51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

逆向工程物联网固件解析part 1

作者:walker
安全 应用安全
在本文中,我们展示了智能空气净化器逆向工程固件的实际示例,强调了研究其架构的重要性。本文对于致力于网络安全项目、想要了解逆向工程物联网设备的细微差别和步骤的开发团队很有帮助。

物联网 (IoT) 设备已经成为我们日常生活、工作环境、医院、政府设施和车队的重要组成部分。比如:Wi-Fi打印机、智能门锁、报警系统等等。2020 年,美国居民平均拥有十多个联网设备。但出于实用性而选择物联网设备的用户还需要确保这些设备的安全。

由于物联网设备通常连接到内部家庭或公司网络,因此破坏此类设备可以为犯罪分子提供对整个系统的访问权限。2021 年前六个月,智能设备遭受了约 15 亿次攻击,攻击者试图窃取数据、挖掘加密货币或构建僵尸网络。

确保物联网设备良好安全性的一种方法是执行逆向工程活动,这将帮助您更好地了解特定设备的构建方式,并允许您对设备及其固件进行进一步分析。

在本文中,我们展示了智能空气净化器逆向工程固件的实际示例,强调了研究其架构的重要性。本文对于致力于网络安全项目、想要了解逆向工程物联网设备的细微差别和步骤的开发团队很有帮助。

研究固件架构的重要性

逆向工程物联网固件的过程因所研究的设备而异。

物联网设备发展得非常快,市场的主导架构一直在变化。不到十年前,最流行的选择主要是 x86 或 ARM,不太可能是 MIPS 或 PowerPC。但现在,您需要了解多种微控制器架构来对嵌入式设备进行逆向工程:Tricore、rh850、i8051、PowerPC VLE等。

深入学习单一架构不足以在物联网逆向工程中取得成功。如果开发人员有必要尽快开始逆向工程,他们应该从学习固件架构和结构的基础知识开始。

这正是我们想要在本文中描述的:逆向工程师研究他们以前从未见过的新架构和固件格式的方式。

在本文中,我们使用了小米空气净化器 3H 的固件转储。我们选择它是因为它是 ESP32 CPU(即Tensilica Xtensa 架构)的固件转储。这是一种相当奇特的架构选择,但在需要 Wi-Fi 通信的物联网设备中很常见。您可以在此 GitHub 页面上找到我们将作为本文示例进行逆向工程的固件 (ESP-32FW.bin) 。

这种情况的挑战是,没有针对固件架构的现有反编译器,并且反汇编器几乎不支持它。然而,这是逆向工程师当今面临的一个非常准确的例子。

物联网固件逆向工程过程由以下五个阶段组成:

逆向工程物联网固件解析part 1逆向工程物联网固件解析part 1

1.确定架构

在对物联网设备进行逆向工程之前要问的第一个问题是如何了解逆向工程所需的固件的架构。

最直接的找出方法是阅读 CPU 的数据表并从中了解答案。但在某些情况下,您所拥有的只是固件本身。在这种情况下,您可以使用以下两个选项之一:

1. 字符串搜索可能允许您找到一些剩余的编译字符串,其中包含有关编译器名称和体系结构的信息。

2. 二进制模式搜索要求您了解不同类型的微控制器架构中经常使用的指令。您可以在固件中搜索特定架构常见的二进制模式,然后尝试将固件加载到支持此类架构的反汇编程序中以验证您的猜测。

一旦确定了架构类型,您就可以开始选择用于进一步逆向的工具集。对于 ESP-32FW.bin,我们已经知道它将是 Tensilica Xtensa 架构,因此我们需要选择要用于研究的反汇编程序。

2.选择反汇编工具

在研究了可以支持 Xtensa 的适当反汇编程序后,我们最终得到了三个选项:IDA、Ghidra和Radare。

我们决定首先尝试使用 Ghidra 和 IDA,因为我们已经拥有将这些工具成功应用于不同逆向工程项目的丰富经验。由于 IDA 没有用于 Xtensa 的反编译器,只有用于反汇编器的 CPU 模块,因此我们决定首先尝试使用 Ghidra(我们使用的是 10.0 版本)。

Ghidra 默认不支持 Xtensa,因此我们需要先为 Ghidra 安装 Tensilica Xtensa 模块。

Xtensa 的反汇编程序可以工作,但反编译程序存在一些问题,如下面的屏幕截图所示:

屏幕截图 1. 有关 Ghidra 反编译器中未实现指令的警告屏幕截图 1. 有关 Ghidra 反编译器中未实现指令的警告

经过一段时间的反汇编,我们意识到 Xtensa 的 Ghidra 处理器模块在多种情况下难以确定指令长度。因此,我们放弃了 Ghidra,转而使用 IDA(我们使用的是 7.7 版本)。

起初在处理器模块列表中找到 Xtensa 很困难,但最终我们在这里找到了它:

屏幕截图 2. IDA 处理器模块列表中的 Xtensa屏幕截图 2. IDA 处理器模块列表中的 Xtensa

IDA 中的处理器模块看起来足够稳定,因此我们决定坚持使用 IDA。

3. 加载固件

第一步是将固件加载到正确的映像基地址,以便将所有全局变量指针解析为有效地址。为此,有必要了解代码在二进制文件中的位置。

我们首先在基地址加载固件0,并尝试标记尽可能多的代码。为了能够在 IDA 中正确标记代码,我们需要学习 Xtensa 固件常见的典型指令序列。为了找出在函数序言中使用哪些指令,我们从GitHub 中获取了一个示例:esp8266/Arduino:适用于 Arduino 的 ESP8266 核心。

编译器似乎使用了以下指令:entry a1, XX

该指令根据参数的值转换为字节序列,例如 36 41 00 / 36 61 00 / 36 81 00 XX。

通过实现一个简单的 IDA 脚本来搜索此类模式,可以标记大约 90% 的代码:

屏幕截图 3. 在 IDA 中标记代码的结果屏幕截图 3. 在 IDA 中标记代码的结果

一旦我们找到了代码,就该探索并看看它看起来是否正确。

看看下面的截图,很明显有问题。字符串资源被正确引用,但call8指令指向字符串,而不是代码。并且有些call8指令指向不存在的地址。通常这意味着映像基址错误,固件必须加载到其他基址,而不是0.

屏幕截图 4. 发现 call8 指令指向字符串和不存在的地址屏幕截图 4. 发现 call8 指令指向字符串和不存在的地址

确定基地址的常见方法是:

1.选择一个字符串。

2.使用该字符串地址的低位部分查找引用它的代码。

3.找出真实的字符串地址和我们在代码中看到的地址之间的差异。因此,我们可以理解如何移动代码的地址以匹配字符串的当前地址。

在这种情况下,我们发现基地址一定是0x3F3F0000,但即使使用它,call8指令仍然无效。这可能意味着二进制数据被分段,并且闪存中的代码被分段映射到 RAM。因此,有必要将固件分割成多个片段,并将这些片段加载到 IDA 的适当段中。

我们查看了固件中的字符串,发现它确实是分段的:

屏幕截图 5. 固件分段证明屏幕截图 5. 固件分段证明

经过进一步研究,我们发现了ESP IDF 框架。由于我们的目标固件包含该框架的某些版本,因此我们可以尝试使用其源代码来了解固件结构。

我们在 ESP IDF 内的 bootloader_utility.c 源代码文件中发现了一个有趣的bootloader_utility_load_partition_table()函数,这意味着固件必须包含分区表。

屏幕截图 6. bootloader_utility_load_partition_table() 屏幕截图 6. bootloader_utility_load_partition_table()

为了识别分区表,我们继续探索源代码,最终找到了 esp_partition_table_verify ()函数,该函数由bootloader_utility_load_partition_table()函数调用:

屏幕截图 7. 发现 esp_partition_table_verify() 函数屏幕截图 7. 发现 esp_partition_table_verify() 函数

所以一定有ESP_PARTITION_MAGIC和ESP_PARTITION_MAGIC_MD5:

逆向工程物联网固件解析part 1逆向工程物联网固件解析part 1

二分搜索AA 50给了我们很好的结果:

屏幕截图 8. AA 50 的二分搜索成功结果屏幕截图 8. AA 50 的二分搜索成功结果

两者ESP_PARTITION_MAGIC都ESP_PARTITION_MAGIC_MD5可以在附近看到。最有可能的 sub_3F3F4848 是esp_partition_table_verify()。

由于我们已经知道esp_partition_table_verify函数在哪里,因此我们能够找到bootloader_utility_load_partition_table函数和 ESP_PARTITION_TABLE_OFFSET 文件偏移量:

屏幕截图 9. 查找 bootloader_utility_load_partition_table

屏幕截图 9. 查找 bootloader_utility_load_partition_table 和 ESP_PARTITION_TABLE_OFFSET

屏幕截图 10. 查找偏移值屏幕截图 10. 查找偏移值

ESP_PARTITION_TABLE_OFFSET 是 ESP32-FW.bin 文件中的文件偏移量。现在我们只需要知道分区表条目的结构。ESP IDF框架的源代码再次帮助了我们:

逆向工程物联网固件解析part 1逆向工程物联网固件解析part 1

我们已将这些结构导入 IDA 并将其应用到分区表数据中:

屏幕截图 11. 将结构导入 IDA 并将其应用到分区表数据屏幕截图 11. 将结构导入 IDA 并将其应用到分区表数据

如您所见,esp_partition_pos_t.offset 是每个分区的文件偏移量,我们现在可以将 ESP32-FW.bin 拆分为分区。 

但是我们如何才能将每个分区加载到适当的地址呢?似乎有一个image_load()函数负责将固件分区映射到地址空间:

屏幕截图 12. 将固件分区映射到地址空间屏幕截图 12. 将固件分区映射到地址空间

逆向工程物联网固件解析part 1逆向工程物联网固件解析part 1

接下来,每个分区被分成段。在标题之后,您可以看到一个结构,后面是实际数据:

逆向工程物联网固件解析part 1逆向工程物联网固件解析part 1

这里,esp_image_segment_header_t.load_addr是 CPU 地址空间中段数据的虚拟地址。

分区内的段如下所示:

逆向工程物联网固件解析part 1逆向工程物联网固件解析part 1

现在,有了有关段的完整信息,我们可以将分区拆分为段并将它们加载到 IDA 中的适当地址。我们可以手动完成此提取工作,也可以尝试通过 IDA 加载器插件将其自动化。

尽管如此,Ghidra 似乎已经实现了这样的加载器。

本文翻译自:https://www.apriorit.com/dev-blog/reverse-reverse-engineer-iot-firmware如若转载,请注明原文地址

责任编辑:武晓燕 来源: 嘶吼网
空气净化器网络安全
相关推荐
联网终端安全入门与实践之玩转联网固件
本文系统性讲解了固件仿真的概念、技术、工具和框架,并从用户态、系统级2个角度进行了实际的手动仿真实践。

2022-07-29 08:06:31

物联网终端安全
联网环境中的无线固件更新
在本文中,我们将讨论直接和同步增强的创新方法——无线(OTA)固件更新。

2022-09-30 15:37:59

物联网无线(OTA)固件
联网终端安全入门与实践之玩转联网固件之解密篇
在正式动手对固件进行解密之前,我们需提前了解厂商一般会以怎样的形式发布加密固件以及在设备启动和固件升级过程中,会在哪些地方对固件进行解密,从而思考实现解密的逻辑和方法。

2022-11-08 10:19:15

联网的手动更新与OTA固件更新
技术格局在不断变化,尤其是对于物联网设备。更新这些设备对于添加新功能并保护它们免受黑客攻击至关重要。这里,我们将讨论执行固件更新的两种方法的优缺点:手动和OTA(空中传送)更新

2019-11-20 18:47:26

物联网OTA软件
优化固件:按时交付联网设备的关键
每个产品经理都知道在时间复杂度上运送设备所涉及的复杂性,这导致45%的产品错过了发布日期。而协调机械工程、电气工程、制造、测试自动化、营销等是很困难的。每一项都具有挑战性,但都变得更加复杂,因为其中大多数都不会在同一时间线上前进。

2022-10-08 14:14:57

物联网设备零售商
通俗易懂联网(1):什么是联网
对于非IT行业的从业者来说,虽然这个词语读起来还是朗朗上口的,但并不一定知道它具体是怎么定义的,它和我们经常使用的互联网有什么区别。

2018-03-05 08:23:40

物联网互联网网络技术
1+1>2: 短程联网和广域联网的优秀结合
众所周知,蓝牙低功耗(BLE)等短程无线技术适用于分布广的传感器网络,以用于监控各种进程。这种技术芯片价格低廉且性能优秀,电池寿命极佳,且易于互相连接。

2020-06-22 10:21:44

物联网蓝牙技术
联网应用的数据工程
根据Statista的数据,物联网设备的数量预计将在2030年超过290亿。连接物联网设备超过1亿台的主要行业包括交通运输和存储、蒸汽和空调、电力、天然气、政府等。无论是用于工业设施还是住宅环境,这些设备都会产生大量数据。随后,对这些数据进行进一步的分析和分离。

2023-08-18 11:42:51

物联网IOT
天罗地网联网系列:常见的联网通讯协议1
今天就来介绍物联网常用的通讯协议吧。物联网常用的通讯协议分为两种,一种是设备的网络协议,另一种则是设备的数据传输通讯协议。

2019-11-20 10:04:21

物联网通讯协议IOT
空中固件更新:联网成功的关键驱动因素
在物联网的早期阶段,远程更新设备通常会导致设备间歇性中断和性能下降。随着物联网平台的成熟,他们采用了一种全新的方式远程、可靠地更新连网设备,几乎没有中断:空中(OTA)固件更新。

2019-01-24 08:16:42

空中固件物联网IOT
联网(IoT)应用的数据工程
数据工程以标准化结构提供数据,确保零数据重复和对所有数据块的正确评估。通过数据工程,数据变得更加可靠,并且数据传输以可接受的延迟完成。

2023-07-24 11:48:59

物联网
联网三大应用类别解析
“物联网”一词涵盖的范围极其广泛,这是因为任何设备只要存在通过互联网进行通信的情况,它都有可能成为某种物联网场景中的一部分。但这些千姿百态的应用场景通常可以划分为三大类,即消费级、工业级和企业级三大类应用场景。其划分依据主要包括设备类型、用户和项目规模等。

2020-10-25 15:50:07

物联网工业技术
当土木工程遇到联网
本文将探讨如何从施工阶段,到关键资产的持续维护和管理阶段,通过使用实地验证的传感器技术和无线网络,使土木工程组织能够从自动化监控中获益。

2019-07-26 05:52:04

土木工程物联网IOT
联网通信协议全解析
将物联网通信协议分为两大类,一类是接入协议,一类是通讯协议。接入协议一般负责子网内设备间的组网及通信;通讯协议主要是运行在传统互联网TCPIP协议之上的设备通讯协议,负责设备通过互联网进行数据交换及通信。

2020-06-01 14:15:57

物联网通信协议无线通讯
深度解析联网 你真的了解吗
物联网容括了智能感知、识别技术、普适计算等通信感知技术,以及人工智能、大数据、云存储等新兴科技,真正实现现实、虚拟的有效融合,因此被称为继计算机、互联网之后世界信息产业发展的第三次浪潮。

2016-01-13 10:34:57

物联网物联网技术
IBM Watson联网平台功能全解析
IBMWatson物联网平台可提供物联网设备和数据庞大的应用程序来访问,可以助力应用程序、可视化仪表板和移动物联网程序的快速编写与分析。可以执行强大的设备管理操作,并存储和访问设备数据,连接各种设备和网关设备。还通过使用MQTT和TLS,提供与设备之间的安全通信。开发者可以通过本文章了解到IBMWatson物联网平台的功能、体系结构、安全、分析等细节。

2016-11-28 14:45:00

IBM
联网安全:如何保护联网
物联网(IoT)作为一个概念既令人着迷又令人兴奋,但从中获取真正商业价值的关键在于架构中所有元素之间的有效交互,这样您就可以更快地部署应用程序,并以闪电般的速度处理和分析数据,从而尽快做出明智决策。

2019-04-08 11:18:09

联网市场格局:工业联网
本报告概述了IIoT市场及价值链,重点介绍了推动该行业发展的商业和技术趋势,展示了不同类型的参与者所采取的主要战略,以及他们如何与新技术联系起来,旨在让市场参与者全面了解市场。

2020-09-18 07:54:21

物联网工业物联网IOT
远程、敏捷的硬件联网工程如何成功?
通过不断改进远程工作方法,我们远程物联网工程团队提供的速度和价值震惊了客户和同行。

2022-03-09 08:58:51

物联网远程工作
解析联网基石云计算的“前世今生”
无论从计算环境和设施的变化,软件工程的发展,还是从交互方式的改变,都告诉我们现在已经进入到一个新的时代,就是云计算的时代。

2011-08-15 09:36:01

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服