openwrt使用sysupgrade升级的时候,只会对固件的头部image进行校验是否合法,不会校验固件的完整性,所以当固件只有头部正常其他地方被破坏修改后,这个固件就是危险的,一旦升级就会出现变砖的情况。
为了验证固件的完整性和合法性,可以有两种方式进行保护。
- 添加一个校验文件,跟固件打包在一起
- 在原有的固件前面/后面追加校验信息
方式1:压缩、解压校验升级
1.压缩
在编译生成sysupgrade.bin之后,计算该固件的md5sum/sha256sum,然后将校验值和固件的型号model、版本version等信息写入校验文件中,内容如下:
check_file
md5sum:63be2932ff52dfb99ece030338b51ec6
model:ZHAAA
version:1.0.0
所以升级包会有两个文件
sysupgrade.bin
check_file
2.解压校验
使用sysupgrade升级的时候,先将压缩包解压,然后判断型号model是否一致、判断固件的md5sum是否一致,一致则可以走正常升级写入逻辑。
方式2:签名、验签升级
使用上面的方式有一个明显的弊端,会占用两份内存,下载下来的压缩包是一个包、解压后又要占用内存。
所以可以把校验信息直接追加到固件里面,在写入flash的时候,把校验信息剥离掉即可。
1 签名过程
需要先写一套签名工具,比如我这边的zsign。
在openwrt编译的最后会调用./target/linux/mtk/image/Makefile里面的BuildFirmware函数,内容如下
# u-boot: 512K
# config: 512K
# factory: 256K
# firmware: 32MB
# kpanic: 512K
# bdinfo: 512K
# reserve: 512K
# opt: ~
define BuildFirmware/zrNAND
@mkdir -p $(BIN_DIR)/$(2)/$(ROM_PREFIX)
$(call MkImageLzma,$(2),$(3),$(5))
$(call Sysupgrade/KRuImage,$(1),$(2),$(4),128k)
$(eval BUILD_TIME:= $(shell cat $(TARGET_DIR)/etc/zihome_build_time))
$(eval DEST_PREFIX := $(BIN_DIR)/$(2)/$(ROM_PREFIX)/$(2)-$(ROM_PREFIX)_$(BUILD_TIME))
$(CP) $(call sysupname,$(1),$(2)) $(DEST_PREFIX)-sysupgrade.bin; \
if [ -f "$(BIN_DIR)/$(2)-uboot.bin" ]; then \
$(CP) $(BIN_DIR)/$(2)-uboot.bin $(DEST_PREFIX)-uboot.bin; \
if [ -f $(TOPDIR)/zkeys/rom-keys/zihome.key -a $(TOPDIR)/zkeys/rom-keys/zihome.crt ]; then \
(dd if=$(DEST_PREFIX)-uboot.bin bs=524288 conv=sync;) >$(DEST_PREFIX)-uboot-pad.bin; \
$(STAGING_DIR_HOST)/bin/zsign -b $(DEST_PREFIX)-uboot-pad.bin -s $(DEST_PREFIX)-sysupgrade.bin -o $(DEST_PREFIX)-sign -k $(TOPDIR)/zkeys/rom-keys/zihome.key;\
(dd if=$(DEST_PREFIX)-uboot-pad.bin bs=524288 conv=sync; dd if=$(DEST_PREFIX)-sign) >$(DEST_PREFIX)-uboot-sign.bin; \
(dd if=$(DEST_PREFIX)-uboot-sign.bin bs=1310720 conv=sync; dd if=$(DEST_PREFIX)-sysupgrade.bin ) >$(DEST_PREFIX)-flash.bin; \
$(STAGING_DIR_HOST)/bin/mt7621-nand-ecc e 2048 64 $(DEST_PREFIX)-flash.bin $(DEST_PREFIX)-factory.bin >/dev/null 2>&1; \
rm -rf $(DEST_PREFIX)-sysupgrade.bin; \
rm -rf $(DEST_PREFIX)-uboot-pad.bin $(DEST_PREFIX)-uboot-sign.bin $(DEST_PREFIX)-sign $(DEST_PREFIX)-uboot.bin; \
else \
(dd if=$(DEST_PREFIX)-uboot.bin bs=1310720 conv=sync; dd if=$(DEST_PREFIX)-sysupgrade.bin ) >$(DEST_PREFIX)-flash.bin; \
fi; \
fi;
$(call DebugRoot/prepare,$(DEST_PREFIX)-debug-root.tar.gz)
endef
- 使用
zsign -b $(DEST_PREFIX)-uboot-pad.bin -s $(DEST_PREFIX)-sysupgrade.bin -o $(DEST_PREFIX)-sign -k $(TOPDIR)/zkeys/rom-keys/zihome.key生产签名文件 - 把签名文件追加到uboot分区(512K)之后
- 把sysupgrade文件追加到firmware分区(512+512+256=1280K)开始处,得到flash.bin固件
- 使用mt7621-nand-ecc命令将flash固件转换成factory固件(NAND FLASH特有,需要追加oob信息)
上面的命令用到zsign生成签名后生成最后的固件$(DEST_PREFIX)-flash.bin和$(DEST_PREFIX)-factory.bin
2.固件验签
1 验签过程
对应的需要写一套验签工具,比如我这边的zcheck。
当sysupgrade的时候,先使用zcheck进行校验是否正常。
./lib/upgrade/platform.sh:40: zcheck -b "$board" -R -o 0x80000 -f "$1" >>$UPGRADE_LOG_FILE 2>&1
如果正常的话,写入flash的时候会跳过前面1280K,只读取后面sysupgrade的信息进行写入。
# skip 1280K
get_image "$1" | dd bs=2k skip=640 conv=sync 2>/dev/null | mtd write - "${PART_NAME:-image}" >>$UPGRADE_LOG_FILE 2>&1
网友评论