时间戳

首页 > 解决方案 > ARM逆向工程ROM转储

c - ARM逆向工程ROM转储

问题描述

我有旧的嵌入式系统,带有 ARM cpu 内核,我转储了 ROM,用 binwalk 提取,然后在 IDA pro 上加载。我在一些例程中发现,BX 不是带有 LR,而是带有通用寄存器(R2、R3 等)的伪代码变得像这样的“内存 [0xCC1232](a3,v4)”,它就是示例。我认为这就像 ARM 编译器构建 C 指针函数。可以吗?无论如何我的主要问题是这个,我怎样才能找到这个只有 rom 转储的子程序(memoryx ..)?因为地址是 ram 地址,所以没有 ram 转储,我不能找到对这个子程序的引用吗?我想找到例程将值写入此特定地址,但这几乎是不可能的,谢谢

标签: cpointersarmreverserom

解决方案

取决于编译器设置以及不带 lr 的 bx 目标是什么内核非常常见,如果不需要,因为 lr 的较旧内核 pop(通常为 ldmia)不适用于在 arm 和 thumb 模式之间切换,因此编译器将生成 pop 到像 r3 然后 bx r3。

extern unsigned int more_fun ( void );
unsigned int fun ( void )
{
    return(more_fun()+1);
}

00000000 <fun>:
   0:   b510        push    {r4, lr}
   2:   f7ff fffe   bl  0 <more_fun>
   6:   3001        adds    r0, #1
   8:   bc10        pop {r4}
   a:   bc02        pop {r1}
   c:   4708        bx  r1
   e:   46c0        nop         ; (mov r8, r8)

vs

00000000 <fun>:
   0:   b508        push    {r3, lr}
   2:   f7ff fffe   bl  0 <more_fun>
   6:   3001        adds    r0, #1
   8:   bd08        pop {r3, pc}
   a:   bf00        nop

r4 vs r3 作为虚拟寄存器在这里无关紧要,有趣的是编译器会这样做,但它们只是用于使堆栈对齐,而不是保留寄存器。

这当然是拇指模式,手臂模式

00000000 <fun>:
   0:   e92d4010    push    {r4, lr}
   4:   ebfffffe    bl  0 <more_fun>
   8:   e8bd4010    pop {r4, lr}
   c:   e2800001    add r0, r0, #1
  10:   e12fff1e    bx  lr

你会期望看到 lr 与 bx lr 一起使用

或者这个是更新的,但 gcc 至少默认为拇指模式,你必须强制它生成这样的 arm 代码

00000000 <fun>:
   0:   e92d4010    push    {r4, lr}
   4:   ebfffffe    bl  0 <more_fun>
   8:   e2800001    add r0, r0, #1
   c:   e8bd8010    pop {r4, pc}

至于找到内存中的内容,您必须做更多的工作,这可能是不可能的。如果这是一个嵌入式系统,并且所有内容都在非易失性存储器(闪存/ROM/等)中,那么在某些时候,如果代码在 ram 中,那么它会在分支到之前被复制或解压缩或其他到 ram 中。另一方面,您可能已经反汇编了一些代码,以便能够调用 ram 中的代码,但 ram 中的代码可能来自下载,基本上是一些最终不在板/芯片上的外部源。就像引导加载程序有代码通过 uart 下载程序然后分支到它,并不意味着代码可以正常使用,当然意味着您无法预测或知道该代码将是什么,更不用说找到它并反汇编它。

如果我下载到 0x20000000 并且不知何故知道这是拇指代码而不是手臂,则可以手动使用非 lr 的 bx 启动此类代码,然后我需要以某种方式使用 1 或 bx 到那个地址,有时你这样做有一个寄存器,有时没有。

您还将看到链接器使用 bx 来修补远处的内容或更改模式:

unsigned int more_fun ( void )
{
    return(3);
}

链接器为您添加蹦床:

00000000 <fun>:
   0:   e92d4010    push    {r4, lr}
   4:   eb000003    bl  18 <__more_fun_from_arm>
   8:   e8bd4010    pop {r4, lr}
   c:   e2800001    add r0, r0, #1
  10:   e12fff1e    bx  lr

00000014 <more_fun>:
  14:   2003        movs    r0, #3
  16:   4770        bx  lr

00000018 <__more_fun_from_arm>:
  18:   e59fc000    ldr r12, [pc]   ; 20 <__more_fun_from_arm+0x8>
  1c:   e12fff1c    bx  r12
  20:   00000015    andeq   r0, r0, r5, lsl r0
  24:   00000000    andeq   r0, r0, r0

在这种情况下使用 r12。

推荐阅读