c - ARM 逆向工程 ROM 转储

标签 c pointers arm reverse rom

我有旧的嵌入式系统,带有ARM cpu核心,我转储了ROM,用binwalk提取,并加载到IDA pro上。 我发现在一些例程中,BX不是用LR而是用通用寄存器(R2,R3等)在伪代码中变得像一些这样的“内存[0xCC1232](a3,v4)”它是例子。我认为这就像ARM编译器构建C指针函数一样。可能是吗? 无论如何,我的主要问题是,我怎样才能找到这个子例程(内存x..)只有ROM转储?因为地址是RAM地址,所以没有RAM转储,我不能找到这个子例程的引用吗?我想找到例程将值写入该特定地址,但这几乎是不可能的 谢谢

最佳答案

根据编译器设置和目标核心,不带 lr 的 bx 非常常见,如果不需要的话,因为 lr 的旧核心弹出(通常是 ldmia)无法在arm和thumb模式之间切换,因此编译器将生成 pop 到 like r3 然后 bx r3。

extern unsigned int more_fun ( void );
unsigned int fun ( void )
{
    return(more_fun()+1);
}

00000000 <fun>:
   0:   b510        push    {r4, lr}
   2:   f7ff fffe   bl  0 <more_fun>
   6:   3001        adds    r0, #1
   8:   bc10        pop {r4}
   a:   bc02        pop {r1}
   c:   4708        bx  r1
   e:   46c0        nop         ; (mov r8, r8)

vs

00000000 <fun>:
   0:   b508        push    {r3, lr}
   2:   f7ff fffe   bl  0 <more_fun>
   6:   3001        adds    r0, #1
   8:   bd08        pop {r3, pc}
   a:   bf00        nop

r4 与 r3 作为虚拟寄存器在这里并不重要;有趣的是,编译器这样做了,但它们只是用来使堆栈对齐,而不是保存寄存器。

这当然是拇指模式, ARM 模式:

00000000 <fun>:
   0:   e92d4010    push    {r4, lr}
   4:   ebfffffe    bl  0 <more_fun>
   8:   e8bd4010    pop {r4, lr}
   c:   e2800001    add r0, r0, #1
  10:   e12fff1e    bx  lr

您会期望看到 lr 与 bx lr 一起使用。

或者对于较新的版本,但 gcc 至少默认为拇指模式,并且您必须强制它生成如下所示的arm代码:

00000000 <fun>:
   0:   e92d4010    push    {r4, lr}
   4:   ebfffffe    bl  0 <more_fun>
   8:   e2800001    add r0, r0, #1
   c:   e8bd8010    pop {r4, pc}

就找到内存中的内容而言,您必须做更多的工作,但这可能是不可能的。如果这是一个嵌入式系统,并且所有内容都在非 volatile 存储器(闪存/ROM/等)中,那么在某些时候,如果代码位于 RAM 中,那么在分支之前,它会被复制或解压缩或以其他方式放入 RAM 中。另一方面,您可能已经反汇编了一些代码,这些代码能够调用 RAM 中的代码,但 RAM 中的代码可能来自下载,基本上是一些最终不在板/芯片上的外部源。就像引导加载程序具有通过 uart 下载程序然后分支到它的代码一样,并不意味着代码可以正常使用,并且肯定意味着您无法预测或知道该代码将是什么,更不用说找到它了并拆解它。

如果我下载到 0x20000000 并且以某种方式知道这是拇指代码而不是arm,则可以手动使用非 lr 的 bx 来启动此类代码,然后我需要以某种方式使用 1 来 orr 地址,然后 bx 到该地址,有时您可以使用寄存器来执行此操作,有时则不需要。

您还将看到链接器使用 bx 来修补远处的内容或更改模式:

unsigned int more_fun ( void )
{
    return(3);
}

链接器为您添加蹦床:

00000000 <fun>:
   0:   e92d4010    push    {r4, lr}
   4:   eb000003    bl  18 <__more_fun_from_arm>
   8:   e8bd4010    pop {r4, lr}
   c:   e2800001    add r0, r0, #1
  10:   e12fff1e    bx  lr

00000014 <more_fun>:
  14:   2003        movs    r0, #3
  16:   4770        bx  lr

00000018 <__more_fun_from_arm>:
  18:   e59fc000    ldr r12, [pc]   ; 20 <__more_fun_from_arm+0x8>
  1c:   e12fff1c    bx  r12
  20:   00000015    andeq   r0, r0, r5, lsl r0
  24:   00000000    andeq   r0, r0, r0

本例中使用了 r12。

关于c - ARM 逆向工程 ROM 转储,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54575691/

上一篇:c++ Allegro 5 - 内存泄漏(valgrind)

下一篇:c - 如何将另一个模块中的变量发送到函数?

相关文章:

C GTK通过ESC关闭后无法再次打开Dialog

c++ - C++ 中的取消引用运算符

jvm - Cortex M3 的嵌入式 Java VM

c++ - 嵌入式 C++11 代码——我需要 volatile 吗?

c - 指向c中变量的低字节地址

c - Truestudio atollic(基于 eclipse 的 IDE)创建空的二进制文件,尽管没有空的 elf 文件和大量代码

c - 为数组分配一个随机值

c - C中 union 的初始化

c - 批量更新产品

c - C 指针上的位移位?

©2024 IT工具网  联系我们