2.6.1 硬改 · 物联网安全

硬改

前言

硬件层面的修改在现实生活中是相当常见的事情,所谓的硬改、魔改、硬破等等说法,指的就是在硬件层面对设备进行 diy 功能改造。例如针对传统路由器的硬件架构,替换大容量的内存和闪存芯片,使之能够刷 openwrt 系统;对某些设备进行配置层的升级,如 iPhone,小米等手机内存扩容,使之具有更大容量的存储空间和运行内存; 以及对设备的破解,例如 ps,xbox 等游戏主机系列的硬破、软破,还有对各种加密录音笔,摄像头,加密U盘和硬盘的破解。
研究硬件修改对硬件diy改造,以及厂商在硬件层的安全防护具有非常重要意义。硬件层修改分为硬改和软改两个部分,硬改是对硬件中芯片和电路的改造、替换等,软改是针对芯片固件的修改、重打包等。本节将用具体的几个实例展示如何对设备进行硬改。

硬改路由器刷openwrt

修改方案

目前市面上主流的路由器,平时家用功能或许够用,但如果需要一些高级功能,比如屏蔽广告,挂vpn等等又难以实现,而采用 openwrt 系统可以充分满足定制化和 diy 的需求,openwrt 是一个高度模块化、高度自动化的嵌入式Linux系统,拥有强大的网络组件和扩展性,但如果专门购买 openwrt 系统的路由器,价格却又不是十分亲民,如果能把传统路由器通过硬件修改,刷入 openwrt 系统,就是个低成本的解决方案了,本次用来硬改的路由器具体参数如下:品牌: TP-Link , 型号:WR842N,版本:v4.3,采用高通 QCA9533 的主控,16M 的闪存、2M 的 flash 芯片,虽然是老机器,但除了不能外接 usb,基本满足需求,当然价格也便宜。

图片[1]-2.6.1 硬改 · 物联网安全-安全小百科

不得不说 TP-Link 最近出的机器,硬件缩水越来越严重,新的机器,闪存都集成到了 CPU 里面,基本没有硬改的空间了。

图片[2]-2.6.1 硬改 · 物联网安全-安全小百科

更换内存芯片

openwrt 系统最低硬件配置需要 32M 内存,8M 存储芯片,因此需要更换机器上对应的两块芯片,下图红框部分。

图片[3]-2.6.1 硬改 · 物联网安全-安全小百科

首先更换内存芯片,换上64M内存芯片,新手的话,建议通过风枪来拆芯片,先用胶带保护一下芯片周围的元件,防止吹飞掉,加点助焊膏,温度稍微高一点。

图片[4]-2.6.1 硬改 · 物联网安全-安全小百科

图片[5]-2.6.1 硬改 · 物联网安全-安全小百科

芯片拆下后,先清洁一下焊盘,用吸锡线去掉焊盘上残余的锡,使焊盘平整,便于对齐芯片引脚。

图片[6]-2.6.1 硬改 · 物联网安全-安全小百科

清洁完成后,换上 64M 芯片,注意芯片上的小圆点就是第一脚,需要跟焊盘上的右下角的小圆点对齐,方向不对,芯片就白焊了。

图片[7]-2.6.1 硬改 · 物联网安全-安全小百科

对齐芯片后,先上一点锡,把芯片固定住,然后涂上助焊剂,为了防止引脚锡粘连,建议助焊膏多放一点,然后采用堆锡法,烙铁头采用弯头,便于拖动焊锡,温度稍高一点,一般无铅锡丝温度在380左右,否则焊锡拖不动,注意锡要适量,否则处理起来比较麻烦,用烙铁头的弯曲处沿着引脚朝一个方向拖动,可能会有剩余的锡处理不掉,可以用吸锡线处理。焊好一侧后,继续用同样的方式焊另一侧,全部焊接完成之后,让芯片自然冷却后,用洗板水或无水酒精清洗干净。

图片[8]-2.6.1 硬改 · 物联网安全-安全小百科

先通电测试下路由器工作是否正常,如果亮灯不正常,就需要补焊一次。

图片[9]-2.6.1 硬改 · 物联网安全-安全小百科

确认路由器工作正常,接下来拆下 flash 芯片,同样用风枪,拆下后,处理一下焊盘。

图片[10]-2.6.1 硬改 · 物联网安全-安全小百科

刷编程器固件

在恩山上下载了 LEDE17.1 的编程器固件,支持 WR842N 型号路由器,明月固件也可以,然后把 bin 文件通过编程器刷进芯片中。

图片[11]-2.6.1 硬改 · 物联网安全-安全小百科

芯片放置在烧录座中,用烧录座连接编程器。

图片[12]-2.6.1 硬改 · 物联网安全-安全小百科

编程器刷入固件。

图片[13]-2.6.1 硬改 · 物联网安全-安全小百科

更换闪存芯片

把烧录完成后的芯片取出,然后焊接上,同样注意引脚的方向,芯片上的小圆点为第一脚,对准焊盘上的第一脚,加点助焊膏。
存储芯片引脚间距较大,用烙铁头粘上一点锡,采用点焊法即可焊上。

图片[14]-2.6.1 硬改 · 物联网安全-安全小百科

硬改完成

全部焊接完成,把板子清洁一下,重新通电测试,路由器正常,搜索到wifi信号后连接,后台地址:http://192.168.1.1/ 默认用户名和密码;root、root,登录进去,一切正常,说明硬改成功。

图片[15]-2.6.1 硬改 · 物联网安全-安全小百科

openwrt刷好后,需要先修改密码,然后开启一下ssh,就可以用ssh登录管理了,网上很多编译好的安装包,根据自己的需要安装。

体外分离硬破摄像头

修改方案

在对某品牌智能摄像头进行串口调试时,发现厂商对串口进行了加密,需要输入root密码才能登陆系统。

图片[16]-2.6.1 硬改 · 物联网安全-安全小百科

尝试读取固件中的 shadow 文件,随即拆掉芯片进行固件读取,飞线读写的成功率不高。

图片[17]-2.6.1 硬改 · 物联网安全-安全小百科

成功提取固件,找到密码,却暴力破解不了,可行的方案是修改密码然后重新打包固件在刷进芯片中了,改完密码后,重打包在刷进去。

图片[18]-2.6.1 硬改 · 物联网安全-安全小百科

然而事情并不简单。

图片[19]-2.6.1 硬改 · 物联网安全-安全小百科

固件修改重刷之后,通电测试发现摄像头并不能启动,排查问题根源在于固件重打包过程出了问题,内部可能也有校验,反复多次试验后,出现了意料之中的事情,因为摄像头较为廉价,PCB做工用料并不是十分优秀,反复拆焊导致焊盘损坏,芯片焊上去出现短路、断路等等问题,绝缘层脱落,采用飞线也无法解决,机器彻底报废,最终出现了如下尸横遍野的结果。

图片[20]-2.6.1 硬改 · 物联网安全-安全小百科

拆存储芯片

固件修改重刷是难以一次修改成功的,报废过多,造成太多的浪费,最终想到采用全部焊点飞线到烧录座上,在把芯片放在烧录座上,只要保证焊接不出错,飞线距离够短,就能保证焊盘不受损坏,固件也可以反复烧录测试。
首先拆掉芯片,周围同样采用胶带保护一下。

图片[21]-2.6.1 硬改 · 物联网安全-安全小百科

飞线芯片烧录座

飞线采用很细的漆包铜线,线长控制在10厘米以内,刮去漆包线头的绝缘层,然后依次飞线焊接,注意焊盘和烧录座引脚的顺序。

图片[22]-2.6.1 硬改 · 物联网安全-安全小百科

飞线完成后,用热熔胶固定好焊盘和飞线,防止焊点脱落。

图片[23]-2.6.1 硬改 · 物联网安全-安全小百科

通电测试,发现机器一切正常,说明改造成功。

图片[24]-2.6.1 硬改 · 物联网安全-安全小百科

烧录固件

继续修改固件测试,修改的细节在之后固件修改章节会详细说明,
因为芯片放在烧录座上,可以轻易的取下重刷,极大的提高了效率,最终成功修改好密码,固件刷录,机器开启正常。

图片[25]-2.6.1 硬改 · 物联网安全-安全小百科

硬破成功

用修改之后的密码成功登陆进行串口调试,继续更深层次的安全检测,此处调试接口RX、TX焊点已引出,方便接线。

图片[26]-2.6.1 硬改 · 物联网安全-安全小百科

图片[27]-2.6.1 硬改 · 物联网安全-安全小百科

魔改小米5手机加6G内存

修改方案

小米手机一向以性价比著称,但其中的小米5作为2016年的旗舰机,却受到颇多的诟病,核心在于采用的是高通骁龙 820 的 CPU ,高配版的内存 RAM 都只有 3G,导致手机运行中不是很流畅,鉴于内存过低,因此准备魔改成 6G 内存,本次更换的芯片为三星 K3RG6G60MM-MGCJ-LPDDR4-6G 内存芯片。

拆机

说干就干,小米5的话,还是很好拆的一种机型,后盖可以直接打开,然后把螺丝、排线、电池一一取下,主板拿出来即可,注意电池因为背面贴有双面胶,一定不要用蛮力,否则可能损坏底部的排线和屏幕。

图片[28]-2.6.1 硬改 · 物联网安全-安全小百科

图片[29]-2.6.1 硬改 · 物联网安全-安全小百科

图片[30]-2.6.1 硬改 · 物联网安全-安全小百科

主板取下后,没有被屏蔽罩保护的就是内存芯片,揭开散热垫,小米5自带的内存芯片型号为:海力士 skhynix-H9HKNNNDGUMU-BRNMH-3Gbit-LPD4。

图片[31]-2.6.1 硬改 · 物联网安全-安全小百科

拆内存芯片

拆内存芯片要注意保护好周围元器件,贴上高温铝箔纸,涂上焊膏,风枪先给板子预热几秒,然后在距离芯片 1 厘米左右位置,沿着芯片四周按照同一个方向转动,使芯片均匀受热,防止爆板和爆片。
)
图片[32]-2.6.1 硬改 · 物联网安全-安全小百科

取下芯片后,清洁焊盘。

图片[33]-2.6.1 硬改 · 物联网安全-安全小百科

植锡球

BGA 焊接,植锡球是关键,植锡之前,必须把植锡网清洁干净,选用合适的锡球和 BGA 专用焊膏,先把芯片涂上一层焊膏,涂抹要均匀,注意不要过多,以植锡网覆盖上去后,焊膏不能溢出植锡网孔为准,否则会粘连锡球,选用 0.25 的无铅低温锡球,把芯片在植锡台上放好,然后盖上植锡网,要对准芯片的焊点,然后盖上固定盖。倒进锡球,稍微晃动一下,使锡球均匀的分布在网孔里,然后倒掉多余锡球,取下植锡网,在用热风枪加热植好锡球的芯片,使锡球固定,注意要缓慢移动风枪,风嘴距离芯片要稍远一点,防止锡球吹飞。

图片[34]-2.6.1 硬改 · 物联网安全-安全小百科

图片[35]-2.6.1 硬改 · 物联网安全-安全小百科

BGA 焊接

先给焊盘均匀的上好一层焊膏,植好锡球的芯片,对准主焊盘,然后放置到 BGA 返修台上固定好,先 100 度预热烘干,在执行 BGA 焊接曲线。

图片[36]-2.6.1 硬改 · 物联网安全-安全小百科

图片[37]-2.6.1 硬改 · 物联网安全-安全小百科

焊接完成后,使板子自然冷却,然后清洗干净。

图片[38]-2.6.1 硬改 · 物联网安全-安全小百科

魔改完成

装机,然后开机测试,一切正常,说明魔改成功。

图片[39]-2.6.1 硬改 · 物联网安全-安全小百科

相关推荐: 附录三: 修订记录 · 物联网安全

修订记录 1.0: 2021-1-29 硬件安全章节: 1.1 新增2.4.3小节,介绍常见硬件通信协议,如SPI 协议、I2C 协议、CAN 协议、USB 协议和UART 协议; 1.2 新增2.5.3小节,JTAGulator调试,制作JTAGulator…

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享