[原创]TD路由器固件解密-智能设备-看雪安全社区

[原创]TD路由器固件解密

发表于: 2025-11-17 16:59 1466

[原创]TD路由器固件解密

易之生生

2025-11-17 16:59

1466

版本 : AX3000_Pro_V16.03.49.26

分析工具 : qiling

首先使用binwalk -E查看固件的熵，显然固件是经过了加密。

AX3000固件的熵

使用binwalk是无法分析的，但是使用在线binwalk竟然可以正常解压固件，于是把固件都下载下来进行分析，发现解密固件程序是decry_firm。

由于是aarch64程序，可以使用qiling进行模拟执行。固件的rootfs目录结构如下：

qiling代码如下:

运行完成后US_AX3000.Pro_V16.03.49.26_cn_JAX01.bin就解密了，本来是希望使用qiling的debugger功能来调试的，可能是由于调试程序不支持aarch64架构，没有调试成功。

使用IDA进行静态分析，调用流程还是非常简单的。

start()->sub_4056F8()->sub_4052FC()->sub_404E1C()

sub_4052FC()函数代码如下:

AES_1

sub_404E1C()函数代码如下:

AES_2

现在只需要HOOK sub_40827C() 来获取AES的KEY。

HOOK sub_408300() 来获取AES的IV。

HOOK AES KEY 代码：

HOOK AES 代码:

hook_aes x0-x4的参数依次是:原始密文/明文地址/大小/轮密钥/IV。

qiling的完整代码如下：

file decry_firm

decry_firm: ELF 64-bit LSB executable, ARM aarch64, version 1 (SYSV), dynamically linked, interpreter /lib/ld-musl-aarch64.so.1, stripped

file decry_firm

decry_firm: ELF 64-bit LSB executable, ARM aarch64, version 1 (SYSV), dynamically linked, interpreter /lib/ld-musl-aarch64.so.1, stripped

tree rootfs/arm64_linux_tenda/
rootfs/arm64_linux_tenda/
├── bin
│   ├── arm64_hello_static
│   └── decry_firm
├── lib
│   ├── ld-musl-aarch64.so.1
│   ├── libc.so
│   └── libgcc_s.so.1
├── proc
│   └── sys
│       └── kernel
│           └── osrelease
└── temp
    └── US_AX3000.Pro_V16.03.49.26_cn_JAX01.bin
 
7 directories, 7 files

tree rootfs/arm64_linux_tenda/

rootfs/arm64_linux_tenda/

├── bin

│ ├── arm64_hello_static

│ └── decry_firm

├── lib

│ ├── ld-musl-aarch64.so.1

│ ├── libc.so

│ └── libgcc_s.so.1

├── proc

│ └── sys

│ └── kernel

│ └── osrelease

└── temp

└── US_AX3000.Pro_V16.03.49.26_cn_JAX01.bin

7 directories, 7 files

#!/usr/bin/env python3
# 
# Cross Platform and Multi Architecture Advanced Binary Emulation Framework
#
 
import sys
sys.path.append("..")
 
from qiling import Qiling
from qiling.const import QL_VERBOSE
from qiling.const import QL_INTERCEPT
import struct
import hexdump
 
def run_sandbox(path, rootfs):
    ql = Qiling(path, rootfs, verbose=QL_VERBOSE.DEFAULT, multithread=False)
    # ql.debugger = True 
    # ql.debugger = "qdb"
    ql.run()
 
if __name__ == "__main__":
    run_sandbox(["rootfs/arm64_linux_tenda/bin/decry_firm","/temp/US_AX3000.Pro_V16.03.49.26_cn_JAX01.bin"], "rootfs/arm64_linux_tenda")

#!/usr/bin/env python3

#

# Cross Platform and Multi Architecture Advanced Binary Emulation Framework

#

import sys

sys.path.append("..")

from qiling import Qiling

from qiling.const import QL_VERBOSE

from qiling.const import QL_INTERCEPT

import struct

import hexdump

def run_sandbox(path, rootfs):

ql = Qiling(path, rootfs, verbose=QL_VERBOSE.DEFAULT, multithread=False)

# ql.debugger = True

# ql.debugger = "qdb"

ql.run()

if __name__ == "__main__":

run_sandbox(["rootfs/arm64_linux_tenda/bin/decry_firm","/temp/US_AX3000.Pro_V16.03.49.26_cn_JAX01.bin"], "rootfs/arm64_linux_tenda")

def hook_key(ql: Qiling) -> None:
    ql.log.info('--------- hook_key ---------')
    ql.log.info(f"0x{ql.arch.regs.x1:08X}")
    struct_data = ql.mem.read(ql.arch.regs.x0,0X0F)
    hexdump.hexdump(struct_data)
 
ql.hook_address(hook_key, 0x405018)

def hook_key(ql: Qiling) -> None:

ql.log.info('--------- hook_key ---------')

ql.log.info(f"0x{ql.arch.regs.x1:08X}")

struct_data = ql.mem.read(ql.arch.regs.x0,0X0F)

hexdump.hexdump(struct_data)

ql.hook_address(hook_key, 0x405018)

def hook_aes(ql: Qiling) -> None:
 
    ql.log.info('--------- hook_aes ---------')
     
    ql.log.info(f"0x{ql.arch.regs.x0:08X}")
    struct_data = ql.mem.read(ql.arch.regs.x0,0X80)
    hexdump.hexdump(struct_data)
 
    ql.log.info(f"0x{ql.arch.regs.x1:08X}")
    struct_data = ql.mem.read(ql.arch.regs.x1,0X80)
    hexdump.hexdump(struct_data)
 
    ql.log.info(f"0x{ql.arch.regs.x2:08X}")
 
    ql.log.info(f"0x{ql.arch.regs.x3:08X}")
    struct_data = ql.mem.read(ql.arch.regs.x3,0X80)
    hexdump.hexdump(struct_data)
 
    ql.log.info(f"0x{ql.arch.regs.x4:08X}")
    struct_data = ql.mem.read(ql.arch.regs.x4,0X0F)
    hexdump.hexdump(struct_data)
 
    ql.emu_stop()
 
ql.hook_address(hook_aes, 0x4050E0)

def hook_aes(ql: Qiling) -> None:

ql.log.info('--------- hook_aes ---------')

ql.log.info(f"0x{ql.arch.regs.x0:08X}")

struct_data = ql.mem.read(ql.arch.regs.x0,0X80)

hexdump.hexdump(struct_data)

ql.log.info(f"0x{ql.arch.regs.x1:08X}")

struct_data = ql.mem.read(ql.arch.regs.x1,0X80)

hexdump.hexdump(struct_data)

ql.log.info(f"0x{ql.arch.regs.x2:08X}")

ql.log.info(f"0x{ql.arch.regs.x3:08X}")

struct_data = ql.mem.read(ql.arch.regs.x3,0X80)

hexdump.hexdump(struct_data)

ql.log.info(f"0x{ql.arch.regs.x4:08X}")

struct_data = ql.mem.read(ql.arch.regs.x4,0X0F)

hexdump.hexdump(struct_data)

ql.emu_stop()

ql.hook_address(hook_aes, 0x4050E0)

[=]     --------- hook_key ---------
[=]     0x7FFFFFFFFAA0
00000000: ................................................  ................
[=]     --------- hook_aes ---------
[=]     0x7FFFFFFFBAA0
00000000: 7E 5D C6 3A BC D3 87 27  48 BD 9D 2B 7F 4D E6 68  ~].:...'H..+.M.h
00000010: 95 A8 AC 34 69 EE 7A 07  42 50 D4 EB 9E 7C 4C F6  ...4i.z.BP...|L.
00000020: 00 10 5C A3 28 5F 3F C1  49 4E 74 40 9C 49 C3 7B  ..\.(_?.INt@.I.{
00000030: 68 AA ED 16 E8 E8 86 A3  9F 69 9B BD 77 C4 B8 23  h........i..w..#
00000040: 73 60 24 AB 1C F5 0A 2A  6B 5B 34 66 F2 1E 75 76  s`$....*k[4f..uv
00000050: 46 2D 83 E4 08 FF A8 73  5A 75 C0 EE B9 01 79 A8  F-.....sZu....y.
00000060: 7C AB E2 97 96 C9 8D 5D  75 3F 2B 23 A8 1B DF 25  |......]u?+#...%
00000070: EB BB 7A 80 61 14 B2 04  8C FE 91 42 D3 99 FC C8  ..z.a......B....
[=]     0x7FFFB7DF9000
00000000: 00 DE 14 60 7F 73 E9 2B  3E 18 D5 85 D6 8A E4 CC  ...`.s.+>.......
00000010: A3 06 35 B1 17 9C BC 3E  73 64 01 92 4C A5 F3 D0  ..5....>sd..L...
00000020: C6 39 88 FE 66 65 A1 11  19 8A F1 D3 F5 CB 04 1A  .9..fe..........
00000030: 9A C9 6C B7 34 00 2C 62  7A 8E E1 4D 31 B0 57 35  ..l.4.,bz..M1.W5
00000040: 10 11 19 44 09 47 97 AF  67 ED F2 AC C8 6E A9 5A  ...D.G..g....n.Z
00000050: C3 D0 C0 10 23 B3 3E EE  92 81 7B 18 AB 45 D4 0C  ....#.>...{..E..
00000060: CD 34 06 9E 18 EF 9F 05  41 CF 13 8F F5 CA 52 BE  .4......A.....R.
00000070: C2 C7 C2 A8 6A C7 11 20  A1 4E 96 79 6C CB 84 A9  ....j.. .N.yl...
[=]     0x00004000
[=]     0x7FFFFFFFFAA0
00000000: 1B F0 5A 24 1F FE F5 E1  CA E0 A5 8B 54 9B 9B 5C  ..Z$........T..\
00000010: 41 CD 45 FC 4A 56 21 5D  AA 60 D6 ED D6 40 6E F4  A.E.JV!].`...@n.
00000020: 00 2B 33 2D 0B 9B 64 A1  E0 36 F7 B0 7C 20 B8 19  .+3-..d..6..| ..
00000030: CD 67 6B 19 0B B0 57 8C  EB AD 93 11 9C 16 4F A9  .gk...W.......O.
00000040: 4A 07 FB 65 C6 D7 3C 95  E0 1D C4 9D 77 BB DC B8  J..e..<.....w...
00000050: B6 C9 9F F0 8C D0 C7 F0  26 CA F8 08 97 A6 18 25  ........&......%
00000060: 08 83 CA FB 3A 19 58 00  AA 1A 3F F8 B1 6C E0 2D  ....:.X...?..l.-
00000070: D8 6D 00 92 32 9A 92 FB  90 03 67 F8 1B 76 DF D5  .m..2.....g..v..
[=]     0x7FFFFFFFFBD8
00000000: ................................................  ................

[=] --------- hook_key ---------

回复或点赞可查看完整内容

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2025-11-18 11:37 被易之生生编辑，原因：

#固件分析 #家用设备

收藏・31

免费・28

支持

赞赏记录

参与人

雪币

留言

时间

backspray

谢谢你的细致分析，受益匪浅！

1小时前

mb_dzntuqwg

感谢你的积极参与，期待更多精彩内容！

4天前

jwkc01

期待更多优质内容的分享，论坛有你更精彩！

2025-12-22 08:05

是气球呀

谢谢你的细致分析，受益匪浅！

2025-12-17 18:51

Halo_111

感谢你分享这么好的资源！

2025-12-16 15:52

Ryuuku_

感谢你的积极参与，期待更多精彩内容！

2025-12-15 15:41

x芏x

你的帖子非常有用，感谢分享！

2025-12-10 17:10

git_51656Eknight-Eutopia

你的帖子非常有用，感谢分享！

2025-12-9 18:02

mb_jnkhwsat

为你点赞！

2025-12-5 21:12

10vez

为你点赞！

2025-12-2 18:11

世界美景

为你点赞！

2025-11-27 17:04

git_33582SilentSobs

谢谢你的细致分析，受益匪浅！

2025-11-27 02:16

mb_xiidyjjr

这个讨论对我很有帮助，谢谢！

2025-11-25 15:38

wx_发多少烦恼

你的帖子非常有用，感谢分享！

2025-11-25 09:39

迷茫小白

你的分享对大家帮助很大，非常感谢！

2025-11-25 09:27

穗之影

为你点赞！

2025-11-24 17:37

mb_xpeetrfy

你的帖子非常有用，感谢分享！

2025-11-24 11:36

mb_swhggodp

感谢你的积极参与，期待更多精彩内容！

2025-11-24 09:34

Eluvies

感谢你的贡献，论坛因你而更加精彩！

2025-11-23 19:05

Y6blNU1L

你的帖子非常有用，感谢分享！

2025-11-19 17:57

wdone

这个讨论对我很有帮助，谢谢！

2025-11-19 10:10

git_35205FeghPS

你的分享对大家帮助很大，非常感谢！

2025-11-19 09:09

ONewTach

这个讨论对我很有帮助，谢谢！

2025-11-19 08:59

十年后

你的帖子非常有用，感谢分享！

2025-11-18 07:13

wuli鸭蛋君

为你点赞！

2025-11-17 21:01

mb_cquxtatr

这个讨论对我很有帮助，谢谢！

2025-11-17 20:36

mb_hzfcelhs

为你点赞！

2025-11-17 18:41

huangyalei

为你点赞！

2025-11-17 17:28

最新回复 (16)
mb_dnoaagxq 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	mb_dnoaagxq 2 楼感谢分享 2025-11-19 09:15 0
mb_zyrvrlvx 雪币： 305 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_zyrvrlvx 3 楼师傅，前面部分的图片是不是没传上来 2025-11-21 17:57 0
mb_zyrvrlvx 雪币： 305 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_zyrvrlvx 4 楼抱歉，我这网卡了 2025-11-21 18:14 0
wx_WantC 雪币： 442 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 1 关注私信	wx_WantC 5 楼学习了 2025-11-21 22:52 0
michallsun 雪币： 4 活跃值： (1151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 87 粉丝 0 关注私信	michallsun 6 楼感谢分享 2025-11-24 07:46 0
鸡鸡腰上缠雪币： 246 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 17 粉丝 1 关注私信	鸡鸡腰上缠 7 楼学习了 2025-11-24 08:13 0
wx_IT_717 雪币： 2318 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 52 粉丝 0 关注私信	wx_IT_717 8 楼感谢分享，学习一下 2025-11-24 08:43 0
mb_mrjjcxgk 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 81 粉丝 0 关注私信	mb_mrjjcxgk 9 楼 66 2025-11-24 14:13 0
whydbg 雪币： 1430 活跃值： (4647) 能力值： ( LV9，RANK：156 ) 在线值：发帖 0 回帖 117 粉丝 1 关注私信	whydbg 10 楼感谢分享 2025-11-24 17:13 0
liert 雪币： 214 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	liert 11 楼感谢分享 2025-12-1 17:30 0
liert 雪币： 214 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	liert 12 楼 decry_firm是在线binwalk提取出来的吗，有链接吗或者能不能发下decry_firm 2025-12-1 17:37 0
mb_vwuaejat 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mb_vwuaejat 13 楼感谢分享 2025-12-9 20:57 0
leopadpanzer 雪币： 226 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	leopadpanzer 14 楼大佬是不是有些图挂了 2025-12-10 09:54 0
luoye_ATL 雪币： 1346 活跃值： (1688) 能力值： ( LV5，RANK：78 ) 在线值：发帖 2 回帖 21 粉丝 26 关注私信	luoye_ATL 15 楼感谢分享 2025-12-12 11:51 0
wx_。tao 雪币： 0 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_。tao 16 楼 111 4天前 0
wx_。tao 雪币： 0 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_。tao 17 楼大佬，在线binwalk网站能不能分享一下 4天前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

易之生生

发帖

回帖

177

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
mb_dnoaagxq 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	mb_dnoaagxq 2 楼感谢分享 2025-11-19 09:15 0
mb_zyrvrlvx 雪币： 305 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_zyrvrlvx 3 楼师傅，前面部分的图片是不是没传上来 2025-11-21 17:57 0
mb_zyrvrlvx 雪币： 305 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	mb_zyrvrlvx 4 楼抱歉，我这网卡了 2025-11-21 18:14 0
wx_WantC 雪币： 442 活跃值： (90) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 1 关注私信	wx_WantC 5 楼学习了 2025-11-21 22:52 0
michallsun 雪币： 4 活跃值： (1151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 87 粉丝 0 关注私信	michallsun 6 楼感谢分享 2025-11-24 07:46 0
鸡鸡腰上缠雪币： 246 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 17 粉丝 1 关注私信	鸡鸡腰上缠 7 楼学习了 2025-11-24 08:13 0
wx_IT_717 雪币： 2318 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 52 粉丝 0 关注私信	wx_IT_717 8 楼感谢分享，学习一下 2025-11-24 08:43 0
mb_mrjjcxgk 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 81 粉丝 0 关注私信	mb_mrjjcxgk 9 楼 66 2025-11-24 14:13 0
whydbg 雪币： 1430 活跃值： (4647) 能力值： ( LV9，RANK：156 ) 在线值：发帖 0 回帖 117 粉丝 1 关注私信	whydbg 10 楼感谢分享 2025-11-24 17:13 0
liert 雪币： 214 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	liert 11 楼感谢分享 2025-12-1 17:30 0
liert 雪币： 214 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	liert 12 楼 decry_firm是在线binwalk提取出来的吗，有链接吗或者能不能发下decry_firm 2025-12-1 17:37 0
mb_vwuaejat 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mb_vwuaejat 13 楼感谢分享 2025-12-9 20:57 0
leopadpanzer 雪币： 226 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	leopadpanzer 14 楼大佬是不是有些图挂了 2025-12-10 09:54 0
luoye_ATL 雪币： 1346 活跃值： (1688) 能力值： ( LV5，RANK：78 ) 在线值：发帖 2 回帖 21 粉丝 26 关注私信	luoye_ATL 15 楼感谢分享 2025-12-12 11:51 0
wx_。tao 雪币： 0 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_。tao 16 楼 111 4天前 0
wx_。tao 雪币： 0 活跃值： (130) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wx_。tao 17 楼大佬，在线binwalk网站能不能分享一下 4天前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复