21ic电子技术开发论坛 单片机与嵌入式系统 ST MCU STM32反汇编实战**开机验证码
12下一页
返回列表 发新帖我要提问

[STM32F1] STM32反汇编实战**开机验证码

[复制链接]
5830|25
 楼主| yjmwxwx 发表于 2015-12-15 16:16 | 显示全部楼层 |阅读模式
STM32, 汇编, AC, 调试, ck
想仿制别人的产品但是作者只提供HEX文件, 并且有产品唯一身份标识的验证码,每换一片STM32就要跟原作者要验证码,原作者比较忙所以要验证码很不方便。 于是研究一下能不能破解一下。上一帖贴了IDA的基本用法,我是新手第一次搞破解, 我是小学学历不懂英文和C语言。。
这次破解全靠运气。
IDA的基本用法就不说了,直接切入分析。

2015-12-15 12:54:02屏幕截图.png
2015-12-15 12:59:45屏幕截图.png

既然程序用产品唯一身份标识那我们就从他开刀
2015-12-15 15:08:44屏幕截图.png

打开IDA反汇编代码然后搜索0x1FFFF 然后看到0x8002950里面有,而且这个函数运算很繁琐可以确定这个就是主要目标

2.png

由于这个函数用了大了运算静态调试不容易,所以把我的最小系统板焊上了1602液晶跟键盘,按照他说的方法输入试用码成功后居然会在屏幕上显示Zero check...
这个英文是什么意思我不懂因为我不会英文, 但是我知道成功后会显示他,程序自己出卖了自己。  由于IDA反汇编ASCII有不准确的时候我们看十六进制代码搜索找Zero check...

3.png

然后到这个存放ASCII的数据区把原来不正确的反汇编按A键转换成ASCII

4.png

原来是sub_80012D8调用了他说明判断验证码在他前面

5.png

看他前面sub_80011C2   sub_8001280 sub_80011C2 这三个都不是,说明还是在sub_80012D8前面

6.png

现在可以肯定还是在0X8002950里面

然后我又输入错误的验证码看结果,看看他说的死机死在什么地方
7.png

原来不是死机是在0x8002B80死循环,找到0x8002B80

8.png

他左边的loc_8002A5C: 有POP正常返回说明他是正确的在往上找,找到loc_8002B58: 动态调试一下,在这里设个断点 ,随便输入一个数按键确认,调试后得知原来R10是计算后的 R7是我们输入的验证码

9.png

10.png


把bne loc_8002b6c改成 beq loc_8002b6c  改完以后结果就会时输入正确验证码死循环,输入错误验证码正常使用 。
11.png

把  06 D1 改成 04 D0 就可以了,06 D1 是BNE   , 04 D0 是BEQ


回复

收藏11 举报

相关帖子
leonliu_1128 发表于 2015-12-15 16:35 | 显示全部楼层
产品唯一身份标识的验证码是随机数产生的吗?
回复

收藏11 举报

 楼主| yjmwxwx 发表于 2015-12-15 16:48 | 显示全部楼层
leonliu_1128 发表于 2015-12-15 16:35
产品唯一身份标识的验证码是随机数产生的吗?

不是随机数,是根据产品唯一身份标识寄存器计算的一个固定数
回复

收藏11 举报

huangqi412 发表于 2015-12-15 17:11 | 显示全部楼层
标记一下。IDA反汇编。
回复

收藏11 举报

maiweiqi 发表于 2015-12-15 17:23 | 显示全部楼层
有**就有反**有反**又有反反**有反反**又会有反反反**………………………………
回复

收藏11 举报

大道至简 发表于 2015-12-15 18:13 | 显示全部楼层
mark
回复

收藏11 举报

m564522634 发表于 2015-12-16 16:29 | 显示全部楼层
为什么没有人喷呢!作为一个工程师自己的产品被这样搞你们是什么感觉。
回复

收藏11 举报

TRUE_ARM 发表于 2015-12-16 18:43 | 显示全部楼层
这么牛X?
回复

收藏11 举报

 楼主| yjmwxwx 发表于 2015-12-17 17:32 | 显示全部楼层
TRUE_ARM 发表于 2015-12-16 18:43
这么牛X?

小学文化就能搞说明门槛很低,再说我不是专门搞**的,主业是农民种地的业余自学了点单片机不会C语言没办法才学的汇编,五线小城市的厂子都不收写汇编的。 我搞出个东西不容易就想分享下,证明简单的加密**成本很低。
回复

收藏11 举报

 楼主| yjmwxwx 发表于 2015-12-18 22:01 | 显示全部楼层
不改BNE了

改成输入错误密码就把正确密码显示在屏幕上

loc_8002b6c里面的sdiv.w  r0, r9, r0改成了mov r1, # 6和mov r0, r10  (r10里面是密码)跳转后改了个BL调用,直接调用显示把密码显示出来。

原来的
yuanlai.png

2.png

修改后的

2015-12-18 21:14:22屏幕截图.png

2015-12-18 21:15:01屏幕截图.png
回复

收藏11 举报

Vantica 发表于 2015-12-19 12:08 | 显示全部楼层
搞开发的不会喜欢这种技术分享
回复

收藏11 举报

hgjinwei 发表于 2015-12-19 13:13 | 显示全部楼层
所以说,神马在ROM里面直接运行代码是多么的不安全,
还是应该把可执行代码放在ROM,但需要搬移到RAM才可运行,
然后就可以在搬运过程中解密,加密,解密,。。。。。。
回复

收藏11 举报

itelectron 发表于 2016-1-24 22:12 | 显示全部楼层

fan

本帖最后由 itelectron 于 2016-1-24 22:19 编辑

哈哈  楼主  打开了另一扇门 而已     科班工程师 不用那么 生气  哈哈 以前  HOT POWER   不是也干这个  还有   以前 那些仿 汉卡的


以前 还没有  什么  IDA    现在  都用 ARM     要想  反 逆向  用冷 门    IDA  里没有的芯片  就行   !让楼主  人工反呀 !而且 能破密码  很难改内容  算法  加功能
楼主要是能把汇编  转成C  用C在编译回去   对比  98% 以上 二进制 相同   那就  不枉费  青春了  哈哈!!

   越熟悉 低层的 人  **  能力越强  !  逆向也是种 能力  哈哈
回复

收藏11 举报

itelectron 发表于 2016-1-24 22:19 | 显示全部楼层
hgjinwei 发表于 2015-12-19 13:13
所以说,神马在ROM里面直接运行代码是多么的不安全,
还是应该把可执行代码放在ROM,但需要搬移到RAM才可运 ...

直接读取RAM  不是更简单 哈哈
回复

收藏11 举报

itelectron 发表于 2016-1-24 22:28 | 显示全部楼层
本帖最后由 itelectron 于 2016-1-24 22:34 编辑

以后ROM 不要存  明码   增加难度 !程序运行中 屏蔽JTAG     ,多用指针!  然后伪造 明码  陷阱 ,然后发现 入侵  立刻 全 片 擦除  然后  反复察除 FLASH   一直 察  坏 芯片  哈哈!或者发现 入侵 ,故意让其得逞,然后让  系统运行不问题   !。。。。。。。。。魔高一尺道高一丈。。。。。。。
回复

收藏11 举报

戈卫东 发表于 2016-1-24 22:47 | 显示全部楼层
不搞软件真的是我们天朝的损失啊。。。。。
回复

收藏11 举报

奔牛滚滚 发表于 2016-1-24 23:14 | 显示全部楼层
hex文件都给了就没啥好说的了.
回复

收藏11 举报

gowow 发表于 2016-1-25 10:11 | 显示全部楼层
其实**就和debug差不多。
你们debug最怕什么? 没法抓住一个点能稳定重现故障现场的bug。。。反**就按这个套路来吧。
回复

收藏11 举报

 楼主| yjmwxwx 发表于 2016-1-25 11:33 | 显示全部楼层
我也不是专门搞这个的,只是好奇玩一下。 在别的论坛上有问怎样计算跳转地址的,但是我也不知道公式,我是用土法算的。


代码:
.text:00005C8E     04 BC                       POP     {R2}.text:00005CC6    E2 E7                       B       loc_5C8E.text:00005CD8     D9 E7                       B       loc_5C8E
已知:B指令所在地址(5CC6,5CD8),跳转目标地址(5C8E)
求:红色部分E2与D9怎么计算而来的,求计算过程及公式。。                       

以下是我的回答:
我不懂英文没法找资料,我是用土法算的。
0x5cc6 - 0x5c8e= 0x38
0x38 + 0x04 = 0x3c
0x3c / 2 =0x1e
0X100 - 0X1E = 0XE2                                                                       



.text:0000606E     11 E0                       B       loc_6094


向后跳更好算

0x6094 - 0x606e = 0x26

0x26 - 0x04 = 0x22

0x22 / 0x02 = 0x11                                                                       

回复

收藏11 举报

Jessicakjdsl 发表于 2016-1-31 16:14 | 显示全部楼层
这个是技术贴啊,话说汇编学好了用处真大啊
回复

收藏11 举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

yjmwxwx

123

主题

2968

帖子

54

粉丝
快速回复 在线客服 返回列表 返回顶部