Пошив на заказ. Реверсим прошивку на примере роутера D-Link

У это­го роуте­ра 8 Мбайт флеш‑памяти и 64 Мбайт — опе­ратив­ной. Работа­ет он на чипе MediaTek MT7620A. Этот камень осно­ван на архи­тек­туре MIPS и под­держи­вает­ся ядром Linux. Заг­рузка сто­ковой про­шив­ки про­исхо­дит через U-Boot. Там есть встро­енный TFTP-кли­ент для вос­ста­нов­ления в слу­чае, если залил неудач­ную про­шив­ку. Глав­ное — не убить бут­лоадер, ина­че при­дет­ся паять.

На мой взгляд, отличная желез­ка для экспе­римен­тов. Один из минусов — у DIR-806A в ори­гиналь­ной ком­плек­тации нет USB. Одна­ко трас­сиров­ка USB при­сутс­тву­ет на пла­те, так что при дол­жном уров­не зна­ний и сно­ров­ки порт мож­но рас­паять самос­тоятель­но.

Мы же нач­нем с под­клю­чения к UART, так что не забудь запас­тись пре­обра­зова­телем уров­ней для UART. При под­клю­чении нуж­но не забыть «пок­рестить» RX и TX. То есть RX-линию под­клю­чаем к TX, а TX — к RX. Парамет­ры соеди­нения — 57600 8N1.

Итак, под­клю­чились к UART. Поп­робу­ем про­шить паци­ента, одновре­мен­но пог­лядывая в кон­соль. Вдруг там есть какие‑то стро­ки, которые помогут нам най­ти учас­тки кода, отве­чающие за про­цесс про­шив­ки?

Уда­ча! Роутер пишет в кон­соль сооб­щение о начале обновле­ния и ука­зыва­ет раз­дел, на который льет­ся про­шив­ка. При ревер­се будем искать стро­ки, а по стро­кам — мес­то в коде. Клас­сика! Поп­робу­ем поис­кать стро­ку start... в про­шив­ке:

Мы наш­ли ути­литу fw_updater. Поп­робу­ем ее запус­тить:

По­хоже, имен­но она накаты­вает новую про­шив­ку в раз­дел Linux.

Те­перь поп­робу­ем най­ти, отку­да fw_updater вызыва­ется в про­шив­ке:

Мы обна­ружи­ли, что fw_updater исполь­зует­ся в биб­лиоте­ке libdhal.so. Это очень любопыт­но. Поп­робу­ем взгля­нуть, что у нее внут­ри. Для ревер­са будем исполь­зовать Ghidra. Она поз­воля­ет пре­обра­зовать бинар­ный исполня­емый файл в код на С. Это очень удоб­но, и не при­дет­ся копать­ся в ассем­блер­ном лис­тинге.