在 Ghidra 中分析裸机固件二进制文件

最新推荐文章于 2025-05-12 21:51:09 发布
最新推荐文章于 2025-05-12 21:51:09 发布
阅读量794 收藏 25
点赞数 28
CC 4.0 BY-SA版权
文章标签: 单片机 stm32 嵌入式硬件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_51205312/article/details/147542771

在本文中,我们将分析 Ghidra 中的 STM32 固件二进制文件。该固件适用于意法半导体的 STM32F103C 开发板。

该文件可以从此链接下载。

分析固件二进制文件通常与分析 PE 或 ELF 文件不同。PE(可移植可执行文件)是 Windows 上的标准可执行文件格式。.exe文件是底层的 PE。PE 文件格式适用于 32 位 Windows 系统。PE64 文件格式与 PE 类似,但适用于 64 位系统。

相应地,在 Linux 上,我们有 ELF(可执行和可链接格式)文件,其用途相同。这两种文件格式都具有明确的结构。它们都有一个文件头,描述了文件在执行时在内存中的存放方式。文件头中提供了代码段和数据段的地址。Ghidra 等反汇编程序会利用这些信息自动区分代码段和数据段,并将文件加载到正确的地址。

另一方面,扁平固件文件只是一个二进制 blob,一堆字节,没有文件头或描述文件布局的元数据。在检查此类文件时,分析师必须亲自将信息提供给 Ghidra。

初步分析

让我们继续在 Ghidra 中加载固件。由于它是一个原始二进制文件,Ghidra 不知道如何处理它。

在 Ghidra 中加载固件在 Ghidra 中加载固件

STM32F103 是一系列基于ARM Cortex-M3处理器的微控制器。Cortex-M3 是一款 32 位处理器。点击“语言选项”按钮,并将语言设置为“ARM-Cortex-32-little”。

指定语言和编译器规范指定语言和编译器规范

保留其他选项不变,我们现在可以继续加载文件并双击在反汇编程序中打开。

Ghidra 分析提示Ghidra 分析提示

Ghidra 将提示分析文件,我们点击“是”,保留默认分析选项。分析完成后,我们来看看反汇编的代码。

Ghidra 中未解析的地址以红色标记Ghidra 中未解析的地址以红色标记

我们注意到,有几个地址用红色文本标记。这些地址的形式为08000XXX。当文件中不存在指定的地址时,Ghidra 会将其标记为红色。双击该地址不会有任何结果。

FUN_000003e4类似地,让我们通过在符号树上单击任何函数(比如)来分析它的反汇编列表。

最低0.47元/天 解锁文章

200万优质内容无限畅学
Ghidra逆向工具之旅与二进制代码分析【2】
白马负金羁
10-30 1809
Ghidra是一种开源的逆向工具,它是由NSA的研究理事会为其网络安全任务开发的软件逆向工程(SRE)框架,它有助于分析恶意代码和病毒等恶意软件,并可以让网络安全专业人员更好地了解其网络和系统中的潜在漏洞。把Ghidra和Python脚本结合起来,会大大提高执行效率,从而发挥更加强大的功用
对智能手表进行逆向工程
zgz67611的博客
01-01 1183
目录: 初步观察PCB 的逆向工程引入 Ghidra重新编程智能手表 前段时间,我收到一批具备地理定位功能的智能手表,这些手表在试用期结束后被搁置。我决心为它们找到新的用途,于是开始了我的智能手表逆向工程之旅!在本文中,我将分享智能手表逆向工程的过程,首先展示一些关于手表外观和电路的初步观察,然后详细讲述如何重新编程智能手表,最后说明如何修补固件以实现其重新利用。这些手表以最基本的配置交付,包装内仅附有一页关于如何充电和使用的说明。每个盒子内包含一个充电器和一块手表。没有提供 README 文件、官方网站或
Ghidra踩坑记录
qq_36535153的博客
07-23 2537
Ghidra使用遇到的坑 因为看雪论坛上说用Ghidra 运行脚本后能识别出stm32固件库的宏定义等内容 所以我就试一下 看这个传说中的神器有啥特别的. 执行一个IDA脚本 提示参数不正确 引发java的异常 具体是这么报错的 Error running script: SVD-Loader.py java.lang.IllegalArgumentException: Cannot create PyString with non-byte value 用国内的搜索根本找不到相关的解决方法 加上用这个
ARM Cortex-M3内核详解
最新发布
2401_85409229的博客
05-12 1580
ARM Cortex - M3 内核是一款广泛应用于嵌入式系统的 32 位 RISC 处理器内核,以下是其简要介绍。它采用哈佛架构,具有独立的指令总线和数据总线,能同时进行指令和数据的访问,提高了数据处理效率。同时支持 Thumb - 2 指令集,它融合了 16 位 Thumb 指令和 32 位 ARM 指令的优点,既能保持代码的紧凑性,又能实现高效的处理性能。
二进制固件函数劫持术-DYNAMIC
Karka_的博客
08-01 134
***固件系统中的二进制文件依赖于特定的系统环境执行,针对固件的研究在没有足够的资金的支持下需要通过固件的模拟来执行二进制文件程序。依赖于特定硬件环境的固件无法完整模拟,需要hook掉其中依赖于硬件的函数。
学习笔记-Ghidra
人饭子的博客
11-02 2075
Ghidra 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 简介 Ghidra 是由美国国家安全局(NSA)研究部门开发的软件逆向工程(SRE)套件,用于支持网络安全任务。包括一套功能齐全的高端软件分析工具,使用户能够在各种平台 (Windows、Mac OS 和 Linux) 分析编译后的代码。功能包括反汇编,汇编,反编译,绘...
c32asm特别版2008:逆向工程的高效反编译工具
weixin_42527665的博客
05-04 1540
c32asm特别版2008是专注于Windows平台的汇编语言反编译工具。它具有强大的反编译功能,可以处理多种格式的可执行文件和动态链接库。本章将简要介绍c32asm特别版2008的诞生背景、主要特性以及它在安全分析和逆向工程领域的应用。
嵌入式系统-网络安全测试方法
qq_42697593的博客
05-24 2470
4、逆向工程工具:用于分析和修改嵌入式系统中的软件和固件,以便发现潜在的漏洞和安全问题。1、网络拓扑分析分析嵌入式系统的网络拓扑,确定系统中存在的所有网络设备、服务和通信路径。1、漏洞扫描工具:用于扫描嵌入式系统中的漏洞和弱点,例如开放端口、未经授权的访问等。7、报告和建议:编写详细的渗透测试报告,包括发现的漏洞、影响、风险评估以及建议的修复措施。这些工具和技术可以帮助渗透测试人员全面评估嵌入式系统的安全性,并发现潜在的漏洞和弱点,从而采取相应的措施加强系统的安全性。这将有助于确定潜在的攻击面和漏洞。
记录一次使用ghidra逆向分析斐讯K3官改固件web登录验证的经历
fjh1997的博客
03-05 2404
写在前面:逆向工程小白,仅供参考,如有错误,欢迎指正。 固件地址:https://www.right.com.cn/forum/thread-318971-1-1.html 备份:http://iytc.net/tools/k3c_v121_fs.bin 使用binwalk提取固件内的根文件系统: wget http://iytc.net/tools/k3c_v121_fs.bin binwalk -M -d -e k3c_v121_fs.bin #注意要加-M表示Recursively 递归提取,比较彻
Ghidra逆向分析工具使用与实战
热门推荐
Ba1_Ma0的博客
05-03 2万+
简介 Ghidra 是由美国国家安全局研究局创建和维护的软件逆向工程 (SRE) 框架 。该框架包括一套功能齐全的高端软件分析工具,使用户能够在包括 Windows、macOS 和 Linux 在内的各种平台上分析编译代码。功能包括反汇编、汇编、反编译、绘图和脚本,以及数百个其他功能。Ghidra 支持多种处理器指令集和可执行格式,并且可以在用户交互和自动化模式下运行。用户还可以使用 Java 或 Python 开发自己的 Ghidra 扩展组件和/或脚本。 下载地址: https://github.com
Ghidra-Switch-Loader:用于Ghidra的Nintendo Switch装载机
05-12
Ghidra开关式装载机 Ghidra的加载程序,支持多种Nintendo Switch文件格式。 建造 确保已将JAVA_HOME设置为JDK 11安装的路径。 将GHIDRA_INSTALL_DIR设置为您的Ghidra安装目录。 可以通过以下方式之一完成此操作: Windows :运行set GHIDRA_INSTALL_DIR=<Absolute> macos / Linux :运行export GHIDRA_INSTALL_DIR=<Absolute> 运行./gradlew时,使用-PGHIDRA_INSTALL_DIR=<Absolute> 将GHIDRA_INSTALL_DIR添加到Windows环境变量。 运行./gradlew 您
cpp-Ghidra是由美国国家安全局研究理事会创建和维护的软件逆向工程SRE框架
08-16
该框架包括一套功能齐全的高端软件分析工具,使用户能够在各种平台上分析编译代码,包括Windows,Mac OS和Linux。 功能包括反汇编,汇编,反编译,绘图和脚本,以及数百个其他功能。
ghidra-stm32:用于STM32 CPU(WIP)的Ghidra加载程序
05-26
ghidra-stm32 这是STM32F2系列微控制器的加载器 它能做什么 标签存储区 标记IVT和入口点(假定正常启动模式) 标签USB-OTG配置寄存器 安装 您可以通过发布页面上的zip安装loader,或者按照博客文章中的说明自行构建模块。 Eclipse建筑 在使用GhidraDev扩展配置Eclipse之后,可以在Eclipse中构建该项目。 用gradle构建 您只需要Java,gradle和ghidra即可进行构建。 在源目录中定位并发出gradle命令: gradle -PGHIDRA_INSTALL_DIR=/opt/ghidra_9.1.2_PUBLIC 您可以检查带有标准任务选项的gradle调用的任务: gradle tasks -PGHIDRA_INSTALL_DIR=/opt/ghidra_9.1.2_PUBLIC 注意:您还可以在gradle.
ghidraGhidra是一个软件逆向工程(SRE)框架
02-07
Ghidra软件逆向工程框架 Ghidra是由研究局创建和维护的软件逆向工程(SRE)框架。 该框架包括一套功能齐全的高端软件分析工具,使用户能够在包括Windows,macOS和Linux在内的各种平台上分析编译后的代码。 功能包括反汇编,汇编,反编译,制图和脚本编写,以及数百种其他功能。 Ghidra支持多种处理器指令集和可执行格式,并且可以在用户交互和自动模式下运行。 用户还可以使用Java或Python开发自己的Ghidra插件组件和/或脚本。 为了支持NSA的网络安全任务,构建Ghidra的目的是解决复杂的SRE工作中的扩展和团队合作问题,并提供可定制和可扩展的SRE研究平台。 NSA已将Ghidra SRE功能应用于各种问题,这些问题涉及分析恶意代码并为希望更好地了解网络和系统中潜在漏洞的SRE分析师提供深入的见解。 要开始开发扩展和脚本,请试用GhidraDev Ecli
SVD-Loader-Ghidra
05-09
用于Ghidra的SVD加载器 安装 只需将检出的Git存储库添加到您的Ghidra-Scripts搜索路径即可。 用法 可以在Ghidra的脚本管理器中的leveldown security文件夹中找到该脚本。 获取SVD 学分 cmsis-svd代码是Posborne的的,可移植到Ghidra的Jython上。 没有这个库,该脚本将不存在! 发牌 cmsis_svd/的代码已根据Apache许可证v2.0进行了许可,与“上游” 。 SVD-Loader本身已获得GPLv3许可。
【亲测免费】 推荐项目:SVD-Loader for Ghidra - 开启嵌入式逆向工程的新篇章
gitblog_00380的博客
09-03 958
推荐项目:SVD-Loader for Ghidra - 开启嵌入式逆向工程的新篇章 在当今的数字时代,硬件与软件的深度整合使得对微控制器的理解和分析变得至关重要。而Ghidra作为安全研究者和嵌入式开发者不可或缺的逆向工程工具箱,其强大的功能进一步拓展了通过【SVD-Loader for Ghidra】这一创新插件。本文将引领您深入探索这一宝藏般的开源项目,展现它如何成为处理System Vie...
ida反汇编java_反汇编逆向工具 ghidra_9.0 类似ida使用教程
weixin_34040270的博客
02-24 707
打开后提示输入jdk,准备好jdk 11版本的目录 粘贴进去输入就行了。image.png和ida不同,这个需要新建项目,然后导入文件,这里可以批量导入。导入成功之后双击so就可以打开image.pngcodebrower就是反汇编工具,image.png和ida一样输入;可以添加备注。可以选择c文件对应的方法image.pngimage.png你是怎么发音Ghidra的?啧啧,druh。G听起来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值