снятие прошивки в обход lock bit

[radiokot__]

Допустим производитель знает как это делается.
Но нам они наверное не скажут.
Думаю есть команды через которые можно залезть в кристалл.
Наподобие как в сотиках инженерные команды, через которые например снимается блокировка телефона.
Или какоето условие при котором кристалл открывается, например подать минус на (хитрую) ногу.

[kama3er]

Ну не ужели у вас никогда не было слета прошивки , у меня таких случаев было полно, вот и ща девайсина валяется слетела прошива, но основную свою функцию она выполняет...
Вот и затаилась мысля прошива слетает, а фузики не летают , а лок биты не летают, а если летают... Как столкнуть их в пропасть.
Как заклинивается проц.... Как загнать его в вечный цикл... Как вывести из цыкла..
Обдумываю все варианты. Повторюсь без деструкции.

[radiokot__]

Я специально не задавался целю обойти защиту, но думаю варианты есть.
Только для этого видимо придётся много времени и нервов потратить.

[BCluster]

Что значит прошивка слетела, но функции выполняет?
Если это все и возможно, то не с вашими знаниями, ув. автор
Впрочем как и не с моими.

[kama3er]

Я не гуру программирования но все же кое-что могу.
А на счет слета прошивка значит. девайс не моей разработки, стоит на работе, сервис мены пожелали узнать больше... на предмет работоспособности.
Все устройства на плате рабочие живые. mega 8535 что то измеряет что то регулирует но совсем не по алгоритму. Аналогичная mega с другой платы и с их прошивкой на этой же плате отрабатывает нормально.... Контактные соединения и тд и тп проверены не однократно.

[HHIMERA]

Все устройства на плате рабочие живые. mega 8535 что то измеряет что то регулирует но совсем не по алгоритму. Аналогичная mega с другой платы и с их прошивкой на этой же плате отрабатывает нормально.... Контактные соединения и тд и тп проверены не однократно.

А нефиг им было в ответственных приложениях Меги юзать... особенно... если готовить их толком не умеют...

[Flasher]

Ну, собственно, разницы особой нет что именно юзать, если делать правильно. Вот у меня тут в починке девайс был на тини 2313 с конденсаторным БП, релюшкой и ds1307. Так там КЗ в нагрузке было, провод 1 мм2 испарился, контакты реле вывернуло, а все остальное работает. Только вот засада- решил обновить прошивку, не отвечает. Выпаял тиньку, повесил на параллельный программатор- все равно не отвечает, а программа внутри трудится...

[kama3er]

C тинькой сложнее..
Мы удаляемся от темы.
Прошу мудрые мысли излагать.
Будем пробовать

[HHIMERA]

Прошу мудрые мысли излагать.

Перекреститься, сплюнуть трижды через левое плечо, прочитать "Отче наш", произнести "Куда ночь, туда и сон"... и забить на весь этот бред... наглухо забить...
И заняться чем-то полезным "для души и тела"...

[brutal]

Да про lock bit я знаю, но они нас интересую второстепенно.
Главное начать процесс.
Тоесть принял байты программы сложил их...ГДЕ? Там где под них выделил место разработчик.
Перезапустить проц, что бы потом можно было с этих принятых стартануть.
А они принятые байты (программа) передает по адресно весь SRAM и EEPROM/

в теории метод хорош. но только в теории! ибо такие фокусы должна поддерживать считываемая прошивка.
в реальности такое малоперспективно...

[radiokot__]

Производитель так и думает что народ будет пытатся программно взломать защиту (моё мнение).
На этом видимо нельзя зацикливатся.
Нужно рассмотреть и апаратную сторону, (как я уже писал) наподобие подать (определить куда) какое нибудь напряжение.
Например или минус или плюс 12 вольт.
Ну может и просто 5 вольт туда куда надо (может и кагда надо).

[КРАМ]

А зачем производителю такая дыра в безопасности? Смысл какой?
Автор прошивки и так знает код, а остальным его знать и не положено...
Вы перечитали на ночь шпионских детективов.
Максимум что можно сделать - вскрыть корпус органическими травителями и с помощью маски стереть лок-биты. Однако это возможно только в том случае, если эти биты могут быть локализованы, что далеко не всегда так.
На практике затраты на подобные мероприятия превышают стоимость создания прошивки.
ЗЫ. У Техас инструментс в TMS320 если случайно забыть пароль доступа к секьюрити сегментам памяти, то можно чип вообще выбрасывать. Залоченный флеш вообще не будет доступен никогда.

[brutal]

ЗЫ. У Техас инструментс в TMS320 если случайно забыть пароль доступа к секьюрити сегментам памяти, то можно чип вообще выбрасывать. Залоченный флеш вообще не будет доступен никогда.

Это какая линейка? С54 или уже С6000 ?

[КРАМ]

Пикколо

[Satyr]

Максимум что можно сделать - вскрыть корпус органическими травителями и с помощью маски стереть лок-биты. Однако это возможно только в том случае, если эти биты могут быть локализованы, что далеко не всегда так.
На практике затраты на подобные мероприятия превышают стоимость создания прошивки.

На практике с более мелким тех процессом цена такой операции растет по экспоненте
Более менее адекватных денег (т.е. n*10000$) это только для восьмибиток не сильно модерновых техпроцессов.
Скажем, даже для Atmega8 и Atmega8A уже может во многие разы отличаться.
Для АРМов это уже будут сканирующие тунельные микроскопы и мильоны баксов.

Прямой промышленный шпионаж уже дешевле -))

[Satyr]

Интересующимся к прочтению
http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-630.pdf

Только обратите внимание на дату сего документа и еще более далекие даты того, что там рассматривается. Суммы операций на вещи более современные смело на порядок увеличивайте

[Chiper]

Интересно как им удалось спилить корпус до кристалла и при этом не повредить проводки ???

ну тут по фоткам прекрасно видно, что удаление было химическим, а проводники с позолотой. Вполне возможчно что просто капнули кислоты и протравили таким образом пластик.

[поправка] Да, я оказался прав. Вот цитата из сайта лаборатории, в которую чувак отдал PICи для "спиливания крыши"

Attack on PIC12C508A

Firstly we have to depackage the chip. It could be done in two ways: dissolving everything around the chip or removing plastic only above the silicon die. The last one is more intelligent but requires some level of knowledge and experience, while the first way will force you to bond the chip on a test package and it is not possible to carry out it without having access to a bonding station.

So the only convenient way for us is to remove plastic above the chip die. It is possible to do this using fuming nitric acid which dissolves epoxy plastic (material of the package) without affecting the chip and bonding wires. Exhausted acid should be removed by an acetone followed by cleaning the sample in an ultrasonic bath, wash in water to remove remain salts and drying. If you do not have an ultrasonic bath you can skip this operation. In this case the chip surface will remain slightly dirty but it still be transparent to UV light. Meanwhile the ultrasonic bath could be easily built using simple frequency generator connected to ferrite antenna coil and appropriate metal dish for bath.

На самом деле очень интересная статья, даже стимул к изучению нанотехнологий появился ))) Теперь понятно зачем у меня на кафедре стоят мощные микроскопы и наноскопы

[coredumped]

Метод переполнения буфера здесь не поможет. Даже если программист посадил такую багу, использовать ее, скорее всего, не выйдет. Техника использования подобных уязвимостей следующая - нужно в передаваемый блок данных поместить пограмму, которая будет выполняться, затем забить сообщение адресом возврата на эту программу, в надежде, что стек разрушится, и при следующем вызове инструкции возврата, переход произойдет не в основную программу, а в наш хакерский код.
Чтоб реализовать подобную технику, нужно иметь исходники программы, либо биться вслепую в поисках волшебного адреса, где размещается буфер, чтоб вычислить адрес возврата, что соизмеримо по усилиям с написанием десятка взламываемых программ. Даже если мы вычислим желаемый адрес, все равно во многих контроллерах невозможно выполнить переход в адресное пространство данных, а область флеш у нас защищена битами защиты. Получается замкнутый круг, который делает использование данной уязвимости невозможной. Из опыта скажу, что гораздо проще написать свою программу для МК, чем пытаться спи скопировать чужую. Смысл биться есть только если речь о воровстве секретных ключей систем криптозащиты итп., те о том что никак не "раскрутить" с помощью обычного анализа логики работы.
Так что расслабьтесь и забейте на идее взлома, а приложите усилия к написанию своего кода.

[kama3er]

Нда в свете полученной инфы и бесперспективности использования программного взлома...
Тему прошу считать закрытой , до появления новых объективных данных по теме...

[Pэтт]

Здравствуйте все!
Это мой первый пост на данном форуме, но я далеко не новичок, имею опыт.
Это я все к тому чтоб сразу не отбрасывали то, что я далее предложу.

Итак пик, залочен, желаем прочесть... путь...

Приведу некоторый аналог...
Моторола 68hc11ea9 блок иммобилайзера очень многих ранних моделей БМВ.
Естественно, запись новых или потерянных ключей, чтение ром для поиска
"дыр" софта..... интерес огромный...
Система зашиты тут выстроена так- подачей внешних нужных питаний на ноги проца,
переводим его в программ моде. в нем проц стартует не с начала ром, а с области, которую
называют sys rom. Там простенькая подпрограмма, которая проверяет лок бит и если он стоит,
то erase all eeprom. Значит все ключи и кодировка машины потеряна.....

Но, в массовом производстве сис ром масочный!!!!! а лок бит - флэшивый!!!!
что это дало...стартуем проц с питанием 1,6 вольта.... если не стартует, чуть повышаем.. максим до 1,72в. В этих интервалах все процы стартуют... проверено немеряно раз.
при любой величине вольт масочный ром(с пережигаемыми или при производстве монтируемыми перемычками)
всегда дает 0-ли и 1-цы, тем самым проц исполняет подпрограмм из сис ром верно .... а вот флэш при
заниженном питании дает только 1 !!!!!.
значит лок бит заносится в регистры проца как 1....
далее плавно повышаем питание до 5 вольт и проц твой.....

Теперь о пик. тут тоже есть сис ром. системный ром.... никуда от этого не деться.....
иначе работа пика в режиме программ моде невозможна!. Это никто не оспорит....
Для примера я мог бы привести дампы сис ромов неторых процессоров...нек, моторола, SG Tomson,
техас инструмент....

Никто не оспорит, что при входе в программ моде управление передается в сис ром...
и далее есть варианты.... которые нужно экспериментально проверять...
1 - сис ром масочный
2.- сис ром флэшивый.

второй вариант сложнее. но...

опять отступление.....

многие закрытые процы программно имеют доступ к кое каким возможностям, если
в еепроме нужным образом выставлены биты.....
SG TOMSON ST19 был вскрыт с помошью глитча. это отрицательный импульс по питаю, весьма короткий по времени, что сенсоры
проца не смогли его обнаружить и сделать сброс.

смысл был такой. при передаче управления на вирус, который предварительно был загружен в
рам, срабатывала защита masm, которая выявляла, что проц стал работать с кодами, которые вне
ром.( файервол). сработка защиты вызывала nmi прерывание в кольцо, из которого выход только ресет.
но вызов инт - это прямая загрузка в регисты адреса вектора прерывания...
в проце много прерываний и в таблице они рядом. там везде стоит джамр на свой обработчик.
глитчем бьем по той команде, в надежде на сбой, в надежде, что к примеру в результате сбоя
в проц загрузиться команда типа хор с таким то адр.....но главное то, что не происходит прыжок в
обработчик, а проц идет далее, а там инт по тимеру. он выполняется и ПЕРЕДАЧА УПРАВЛЕНИЯ ПО
ВЫХОДУ ИЗ ИНТ ПРОИСХОД ОПЯТЬ В ВИРУС!!!!/
Почти все мерседесы имеют ик кючи заажигания на нек uPD789146. В зависимости от состояния
бит в еепроме он может быть новым, рабочим или "поломанном"
Задача или повредить биты в еепром или в регистре проца, чтоб сделать ключ новым или перешить...
опять элементарный глитч. програматоры или глитчеры ключей нек все работают так.....

примеров много... вернемся к пик...

переводим его в программ моде... далее нужно выдержить 5 мс (в разных пиках чуть розняться
задержки) Что тут происходит?????? ну вы поняли - переключение на сис ром и чтение лока и
мониторинг линий clk и data.
могу допустить, что проверка лок может быть и после чтения команды, перед ее выполнеием...
но все это не важно....глитчить можно и до и после, пробовать надо.
Глитч это не 100% сразу... но программно можно и тысячу раз повторить глитч....
у нас ведь задача не мужа а любовника( мужу надо чтоб никогда жена не изменила, а нам хоть бы 1 раз).

Еще пару советов для пробы....
Пик переходит в программ моде подачей 12 вольт на mclr. Это для всех... аппаратно
пик переходит в програм моде при превышении линии mclr над Vdd на 2,5 вольта и выше.
при этом питание ядра и систем пика от этого напряжения не происходит.
питание пика может быть от земли и любой другой ногой, если к ней приложено 5 вольт.
каждая нога соединена диодами с + и с землей. чтоб потенциал ноги не выходил за пределы
земли и питания.
итак мы можем питать пик от трех источников питания.....
то что обычно земля - это источник питания от 0 до +5 вольт...регулируемый программно. им и делается глитч, но положительным импульсом.
ядро пика мы можем питать любым напряжением от 0 до 5 вольт.....

пробовать надо.
ПС Я пики не вскрывал, просто ни в одной разработке ценной ни одного блока в авто, ни одного
блока в промышленности, ни одной системы условного доступа на пиках нет и потребности не было.
кому не интересно это - китайцы вскрывают любой пик - цена от 50 до 300 баксов.

но китайцы вскрывают методом ультрафиолетового стирания лок бита и далее чтение обычным программером.

удачи.




На данном форуме есть ветка "снятие прошивки Pic в обход lock bit". я бы ее продолжил,
но почему то не имею доступа там писать..
Тему разблокировал.
Ваше сообщение перенес сюда.
aen