日期：2017-09-05 星期二

作者：Emma Benoit、Guillaume Heilles、 Philippe Teuwen

类别：硬件

标签：PCB、flash、KiCAD

该博客连载将介绍dump（转储） flash（闪存）芯片的方法，本文是该博客连载的第一部分。本文中，我们将描述如何拆焊flash芯片，以及设计和构建相应的分线板（breakout board）。

本博客连载将详细介绍针对嵌入式非易失性存储器的简单而有效的攻击方法。此类攻击允许攻击者执行以下操作：

我们将讨论以下主题：

假设你又打开了一个IoT设备，偶然发现了里面的flash芯片。你一定很好奇，想知道其中奥秘。

有两种方法可以读取flash芯片的内容：

选择读取芯片方法的考虑因素之一是集成电路（IC ）的封装方式。比如说，直接连线到芯片引脚的方法对使用四侧引脚扁平封装（QFP）的芯片很有效，但是该方法不适用于无可见引脚的芯片。以下例子中的芯片采用球栅阵列封装（BGA），也就意味着芯片上没有可连接的可见引脚，所以我们选择将之拆焊。

我们要拆焊的芯片图片：

此方法优点：

此方法缺点：

所以...拆焊flash芯片，对吧？如果你以前从未尝试过拆焊电子元器件，那么对你来说棘手的部分是同时在所有引脚上熔化焊料。有几种方法可以做到，我们这里选择用热风枪，加热芯片所在的区域，等待焊料熔化后拿掉芯片。

此方法简单快速，但也容易拆焊周围的元器件，所以要当心，不要移动周围的元器件（此刻千万别打喷嚏）。

下面的图片展示了我们拆下的芯片，可以观察下PCB布线。我们可做出一些假设，比如最下面两行很有可能未被使用，因为它们没有在线路上。

我们现在拿那个芯片做什么？ BGA布局让人困惑，对于完全相同的芯片，你可以使用5x5或4x6网格。引脚分配同样有趣，通常是针对芯片。你可能也想知道，如果这些引脚全部封装在像这样的网格中，那么如何连接引脚？

方法之一是做一个分线板！在分线板上做一个芯片所有引脚的镜像，而且引脚之间的距离更大，所以你可以轻易地连接引脚。

为了实现这一点，我们首先需要收集关于芯片本身的一些信息。大多数时候，品牌或型号写在芯片上以便于识别。有了这些信息，你可以查找相应的数据手册。如果你无法识别芯片，或者找不到数据手册，则必须在PCB上做一些逆向工作来识别每个信号。

在我们芯片上的第一行显示了品牌：MXIC代表Macronix International。第二行是芯片的型号，我们由此可以找到MX25L3255EXCI数据手册。

我们感兴趣的部分是引脚布局，即数据手册的第7页，介绍了BGA（4x6和5x5两种网格）和SOP8 （8引脚小尺寸封装）。我们可以看到只有8个引脚是有用的，其他引脚被标记为“NC”，意思是“无连接”。

为了连接flash芯片，我们需要一个包含所有必需引脚的PCB，这些引脚要易于连接。

可以用KiCAD来设计PCB，KiCAD是最受欢迎的电子设计自动化（EDA）软件之一 。

如果你不熟悉KiCAD，可以参考许多很好的教程，例如KiCAD Quick-Start Tutorial。

设计分线板和设计其他板子的过程相同：

1. 在EEeschema中创建分线板的电路图，并定义相关的元器件，例如flash芯片。

2. 在PcbNew中定义flash芯片的封装形式，这里我们会用到之前看过的数据手册。我们用BGA封装并添加一个4x6网格和两个连接8个有用引脚的1x4连接器。最后一步是布线来连接我们的元器件。 

设计已完成，那么如何将KiCAD里的设计做成PCB呢？

PCB一般是两层铜之间夹一层基板。基板通常由FR-4（环氧板）制成，但也可以用其它便宜的材料。在铜层上完成布线后，要除去多余的铜。

有几种技术可以去除不需要的铜，我们尝试了以下技术：

我们使用蚀刻技术制作了4x6 BGA PCB，并且用数控铣技术制作了5x5 BGA PCB，详见下文。

蚀刻是指使用化学试剂除去金属上未受保护的表面。我们使用墨粉规划线路，并保护需要保留的铜。

蚀刻后的分线板还带着墨粉：

用丙酮除掉墨粉：

PCB板现在可以进行微焊了，微焊就是焊接微小的元器件，因此需要显微镜。

传统焊接的另一个区别是焊锡，传统焊接使用锡线，而BGA微焊使用锡球。

接下来，我们可以开始重整锡球：

正在重整锡球：

最终将芯片微焊在了板子上：

数控铣

另一种技术是用数控铣床来加工铜层，该技术实际上是通过隔离来生成线路，并且保留多余的铜，而不是除掉不需要的铜。

1. 用5x5 BGA构建PCB。4x6版本用于分线板，我们这里设计了5x5版本，以便直接插入通用EEPROM（电子抹除式可复写只读内存）编程器的ZIF（零插拔力插座）插口。正如我们在数据手册中看到的，该芯片采用SOP8封装，因此我们选择模拟DIP8（8引脚双列直插封装）排针，引脚分布与SOP8相同。对于通用EEPROM编程器来说，这就基本上相当于是通过SOP8-DIP8适配器来读取SOP8芯片。

2. 芯片的封装形式与我们为4x6设计的相似，但是对于5x5网格，DIP8 1x4连接器距离更近，而且为遵循SOP8布局，线路也更复杂，这完全不同于之前那个BGA。

3. KiCAD无法直接生成与数控铣床兼容的文件，因此我们要使用FlatCAM。FlatCAM可以处理Gerber文件，并且可以为数控铣床定义分隔铜线路的轨迹。为了避免短路，我们完全去除了BGA芯片下的一个区域中不需要的铜。

4. 我们将生成的STL文件传输给负责控制数控铣床的bCNC。bCNC的一些功能很好用，例如自动调平，即多点测量电路板的实际高度（因为没有什么东西是完全平的），以及生成下面图片中看到的热图像。

对应bCNC中绿色高亮的轨迹正在加工：

5. 加工好的板子：

6. 接下来，我们涂一些阻焊层，这是保护铜免受氧化的特殊绿色层，并用紫外线固化。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)