基于飞利浦TriMedia系列处理器的IP摄像机逆向分析(一)
mailto:[email protected]
原文链接:https://blog.quarkslab.com/reverse-engineering-a-philips-trimedia-cpu-based-ip-camera-part-1.html
简介
这个系列的文章共有三部分。在本篇也就是第一部分中,我将主要描述一个鲜为人知的多媒体处理器——TriMedia系列处理器。在2018欧洲黑帽大会上,来自quarkslab的安全研究员(也就是本博文的作者)已经出国一个speaking了,其实那个speaking是基于这个系列博文的。
第一部分是对该研究项目的介绍,为了发现设备攻击面,我们做了初步的探索。第二部分将更多地关注架构本身,第三部分将讨论TriMedia组件。我希望你喜欢这个系列博文。欢迎任何反馈,只需在ncriva [at] quarkslab.com上发一条或者在推特上发推@crackinglandia。
讲个故事,兄弟
几年前,一位同事弗朗西斯科·法尔肯和我在hack.lu和Ekoparty上做了关于黑客攻击IP摄像机的演讲。这是我与嵌入式世界的第一次接触。我们玩得很开心,从那一刻开始,IoT成为了一个非常有趣的话题。这样,每次我拿到一些设备,我都必须拆开它并研究它。
几个月前,我买了一台D-Link网络摄像机,特别是DCS-5300。它是终端用户的IP摄像机,主要供家庭用户观看他们家中正在发生的事情或在他们不在的时候工作。这是一款旧的IP摄像机,但从硬件角度来看它有一些非常有趣的东西。
通常,或者至少从我多年来看到的情况来看,IP摄像机内部都有ARM或MIPS架构的CPU,但这不是这种情况。这个型号以及DCS-5xxx系列的其他型号都有一个TriMedia CPU,一个非常老的CPU。为什么这很有趣?就个人而言,这对我来说是一个新的架构,这很棒,因为我可以学习新的东西。但是,关于TriMedia CPU的文档很少。从我在这项研究中看到的,没有人有关于它的文档,没有人被允许谈论它,没有人愿意分享任何关于它的东西,一切似乎有点“可怕”和“模糊”TriMedia CPU。为什么?好吧,我真的不知道。我敢打赌,因为它是最初来自飞利浦的专有CPU,可能是NDAs的问题。
在这篇文章中,我们将讨论我固件分析时使用的第一种方法,然后我们将看到对相机中使用的软件和硬件的一些分析,然后,我们将对介绍这台相机中使用的特殊架构的CPU。
固件分析
当我开始分析新设备时,我要做的第一件事就是从供应商的网站获取固件。最新版本的固件是A3 1.06(2009),但我决定分析以前的版本v1.05,因为它是我在相机上安装的版本。
我在固件镜像文件上运行了binwalk,得到了以下结果:
正如您在输出中看到的那样,binwalk只能识别一些HTML,XML和GIF文件。还有一些似乎是某些Base64索引表的证书,但没有任何引导程序,内核或文件系统的迹象。通常,引导加载程序和内核映像往往位于固件映像文件的开头,但事实并非如此。
Binwalk还发现了一个名为“Digi International固件”的东西,但我们稍后会看到这只是误报。
对于那些没有注意到的人,binwalk能够识别从偏移量0xEEEC3开始的一些文件,其余的呢?我假设文件开头的二进制blob是加密/压缩的,或两者兼而有之,所以我决定使用binwalk(“-E”和“-B -E”选项)进行熵分析:
- 仅限熵分析
- 熵加签名分析