固件逆向前期工作
2020-05-20 本文已影响0人
andy_shx
转载,详见原文:(http://www.atomsec.org/%e5%ae%89%e5%85%a8/%e5%9b%ba%e4%bb%b6%e9%80%86%e5%90%91%e5%89%8d%e6%9c%9f%e5%b7%a5%e4%bd%9c/
固件分析的流程,首先file命令查看下载的bin文件,这是data数据文件
image
使用strings和hexdump保存固件某些信息
image
查看strings.out,很多关键信息 U-Boot,以及linux kernel等
image
查看hexdump数据,初步查看未发现太多有趣信息
image
运行binwalk看能识别出那些内容
image
U-Boot,CRC32,uImage+LZMA, signature*2, uImage+LZMA + Squashfs filesystem
其中的Squashfs file,地址在D000,在hexdump中查看此地址内容为sqlz,像是squashfs+lzma的组合格式
image
类似的,也有其他squashfs filesystem在此处
image
这些都可以作为binwalk解析squashfs文件的特征值
image
或者结合使用firmware-mod-kit工具对此格式文件进行提取
