打印

三种**MCU 技术,就是这么简单

[复制链接]
1581|31
手机看帖
扫描二维码
随时随地手机跟帖
跳转到指定楼层
楼主
Sode|  楼主 | 2017-12-21 13:42 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
三种破解MCU 技术,就是这么简单




MCU的安全等级正在逐步提升,一些公司甚至推出了安全主控,这是很好的现象,说明大家越来越重视嵌入式领域的信息安全和程序安全了。但对于很多特殊行业,比如消费类电子产品,低成本的通讯模块、电源控制模块等等,迫于成本压力以及更新换代速度问题,都无法使用更安全的主控MCU,有很大一部分产品甚至还在使用51单片机。

大家可能都知道破解51单片机是很容易的,但为什么容易,又是如何来破解的,可能很多人就不大清楚了,我在这里结合网上一些前辈整理的资料,和自己的经验,对MCU破解技术做个简单分析。

大家不要把解密想的很复杂,他不像研发一款产品那样,先确定客户需求或者新产品主要功能,然后立项确定技术指标,分配软硬件开发任务,基于硬件调试程序,然后验证功能,测试bug,还要做环境试验。行业里解密的方法有很多,每个人破解的思路也不一样。但是大致分为几种。

1
软件破解
利用软件破解目标单片机的方法,利用这种方法,不会对目标MCU元器件造成物理损伤。主要是对WINBONGD,SYNCMOS单片机和GAL门阵列,这种利用软件解密设备,按照一定的步骤操作,执行片内的程序送到片外的指令,然后用解密的设备进行截获,这样芯片内部的程序就被解密完成了(GAL采用逻辑猜测),就可以得到加密单片机中的程序。

2硬件破解
流程如下:
1、测试         使用高档编程器等设备测试芯片是否正常,并把配置字保存。

2、开盖       采用手工或专用开盖设备进行开盖处理,这里说的开盖并不是说单片机或者其他MCU真有一个盖。简单解释一下,MCU其实是一个大规模集成电路,它是由N个电路组合而成的,而晶圆就是搭载集成电路的载体。将晶圆进行封装后,就形成了我们日常所用的IC芯片,封装形式可以有多种,比如TSSOP28、QFN28等,

3、做电路修改
对不同芯片,提供对应的图纸,让厂家做电路修改,目的是让MCU的存储区变得可读。有些MCU默认不允许读出Flash或者E2PROM中的数据,因为有硬件电路做保护,而一旦切断加密连线,程序就暴露可读了。

4、读程序      取回修改过的MCU,直接用编程器读出程序,可以是HEX文件,或者BIN文件。

5、烧写样片给客户
         按照读出的程序和配置,烧写到目标MCU中,这样就完成了MCU的破解。 至此,硬件破解法成功完成。

3软硬兼施        采用软件和硬件结合的方法,需要对芯片的内部结构非常的熟悉。

另外还有其他一些破解技术,例如电子探测攻击、过错产生技术等等,但是最终目的只有一个,就是能够模仿出目标MCU的功能就可以了。

看到这里大家应该明白一个道理,破解MCU并不能做到把MCU中的程序原封不动的还原出来。目前的技术也做不到,至少国内应该做不到。针对以上情况,加密芯片应运而生,初期确实能很好的保护MCU的安全,但很快就被找到了漏洞。

我举个实际破解的例子分析一下,大家就能够明白了。
加密原理:
MCU和加密芯片各存储一条认证秘钥,存储同样的加密算法;
MCU产生随机数发给加密芯片,后者用秘钥加密后将密文返回,此时MCU解密后,比对明文是否和生成的随机数相等。如果相等,程序正常运行;如果不相等,出错处理。

因为盗版商没有这条秘钥,加密芯片与MCU交互的数据又是随机变化的,无法找到规律,所以只能把加密芯片的程序破解了,再复制一片加密芯片才能让MCU的程序跑起来。而加密芯片不同于通用MCU,它内部有很多安全机制,破解难度非常大。

这种加密方案看似非常安全,但其实还是有漏洞的。

破解方法:
首先按照第二种破解方法,获取到MCU的HEX文件。此处省略N步,不再复述。

使用软件进行HEX反编译,反编译软件目前有很多。

在反编译的程序中,找到对比点,比如图3所示,CJNE语句可能就是这个对比点。因此只要把箭头2那行语句删除,然后重新把汇编语言下载到MCU中,破解工作就完成了。此时即使没有加密芯片,MCU也能正常运行了。



其实原因很简单。MCU是要对加密芯片的返回值进行判断的,那么不让他做判断,这样一来不管加密芯片返回值是什么,程序都能正常运行。

因此这种加密方案很快就被破解了。当然也不是这么绝对,因为有些MCU即使剖片也不能获得里面的HEX或者BIN文件,所以这种破解方案也要看MCU的安全等级够不够高。但是足以说明一个问题,这种通过对比加密结果来实现加密的方案,安全等级还是不够高,还是有破解漏洞的。




相关帖子

沙发
aspoke| | 2017-12-21 21:54 | 只看该作者
暴力**吗?

使用特权

评论回复
板凳
232321122| | 2017-12-21 21:55 | 只看该作者
现在软件都是可以加密的.

使用特权

评论回复
地板
aspoke| | 2017-12-21 22:02 | 只看该作者
**之后的程序怎么重新烧写呢?

使用特权

评论回复
5
232321122| | 2017-12-21 22:02 | 只看该作者
熔丝位烧断就不能读取程序了.

使用特权

评论回复
6
backlugin| | 2017-12-22 15:52 | 只看该作者
想**单片机解密芯片**,就得知道单片机解密芯片**的原理

使用特权

评论回复
7
sdCAD| | 2017-12-22 15:53 | 只看该作者
部分单片机都带有加密锁定位或者加密字节

使用特权

评论回复
8
fengm| | 2017-12-22 15:53 | 只看该作者
一般的人也还是**不开的

使用特权

评论回复
9
pl202| | 2017-12-22 15:54 | 只看该作者
一些MCU始终没有任何特殊的硬件安全保护

使用特权

评论回复
10
mmbs| | 2017-12-22 15:54 | 只看该作者
一般所说的**其实是通过单片机的行为分析后重写的程序。

使用特权

评论回复
11
fengm| | 2017-12-22 15:54 | 只看该作者
能**的都是小芯片

使用特权

评论回复
12
sdCAD| | 2017-12-22 15:54 | 只看该作者
在编程时加密锁定位被使能

使用特权

评论回复
13
backlugin| | 2017-12-22 15:54 | 只看该作者
有多种不同的功耗分析技术用在**密码算法上

使用特权

评论回复
14
pl202| | 2017-12-22 15:54 | 只看该作者
这些MCU不会提供非常好的加密方式

使用特权

评论回复
15
mmbs| | 2017-12-22 15:54 | 只看该作者
果单片机能**谁还会用?

使用特权

评论回复
16
baimiaocun2015| | 2017-12-23 11:54 | 只看该作者
这不管怎么说,都是涉及到MCU层面的操作的

使用特权

评论回复
17
plsbackup| | 2018-2-22 21:51 | 只看该作者
楼主说的可行性怎么样

使用特权

评论回复
18
kmzuaz| | 2018-2-22 21:51 | 只看该作者
熔丝位烧断,怎么**

使用特权

评论回复
19
qiufengsd| | 2018-2-22 21:52 | 只看该作者
现在的加密也不是那么容易**的

使用特权

评论回复
20
sanfuzi| | 2018-2-22 21:52 | 只看该作者
能够具体的怎么**的

使用特权

评论回复
发新帖 我要提问
您需要登录后才可以回帖 登录 | 注册

本版积分规则

1049

主题

1522

帖子

8

粉丝