[讨论][讨论]固件分析的正确姿势-智能设备-看雪-安全社区|安全招聘|kanxue.com

[讨论][讨论]固件分析的正确姿势

2017-6-28 16:24 16283

[讨论][讨论]固件分析的正确姿势

carfieldqi 活跃值

2017-6-28 16:24

16283

更新：固件地址链接: http://pan.baidu.com/s/1dEFRNyD 密码: itui

固件分析的问题就在于出了问题不知道在哪里。

目标设备：家庭网关，系统类型：Ralink MT751020 SOC

内存：256M

分析步骤：

1.串口接入看能否介入bootloader和linux console，发现均需要用户名密码。

2.热风枪加助焊剂吹掉nand，连接一个淘宝买的Proman牌子的编程器。

3.导出数据，使用binwalk分析，发现不太对劲，怎么这么多JFFS2文件系统。。。。

binwalk -e能抽出几个java的class文件，其他全是空文件

firmwaremodkit也试了，但显然问题不在分析软件上。

4.怀疑是导出数据的问题，重新插入编程器，有个检测坏块的功能，点击发现从0到529块都是坏块。。。。。

5.问淘宝店家，确认支持该型号flash。。。。

6.懵逼，问题出在哪里，有可能硬件吹坏了，有可能跟编程器不匹配，有可能固件加密？

请教各位牛，碰见类似问题，通常怎么处理？

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

上传的附件：

addresses.txt （59.71kb，24次下载）

收藏・5

点赞・0

打赏

最新回复 (23)
xiaohuopao 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 57 粉丝 0 关注私信	xiaohuopao 2017-6-30 18:15 2 楼 0 发编程器固件啊！你发日志有什么用啊！
打麻将雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	打麻将 2017-7-6 22:14 3 楼 0 可能是你买的编程器是坏的，我也碰到过一个编程器，官方也是说支持我读取的那款芯片，但是读的时候每次读取的数据都不一样。后面请别人用一个高级点的编程器读取就是正确的。可以试试用其他的编程器读取下，最好编程器能测试下读取时引脚是否都接好
carfieldqi 雪币： 33 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	carfieldqi 2017-7-11 18:05 4 楼 0 xiaohuopao 发编程器固件啊！你发日志有什么用啊！小火炮挺火爆啊，提取出来256M的二进制，传半天，下半天。这不怕浪费大家伙时间么。
carfieldqi 雪币： 33 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	carfieldqi 2017-7-11 18:08 5 楼 0 打麻将可能是你买的编程器是坏的，我也碰到过一个编程器，官方也是说支持我读取的那款芯片，但是读的时候每次读取的数据都不一样。后面请别人用一个高级点的编程器读取就是正确的。可以试试用其他的编程器读取下，最好编 ... 感谢麻将的回复，其实我也觉得应该是编程器的问题。所以打算下单新装备后看看，我这个编程器测试，提示全是坏块。等buspirate，jlink，还有新点的编程器到了，鸟枪换炮试试。
缘来就爱你雪币： 2 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	缘来就爱你 2017-7-17 18:01 6 楼 0 卖家大多数不会亲测硬件，还需自测啊
carfieldqi 雪币： 33 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	carfieldqi 2017-7-18 17:07 7 楼 0 缘来就爱你卖家大多数不会亲测硬件，还需自测啊的确，卖家说的支持应该只是接口匹配，理论上能支持。
carfieldqi 雪币： 33 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	carfieldqi 2017-7-20 10:03 8 楼 0 又买了个编程器xeltek，读出了固件信息，发现跟proman一样，因此认为不是编程器的问题。也不是固件问题。上传固件，请高手帮忙看看为什么binwalk读出出那么多JFFS2文件系统，无法完成正确逆向。是不是进行了地址混淆？碰见这种情况该怎么逆向？
carfieldqi 雪币： 33 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	carfieldqi 2017-7-20 10:09 9 楼 0 carfieldqi 又买了个编程器xeltek，读出了固件信息，发现跟proman一样，因此认为不是编程器的问题。也不是固件问题。上传固件，请高手帮忙看看为什么binwalk读出出那么多JFFS2文件系统，无法完成正确逆 ... 无法提交，系统限制附件大小为8M。。。。给出了云端地址链接: http://pan.baidu.com/s/1dEFRNyD 密码: itui 请高手指点
EOF 雪币： 251 活跃值： (1478) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	EOF 2017-7-20 15:07 10 楼 1 这位同学把NAND FLASH的ECC block也读进来了吧？估计Flash的PAGE SIZE=512bytes，每个page的ECC block=16bytes，所以LZ将ROM将每528bytes的最后16bytes删除掉试试看又看了一下，ROM文件大小276824064bytes，而256M=268435456bytes，而且276824064*512/528=268435456，LZ知道该怎么办了吧？
通宵敲代码雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	通宵敲代码 2017-8-15 17:02 11 楼 0 楼上给出了答案
carfieldqi 雪币： 33 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	carfieldqi 2017-8-16 10:22 12 楼 0 EOF 这位同学把NAND FLASH的ECC block也读进来了吧？估计Flash的PAGE SIZE=512bytes，每个page的ECC block=16bytes，所以LZ将ROM将每528byt ... EOF说的太对了，我们把校验位删除之后，完全逆向出来了，相信“通宵敲代码”也试出来了，感谢你们的帮助
ljcnaix 雪币： 331 活跃值： (410) 能力值： ( LV11，RANK：190 ) 在线值：发帖 9 回帖 16 粉丝 28 关注私信	ljcnaix 2017-9-6 13:04 13 楼 0 EOF 这位同学把NAND FLASH的ECC block也读进来了吧？估计Flash的PAGE SIZE=512bytes，每个page的ECC block=16bytes，所以LZ将ROM将每528byt ... ，学习了
YP星星雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	YP星星 2017-10-11 16:00 14 楼 0 能不能把固件再公布一下，我学习下
carfieldqi 雪币： 33 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	carfieldqi 2017-10-12 16:02 15 楼 0 YP星星能不能把固件再公布一下，我学习下之前的删了，重新上传了一份给你，链接：http://pan.baidu.com/s/1i5FyMrz 密码：ty3j
YP星星雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	YP星星 2017-10-16 09:56 16 楼 0 carfieldqi 之前的删了，重新上传了一份给你，链接：http://pan.baidu.com/s/1i5FyMrz 密码：ty3j 谢谢
IamHuskar 雪币： 1412 活跃值： (4273) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1647 粉丝 63 关注私信	IamHuskar 4 2017-10-16 10:59 17 楼 0 EOF 这位同学把NAND FLASH的ECC block也读进来了吧？估计Flash的PAGE SIZE=512bytes，每个page的ECC block=16bytes，所以LZ将ROM将每528byt ... 卧槽。大牛深藏不露啊。
哈哈哒雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	哈哈哒 2018-1-19 10:41 18 楼 0 EOF 这位同学把NAND FLASH的ECC block也读进来了吧？估计Flash的PAGE SIZE=512bytes，每个page的ECC block=16bytes，所以LZ将ROM将每528byt ... 请问在吗
哈哈哒雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	哈哈哒 2018-1-19 10:41 19 楼 0 carfieldqi EOF说的太对了，我们把校验位删除之后，完全逆向出来了，相信“通宵敲代码”也试出来了，感谢你们的帮助[em_63] 请问在吗
callmexxaqer 雪币： 199 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	callmexxaqer 2018-7-5 10:22 20 楼 0 我想问的是，最后固件分析出什么问题了吗？有没有漏洞发现呢？其实要获取flash内容，不需要编程器；找个嵌入式开发板，自己编程进去，基本能获取所有flash内容。
badboyhzg 雪币： 458 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 51 粉丝 1 关注私信	badboyhzg 2019-12-29 23:56 21 楼 0 nand 都是有坏块的~~你把坏块也读出来了。 nand使用都是要写坏块处理的。
badboyhzg 雪币： 458 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 51 粉丝 1 关注私信	badboyhzg 2019-12-29 23:58 22 楼 0 大牛不知道对于固件分析有没有什么很牛逼的思路。帮我分析一个固件？有偿的。分析出来文件系统就可以。
backahasten 雪币： 734 活跃值： (458) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 31 粉丝 22 关注私信	backahasten 1 2020-1-19 16:48 23 楼 0 楼主后续怎么样了，洞挖出来了么（手动斜眼笑）
I_CAN 雪币： 320 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	I_CAN 2020-2-12 16:04 24 楼 0 学习了 SPI Nand Flash 确实有ECC纠错模块
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

carfieldqi

发帖

回帖

RANK

关注

私信

他的文章

[讨论]某智能摄像头的拆解分析

[原创]+[翻译]Another Foscam FI8908W Clone Firmware Exploration

[讨论][讨论]固件分析的正确姿势

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
xiaohuopao 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 57 粉丝 0 关注私信	xiaohuopao 2017-6-30 18:15 2 楼 0 发编程器固件啊！你发日志有什么用啊！
打麻将雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	打麻将 2017-7-6 22:14 3 楼 0 可能是你买的编程器是坏的，我也碰到过一个编程器，官方也是说支持我读取的那款芯片，但是读的时候每次读取的数据都不一样。后面请别人用一个高级点的编程器读取就是正确的。可以试试用其他的编程器读取下，最好编程器能测试下读取时引脚是否都接好
carfieldqi 雪币： 33 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	carfieldqi 2017-7-11 18:05 4 楼 0 xiaohuopao 发编程器固件啊！你发日志有什么用啊！小火炮挺火爆啊，提取出来256M的二进制，传半天，下半天。这不怕浪费大家伙时间么。
carfieldqi 雪币： 33 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	carfieldqi 2017-7-11 18:08 5 楼 0 打麻将可能是你买的编程器是坏的，我也碰到过一个编程器，官方也是说支持我读取的那款芯片，但是读的时候每次读取的数据都不一样。后面请别人用一个高级点的编程器读取就是正确的。可以试试用其他的编程器读取下，最好编 ... 感谢麻将的回复，其实我也觉得应该是编程器的问题。所以打算下单新装备后看看，我这个编程器测试，提示全是坏块。等buspirate，jlink，还有新点的编程器到了，鸟枪换炮试试。
缘来就爱你雪币： 2 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	缘来就爱你 2017-7-17 18:01 6 楼 0 卖家大多数不会亲测硬件，还需自测啊
carfieldqi 雪币： 33 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	carfieldqi 2017-7-18 17:07 7 楼 0 缘来就爱你卖家大多数不会亲测硬件，还需自测啊的确，卖家说的支持应该只是接口匹配，理论上能支持。
carfieldqi 雪币： 33 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	carfieldqi 2017-7-20 10:03 8 楼 0 又买了个编程器xeltek，读出了固件信息，发现跟proman一样，因此认为不是编程器的问题。也不是固件问题。上传固件，请高手帮忙看看为什么binwalk读出出那么多JFFS2文件系统，无法完成正确逆向。是不是进行了地址混淆？碰见这种情况该怎么逆向？
carfieldqi 雪币： 33 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	carfieldqi 2017-7-20 10:09 9 楼 0 carfieldqi 又买了个编程器xeltek，读出了固件信息，发现跟proman一样，因此认为不是编程器的问题。也不是固件问题。上传固件，请高手帮忙看看为什么binwalk读出出那么多JFFS2文件系统，无法完成正确逆 ... 无法提交，系统限制附件大小为8M。。。。给出了云端地址链接: http://pan.baidu.com/s/1dEFRNyD 密码: itui 请高手指点
EOF 雪币： 251 活跃值： (1478) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	EOF 2017-7-20 15:07 10 楼 1 这位同学把NAND FLASH的ECC block也读进来了吧？估计Flash的PAGE SIZE=512bytes，每个page的ECC block=16bytes，所以LZ将ROM将每528bytes的最后16bytes删除掉试试看又看了一下，ROM文件大小276824064bytes，而256M=268435456bytes，而且276824064*512/528=268435456，LZ知道该怎么办了吧？
通宵敲代码雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	通宵敲代码 2017-8-15 17:02 11 楼 0 楼上给出了答案
carfieldqi 雪币： 33 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	carfieldqi 2017-8-16 10:22 12 楼 0 EOF 这位同学把NAND FLASH的ECC block也读进来了吧？估计Flash的PAGE SIZE=512bytes，每个page的ECC block=16bytes，所以LZ将ROM将每528byt ... EOF说的太对了，我们把校验位删除之后，完全逆向出来了，相信“通宵敲代码”也试出来了，感谢你们的帮助
ljcnaix 雪币： 331 活跃值： (410) 能力值： ( LV11，RANK：190 ) 在线值：发帖 9 回帖 16 粉丝 28 关注私信	ljcnaix 2017-9-6 13:04 13 楼 0 EOF 这位同学把NAND FLASH的ECC block也读进来了吧？估计Flash的PAGE SIZE=512bytes，每个page的ECC block=16bytes，所以LZ将ROM将每528byt ... ，学习了
YP星星雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	YP星星 2017-10-11 16:00 14 楼 0 能不能把固件再公布一下，我学习下
carfieldqi 雪币： 33 活跃值： (28) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 9 粉丝 0 关注私信	carfieldqi 2017-10-12 16:02 15 楼 0 YP星星能不能把固件再公布一下，我学习下之前的删了，重新上传了一份给你，链接：http://pan.baidu.com/s/1i5FyMrz 密码：ty3j
YP星星雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 19 粉丝 0 关注私信	YP星星 2017-10-16 09:56 16 楼 0 carfieldqi 之前的删了，重新上传了一份给你，链接：http://pan.baidu.com/s/1i5FyMrz 密码：ty3j 谢谢
IamHuskar 雪币： 1412 活跃值： (4273) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1647 粉丝 63 关注私信	IamHuskar 4 2017-10-16 10:59 17 楼 0 EOF 这位同学把NAND FLASH的ECC block也读进来了吧？估计Flash的PAGE SIZE=512bytes，每个page的ECC block=16bytes，所以LZ将ROM将每528byt ... 卧槽。大牛深藏不露啊。
哈哈哒雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	哈哈哒 2018-1-19 10:41 18 楼 0 EOF 这位同学把NAND FLASH的ECC block也读进来了吧？估计Flash的PAGE SIZE=512bytes，每个page的ECC block=16bytes，所以LZ将ROM将每528byt ... 请问在吗
哈哈哒雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	哈哈哒 2018-1-19 10:41 19 楼 0 carfieldqi EOF说的太对了，我们把校验位删除之后，完全逆向出来了，相信“通宵敲代码”也试出来了，感谢你们的帮助[em_63] 请问在吗
callmexxaqer 雪币： 199 活跃值： (33) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 16 粉丝 0 关注私信	callmexxaqer 2018-7-5 10:22 20 楼 0 我想问的是，最后固件分析出什么问题了吗？有没有漏洞发现呢？其实要获取flash内容，不需要编程器；找个嵌入式开发板，自己编程进去，基本能获取所有flash内容。
badboyhzg 雪币： 458 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 51 粉丝 1 关注私信	badboyhzg 2019-12-29 23:56 21 楼 0 nand 都是有坏块的~~你把坏块也读出来了。 nand使用都是要写坏块处理的。
badboyhzg 雪币： 458 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 51 粉丝 1 关注私信	badboyhzg 2019-12-29 23:58 22 楼 0 大牛不知道对于固件分析有没有什么很牛逼的思路。帮我分析一个固件？有偿的。分析出来文件系统就可以。
backahasten 雪币： 734 活跃值： (458) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 31 粉丝 22 关注私信	backahasten 1 2020-1-19 16:48 23 楼 0 楼主后续怎么样了，洞挖出来了么（手动斜眼笑）
I_CAN 雪币： 320 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	I_CAN 2020-2-12 16:04 24 楼 0 学习了 SPI Nand Flash 确实有ECC纠错模块
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复