stm32逆向与安全科普系列第一篇：bin文件逆向小试

ilovepp

首先你要有一个bin文件（bin文件的获取方法不在此展开介绍，今后有机会可以专门开一个贴聊一聊）。本次实验用到的bin文件是用ST官方CMSIS和外设库编译的跑在stm32f103c8t6上的bin文件，比较具有代表性。

工具准备：安装开源跨平台逆向神器r2 https://github.com/radareorg/radare2 ，r2可运行在Windows、Linux、Mac等所有主流操作系统上（r2有多牛逼不在此展开介绍，今后有机会可以专门开一个贴聊一聊）。

实验步骤：
1）输入r2 -a arm -b 16 -m 0x08000000 stm32_xwrtos.bin 进入r2的控制台后，输入e asm.cpu=cortex。这一步是告诉r2以0x08000000为基址加载stm32_xwrtos.bin文件，并设置指令集为cortex系列的thumb。


2）输入aaaa，运行自动化分析。


3）输入pxw 268 @0x08000000 以小端四字节形式打印从0x08000000开始的268（268对应中断向量表大小）个字节，同时打开ST官方的启动文件startup_stm32f10x_md.s并找到.isr_vector段进行对照。


4）接着上一步，输入fs notes，创建并切换到一个名为notes（可以是任意其他名字）的符号记事本;按照f flag=address的形式，对照.isr_vector段，向符号记事本中录入感兴趣的符号地址对应关系。注意如果address是函数地址则需要减1（因为thumb指令的要求，具体原因此处不展开）;最后输入af @flag形式的命令强制进行函数分析。


5) 输入pdf @Reset_Handler，对Reset_Handler函数进行反汇编

输入 VV 切换到流程图视图

通过阅读汇编代码，可以得到以下信息：
        1.  data段的地址区间为0x20000000-0x20000028 bss段的地址区间为0x20000028-0x2000043C
        2.  Reset_Handler用0x08002cbc开始的0x28字节初始化data段，用0填充bss段
        3. 调用fcn.08001cc8函数
        3. 调用fcn.08001734函数

6）输入pdf @fcn.08001cc8进行反汇编

发现对外设寄存器地址0x40021000的引用

通过查询数据手册，可判断fcn.08001cc8函数应为系统初始化化函数SystemInit()，它初始化了时钟

7）根据经验判断fcn.0800173函数即为main函数

我是分割线

本篇作为系列第一篇文章，主要作用是带大家熟悉和习惯r2的基本使用，以及对逆向有个感性认识。下一篇计划在逆向的基础上介绍stm32上的栈溢出漏洞的挖掘与利用。

我是一个大白菜

这个牛逼，那可以通过这个学到怎么防止或者增加反向难度吗？

armku

用C++，继承层数多些，搞几个虚函数，再试试

ilovepp

我是一个大白菜 发表于 2020-9-7 20:25
这个牛逼，那可以通过这个学到怎么防止或者增加反向难度吗？

当然，这也是我写这个系列的初衷

flash3g

这个不错，学习一下，防止破解

ilovepp

armku 发表于 2020-9-7 20:28
用C++，继承层数多些，搞几个虚函数，再试试

C++的逆向不算啥，只要不是高阶vmp虚拟机这种都可逆

dreampet

像这样直接出伪代码的，才算神器
复位函数：

1. void UndefinedFunction_0800168c(void)
   
2. 
   
3. {
   
4.   int iVar1;
   
5.   undefined4 *puVar2;
   
6.   
   
7.   iVar1 = 0;
   
8.   while (puVar2 = DAT_080016c8, (uint)(DAT_080016c0 + iVar1) < DAT_080016c4) {
   
9.     *(undefined4 *)(DAT_080016c0 + iVar1) = *(undefined4 *)(PTR_DAT_080016bc + iVar1);
   
10.     iVar1 = iVar1 + 4;
    
11.   }
    
12.   while (puVar2 < DAT_080016cc) {
    
13.     *puVar2 = 0;
    
14.     puVar2 = puVar2 + 1;
    
15.   }
    
16.   FUN_08001cc8();
    
17.   FUN_08001734();
    
18.   return;
    
19. }

复制代码

SystemInit

1. void FUN_08001cc8(void)
   
2. 
   
3. {
   
4.   uint *puVar1;
   
5.   uint *puVar2;
   
6.   uint *puVar3;
   
7.   uint uVar4;
   
8.   int local_10;
   
9.   
   
10.   uVar4 = DAT_08001dc0;
    
11.   puVar1 = DAT_08001dbc;
    
12.   *DAT_08001dbc = *DAT_08001dbc | 1;
    
13.   puVar1[1] = uVar4 & puVar1[1];
    
14.   *puVar1 = *puVar1 & 0xfef6ffff;
    
15.   *puVar1 = *puVar1 & 0xfffbffff;
    
16.   puVar1[1] = puVar1[1] & 0xff80ffff;
    
17.   puVar1[2] = 0x9f0000;
    
18.   local_10 = 0;
    
19.   *puVar1 = *puVar1 | 0x10000;
    
20.   puVar3 = DAT_08001dc8;
    
21.   puVar2 = DAT_08001dbc;
    
22.   do {
    
23.     local_10 = local_10 + 1;
    
24.     if ((*puVar1 & 0x20000) != 0) break;
    
25.   } while (local_10 != 0x500);
    
26.   uVar4 = *DAT_08001dbc & 0x20000;
    
27.   if (uVar4 != 0) {
    
28.     uVar4 = 1;
    
29.   }
    
30.   if (uVar4 == 1) {
    
31.     *DAT_08001dc8 = *DAT_08001dc8 | 0x10;
    
32.     *puVar3 = *puVar3 & 0xfffffffc;
    
33.     *puVar3 = *puVar3 | 2;
    
34.     puVar2[1] = puVar2[1];
    
35.     puVar2[1] = puVar2[1];
    
36.     puVar2[1] = puVar2[1] | 0x400;
    
37.     puVar2[1] = puVar2[1] & 0xffc0ffff;
    
38.     puVar2[1] = puVar2[1] | 0x1d0000;
    
39.     *puVar2 = *puVar2 | 0x1000000;
    
40.     puVar1 = DAT_08001dbc;
    
41.     do {
    
42.     } while (-1 < (int)(*puVar2 << 6));
    
43.     puVar2[1] = puVar2[1] & 0xfffffffc;
    
44.     puVar2[1] = puVar2[1] | 2;
    
45.     do {
    
46.     } while ((puVar1[1] & 0xc) != 8);
    
47.   }
    
48.   *(undefined4 *)(DAT_08001dc4 + 8) = 0x8000000;
    
49.   return;
    
50. }
    

复制代码

Main函数

1. void FUN_08001734(void)
   
2. 
   
3. {
   
4.   FUN_08000840();
   
5.   FUN_080017c0();
   
6.   FUN_0800131c(DAT_08001798,8,DAT_08001794);
   
7.   FUN_0800074c(PTR_DAT_080017a4,0,DAT_080017a0,0x100,PTR_s_IdleTask_0800179c,0);
   
8.   FUN_0800074c(PTR_LAB_080016de+1_080017b0,0,DAT_080017ac,0x100,PTR_s_Task1_080017a8,1);
   
9.   FUN_0800074c(PTR_FUN_08001708+1_080017bc,0,DAT_080017b8,0x100,PTR_s_Task2_080017b4,2);
   
10.   FUN_08000850();
    
11.   do {
    
12.                     /* WARNING: Do nothing block with infinite loop */
    
13.   } while( true );
    
14. }
    

复制代码

armku

C编程的程序，IDA-F5可以导出C代码，C++的代码难度高很多

ilovepp

dreampet 发表于 2020-9-7 20:43
像这样直接出伪代码的，才算神器
复位函数：

你用你的ida F5，我玩我的radare2

dreampet

ilovepp 发表于 2020-9-7 20:47
你用你的ida F5，我玩我的radare2

并不是IDA

bangbangji

dreampet 发表于 2020-9-7 20:43
像这样直接出伪代码的，才算神器
复位函数：

这个牛b了，，，哈哈哈

ilovepp

dreampet 发表于 2020-9-7 20:49
并不是IDA

radare2用插件也可以反编译，只不过反编译精度比ida稍差，radare2还可以做到全架构模拟执行。我选择radare2的原因在于它可以pipeline到unix的命令行工具，还有更重要的是可以做为frida动态插桩工具的前端进行交互式动态调试，例如r2frida。

Himem

dreampet 发表于 2020-9-7 20:49
并不是IDA

snowman ？

dreampet

ilovepp 发表于 2020-9-7 20:53
radare2用插件也可以反编译，只不过反编译精度比ida稍差，radare2还可以做到全架构模拟执行。我选择radar ...

嗯 这些软件各有所长， 我的主要需求是冷门平台的算法逆向， 目前以ghidra为主，r2为辅。

dreampet

Himem 发表于 2020-9-7 21:01
snowman ？

美国国土安全局开源的 ghidra

OOXX110

这个牛X了

knight_sh

这个主题不错，搬凳子学习

woshigeshuai

现在STM32程序  ，防止复制都用ID加密，并且会将ID 影藏的很深。
不到 有守就有攻

Jayson_Ge

这个比较厉害了，跟进学习

feibagezib

这个牛逼!学习下

motor_control

dreampet 发表于 2020-9-7 20:43
像这样直接出伪代码的，才算神器
复位函数：

你这个确实好。

请问是怎么搞的？谢谢！

amdzid

这个厉害了，学习学习

canspider

反编译工具要用好需要写一些有针对性的插件
之前为了研究STM32的代码，就做了个从HAL库头文件中提取常量定义的玩意，地址变名称会方便很多
楼主这个工具能不能模拟外设的执行，或者有没有提供模拟外设的接口

机器人天空

这个有点牛逼

huangqi412

这个比IDA好吗

liang_work

这个牛逼,标记一下.

liyang121316

逆向为什么不发看雪？

sblpp

感谢楼主分享，期待第二篇

hzpyl

只能 反汇编 得到 汇编语言，
可以破解用，
但修改什么，就傻眼了。

farmerzhangdl

ghidra这个牛逼，比ida还好的样子

ilovepp

farmerzhangdl 发表于 2020-9-9 13:47
ghidra这个牛逼，比ida还好的样子

ghidra俗称鸡爪

了无

dreampet 发表于 2020-9-7 20:43
像这样直接出伪代码的，才算神器
复位函数：

你搞的那个mcal，让我太受用啦。可惜没有eb的河蟹，eb用的是flexnet

了无

这个字体叫什么名字，挺好看的。我换到我的开发环境上试试

lhj200304

dreampet 发表于 2020-9-7 20:43
像这样直接出伪代码的，才算神器
复位函数：

大神，这个是哪个工具？

ycwjl728

这个牛逼，学习一下！
感谢楼主分享！

泡泡鱼lu

mark标记一下，不错

wangweigang0

能逆向出c代码确实牛。

tdchenke

厉害了  学习下

beijisnow

good!                       

unifax001

啥字体这是 很好看

liurangzhou

我有一个DOS程序，想反编译，有什么工具推荐一下

asma

得学学实践经验的

zirong0804

值得学习

szcqcc

逆向比正向费劲，反汇编也不是啥高科技，犯不着这么起劲吧

renpeng009672

没有下文了么？

tangmin

太高科技了

修电筒的老王

非常牛掰，保持关注。

pengshicao

固件除了采用ID防反复制外,还应根据自己产品的特点添加产品自己特有的反复制方法.即便破了ID这一关,还有别人不知道的另一关,这一关才是关键.比如有的产品需要校准,只有校准才能使用,而如何校准只有制造商知道,用户并不知道,假如这个校准挺麻烦需要制造商辅助特殊工具和方法才能完成,就更增加破解难度,除非破解者能看懂反汇编代码,这样花费的精力和时间还不如自己重做来的快.

motor_control

搞逆向的很大部分原因就是因为自己写不出同样功能或性能的程序，不是学了单片机就能搞定所有开发的。

mmswza

没玩过，保持关注。