1、先解压文件夹,会发现有两个pdf文件
2、查看pdf文件
阅读 pdf 文件后可以推断出 v1.10版本是需要 v1.04 版本解密后再去生成的
3、使用 binwalk验证
4、现在明确了大致的逻辑后,开始解包 v1.04版本
binwalk -Me DIR882A1_FW104B02_Middle_FW_Unencrypt.bin # 解包 104 版本后进入
find ./ -name *decrypt* 2>/dev/null # 检索带有关键字decrypt的文件 得到 imgdecrypt
4.1为什么搜索decrypt?
在固件和二进制程序中,文件名或函数名常常遵循清晰的命名约定,这些名称是查找特定功能的最佳线索。
- 程序逻辑: 如果固件文件在启动或升级时需要解密,那么它几乎必然包含一个负责“解密(decrypt)”操作的程序或脚本。
- 示例文件名:
imgdecrypt(映像解密)、firmware_decrypt_tool、updater_decrypt.sh。
- 示例文件名:
- 库函数: 即使没有单独的程序,解密操作也需要被某个库函数调用。搜索包含
decrypt关键字的文件(例如共享库文件.so或静态库.a)可能会直接指向包含解密函数的库。 - 效率: 这是最直接、最具针对性的搜索方法,能迅速排除大量无关文件。
4.2.固件逆向中可搜索的通用关键词
除了 decrypt,您应该搜索以下几类关键词,以全面定位固件中的安全和核心功能:
| 关键词类别 | 关键词 (英文/常见缩写) | 搜索目的 | 示例文件名/函数 |
|---|---|---|---|
| 加密/解密 | encrypt, crypto, aes, `rs |
