首页
社区
课程
招聘
[原创]固件安全之加载地址分析
发表于: 2021-5-21 16:37 26385

[原创]固件安全之加载地址分析

2021-5-21 16:37
26385

在固件分析中,我们经常需要定位固件的加载地址,尤其是Vxworks或者是Linux kernel加载到内存的地址,来方便逆向工具例如IDA PRO进行正确的反汇编以及字符串引用。在下面的部分,本人将结合几个实例,来介绍我们如何寻找正确的固件加载地址。

在处理器芯片的数据手册中,一般都会描述该处理器的内存布局,包含各种中断表地址,也有加载flash数据的内存地址,这个地址就是我们需要找的固件加载地址,如下所示,0x8000000开始存放着flash数据,分析时候我们只需要设置这个地址即可。

通过UART一般可以获取固件启动的敏感信息,其中可能会包含加载地址,如下所示,然而这个地址虽然是内核固件的加载地址,但是内核是压缩的,内核会解压到另一块内存地址,也就是说还需要找到真正的固件加载地址。

为了获取Linux Kernel解压后的数据,可以使用binwalk -e kernel.bin解出原始的内核镜像。用IDA载入进行分析,注意高亮的地方已经标记出来,0xC0008080,很容易猜到真正的内核固件的加载地址为0xC0008000

这个方法在网上已经很多人已经分享了,主要是利用switch 跳转表,来确定固件的加载地址,这种方法在分析ARM架构的Vxworks使用的较多。

魔数,即magic number,主要思想是先利用一些特征数,定位到相关函数,然后从相关函数找字符串,通过对字符串地址的修正值来确定固件的加载地址,本质还是需要利用字符串的引用地址。
如下所示,这次的目标是一个uboot,我们要寻找uboot的加载地址:

通过分析源码可以知道IH_MAGIC常量值被多处引用:

选中一个引用该常量的函数:


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 14
支持
分享
最新回复 (6)
雪    币: 3194
活跃值: (5181)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
2
晴天师傅太强了!(震声)
2021-5-22 15:18
0
雪    币: 576
活跃值: (2035)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
mark  感谢分享
2021-5-23 18:15
0
雪    币: 2092
活跃值: (954)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
4
mark  写的比较详细 
2021-5-24 14:22
0
雪    币: 3167
活跃值: (882)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
mark
2023-4-18 11:01
0
雪    币: 0
活跃值: (57)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
2023-4-18 16:59
0
雪    币: 204
活跃值: (329)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7

这个写得非常好,刚好我也遇到了要自己找的情况,马上去试试看。

最后于 2023-4-26 17:55 被XYUU编辑 ,原因:
2023-4-26 17:53
0
游客
登录 | 注册 方可回帖
返回
//