Tema: Análisis e Investigación de los Firms de moresat
Ver Mensaje Individual
Antiguo 04/02/2008, 17:12   #8
SantiPHREACK 
Usuario PREMIUM+
 
Fecha de ingreso: 13/abr/2006
Mensajes: 223
SantiPHREACK está en el buen camino
Cita:
Iniciado por barrigaverde Ver mensaje
saludos santi en cuanto ha este drump:

lo he mirado con ida fre que tengo y he observado la zona de los mandos compatibles como el universal 2005 set por ejejmplo y un detalle que me ha resultado chocante hay una lista de receptores en la que esta incluido el sl65s y el sl35s esto que significa que esta excluido o que es compatible con este fichero????

ademas me he bajado uno de de los ultimos y he mirado el boot y pone algo de que esta comprimido en gzip con este ida no obsevo eso detalle que mencionais por que motivo que realizo mal???
Wenas Barigaverde

Te intentare responder por partes.

Respecto a lo que comentas de lo de la lista de receptores y lo del mando, que has visto en ese RamDump, no te compliques, ya que lo que se pretende en este hilo es intentar hallar la forma de descifrar esos maincodes, y una vez que se halle la forma, ya se miraría con calma lo de adaptarlos a nuestros decos, la cuestión es intentar entender el algoritmo que utilizan esos boots y sacar sus claves, el resto no seria mucho problema xD

Y respecto a que en el boot pone lo de gzip es porque esos boot soportan la descompresión de los dos formatos, pero los de moresat cifrados realmente son [B]lzma[/B], ya que si te fijas en ese "RamDump" en el [B]Offset 0x00400000[/B] se ve claramente la cabecera y parte de su maincode descifrado pero sin desempaquetar aun, lo que pasa que al estar machacado, solo se le puede extraer en claro apenas unos 300 bytes, pero algo es algo, y eso seria otro tema a parte, por si no se da con la clave secreta, intentar utilizarlo de forma inversa

Pero a lo que me refería de que se ven cosas interesantes en ese [B]RamDump[/B], me refería a cosas como estas xD

[CODE]sw_V1.3.6_072407__RamDump.bin
------------------------------------------------------------------
...
0x00195690: FF000000 01000000 00000000 00000000 ................
0x001956A0: [B][COLOR="DarkSlateBlue"]44415441[/COLOR][/B] 00000000 [B][COLOR="Red"]434F4445[/COLOR][/B] 00000000 [COLOR="DarkSlateBlue"][B]DATA[/B][/COLOR]....[COLOR="Red"][B]CODE[/B][/COLOR]....
0x001956B0: FFFF0000 [B][COLOR="SeaGreen"]6351E1B7[/COLOR][/B] [B][COLOR="Blue"]B979379E[/COLOR][/B] 01000000 ....cQ...y7.....
0x001956C0: 03000000 05000500 00000000 FFFFFFFF ................
0x001956D0: 01000000 00000000 00000000 00000000 ................
0x001956E0: 00000000 9E200000 00000000 01030002 ..... ..........
0x001956F0: 11000000 84D63A1F 25B17DF7 02040304 ......:.%.}.....
0x00195700: 05070607 03010506 00010002 0008031F ................
0x00195710: 0632120C 772BC8EE 2FD32229 00020106 .2..w+../.")....
0x00195720: 04050703 04000000 00000000 00000000 ................
0x00195730: 06000000 04000000 00000000 00000000 ................
...
------------------------------------------------------------------

[COLOR="SeaGreen"][B]6351E1B7 -> 0xB7E15163[/B][/COLOR] -> Magic Constant RC5 ??
[B][COLOR="Blue"]B979379E -> 0x9E3779B9[/COLOR][/B] -> Magic Constant XTEA
[/CODE]



[CODE]sw_V1.3.6_072407__RamDump.bin
------------------------------------------------------------------
...
0x0031C450: 1D7682D9 0CDF3080 E0A50100 0000C0BF .v....0.........
0x0031C460: 01000000 FFFFFFFF D9030000 00000000 ................
0x0031C470: E00F3280 [B][COLOR="Red"]75FD0700[/COLOR][/B] [B][COLOR="Green"]8000C1BF[/COLOR][/B] 0E000000 ..2.u...........
0x0031C480: 01000000 585C3080 687D3080 10000000 ....X\0.h}0.....
0x0031C490: 00000000 1E000000 03000000 D8084880 ..............H.
0x0031C4A0: E4C43180 00000000 68711900 70FE4780 ..1.....hq..p.G.
0x0031C4B0: 805E3080 0E000000 30000000 3C000000 .^0.....0...<...
0x0031C4C0: 50711900 86FE4780 40000000 01000000 Pq....G.@.......
0x0031C4D0: 74613080 D8E23080 30E33080 D4EE3080 ta0...0.0.0...0.
0x0031C4E0: 00003180 75FD4780 0D005080 [COLOR="Magenta"]A17FB19B[/COLOR] ..1.u.G...P.....
0x0031C4F0: 00000000 00000000 C3000000 01000000 ................
0x0031C500: 08000000 28000000 03000000 00000000 ....(...........
0x0031C510: 96C53180 70FE4780 [B][COLOR="Red"]75FD0700[/COLOR][/B] [B][COLOR="Green"]8000C1BF[/COLOR][/B] ..1.p.G.u.......
0x0031C520: 00003180 00004080 01000000 00020080 ..1...@.........
0x0031C530: C8583080 FFFFFFDF 90593080 F8FF3F80 .X0......Y0...?.
0x0031C540: 74D63080 03000000 00020080 0E000000 t.0.............
0x0031C550: 487D3080 [COLOR="Magenta"]00D94F13 E0689817[/COLOR] C8183080 H}0...O..h....0.
0x0031C560: 64C53180 [B][COLOR="Blue"]70711900[/COLOR][/B] 01000000 [B][COLOR="Red"]75FD0700[/COLOR][/B] d.1.pq......u...
0x0031C570: 24D93080 68E23080 FFFFFFFF 00003180 $.0.h.0.......1.
0x0031C580: 94823080 00020080 0000C1BF 00303280 ..0..........02.
0x0031C590: 01000000 947F3080 02000000 01000000 ......0.........
0x0031C5A0: DCC53180 44673080 [COLOR="Magenta"]C2C24949[/COLOR] 588C3080 ..1.Dg0...IIX.0.
0x0031C5B0: FFFFFFFF 0000FE01 01000000 00000000 ................
...
------------------------------------------------------------------

[COLOR="Blue"][B]70711900[/B][/COLOR] -> 0x00197170 = 1.667.440 bytes (Tamaño Maincode desempaquetado)
[B][COLOR="Red"]75FD0700[/COLOR][/B] -> 0x0007FD75 = 523.637 bytes (Tamaño Maincode empaquetado)
[B][COLOR="Green"]8000C1BF[/COLOR][/B] -> 0xBFC10080 = Offset del Maincode cifrado [/CODE]



Y por ultimo, el código en "[B]C[/B]" del supuesto algoritmo que pusimos, es simplemente una interpretación del desensamblado de lo que interesa del boot, utilizando el [B]juego de instrucciones[/B] de los MIPS, y que en la Wikipedia los tienes
[URL="http://es.wikipedia.org/wiki/MIPS_%28procesador%29"]http://es.wikipedia.org/wiki/MIPS_%28procesador%29[/URL]

Que por cierto, creo que seria mas correcto así:

Código:
    for(i=0; i<num_rounds; i++) {
        v1 -= ((v0 << 4) ^ (v0 >> 5) + v0) ^ (sum + k[(sum >> 9 & 12) + a2]);
        sum -= delta;
        v0 -= ((v1 << 4) ^ (v1 >> 5) + v1) ^ (sum + k[(sum & 3 << 2) + a2]);
    }
[B]PD:[/B] Del [B]IDA Pro[/B], no te puedo ayudar mucho, ya que la versión que yo utilizo, con los MIPS no me termina de funcionar, y por eso estoy realizando los desensamblados a mano poco a poco y con bastantes errores jeje

Luego os pongo otro trocito que hice anoche, y que seria la continuación por arriba del trozo que puso Jubamo, y que seguramente es donde estaría supuesta mente las rondas que debe realizar y la generación de las subclaves.
Última edición por SantiPHREACK; 04/02/2008 a las 17:17.
SantiPHREACK está desconectado
Respuesta rápida a este mensaje
Responder Citando Subir