[原创]利用unicorn分析固件中的算法

2021-4-22 13:19 25105

[原创]利用unicorn分析固件中的算法

wmsuper

2021-4-22 13:19

25105

前言

近年来，越来越多安全研究员开始使用QEMU以及unicorn这类虚拟化技术对固件进行模拟执行，甚至是FUZZ测试。模拟执行在嵌入式固件分析中应用越来越广泛，为了让大家能了解这一技术的使用方法，本文从实战出发，利用unicorn框架分析某个设备的加密算法。

分析固件

本文的目的想要分析并调用该固件的一个魔改的MD5。

我们简单地对比了该算法和标准md5的区别，发现大量算法常数被修改了。

MD5Init对比

标准算法：

修改后的：

MD5Step对比

标准算法：

修改后的：

分析思路

对照标准算法实现，分析魔改的地方，然后对标准算法进行修改。
缺点：分析时间长，修改的地方多的话还容易出错。特别是遇上二进制代码混淆，分析起来更加麻烦。
无需花大量时间分析算法，直接复制IDA反编译的代码，重新编译即可。
缺点：反编译的伪代码不一定准确，如果代码函数较多，需要复制和整理的函数也比较多，特别是变量类型这块，也要进行修复。
3．只需要分析函数的参数，使用模拟执行技术，对关键算法进行模拟执行。

模拟执行

分析函数参数

标准的MD5一般有三个函数，分别如下所示：

为了模拟执行，我们需要在IDA找到这三个函数的地址，如下所示：

用法如下，这里就不多介绍了

模拟环境初始化

该固件是MIPS大端架构系统，初始化一些加载地址，栈地址之类的全局变量

解析ELF文件，把固件的代码段读取到模拟器中：

分配栈空间，以及变量空间，用于存放md5_ctx以及输入的变量字符串

调用MD5函数

首先，我们为了让模拟器调用完每个函数之后能够停止运行，必须将返回地址设置为一个指定的地址，当callback检测到运行到该地址，立刻停止下来了：

分别调用3个函数：

通过代码可以知道，最终的md5值在MD5Context偏移为88的地方：

所以在调用完成之后直接把MD5_CTX偏移为88的数据读取出来即为MD5运算结果：

运行结果

当输入为12345678得到下面的MD5值

所有代码如下：

100

101

from unicorn import *
from capstone import *
from unicorn.mips_const import *
from elftools.elf.elffile import ELFFile
from elftools.elf.segments import Segment
import ctypes
import binascii
import hexdump
filepath='fw'
 
load_base=0
stack_base=0
stack_size=0x20000
var_base=load_base+stack_size
var_size=0x10000
stop_stub_addr=0x30000
stop_stub_size=0x10000
 
 
emu = Uc(UC_ARCH_MIPS,UC_MODE_MIPS32 + UC_MODE_BIG_ENDIAN)
 
def disasm(bytecode,addr):
    md=Cs(CS_ARCH_MIPS,CS_MODE_MIPS32+ CS_MODE_BIG_ENDIAN)
    for asm in md.disasm(bytecode,addr):
        return '%s\t%s'%(asm.mnemonic,asm.op_str)
def align(addr, size, growl):
    UC_MEM_ALIGN = 0x1000
    to = ctypes.c_uint64(UC_MEM_ALIGN).value
    mask = ctypes.c_uint64(0xFFFFFFFFFFFFFFFF).value ^ ctypes.c_uint64(to - 1).value
    right = addr + size
    right = (right + to - 1) & mask
    addr &= mask
    size = right - addr
    if growl:
        size = (size + to - 1) & mask
    return addr, size
def hook_code(uc, address, size, user_data):
    bytecode=emu.mem_read(address,size)
    print(" 0x%x :%s"%(address,disasm(bytecode,address)))
    if address==stop_stub_addr:
        emu.emu_stop()
 
 
#init var
 
def my_md5(key):
 
    with open(filepath, 'rb') as elffile:
        elf=ELFFile(elffile)
        load_segments = [x for x in elf.iter_segments() if x.header.p_type == 'PT_LOAD']
 
        for segment in load_segments:
            prot = UC_PROT_ALL
            print('mem_map: addr=0x%x  size=0x%x'%(segment.header.p_vaddr,segment.header.p_memsz))
 
            addr,size=align(load_base + segment.header.p_vaddr,segment.header.p_memsz,True)
            emu.mem_map(addr, size, prot)
            emu.mem_write(addr, segment.data())
 
    emu.mem_map(stack_base, stack_size, UC_PROT_ALL)
    emu.mem_map(var_base, var_size, UC_PROT_ALL)
 
    md5_ctx=var_base
    psw=var_base+0x5000
 
    emu.mem_write(psw,key)
 
 
    emu.mem_map(stop_stub_addr, stop_stub_size, UC_PROT_ALL)
    emu.reg_write(UC_MIPS_REG_A0, md5_ctx)
    emu.reg_write(UC_MIPS_REG_RA,stop_stub_addr)
    emu.reg_write(UC_MIPS_REG_SP,stack_base+stack_size)
 
    my_MD5Init_addr=0x0041FAA8
    my_MD5Update_addr=0x0041FAE4
    my_MD5Final_addr=0x0041FC18
 
    #MD5Init
    code=emu.mem_read(my_MD5Init_addr, 8)
    emu.hook_add(UC_HOOK_CODE, hook_code)
    emu.emu_start(my_MD5Init_addr, my_MD5Init_addr + 0x1000)
 
    #MD5Update
    emu.reg_write(UC_MIPS_REG_A0, md5_ctx)
    emu.reg_write(UC_MIPS_REG_A1, psw)
    emu.reg_write(UC_MIPS_REG_A2, len(key))
    emu.reg_write(UC_MIPS_REG_SP,stack_base+stack_size)
    emu.reg_write(UC_MIPS_REG_RA,stop_stub_addr)
    emu.emu_start(my_MD5Update_addr, my_MD5Update_addr + 0x1000)
    #MD5Final
 
    emu.reg_write(UC_MIPS_REG_A0, md5_ctx)
    emu.reg_write(UC_MIPS_REG_SP,stack_base+stack_size)
    emu.reg_write(UC_MIPS_REG_RA,stop_stub_addr)
    emu.emu_start(my_MD5Final_addr, my_MD5Final_addr + 0x1000)
 
    return emu.mem_read(md5_ctx+88,16)
 
if __name__=="__main__":
    key=b'12345678'
    hexdump.hexdump(my_md5(key))

总结

本文通过unicorn将固件中魔改的md5算法成功进行模拟执行，并输出了正确的值，说明使用unicorn对固件中的算法进行分析是非常有效的。这将会对使用了混淆的算法特别有用，逆向研究人员只需要分析关键函数以及参数，让unicorn执行模拟即可，当然还有些不足，比如有些CPU指令支持不完全，运行效率等问题。

参考文章

https://bbs.pediy.com/thread-253868.htm

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#固件分析 #家用设备

收藏・24

点赞・6

打赏

最新回复 (5)
caolinkai 雪币： 3654 活跃值： (3828) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 2021-4-23 11:24 2 楼 0 支持下
daiweizhi 雪币： 13 活跃值： (396) 能力值： ( LV12，RANK：300 ) 在线值：发帖 6 回帖 29 粉丝 8 关注私信	daiweizhi 1 2021-6-9 15:36 3 楼 0 你这个硬件的是ARM指令集么？直接用python调用ARM固件的接口函数么？最后于 2021-6-9 15:44 被daiweizhi编辑，原因：
wmsuper 雪币： 12586 活跃值： (14290) 能力值： ( LV13，RANK：400 ) 在线值：发帖 33 回帖 106 粉丝 316 关注私信	wmsuper 7 2021-6-9 18:59 4 楼 0 daiweizhi 你这个硬件的是ARM指令集么？直接用python调用ARM固件的接口函数么？是mips的，通过模拟器模拟执行关键函数
lynxtang 雪币： 1025 活跃值： (196) 能力值： ( LV2，RANK：15 ) 在线值：发帖 -2 回帖 98 粉丝 0 关注私信	lynxtang 2021-6-12 08:28 5 楼 0 感谢分享，学习中，小白看的有点头大，哈哈
GX1000 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	GX1000 2022-8-22 23:01 6 楼 0 前辈, 能否留下elf, 想复现一下233333
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

wmsuper

发帖

106

回帖

400

RANK

关注

私信

他的文章

[原创][工控安全]CodeSys V3 协议及授权机制分析

Flare-ON 9th 之第八题BackDoor

[原创]如何入门工控漏洞挖掘-新年寄语

[原创]Flare-ON 8th 之第九题evil

[原创]看我攻破所谓的“安全系统”

关于我们

联系我们

企业服务

看雪公众号

最新回复 (5)
caolinkai 雪币： 3654 活跃值： (3828) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 2021-4-23 11:24 2 楼 0 支持下
daiweizhi 雪币： 13 活跃值： (396) 能力值： ( LV12，RANK：300 ) 在线值：发帖 6 回帖 29 粉丝 8 关注私信	daiweizhi 1 2021-6-9 15:36 3 楼 0 你这个硬件的是ARM指令集么？直接用python调用ARM固件的接口函数么？最后于 2021-6-9 15:44 被daiweizhi编辑，原因：
wmsuper 雪币： 12586 活跃值： (14290) 能力值： ( LV13，RANK：400 ) 在线值：发帖 33 回帖 106 粉丝 316 关注私信	wmsuper 7 2021-6-9 18:59 4 楼 0 daiweizhi 你这个硬件的是ARM指令集么？直接用python调用ARM固件的接口函数么？是mips的，通过模拟器模拟执行关键函数
lynxtang 雪币： 1025 活跃值： (196) 能力值： ( LV2，RANK：15 ) 在线值：发帖 -2 回帖 98 粉丝 0 关注私信	lynxtang 2021-6-12 08:28 5 楼 0 感谢分享，学习中，小白看的有点头大，哈哈
GX1000 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	GX1000 2022-8-22 23:01 6 楼 0 前辈, 能否留下elf, 想复现一下233333
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复