Download presentation
Presentation is loading. Please wait.
1
24 or 1024? PWN Jawbone Up24 手环
3
硬件参数 CPU:Texas Instruments, MSP430/F5548 存储:Macronix, MX25L8006E
蓝牙:Bluetooth 4.0(BLE)
4
PWN: 目标1:修改蓝牙属性 目标2:增加功能 Generic Access的DeviceName Up24->GeekPwn
当添加时间为10:24的闹钟时,手环“闪屏+震动”
5
HID 读写rom 设置数据:闹钟等 手环记录数据
6
步骤: PWN Updater 去除rom校验 Patch->刷自制Rom Rom解密 PWN Rom 逆向 增加功能 编译
7
破解Updater Rom校验
8
破解Updater
9
破解Updater 去除版本校验
10
破解Updater 去除刷机次数限制
11
破解Updater 刷自定义ROM
12
Rom解密 UpUpdater.Firmware.latestPottier.mxu RC4 Zlib.compress(有坑) tar
13
Rom解密 Trick:影响rom回编
14
Rom破解 阻碍: 解决方法: App DRM保护,破解蓝牙通信协议困难 Msp430指令集 无法调试,全静态 快速学习+试错
IDA静态分析 有少量的调试字符串信息可供参考 先全览全局,再单点突破
15
Rom破解 Hex Text:烧录Rom格式 V7-BSL-3.0.1.txt: Boot Strap Loader
NB_EndUserV7_ti.txt: Application
16
修改DeviceName
17
增加10:24功能 解析蓝牙通信数据协议 找到闹钟数据读写代码 Inline hook: 劫持+闪屏+振动
18
解析蓝牙通信数据协议 多次抓包,比较异同 0x02: 闹钟重复周期 0x0270: 闹钟结束时间 0x025c: 闹钟开始时间
19
ROM逆向 16位,64k寻址 27条内核指令 16个寄存器 中断: 时钟 LED 震动 蓝牙 …
20
Rom逆向 中断分支逻辑
21
闹钟读写代码
22
闹钟读写代码
23
闹钟读写代码 1 2 3
24
Rom编译 Tar Compress(Trick) rc4
25
PWN! 破解Updater:2周 解密Rom+编译器:3周 逆向Rom+增加功能:3周 GeekPwn
26
Contact
Similar presentations