Реверс хекскода Atmel - Страница 6

st__1 · 13.02.2012, 02:34

Сообщение от omercury

Вот поэтому и лежат копии в 3х местах

Мда... А то... с уходом 5,25" флопов... расслабились... непадецки...

anakost · 14.02.2012, 15:12

Мне кажется, что восстановить кодовый сегмент (.CSEG) из файла *.hex AVR сейчас очень легко. Это безошибочно сделает IDA Pro. Совсем другое дело - это восстановление сегмента данных. Здесь нужен отладчик кода AVR. К сожалению IDA Pro это не умеет. Или может я об этом не знаю? Давайте разберем простейшую программу на ассемблере AVR:

.include "m8def.inc" ; Используем ATMega8, JTAG нет

.EQU BUF_Begin= 0x77
.EQU Count= 777

.DSEG
.ORG BUF_Begin
Buffer: .byte Count

.CSEG
RJMP _Reset

.ORG INT_VECTORS_SIZE
_Reset:
ldi r17, Low(RAMEND)
out SPL, r17
ldi r17, High(RAMEND)
out SPH, r17
RCALL RAM_Proc
RJMP _Reset

RAM_Proc:
LDI XL,Low(Count)
LDI XH,High(Count)
LDI ZL,Low(Buffer)
LDI ZH,High(Buffer)
Proc:
; ----------------------------------------
; Очень сложный и запутанный алгоритм,
; результат в R16
CLR R16 ; просто для примера
; ----------------------------------------
ST Z+,R16
SBIW X, 1
BRNE Proc
RET

Скомпилируем в Студии, полученный *.hex подсунем IDA Pro. Код восстановлен на 100%, информация о сегменте DSEG отсутствует полностью. Можно загрузить *.hex в студию, включить отладку и Count раз пройти процедуру Sub_19, записывая на бумажке адрес обращения к памяти и восстанавливая диаппазон адресов .DSEG.
При этом тестовая программа ничего не делает, а отлаживаемая программа может вести себя в процедуре как угодно, например расчитывая по сложному алгоритму следующий адрес ячейки RAM. Определение с какой памятью и как работает программа, наверное и есть самое сложное, т. к. информация об этом в *.hex файле напрямую не хранится, в отличии от кодов операций и DB таблиц.
Как то так.

jump · 14.02.2012, 17:01

anakost,
а что говорит AVRStudio? хекс ей подсовывали?

anakost · 14.02.2012, 17:49

Сообщение от jump

anakost,
а что говорит AVRStudio? хекс ей подсовывали?

При открытии файла *.hex в студии, она предлагает создать новый проект, и сразу открывает *.hex в дизассемблере. Можно и так, но полученный дизасемблированный код гораздо хуже структурирован, чем после IDA Pro.

jump · 14.02.2012, 18:49

anakost,
мне гораздо важнее ваши методы и результат восстановления (для сравнения со своим опытом), а структуру - нарастим

ART_K · 14.02.2012, 23:12

с AVR пока не занимался, но в планах есть..
по MSC-51 есть большой опыт изучения прошивок автомобильных блоков управления..
из инструментов - IDA5.5, Keil Vision в качестве отладчика. Сложные участки кода обычно прогоняю в железе, подключая к внешней памяти 32-х канальный анализатор, так проще понять данные или код по определенному адресу..

AYuM · 15.02.2012, 00:01

Гораздо труднее дизасмить PICовские программы.
Дизасм ПИКа не учитывает текущий банк регистров, и с этим приходится самому разбираться. АВРские намного легче. Дизассемблировал с обоих процев.
Кстати, прогу, написанною на Си, легче реверсить - много узнаваемых фрагментов.

SasaVitebsk · 15.02.2012, 00:20

Сообщение от anakost

Совсем другое дело - это восстановление сегмента данных. Здесь нужен отладчик кода AVR. К сожалению IDA Pro это не умеет. Или может я об этом не знаю?

Повторюсь ... последний раз имел дело с отладчиками в 80-ых годах. Тогда отладчикам можно было указать адреса данных ... Правда они, как правило вместо данных сразу метки ставили, но тоже не очень удачно ... Что-нибудь типа "?lb4565". Работать с такими метками было невозможно. К тому же дизасемблер не знает точно что это - или адрес или переменная ... Не всегда это возможно определить по тексту проги, хотя иногда и возможно ...
Например если применяешь lds то это однозначно адрес, а если ldi, то тут вопрос ... Так вот в дизасемблерах ты мог именовать метки и пускать по второму кругу ... Понятно, что без допиливания напильником ничего не будет ..
===
Судя по приведённому вами листингу дизасемблера - очевидно что он очень ущербный ... за счёт универсальности ... то есть практически не учитывает особенности процессора ..

st__1 · 15.02.2012, 01:18

Сообщение от SasaVitebsk

Судя по приведённому вами листингу дизасемблера - очевидно что он очень ущербный ... за счёт универсальности ... то есть практически не учитывает особенности процессора ..

Мда...

Вспомнился взлом прошивок МЭЛТ... во времена всеобщего АОНизма...
Они пользовались процами Temic и Siemens, у которых были незначительные различия в инструкциях...
Защита на лоха конечно, но всё же... и CRC прошивки ещё... Один хрен приходилось дизасмить по кусочкам и проходить пошагово...

anakost · 15.02.2012, 09:42

Сообщение от SasaVitebsk

Судя по приведённому вами листингу дизасемблера - очевидно что он очень ущербный ... за счёт универсальности ... то есть практически не учитывает особенности процессора ..

Согласен с вами. Но на текущий момент дизассемблер AVR, формирующий более удобочитаемый листмнг чем IDA Pro мне просто не встречался. Казалось бы дизассемблер Студии на 100% заточен под AVR, и должен должен производить реверсинг отлично, но это не так. Вывод Студии настолько убог, что разобраться с дизасемблированным кодом много сложнее.
Ильхак давно обещает добавить в IDA Pro полноценную поддержку AVR, но уже появились Кортексы, а с AVR дело не двигается. Наверное уже не дождемся, а жаль. Кстати в IDA Pro можно немного изменить вид выводимого листинга. Я имею в виду включение в каждую строку комментария по команде. Для этого надо только поставить галку в меню Options-›General-›Disassembly-›Auto comments. По умолчанию комментарии на английском, но это легко правится переводом файла avr.cfg с последующей заменой штатными средствами IDA Pro.