【经验之谈】基于用STM32固件IDA PRO + QEMU动态调试的经验分享

只看该作者 · 2022-12-12 10:29

知己知彼百战不殆，了解下敌人都是什么套路，有助于更好的保护自己的程序。

闲着没事调试下老毛子孔雀石SDR的固件，由于我没硬件只能用QEMU

安装支持STM32的 xPack QEMU Arm

打开IDA 的debugger菜单设置一下调试

只看该作者 · 2022-12-12 10:30

qemu 运行参数

"qemu-system-gnuarmeclipse" -machine STM32F429I-Discovery -s -S -kernel C:\311.bin

设置本机IP

运行可以连接了

只看该作者 · 2022-12-12 10:31

通过比较新版和旧版固件很容易就找到了密码表地址0x80392d8

找哪个程序调用了这个表，发现是一个校验程序

向上找哪里调用的

只看该作者 · 2022-12-12 10:33

我们又找到了读STM32ID的程序，通过分析上面两个是生成校验数组的。

往下看sub_800DB54是原来的ID号生成密码的程序

下面一些是对生成密码简单移位的程序，但是有上百行，人工看比较麻烦，所以运行动态调试

在0x800e270设个断点

只看该作者 · 2022-12-12 10:36

运行以前的算号器生成本机密码

把IDA动态调试寄存器R6和R7改成 0XA52FF277和0XBC8FB975
0X800E3CC设个断点，运行看结果

运行

结果R0和R1 0x75b98fbc 0x77f22fa5
在下面函数里面设置个断点接着运行

这个不用调试肉眼就可以看出来，通过和密码表比较，密码表里面有就向R6+0x814地址写0XFA，没有就写0X58。

到这里已经知道怎么和密码表比较了

只看该作者 · 2022-12-12 10:37

看固件BIN文件时候看到结尾有数据，这很不正常，看哪里调用看到两个对整个FLASH的校验程序

由于QEMU不支持STM32H7所以没办法运行整个程序，要是有硬件插上JILINK很容易就能知道哪个程序校验整个固件，静态不容易看到哪里进行校验。

由于我没硬件没办法验证和调试，随便改改不知道能不能去掉保护。

0800DED4 由原来
str r4, [r6, # 0x814]
改成
str r7, [r6, # 0x814]
0800DD66由原来
str r0, [r3]
改成
str r2, [r3]
0800DC90和0800DC92由原来
ldr r2, [r4]
cmp r2, r3
改成
str r3, [r4]
cmp r3, r3

只看该作者 · 2022-12-12 13:58

QEMU能反映出硬件真实的状态？