Abo
  • Services:
Anzeige
Code des Bootloaders
Code des Bootloaders (Bild: Christer Weinigel)

Firmware disassemblieren

Was soll ich jetzt damit anstellen? Eine Möglichkeit, um mehr über das System herauszufinden, ist es, die Firmware zu disassemblieren. Dabei wird der binäre Maschinencode mit Hilfe eines Disassemblers in eine symbolische Assemblersprache umgewandelt, die ein Mensch versteht. Einfachere Varianten übersetzen den Maschinencode rein mechanisch in symbolische Instruktionen, bessere können den Programmablauf analysieren und auch die Struktur des Codes ermitteln. Manche Disassembler-Programme ermöglichen auch ein interaktives Vorgehen, so können Anmerkungen eingefügt oder die Übersetzung beeinflusst werden. Sogenannte Decompiler können sogar Maschinencode in höhere Sprachen übersetzen, wie zum Beispiel C oder Go.

Anzeige

Programme zum Disassemblieren

Ich benötige ein Werkzeug, mit dem ich auf einen Codebereich schauen und Anmerkungen einfügen kann, während ich lerne, den Code zu verstehen. Deswegen schaute ich mir verschiedene Disassembler an.

IDA ist eines der besten kommerziellen Programme. Ich habe es schon vor zehn Jahren benutzt, und auch wenn es etwas schrullig war, hat es gut funktioniert und sollte heute sogar noch besser sein. Aber für die Analyse von ARM-Code ist es recht teuer und ich will für ein Hobbyprojekt nicht soviel Geld ausgeben.

Ich probiere auch einige Online-Disassembler, aber sie kommen mit meinem Speicherabbild nicht zurecht. Also probiere ich auch einige Open-Source-Programme aus. Manche sehen sehr provisorisch aus oder sind lange Zeit nicht aktualisiert worden. Trotzdem schaue ich mir einige genauer an.

Ich probiere Radare. Es scheint tauglich für meine Ansprüche, aber es wirkt, als ob die Programmierer an das Motto glauben: "Es war schwer zu schreiben, also sollte es auch schwer zu nutzen sein". Ich verstehe die Dokumentation nicht, sie wirkt wie eine Übersicht für Leute, die es bereits kennen. Und ich komme nicht mit der Benutzeroberfläche zurecht.

Capstone sieht vielversprechender aus. Es ist ein Fork von Bestandteilen in LLVM, die mit Maschinencode arbeiten. Mir gefällt die Idee, auf LLVM zurückzugreifen, denn es unterstützt viele Prozessoren und das würde auch für den Disassembler gelten. Aber Capstone bietet nur eine Infrastruktur und keine interaktiven Werkzeuge, die mir gefallen, und mir fehlt die Zeit, selber etwas zu schreiben.

Valgrind dient eigentlich zum Speichercheck. Es dekodiert den Maschinencode im Speicher und übersetzt ihn in eine Zwischensprache, fügt dann Code zur Speicherüberprüfung hinzu und übersetzt es wieder in Maschinencode zurück. Valgrind unterstützt ARM und die Zwischensprache sieht nutzbar aus. Aber auch hier handelt es sich eher um Infrastruktur ohne Benutzeroberfläche.

Schließlich stoße ich auf Medusa. Das Programm ist längst noch nicht fertig, es kann nicht alle Instruktionen übersetzen, läuft nicht immer stabil und hat noch einige Bugs. Allerdings kann ich aufgrund des offenen Quellcodes einige Fehler umgehen und die fehlenden Instruktionen ergänzen. Ich entscheide mich schließlich für das Programm.

Ich lade meine Datei in Medusa und beschäftige mich damit, wie das Programm funktioniert. Praktisch an Medusa ist dessen Datenbankformat. Es handelt sich um eine Textdatei in einem leicht verständlichen Format. Ich füge darin einige Bezeichner für diejenigen Speicherbereiche ein, die SoC-Registeradressen entsprechen. So kann ich das Resultat des Disassemblers leichter lesen und verstehen.

Der First-Stage-Bootloader wird analysiert

Ich fange wieder mit dem First-Stage-Bootloader an, er ist klein und hat keinerlei Abhängigkeiten. Perfekt, um mich auch mit Medusa vertraut zu machen. Ich finde zuerst Code, der auf die GPIO-Register zugreift und mit dem DDR-Speicher-Controller kommuniziert. Einen Teil des Codes, der anscheinend mit dem Koprozessor zu tun hat, kann Medusa nicht korrekt übersetzen. Der Code des Bootladers kommuniziert mit dem Flash-Speicher-Controller.

  • Diasembler-Ausgabe (Bild: Christer Weinigel)
  • Diasembler-Ausgabe  (Bild: Christer Weinigel)
  • Diasembler-Ausgabe (Bild: Christer Weinigel)
  • FPGA-Quellcode (Bild: Christer Weinigel)
  • Owon-Bootscreen (Bild: Christer Weinigel)
Diasembler-Ausgabe (Bild: Christer Weinigel)

Ich untersuche den Code nicht allzu genau. Ich weiß ungefähr, was vor sich geht, und die Details sind nicht so wichtig. Was mich interessiert, ist der Code, der den Second-Stage-Bootloader in den DDR-RAM lädt, und ab wo er ausgeführt wird.

  • Diasembler-Ausgabe (Bild: Christer Weinigel)
  • Diasembler-Ausgabe  (Bild: Christer Weinigel)
  • Diasembler-Ausgabe (Bild: Christer Weinigel)
  • FPGA-Quellcode (Bild: Christer Weinigel)
  • Owon-Bootscreen (Bild: Christer Weinigel)
Diasembler-Ausgabe (Bild: Christer Weinigel)

Ich finde Code-Anweisungen, die die ersten 128 KByte vom Flash-Speicher an die Adresse 0x30000000 laden, die Startadresse des DDR-RAMs. Dann werden vom Offset 0xac4 an 70 KByte zur Adresse 0x33c00000 kopiert - die letzten 512 KByte des DDR-RAMs - und dann führt die CPU ab dort den Code aus.

 Reverse Engineering: Wie das Oszilloskop bootetDer Second-Stage-Bootloader ist als Nächstes dran 

eye home zur Startseite
mifish 24. Nov 2016

+1 interessanter artikel

muhviehstah 23. Nov 2016

wäre binwalk hierbei nicht hilfreich gewesen?

muhviehstah 23. Nov 2016

kt

Elchinator 22. Nov 2016

Das wesentlichste Teil - die Hardware - scheint ja ab Werk durchaus brauchbar zu sein...

derdiedas 22. Nov 2016

Danke Golem - und nun bin ich doch wieder motiviert - zwar kein Linux zu installieren...



Anzeige

Stellenmarkt
  1. BWI GmbH, Bonn oder München
  2. FANUC Deutschland GmbH, Neuhausen auf den Fildern
  3. Net at Work GmbH, Paderborn
  4. flexis AG, Olpe


Anzeige
Spiele-Angebote
  1. (-15%) 16,99€

Folgen Sie uns
       


  1. Facebook

    Nutzer sollen Vertrauenswürdigkeit von Newsquellen bewerten

  2. Notebook-Grafik

    Nvidia hat eine Geforce GTX 1050 (Ti) mit Max-Q

  3. Gemini Lake

    Asrock und Gigabyte bringen Atom-Boards

  4. Eni HPC4

    Italienischer Supercomputer weltweit einer der schnellsten

  5. US-Wahl 2016

    Twitter findet weitere russische Manipulationskonten

  6. Die Woche im Video

    Das muss doch einfach schneller gehen!

  7. Breko

    Waipu TV gibt es jetzt für alle Netzbetreiber

  8. Magento

    Kreditkartendaten von bis zu 40.000 Oneplus-Käufern kopiert

  9. Games

    US-Spielemarkt wächst 2017 zweistellig

  10. Boeing und SpaceX

    ISS bald ohne US-Astronauten?



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Netzsperren: Wie Katalonien die spanische Internetzensur austrickste
Netzsperren
Wie Katalonien die spanische Internetzensur austrickste

Spectre und Meltdown: All unsere moderne Technik ist kaputt
Spectre und Meltdown
All unsere moderne Technik ist kaputt
  1. Sicherheitsupdate Microsoft-Compiler baut Schutz gegen Spectre
  2. BeA Noch mehr Sicherheitslücken im Anwaltspostfach
  3. VEP Charter Trump will etwas transparenter mit Sicherheitslücken umgehen

Star Citizen Alpha 3.0 angespielt: Es wird immer schwieriger, sich auszuloggen
Star Citizen Alpha 3.0 angespielt
Es wird immer schwieriger, sich auszuloggen
  1. Cloud Imperium Games Star Citizen bekommt erst Polituren und dann Reparaturen
  2. Star Citizen Reaktionen auf Gameplay und Bildraten von Alpha 3.0
  3. Squadron 42 Mark Hamill fliegt mit 16 GByte RAM und SSD

  1. Re: Ein ungefährer Zeitrahmen in dem das Leck...

    gloqol | 16:20

  2. Fragen über Fragen ..

    senf.dazu | 16:20

  3. Re: DOW Jones +30% in nur einem Jahr

    lear | 16:17

  4. Re: Wenn man sich anschaut, wie grade radikale...

    FreierLukas | 16:16

  5. Re: Also macht man die Schafe zu Hütehunden

    User_x | 16:16


  1. 14:35

  2. 14:00

  3. 13:30

  4. 12:57

  5. 12:26

  6. 09:02

  7. 18:53

  8. 17:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel