Arm裸机程序分析
前言
在很多时候,程序在实际运行的时候是没有操作系统的,属于裸机运行模式,在Linux中无法直接运行。因此,这个时候就需要使用其他的方式进行分析。以一道ctf题目为例子,来学习一下ARM架构的裸机程序的分析。
分析
程序地址:
https://dn.jarvisoj.com/challengefiles/confusedARM.hex.f4e616545ff1a18526b9d1c90ea648ff
这个程序是STM32F103X8,因此可以在这个网站上找到对应的dataset:https://www.alldatasheet.com/。
用ida打开该程序,把程序设置成arm小端序:
Dataset中其内存映射如下图:
打开后,首先是如下图的数据:
可以看到,这些数据并没有被识别位代码,第一个0x20000730,根据上面的内存映射可以知道这里是SRAM区域,紧跟着第二为0x8000101位于SRAM区域下面的那一块儿内存区域中的Flash memory中。内存映射图的最下面的详细的内存映射如下图:
可以看到Reset是在0x00000004处,指向了0x00000101,并且在stm32中支持重映射,其会将0x08000000开始的内容重映射到首地址0x00000000中。查看这两处内存的内容:
0x00000000:
0x08000000:
可以看到这两处内存中的内容是一样的。
也就是说在ida中看到的第二个数据0x8000101就是reset所执行的地址,也就是reset。到0x8000101处:
可以在0x8000104这条指令的地方有一个start,这个start是sp,也就是说0x20000730是堆栈地址,那么0x08000100基本上就可以确定是程序的入口地址了。在0x080000f6处有一个比较大的跳转,调用了函数sub_8001084。看一下sub_8001084:
伪代码如下图:
可以看到满足某些条件就可以输出出来flag。但是这些红色的内存看起来不太好看,可以在Edit->Segments->Creat segment来创建一个段,把这些内存区域包括进去就好了。那么看来函数sub_8001084就是主函数。
按CTRL+f5开始调试,然后在下方command窗口将源文件load进去:
然后点左上方的RST按钮:
然后程序就会自动跳到0x08000000处并且断下:
从上面知道函数入口点在0x08000000,主函数在0x08001084,直接运行到0x08001084:
根据主函数中的伪代码,可得知加密函数的key的地址为:0x2000000C,解密后的flag的地址为:0x2000031C。在主函数中sub_8000560和sub_800055C都对key进行了操作,那么这俩肯定不是解密函数,只剩下了sub_8000248函数。
那么直接运行程序貌似就可以直接输出flag了:
但是提交flag是错误的。
想一想好像也只能是解密函数出问题了,运行到地址0x080010EA调用sub_8000248函数的地方:
根据结合上面的函数的参数分析,sub_8000248函数的第三个参数应该是解密的key,从上面调试来看,传入sub_8000248函数的key的地址是0x2000000C,但是调用sub_8000248函数之前sub_800055C函数对key进行了处理,也就是说key传错了,传入的是处理之前的key,因此这个地方要传入的应该是0x2000026c,所以把传入的地址改为0x2000026c就可以了。因此直接在MDK中修改R2寄存器的值为0x2000026c:
然后运行,因为是临时修改所以只有第一个flag是正确的输出:
当然也可以直接给程序打patch,在程序中把代码改掉。
总结
首先看了对应的arm架构的stm32程序的dataset了解了其memory mapping并且使用ida进行静态分析找到入口点以及主函数,然后使用MDK进行动态分析,调试出其算法解密时存在的问题,并且修改该问题得到正确的结果。
参考文章
https://www.armbbs.cn/forum.php?mod=viewthread&tid=109321