前言
上节初步介绍一些硬件基础知识和分析硬件所需要的基本工具,本篇将讲述利用编程器直接读取芯片固件的方法。
为了读取 Flash 芯片的内容,有以下两种常用方式:
1、直接将导线连接到芯片的引脚,在通过飞线连接编程器,进行在线读取固件;
2、把芯片拆焊下来,通过烧录座编程器,离线读取固件。
飞线法读取
通过夹具夹住芯片引脚,然后连接编程器读取芯片内容,通过编程器连接芯片需要注意引脚的顺序,在 IC 芯片上都会有一个小点,大多数情况下,小点对应的引脚即为芯片的第一脚,而连接编程器的导线也需要插入编程器上相应的引脚。
案例一:读取中控 F7 门禁固件
拆掉门禁外壳,通过电路图和芯片印字分析,在主板上有一颗 FM25F04A 存储芯片,通过夹具连接芯片到编程器,在通过专用编程器软件,对该芯片进行读取。
连接完成,确定引脚接线正确后,打开编程器对应软件,通过智能识别芯片ID,即可开始读取固件工作。
如无法识别,可根据印字说明,尝试类似的型号,一般情况下兼容。
点击读取,即可开始固件提取,成功之后会保存为 BIN 格式文件,打开即可看到 16 进制的内容,为下一步分析提供基础。
案例二:读取某智能摄像头固件
拆掉摄像头外壳,通过分析 PCB 上的各个 IC,找到 Flash 存储芯片。
在显微镜下,可以看到是一颗 25L64 型号的 Flash 芯片。
用夹具连接各引脚,并和编程器连接,进行固件读取。
识别到芯片型号为 GD25Q64,点击读取,读取完毕后按照提示保存到文件。
打开保存的 BIN 文件或者查看缓冲区,即可看到固件内容。
在Ubuntu中,用binwalk解包固件,做进一步分析。
案例三:读取某智能摄像头固件
打开外壳,在PCB背面发现一颗 Flash 存储芯片
通过显微镜发现芯片型号为 25L128。
连接编程器读取固件并保存。
案例四:读取某路由器固件
打开外壳,发现 PCB 上有一颗 Flash 存储器,但厂商出于安全考虑,把芯片印字涂抹掉了。
在不知道芯片型号的情况下,我们连接该芯片,让编程器去尝试读取。
通过智能识别,发现编程器无法识别出具体型号,而因为 Flash 存储芯片的种类多样,通过查找又无法获得该路由器的具体参数,这时我们通过 UART 串口,读取出 UBOOT 启动信息,串口输出里面发现了该芯片型号为 W25Q128BV。(下一篇将会重点介绍关于串口调试的方法)
在编程器中选择该型号,成功提取出固件。
用 binwalk 解包固件。
案例五:读取某智能电饭锅固件
拆掉外壳,背面嵌有一块 PCB,反面是 WIFI 处理芯片,正面为存储器,连接编程器。
通过印字分析为25芯片,存储大小为 2M 字节,尝试该型号芯片,成功读取固件。
案例六:读取某网络监控摄像机固件
在 PCB 上找到一块 25L128 型号的 Flash 存储芯片。
通过夹具连接编程器。
识别到芯片为 MX25L128,选择其中一种,成功提取固件。
用binwalk解包固件内容。
拆焊芯片读取固件
一般情况下,对于 TSOP8 封装的闪存芯片,可以用上述方法来读取,但可能存在在线读取成功率不高或数据丢失的情况,对于更多引脚和封装格式的芯片,飞线的难度更高,有一定锡焊基础的建议采用拆焊芯片,用烧录座离线读取的方法。
热风枪设置在适合的温度,吹下芯片,周围的元件可以用铝箔或锡箔纸适当保护。
拆下的闪存芯片放在烧录座上,在连接编程器进行读写,芯片放置的引脚方向要注意对齐编程器和烧录座的第一脚。
读取完成,用点焊法把芯片焊上焊盘即可。
更多芯片焊接修改操作请参考 2.4.2 硬件修改一节
jtag提取固件
拆焊芯片
首先用热风枪拆下智能锁主控芯片,该单片机型号为:Stm32F103R6。
烧录座连接Jlink
芯片第一脚对齐烧录座第一脚,然后把 Jlink 插入烧录座引出的 JTAG 接口。
读取固件
电脑上安装好 Jlink 驱动,打开 J-Flash 客户端,设置好参数,主要在配置栏选择正确的芯片型号,然后点击连接,在点击 Target->Read Back->Entire trip 即可读写固件。
Iot CTF
恐龙抗狼扛1年前0
kankan啊啊啊啊3年前0
66666666666666