前言
上节初步介绍一些硬件基础知识和分析硬件所需要的基本工具,本篇将讲述利用编程器直接读取芯片固件的方法。
为了读取Flash芯片的内容,有以下两种常用方式:
1、直接将导线连接到芯片的引脚,在通过飞线连接编程器,进行在线读取固件;
image
2、把芯片拆焊下来,通过烧录座编程器,离线读取固件。
image
image
飞线法读取
通过夹具夹住芯片引脚,然后连接编程器读取芯片内容,通过编程器连接芯片需要注意引脚的顺序,在IC芯片上都会有一个小点,大多数情况下,小点对应的引脚即为芯片的第一脚,而连接编程器的导线也需要插入编程器上相应的引脚。
image
案例一:读取中控F7门禁固件
拆掉门禁外壳,通过电路图和芯片印字分析,在主板上有一颗FM25F04A存储芯片,通过夹具连接芯片到编程器,在通过专用编程器软件,对该芯片进行读取。
image
连接完成,确定引脚接线正确后,打开编程器对应软件,通过智能识别芯片ID,即可开始读取固件工作。
如无法识别,可根据印字说明,尝试类似的型号,一般情况下兼容。
image
点击读取,即可开始固件提取,成功之后会保存为BIN格式文件,打开即可看到16进制的内容,为下一步分析提供基础。
image
image
案例二:读取某智能摄像头固件
拆掉摄像头外壳,通过分析PCB上的各个IC,找到Flash存储芯片。
image
在显微镜下,可以看到是一颗25L64型号的Flash芯片。
image
用夹具连接各引脚,并和编程器连接,进行固件读取。
image
识别到芯片型号为GD25Q64,点击读取,读取完毕后按照提示保存到文件。
image
image
打开保存的BIN文件或者查看缓冲区,即可看到固件内容。
image
image
在Ubuntu中,用binwalk解包固件,做进一步分析。
image
案例三:读取某智能摄像头固件
打开外壳,在PCB背面发现一颗FLASH存储芯片
image
image
通过显微镜发现芯片型号为25L128。
image
连接编程器读取固件并保存。
image
image
案例四:读取某路由器固件
打开外壳,发现PCB上有一颗Flash存储器,但厂商出于安全考虑,把芯片印字涂抹掉了。
image
image
在不知道芯片型号的情况下,我们连接该芯片,让编程器去尝试读取。
image
通过智能识别,发现编程器无法识别出具体型号,而因为Flash存储芯片的种类多样,通过查找又无法获得该路由器的具体参数,这时我们通过UART串口,读取出UBOOT启动信息,串口输出里面发现了该芯片型号为W25Q128BV。(下一篇将会重点介绍关于串口调试的方法)
image
image
在编程器中选择该型号,成功提取出固件。
image
image
用binwalk解包固件。
image
案例五:读取某智能电饭锅固件
拆掉外壳,背面嵌有一块PCB,反面是WIFI处理芯片,正面为存储器,连接编程器。
image
image
通过印字分析为25芯片,存储大小为2M字节,尝试该型号芯片,成功读取固件。
image
image
案例六:读取某网络监控摄像机固件
在PCB上找到一块25L128型号的Flash存储芯片。
image
image
通过夹具连接编程器。
image
识别到芯片为MX25L128,选择其中一种,成功提取固件。
image
image
用binwalk解包固件内容。
image
拆焊芯片读取固件
一般情况下,对于TSOP8封装的闪存芯片,可以用上述方法来读取,但可能存在在线读取成功率不高或数据丢失的情况,对于更多引脚和封装格式的芯片,飞线的难度更高,有一定锡焊基础的建议采用拆焊芯片,用烧录座离线读取的方法。
image
image
热风枪设置在适合的温度,吹下芯片,周围的元件可以用铝箔或锡箔纸适当保护。
拆下的闪存芯片放在烧录座上,在连接编程器进行读写,芯片放置的引脚方向要注意对齐编程器和烧录座的第一脚。
image
image
image
读取完成,用点焊法把芯片焊上焊盘即可。
image
image
更多芯片焊接修改操作请参考2.4.2 硬件修改一节
jtag提取固件
拆焊芯片
首先用热风枪拆下智能锁主控芯片,该单片机型号为:Stm32F103R6。
image
烧录座连接Jlink
芯片第一脚对齐烧录座第一脚,然后把Jlink插入烧录座引出的JTAG接口。
image
image
读取固件
电脑上安装好Jlink驱动,打开J-Flash客户端,设置好参数,主要在配置栏选择正确的芯片型号,然后点击连接,在点击Target->Read Back->Entire trip即可读写固件。
image
image
image
image
image
网友评论