[原创]使用IDA pro逆向ARM M系核心的Bin固件-智能设备-看雪-安全社区|安全招聘|kanxue.com

[原创]使用IDA pro逆向ARM M系核心的Bin固件

发表于: 2019-3-6 16:22 68263

[原创]使用IDA pro逆向ARM M系核心的Bin固件

backahasten 活跃值

2019-3-6 16:22

68263

物联网和智能设备这两年还是比较火的，我们的手中或多或少都有了几个智能设备，比如手环，智能手表，或者门锁什么之类的东西，但是同学们在做逆向的时候，却有很多问题。要不然是根本拿不到固件，要不然是拿到了Bin之后看不懂，这篇文章带大家手把手调教IDA pro，让他逆向无符号的Bin文件。

先说一下逆向固件的意义把，一般来说，这种小东西都会和外界有交互，蓝牙，WIFI，网络，4G，zigbee等等，我们逆向出他的协议就可以发现其中的安全问题。比如如果你逆向了一个手环的协议，发现它没有做身份验证或者验证不严谨，就可以批量的影响手环，或者你搞定了一个网络协议，可能发现一个网络的暴露服务，对云平台发起攻击，等等。

我们当然可以从APP上入手去搞，但是这几年，随着APP加固的大面积使用，难度系数正在上升，而硬件上，特别是M系的MCU，为了成本，运算速度和功耗，很少有使用加密一类防御手段的。STM32系列可以使用设置RDP位的方式锁死固件读取，但是这样搞了之后，程序也就没有办法升级了，同时也带来了开发和调试时间上的消耗，面对整分夺秒的市场，使用的还是很少的。（实际上即便是开了防御也是有方法搞的。。。）

在开始搞之前，我们先了解一下文件的结构。

大家熟悉的windows或者linux下的可执行文件，里面会包含一些函数信息，也会包含加载基址，段，架构等信息，但是嵌入式设备为了减小flash的占用，这一切统统没有。所以拖进IDA中之后是这个样子的。

IDA会问你，他是什么架构的。

我们可以通过查询芯片信息的方式或得到架构的信息（ARM架构当然是ARM啊），选择使用ARM小端序进行反汇编。

确定进入之后，IDA还会问你一些信息。

IDA会问你，RAM的位置，ROM的位置和加载基址。由于我们什么都不知道，直接按OK进入，等我们拿到了一些信息之后回来改。

进去之后是这个样子的，先别慌，我们还要改一个东西。

M系使用的是ARM的Thumb指令集，所以需要先改为Thumb指令集汇编。按ALT+g，把里面T的值改为0x1.

之后就成了这个样子

我们先在0x00000000的位置按d，改变IDA的显示位数，到DCB。在0x00000004的位置也一样。

这个时候就要对整个ARM M核心的启动流程有熟悉了，首先，0x00000000位置的值作为栈的SP指针，之后把0x00000004位置的值写入PC指针，也就是芯片上电之后开始的位置。

这个时候，就看出加载基质的作用了，由于加载基地址不明确，我们跳不到0x10001065中去。

我们可以在每个0x2对齐的位置去按C（因为Thumb指令是0x2对齐的），让IDA Pro强行反汇编。

按了几个之后，就会发现整个调用的架构逐渐清晰起来了。

这时候，会发现一些位置的地址是红色的，表示超出索引

可以看出这两句使用BX的绝对跳转，加载基地址不会小于0x10000000，实际上就是0x10000000.具体加载基址的确定，还是需要研究人员对硬件和架构的熟悉，有很大程度是猜和试的成分。

比如上面的两句话，实际上就是0x00000004地址上的值跳转过来的，0x10001065和0x10001064相差0x1，这是一个历史遗留问题，但是不会产生影响，CPU会自动纠偏。凭借此就可以得出加载基址的位置。

去年KCON，有一个议题就是讲如何自动寻找加载地址，利用的就是固件中一些绝对的加载位置，有兴趣大家可以看一下。

确定了加载地址，我们重新载入之后，就可以看见正常的调用关系了。

之后在还是按照上面的方法，进行操作，由于加载地址是正确的，就可以识别出很多的函数调用关系，我们按C强制让ida pro汇编的地方也会少很多。

里面还会发现一些红色的地址，这就要参考硬件的芯片手册确定意义了

有一些函数是硬件中断处理函数，由硬件触发，与主线没有调用关系，所以还是会发现一些没有反汇编的代码，手动按C汇编一下就行了。

但是其中的函数没有名字，是这个样子的，很难受

怎么办呢？由于硬件的底层函数大部分都是标准函数，由芯片厂商提供，因此可以自己搭建一个和目标相同的开发环境，编译一个函数比较全的固件，之后使用bindiff进行函数查找。

我们先写一个函数比较多的程序，之后编译，得到axf文件，使用ida进行反编译

axf文件是有很多辅助信息的，拖入之后ida pro直接可以识别

反汇编之后，代码结构和函数名可以直接显示出来

这个时候直接关闭，保存反汇编的结果

打开目标bin文件，恢复出函数结构之后，打开bindiff，加载之前保存的axf文件的反汇编结果

加载之后

可以看到函数名的对应关系

我们也可以简单看一下bindiff的匹配原理是什么，每个匹配的函数，bindiff都会给一个匹配理由

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2019-3-6 17:10 被backahasten编辑，原因：增加ghidra_9.0内容

收藏・86

免费・25

支持

赞赏记录

参与人

雪币

留言

时间

QinBeast

为你点赞！

2024-8-28 03:37

嫉妒的死远点

感谢你的贡献，论坛因你而更加精彩！

2024-6-3 01:07

ydshk

为你点赞~

2022-8-26 17:53

szukodf

为你点赞~

2022-8-6 07:07

一笑人间万事

为你点赞~

2022-7-27 01:47

心游尘世外

为你点赞~

2022-7-26 23:42

飘零丶

为你点赞~

2022-7-17 03:23

34r7hm4n

为你点赞~

2022-3-5 15:16

0x指纹

为你点赞~

2021-1-22 09:35

TkBinary

为你点赞~

2020-9-8 10:11

r0Cat

为你点赞~

2020-9-8 10:03

莲子荷花

为你点赞~

2020-9-8 09:19

软件家园

为你点赞~

2020-8-22 12:07

PureT

为你点赞~

2020-4-17 17:34

黑的默

为你点赞~

2019-3-12 14:43

(๑•ั็ω•็ั๑)

为你点赞~

2019-3-12 09:59

HHHso

为你点赞~

2019-3-9 08:53

wsc

为你点赞~

2019-3-8 19:06

IamHuskar

为你点赞~

2019-3-8 11:29

黑洛

为你点赞~

2019-3-8 05:31

qqwawzymu

为你点赞~

2019-3-7 16:39

TopC

为你点赞~

2019-3-7 14:31

oecichial

为你点赞~

2019-3-7 11:55

daiweizhi

为你点赞~

2019-3-6 21:45

FIGHTING安

为你点赞~

2019-3-6 18:48

打赏 + 14.00雪花

打赏次数 4

雪花 + 14.00

yjmwxwx	+5.00	2019/03/10
Editor	+2.00	2019/03/07	感谢分享～
orz1ruo	+2.00	2019/03/07	助人为乐～
junkboy	+5.00	2019/03/06	感谢分享～

最新回复 (44) 1 2 ▶
kanxue 雪币： 47147 活跃值： (20445) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 2 楼感谢分享！ 2019-3-6 16:31 0
backahasten 雪币： 734 活跃值： (458) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 33 粉丝 22 关注私信	backahasten 1 3 楼 kanxue 感谢分享！[em_63] 2019-3-6 16:34 0
gtict 雪币： 268 活跃值： (3233) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 510 粉丝 6 关注私信	gtict 4 楼 backahasten [em_13] 以前也分析过这样的bin文件，但遇到没符号的一脸蒙蔽。现在还是没有看明白符号表是怎么做的。还有就是基地址是通过dump硬件内存也可以。 2019-3-6 17:01 0
gjden 雪币： 6790 活跃值： (4441) 能力值： (RANK：600 ) 在线值：发帖 33 回帖 447 粉丝 277 关注私信	gjden 14 5 楼虽然有点流水账，但分享的经验不错，可以给新手一个很好引导，精华鼓励一下。backahasten同学再接再厉！ 2019-3-6 17:04 0
backahasten 雪币： 734 活跃值： (458) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 33 粉丝 22 关注私信	backahasten 1 6 楼 gtict 以前也分析过这样的bin文件，但遇到没符号的一脸蒙蔽。现在还是没有看明白符号表是怎么做的。还有就是基地址是通过dump硬件内存也可以。一般来说，同款芯片的编译环境是相同的，都用的keil或者iar，也使用的都是标准库，所以我们是可以构建一套同样的编译环境，自己编译一套库函数比较全的文件，但是保留符号。之后用bindiff这个插件对比我们自己编译的和目标bin，ida就会在bin文件里重构函数名字 2019-3-6 17:07 0
大只狼雪币： 1140 活跃值： (102) 能力值： ( LV4，RANK：48 ) 在线值：发帖 13 回帖 249 粉丝 1 关注私信	大只狼 7 楼不懂电路也可以搞这个吗。学过一些，但是都忘了。感觉这比windows好找工作些啊 2019-3-6 17:18 0
backahasten 雪币： 734 活跃值： (458) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 33 粉丝 22 关注私信	backahasten 1 8 楼大只狼不懂电路也可以搞这个吗。学过一些，但是都忘了。[em_85]感觉这比windows好找工作些啊要懂开发的，想逆向啥就要先开发一个类似的，比如我现在搞TI cc2640的一个东西，就要先去看他的开发 2019-3-6 17:21 1
大只狼雪币： 1140 活跃值： (102) 能力值： ( LV4，RANK：48 ) 在线值：发帖 13 回帖 249 粉丝 1 关注私信	大只狼 9 楼 backahasten 要懂开发的，想逆向啥就要先开发一个类似的，比如我现在搞TI cc2640的一个东西，就要先去看他的开发我只会接下引脚，然后写代码，那些波什么的都不懂 2019-3-6 17:25 0
junkboy 雪币： 11716 活跃值： (133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 348 粉丝 2 关注私信	junkboy 10 楼感谢分享很喜欢这种流水账文章清晰～ 2019-3-6 18:19 0
yjmwxwx 雪币： 803 活跃值： (850) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 111 粉丝 38 关注私信	yjmwxwx 11 楼学习了，喜欢这样的帖子。 2019-3-6 20:39 0
backahasten 雪币： 734 活跃值： (458) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 33 粉丝 22 关注私信	backahasten 1 12 楼 junkboy 感谢分享很喜欢这种流水账文章清晰～感谢大佬给钱投食 2019-3-6 22:19 0
comewhere 雪币： 4574 活跃值： (2515) 能力值： ( LV4，RANK：55 ) 在线值：发帖 4 回帖 135 粉丝 1 关注私信	comewhere 1 13 楼 mark 2019-3-7 08:46 0
Editor 雪币： 26245 活跃值： (63297) 能力值： (RANK：135 ) 在线值：发帖 1608 回帖 4397 粉丝 1772 关注私信	Editor 14 楼感谢分享！ 2019-3-7 09:53 0
DWwinter 雪币： 403 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 121 粉丝 0 关注私信	DWwinter 15 楼 mark 2019-3-7 10:36 0
yuanyouran 雪币： 4224 活跃值： (788) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	yuanyouran 16 楼感谢分享！ 2019-3-7 11:06 0
金奔腾雪币： 41 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 68 粉丝 1 关注私信	金奔腾 17 楼感谢分享!!! 2019-3-7 13:37 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 18 楼非常厉害，希望楼主再出多一些教程。。。。非常受教了。 2019-3-7 16:40 0
raax 雪币： 1293 活跃值： (109) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 26 粉丝 1 关注私信	raax 1 19 楼学习了。 2019-3-7 23:21 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 20 楼学习了我在等ida7.2呢看来已经凉了 2019-3-8 01:28 0
大帅锅雪币： 16506 活跃值： (6392) 能力值： ( LV13，RANK：923 ) 在线值：发帖 38 回帖 213 粉丝 73 关注私信	大帅锅 4 21 楼好文 2019-3-8 13:51 0
wsc 雪币： 35 活跃值： (5254) 能力值： ( LV3，RANK：20 ) 在线值：发帖 132 回帖 573 粉丝 54 关注私信	wsc 22 楼好文 2019-3-8 19:06 0
aiening 雪币： 97 活跃值： (157) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	aiening 23 楼非常感谢无私分享！ 2019-3-9 23:56 0
雨夜听风雪币： 226 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	雨夜听风 24 楼还可以做 sig文件做匹配哦 2019-3-11 19:02 0
zzjAdmir 雪币： 279 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	zzjAdmir 25 楼新手求指导，“我们可以在每个0x2对齐的位置去按C（因为Thumb指令是0x2对齐的），让IDA Pro强行反汇编”，这个0x2对齐的位置指的是什么位置，可以截图举例下吗？谢谢 2019-3-14 10:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

backahasten

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (44) 1 2 ▶
kanxue 雪币： 47147 活跃值： (20445) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 541 关注私信	kanxue 8 2 楼感谢分享！ 2019-3-6 16:31 0
backahasten 雪币： 734 活跃值： (458) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 33 粉丝 22 关注私信	backahasten 1 3 楼 kanxue 感谢分享！[em_63] 2019-3-6 16:34 0
gtict 雪币： 268 活跃值： (3233) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 510 粉丝 6 关注私信	gtict 4 楼 backahasten [em_13] 以前也分析过这样的bin文件，但遇到没符号的一脸蒙蔽。现在还是没有看明白符号表是怎么做的。还有就是基地址是通过dump硬件内存也可以。 2019-3-6 17:01 0
gjden 雪币： 6790 活跃值： (4441) 能力值： (RANK：600 ) 在线值：发帖 33 回帖 447 粉丝 277 关注私信	gjden 14 5 楼虽然有点流水账，但分享的经验不错，可以给新手一个很好引导，精华鼓励一下。backahasten同学再接再厉！ 2019-3-6 17:04 0
backahasten 雪币： 734 活跃值： (458) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 33 粉丝 22 关注私信	backahasten 1 6 楼 gtict 以前也分析过这样的bin文件，但遇到没符号的一脸蒙蔽。现在还是没有看明白符号表是怎么做的。还有就是基地址是通过dump硬件内存也可以。一般来说，同款芯片的编译环境是相同的，都用的keil或者iar，也使用的都是标准库，所以我们是可以构建一套同样的编译环境，自己编译一套库函数比较全的文件，但是保留符号。之后用bindiff这个插件对比我们自己编译的和目标bin，ida就会在bin文件里重构函数名字 2019-3-6 17:07 0
大只狼雪币： 1140 活跃值： (102) 能力值： ( LV4，RANK：48 ) 在线值：发帖 13 回帖 249 粉丝 1 关注私信	大只狼 7 楼不懂电路也可以搞这个吗。学过一些，但是都忘了。感觉这比windows好找工作些啊 2019-3-6 17:18 0
backahasten 雪币： 734 活跃值： (458) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 33 粉丝 22 关注私信	backahasten 1 8 楼大只狼不懂电路也可以搞这个吗。学过一些，但是都忘了。[em_85]感觉这比windows好找工作些啊要懂开发的，想逆向啥就要先开发一个类似的，比如我现在搞TI cc2640的一个东西，就要先去看他的开发 2019-3-6 17:21 1
大只狼雪币： 1140 活跃值： (102) 能力值： ( LV4，RANK：48 ) 在线值：发帖 13 回帖 249 粉丝 1 关注私信	大只狼 9 楼 backahasten 要懂开发的，想逆向啥就要先开发一个类似的，比如我现在搞TI cc2640的一个东西，就要先去看他的开发我只会接下引脚，然后写代码，那些波什么的都不懂 2019-3-6 17:25 0
junkboy 雪币： 11716 活跃值： (133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 348 粉丝 2 关注私信	junkboy 10 楼感谢分享很喜欢这种流水账文章清晰～ 2019-3-6 18:19 0
yjmwxwx 雪币： 803 活跃值： (850) 能力值： ( LV4，RANK：40 ) 在线值：发帖 21 回帖 111 粉丝 38 关注私信	yjmwxwx 11 楼学习了，喜欢这样的帖子。 2019-3-6 20:39 0
backahasten 雪币： 734 活跃值： (458) 能力值： ( LV5，RANK：60 ) 在线值：发帖 2 回帖 33 粉丝 22 关注私信	backahasten 1 12 楼 junkboy 感谢分享很喜欢这种流水账文章清晰～感谢大佬给钱投食 2019-3-6 22:19 0
comewhere 雪币： 4574 活跃值： (2515) 能力值： ( LV4，RANK：55 ) 在线值：发帖 4 回帖 135 粉丝 1 关注私信	comewhere 1 13 楼 mark 2019-3-7 08:46 0
Editor 雪币： 26245 活跃值： (63297) 能力值： (RANK：135 ) 在线值：发帖 1608 回帖 4397 粉丝 1772 关注私信	Editor 14 楼感谢分享！ 2019-3-7 09:53 0
DWwinter 雪币： 403 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 121 粉丝 0 关注私信	DWwinter 15 楼 mark 2019-3-7 10:36 0
yuanyouran 雪币： 4224 活跃值： (788) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 29 粉丝 0 关注私信	yuanyouran 16 楼感谢分享！ 2019-3-7 11:06 0
金奔腾雪币： 41 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 68 粉丝 1 关注私信	金奔腾 17 楼感谢分享!!! 2019-3-7 13:37 0
qqwawzymu 雪币： 639 活跃值： (1192) 能力值： ( LV2，RANK：15 ) 在线值：发帖 40 回帖 284 粉丝 3 关注私信	qqwawzymu 18 楼非常厉害，希望楼主再出多一些教程。。。。非常受教了。 2019-3-7 16:40 0
raax 雪币： 1293 活跃值： (109) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 26 粉丝 1 关注私信	raax 1 19 楼学习了。 2019-3-7 23:21 0
killpy 雪币： 83 活跃值： (1087) 能力值： ( LV8，RANK：130 ) 在线值：发帖 35 回帖 654 粉丝 48 关注私信	killpy 2 20 楼学习了我在等ida7.2呢看来已经凉了 2019-3-8 01:28 0
大帅锅雪币： 16506 活跃值： (6392) 能力值： ( LV13，RANK：923 ) 在线值：发帖 38 回帖 213 粉丝 73 关注私信	大帅锅 4 21 楼好文 2019-3-8 13:51 0
wsc 雪币： 35 活跃值： (5254) 能力值： ( LV3，RANK：20 ) 在线值：发帖 132 回帖 573 粉丝 54 关注私信	wsc 22 楼好文 2019-3-8 19:06 0
aiening 雪币： 97 活跃值： (157) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	aiening 23 楼非常感谢无私分享！ 2019-3-9 23:56 0
雨夜听风雪币： 226 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	雨夜听风 24 楼还可以做 sig文件做匹配哦 2019-3-11 19:02 0
zzjAdmir 雪币： 279 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	zzjAdmir 25 楼新手求指导，“我们可以在每个0x2对齐的位置去按C（因为Thumb指令是0x2对齐的），让IDA Pro强行反汇编”，这个0x2对齐的位置指的是什么位置，可以截图举例下吗？谢谢 2019-3-14 10:55 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复