偷偷的问，有做stm32 id软解密的高手吗？

l1715s

我卑鄙，帮朋友牵线，各位别板砖。
有偿，请留个联系方式..

grant-liao

我教你个方法把。不一定行哦
我原来是做编程器技术这块
你说的解密其实很多芯片都有几个地址是放密码的这就有查DATASHEET中的OPTION SET
或者PROTECT SET这方面
有的芯片不一定是加密的那就可以直接用编程器可以读出来。
加密的其实是不能写但是能读的，所以要先把密码地址位的数据读出来
下次把密码也输进去那就对上了就可以直接读出来了
不过这种可以直接设定参数和读取的在线编程器我们原来用的是FLASHRUNNER

greencamel

嘿嘿，看来ID软加密有效果呀

grant-liao

我随便找了一个STM32的
如果要解密的话就要改OPTION BYTE

呵呵自己研究把，很好理解的
改好了再倒进去就可以了


FLASHRUNNER SCRIPT EXAMPLE FOR STMICROELECTRONICS STM32F103C8
;
; Use this example as a starting point for your specific programming needs
;
; ----------
;
; Hardware connections
;
; DIO0/AO0    (JNTRST)
; DIO1/AO1    (NRST - optional)
; DIO2        (JTCK)
; DIO3        (JTDO)
; DIO4        (JTDI)
; DIO5        (JTMS)
;

; Turns off logging
#LOG_OFF
; Halt on errors
#HALT_ON FAIL

; Sets device
TCSETDEV STMICROELECTRONICS STM32F103C8 CORTEX

;-------------------------
; FLASHRUNNER I/O Settings
;-------------------------

; Target voltage, mV (change as needed)
TCSETPAR VDD 3600

; VPROG1 voltage, mV (from 3000 to 14500, 0 to disable)(change as needed)
TCSETPAR VDD_AUX 0

; Clock oscillator frequency driven by FlashRunner, Hz
; Possible frequencies are: 25000000, 12500000, 6250000, 0 (DISABLED)
TCSETPAR CLKOUT 0

; RESET down time (from 0 us to 65535 us)
TCSETPAR RSTDOWN 1000
; RESET up time (from 0 us to 65535 us)
TCSETPAR RSTUP 1000
; RESET driving mode (PUSHPULL or OPENDRAIN)
TCSETPAR RSTDRV OPENDRAIN

; Power down time (from 0 ms to 65535 ms)
TCSETPAR PWDOWN 10
; Power up time (from 0 ms to 65535 ms)
TCSETPAR PWUP 10

;----------------------
; CORTEX ALGO Settings
;----------------------

; Set the frequency of the JTAG channel, Hz (change as needed)
; It must be less then HCLK frequency
TCSETPAR JTCLK 1000000

; Set the HCLK frequency, that is the frequency of the core, Hz (change as needed)
; Note: use this parameter if you want to speed-up the programming performance,
;       otherwise leaves it commented and the HCLK clock will be equal to the HSI oscillator clock
;TCSETPAR FCPU 72000000

;----------------------------
; Start Programming operation
;----------------------------

; Image file to be programmed (must be placed in the \BINARIES directory)
TPSETSRC FILE FLASH.FRB

; Image file to be programmed (must be placed in the \BINARIES directory)
;TPSETSRC FILE OPTION.FRB

; Starts programming block
TPSTART

;---------------
; FLASH commands
;---------------

; Mass erases Flash memory
TPCMD MASSERASE F

; Blank checks Flash memory (change address and length as needed)
TPCMD BLANKCHECK F $8000000 $10000

; Programs Flash memory (change source, target address and length as needed)
TPCMD PROGRAM F $8000000 $8000000 $10000

; Verifies Flash memory (change source, target address and length as needed)
; If you want you can choose beetween two type of verify:
; 1) Read-Out method (R). Slow but secure
; 2) CheckSum method (S). Fast but not secure
TPCMD VERIFY F R $8000000 $8000000 $10000

;---------------------
; OPTION BYTE commands
;---------------------

; Mass erases Option byte memory
; Note: this command restore the blank value ($FF) of the option, that for the RDP option byte
;       is a value that enable the Read-Out protection of the device
;TPCMD MASSERASE O

; Programs Option byte memory (change source, target address and length as needed)
; Note: the last parameter represents the source type of the Option bytes:
; B -> The option bytes in your source are stored as byte
; W -> The option bytes in your source are stored as 16-bit word
;TPCMD PROGRAM O $1FFFF800 $1FFFF800 $8 B

; Verifies Option byte memory, read-out method (change source, target address and length as needed)
; Note: the last parameter represents the source type of the Option bytes:
; B -> The option bytes in your source are stored as byte
; W -> The option bytes in your source are stored as 16-bit word
;TPCMD VERIFY O R $1FFFF800 $1FFFF800 $8 B

; Ends programming block
TPEND

grant-liao

再啰嗦一下啊。上面这些命令在前面加;是屏蔽掉
那么象擦除肯定不能擦除它不然你程序都没了解密干嘛？
讲那么多最关键就是把FALSH命令全部屏蔽
只在烧录的那个命令中把VERIFY 改成 READ .F后面改动加个R (读取）
还要在OPTION BYTE命令全关掉
把最后一个 改成TPCMD READ O R $1FFFF800 $1FFFF800
这个O 是代表OPTION BYTE
后面两个都省掉了 是因为要读数据，开始的数据去掉。

boycn

id软件加密，如果只读出二进制代码还不够吧

估计还要反汇编

xrwf_2009

~

grant-liao

回复【5楼】boycn
-----------------------------------------------------------------------

读出的是BIN档，也可以读出文本文档，再转BIN档
好像要个软件转一下，叫什么来的好久没搞 了
是个阅读软件可以读BIN,HEX。可以对比的

l1715s

TO:grant-liao

就我朋友抱怨的情况，似乎跟你讲的方法情况不太一样。据说是新片里面唯一ID，经过几个运算得到几个数，iap到芯片的几处地方。
芯片虽然已经硬件加密，bin却已经读出来了，是通过jtag读出来的,没有破坏片子！
（听到这里我都大为诧异，stm32硬件加密失效攻破了？？？）
程序应该是对比id和软加密数值，关键就是这块。

其实我个人现在也在用stm8，比较忐忑。

linghu2

回复【4楼】grant-liao  
再啰嗦一下啊。上面这些命令在前面加;是屏蔽掉
那么象擦除肯定不能擦除它不然你程序都没了解密干嘛？
讲那么多最关键就是把falsh命令全部屏蔽
只在烧录的那个命令中把verify 改成 read .f后面改动加个r (读取）
还要在option byte命令全关掉
把最后一个 改成tpcmd read o r $1ffff800 $1ffff800 
这个o 是代表option byte
后面两个都省掉了 是因为要读数据，开始的数据去掉。
-----------------------------------------------------------------------

真的破_解了?

grant-liao

回复【8楼】l1715s
-----------------------------------------------------------------------

回复【9楼】linghu2 令狐二中
-----------------------------------------------------------------------

破_解没有我真的不敢肯定。我当时没有可以去解密的。
但是我原来在客户那边有这样试过，是他们在编程的时候不知道谁改动了参数
不能重烧，一旦OPTION 错误，芯片功能异常。我就把他们先解密才解决的。敢说我绝对有读出BIN文档

8楼说的对是JATG模式下。上面我有把那些命令文档都列出来了

我觉得解密最主要的是用好的工具

象RENESA的芯片就有8个位置来放密码的。不同的芯片可能结构有差异。但是整体是差别不大
就和OPTION,PROTECT有关。


我又找了个RENESA的例子


; ID Code (change as needed)
TCSETPAR ID_CODE CONST $FF $FF $FF $FF $FF $FF $FF


它这个是7位我也有见到过8位的
; Key-code settings (change as needed).
TCSETPAR KEY_CODE CONST $FF $FF $FF $FF $FF $FF $FF $FF

。默认为FF,也有的默认为00.一旦设定这些位就保护了，一定要先把他们读出来
才可以重新烧录。

biansf2001

晕，128位加密这就没用了？

eiglxl

关注

yusufu

mark~~看破_解~

aleyn

关注发展。

Trylin

回复【8楼】l1715s  
-----------------------------------------------------------------------

我用STM32的ID做过软件加密，用破_解读出来的BIN重新烧写到别的STM32是没有用的。告诉你一个方法，既然你BIN可以读出来，反汇编分析咯，呵呵

ShawnLinson

强烈关注中，随时备查，马克党

maoyongf2008

这么轻易就读出来了？？

开发点程序全让同行“开源”了

世道真不好混啊~~~~

wxws

高科技呀

wuzhujian

用汇编分析软件加密，难度不是一般的大。

    我的加密方式是，程序第一次运行时，对128位的ID进行运算，然后写入原来代码预留的几个初始值为0xffffffff的地方。
    加密算法不只一个，每个存放密码的地方，密钥是不一样的，算法是通用的MD5。

    密码的比较，不是在开机的地方，而是在通信的过程中，如果密码不对，清除所有内存的内容，程序肯定出错的。

    另外，我是用OS的，密码验证放在几个线程里面，想找到那几段代码，难。

wandy2010

高手如林啊，哈哈

grant-liao

回复【15楼】Trylin
-----------------------------------------------------------------------

其实你烧了BIN文档还的烧录OPTION才能正真跑起来。
为什么要设置OPTION我也不是很清楚
一般BIN。HEX.S19烧录和运行是不一样的。很多在编程器中配置OPTION
我说的这个FLASHRUNNER编程器它的好处是直接把OPTION的几个关键数据放到对应的地址就可以了
可以同时一起写进去。并且地址，数据长度都可以改动想放哪里就放哪里。
比如有的芯片有BOOTLOAD好像是启动代码，放在一个区域。
问题是有的时候烧程序会覆盖到某个启动区域的时候，我们就可以改动地址让他们不覆盖。
这个我就在VETECH碰到过。

l1715s

回复【19楼】wuzhujian 吴助建
-----------------------------------------------------------------------
密码的比较，不是在开机的地方，而是在通信的过程中，如果密码不对

----
这是个好办法，打算新项目里面，密码不对马上软重启

gold

问题是，STM32所说的唯一ID是假的，是可以修改的，那么，不管你采用何种加密方式，不管怎么复杂，加密失效

yu_studio

关注

shdjdq

难道ID又和STC差不多？没有硬的，都是软ID。

ftest01

回复【24楼】gold
问题是，stm32所说的唯一id是假的，是可以修改的，那么，不管你采用何种加密方式，不管怎么复杂，加密失效
-----------------------------------------------------------------------

此话怎讲？
你的意思是说，一块STM32读ID区原先读出来假设是0x12345678，那么经过某种手段后，再读ID区，可以读出其他的数来？
是这个意思吗？

linghu2

回复【24楼】gold  
问题是，stm32所说的唯一id是假的，是可以修改的
-----------------------------------------------------------------------

请详细说明一下

xingliu

关注下

wwqq

强烈关注中，随时备查，

l1715s

回复【24楼】gold
-----------------------------------------------------------------------

同问，此话怎讲？

phone

关注中...

gold

回复【27楼】ftest01
回复【24楼】gold  
问题是，stm32所说的唯一id是假的，是可以修改的，那么，不管你采用何种加密方式，不管怎么复杂，加密失效
-----------------------------------------------------------------------
此话怎讲？
你的意思是说，一块stm32读id区原先读出来假设是0x12345678，那么经过某种手段后，再读id区，可以读出其他的数来？
是这个意思吗？
-----------------------------------------------------------------------

的确是这样的，你可以把STM32的ID修改成你需要的

grant-liao

回复【28楼】linghu2 令狐二中
-----------------------------------------------------------------------

回复【31楼】l1715s
-----------------------------------------------------------------------

相当于一个地方让你放密码。随你怎么写都可以。

问题是只要我能读出你写的就可以进去了。

所以加密没什么很大作用

主要是就算解密了又怎么样。高深的东西应该不会用STM32把

designlife

我一直没明白，破_解出来有啥用？大型一点的程序就是给你原代码+注释，估计很多人也要几个月才能完全理解，再一个，不同的硬件就算有代码也没啥用。如果水平强到软硬都能抄，为何不自己开发？

.titrwh

回复【35楼】designlife
-----------------------------------------------------------------------

他们不需要理解，直接copy，最多改改结构。

shangdawei

mark : 你可以把STM32的ID修改成你需要的
mark : 片虽然已经硬件加密，bin却已经读出来了，是通过jtag读出来的,没有破坏片子！

canback

我之前有个朋友也拿来一款stm32的产品，我用jlink7，将bin文件读出，不知道是加密失效还是没加密。
不过bin文件烧写到其他IC之后，一复位就清除flash了。
IDA pro是个给力的反汇编工具

stm8s

打击破_解 MARK

xrwf_2009

MARK 找对付破_解的思路

electricit

加密时在程序中定义几个CONST数组，然后把ID离散写进FLASH去，这下就相当蛋疼啦

Arachne29

关注一下

mushk

mark

newkey

留名，以后防解密用

yinglively

mark

Forever

mark！道高一尺，魔高一丈!

dragon_hn

如果能读到BIN文件,如果愿意花时间,我认为唯一ID就是扯蛋.
不信如果谁有STM32的BIN文件,给我10万RMB,我保证能做到哪一片相同的STM32都能用.
唯一ID的好处就是我所说的提高了10万RMB的门槛.

danju

mark STM32 ID 可改写，加密后还能读出bin

shqila

回复【47楼】dragon_hn  
如果能读到bin文件,如果愿意花时间,我认为唯一id就是扯蛋.
不信如果谁有stm32的bin文件,给我10万rmb,我保证能做到哪一片相同的stm32都能用.
唯一id的好处就是我所说的提高了10万rmb的门槛.
-----------------------------------------------------------------------

给你一个STM32的bin文件，给你一年时间，搞不定的话敢不敢输给我十万

jerico

不会吧，这么容易就破了？还可以用jtag读出?!

dragon_hn

回复【49楼】shqila
回复【47楼】dragon_hn   
如果能读到bin文件,如果愿意花时间,我认为唯一id就是扯蛋.
不信如果谁有stm32的bin文件,给我10万rmb,我保证能做到哪一片相同的stm32都能用.
唯一id的好处就是我所说的提高了10万rmb的门槛.
-----------------------------------------------------------------------
给你一个stm32的bin文件，给你一年时间，搞不定的话敢不敢输给我十万
-----------------------------------------------------------------------
给我一个STM32的BIN文件,给我一块能运行的板子,给我10万块,一年之后没解出来给你20万.联网的除外,我只是说破_解ID.

wenunit

对如何读出BIN有兴趣,
对于修改ID有兴趣,

至于破_解软件加密,如果程序员够强,这个是玩不了的,
如果不够强,你破什么,自己搞就成了.

wenunit

想过如何读取BIN可能性,没去实践

如果可以修改ID的话,是不是ST厂家漏出来的东西?

dragon_hn

如何读BIN我不去讨论,如何破ID的方法太多了.
大家想想WIN7如何加密就知道,想想IPHONE如何加密就知道,难道MICROSOFT和APPLE不知道用DES,AES,不知道CRC?

outt60777

回复【51楼】dragon_hn  
回复【49楼】shqila
回复【47楼】dragon_hn   
如果能读到bin文件,如果愿意花时间,我认为唯一id就是扯蛋.
不信如果谁有stm32的bin文件,给我10万rmb,我保证能做到哪一片相同的stm32都能用.
唯一id的好处就是我所说的提高了10万rmb的门槛.
-----------------------------------------------------------------------
给你一个stm32的bin文件，给你一年时间，搞不定的话敢不敢输给我十万
-----------------------------------------------------------------------
给我一个stm32的bin文件,给我一块能运行的板子,给我10万块,一年之后没解出来给你20万.联网的除外,我只是说破_解id.
-----------------------------------------------------------------------

关键不是看源文件，而是仿真追踪。看源汇编文件真的不容易。但是追踪就容易多了！

shdjdq

加密的东东总有漏洞，只要解密都花太多的时间，太多的金钱，还有一次解不完，N个月后又出现的问题，那它就要死翘翘了。

xiaosi1102

这个东西需要标记一下  以后说不准能用上

xizi

mark

wuxianglei

mark

lghtjpu

关注

zaixian

关注。

wenunit

回复【54楼】dragon_hn
-----------------------------------------------------------------------

软件加密这个东西,有实力的厂家都可以加的很好,
就是所谓的无法破_解,或是破_解成本高于开发成本..

一些东西做的你可以解密,有时也是一种营销手段.
东西出厂,要通过审查,限制某些功能是必要的,不然就进不了市场.
但是要提供性价比,就要从解密入手了.
还有就是要迅速占领市场.

KEIL从3版本开始,注_册机就没有换过,他不知道已经让人破_解了?
这是营销手段,很可能这个注_册机就是他们自己开发的.
我们公司买了一套MDK,就是没用过,还是用注_册机破_解.
通过网络收集使用者信息,不买就起诉你.

haigerl

mark

schlang

马克关注下

pchf005

sibtck

如果有人能软解我出10万解一芯片!!!

nust_奔跑

mark      

nust_奔跑

就像有些东西的盗版一样~~反而会促进东西的发展和营销~~

loongsuns

想学加密，留名关注

yl604922959

什么都不保险呀

252177861

我觉得只要搜索bin文件中，所有获取ID的地方拦截一下，模拟一个相同的ID，就能破解

464839941xql

自从有了解密、加密，这门学问就开始了。不过学学还蛮有意思的！有用的！

503126063

mark......

qllaoda1

软加密如合理地使用了反跟踪算法，要把人累死的，不过我更喜欢埋雷，让别人以为破解成功，实际上好戏在后头。
我以前也做过这种用ID的加密方式，故意留了个很明显的漏洞给破解的人，他们很快就反汇编后绕开了我故意留下的漏洞，然后他们以为破解成功了。但是我隐藏了一个地雷在里面。程序运行5-10天后就会随机崩溃，他们平时测试不会测这么久的。后来我从客户那里知道，他们抄出来的东西全部给退货了，他们没抄成还砸了自己的牌子，

ddcour

可以把STM32的ID修改成你需要的?

fire18

mark..............

tangpeng

学习一下啊

baoya1

你试试淘宝。。。

zhoulei123

真心不支持这样事情。。。。。

mcuprogram

关注                    

justforfun

qllaoda1 发表于 2013-4-19 10:07
软加密如合理地使用了反跟踪算法，要把人累死的，不过我更喜欢埋雷，让别人以为破解成功，实际上好戏在后头 ...

什么叫埋地雷啊？