逆向工程物联网固件解析part 2

现在我们已经将所有段加载到适当的地址，我们可以开始逆向工程了。

但为了高效地做到这一点，我们需要更多地了解 Xtensa 架构，包括：

1.指令中的参数顺序

2.条件跳转的执行细节

3.编译器调用约定

4.堆栈组织

首先要探索的是指令中的参数顺序。例如：MOV R1, R2. 您可以在所有架构中找到此类指令，但这可能意味着将 R1 复制到 R2 或将 R2 复制到 R1。因此，了解指令中源代码的位置以及目标寄存器的位置至关重要。您可以在 GitHub 上找到Xtensa 指令集描述。

至于该MOV指令，在Xtensa中，表示将R2复制到R1。因此，第一个参数将是大多数简单指令（例如数学相关指令）中的目的地。例如，指令addi a14, a1, 0x38意味着 a14 = a1 + 0x38。

但对于存储数据的指令，情况则相反。例如，该指令s32i.n a5, a1, 0x10意味着 的值a5必须存储在地址 处(a1 + 0x10)。

要学习的第二件事是条件跳转的完成方式。有两种方法可以做到这一点：

1.使用专用指令进行比较操作，设置标志寄存器，然后进行条件跳转。

2.使用一条指令一次性执行所有这些操作。

Xtensa 执行后者：beqz a10, loc_400E1C54

使用单个指令来检查是否a10等于零，然后它要么跳转到loc_400E1C54，要么不跳转。

第三步是检查编译器使用的调用约定：将参数传递给函数的方式以及如何返回值。

Xtensa 以一种非常不寻常的方式传递参数。参数在调用指令之前放入寄存器中。但它们在函数中出现的寄存器与调用之前所在的寄存器不同：

以下是如何在汇编程序级别将参数传递给函数的示例：

这里我们有三个论据：

a10 是目的地址

a11 是源地址

a12 是要复印的尺寸

然而，一旦代码进入memcpy函数，这些值就会自动分别传输到a2、a3和a4寄存器中。

同样的技巧也用于返回值。在memcpy函数内部，该值存储在寄存器中a2，但从函数返回后，该值出现在a10.

返回的样子如下0：

这就是检查返回值的样子：

benz.na10在从调用返回时检查寄存器的值。

最后，有必要了解堆栈是如何组织的。

Xtensa 使用 a1 寄存器来创建堆栈帧。每个函数都以入口指令开始：entry a1,0xC0，其中0xC0是堆栈帧的大小，即函数需要用于堆栈变量的堆栈量。

通常，这些函数从初始化堆栈变量开始：

寄存器中的零值a5被写入基于a1寄存器的堆栈变量中。

在获得有关 Xtensa 架构的所有必要知识后，我们终于可以开始逆向其代码了。

与 ARM、MIPS 和 PowerPC 相比，Xtensa 不是最流行的架构，并且没有完整的功能列表。因此，IDA处理器模块会存在一些我们需要克服的限制。

IDA 中 Xtensa 处理器模块的主要限制是：

函数参数没有自动注释

堆栈帧不会自动创建

一些 ESP32 函数属于 IROM，因此存在对硬编码地址的调用

部分Xtensa指令未反汇编

让我们讨论一些克服这些挑战的技巧。

5.1. 函数参数的类型系统和注释

从 IDA 7.7 开始提供 Xtensa类型系统。在 IDA 中拥有可用的类型系统非常重要，因为它使逆向变得方便。特别是，它允许您导入 C 结构的定义并指定 IDA 使用的函数原型，以便在传输函数参数的指令附近放置自动注释。

但是，如果您没有类型系统，还有一个解决方法。

首先，让我们看看有类型系统时函数是什么样子的：

屏幕截图 13. 当有可用的类型系统时函数的外观

函数原型设置有参数的名称和类型，以便 IDA 可以使用此信息在调用站点注释参数：

屏幕截图 14. 函数原型

但 Xtensa 不会有这样的事情。另一种方法是使用 IDA 中的可重复注释功能。如果您在函数的开头设置可重复的注释，它将显示在所有调用站点上。

屏幕截图 15. 设置可重复注释

屏幕截图 16. 可重复的注释显示在所有调用站点上

因此，我们可以使用此功能来定义函数参数：

屏幕截图 17. 使用可重复注释功能定义函数参数

调用站点将如下所示：

屏幕截图 18. 调用站点

您可以在注释中选择寄存器名称，IDA 会在代码中突出显示它。因此，您可以轻松找到参数值。

5.2. 恢复堆栈帧

要恢复堆栈帧，您需要手动指定堆栈大小，然后通过在每个与堆栈一起使用的指令处按K 键来显示 IDA 的使用位置。

让我们探索一下config_router_safe函数，例如：

屏幕截图 19. config_router_safe 函数

很明显这里的栈帧大小是 0xC0。我们在函数的堆栈设置中使用该值(Alt+P)：

屏幕截图 20. 使用 0xC0 值（堆栈帧大小）

从视觉上看，什么也不会发生，但是如果您通过按 Ctrl+K 转到该函数的堆栈帧，您会注意到堆栈空间现在已分配：

屏幕截图 21. 分配堆栈空间

接下来要做的是使用entry指令指定堆栈移位。在此之前，我们建议启用堆栈指针可视化，如下面的屏幕截图所示：

屏幕截图 22. 启用堆栈指针可视化

现在，代码应该如下所示：

屏幕截图 23.启用堆栈指针可视化后的代码

000是当前堆栈指针移位值，我们需要将其移位0xC0。为此，请将光标置于入口指令处，然后按Alt+K以查看以下窗口，您可以在其中指定新旧堆栈指针之间所需的差异：

屏幕截图 24. 将当前堆栈指针值移动 0xC0

作为此操作的结果，代码将如下所示：

屏幕截图 25. 移动当前堆栈指针移位值后的代码

现在，如果您开始在与寄存器一起使用的每条指令处按Ka1，IDA 将创建堆栈变量：

屏幕截图 26.IDA 创建新的堆栈变量

还可以编写 IDA 脚本来自动执行这些操作。

5.3. 调用 IROM

调用位于 CPU 的 IROM 部分而不是固件中的某些低级 API 的情况并不少见。在这种情况下，固件仅与包含定义的 IROM 函数地址的特殊链接器定义文件链接。

在逆向期间，IROM 函数调用如下所示：

屏幕截图 27. IROM 函数调用

40058E4C是 IROM 内的地址。但不可能知道固件调用了哪个函数。因此有必要检查 ESP32 工具链以查找链接器定义。

ESP32 芯片的 IDE 是Espressif IDE。在 IDE 文件中搜索 IROM 地址，我们会找到：C:\Espressif\frameworks\esp-idf-v4.4.2\components\esptool_py\esptool\flasher_stub\ld\rom_32.ld

屏幕截图 28. ESP32 ROM 地址表

这些值可以轻松转换为枚举数据类型：

屏幕截图 29. 将值转换为枚举数据类型

然后，我们需要导入 IDA，以便将 enum 应用于 IROM 地址值：

屏幕截图 30. 将枚举应用于 IROM 地址值

如果我们在 IROM 地址附近添加可重复的注释，它将使所有内容更容易阅读：

屏幕截图 31. 在 IROM 地址附近添加可重复注释后的代码

5.4. 无法识别的指令

经常发生的情况是，处理器模块已针对指令集的某些特定变体实现。然后制造商制造出具有 99% 兼容指令集的新 CPU，其中包含 10 多个新指令，这是最初没人想到的。因此IDA、Ghidra和Radare等工具可能无法反汇编一些新指令。

克服这一挑战的正确方法是扩展处理器模块并添加对新指令的支持。这需要对反汇编器 API 有深入的了解，而这些 API 并不那么容易理解。

让我们讨论一种可能的解决方法，用于解决以下情况：尽管存在一些无法识别的指令，但您只想让 IDA 创建函数。假设 IDA 不知道 RER 指令，并且在包含 RER 操作码的情况下无法创建该函数：

屏幕截图 32. 如果函数包含 RER 操作码，IDA 无法创建该函数

您可以按P多次。除了控制台窗口中出现错误外，不会发生任何事情：

屏幕截图 33. 控制台窗口中的错误

但是，这并不意味着 IDA 无法创建遵循 RER 指令的指令。您可以跳过 RER 指令的三个字节，然后创建代码：

屏幕截图 34. 跳过 RER 指令的三个字节后创建代码

接下来，您可以选择从输入到最后的整段代码retw.n，然后按P：

屏幕截图 35. 选择从 Entry 到 retw.n 的整段代码

之后，IDA 将创建该函数：

屏幕截图 36.IDA 创建一个函数

通常，反汇编程序无法识别的扩展指令在逆向过程中不会产生太大差异。可能导致问题的是执行调用、跳转或加载/存储等操作的新指令，因为代码流丢失并且对数据的引用丢失。

对于涉及逆向工程物联网固件的项目来说，在转向业务逻辑之前研究未知的硬件架构至关重要。尽管逆向工程师可能需要几周的时间来学习该架构，但从长远来看，这种深入的研究有助于提高进一步工作的速度。

参考及来源：https://www.apriorit.com/dev-blog/reverse-reverse-engineer-iot-firmware