單片機(jī)解密(破解)方法和對策研究_第1頁
單片機(jī)解密(破解)方法和對策研究_第2頁
單片機(jī)解密(破解)方法和對策研究_第3頁
單片機(jī)解密(破解)方法和對策研究_第4頁
單片機(jī)解密(破解)方法和對策研究_第5頁
已閱讀5頁,還剩6頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、單片機(jī)解密的常用方法及應(yīng)對策略本文介紹了單片機(jī)內(nèi)部密碼破解的常用方法,重點(diǎn)說明了侵入型攻擊/物理攻擊 方法的詳細(xì)步驟,最后,從我們滬生電子解密經(jīng)歷出發(fā),提出了對付破解的幾點(diǎn) 建議,希望對國內(nèi)產(chǎn)品知識的保護(hù)作出貢獻(xiàn)。關(guān)鍵詞:單片機(jī)、mcu、ic、破解、解密;侵入型攻擊/物理攻擊;單片機(jī)解密; 單片機(jī)破解、防止單片機(jī)解密、防止單片機(jī)破解1引言單片機(jī)(mcu) 一般都冇內(nèi)部e epro m/ fl as h供用戶存放程序和 工作數(shù)據(jù)。為了防止未經(jīng)授權(quán)訪問或拷貝單片機(jī)的機(jī)內(nèi)程序,大部分單片機(jī)都帶 有加密鎖定位或者加密字節(jié),以保護(hù)片內(nèi)程序。如果在編程吋加密鎖定位被使能 (鎖定),就無法用普通編程器直接讀

2、取單片機(jī)內(nèi)的程序,這就是所謂單片機(jī)加 密或者說鎖定功能。事實(shí)上,這樣的保護(hù)措施很脆弱,很容易被破解。單片機(jī)攻 擊者借助專用設(shè)備或者自制設(shè)備,利用單片機(jī)芯片設(shè)計(jì)上的漏洞或軟件缺陷,通 過多種技術(shù)手段,就可以從芯片中提取關(guān)鍵信息,獲取單片機(jī)內(nèi)程序。因此,作 為電子產(chǎn)詁的設(shè)計(jì)工程師非常有必要了解當(dāng)前單片機(jī)攻擊的最新技術(shù),做到知己 知彼,心中冇數(shù),才能冇效防止自己花費(fèi)大量金錢和時間辛辛苦苦設(shè)計(jì)出來的產(chǎn) 品被人家一夜z間仿冒的事情發(fā)生。2單片機(jī)攻擊技術(shù)目前,攻擊單片機(jī)主要有四種技術(shù),分別是:(1 )軟件攻擊該技術(shù)通常使用處理器通信接口并利用協(xié)議、加密算法或這些算法屮的安全 漏洞來進(jìn)行攻擊。軟件攻擊取得成

3、功的一個典型事例是對早期a tme l at 8 9 c系列單片機(jī)的攻擊。攻擊者利用了該系列單片機(jī)擦除操作時序設(shè)計(jì)上的 漏洞,使用自編程序在擦除加密鎖定位后,停止下一步擦除片內(nèi)程序存儲器數(shù)據(jù) 的操作,從而使加過密的單片機(jī)變成沒加密的單片機(jī),然后利用編程器讀出片內(nèi) 程序。目前在其他加密方法的基礎(chǔ)上,可以研究出一些設(shè)備,配合一定的軟件,來做軟 件攻擊。近期國內(nèi)出現(xiàn)了 了一種51單片機(jī)解密設(shè)備(成都一位高手搞出來的),這種解密 器主要針對syncmos. winbond,在生產(chǎn)工藝上的漏洞,利用某些編程器定位插 字節(jié),通過一定的方法查找芯片屮是否有連續(xù)空位,也就是說查找芯片屮連續(xù)的 ff ff字節(jié),

4、插入的字節(jié)能夠執(zhí)行把片內(nèi)的程序送到片外的指令,然后用解密的 設(shè)備進(jìn)行截獲,這樣芯片內(nèi)部的程序就被解密完成了。(2 )電子探測攻擊該技術(shù)通常以高時間分辨率來監(jiān)控處理器在正常操作時所冇電源和接口連 接的模擬特性,并通過監(jiān)控它的電磁輻射特性來實(shí)施攻擊。因?yàn)閱纹瑱C(jī)是一個活 動的電子器件,當(dāng)它執(zhí)行不同的指令時,對應(yīng)的電源功率消耗也相應(yīng)變化。這樣 通過使用特殊的電子測量儀器和數(shù)學(xué)統(tǒng)計(jì)方法分析和檢測這些變化,即可獲取m 片機(jī)中的特定關(guān)鍵信息。目前rf編程器可以直接讀出老的型號的加密mcu屮的程序,就是采用這個原理。(示波器探頭)(探測到的波形)(3)過錯產(chǎn)生技術(shù)該技術(shù)使用異常工作條件來使處理器出錯,然后捉供

5、額外的訪問來進(jìn)行攻 擊。使用最廣泛的過錯產(chǎn)生攻擊手段包描電壓沖擊和時鐘沖擊。低電壓和高電壓 攻擊可用來禁止保護(hù)電路工作或強(qiáng)制處理器執(zhí)行錯誤操作。吋鐘瞬態(tài)跳變也許會 復(fù)位保護(hù)屯路而不會破壞受保護(hù)信息。電源和時鐘瞬態(tài)跳變可以在某些處理器中 影響單條指令的解碼和執(zhí)行。(4 )探針技術(shù)該技術(shù)是直接暴霜芯片內(nèi)部連線,然后觀察、操控、干擾單片機(jī)以達(dá)到攻擊 目的。為了方便起見,人們將以上四種攻擊技術(shù)分成兩類,一類是侵入型攻擊(物 理攻擊),這類攻擊需要破壞封裝,然后借助半導(dǎo)體測試設(shè)備、顯微鏡和微定位 器,在專門的實(shí)驗(yàn)室花上幾小吋甚至幾周吋間才能完成。所冇的微探針技術(shù)都屬 于侵入型攻擊。另外三種方法屈于非侵入

6、型攻擊,被攻擊的單片機(jī)不會被物理損 壞。在某些場合非侵入型攻擊是特別危險(xiǎn)的,這是因?yàn)榉乔秩胄凸羲柙O(shè)備通 常可以自制和升級,因此非常廉價(jià)。大部分非侵入型攻擊需要攻擊者具備良好的處理器知識和軟件知識。與之相 反,侵入型的探針攻擊則不需耍太多的初始知識,而且通??捎靡徽紫嗨频募?術(shù)對付寬范圍的產(chǎn)品。因此,對單片機(jī)的攻擊往往從侵入型的反向工程開始,積 累的經(jīng)驗(yàn)有助于開發(fā)更加廉價(jià)和快速的非侵入型攻擊技術(shù)。3 侵入型攻擊的一般過程侵入型攻擊的第一步是揭去芯片封裝(簡稱“開蓋”有時候稱“開封”,英 文為“decap” , decapsulation)。有兩種方法可以達(dá)到這一目的:第一種是完 全溶解掉芯

7、片封裝,暴露金屬連線。第二種是只移掉硅核上面的塑料封裝。第一 種方法需耍將芯片綁定到測試夾具上,借助綁定臺來操作。第二種方法除了需耍 具備攻擊者一定的知識和必要的技能外,還需要個人的智慧和耐心,但操作起來 相對比較方便,完全家庭小操作。片蓋后 的芯片ww. husoon. com(p1c12c508a部分開蓋)(em78p567部分開蓋,這個是手工開的)(完全溶解掉芯片封裝)芯片上面的塑料可以用小刀揭開,芯片周圍的環(huán)氧樹脂可以用濃硝酸腐蝕 掉。熱的濃硝酸會溶解掉芯片封裝而不會影響芯片及連線。該過程一般在非常干 燥的條件下進(jìn)行,因?yàn)樗拇嬖诳赡軙治g己暴露的鋁線連接(這就可能造成 解密失?。=?/p>

8、著在超聲池里先用丙酗清洗該芯片以除去殘余硝酸,并浸泡。最后一步是尋找保護(hù)熔絲的位置并將保護(hù)熔絲暴露在紫外光下。一般用一臺放大 倍數(shù)至少i0 0倍的顯微鏡,從編程電壓輸入腳的連線跟蹤進(jìn)去,來尋找保護(hù)熔 絲。若沒有顯微鏡,則采用將芯片的不同部分暴霜到紫外光下并觀察結(jié)果的方式 進(jìn)行簡單的搜索。操作時應(yīng)用不透明的紙片覆蓋芯片以保護(hù)程序存儲器不被紫外 光擦除。將保護(hù)熔絲暴需在紫外光下51 0分鐘就能破壞掉保護(hù)位的保護(hù)作 用,之后,使用簡單的編程器就可直接讀出程序存儲器的內(nèi)容。對于使用了防護(hù)層來保護(hù)e e prom單元的單片機(jī)來說,使用紫外光復(fù)位 保護(hù)電路是不可行的。對于這種類型的單片機(jī),一般使用微探針技

9、術(shù)來讀取存儲 器內(nèi)容。在芯片封裝打開后,將芯片置于顯微鏡下就能夠很容易的找到從存儲器 連到電路其它部分的數(shù)據(jù)總線。由于某種原因,芯片鎖定位在編程模式下并不鎖 定對存儲器的訪問。利用這-缺陷將探針放在數(shù)據(jù)線的上面就能讀到所有想要的 數(shù)據(jù)。在編程模式下,重啟讀過程并連接探針到另外的數(shù)據(jù)線上就可以讀出程序 和數(shù)據(jù)存儲器中的所有信息。還有一種可能的攻擊手段是借助顯微鏡和激光切割機(jī)等設(shè)備來尋找保護(hù)熔 絲,從而尋查和這部分電路相聯(lián)系的所冇信號線。由于設(shè)計(jì)冇缺陷,因此,只要 切斷從保護(hù)熔絲到其它電路的某一根信號線(或切割掉整個加密電路)或連接 13根金線(通常稱fib: focused ion beam),

10、就能禁止整個保護(hù)功能,這樣, 使用簡單的編程器就能直接讀出程序存儲器的內(nèi)容。200 pm(上圖為電路修改示意框圖)i na |th ii wflq'50x i2 71g15 41 15(上圖為fib及flip chip fib分析)(上圖為ptc12c508a切割掉加密融絲后放犬1000x后的圖片)大旳驚的圖片.送個單片機(jī)這樣可漢直接飲 出內(nèi)薦的厘序 時叭hu$gn. co»)雖然大多數(shù)普通單片機(jī)都具有熔絲燒斷保護(hù)單片機(jī)內(nèi)代碼的功能,但由于通 用低檔的單片機(jī)并非定位于制作安全類產(chǎn)品,因此,它們往往沒有提供有針對性 的防范措施冃安全級別較低。加上單片機(jī)應(yīng)用場合廣泛,銷售量大,廠

11、商間委托 加工與技術(shù)轉(zhuǎn)讓頻繁,大量技術(shù)資料外瀉,使得利用該類芯片的設(shè)計(jì)漏洞和廠商 的測試接口,并通過修改熔絲保護(hù)位等侵入型攻擊或非侵入型攻擊手段來讀取單 片機(jī)的內(nèi)部程序變得比較容易。4應(yīng)對單片機(jī)破解的幾點(diǎn)建議任何一款單片機(jī)從理論上講,攻擊者均可利用足夠的投資和時間使用以上方 法來攻破。所以,在用單片機(jī)做加密認(rèn)證或設(shè)計(jì)系統(tǒng)時,應(yīng)盡量加大攻擊者的攻 擊成木和所耗費(fèi)的吋間。這是系統(tǒng)設(shè)計(jì)者應(yīng)該始終牢記的基木原則。除此之外, 還應(yīng)注意以下幾點(diǎn):(1)在選定加密芯片前,要充分調(diào)研,了解單片機(jī)破解技術(shù)的新進(jìn)展,包 括哪些單片機(jī)是已經(jīng)確認(rèn)可以破解的。盡量不選用已可破解或同系列、同型號的 芯片選擇采用新工藝、新

12、結(jié)構(gòu)、上市吋間較短的單片機(jī),如可以使用 atmega88/atmega88v,這種國內(nèi)目前破解的費(fèi)用一需要6k左右,另夕卜目前相對難解密的有 p1c12f683, p1c16f690, p1c16f913, 16f54, 16f57, p1c16f628, at89s54等;其他也可以和cpld結(jié)合加密,這樣解密費(fèi)用很高,解密一般的cpld 也要1萬左右。(2)盡量不要選用mc s 5 1系列單片機(jī),因?yàn)樵搯纹瑱C(jī)在國內(nèi)的普及程 度最高,被研究得也最透。(3)產(chǎn)品的原創(chuàng)者,一般具有產(chǎn)量大的特點(diǎn),所以可選用比較生僻、偏冷 門的單片機(jī)來加大仿冒者采購的難度,選用一些生僻的單片機(jī),比如 attiny2

13、313, at89c51rd2, at89c51rc2, motorola 單片機(jī)等比較難解密的芯片, 目前國內(nèi)會開發(fā)使用熟悉motorola單片機(jī)的人很少,所以破解的費(fèi)用也相當(dāng)高, 從30003萬左右。(4)在設(shè)計(jì)成本許可的條件下,應(yīng)選用具有駛件自毀功能的智能卡芯片, 以有效對付物理攻擊;另外程序設(shè)計(jì)的時候,加入時間到計(jì)時功能,比如使用到 1年,自動停止所冇功能的運(yùn)行,這樣會增加破解者的成本。(5)如果條件許可,可采用兩片不同型號單片機(jī)互為備份,相互驗(yàn)證,從 而增加破解成本。(6)打濟(jì)掉芯片型號等信息或者重新印上其它的型號,以假亂真。om(7)可以利用單片機(jī)未公開,未被利用的標(biāo)志位或單元,作

14、為軟件標(biāo)志 位。(8)利用mcs-51屮a5指令加密,其實(shí)世界上所有資料,包括英文資 料都沒有講這條指令,其實(shí)這是很好的加密指令,a5功能是二字節(jié)空操作指令加 密方法在a5后加一個二字節(jié)或三字節(jié)操作碼,因?yàn)樗蟹磪R編軟件都不會反匯 編a5指令,造成正常程序反匯編亂套,執(zhí)行程序無問題仿制者就不能改變你的源 程序。(9)你應(yīng)在程序區(qū)寫上你的大名單位開發(fā)時間及仿制必究的說法,以 備獲得法律保護(hù);另外寫上你的大名的時候,可以是隨機(jī)的,也就是說,采用某 種算法,外部不同條件下,你的名字不同,比如wwwhusooncomloll、 wwwhusooncnl012等,這樣比較難反匯編修改。(10)采用高檔的

15、編程器,燒斷內(nèi)部的部分管腳,具體如何燒斷,可以參考:單片機(jī)管腳燒斷的方法和破解;還可以采用口制的設(shè)備燒斷金線,這個目 前國內(nèi)幾乎不能解密,即使解密,也需要上萬的費(fèi)用,需要多個母片。(11)采用保密硅膠(環(huán)氧樹脂灌封膠)封住整個電路板,pcb上多 一些沒冇用途的焊盤,在硅膠屮述可以摻雜一些沒有用途的元件,同時把mcu 周圍電路的電子元件盡量抹掉型號。(加保密硅膠的過程)gori(加保密硅膠封后的產(chǎn)品)(12)對syncmos, winbond單片機(jī),將把要燒錄的文件轉(zhuǎn)成hex文件, 這樣燒錄到芯片內(nèi)部的程序空位自動添00,如果你習(xí)慣bin文件,也可以用編 程器把空白區(qū)域中的ff改成00,這樣一般解密器也就找不到芯片中的空位,也就 無法執(zhí)行以后的解密操作。(13)程序采用軟加密的方式當(dāng)然,

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論