前言
硬件層面的修改在現實生活中是相當常見的事情,所謂的硬改、魔改、硬破等等說法,指的就是在硬件層面對設備進行diy功能改造。例如針對傳統路由器的硬件架構,替換大容量的內存和閃存芯片,使之能夠刷openwrt系統;對某些設備進行配置層的升級,如iPhone,小米等手機內存擴容,使之具有更大容量的存儲空間和運行內存; 以及對設備的破解,例如ps,xbox等遊戲主機系列的硬破、軟破,還有對各種加密錄音筆,攝像頭,加密U盤和硬盤的破解。
研究硬件修改對硬件diy改造,以及廠商在硬件層的安全防護具有非常重要意義。硬件層修改分爲硬改和軟改兩個部分,硬改是對硬件中芯片和電路的改造、替換等,軟改是針對芯片固件的修改、重打包等。本節將用具體的幾個實例展示如何對設備進行硬改。
硬改路由器刷openwrt
修改方案
目前市面上主流的路由器,平時家用功能或許夠用,但如果需要一些高級功能,比如屏蔽廣告,掛vpn等等又難以實現,而採用openwrt系統可以充分滿足定製化和diy的需求,openwrt是一個高度模塊化、高度自動化的嵌入式Linux系統,擁有強大的網絡組件和擴展性,但如果專門購買openwrt系統的路由器,價格卻又不是十分親民,如果能把傳統路由器通過硬件修改,刷入openwrt系統,就是個低成本的解決方案了,本次用來硬改的路由器具體參數如下:品牌:TP-Link, 型號:WR842N,版本:v4.3,採用高通QCA9533的主控,16M的閃存、2M的flash芯片,雖然是老機器,但除了不能外接usb,基本滿足需求,當然價格也便宜。
不得不說TP-Link最近出的機器,硬件縮水越來越嚴重,新的機器,閃存都集成到了CPU裏面,基本沒有硬改的空間了。
更換內存芯片
openwrt系統最低硬件配置需要32M內存+8M存儲芯片,因此需要更換機器上對應的兩塊芯片,下圖紅框部分。
首先更換內存芯片,換上64M內存芯片,新手的話,建議通過風槍來拆芯片,先用膠帶保護一下芯片周圍的元件,防止吹飛掉,加點助焊膏,溫度稍微高一點。
)
芯片拆下後,先清潔一下焊盤,用吸錫線去掉焊盤上殘餘的錫,使焊盤平整,便於對齊芯片引腳。
清潔完成後,換上64M芯片,注意芯片上的小圓點就是第一腳,需要跟焊盤上的右下角的小圓點對齊,方向不對,芯片就白焊了。
對齊芯片後,先上一點錫,把芯片固定住,然後塗上助焊劑,爲了防止引腳錫粘連,建議助焊膏多放一點,然後採用堆錫法,烙鐵頭採用彎頭,便於拖動焊錫,溫度稍高一點,一般無鉛錫絲溫度在380左右,否則焊錫拖不動,注意錫要適量,否則處理起來比較麻煩,用烙鐵頭的彎曲處沿着引腳朝一個方向拖動,可能會有剩餘的錫處理不掉,可以用吸錫線處理。焊好一側後,繼續用同樣的方式焊另一側,全部焊接完成之後,讓芯片自然冷卻後,用洗板水或無水酒精清洗乾淨。
先通電測試下路由器工作是否正常,如果亮燈不正常,就需要補焊一次。
確認路由器工作正常,接下來拆下flash芯片,同樣用風槍,拆下後,處理一下焊盤。
刷編程器固件
在恩山上下載了LEDE17.1的編程器固件,支持WR842N型號路由器,明月固件也可以,然後把bin文件通過編程器刷進芯片中。
芯片放置在燒錄座中,用燒錄座連接編程器。
編程器刷入固件。
更換閃存芯片
把燒錄完成後的芯片取出,然後焊接上,同樣注意引腳的方向,芯片上的小圓點爲第一腳,對準焊盤上的第一腳,加點助焊膏。
存儲芯片引腳間距較大,用烙鐵頭粘上一點錫,採用點焊法即可焊上。
硬改完成
全部焊接完成,把板子清潔一下,重新通電測試,路由器正常,搜索到wifi信號後連接,後臺地址:http://192.168.1.1/ 默認用戶名和密碼;root、root,登錄進去,一切正常,說明硬改成功。
openwrt刷好後,需要先修改密碼,然後開啓一下ssh,就可以用ssh登錄管理了,網上很多編譯好的安裝包,根據自己的需要安裝。
體外分離硬破攝像頭
修改方案
在對某品牌智能攝像頭進行串口調試時,發現廠商對串口進行了加密,需要輸入root密碼才能登陸系統。
嘗試讀取固件中的shadow文件,隨即拆掉芯片進行固件讀取,飛線讀寫的成功率不高。
成功提取固件,找到密碼,卻暴力破解不了,可行的方案是修改密碼然後重新打包固件在刷進芯片中了,改完密碼後,重打包在刷進去。
然而事情並不簡單。
固件修改重刷之後,通電測試發現攝像頭並不能啓動,排查問題根源在於固件重打包過程出了問題,內部可能也有校驗,反覆多次試驗後,出現了意料之中的事情,因爲攝像頭較爲廉價,PCB做工用料並不是十分優秀,反覆拆焊導致焊盤損壞,芯片焊上去出現短路、斷路等等問題,絕緣層脫落,採用飛線也無法解決,機器徹底報廢,最終出現瞭如下屍橫遍野的結果。
拆存儲芯片
固件修改重刷是難以一次修改成功的,報廢過多,造成太多的浪費,最終想到採用全部焊點飛線到燒錄座上,在把芯片放在燒錄座上,只要保證焊接不出錯,飛線距離夠短,就能保證焊盤不受損壞,固件也可以反覆燒錄測試。
首先拆掉芯片,周圍同樣採用膠帶保護一下。
飛線芯片燒錄座
飛線採用很細的漆包銅線,線長控制在10釐米以內,颳去漆包線頭的絕緣層,然後依次飛線焊接,注意焊盤和燒錄座引腳的順序。
飛線完成後,用熱熔膠固定好焊盤和飛線,防止焊點脫落。
通電測試,發現機器一切正常,說明改造成功。
燒錄固件
繼續修改固件測試,修改的細節在之後固件修改章節會詳細說明,
因爲芯片放在燒錄座上,可以輕易的取下重刷,極大的提高了效率,最終成功修改好密碼,固件刷錄,機器開啓正常。
硬破成功
用修改之後的密碼成功登陸進行串口調試,繼續更深層次的安全檢測,此處調試接口RX、TX焊點已引出,方便接線。
魔改小米5手機加6G內存
修改方案
小米手機一向以性價比著稱,但其中的小米5作爲2016年的旗艦機,卻受到頗多的詬病,核心在於採用的是高通驍龍820的CPU,高配版的內存RAM都只有3G,導致手機運行中不是很流暢,鑑於內存過低,因此準備魔改成6G內存,本次更換的芯片爲三星K3RG6G60MM-MGCJ-LPDDR4-6G內存芯片。
拆機
說幹就幹,小米5的話,還是很好拆的一種機型,後蓋可以直接打開,然後把螺絲、排線、電池一一取下,主板拿出來即可,注意電池因爲背面貼有雙面膠,一定不要用蠻力,否則可能損壞底部的排線和屏幕。
主板取下後,沒有被屏蔽罩保護的就是內存芯片,揭開散熱墊,小米5自帶的內存芯片型號爲:海力士skhynix-H9HKNNNDGUMU-BRNMH-3Gbit-LPD4。
拆內存芯片
拆內存芯片要注意保護好周圍元器件,貼上高溫鋁箔紙,塗上焊膏,風槍先給板子預熱幾秒,然後在距離芯片1釐米左右位置,沿着芯片四周按照同一個方向轉動,使芯片均勻受熱,防止爆板和爆片。
取下芯片後,清潔焊盤。
植錫球
BGA焊接,植錫球是關鍵,植錫之前,必須把植錫網清潔乾淨,選用合適的錫球和BGA專用焊膏,先把芯片塗上一層焊膏,塗抹要均勻,注意不要過多,以植錫網覆蓋上去後,焊膏不能溢出植錫網孔爲準,否則會粘連錫球,選用0.25的無鉛低溫錫球,把芯片在植錫臺上放好,然後蓋上植錫網,要對準芯片的焊點,然後蓋上固定蓋。倒進錫球,稍微晃動一下,使錫球均勻的分佈在網孔裏,然後倒掉多餘錫球,取下植錫網,在用熱風槍加熱植好錫球的芯片,使錫球固定,注意要緩慢移動風槍,風嘴距離芯片要稍遠一點,防止錫球吹飛。
BGA焊接
先給焊盤均勻的上好一層焊膏,植好錫球的芯片,對準主焊盤,然後放置到BGA返修臺上固定好,先100度預熱烘乾,在執行BGA焊接曲線。
焊接完成後,使板子自然冷卻,然後清洗乾淨。
魔改完成
裝機,然後開機測試,一切正常,說明魔改成功。
相關鏈接
| 名稱 | 鏈接 |
|---|---|
| 《物聯網安全百科》 | iot-security.wiki |
| 伏宸安全實驗室 | future-sec.com |
| IOT Security | iot-security.org |
| Yaseng Blog | yaseng.org |
| 知乎專欄 | zhuanlan.zhihu.com |
| 郵箱 | [email protected] |
| qq 交流羣 | 306482276 |
| 微信公衆號 |  |
| 微信交流羣 |  |