硬件分析往往是嵌入式设备分析的第一步,本文主要讲解一些常用工具与硬件分析的基础方法,以及小技巧等
基础元器件
常用电路元器件及其符号如下:
电阻:R 电容:C 电感:L 开关:K或S 晶振:X或Y 芯片:U 发光二极管:LED
了解电路基本组成后需要学会看电路原理图Schematics。
TIPS:如果芯片的datasheet上没有pinout/pinmap,需要去找芯片的User Manual或者Reference Manual,如果都没有找到pinmap,可以去找芯片的官方开发板原理图,在原理图中看芯片的pinmap(芯片四角其中一角会有一个小孔,小孔处为1号引脚,逆时针数;如果发现芯片上有对角的一大一小的两个圆孔,以较小的孔开始为1号引脚;以上为常规方法,如果与芯片pinmap不同,以pinmap为准)
常用工具
BGA拆焊台,在吹焊芯片是会比热风枪更方便。
植锡网,用于BGA植球
植锡台,便于固定芯片和植锡网。
芯片封装
以下为常见的芯片封装
SIP(single in-line package)单列直插式封装
DIP(dual in-line package)双列直插式封装
SOP(small out-line package)小外形封装
SOJ(small out-line J-leaded package)J形银角小外形封装
TSOP(thin small out-line package)薄小外形封装
QFP(quad flat package)四侧引脚扁平封装
QFG(quad flat J-leaded package)四侧J形引脚扁平封装
QFN(quad non-leaded package)四侧无引脚扁平封装
BGA(Ball Grid Array)球栅阵列
在硬件测试过程中,对于BGA芯片可以先对芯片周围进行加温,如果芯片周围有大片覆铜会导致散热快,锡球难以融化,适当调高热风枪或者红外焊台的温度,等到锡球完全融化后再用扁头镊子取下,切勿在锡球未完全融化时暴力拆解芯片,不慎操作容易导致触点掉落。
芯片厂商
熟悉常见厂商的logo以及其主芯片品类对与快速分析电路板上每片区域每块芯片的功能有很大帮助,由于大多数公司所做的芯片业务非常广泛,下面只做粗略分类
处理器:nxp(恩智浦)Intel(英特尔)Nvidia(英伟达)AMD(超微半导体) Renesas(瑞萨)Freescale(飞思卡尔)ST(意法半导体)
存储:SK hynix(海力士)micron(镁光)toshiba(东芝)winbond(华邦)sandisk(闪迪)spansion(飞索半导体)greenliant(绿芯半导体)macronix(旺宏电子)Samsung(三星)Elpida(尔必达)WD(西数)
射频:broadcom(博通)Qualcomm(高通)qorvo quectel(移远通信)ublox unicorecomm(和芯星通)Cannaantek(迦美)
网络:Marvell(美满电子)Aquantia
车规级处理器用的有 Nvidia的Tegra系列,Renesas的R-Car系列,NXP的MPC和SPC系列,Renesas的RH850和SuperH系列等等
编程器
编程器是读取写入芯片固件的工具,提取固件是硬件分析中最重要的一环
GZUT
GZUT的编程器读写EEPROM,SPI Flash很方便,价格也比较便宜
New OnePro 土豪金:http://pan.baidu.com/s/1mi0leJY
Dreampro3:http://pan.baidu.com/s/1kVRr2eF
EZP_XPro: http://pan.baidu.com/s/1jIfq1wE
RT809H
用户使用手册(https://www.kancloud.cn/rddz2017/rt809h_sysc/879479)
软件发布链接(https://www.kancloud.cn/rddz2017/china_english/885238),不定期更新,更新内容一般是添加芯片型号支持,此软件不能在虚拟机使用,并且需要当前电脑登录账号为管理员账号(不支持域账号)
RT809H是支持芯片型号及封装类型最多的编程器,配合不通型号的卡座使用,在进行读取固件前都要对芯片引脚进行清理,读取完固件后需要进行verify,确保读取结果正确,如果verify不通过可能的原因一般为接触不良,需要重新清理芯片,如果芯片为BGA,可能需要植球。
RT809F
用户使用手册(https://www.kancloud.cn/ifix_809/rt809f_eng/883931)
软件发布链接(https://www.kancloud.cn/rddz2017/china_english/885238),不定期更新,更新内容一般是添加芯片型号支持,此软件不能在虚拟机使用,并且需要当前登录账号为管理员账号(不支持域账号)
与RT809H相同,不再赘述。
ProMan
用户使用手册、软件及驱动(https://pan.baidu.com/s/1ELs164X5jFQJCh3J9sTsiw 提取码: 8f8m),软件没有官方的发布页面,如以上链接失效,可从淘宝商品详情处寻找新的下载地址。
注意:ProMan需要硬件版本与软件版本一致
ProMan大多用于TSOP封装NAND Flash和NOR Flash读取,配合不同型号的卡座使用,由于TSOP封装引脚细小且间隔近,在吹焊芯片时要注意不要弄坏引脚,读取固件前要仔细清洁引脚,读取完固件后需要进行verify,确保读取结果正确,如果verify不通过可能的原因一般为接触不良,需要重新清理芯片。
树莓派+flashrom
flashrom(https://flashrom.org/)是用于识别、读取、写入、验证和擦除flash芯片的实用程序,大多用于读取SPI Flash的固件。
软件链接(https://github.com/flashrom/flashrom),一般配合树莓派来使用(https://flashrom.org/RaspberryPi),把芯片的引脚对应接到树莓派的GPIO口上(https://pinout.xyz/)进行读取或者写入固件。
如果遇到不支持的芯片型号,需要找到芯片的datasheet,阅读芯片的刷写方式,并在flashchips.h和flashchips.c中添加相应的内容,以增加芯片支持。
串口UART
我们通常所说的串口即UART,是嵌入式设备常用的调试接口,通过串口可以拿到系统shell或者看到系统的日志输出等等。
找串口
有些电路板上会留出四个点,通常就为串口,先找到GND,然后再找TX和RX口
有些电路板上并不会显视的留出明显的四个点,我们就需要找电路板上其他的点有没有可能是串口,可以使用尖嘴镊子夹住线,点在电路板的点上,不断重启设备,观察是否有日志输出。
连串口
一般常用的串口模块为CH340 CH341 CP2102 FT232等。
TIPS:有些模块同时支持TTL、232、485几种电平逻辑,通常情况下模式设置为TTL,如果设置为232模式,有可能因为电平原因导致串口日志输出有问题。
串口通常用的工具有Xshell、SecureCRT、putty、screen、minicom、picocom等,串口需要注意波特率,上电有日志输出但是乱码时,很有可能是波特率设置不正确。
串口使用
串口传输文件使用Rz、Sz工具,如果系统上没有rzsz命令,可以使用base64传一个rzsz到嵌入式系统内,然后使用rzsz命令传输一些系统上没有的工具例如gdbserver或者gdb等。
JTAG
Jtagulator是辅助发现片上调试口的工具,支持uart与jtag扫描,产品介绍:(https://www.parallax.com/sites/default/files/downloads/32115-JTAGulator-Product-Brief-1.1.pdf)幻灯片(http://www.grandideastudio.com/wp-content/uploads/jtagulator_slides.pdf)
无配套软件,用任意串口工具连接即可
end
ChaMd5 ctf组 长期招新
尤其是crypto+reverse+pwn+合约的大佬
原文始发于微信公众号(ChaMd5安全团队):硬件分析的常用工具与基础方法
