Abo
  • Services:
Anzeige
Code des Bootloaders
Code des Bootloaders (Bild: Christer Weinigel)

Firmware disassemblieren

Was soll ich jetzt damit anstellen? Eine Möglichkeit, um mehr über das System herauszufinden, ist es, die Firmware zu disassemblieren. Dabei wird der binäre Maschinencode mit Hilfe eines Disassemblers in eine symbolische Assemblersprache umgewandelt, die ein Mensch versteht. Einfachere Varianten übersetzen den Maschinencode rein mechanisch in symbolische Instruktionen, bessere können den Programmablauf analysieren und auch die Struktur des Codes ermitteln. Manche Disassembler-Programme ermöglichen auch ein interaktives Vorgehen, so können Anmerkungen eingefügt oder die Übersetzung beeinflusst werden. Sogenannte Decompiler können sogar Maschinencode in höhere Sprachen übersetzen, wie zum Beispiel C oder Go.

Anzeige

Programme zum Disassemblieren

Ich benötige ein Werkzeug, mit dem ich auf einen Codebereich schauen und Anmerkungen einfügen kann, während ich lerne, den Code zu verstehen. Deswegen schaute ich mir verschiedene Disassembler an.

IDA ist eines der besten kommerziellen Programme. Ich habe es schon vor zehn Jahren benutzt, und auch wenn es etwas schrullig war, hat es gut funktioniert und sollte heute sogar noch besser sein. Aber für die Analyse von ARM-Code ist es recht teuer und ich will für ein Hobbyprojekt nicht soviel Geld ausgeben.

Ich probiere auch einige Online-Disassembler, aber sie kommen mit meinem Speicherabbild nicht zurecht. Also probiere ich auch einige Open-Source-Programme aus. Manche sehen sehr provisorisch aus oder sind lange Zeit nicht aktualisiert worden. Trotzdem schaue ich mir einige genauer an.

Ich probiere Radare. Es scheint tauglich für meine Ansprüche, aber es wirkt, als ob die Programmierer an das Motto glauben: "Es war schwer zu schreiben, also sollte es auch schwer zu nutzen sein". Ich verstehe die Dokumentation nicht, sie wirkt wie eine Übersicht für Leute, die es bereits kennen. Und ich komme nicht mit der Benutzeroberfläche zurecht.

Capstone sieht vielversprechender aus. Es ist ein Fork von Bestandteilen in LLVM, die mit Maschinencode arbeiten. Mir gefällt die Idee, auf LLVM zurückzugreifen, denn es unterstützt viele Prozessoren und das würde auch für den Disassembler gelten. Aber Capstone bietet nur eine Infrastruktur und keine interaktiven Werkzeuge, die mir gefallen, und mir fehlt die Zeit, selber etwas zu schreiben.

Valgrind dient eigentlich zum Speichercheck. Es dekodiert den Maschinencode im Speicher und übersetzt ihn in eine Zwischensprache, fügt dann Code zur Speicherüberprüfung hinzu und übersetzt es wieder in Maschinencode zurück. Valgrind unterstützt ARM und die Zwischensprache sieht nutzbar aus. Aber auch hier handelt es sich eher um Infrastruktur ohne Benutzeroberfläche.

Schließlich stoße ich auf Medusa. Das Programm ist längst noch nicht fertig, es kann nicht alle Instruktionen übersetzen, läuft nicht immer stabil und hat noch einige Bugs. Allerdings kann ich aufgrund des offenen Quellcodes einige Fehler umgehen und die fehlenden Instruktionen ergänzen. Ich entscheide mich schließlich für das Programm.

Ich lade meine Datei in Medusa und beschäftige mich damit, wie das Programm funktioniert. Praktisch an Medusa ist dessen Datenbankformat. Es handelt sich um eine Textdatei in einem leicht verständlichen Format. Ich füge darin einige Bezeichner für diejenigen Speicherbereiche ein, die SoC-Registeradressen entsprechen. So kann ich das Resultat des Disassemblers leichter lesen und verstehen.

Der First-Stage-Bootloader wird analysiert

Ich fange wieder mit dem First-Stage-Bootloader an, er ist klein und hat keinerlei Abhängigkeiten. Perfekt, um mich auch mit Medusa vertraut zu machen. Ich finde zuerst Code, der auf die GPIO-Register zugreift und mit dem DDR-Speicher-Controller kommuniziert. Einen Teil des Codes, der anscheinend mit dem Koprozessor zu tun hat, kann Medusa nicht korrekt übersetzen. Der Code des Bootladers kommuniziert mit dem Flash-Speicher-Controller.

  • Diasembler-Ausgabe (Bild: Christer Weinigel)
  • Diasembler-Ausgabe  (Bild: Christer Weinigel)
  • Diasembler-Ausgabe (Bild: Christer Weinigel)
  • FPGA-Quellcode (Bild: Christer Weinigel)
  • Owon-Bootscreen (Bild: Christer Weinigel)
Diasembler-Ausgabe (Bild: Christer Weinigel)

Ich untersuche den Code nicht allzu genau. Ich weiß ungefähr, was vor sich geht, und die Details sind nicht so wichtig. Was mich interessiert, ist der Code, der den Second-Stage-Bootloader in den DDR-RAM lädt, und ab wo er ausgeführt wird.

  • Diasembler-Ausgabe (Bild: Christer Weinigel)
  • Diasembler-Ausgabe  (Bild: Christer Weinigel)
  • Diasembler-Ausgabe (Bild: Christer Weinigel)
  • FPGA-Quellcode (Bild: Christer Weinigel)
  • Owon-Bootscreen (Bild: Christer Weinigel)
Diasembler-Ausgabe (Bild: Christer Weinigel)

Ich finde Code-Anweisungen, die die ersten 128 KByte vom Flash-Speicher an die Adresse 0x30000000 laden, die Startadresse des DDR-RAMs. Dann werden vom Offset 0xac4 an 70 KByte zur Adresse 0x33c00000 kopiert - die letzten 512 KByte des DDR-RAMs - und dann führt die CPU ab dort den Code aus.

 Reverse Engineering: Wie das Oszilloskop bootetDer Second-Stage-Bootloader ist als Nächstes dran 

eye home zur Startseite
mifish 24. Nov 2016

+1 interessanter artikel

muhviehstah 23. Nov 2016

wäre binwalk hierbei nicht hilfreich gewesen?

muhviehstah 23. Nov 2016

kt

Elchinator 22. Nov 2016

Das wesentlichste Teil - die Hardware - scheint ja ab Werk durchaus brauchbar zu sein...

derdiedas 22. Nov 2016

Danke Golem - und nun bin ich doch wieder motiviert - zwar kein Linux zu installieren...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Schwieberdingen
  2. LuK GmbH & Co. KG, Bühl
  3. über Ratbacher GmbH, Bielefeld
  4. fidelis HR GmbH, Neuss, Würzburg, Zwickau/Lichtentanne, Dreieich (Home-Office möglich)


Anzeige
Spiele-Angebote
  1. 59,99€ (Vorbesteller-Preisgarantie)
  2. (-20%) 23,99€
  3. 42,99€

Folgen Sie uns
       


  1. Souq.com

    Amazon gibt 750 Millionen Dollar für Übernahme aus

  2. Let's Play

    Facebook ermöglicht Livevideos vom PC

  3. Ryzen-CPU

    Ach AMD!

  4. Sensor

    Mit dem Kopfpflaster Gefühle lesen

  5. Übernahme

    Apple kauft iOS-Automatisierungs-Tool Workflow

  6. Linux-Desktop

    Gnome 3.24 erscheint mit Nachtmodus

  7. Freenet TV

    DVB-T2-Stick für Windows und MacOS ist da

  8. Instandsetzung

    Apple macht iPhone-Reparaturen teurer

  9. Energielabels

    Aus A+++ wird nur noch A

  10. Update 1.2

    Gog.com-Client erhält Cloud-Speicheroption und fps-Zähler



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
"Mehr Breitband für mich": Was wurde aus dem FTTH-Ausbau der Telekom für Selbstzahler?
"Mehr Breitband für mich"
Was wurde aus dem FTTH-Ausbau der Telekom für Selbstzahler?
  1. 50 MBit/s Dobrindt glaubt weiter an bundesweiten Ausbau bis 2018
  2. Breitbandgipfel 2.000 Euro für FTTH im Gewerbegebiet sind akzeptiert
  3. Breitbandgipfel Telekom hält 100 MBit/s für "im Moment ausreichend"

Vernetztes Fahren: Die Pseudo-Tests auf der Autobahn 9
Vernetztes Fahren
Die Pseudo-Tests auf der Autobahn 9
  1. Autonomes Fahren Die Ära der Kooperitis
  2. Neue Bedienungssysteme im Auto Es kribbelt in den Fingern
  3. Amazon Alexa im Auto, im Kinderzimmer und im Kühlschrank

Mitmachprojekt: Frostbeulen, zieht nach Österreich!
Mitmachprojekt
Frostbeulen, zieht nach Österreich!

  1. Re: Ja und?

    Muhaha | 11:18

  2. Re: 800¤ für ne GraKa?

    Teebecher | 11:18

  3. Re: Nonsense!

    daydreamer42 | 11:17

  4. Re: Kein Hardware-Bug? Warum nicht?

    SYS1 | 11:16

  5. Re: Na Gott sei Dank

    Gubb3L | 11:15


  1. 10:35

  2. 10:06

  3. 09:04

  4. 08:33

  5. 08:13

  6. 07:42

  7. 07:27

  8. 07:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel