Я правда не нашел с исходниками... надо еще поискать.
Надо будет додумать как реализовать эмуляцию аппаратной части телефонов.









Osta
эмулятор тут был http://www.lauterbach.com/pro_arm.html

Сообщение отредактировал Osta - 17.4.2007, 11:34

[КотенокСоШрамом]

Это все ерунда... Эмулятор процессора ARM я и сам напишу, только пользы от этого не будет никакой, потому что остальной аппаратной части нет, ну не вариант ее сделать... Хотя, это еще как посмотреть :) Есть схемы, есть практически все, но нужна маркировка всех чипов, нужны их прошивки (если я прально понял - ARM это только управляющий контроллер). Сим карта опять же... Идея на самом то деле гиблая. Как и гиблая идея 13 Мб машинного кода реверснуть одному человеку.
А предложение мое - конкретно такое - посмотреть схему тела и выяснить, как должна быть организована адресация в прошивке например при выводе на EDGE/GPRS, найти команды в коде, и ухватившись за эту ниточку, размотать, и разобраться в участке кода, отвечающем за вывод через GPRS.
Кстати, если прошивка пишется на си, почему б не применить декомпилятор си... Если таковой для ARM имеется. Все проще бы было.

Впрочем, меня щас этот вопрос мало интересует - я уж лучше себе L7e возьму... Что-то не хочу я в E-398 за какие-то 3.500 р разницы EDGE искать. Не факт ведь что есть? Скупой платит дважды.

Сообщение отредактировал GrAnd_ - 28.7.2007, 13:46

[lenin2004]

Есть схемы, есть практически все, но нужна маркировка всех чипов, нужны их прошивки (если я прально понял - ARM это только управляющий контроллер).

Да, ARM это "проц". Флешпамять можно принимать одновременно за "винт" и "оперативку" (это я простым языком, по аналогии с железом ПК) А единственная прошивка, это то что сейчас люди и ковыряют.
Имхо: Достаточно сэмулировать проц и флешпамять, в которую собственно и прошивается прошивка в реальном телефоне. А остальная аппаратная периферия эмуляции не требует. Допустим, если в реальном телефоне отрубить питание GSM-модуля, тел просто покажет скорей всего что "Нет сети". А "Нет сети" в виртуальном телефоне на первых порах не помешает изучать прошивку.

[sasha45]

А почему именно СИМ-КАРТА? По-моему сейчас главный вопрос это "как сделать перемотку видео на Е398 и прочих"ю Ведь это важно для большинства пользователей телефонов Motorola.

[КотенокСоШрамом]

lenin2004:
Ну да... И правда можно написать проц и винт, и трассировать прошивку, любуюясь изменением регистров. Дошло? Посмотрите схему тела - там много всяких погремушек. Или вы думаете что проц напрямую на экран и на антенну подключен?

sasha45
Сим карта - потому что работу телефона под управлением прошивки нужно сэмулировать сначала, то есть так, как она выполняется в телефоне. А в телефоне она сначала проверяет симку, это в лучшем случае. В худшем - периферию. Слишком много всего придется эмулировать.

Добавлено позже (18.4.2007, 18:10):
ВОПРОС есть... Плиз.

Как определить в машинном коде (прошивке) обращение к биту сима? Разбираться долго, времени нету, просто ответ - так мол и так, обращение к ячейке памяти, смещение которой находтся так: [метод].

Похоже что и правда придется писать эмуль проца...

Добавлено позже (18.4.2007, 18:15):
Идея такова: найти в прошивке обращение к битам сима, отвечающим за активацию EDGE в теле. И посмотреть что из этого следует.

[lenin2004]

lenin2004:
Ну да... И правда можно написать проц и винт, и трассировать прошивку, любуюясь изменением регистров. Дошло? Посмотрите схему тела - там много всяких погремушек. Или вы думаете что проц напрямую на экран и на антенну подключен?

Если верить схеме принципиальной телефона Motorola C650, то проц с дисплеем как раз на прямую и соединяется.

[lenin2004]

Вот посмотрите что я откопал на просторах сети, судя по описанию это похоже на то что нам нужно. Только похоже для его запуска нужен Майкрософт Визуал Студио.

The Device Emulator is a software simulation of a CPU and motherboard, that runs the Windows CE and Windows Mobile operating systems. The emulator is a single Windows .EXE file that contains:
A CPU emulator that executes the ARM instruction set by JIT-compiling to x86
An MMU emulator to support virtual memory and page protection
A motherboard emulator that contains emulated RAM and NOR flash memory
A collection of peripheral devices attached to the motherboard: serial ports, LCD controller, touchscreen, keyboard, interrupt controller, programmable timers, real-time-clock, network cards, audio, etc.
A ”DMA” interface which allows a Win32 application running outside the emulator to communicate with a WinCE application running inside the emulator, using a simple socket-like programming model.

Майкрософтовский эмулятор ARM

Сообщение отредактировал lenin2004 - 20.4.2007, 14:32

[om2804]

Net Framework для работы и Visual Studio для компиляции. Написано вроде бы на C#
А вот ARM я что-то в тексте не вижу. Эмулирует Windows CE и Windows Mobile

Сообщение отредактировал om2804 - 21.4.2007, 22:30

[xaBaz]

Решил сделать первые шаги в ковырянии прошивки, и возникла пустяковая проблема: не могу слепить *.bin файл из прошивки.
Flash Backup ни одной из версий возможности сохранения отдельных кодовых групп в этом формате не предоставляет.
Но насколько я понял, формат *.smg ничем от *.bin не отличается.
Так ли это?

[Osta]

Но насколько я понял, формат *.smg ничем от *.bin не отличается.

правильно.

[AlexKooper]

Еще уточню некоторые моменты:

Встаем на этот (byte_10BCD3D0) адрес курсором и жмем на Enter или просто двойной щелчок мышкой по этому адресу, вы перепрыгнете на адрес (10BCD3D0).

Если открыта прошивка с отключенной рса, переход может идти на СГ18, т.е. вне открытого файла. В таком случае точку входа лучше срисовать с оригинальной прошивки

RAM start address - 0x03FC0000
RAM size - 0x40000
ROM start address - 0x10080000
ROM size - 0x1F80000
Loading address - 0x10080000

Это для телефонов, у которых сг1 лежит по адресу 10080000
Для 4513 или 4515 платформы например нужно так:
RAM start address - 0x03FC0000
RAM size - 0x40000
ROM start address - 0x10092000
ROM size - 0x1F80000
Loading address - 0x10092000

[Ohotnic]

Вот вам ссылка на IDA 5.0.0.879 http://ifolder.ru/2608844