Abo
  • Services:

Reverse Engineering: Wie das Oszilloskop bootet

Linux läuft! Doch noch muss es von Hand gestartet werden. Um es automatisch zu starten, müssen wir den Bootvorgang und das Dateisystem besser verstehen. Unser zweiter Artikel zur Analyse eines Digital-Oszilloskops geht darauf ein.

Eine Anleitung von Christer Weinigel, übersetzt von veröffentlicht am
Code des Bootloaders
Code des Bootloaders (Bild: Christer Weinigel)

Im ersten Teil einer fünfteiligen Serie habe ich Linux auf einem Oszilloskop zum Laufen bekommen. In Teil zwei meiner Serie zur Analyse eines Oszilloskops per Reverse Engineering erkunde ich den Bootvorgang des Oszilloskops und untersuche dessen Dateisystem - wobei ich mir zum Schluss ein wenig die Haare raufe.

Die CPU im Oszilloskop ist ein Samsung S3C2416-SoC mit DDR2-SDRAM als Arbeitsspeicher und einem NAND-Flash-Speicher als Massenspeicher - ein einfaches Embedded-System, das Samsungs SMDK2416-Referenzdesign sehr ähnlich ist.

Ich habe schon mit anderen SoCs (System-on-a-Chip) der S3C24xx-Familie gearbeitet, ich weiß ungefähr, wie der Bootloader funktioniert und mit dem Flash-Speicher umgehen müsste. NAND-Speicherbausteine sind ein wenig unzuverlässig, mit der Zeit entwickeln sich Bitfehler und einige Speichersektionen sind dann derart kaputt, dass sie überhaupt nicht mehr verwendet werden können.

Jedes Flash-Dateisystem unterstützt deshalb Fehlerkorrekturcodes (ECC), um Bitfehler zu korrigieren und fehlerhafte Sektionen umzukopieren. Viele Flash-Speicher-Hersteller garantieren allerdings, dass im ersten Sektor oder in den ersten drei Sektoren des Speichers niemals Fehler auftreten werden. Deswegen kann dort ein sehr kleiner Bootloader untergebracht werden, der sogenannte First-Stage-Bootloader.

Stellenmarkt
  1. über duerenhoff GmbH, Wiesbaden
  2. BWI GmbH, Bonn, Köln

Im ROM der CPU befindet sich ein Programm, das die ersten 8 KByte vom Flash-Speicher in den 64 KByte großen RAM der CPU kopiert und dann ausführt. Dieser First-Stage-Bootloader führt einige Basiskonfigurationen durch, etwa die Konfiguration der GPIO-Pins und die Initialisierung des DDR-Speichers. Dann lädt er den größeren Second-Stage-Bootloader aus dem Flash-Speicher, kopiert ihn in den DDR-Speicher und führt diesen aus. Der First-Stage-Bootloader sollte ECC beherrschen und Flash-Sektoren umkopieren können, um zuverlässig mit den Einschränkungen des Flash-Speichers umzugehen.

Der Bootvorgang nach dem Bootvorgang

Wenn Anwender vom Bootloader sprechen, meinen sie meist den Second-Stage-Bootloader. Er hat zumeist eine Kommandoeingabe, die über einen seriellen Anschluss oder USB verfügbar ist. Er lädt das Betriebsystem, zum Beispiel von einem Flash-Speicher und verfügt dafür über eine einfache Implementierung eines geeigneten Dateisystems. Um die Entwicklung zu vereinfachen, kann ein Bootloader manchmal auch ein Betriebssystem über die serielle Schnittstelle, USB oder Ethernet laden.

Den Inhalt des Flash-Speichers analysieren

Als ich per JTAG auf das Oszilloskop zugreifen kann, erstelle ich als Erstes ein komplettes Abbild des Flash-Speichers. Die CPU lädt den First-Stage-Bootloader aus den ersten 8 KByte des Flash-Speichers, also fange ich dort an. Ich sehe einige Zeichenketten, die dem gleichen, was ich auf der seriellen Ausgabe gesehen habe, nachdem ich das Oszilloskop angeschaltet hatte. Andere Zeichenketten deuten auf eine Art Speicherinitialisierung und einen Speichertest hin. Soweit entspricht der Code zum Glück also meinen Erwartungen.

00000a30  30 31 32 33 34 35 36 37  38 39 41 42 43 44 45 46  |0123456789ABCDEF|
00000a40  4c 49 4c 4c 49 50 55 54  0d 0a 00 44 53 4f 20 54  |LILLIPUT...DSO T|
00000a50  41 52 47 45 59 20 42 4f  41 52 44 20 56 45 52 20  |ARGEY BOARD VER |
00000a60  31 2e 30 0d 0a 00 54 45  53 54 20 53 44 52 41 4d  |1.0...TEST SDRAM|
00000a70  20 4d 45 4d 4f 52 59 0d  0a 00 4d 45 4d 4f 52 59  | MEMORY...MEMORY|
00000a80  20 41 4c 4c 20 4f 4b 0d  0a 00 4d 45 4d 4f 52 59  | ALL OK...MEMORY|
00000a90  20 54 45 53 54 20 46 41  49 4c 0d 0a 00 45 52 4f  | TEST FAIL...ERO|
00000aa0  52 52 20 41 44 44 52 45  53 53 20 00 4f 4b 20 00  |RR ADDRESS .OK .|
00000ab0  45 4e 54 45 59 20 4d 41  49 4e 00 00 04 f0 1f e5  |ENTEY MAIN......|

Dem First-Stage-Bootloader folgt wahrscheinlich der Second-Stage-Bootloader. Und tatsächlich taucht später im Abbild eine Liste von Zeichenketten auf, die nach Befehlen für eine Kommandozeile aussehen. Das sieht vielversprechend aus.

Außerdem habe ich den Eindruck, dass der Bootloader yaffs implementiert, ein beliebtes Dateisystem für NAND-Flash-Speicher für Linux, das auch unter einer kommerziellen Lizenz für andere Plattformen verfügbar ist.

Es ist recht eindeutig, wo der Bootloader aufhört. Nach 75 KByte kommen im Abbild nur 0xff-Werte. Dabei handelt es sich um den Standardwert, wenn Flash-Speicher gelöscht wird. Das geht so weiter, bis nach 640 KByte etwas anfängt, das nach einem Dateisystem aussieht.

Ich speichere die ersten 75 KByte in einer eigenen Datei.

Firmware disassemblieren 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6
  7. 7
  8. 8
  9.  


Anzeige
Hardware-Angebote
  1. mit Gutschein: HARDWARE50 (nur für Neukunden, Warenwert 104 - 1.000 Euro)
  2. ab 119,98€ (Release 04.10.)

mifish 24. Nov 2016

+1 interessanter artikel

muhviehstah 23. Nov 2016

wäre binwalk hierbei nicht hilfreich gewesen?

muhviehstah 23. Nov 2016

kt

Elchinator 22. Nov 2016

Das wesentlichste Teil - die Hardware - scheint ja ab Werk durchaus brauchbar zu sein...

derdiedas 22. Nov 2016

Danke Golem - und nun bin ich doch wieder motiviert - zwar kein Linux zu installieren...


Folgen Sie uns
       


Tolino Shine 3 - Hands on

Der Shine 3 ist der neue E-Book-Reader der Tolino-Allianz. Das neue Modell bietet einen kapazitiven Touchscreen und erhält die Möglichkeit, die Farbtemperatur des Displaylichts zu verändern. Der Shine 3 ist für 120 Euro verfügbar.

Tolino Shine 3 - Hands on Video aufrufen
Galaxy A9 im Hands on: Samsung bietet vier
Galaxy A9 im Hands on
Samsung bietet vier

Samsung erhöht die Anzahl der Kameras bei seinen Smartphones weiter: Das Galaxy A9 hat derer vier, zudem ist auch die restliche Ausstattung nicht schlecht. Aus verkaufspsychologischer Sicht könnte die Einstufung in die A-Mittelklasse bei einem Preis von 600 Euro ein Problem sein.
Ein Hands on von Tobias Költzsch

  1. Galaxy A9 Samsung stellt Smartphone mit vier Hauptkameras vor
  2. Galaxy J4+ und J6+ Samsung stellt neue Smartphones im Einsteigerbereich vor
  3. NAND und DRAM Samsung scheint künstlich Flash-Preise hoch zu halten

Passwörter: Eine vernünftige Maßnahme gegen den IoT-Irrsinn
Passwörter
Eine vernünftige Maßnahme gegen den IoT-Irrsinn

Kalifornien verabschiedet ein Gesetz, das Standardpasswörter verbietet. Das ist ein Schritt in die richtige Richtung, denn es setzt beim größten Problem von IoT-Geräten an und ist leicht umsetzbar.
Ein IMHO von Hanno Böck

  1. Retrogaming Maximal unnötige Minis
  2. Streaming Heilloses Durcheinander bei Netflix und Amazon Prime
  3. Sicherheit Ein Lob für Twitter und Github

Lichtverschmutzung: Was Philips Hue mit der Tierwelt im Garten macht
Lichtverschmutzung
Was Philips Hue mit der Tierwelt im Garten macht

LEDs für den Garten sind energiesparend und praktisch - für Menschen und manche Fledermäuse. Für viele Tiere haben sie jedoch fatale Auswirkungen. Aber mit einigen Änderungen lässt sich die Gartenbeleuchtung so gestalten, dass sich auch Tiere wohlfühlen.
Ein Bericht von Werner Pluta

  1. Play und Signe Neue farbige Philips-Hue-Leuchten für indirektes Licht
  2. Smart Home Weitere Hue-Leuchten fürs Badezimmer vorgestellt
  3. Badezimmerspiegel Philips Hue kommt ins Bad

    •  /