【产品那些事】固件安全-关于OTA升级包分析

已于 2024-07-16 16:02:02 修改
阅读量804 收藏 10
点赞数 8
分类专栏: 产品那些事 文章标签: IOT安全 SCA 车联网安全 信息安全
于 2024-07-16 15:40:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53009585/article/details/140462448
版权

文章目录

前言

什么是OTA?

OTA(Over-the-Air)是一种通过无线通信网络(如Wi-Fi、蜂窝网络)远程下载和安装设备固件或软件更新的方式。这种方式广泛应用于智能手机、物联网设备、汽车电子等领域。
小米发烧友估计对此并不陌生,线刷、卡刷、各种系统的刷机包,最近的澎湃OS不知道各位米友试着刷了没有。当然还有路由器、汽车,甚至台灯等各种智能家居,都是通过OTA的方式进行升级更新。
这里笔者通过两个固件解压包分析案例,来学习固件安全相关内容。

升级包(固件)的类型和架构

二进制映像(.bin):最常见的固件格式,包含了设备运行所需的所有代码和数据,通常用于路由器、摄像头、物联网设备等。
压缩包(.zip, .tar, .gz, .xz):将多个文件打包并压缩成一个文件。
映像文件(.img):包含整个文件系统映像,通常用于嵌入式设备和操作系统镜像(Linux、Android)。
Intel HEX文件(.hex):一种文本格式的固件文件,常用于微控制器和嵌入式系统。
Motorola S-record文件(.srec, .s19):类似于Intel HEX格式的文本固件文件。
ELF文件(.elf):一种可执行和可链接格式,包含可执行代码和数据段,常用于嵌入式系统开发。
如下所示,服务商会提供多种格式固件,方便客户进行分析
在这里插入图片描述

案例

tp-link路由器升级包

固件下载链接
解压后目录结构如下,当前我们关注的还是bin文件
在这里插入图片描述

怎么解包分析?

这里以.bin格式的固件为例,因为没有明显的文件边界和结构,所以分析起来难度也相对要高些,这里我们使用binwalk来提取和解析内容

binwalk安装及使用
sudo apt-get install binwalk 	// ubuntu
brew install binwalk			// macos

# 识别包含的文件和数据结构
binwalk firmware.bin

在这里插入图片描述

# 递归提取内容
binwalk -Me firmware.bin

在这里插入图片描述
将二进制里面的ubi格式文件提取出来之后

什么是ubi格式文件?
UBI(Unsorted Block Image)是一种用于 NAND 闪存的文件系统,它提供了对闪存的磨损均衡和坏块管理。UBI 文件系统常见于嵌入式设备中,尤其是在需

最低0.47元/天 解锁文章
今天是 几号
关注
  • 8
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
QCC51XX---固件OTA升级指南
weixin_42162924的博客
12-17 1003
QCC51XX---固件OTA升级指南
ESP32网络编程-OTA方式升级固件(基于Arduino IDE)
视觉与物联智能
12-09 2534
ESP32吸引人的编程方式之一就是通过OTA方式升级固件。本文将详细介绍在Arduino IDE中升级固件
ubifs解包
qq_20395637的博客
02-21 1229
sudo apt-get install mtd-utils sudo modprobe nandsim first_id_byte=0xec second_id_byte=0xd5 third_id_byte=0x51 fourth_id_byte=0xa6 sudo modprobe ubi mtd=0 sudo ubidetach /dev/ubi_ctrl -m 0 sudo ubiformat /dev/mtd0 -s 4096 -f ~/work/share/rootfs_hi3...
UBI
luminous_you的博客
03-16 1915
UBI文件系统 Android上普遍使用UBI文件系统,根据UBI官方文档http://www.linux-mtd.infradead.org/doc/ubi.html#L_ubi_operations的说法,UBI比传统的MTD驱动有很多好处,比如屏蔽了坏块管理,可以均衡负载,可以更新分区,ECC出错时也能自动搬移数据到好的块,这些都简化了上层软件的工作量 ubi_reader 上述通过挂载方式读取ubi文件的过程较为繁琐,其实已经有现成开源的解包工具可用。 ubi_reader工具地址为:https:/
解压ubi文件_IoT(八)ubi文件系统挂载&解包
weixin_39517560的博客
12-24 3878
0x1 UBI文件系统简介UBI文件系统是linux-2.6.27后内核新加入的flash文件系统,开发环境主机要求至少是在linux2.6.27后的内核,且已经有nandsim,ubi等相关模块。UBI没有FLASH转换层(FTL,Flash Translation Layer),只能工作在裸的flash,因此它不能用于消费类FLASH如MMC, RS-MMC, eMMC, SD, mini-S...
有关ubi文件格式的解压
andylao62的专栏
02-26 9402
http://www.at91.com/linux4sam/bin/view/Linux4SAM/SDCardBootNotice How to extract the files of pre-compiled demo (UBI, JFFS2), and copy them to SD card's ext2/4 partition? To do this, mount the ubi
ubifs 提取
mengxp的博客
06-25 2523
ubifs 提取  nandsim挂载  mkfs.ubifs  create_ubifs.sh http://blog.csdn.net/hjd03132301/article/details/16804369 制作ubifs文件系统,挂载ubifs  http://blog.chinaunix.net/uid-28410803-id-3892468.html
RK3588S Android12本地升级系统固件OTA升级包
u011774634的博客
05-18 2511
机器系统内必须要有RKUpdateService.apk这个系统服务程序(在/system/app/RKUpdateService),检测升级包就是这个服务程序实现的。OTA升级包包含uboot,boot,recovery,system等,如果修改代码后,建议完全执行一下上面的编译命令,以确保将修改内容打包到生成的升级包中。编译完成后在 out/target/product/rkxxxx/目录下会生成 ota 完整包 rkxxxx-ota-eng.xxxx.zip。或者直接拷贝至机器内部存储根目录下。
ESP32-S2-OTA公网升级固件(arduino)HTTPUpdate带进度显示
无线智能模块 可视DIY智能专家
05-16 2430
ESP32-S2-OTA升级,带进度提示,自动重启。HTTPUpdate方法使用(Arduino)
ota_downloader:在RT-Thread OTA组件上使用的固件下载器
05-23
该软件包是用于OTA升级的固件下载器。 下载器提供了多种固件下载方法。 开发人员可以根据自己的需求灵活选择升级方式。 每个升级方法只需要调用一次函数或命令。 当前支持的下载方法如下: HTTP / HTTPS协议下载...
Tlsr8258-OTA升级工具
09-15
Tlsr8258-OTA升级工具就是实现这一目标的关键工具,它允许用户安全地将新固件推送到Tlsr8258芯片驱动的设备上。 该工具的核心功能包括: 1. **固件打包**:将新的软件代码、配置文件等打包成适合空中传输的格式,...
掌讯3560-替换同行者语音3.6.3-OTA-升级包.zip
08-06
这个是增量包不是系统刷机包 将原固件思必驰语音替换为同行者语音的功能。 原思比驰会被删除 只能用于掌讯3560,其它版本不能刷。...把zip卡刷增量包放U盘根目录,车载设置-系统信息-安卓升级-即可。
中兴B860AV2.1-T固件升级包 刷机后可以装APP
06-17
标题提到的“中兴B860AV2.1-T固件升级包 刷机后可以装APP”意味着通过此次升级,用户将能够安装应用程序,这可能是在原厂固件中被限制的功能。 首先,让我们了解一下固件包升级的过程。固件通常以二进制格式存在...
掌讯YT3560导航最新刷机包YT3560-65-ota-v3.6-8.1-20210102.zip
12-02
掌讯YT3560导航最新刷机包是一款专为掌讯YT3560设备设计的固件更新,该刷机包名为"YT3560-65-ota-v3.6-8.1-20210102.zip",发布于2021年1月2日,提供了对设备系统的最新优化和功能升级。刷机过程对于熟悉电子设备...
开发教程文档.docx
08-14
1. Java简介 Java是一门由Sun Microsystems公司于1995年推出的高级编程语言。它具有跨平台的特性,能够在多种操作系统(如Windows、Mac OS和各种Unix版本)上运行。Java的最大特点是“一次编写,到处运行”,这得益于Java虚拟机(JVM)的存在。 2. 环境搭建 在开始Java编程之前,需要先搭建开发环境。你需要安装Java开发工具包(JDK)和一个集成开发环境(IDE),比如IntelliJ IDEA或Eclipse。JDK是Java开发的核心,包括了编译器和标准类库,而IDE则为你提供了一个方便的开发界面。 3. 基本语法 学习Java的第一步是掌握它的基本语法。你需要了解如何定义变量、使用基本数据类型、控制程序流程(如条件语句和循环语句)以及如何定义和使用函数。这些基础知识是编写任何Java程序的基础。 java public class HelloWorld { public static void main(String[] args) { System.out.println("Hello, World!
全球车载支付服务行业总体规模、主要企业国内外市场占有率及排名(2024版).docx
08-14
全球车载支付服务行业总体规模、主要企业国内外市场占有率及排名(2024版).docx
【独家首发】基于斑点鬣狗优化算法SHO-GMDH的锂电池寿命SOC估计算法研究Matlab实现.rar
最新发布
08-14
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
车载测试OTA升级如何上传升级包
07-17
车载测试OTA升级的上传方式可以根据具体的系统和平台而有所不同,但一般可以通过以下步骤进行: 1. 创建升级包:首先,你需要创建一个包含新版本软的升级包。这个包可以包含更新的固件、软件程序、配置文件等。 2. 连接到车载系统:将你的开发环境或者OTA服务器与车载系统连接起来。这可以通过有线连接(如USB或Ethernet)或者无线连接(如Wi-Fi或蓝牙)来实现。 3. 上传升级包:使用相应的工具或者命令行界面,将升级包上传到车载系统中。具体的上传方式可能因车载系统的不同而有所差异。你可以参考相关的文档或者开发者指南来了解具体的上传方法。 4. 验证升级包:上传完成后,需要对升级包进行验证以确保其完整性和正确性。这可以通过计算校验和、数字签名等方式进行。 5. 发布升级包:一旦升级包验证通过,你可以将其发布到OTA服务器上。车辆主人可以通过车载系统与OTA服务器进行通信,并下载和安装升级包。 请注意,以上步骤是一般性的描述,实际操作可能因具体的车载系统和平台而有所不同。建议你查阅相关的开发文档或者与车载系统的供应商进行进一步的沟通和了解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值