您尚未登录。

楼主 # 2021-06-22 14:30:07

qianfan
会员
注册时间: 2019-11-29
已发帖子: 38
积分: 106.5

fdtdump从固件中dump dts

使用各种各样的方式提取固件之后, 需要拿到dts的代码, 这样就可以确定大部分硬件引脚. 通常情况下, 我们可以使用binwalk去探测dtb的位置:

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             uImage header, header size: 64 bytes, header CRC: 0x9DA54DAA, created: 2021-06-03 02:48:41, image size: 2299135 bytes, Data Address: 0x8000, Entry Point: 0x8000, data CRC: 0xE7E35DF9, OS: Linux, CPU: ARM, image type: OS Kernel Image, compression type: none, image name: "4-20210603-g34fa3a"
64            0x40            Linux kernel ARM boot executable zImage (little-endian)
2188          0x88C           device tree image (dtb)
18092         0x46AC          gzip compressed data, maximum compression, from Unix, last modified: 1970-01-01 00:00:00 (null date)
2272376       0x22AC78        device tree image (dtb)
2278001       0x22C271        VxWorks symbol table, big endian, first entry: [type: function, code address: 0x100, symbol address: 0x200]

但是binwalk对dtb的提取只是简单的比对magic d00dfeed, 这种比较方法会造成误判, 比如上面列出了2个dtb. 但只有最有一个是正确的.

这时候可以使用fdtdump直接一步到位:
(fdtdump的-s参数可以从固件中搜索dtb, 之后dump)

$ fdtdump -s uImage_with_dtb_cct4g.bin

**** fdtdump is a low-level debugging tool, not meant for general use.
**** If you want to decompile a dtb, you probably want
****     dtc -I dtb -O dts <filename>

uImage_with_dtb_cct4g.bin: found fdt at offset 0x22ac78
/dts-v1/;
// magic:               0xd00dfeed
// totalsize:           0x68c7 (26823)
// off_dt_struct:       0x38
// off_dt_strings:      0x663c
// off_mem_rsvmap:      0x28
// version:             17
// last_comp_version:   16
// boot_cpuid_phys:     0x0
// size_dt_strings:     0x28b
// size_dt_struct:      0x6604

/ {
    #address-cells = <0x00000001>;
    #size-cells = <0x00000001>;

另外fdtdump的-d选项可以输出调试信息, 对理解dtb的结构大有帮助.

/dts-v1/;
// magic:		0xd00dfeed
// totalsize:		0x68cb (26827)
// off_dt_struct:	0x38
// off_dt_strings:	0x6640
// off_mem_rsvmap:	0x28
// version:		17
// last_comp_version:	16
// boot_cpuid_phys:	0x0
// size_dt_strings:	0x28b
// size_dt_struct:	0x6608

// 0038: tag: 0x00000001 (FDT_BEGIN_NODE)
/ {
// 0040: tag: 0x00000003 (FDT_PROP)
// 6640: string: #address-cells
// 004c: value
    #address-cells = <0x00000001>;
// 0050: tag: 0x00000003 (FDT_PROP)
// 664f: string: #size-cells
// 005c: value
    #size-cells = <0x00000001>;
// 0060: tag: 0x00000003 (FDT_PROP)
// 665b: string: model

从ftddump的源码中反推dtb的结构:

整个dtb分为三部分:
1. dtb的文件头, 用于标记dtb的基本信息
2. 若干node组成的dtb结构体, 每个node包含三部分, FDT_BEGIN_NODE + FDT_PROP + ... + FDT_PROP + FDT_END_NODE.
    每一个FDT_PROP是一个key-value的结构, key是必须存在的, 为字符串格式, value是一个变长字段, 可以省略, 格式是字符串或数字.
    value也可以是多个相同类型的组合.
    例如:
           只保存一个value的key, value的格式是数字:
           #address-cells = <0x00000001>;
           #size-cells = <0x00000001>;

           value的格式是字符串:
           bootargs = "console=ttyS0,115200";

           value为空:
           interrupt-controller;

           value是多个字符串:
           compatible = "nuvoton,nuc972", "nuvoton,nuc970";
    FDT_PROP的key的内容存放在第三部分文字池中, FDT_PROP结构中存放的是一个指针地址. value部分以数组的形式存储在FDT_PROP的最后.
3. 文字池, 存储所有FDT_PROP的key字段.

dtb的第二部分的起始地址存放在fdt_header->off_dt_struct, 第三部分存放在off_dt_strings;

struct fdt_header {
	fdt32_t magic;			 /* magic word FDT_MAGIC */
	fdt32_t totalsize;		 /* total size of DT block */
	fdt32_t off_dt_struct;		 /* offset to structure */
	fdt32_t off_dt_strings;		 /* offset to strings */
	fdt32_t off_mem_rsvmap;		 /* offset to memory reserve map */
	fdt32_t version;		 /* format version */
	fdt32_t last_comp_version;	 /* last compatible version */

	/* version 2 fields below */
	fdt32_t boot_cpuid_phys;	 /* Which physical CPU id we're
					    booting on */
	/* version 3 fields below */
	fdt32_t size_dt_strings;	 /* size of the strings block */

	/* version 17 fields below */
	fdt32_t size_dt_struct;		 /* size of the structure block */
};

dump_blob用于dump整个dtb, 首先打印header的基本信息:

	printf("/dts-v1/;\n");
	printf("// magic:\t\t0x%"PRIx32"\n", fdt32_to_cpu(bph->magic));
	printf("// totalsize:\t\t0x%"PRIx32" (%"PRIu32")\n",
	       totalsize, totalsize);
	printf("// off_dt_struct:\t0x%"PRIx32"\n", off_dt);
	printf("// off_dt_strings:\t0x%"PRIx32"\n", off_str);
	printf("// off_mem_rsvmap:\t0x%"PRIx32"\n", off_mem_rsvmap);
	printf("// version:\t\t%"PRIu32"\n", version);
	printf("// last_comp_version:\t%"PRIu32"\n",
	       fdt32_to_cpu(bph->last_comp_version));

之后遍历整个dtb, 按照BEGIN_NODE, PROP, END_NODE的格式, 打印所有NODE.

	p = p_struct;
	while ((tag = fdt32_to_cpu(GET_CELL(p))) != FDT_END) {

		dumpf("%04"PRIxPTR": tag: 0x%08"PRIx32" (%s)\n",
		        (uintptr_t)p - blob_off - 4, tag, tagname(tag));

		if (tag == FDT_BEGIN_NODE) {
			s = p;
			p = PALIGN(p + strlen(s) + 1, 4);

			if (*s == '\0')
				s = "/";

			printf("%*s%s {\n", depth * shift, "", s);

			depth++;
			continue;
		}

		if (tag == FDT_END_NODE) {
			depth--;

			printf("%*s};\n", depth * shift, "");
			continue;
		}

		if (tag == FDT_NOP) {
			printf("%*s// [NOP]\n", depth * shift, "");
			continue;
		}

		if (tag != FDT_PROP) {
			fprintf(stderr, "%*s ** Unknown tag 0x%08"PRIx32"\n", depth * shift, "", tag);
			break;
		}
		sz = fdt32_to_cpu(GET_CELL(p));
		s = p_strings + fdt32_to_cpu(GET_CELL(p));
		if (version < 16 && sz >= 8)
			p = PALIGN(p, 8);
		t = p;

		p = PALIGN(p + sz, 4);

		dumpf("%04"PRIxPTR": string: %s\n", (uintptr_t)s - blob_off, s);
		dumpf("%04"PRIxPTR": value\n", (uintptr_t)t - blob_off);
		printf("%*s%s", depth * shift, "", s);
		utilfdt_print_data(t, sz);
		printf(";\n");
	}

每一个NODE都有一个string表示名字, 这个名字字段是紧跟FDT_BEGIN_NODE tag存放的:

// 39dc: tag: 0x00000001 (FDT_BEGIN_NODE)
        serial@b8000000 {
// 39f0: tag: 0x00000003 (FDT_PROP)
// 6661: string: compatible
// 39fc: value
            compatible = "nuvoton,nuc970-uart";

每个node是由多个prop组成的, prop的key字段以指针的形式存放, 内容存在在dtb的最后一部分文字池中.

tag: FDT_PROP
len: 该prop的value的长度.
nameoff: 该prop的key字符串在文字池中的地址.
data: 使用数组(而非指针)存放的value字段.

代码中使用s = p_strings + fdt32_to_cpu(GET_CELL(p));获取key的实际地址.

struct fdt_property {
	fdt32_t tag;
	fdt32_t len;
	fdt32_t nameoff;
	char data[0];
};

value部分是字符串或者数字的组合, 如果所有字符是可打印的, 认为是字符串, 如果是4的倍数, 认为数字. (单字节的还没见过)

void utilfdt_print_data(const char *data, int len)
{
	int i;
	const char *s;

	/* no data, don't print */
	if (len == 0)
		return;

	if (util_is_printable_string(data, len)) {
		printf(" = ");

		s = data;
		do {
			printf("\"%s\"", s);
			s += strlen(s) + 1;
			if (s < data + len)     /* 考虑多个string的组合: compatible = "nuvoton,nuc972", "nuvoton,nuc970"; */
				printf(", ");
		} while (s < data + len);

	} else if ((len % 4) == 0) {
		const fdt32_t *cell = (const fdt32_t *)data;

		printf(" = <");
		for (i = 0, len /= 4; i < len; i++)
			printf("0x%08" PRIx32 "%s", fdt32_to_cpu(cell[i]),
			       i < (len - 1) ? " " : "");
		printf(">");
	} else {
		const unsigned char *p = (const unsigned char *)data;
		printf(" = [");
		for (i = 0; i < len; i++)
			printf("%02x%s", *p++, i < len - 1 ? " " : "");
		printf("]");
	}
}

最近编辑记录 qianfan (2021-06-22 15:51:38)

离线

页脚

工信部备案:粤ICP备20025096号 Powered by FluxBB

感谢为中文互联网持续输出优质内容的各位老铁们。 QQ: 516333132, 微信(wechat): whycan_cn (哇酷网/挖坑网/填坑网) service@whycan.cn