Как достать прошивку из роутера

• #2

Здравствуйте, в принципе возможно, но может потребовать много времени и без малейших гарантий.
Лучше конечно поискать уже готовую прошивку, может где то найдётся.
Даже если вам удасться вытащить из вашего текущего роутера прошивку и конвертировать её в нормальный bin файл велика вероятность, что вы попросту сделаете «кирпич» из другого роутера при прошивке. Всё зависит от совместимости данной прошивки с железками. Я например не могу (к большому сожалению) пошить свой роутер ddwrt или openwrt, по той причине, что эти прошивки не поддерживают нужный мне чип.
Вы можете прочитать немного на эту тему

Ссылка скрыта от гостей

и

Ссылка скрыта от гостей

. Ещё есть ряд статей, но в них речь идёт о открытых прошивках, с которыми всё проще и для вас они скорее всего не подойдут. Сразу скажу, что личного опыта не имею, только информация из интернета.
P.S: Стало интересно, какой провайдер придумал такую ерунду, если не секрет.

• #3

Здравствуйте, в принципе возможно, но может потребовать много времени и без малейших гарантий.
Лучше конечно поискать уже готовую прошивку, может где то найдётся.
Даже если вам удасться вытащить из вашего текущего роутера прошивку и конвертировать её в нормальный bin файл велика вероятность, что вы попросту сделаете «кирпич» из другого роутера при прошивке. Всё зависит от совместимости данной прошивки с железками. Я например не могу (к большому сожалению) пошить свой роутер ddwrt или openwrt, по той причине, что эти прошивки не поддерживают нужный мне чип.
Вы можете прочитать немного на эту тему

Ссылка скрыта от гостей

и

Ссылка скрыта от гостей

. Ещё есть ряд статей, но в них речь идёт о открытых прошивках, с которыми всё проще и для вас они скорее всего не подойдут. Сразу скажу, что личного опыта не имею, только информация из интернета.
P.S: Стало интересно, какой провайдер придумал такую ерунду, если не секрет.

Спасибо
абсолютно не известный провайдер , в поселке не имеющий даже свой кабинет (

• #4

Спасибо
абсолютно не известный провайдер , в поселке не имеющий даже свой кабинет (

Честно очень мало вероятно что провайдер в поселке имеет достаточно ресурсов чтобы разработать и использовать свою ОС на маршрутизаторах.
По каким именно признакам вы определили что используется не стандартная прошивка?

• #5

Честно очень мало вероятно что провайдер в поселке имеет достаточно ресурсов чтобы разработать и использовать свою ОС на маршрутизаторах.
По каким именно признакам вы определили что используется не стандартная прошивка?

Конкретно этот «Провайдер» берет интернет в аренду у другого провайдера
а с того и взял что они сами об этом говорят, и при настройке роутера интернета так и не будет

• #6

Конкретно этот «Провайдер» берет интернет в аренду у другого провайдера

а с того и взял что они сами об этом говорят, и при настройке роутера интернета так и не будет

Можно хоть какую то техническую информацию о данной прошивке? Об самом роутере?

Я еще раз повторю что я не верю в такие чудеса… максимум это просто какая то кастомизация одной из существующих прошивок.
Для того что бы вытащить есть масса способов, начиная с поиска выведенных физических интерфейсов на плате роутера, и заканчивая снятием самого чипа и слития с него данных…. вариантов много…. но скорее всего прийдется достаточно хорошо в этом всем разобраться, и потратить далеко не один день времени.

• #7

Было бы неплохо для начала узнать можно ли прицепиться к нему через telnet. Если да, то уже можно будет начинать «играться».

Последнее редактирование: 25.04.2020

• #8

@Serega_s78
@InetTester

Прикол еще таков что когда используешь н-количество потоков тобиж когда ставишь что то на сканирование или на брут
Сервер тебя автоматически отключает за превышенный лимит потоков

• #9

@Serega_s78
@InetTester
Посмотреть вложение 40607
Посмотреть вложение 40608

Прикол еще таков что когда используешь н-количество потоков тобиж когда ставишь что то на сканирование или на брут
Сервер тебя автоматически отключает за превышенный лимит потоков

Как я понимаю это

Ссылка скрыта от гостей

хм, интересно, они даже интерактивную страничку с прошивкой

Ссылка скрыта от гостей

посмотрите есть ли какие внешние отличия с вашей.
Есть поддержка у dd-wrt, даже завидую….. немного.
Пока все мои поиски среди украинских провайдеров, ставящих свои прошивки дали только 1 название — Киевстар, но он выглядит +- масштабно и не подходит под ваше описание «ноунейма», покрайней мере у него есть личный кабинет, но ваш провайдер вполне может брать интернет у него.
Судя по всему телнета в прошивке нет, зато вот что я нашёл на хабре.
Конкретно вашей модели нет ни в списке, ни в комментариях, но есть WR841N и люди отписались, что дырка есть, дело конечно было давно и вероятно прошивки поправили, но ваш провайдер может использовать старую версию в качестве основы, мало ли, имейте ввиду.

• #10

Версию прошивки(что я является ключевым моментом) я так и не увидел, но судя по всему под данный девайс есть только один сплойт(точнее просто шаблоны http запросов) который можно попробовать: exploits/hardware/webapps/44781.txt. Если не ошибаюсь то обычными http запросами без авторизации можно выполнять ряд определенных действий для которых обычно требуется авторизация. Все это из за неверной обработки или хранения сессий.

• 

  rsz_screenshot_from_2020-04-26_20-35-54.png

  7,2 КБ
  · Просмотры: 153

Последнее редактирование: 26.04.2020

• #11

Версию прошивки(что я является ключевым моментом) я так и не увидел, но судя по всему под данный девайс есть только один сплойт(точнее просто шаблоны http запросов) который можно попробовать: exploits/hardware/webapps/44781.txt. Если не ошибаюсь то обычными http запросами без авторизации можно выполнять ряд определенных действий для которых обычно требуется авторизация. Все это из за неверной обработки или хранения сессий.

Да, верно, главной «деталью» являеется версия прошивки, если верить

Ссылка скрыта от гостей

страничке, то для модели WR840N уязвимой является версия прошивки 0.9.1_3.16 (и вероятно все до неё), с сайта сейчас загружается версия 0.9.1_4.16. Думаю из любопытства попробовать потыкать её с помощью binwalk.

• #12

Как я понимаю это

Ссылка скрыта от гостей

хм, интересно, они даже интерактивную страничку с прошивкой

Ссылка скрыта от гостей

посмотрите есть ли какие внешние отличия с вашей.
Есть поддержка у dd-wrt, даже завидую….. немного.
Пока все мои поиски среди украинских провайдеров, ставящих свои прошивки дали только 1 название — Киевстар, но он выглядит +- масштабно и не подходит под ваше описание «ноунейма», покрайней мере у него есть личный кабинет, но ваш провайдер вполне может брать интернет у него.
Судя по всему телнета в прошивке нет, зато вот что я нашёл на хабре.
Конкретно вашей модели нет ни в списке, ни в комментариях, но есть WR841N и люди отписались, что дырка есть, дело конечно было давно и вероятно прошивки поправили, но ваш провайдер может использовать старую версию в качестве основы, мало ли, имейте ввиду.
Посмотреть вложение 40615

Узнал еще один факт что такое работает только на частный сектор, то есть с квартир такого прикола нету
По поводу отличий с эмулятора это версия прошивки и Версия оборудования: там она

TL-WR840N v6 00000007
0.9.1 4.16 v004c.0 Build 180628 Rel.74012n
У меня же

Версия встроенного ПО:0.9.1 3.16 v0283.0 Build 170505 Rel.43898n

Версия оборудования:TL-WR840N v5 00000005

С бекдором не прокатило он просто дает ошибку

Как я понимаю это

Ссылка скрыта от гостей

хм, интересно, они даже интерактивную страничку с прошивкой

Ссылка скрыта от гостей

посмотрите есть ли какие внешние отличия с вашей.
Есть поддержка у dd-wrt, даже завидую….. немного.
Пока все мои поиски среди украинских провайдеров, ставящих свои прошивки дали только 1 название — Киевстар, но он выглядит +- масштабно и не подходит под ваше описание «ноунейма», покрайней мере у него есть личный кабинет, но ваш провайдер вполне может брать интернет у него.
Судя по всему телнета в прошивке нет, зато вот что я нашёл на хабре.
Конкретно вашей модели нет ни в списке, ни в комментариях, но есть WR841N и люди отписались, что дырка есть, дело конечно было давно и вероятно прошивки поправили, но ваш провайдер может использовать старую версию в качестве основы, мало ли, имейте ввиду.
Посмотреть вложение 40615

Узнал еще один факт что такое работает только на частный сектор, то есть с квартир такого прикола нету
По поводу отличий с эмулятора это версия прошивки и Версия оборудования: там она

TL-WR840N v6 00000007
0.9.1 4.16 v004c.0 Build 180628 Rel.74012n
У меня же

Версия встроенного ПО:0.9.1 3.16 v0283.0 Build 170505 Rel.43898n

Версия оборудования:TL-WR840N v5 00000005

С бекдором не прокатило он просто дает ошибку

• #13

Узнал еще один факт что такое работает только на частный сектор, то есть с квартир такого прикола нету
По поводу отличий с эмулятора это версия прошивки и Версия оборудования: там она

TL-WR840N v6 00000007
0.9.1 4.16 v004c.0 Build 180628 Rel.74012n
У меня же

Версия встроенного ПО:0.9.1 3.16 v0283.0 Build 170505 Rel.43898n

Версия оборудования:TL-WR840N v5 00000005

С бекдором не прокатило он просто дает ошибку

Для срабатывания уязвимости нужен запущенный TFTP на компьютере.
по поводу отличий в интерфейсе, это просто ревизия и версия по, я просто надеялся на более существенные отличия.
Поскольку в прошивке нет telnet-а , покрайней мере он не задокументирован ни

Ссылка скрыта от гостей

, ни

Ссылка скрыта от гостей

(или я ослеп) у вас остаётся только физический способ, для которого нужно оборудование и навыки + обратно собрать. При этом в случае с идеальным результатом вы сможете прошивать только такой же роутер. Найти подходящего провайдера с прошивками мне не удалось, извините, но похоже это тупик.

Данная инструкция, также актуальна для всех роутеров, которые имеют доступ через telnet, но не имеют возможности подключения USB-носителей.

1. Открываем консоль роутера через telnet (в Windows XP — Пуск — Выполнить — cmd )

telnet 192.168.0.1

или с помощью программы PuTTY

2. Вводим логин и пароль — admin/admin (по умолчанию или свой измененный)

3. Смотрим имеющиеся блоки

cat proc/mtd

Видим примерно такое:

dev: size erasesize name
mtd0: 00010000 00001000 «boot»
mtd1: 00010000 00001000 «MAC»
mtd2: 00010000 00001000 «config»
mtd3: 00100000 00001000 «kernel»
mtd4: 002c0000 00001000 «rootfs»
mtd5: 003d0000 00001000 «Linux»
mtd6: 00400000 00001000 «ALL»

4. Создадим папку www

mkdir /tmp/www

5. Переходим в папку www с помощью команды

cd /tmp/www

6. Дальше поочередно вводим команды:

touch ../httpd.conf
killall httpd
dd if=/dev/mtd0 of=mtd0.bin
dd if=/dev/mtd1 of=mtd1.bin
dd if=/dev/mtd2 of=mtd2.bin
dd if=/dev/mtd3 of=mtd3.bin
dd if=/dev/mtd4 of=mtd4.bin
dd if=/dev/mtd5 of=mtd5.bin
dd if=/dev/mtd6 of=mtd6.bin
httpd -c ../httpd.conf

7. Заходим в административную панель роутера через браузер по адресу 192.168.0.1 (или соответствующий), и получаем ошибку 404

8. Для сохранения каждого блока, в адресной строке браузера набираем поочередно следующие запросы:

192.168.0.1//mtd0.bin
192.168.0.1//mtd1.bin
192.168.0.1//mtd2.bin
192.168.0.1//mtd3.bin
192.168.0.1//mtd4.bin
192.168.0.1//mtd5.bin
192.168.0.1//mtd6.bin

Для каждого файла откроется диалог загрузки. Нажимаем «Сохранить» и указываем путь сохранения каждому файлу.

9. Перезагружаем роутер, чтобы восстановить стандартный WEB-интерфейс.

Вы наверное как и я любили в детстве все разбирать и изучать, как и что работает. Некоторые повзрослели, а я все еще люблю этим заниматься )). В этой статье, я расскажу о том, как вытащить прошивку с любого устройства и как разрабы пытаются это предотвратить.

У старых ламповых при­емни­ков не было вообще никаких про­шивок, а единс­твен­ная защита, которая у них была — это анод­ное нап­ряжение. В наше время все иначе: мне попада­ются гаджеты, которые пытаются противодействовать уже на эта­пе вскрытия кор­пуса. Нач­нем наше увлекательное путешествие.

Осмотр платы устройства

Ес­ли вскры­тие не показа­ло, что паци­ент умер от вскры­тия, я сна­чала осматри­ваю пла­ту в поис­ках пинов отла­доч­ных интерфей­сов — обыч­но это JTAG или UART. Глав­ная проб­лема не в том, что нуж­ные кон­такты могут быть в очень неожи­дан­ных мес­тах, а в том, что обыч­но они отклю­чены. Конеч­но, даже в 2021 году все еще хва­тает уни­кумов, которые отправ­ляют в прод устрой­ства с вклю­чен­ным UART, но количес­тво таковых стре­митель­но пада­ет.

Ес­ли тебе не повез­ло — вари­антов нем­ного: или пла­кать в подуш­ку, или искать чип памяти на бор­ту и читать его непос­редс­твен­но.

И вот с этим тебя ожи­дает уйма инте­рес­ного! Думал, нуж­но прос­то вытащить вось­миногую мик­руху в DIP-кор­пусе, похожую на ста­рый чип с BIOS? Как бы не так! Сей­час есть минимум четыре отно­ситель­но широко при­меня­емых вида памяти, и некото­рые из них могут быть похожи друг на дру­га так, что не раз­личишь.

Память

Преж­де чем я рас­ска­жу, что и как делать с памятью, давай сна­чала раз­берем­ся, какая она вооб­ще быва­ет и как ее отли­чить от дру­гих ком­понен­тов на пла­те.

По опы­ту про­цес­сор (на скрин­шоте выше по цен­тру) обыч­но квад­ратной фор­мы и исполня­ется в BGA, а память пря­моуголь­ная и дела­ется в SOP-кор­пусах.

Час­то в уль­тра­пор­татив­ных вычис­литель­но мощ­ных устрой­ствах (смар­тфо­нах, нап­ример) исполь­зует­ся бутер­брод из про­цес­сора и памяти — так мень­ше раз­меры и задер­жки при работе. Форм‑фак­тор, конеч­но, BGA — прос­то потому, что ничего дру­гого в кро­хот­ный кор­пус запих­нуть нель­зя.

ROM — пос­тоян­ную память — отли­чить доволь­но лег­ко. Пред­положим, чип с ней ты уже нашел. Теперь давай раз­берем­ся, какая она быва­ет.

Нас инте­ресу­ет EEPROM (Electrically Erasable Programmable Read-Only Memory), FRAM (сег­нето­элек­три­чес­кая память) и NOR/NAND flash — они тебе уже и так зна­комы. Из них ты мог не слы­шать толь­ко о FRAM — ее начали при­менять око­ло пяти лет назад, так что она еще не осо­бо популяр­на.

EEPROM

Сре­ди осо­бен­ностей этой памяти — побай­товые чте­ние и запись. Такая память самая дол­говеч­ная: по рас­четам, она может сох­ранять информа­цию в течение при­мер­но двух­сот лет! Но за надеж­ность при­ходит­ся пла­тить — глав­ным обра­зом объ­емом, с котором у это­го вида памяти все пло­хо: типич­ный объ­ем такого чипа изме­ряет­ся в килобай­тах. Из‑за низ­кого объ­ема для хра­нения про­шивок этот тип памяти поч­ти не при­меня­ется. Ну а раз загово­рили о минусах — сто­ит и о низ­кой ско­рос­ти ска­зать.

Ре­сурс ячей­ки — око­ло мил­лиона цик­лов переза­писи. По срав­нению с сов­ремен­ными ячей­ками NAND, у которых этот показа­тель находит­ся в пре­делах нес­коль­ких десят­ков тысяч цик­лов, EEPROM-память прос­то нере­аль­но надеж­ная.

РЕКОМЕНДУЕМ:
Как снять дамп прошивки и получить доступ к консоли управления гаджета

FRAM

FRAM — это сов­сем новый тип энер­гонеза­виси­мой памяти. Про­мыш­ленно его при­менять ста­ли все­го нес­коль­ко лет назад, так что шанс встре­тить имен­но FRAM в каком‑нибудь умном холодиль­нике неболь­шой, но ско­ро все может поменять­ся. Пока что основная проб­лема в цене, которая нес­коль­ко выше, чем у дру­гих типов памяти.

От EEPROM отли­чает­ся фун­дамен­таль­но дру­гим прин­ципом запоми­нания информа­ции: хра­нит­ся не заряд на зат­воре, а знак поляри­зации сег­нето­элек­три­ка. При при­ложе­нии нап­ряжения она меня­ется на про­тиво­полож­ную, что поз­воля­ет читать такую память и писать в нее.

Из‑за нового прин­ципа работы такая память зна­читель­но быс­трее, чем EEPROM, но ее дол­говеч­ность оста­лась прак­тичес­ки неиз­менной.

NOR/NAND Flash

NOR/NAND-флеш‑память — это прос­то EEPROM, соб­ранный в мас­сив. NOR от NAND отли­чает­ся толь­ко спо­собом упа­ков­ки в мас­сив, но это неболь­шое раз­личие ведет к дос­таточ­но силь­ным отли­чиям в такой памяти.

NOR быс­трее и надеж­нее, чем NAND, но сто­ит дороже из‑за мень­шей плот­ности ком­понов­ки. NAND же, нап­ротив, дешевый как мусор, но име­ет проб­лемы с надеж­ностью.

NOR- и NAND-память исполь­зует­ся в SSD и вся­ких флеш­ках. Из‑за низ­кой надеж­ности NAND-памяти такие накопи­тели в обя­затель­ном поряд­ке име­ют боль­шой пул запас­ных яче­ек, недос­тупных для обыч­ного исполь­зования, и умный кон­трол­лер, который всем этим хозяй­ством рулит. Дер­жать такой овер­хед в шир­потреб­ных умных муль­тивар­ках неп­рости­тель­но дорого, так что при­меня­ется обыч­но NOR, а NAND оста­ется для поль­зователь­ских накопи­телей, где проб­лемы надеж­ности мож­но перело­жить на поль­зовате­ля, который не дела­ет бэкапы. Хотя нет — даже в дешевых роуте­рах он все чаще при­меня­ется бла­года­ря прог­рам­мным механиз­мам защиты целос­тнос­ти.

NOR был бы иде­ален, если бы не его цена, так что рыночек порешал — и теперь у нас всех исполь­зует­ся NAND поч­ти вез­де. Даже во встра­иваемой тех­нике уже поч­ти научи­лись с ним безопас­но работать — кон­троль­ные сум­мы, ECC-коды и резер­вные бло­ки. Кра­сота!

Корпуса микросхем

Как видишь, с кор­пусами у памяти все пло­хо: помимо показан­ных на кар­тинке вари­антов, мож­но зап­росто вспом­нить еще с десяток, и не факт, что про­изво­дитель не решил исполь­зовать неч­то экс­клю­зив­ное, у чего может вооб­ще не быть наз­вания.

Маркировка

До­пус­тим, тебе повез­ло най­ти чип с памятью. Пер­вым делом нам нуж­но про­читать его мар­киров­ку.

Ес­ли мар­киров­ка есть — немал шанс встре­тить ее имен­но в таком фор­мате, как показан на кар­тинке выше. Пер­вые две бук­вы — код вен­дора, потом тип памяти в чипе, потом внут­ренний номер серии — и даль­ше уже чет­кой логики не прос­лежива­ется.

Так как еди­ного стан­дарта нет и не пред­видит­ся, про­изво­дите­ли воль­ны писать на сво­их чипах, что счи­тают нуж­ным. Это порой при­водит к кол­лизи­ям, вро­де того, что пред­став­лено на той же кар­тинке: два чипа раз­ных про­изво­дите­лей, оба 29-й серии, но один NOR, а дру­гой — NAND. Короче, не уга­даешь, и такие чипы при­ходит­ся про­бивать в поис­ковиках, что­бы выяс­нить хоть что‑то.

Типовой дизайн

Ус­трой­ства одно­го сег­мента про­екти­руют­ся очень похожи­ми — это впол­не оче­вид­но. Нап­ример, все бытовые роуте­ры изнутри выг­лядят поч­ти оди­нако­во. Та же ситу­ация на рын­ке устрой­ств SCADA, у которых свои каноны, но они прос­лежива­ются вез­де без осо­бых изме­нений.

Я рас­ска­жу о пяти катего­риях устрой­ств, с которы­ми тебе, воз­можно, при­дет­ся иметь дело:

• ПК;
• се­тевое обо­рудо­вание бытово­го сег­мента (роуте­ры, свит­чи, точ­ки дос­тупа);
• обо­рудо­вание для ответс­твен­ных при­мене­ний (на заводах);
• IoT — интернет вещей;
• смар­тфо­ны.

Са­мо собой, мир кру­тит­ся не толь­ко вок­руг смар­тфо­нов да компь­юте­ров, но с ними у тебя шанс встре­тить­ся куда боль­ше, чем с каким‑нибудь кон­трол­лером для управле­ния ракет­ными дви­гате­лями. Поэто­му давай рас­смот­рим типовое устрой­ство толь­ко этих пяти катего­рий девай­сов.

ПК

Ус­трой­ство обыч­ных ПК под­разуме­вает модуль­ность, то есть поч­ти все детали мож­но лег­ко вынуть. Из‑за это­го на мат­пла­те из эле­мен­тов памяти есть толь­ко флеш­ка с BIOS/UEFI. При этом BIOS обыч­но сидит на мик­росхе­мах 24-й серии — I2C EEPROM, а в новых моделях сто­ит 25-я серия SPI NOR flash с UEFI.

Ес­ли же уста­нов­лен взрос­лый инте­лов­ский про­цес­сор с под­дер­жкой ME — на пла­те мож­но най­ти вто­рую такую же флеш­ку, но с про­шив­кой для ME. Это дела­ется в целях безопас­ности: находя­щуюся на физичес­ки отдель­ной мик­росхе­ме про­шив­ку заразить или под­менить слож­нее.

Intel ME

Intel Management Engine — это осо­бая сис­тема для UEFI-сов­мести­мых ПК на базе про­цес­соров Intel. Она име­ет свою выделен­ную мик­росхе­му памяти и собс­твен­ный про­цес­сор, а так­же собс­твен­ные каналы дос­тупа к сетевым адап­терам и основной опе­ратив­ной памяти. Может без огра­ниче­ний вза­имо­дей­ство­вать поч­ти с чем угод­но в сос­таве компь­юте­ра, что очень силь­но повыша­ет тре­бова­ния к ее защите.

Бытовые роутеры

С роуте­рами пот­ребитель­ско­го клас­са все доволь­но прос­то: тут ста­вят память SPI NOR 25-й серии, если тре­бует­ся не боль­ше 8 Мбайт, или NAND-память объ­емом поболь­ше. Изредка мож­но най­ти eMMC, но мне такое пока не попада­лось.

Устройства для ответственного применения

Тут все нем­ного слож­нее. Стан­дарты тре­буют стран­ных вещей, поэто­му с боль­шим шан­сом устрой­ства этой катего­рии будут сос­тоять из нес­коль­ких плат, соеди­нен­ных переход­ными интерфей­сами. Будет мно­го раз­ных запоми­нающих устрой­ств, что­бы прос­то прой­ти сер­тифика­цию.

Ло­ги обыч­но пишут­ся в EEPROM или FRAM 24-й серии, заг­рузчик лежит на NOR 25-й серии, а все встро­енное ПО кла­дут на NOR 26-й, 29-й серии. NAND исполь­зуют ред­ко, а если исполь­зуют — сра­зу боль­шими мас­сивами с резер­вирова­нием.

IoT

Сей­час понятие IoT слиш­ком рас­тяжимое: по сути, туда мож­но записать вооб­ще все умное домаш­нее и даже не очень домаш­нее. Из‑за это­го память там может быть любая: хоть EEPROM, хоть eMMC — это ког­да NAND с хост‑кон­трол­лером упа­кова­ны в один чип.

Смартфоны

В смар­тфо­нах обыч­но все самое передо­вое: тут тебе и eMMC, и eUFS, и даже NVMe SSD, как у Apple. При этом, как ни кру­ти, все эти чипы выг­лядят плюс‑минус оди­нако­во, так что ты их ни с чем не спу­таешь.

Расшифровка имени

Те­перь, ког­да наш­ли нуж­ный чип и про­чита­ли мар­киров­ку, ее нуж­но декоди­ровать. Кста­ти, мар­киров­ка далеко не всег­да чита­ется целиком: часть может быть слу­чай­но или намерен­но скры­та, а то и вов­се под­делана, как любят устра­ивать китай­цы со сво­ими деталя­ми на Али.

Осо­бо круп­ные про­изво­дите­ли могут пре­дос­тавлять на сво­их сай­тах декоде­ры име­ни мик­росхе­мы, но поч­ти ник­то так не дела­ет.

Пох­валь­ный при­мер — про­изво­дитель Micron, который дал на сай­те внят­ную инс­трук­цию и фор­му для получе­ния даташи­та на свои мик­росхе­мы.

Ес­ли же декоде­ра нет, при­дет­ся вык­ручивать­ся. Мож­но поп­робовать разоб­рать­ся по схе­ме на скрин­шоте ниже, но, естес­твен­но, безо вся­ких гаран­тий успе­ха. Воз­можно, даже луч­ше сра­зу идти к япон­цам — они очень любят неадек­ватно запутан­ные наз­вания без извес­тной логики. Она, конеч­но, есть, но пока что ник­то ее не смог понять.

Поиск документации

Гуг­лить, думаю, ты и сам уме­ешь, но для поис­ка докумен­тации ко вся­ким экзо­тичес­ким чипам это может быть бес­полез­но. Во‑пер­вых, более эффекти­вен поиск по пер­вым N сим­волам наз­вания мик­росхе­мы. Во‑вто­рых, час­то про­ще най­ти по коду на Aliexpress или дру­гих круп­ных тор­говых пло­щад­ках.

Ес­ли уж любишь Google, поп­робуй поиск по кар­тинкам — там порой мож­но най­ти то, что тек­стом не ищет­ся.

Еще огромные базы чипов есть в ПО для прог­рамма­торов — я исполь­зую ПО ком­пании Elnec. Зачас­тую там даже есть даташи­ты, но слиш­ком на это наде­ять­ся не сто­ит.

И еще одно хорошее мес­то для поис­ков — GitHub. С боль­шим шан­сом там най­дет­ся что‑нибудь по зап­росу в духе «X microcircuit read poc». Даль­ше мож­но выд­рать ссыл­ку на даташит или что‑то еще полез­ное. Мне попада­лись даже скры­тые сер­висные коман­ды для бло­киров­ки/раз­бло­киров­ки чипа, что, конеч­но, очень при­ятно при изу­чении.

Оборудование

Тут мож­но толь­ко ска­зать, чего делать не сто­ит: не надо брать дешевые инс­тру­мен­ты и рас­ходни­ки. Из моего любимо­го — при­пой, который пла­вит­ся при совер­шенно неожи­дан­ных тем­перату­рах, про­водя­щий флюс (!) и одно­разо­вые пин­цеты.

Под­робнее хочет­ся рас­ска­зать о дешевом флю­се. Как при­мер — ТТ, так­же извес­тный как розовый гель. Он хорош, но он не отмы­вает­ся и про­водит ток на высоких час­тотах. Это не проб­лема в совет­ском радио или даже сов­ремен­ном бло­ке питания, но вот на пла­тах компь­юте­ров с гигагер­цами час­тоты он катего­ричес­ки про­тиво­пока­зан.

Сня­тие ком­паун­да — это воп­рос тем­перату­ры. Я обыч­но грею феном на ~250 гра­дусов, но есть одна проб­лемка. И сос­тоит она в том, что под ком­паун­дом ком­понен­ты могут быть при­паяны низ­котем­ператур­ным при­поем, вро­де спла­вов Розе или Вуда. Да, ком­паунд ты сни­мешь, но вмес­те с ним сой­дет полови­на пла­ты. А хит­рая флеш­ка может не завес­тись без кучи рас­сыпухи, которую обратно уже не соб­рать.

При сня­тии ком­паун­да не забывай о вытяж­ке — твое здо­ровье важ­нее любой мик­росхе­мы!

Что делать, если пла­та пок­рыта лаком? Мож­но поп­робовать свес­ти его аце­тоном, но он может пов­редить тек­сто­лит. Делай так, толь­ко если тебе терять нечего. Для осталь­ных слу­чаев — прос­то сни­мать скаль­пелем в нуж­ных мес­тах, а осталь­ное не тро­гать.

При пай­ке ори­енти­руй­ся на гра­фик тер­мопро­филя в кон­це даташи­та на мик­росхе­му. Он там раз­меща­ется не прос­то так, и на моей памяти дей­стви­тель­но были слу­чаи, ког­да мик­росхе­ма уми­рала от перег­рева при извле­чении. Как извес­тно, люди делят­ся на тех, кто не смот­рит гра­фики в докумен­тации, и тех, кто уже смот­рит.

К завод­ско­му при­пою час­то име­ет смысл при­мешать менее тугоп­лавкий сплав Розе или ПОС63, ну или сплав Вуда, если все сов­сем пло­хо. Это зна­читель­но понизит тем­перату­ру пай­ки и уве­личит шан­сы не сжечь мик­руху.

Подготовка к чтению прошивки

Пос­ле выпай­ки ни в коем слу­чае нель­зя устра­ивать мик­росхе­ме тем­ператур­ные испы­тания: пусть полежит и осты­нет сама, а не в спир­те — так шан­сы сох­ранить работос­пособ­ность куда выше. Даль­ше нуж­но про­верить, все ли лап­ки чипа находят­ся в одной плос­кости и не обра­зова­лись ли от при­поя перемыч­ки меж­ду нож­ками. Их нуж­но убрать, что­бы не спа­лить прог­рамма­тор, не име­ющий защиты от такого, и сам чип тоже.

С BGA нуж­но убрать ста­рый при­пой и нанес­ти новые шарики. Ког­да чип очи­щен и под­готов­лен к чте­нию, не взду­май пихать его в прог­рамма­тор с при­жимом пря­мо в чип — велик шанс прос­то раз­давить его!

Чтение прошивки

Пом­ни, что память NOR flash идет с завода без битых яче­ек, а у NAND есть допус­тимый про­цент бра­ка, так что, если в NAND вид­ны битые ячей­ки, не спе­ши расс­тра­ивать­ся.

Прог­рамма­тор перед чте­нием нуж­но пра­виль­но нас­тро­ить. В час­тнос­ти, надо зас­тавить его читать все, вклю­чая сис­темные стра­ницы в начале и кон­це памяти — они быва­ют край­не важ­ны!

Раз­работ­чики чипа нас­тоятель­но рекомен­дуют раз­работ­чикам устрой­ства исполь­зовать свои чипы в соот­ветс­твии с некото­рыми пра­вила­ми. Но вто­рые воль­ны не под­чинять­ся пер­вым, так что сис­темные стра­ницы порой ока­зыва­ются хра­нили­щем клю­чей шиф­рования или каких‑то дру­гих дан­ных. В общем, читай все — лиш­ним точ­но не будет.

РЕКОМЕНДУЕМ:
Способы защиты микроконтроллера

Вот теперь у тебя есть образ, который мож­но гру­зить в IDA и ковырять­ся даль­ше, но это уже тема для отдель­ной статьи.

Статья написа­на по мотивам док­лада Демида Узень­кова — спе­циалис­та ком­пании ИНФО­РИОН. Выс­тупле­ние сос­тоялось на кон­ферен­ции RuCTFE 2020. За помощь в под­готов­ке пуб­ликации редак­ция бла­года­рит коман­ду «Ха­кер­дом».

Несколько дней назад, я решил провести реверс-инжиниринг прошивки своего роутера используя binwalk.

Я купил себе TP-Link Archer C7 home router. Не самый лучший роутер, но для моих нужд вполне хватает.

Каждый раз когда я покупаю новый роутер, я устанавливаю OpenWRT. Зачем? Как правило производители не сильно заботятся о поддержке своих роутеров и со временем софт устаревает, появляются уязвимости и так далее, в общем вы поняли. Поэтому я предпочитаю хорошо поддерживаемую сообществом open-source прошивку OpenWRT.

Скачав себе OpenWRT, я так же скачал последний образ прошивки под мой новый Archer C7 с официального сайта и решил проанализировать его. Чисто ради фана и рассказать о binwalk.

Что такое binwalk?

Binwalk — это инструмент с открытым исходным кодом для анализа, реверс-инжиниринга и извлечения образов прошивок.

Созданный в 2010 году Крейгом Хеффнером, binwalk может сканировать образы прошивок и находить файлы, идентифицировать и извлекать образы файловой системы, исполняемый код, сжатые архивы, загрузчики и ядра, форматы файлов, такие как JPEG и PDF, и многое другое.

Вы можете использовать binwalk для реверс-инжиниринга прошивки для того, что бы понять как она устроена. Искать в бинарных файлах уязвимости, извлекать файлы и искать бекдоры или цифровые сертификаты. Можно так же найти opcodes для кучи разных CPU.

Вы можете распаковать образы файловой системы для поиска определенных файлов паролей (passwd, shadow и т.д.) И попытаться сломать хэши паролей. Вы можете выполнить двоичный анализ между двумя или более файлами. Вы можете выполнить анализ энтропии данных для поиска сжатых данных или закодированных ключей шифрования. Все это без необходимости доступа к исходному коду.

В общем все, что необходимо, есть

Как работает binwalk?

Основной особенностью binwalk является его сигнатурное сканирование. Binwalk может сканировать образ прошивки для поиска различных встроенных типов файлов и файловых систем.

Вы знаете утилиту командной строки file?

file /bin/bash
/bin/bash: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/l, for GNU/Linux 3.2.0, BuildID[sha1]=12f73d7a8e226c663034529c8dd20efec22dde54, stripped

Команда fileсмотрит на заголовок файла и ищет подпись (магическое число), чтобы определить тип файла. Например, если файл начинается с последовательности байтов 0x89 0x50 0x4E 0x47 0x0D 0x0A 0x1A 0x0A, она знает, что это файл PNG. На Википедии есть список распространенных подписей файлов.

Binwalk работает так же. Но вместо того, чтобы искать подписи только в начале файла, binwalk будет сканировать весь файл. Кроме того, binwalk может извлечь файлы, найденные в образе.

Инструменты file и binwalk используют библиотеку libmagic для идентификации подписей файлов. Но binwalk дополнительно поддерживает список пользовательских магических сигнатур для поиска сжатых / заархивированных файлов, заголовков прошивок, ядер Linux, загрузчиков, файловых систем и так далее.

Давайте повеселимся?

Установка binwalk

Binwalk поддерживается на нескольких платформах, включая Linux, OSX, FreeBSD и Windows.

Чтобы установить последнюю версию binwalk, вы можете загрузить исходный код и следовать инструкции установки или краткому руководству, доступному на веб-сайте проекта.

У Binwalk много разных параметров:

$ binwalk

Binwalk v2.2.0
Craig Heffner, ReFirmLabs
https://github.com/ReFirmLabs/binwalk

Usage: binwalk [OPTIONS] [FILE1] [FILE2] [FILE3] ...

Signature Scan Options:
    -B, --signature              Scan target file(s) for common file signatures
    -R, --raw=<str>              Scan target file(s) for the specified sequence of bytes
    -A, --opcodes                Scan target file(s) for common executable opcode signatures
    -m, --magic=<file>           Specify a custom magic file to use
    -b, --dumb                   Disable smart signature keywords
    -I, --invalid                Show results marked as invalid
    -x, --exclude=<str>          Exclude results that match <str>
    -y, --include=<str>          Only show results that match <str>

Extraction Options:
    -e, --extract                Automatically extract known file types
    -D, --dd=<type:ext:cmd>      Extract <type> signatures, give the files an extension of <ext>, and execute <cmd>
    -M, --matryoshka             Recursively scan extracted files
    -d, --depth=<int>            Limit matryoshka recursion depth (default: 8 levels deep)
    -C, --directory=<str>        Extract files/folders to a custom directory (default: current working directory)
    -j, --size=<int>             Limit the size of each extracted file
    -n, --count=<int>            Limit the number of extracted files
    -r, --rm                     Delete carved files after extraction
    -z, --carve                  Carve data from files, but don't execute extraction utilities
    -V, --subdirs                Extract into sub-directories named by the offset

Entropy Options:
    -E, --entropy                Calculate file entropy
    -F, --fast                   Use faster, but less detailed, entropy analysis
    -J, --save                   Save plot as a PNG
    -Q, --nlegend                Omit the legend from the entropy plot graph
    -N, --nplot                  Do not generate an entropy plot graph
    -H, --high=<float>           Set the rising edge entropy trigger threshold (default: 0.95)
    -L, --low=<float>            Set the falling edge entropy trigger threshold (default: 0.85)

Binary Diffing Options:
    -W, --hexdump                Perform a hexdump / diff of a file or files
    -G, --green                  Only show lines containing bytes that are the same among all files
    -i, --red                    Only show lines containing bytes that are different among all files
    -U, --blue                   Only show lines containing bytes that are different among some files
    -u, --similar                Only display lines that are the same between all files
    -w, --terse                  Diff all files, but only display a hex dump of the first file

Raw Compression Options:
    -X, --deflate                Scan for raw deflate compression streams
    -Z, --lzma                   Scan for raw LZMA compression streams
    -P, --partial                Perform a superficial, but faster, scan
    -S, --stop                   Stop after the first result

General Options:
    -l, --length=<int>           Number of bytes to scan
    -o, --offset=<int>           Start scan at this file offset
    -O, --base=<int>             Add a base address to all printed offsets
    -K, --block=<int>            Set file block size
    -g, --swap=<int>             Reverse every n bytes before scanning
    -f, --log=<file>             Log results to file
    -c, --csv                    Log results to file in CSV format
    -t, --term                   Format output to fit the terminal window
    -q, --quiet                  Suppress output to stdout
    -v, --verbose                Enable verbose output
    -h, --help                   Show help output
    -a, --finclude=<str>         Only scan files whose names match this regex
    -p, --fexclude=<str>         Do not scan files whose names match this regex
    -s, --status=<int>           Enable the status server on the specified port

Сканирования образов

Начнем с поиска сигнатур файлов внутри образа (образ с сайта TP-Link).

Запуск binwalk с параметром —signature:

$ binwalk --signature --term archer-c7.bin

DECIMAL       HEXADECIMAL     DESCRIPTION
------------------------------------------------------------------------------------------
21876         0x5574          U-Boot version string, "U-Boot 1.1.4-g4480d5f9-dirty (May
                              20 2019 - 18:45:16)"
21940         0x55B4          CRC32 polynomial table, big endian
23232         0x5AC0          uImage header, header size: 64 bytes, header CRC:
                              0x386C2BD5, created: 2019-05-20 10:45:17, image size:
                              41162 bytes, Data Address: 0x80010000, Entry Point:
                              0x80010000, data CRC: 0xC9CD1E38, OS: Linux, CPU: MIPS,
                              image type: Firmware Image, compression type: lzma, image
                              name: "u-boot image"
23296         0x5B00          LZMA compressed data, properties: 0x5D, dictionary size:
                              8388608 bytes, uncompressed size: 97476 bytes
64968         0xFDC8          XML document, version: "1.0"
78448         0x13270         uImage header, header size: 64 bytes, header CRC:
                              0x78A267FF, created: 2019-07-26 07:46:14, image size:
                              1088500 bytes, Data Address: 0x80060000, Entry Point:
                              0x80060000, data CRC: 0xBB9D4F94, OS: Linux, CPU: MIPS,
                              image type: Multi-File Image, compression type: lzma,
                              image name: "MIPS OpenWrt Linux-3.3.8"
78520         0x132B8         LZMA compressed data, properties: 0x6D, dictionary size:
                              8388608 bytes, uncompressed size: 3164228 bytes
1167013       0x11CEA5        Squashfs filesystem, little endian, version 4.0,
                              compression:xz, size: 14388306 bytes, 2541 inodes,
                              blocksize: 65536 bytes, created: 2019-07-26 07:51:38
15555328      0xED5B00        gzip compressed data, from Unix, last modified: 2019-07-26
                              07:51:41

Теперь у нас много информации об этом образе.

Образ использует U-Boot в качестве загрузчика (заголовок образа по адресу 0x5AC0 и сжатый образ загрузчика по адресу 0x5B00). Основываясь на заголовке uImage по адресу 0x13270, мы знаем, что архитектура процессора — MIPS, а ядро Linux — версия 3.3.8. И на основании образа, найденного по адресу 0x11CEA5, мы можем видеть, что rootfs является файловой системой squashfs.

Давайте теперь распакуем загрузчик (U-Boot) с помощью команды dd:

$ dd if=archer-c7.bin of=u-boot.bin.lzma bs=1 skip=23296 count=41162
41162+0 records in
41162+0 records out
41162 bytes (41 kB, 40 KiB) copied, 0,0939608 s, 438 kB/s

Поскольку образ сжат с помощью LZMA, нам нужно распаковать его:

$ unlzma u-boot.bin.lzma

Теперь у нас есть образ U-Boot:

$ ls -l u-boot.bin
-rw-rw-r-- 1 sprado sprado 97476 Fev  5 08:48 u-boot.bin

Как насчет поиска дефолтного значения для bootargs?

$ strings u-boot.bin | grep bootargs
bootargs
bootargs=console=ttyS0,115200 board=AP152 rootfstype=squashfs init=/etc/preinit mtdparts=spi0.0:128k(factory-uboot),192k(u-boot),64k(ART),1536k(uImage),14464k@0x1e0000(rootfs) mem=128M

Переменная окружения U-Boot bootargs используется для передачи параметров ядру Linux. И из вышеприведенного мы лучше понимаем флэш-память устройства.

Как насчет извлечения образа ядра Linux?

$ dd if=archer-c7.bin of=uImage bs=1 skip=78448 count=1088572
1088572+0 records in
1088572+0 records out
1088572 bytes (1,1 MB, 1,0 MiB) copied, 1,68628 s, 646 kB/s

Мы можем проверить, что образ был успешно извлечен с помощью команды file:

$ file uImage
uImage: u-boot legacy uImage, MIPS OpenWrt Linux-3.3.8, Linux/MIPS, Multi-File Image (lzma), 1088500 bytes, Fri Jul 26 07:46:14 2019, Load Address: 0x80060000, Entry Point: 0x80060000, Header CRC: 0x78A267FF, Data CRC: 0xBB9D4F94

Формат файла uImage — это в основном образ ядра Linux с дополнительным заголовком. Давайте удалим этот заголовок, чтобы получить окончательный образ ядра Linux:

$ dd if=uImage of=Image.lzma bs=1 skip=72
1088500+0 records in
1088500+0 records out
1088500 bytes (1,1 MB, 1,0 MiB) copied, 1,65603 s, 657 kB/s

Образ сжат, поэтому давайте распакуем его:

$ unlzma Image.lzma

Теперь у нас есть образ ядра Linux:

$ ls -la Image
-rw-rw-r-- 1 sprado sprado 3164228 Fev  5 10:51 Image

Что мы можем сделать с образом ядра? Мы могли бы, например, сделать поиск по строкам в образе и найти версию ядра Linux и узнать об окружающей среде, используемой для сборки ядра:

$ strings Image | grep "Linux version"
Linux version 3.3.8 (leo@leo-MS-7529) (gcc version 4.6.3 20120201 (prerelease) (Linaro GCC 4.6-2012.02) ) #1 Mon May 20 18:53:02 CST 2019

Несмотря на то, что прошивка была выпущена в прошлом году (2019 г.), когда я пишу эту статью, она использует старую версию ядра Linux (3.3.8), выпущенную в 2012 г., скомпилированную с очень старой версией GCC (4.6) также с 2012 г.!
(прим. перев. еще доверяете своим роутерам в офисе и дома?)

С опцией --opcodes мы также можем использовать binwalk для поиска машинных инструкций и определения архитектуры процессора образа:

$ binwalk --opcodes Image
DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
2400          0x960           MIPS instructions, function epilogue
2572          0xA0C           MIPS instructions, function epilogue
2828          0xB0C           MIPS instructions, function epilogue

Как насчет корневой файловой системы? Вместо того, чтобы извлекать образ вручную, давайте воспользуемся опцией binwalk --extract:

$ binwalk --extract --quiet archer-c7.bin

Полная корневая файловая система будет извлечена в подкаталог:

$ cd _archer-c7.bin.extracted/squashfs-root/

$ ls
bin  dev  etc  lib  mnt  overlay  proc  rom  root  sbin  sys  tmp  usr  var  www

$ cat etc/banner
     MM           NM                    MMMMMMM          M       M
   $MMMMM        MMMMM                MMMMMMMMMMM      MMM     MMM
  MMMMMMMM     MM MMMMM.              MMMMM:MMMMMM:   MMMM   MMMMM
MMMM= MMMMMM  MMM   MMMM       MMMMM   MMMM  MMMMMM   MMMM  MMMMM'
MMMM=  MMMMM MMMM    MM       MMMMM    MMMM    MMMM   MMMMNMMMMM
MMMM=   MMMM  MMMMM          MMMMM     MMMM    MMMM   MMMMMMMM
MMMM=   MMMM   MMMMMM       MMMMM      MMMM    MMMM   MMMMMMMMM
MMMM=   MMMM     MMMMM,    NMMMMMMMM   MMMM    MMMM   MMMMMMMMMMM
MMMM=   MMMM      MMMMMM   MMMMMMMM    MMMM    MMMM   MMMM  MMMMMM
MMMM=   MMMM   MM    MMMM    MMMM      MMMM    MMMM   MMMM    MMMM
MMMM$ ,MMMMM  MMMMM  MMMM    MMM       MMMM   MMMMM   MMMM    MMMM
  MMMMMMM:      MMMMMMM     M         MMMMMMMMMMMM  MMMMMMM MMMMMMM
    MMMMMM       MMMMN     M           MMMMMMMMM      MMMM    MMMM
     MMMM          M                    MMMMMMM        M       M
       M
 ---------------------------------------------------------------
   For those about to rock... (%C, %R)
 ---------------------------------------------------------------

Теперь мы можем сделать много разного.

Мы можем искать файлы конфигурации, хэши паролей, криптографические ключи и цифровые сертификаты. Мы можем проанализировать бинарные файлы для поиска ошибок и уязвимостей.

С помощью qemu и chroot мы можем даже запустить (эмулировать) исполняемый файл из образа:

$ ls
bin  dev  etc  lib  mnt  overlay  proc  rom  root  sbin  sys  tmp  usr  var  www

$ cp /usr/bin/qemu-mips-static .

$ sudo chroot . ./qemu-mips-static bin/busybox
BusyBox v1.19.4 (2019-05-20 18:13:49 CST) multi-call binary.
Copyright (C) 1998-2011 Erik Andersen, Rob Landley, Denys Vlasenko
and others. Licensed under GPLv2.
See source distribution for full notice.

Usage: busybox [function] [arguments]...
   or: busybox --list[-full]
   or: function [arguments]...

    BusyBox is a multi-call binary that combines many common Unix
    utilities into a single executable.  Most people will create a
    link to busybox for each function they wish to use and BusyBox
    will act like whatever it was invoked as.

Currently defined functions:
    [, [[, addgroup, adduser, arping, ash, awk, basename, cat, chgrp, chmod, chown, chroot, clear, cmp, cp, crond, crontab, cut, date, dd, delgroup, deluser, dirname, dmesg, echo, egrep, env, expr, false,
    fgrep, find, free, fsync, grep, gunzip, gzip, halt, head, hexdump, hostid, id, ifconfig, init, insmod, kill, killall, klogd, ln, lock, logger, ls, lsmod, mac_addr, md5sum, mkdir, mkfifo, mknod, mktemp,
    mount, mv, nice, passwd, pgrep, pidof, ping, ping6, pivot_root, poweroff, printf, ps, pwd, readlink, reboot, reset, rm, rmdir, rmmod, route, sed, seq, sh, sleep, sort, start-stop-daemon, strings,
    switch_root, sync, sysctl, tail, tar, tee, telnet, test, tftp, time, top, touch, tr, traceroute, true, udhcpc, umount, uname, uniq, uptime, vconfig, vi, watchdog, wc, wget, which, xargs, yes, zcat

Здорово! Но обратите внимание, что версия BusyBox — 1.19.4. Это очень старая версия BusyBox, выпущенная в апреле 2012 года.

Таким образом, TP-Link выпускает образ прошивки в 2019 году с использованием программного обеспечения (GCC toolchain, kernel, BusyBox и т. Д.) 2012 года!

Теперь вы понимаете, почему я всегда устанавливаю OpenWRT на свои роутеры?

Это еще не все

Binwalk также может выполнять энтропийный анализ, печатать необработанные энтропийные данные и генерировать энтропийные графики. Обычно большая энтропия наблюдается, когда байты в образе случайны. Это может означать, что образ содержит зашифрованный, сжатый или обфусцированный файл. Хардкорно прописанный ключ шифрования? Почему бы и нет.

Мы также можем использовать параметр --raw для поиска пользовательской последовательности необработанных байтов в образе или параметр --hexdump для выполнения шестнадцатеричного дампа, сравнивающего два или более входных файла.

Пользовательские сигнатуры могут быть добавлены в binwalk либо через файл пользовательских сигнатур, указанный в командной строке с помощью параметра --magic, либо путем добавления их в каталог $ HOME / .config / binwalk / magic.

Вы можете найти больше информации о binwalk в официальной документации.

Расширение binwalk

Существует API-интерфейс binwalk, реализованный в виде модуля Python, который может использоваться любым скриптом Python для программного выполнения сканирования binwalk, а утилита командной строки binwalk может быть почти полностью продублирована всего двумя строками кода Python!

import binwalk
binwalk.scan()

С помощью Python API вы также можете создавать плагины под Python для настройки и расширения binwalk.

Также существует плагин IDA и облачная версия Binwalk Pro.

Так почему бы вам не скачать образ прошивки из Интернета и не попробовать binwalk? Обещаю, вам будет очень весело

Декомпиляция прошивки роутера может быть полезной задачей для многих пользователей, которые хотят получить доступ к внутренним компонентам и настройкам устройства. Декомпиляция позволяет изучить код и функциональность прошивки, а также внести изменения и настроить роутер по своему усмотрению.

Однако, необходимо иметь в виду, что декомпиляция прошивки роутера может нарушить гарантию устройства и привести к его неправильной работе или полному отказу. Поэтому перед началом процесса рекомендуется ознакомиться со всей доступной документацией и выполнять все действия на свой страх и риск.

Для начала декомпиляции прошивки роутера вам потребуется специальное программное обеспечение и инструменты. Одним из самых популярных является программа Binwalk, которая способна анализировать и извлекать данные из прошивок различных устройств. Кроме того, вам также потребуется некоторые навыки программирования и знание языка ассемблера, чтобы понять и изменить код прошивки.

Важно помнить, что декомпиляция прошивки роутера может нарушить законодательство о защите программного обеспечения и нарушить авторские права. Поэтому перед началом процесса убедитесь, что вы имеете соответствующие разрешения и знания о применимом законодательстве.

Внимательно следуйте инструкциям, предоставляемым разработчиками программного обеспечения и инструментов, не вносите изменения кода прошивки без необходимости и всегда создавайте резервные копии перед выполнением каких-либо действий.

Основные понятия и принципы

Декомпиляция прошивки роутера может быть полезной в следующих случаях:

• Изучение внутренней логики устройства;
• Поиск уязвимостей и исправление их;
• Добавление дополнительных функций и возможностей;
• Изменение внешнего вида интерфейса;
• Анализ работы устройства и оптимизация его производительности.

Основными инструментами, используемыми для декомпиляции прошивки роутера, являются:

1. Дизассемблер — программа, которая переводит исполняемый файл прошивки в читаемый для человека вид;
2. Декомпилятор — инструмент, который переводит бинарный код прошивки в исходный код на языке программирования;
3. Отладчик — программное обеспечение, позволяющее анализировать исполняющуюся программу шаг за шагом и получать информацию о ее состоянии.

При декомпиляции прошивки необходимо учитывать следующие принципы:

1. Законодательство — перед проведением декомпиляции необходимо убедиться, что это действие не нарушает законодательство вашей страны;
2. Безопасность — при работе с прошивкой роутера необходимо обеспечить сохранность оригинального файла и бэкапов, чтобы в случае ошибки или повреждения можно было восстановить работоспособность устройства;
3. Анализ кода — декомпиляция прошивки позволяет получить доступ к исходному коду, но требует хорошего знания языка программирования и анализа кода, чтобы понять его логику и функционал;
4. Тестирование — после внесения изменений в прошивку устройства необходимо провести тестирование, чтобы убедиться в его работоспособности и отсутствии ошибок.

Помните, что декомпиляция прошивки роутера может быть сложным и трудоемким процессом, требующим достаточно большой экспертизы в области программирования и системного анализа.

Выбор необходимого программного обеспечения

Для декомпиляции прошивки роутера вам понадобится набор специального программного обеспечения. В данной статье мы рассмотрим несколько популярных инструментов, которые помогут вам выполнить эту задачу. Ниже приведен список необходимого программного обеспечения:

• Binwalk — инструмент, который предназначен для поиска и извлечения встроенных файлов в прошивке роутера. Он обладает широким набором функций и может быть полезным при анализе прошивки;
• IDA Pro — популярная среда разработки и дизассемблера, которая может использоваться для обратного анализа бинарных файлов. IDA Pro имеет множество функций и расширений, которые могут помочь вам разобраться в составе прошивки;
• Wireshark — инструмент для анализа сетевого трафика. Его можно использовать для мониторинга взаимодействия роутера с другими устройствами и анализа передаваемых данных;
• dd — утилита командной строки для копирования и преобразования файлов. Она может быть полезна при извлечении отдельных файлов из прошивки;
• Python — язык программирования, который широко используется в области безопасности и разработки обратно совместимого программного обеспечения. Python может быть полезным при создании собственных сценариев и инструментов для декомпиляции прошивки.

Выбор программного обеспечения зависит от конкретных требований и задач, которые вы хотите решить при декомпиляции прошивки роутера. Рекомендуется ознакомиться с документацией и особенностями каждого инструмента перед началом работы.

Подробный обзор инструментов

1. Binwalk

Binwalk — мощный инструмент для анализа бинарных файлов. Он специально разработан для работы с прошивками и может автоматически идентифицировать и извлекать файлы и данные из прошивки роутера. Binwalk также распознает различные типы файлов, такие как образы файловой системы, исполняемые файлы и конфигурационные файлы.

2. Firmware Analysis Toolkit (FATKIT)

Firmware Analysis Toolkit (FATKIT) — это набор инструментов, разработанный для анализа и модификации прошивок, включая прошивки роутеров. FATKIT предоставляет различные функции для исследования прошивок, включая декомпрессию, монтирование файловой системы и анализ файлов.

3. Firmware Modification Kit (FMK)

Firmware Modification Kit (FMK) — это набор инструментов, предназначенный для модификации прошивок роутеров и других встраиваемых систем. FMK позволяет извлекать, модифицировать и перепаковывать файлы и данные внутри прошивки. Он также поддерживает применение патчей и замену файлов в прошивке.

4. IDA Pro

IDA Pro — это интерактивный дизассемблер и отладчик, который часто используется для анализа прошивок и других бинарных файлов. IDA Pro позволяет проводить дизассемблирование кода, восстановление структуры и идентификацию функций внутри прошивки. Это мощный инструмент, который может быть полезен для более глубокого анализа прошивок роутеров.

Это лишь небольшой обзор некоторых инструментов, которые могут быть полезны при декомпиляции прошивки роутера. В зависимости от ваших потребностей и целей, вы можете выбрать инструмент, который лучше всего подходит для ваших задач.