در قسمت قبلی آموزش هک پروگرامر ST-Link چهار ایده را برای انجام این هک مطرحکردیم؛ دو روش نخست که درواقع از ابتداییترین روشها هستند را بررسیکردیم که متأسفانه یا خوشبختانه، هیچکدام نتیجه نداد. اگر قسمت اول مقاله را مطالعه نکردهاید توصیه میکنیم که پیش از خواندن این مقاله، قسمت پیشین را حتماً بخوانید. در این قسمت از مقاله سعی داریم بااستفادهاز بوت لودر نشاندهیم که چطور میتوان به firmware دست پیدا کرد. با ما همراه باشید.
چرا نفوذ به بوت لودر؟
اگر بهخاطر داشتهباشید دو ایدهی باقیمانده جهت هک که بررسی نشدند، عبارتاند از:
- احتمالاً نرمافزار بهروزرسانی باید حاوی فایل موردنظر جهت بهروزرسانی پروگرامر باشد.
- رصدکردن اطلاعات تبادلشده بین کامپیوتر و پروگرامر
هنگام بهروزرسانی با کمیدقت در این دو روش، متوجه میشویم که هردوروش درواقع مربوطبه قسمت بوت لودر هستند. اول باید بررسیکنیم و ببینیم آیا نرمافزاری که جهت بهروزرسانی پروگرامر ST-Link توسط شرکت ST ارائه شدهاست، تا چه اندازه میتواند ما را به هدف، یعنی هک ST-Link کمک کند.
بوت لودر چیست؟
ممکناست برایتان سؤال شدهباشد که بوت لودر چیست و چهکاری انجام میدهد. بوت لودر درواقع یک برنامه است که برروی حافظه میکروکنترلر پروگرام میشود. این برنامه ممکناست توسط هرکسی نوشتهشدهباشد و اینطور نیست که حتماً ازطریق شرکت سازنده چیپ ارائهشدهباشد. بوت لودر نقش حیاتی در بهروزرسانی و ارتقاء یک محصول بازی میکند؛ چراکه به تولیدکننده این امکان را میدهد که از راه دور و از طریق مصرفکننده firmware محصول بهروزرسانی شود.
به زبان ساده، بوت لودر برنامهای است که در قسمت مشخصی از حافظه ریخته میشود و وظیفه اصلی آن تغییر برنامه پردازنده است و این تغییر برنامه را از طریق پورتهای استاندارد که کاربر در اختیار دارد (مثل USB یا سریال ) انجام میدهد.
فرضکنید شما محصولی را تولیدکردهباشید و به تعداد زیاد در بازار به فروش رساندهباشید. پساز گذشت مدتی مشخص میشود که در شرایطیخاص، دستگاه موردنظر عملکرد مورد انتظار را ندارد (مثلاً وجود باگ). اولین گام، رفع باگ موردنظر است و در گام دوم دستگاههای فروختهشده باید بهروزرسانی شوند. درصورتیکه فرضکنیم بوت لودر وجود نداشتهباشد، شما باید تمام دستگاهها را فراخوانی کنید یا خود در محل نصب دستگاه حاضر شوید و دستگاهها را بااستفادهاز پروگرامر آپدیت کنید. اما فرضکنید که بوت لودر داشتهباشید، firmware را دراختیار خریداران میگذارید و کاربران بااستفادهاز یک رابط استاندارد مثل USB، دستگاه خود را آپدیت میکنند. همانطورکه حدس میزنید امروزه بیشتر دستگاههای الکترونیکی مانند گوشیهای هوشمند، تلویزیونهای هوشمند، سینمای خانگی و … بوت لودر دارند.
بوت لودر پروگرامر ST-Link چطور کار میکند؟
حالکه با مفهوم بوت لودر آشنا شدیم قبلاز نفوذ به بوت لودر باید بررسی کنیم که بوت لودر ST-Link چطور کار میکند و از چه بستری برای انتقال اطلاعات استفاده میکند. ممکناست سریع پاسخدهید که از USB، بله اما منظور سختافزارِ کانکشن نیست، منظور لایههای نرمافزاری است. همانطورکه میدانید رابط USB بستهبه تنظیماتی که روی آن اعمال میشود قادربه پشتیبانی استانداردهای مختلفی نظیر CDC ، HID ، Bulk و … است. قبلاز هر اقدامی لازماست بررسیکنیم که بوت لودر از چه لایه نرمافزاری استفاده میکند. برای بررسی این موضوع کافیست که به درایورهای ST-Link نگاه کنیم. لینوکس که تقریباً نیازی به درایور ندارد ولی میتوانیم فایلهای درایور ویندوز مخصوص پروگرامر ST-Link که توسط سایت ST منتشرشدهاست را بررسیکنیم.
بعداز دانلود و بازکردن فایل درایور، دو فایل مشخصشده، سرنخهای خوبی را در اختیار ما میگذارند. فایل stlink_VCP.inf که درواقع رابط پورت USB به سریال است مشخص میکند که احتمالاً یکسری ST-Link وجود دارد که دارای پورت سریال نیز هستند اما چه دستگاههایی؟ بادقتبه بخشزیر از فایل درمییابیم که حداقل ۴مدل ST-Link وجود دارد که داری مبدل سریال نیز هستند:
%DeviceNameVCP% =USB_InstallVCP, USB\VID_0483&PID_374A&MI_02 %DeviceNameVCP% =USB_InstallVCP, USB\VID_0483&PID_374B&MI_02 %DeviceNameVCP% =USB_InstallVCP, USB\VID_0483&PID_374E&MI_02 %DeviceNameVCP% =USB_InstallVCP, USB\VID_0483&PID_374F&MI_02
پس تا اینجا میدانیم که حداقل 4 firmware مجزا برای پروگرامر ST-Link وجود دارد که همه ۴مدل مختلف دارای مبدل USB به سریال نیز هستند. واضحاستکه احتمالاً باید انواع بیشتری firmware وجودداشتهباشد؛ چراکه مدلهای موجود از پروگرامر ST-Link در بازار ایران، دارای این مبدل نیستند. پس به سراغ فایل دوم یعنی stlink_dbg_winusb.inf که شامل اینترفیسهای زیر است میرویم:
%DeviceName% =USB_Install, USB\VID_0483&PID_3748 %DeviceName% =USB_Install, USB\VID_0483&PID_374A&MI_00 %DeviceName% =USB_Install, USB\VID_0483&PID_374B&MI_00 %DeviceName% =USB_Install, USB\VID_0483&PID_374E&MI_00 %DeviceName% =USB_Install, USB\VID_0483&PID_374F&MI_00 %DeviceNameRW% =USB_InstallRW, USB\VID_0483&PID_374A&MI_01 %DeviceNameUsbLoader% =USB_Install, USB\VID_0483&PID_374D
این درایور شامل هفت اینترفیس مختلف است که تنها درایور اول، دارای حالت مولتی اینترفیس نیست که به احتمالزیاد مربوطبه پروگرامرهای رایج بازار ایران است. خوشبختانه تنها یک اینترفیس برای حالت بوت لودر وجود دارد که در لیست فوق بهشکلزیر مشخصشدهاست:
%DeviceNameUsbLoader% =USB_Install, USB\VID_0483&PID_374D
تمام حالتهای توصیفشده در فایل درایور، احتمالاً درحالت Bulk تعریف شدهاند. کلاس Bulk، درواقعاز استاندارد تعریفشدهای پشتیبانی نمیکند و برنامه کامپیوتری باید بهصورت مستقیم با اندپویتهای تعریفشده در ارتباط باشد. البته احتمالاً باید از دستورات DFU برای بوت لودر استفادهشدهباشد.
بررسی نرمافزار آپدیتر پروگرامر ST-Link
گام بعدی برای شناخت نحوه کارکردن بوت لودر و درادامه هک پروگرامر ST-Link، بررسی نرمافزار آپدیتر این پروگرامر است که توسط شرکت ST برای بهروزرسانی پروگرامر ارائهشدهاست. برای دانلود آخرین نسخه از نرمافزار ST-Link میتوانید به این آدرس مراجعهکنید. خوشبختانه شرکت ST این نرمافزار را در دو ورژن ویندوز و مولتی پلتفرم ارائهکردهاست. نرمافزار ارائهشده برای مولتی پلتفرم با جاوا نوشتهشدهاست و این جای بسی خوشحالیاست چراکه همانطورکه میدانید جاوا یک زبان میانی است و کد درواقع به معنای واقعی کامپایل نمیشود و با صرف مقداری وقت میتوان سورسهای اولیه را استخراج کرد. بعداز بازکردن نرمافزار، فایلهایزیر توجهما را به خود جلب میکنند:
نامگذاری و فرمت مورداستفاده به خوبی مشخص میکند که این فایلها، احتمالاً firmware جدید هستند. ازقبل هم میدانیم که احتمالاً چند مدل ST-Link مختلف باید وجودداشتهباشد که وجود این فایلها نظریه را تأیید میکند. البته خیلیبعید است که بهاین راحتی توانستهباشیم فایل firmware پروگرامر را پیدا کرده باشیم. یکیاز احتمالات قوی این است که فایلهای مذکور کدگذاری شده باشند؛ چراکه معمولاً شرکتهای بزرگ و حرفهای نکات امنیتی را در محصولات خود لحاظ میکنند و دور از ذهن است که فایلهای موردنظر به شکل بدون کدگذاری در درون برنامه قرار گرفته باشد.
نکته امنیتی: اگر از بوت لودر برای بهروزرسانی دستگاههای خود استفاده میکنید بهیاد داشتهباشید که فایل firmware را حتماً با روشی ایمن کدگذاری کنید. اینکار مانع مهندسی معکوس محصول شما خواهد شد.
خب از کجا میتوانیم متوجهشویم که فایلهای مذکور کدگذاری شدهاند یا خیر؟ یکیاز شیوههای متداول بررسی پراکندگی دادهاست: در یک فایل firmware معمولاً تعداد صفر زیادی وجود دارد یا بایت کدهای اسمبلی معمولاً کوچک هستند و بهندرت از عدد ۱۹۲بزرگتر میشوند. اما اگر فایل کد شده باشد، این الگو به هم خواهد ریخت و فراوانی تمام اعداد در حد یکسانی خواهد بود. پس با بررسی فراوانی بهراحتی میتوان متوجهشد که فایل مذکور کدگذاری شدهاست یا خیر.
همانطورکه در تصویرفوق مشاهده میکنید، پراکندگی دادهها (تعداد صفرها، یکها، دوها …تا ۲۵۵) در فایل firmware به نمایش گذاشته شدهاست. تقریباً تمام دادهها به تعداد یکسانی تکرار شدهاند. این بدان معناست که این فایل کدگذاری شدهاست و برای دسترسی به دادههای آن لازماست ابتدا قفل آن باز شود و دیکد شود. در این مرحله دو سؤال اساسی مطرح میشود: اول اینکه دادهها براساس چه الگوریتمی کدگذاری شدهاند و دوم، از چه کلیدی برای رمزگذاری آن استفادهشدهاست؟ درپاسخبه سؤال اول باید بگوییم که خیلی پیچیده نیست؛ الگوریتمهایی که معمولاً برای کدگذاری دادهها در سیستمهای Embeded استفاده میشوند، زیاد نیستند و باتوجهبه الگوی پراکندگی و فاصله قلهها میتوان حدس زد که احتمالاً از نوع AES-128 باشد. اما پیداکردن کلید، شاید سختترین قسمت ممکن است. اگر به عکس محیط نرمافزار توجهکنید قسمتیاست که نشان میدهد آخرین ورژن firmware چند است (یعنی نرمافزار پروگرامر شما را به چه ورژنی آپدیت خواهد کرد) مانند عکس زیر:
باتوجهبه این موضوع که این نرمافزار حاوی چند firmware است، احتمالاً باید ورژن را از firmware مربوطه خوانده و آنرا نمایش دهد. در اینصورت باید قبلاز خواندن ورژن لازم خواهد بود که فایل را اول دیکد کند. برای اینکار نیازبه کلید خواهد بود که احتمالاً کلید باید درون برنامه وجودداشتهباشد. درقسمتبعد نحوه دکامپایل و استخراج کلید و دیکد کردن firmware را بررسی خواهیمکرد. پس با ما همراه باشید.
منبع: سیسوگ
