使用各种各样的方式提取固件之后, 需要拿到dts的代码, 这样就可以确定大部分硬件引脚. 通常情况下, 我们可以使用binwalk去探测dtb的位置:
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
0 0x0 uImage header, header size: 64 bytes, header CRC: 0x9DA54DAA, created: 2021-06-03 02:48:41, image size: 2299135 bytes, Data Address: 0x8000, Entry Point: 0x8000, data CRC: 0xE7E35DF9, OS: Linux, CPU: ARM, image type: OS Kernel Image, compression type: none, image name: "4-20210603-g34fa3a"
64 0x40 Linux kernel ARM boot executable zImage (little-endian)
2188 0x88C device tree image (dtb)
18092 0x46AC gzip compressed data, maximum compression, from Unix, last modified: 1970-01-01 00:00:00 (null date)
2272376 0x22AC78 device tree image (dtb)
2278001 0x22C271 VxWorks symbol table, big endian, first entry: [type: function, code address: 0x100, symbol address: 0x200]但是binwalk对dtb的提取只是简单的比对magic d00dfeed, 这种比较方法会造成误判, 比如上面列出了2个dtb. 但只有最有一个是正确的.
这时候可以使用fdtdump直接一步到位:
(fdtdump的-s参数可以从固件中搜索dtb, 之后dump)
$ fdtdump -s uImage_with_dtb_cct4g.bin
**** fdtdump is a low-level debugging tool, not meant for general use.
**** If you want to decompile a dtb, you probably want
**** dtc -I dtb -O dts <filename>
uImage_with_dtb_cct4g.bin: found fdt at offset 0x22ac78
/dts-v1/;
// magic: 0xd00dfeed
// totalsize: 0x68c7 (26823)
// off_dt_struct: 0x38
// off_dt_strings: 0x663c
// off_mem_rsvmap: 0x28
// version: 17
// last_comp_version: 16
// boot_cpuid_phys: 0x0
// size_dt_strings: 0x28b
// size_dt_struct: 0x6604
/ {
#address-cells = <0x00000001>;
#size-cells = <0x00000001>;另外fdtdump的-d选项可以输出调试信息, 对理解dtb的结构大有帮助.
/dts-v1/;
// magic: 0xd00dfeed
// totalsize: 0x68cb (26827)
// off_dt_struct: 0x38
// off_dt_strings: 0x6640
// off_mem_rsvmap: 0x28
// version: 17
// last_comp_version: 16
// boot_cpuid_phys: 0x0
// size_dt_strings: 0x28b
// size_dt_struct: 0x6608
// 0038: tag: 0x00000001 (FDT_BEGIN_NODE)
/ {
// 0040: tag: 0x00000003 (FDT_PROP)
// 6640: string: #address-cells
// 004c: value
#address-cells = <0x00000001>;
// 0050: tag: 0x00000003 (FDT_PROP)
// 664f: string: #size-cells
// 005c: value
#size-cells = <0x00000001>;
// 0060: tag: 0x00000003 (FDT_PROP)
// 665b: string: model从ftddump的源码中反推dtb的结构:
整个dtb分为三部分:
1. dtb的文件头, 用于标记dtb的基本信息
2. 若干node组成的dtb结构体, 每个node包含三部分, FDT_BEGIN_NODE + FDT_PROP + ... + FDT_PROP + FDT_END_NODE.
每一个FDT_PROP是一个key-value的结构, key是必须存在的, 为字符串格式, value是一个变长字段, 可以省略, 格式是字符串或数字.
value也可以是多个相同类型的组合.
例如:
只保存一个value的key, value的格式是数字:
#address-cells = <0x00000001>;
#size-cells = <0x00000001>;
value的格式是字符串:
bootargs = "console=ttyS0,115200";
value为空:
interrupt-controller;
value是多个字符串:
compatible = "nuvoton,nuc972", "nuvoton,nuc970";
FDT_PROP的key的内容存放在第三部分文字池中, FDT_PROP结构中存放的是一个指针地址. value部分以数组的形式存储在FDT_PROP的最后.
3. 文字池, 存储所有FDT_PROP的key字段.
dtb的第二部分的起始地址存放在fdt_header->off_dt_struct, 第三部分存放在off_dt_strings;
struct fdt_header {
fdt32_t magic; /* magic word FDT_MAGIC */
fdt32_t totalsize; /* total size of DT block */
fdt32_t off_dt_struct; /* offset to structure */
fdt32_t off_dt_strings; /* offset to strings */
fdt32_t off_mem_rsvmap; /* offset to memory reserve map */
fdt32_t version; /* format version */
fdt32_t last_comp_version; /* last compatible version */
/* version 2 fields below */
fdt32_t boot_cpuid_phys; /* Which physical CPU id we're
booting on */
/* version 3 fields below */
fdt32_t size_dt_strings; /* size of the strings block */
/* version 17 fields below */
fdt32_t size_dt_struct; /* size of the structure block */
};dump_blob用于dump整个dtb, 首先打印header的基本信息:
printf("/dts-v1/;\n");
printf("// magic:\t\t0x%"PRIx32"\n", fdt32_to_cpu(bph->magic));
printf("// totalsize:\t\t0x%"PRIx32" (%"PRIu32")\n",
totalsize, totalsize);
printf("// off_dt_struct:\t0x%"PRIx32"\n", off_dt);
printf("// off_dt_strings:\t0x%"PRIx32"\n", off_str);
printf("// off_mem_rsvmap:\t0x%"PRIx32"\n", off_mem_rsvmap);
printf("// version:\t\t%"PRIu32"\n", version);
printf("// last_comp_version:\t%"PRIu32"\n",
fdt32_to_cpu(bph->last_comp_version));之后遍历整个dtb, 按照BEGIN_NODE, PROP, END_NODE的格式, 打印所有NODE.
p = p_struct;
while ((tag = fdt32_to_cpu(GET_CELL(p))) != FDT_END) {
dumpf("%04"PRIxPTR": tag: 0x%08"PRIx32" (%s)\n",
(uintptr_t)p - blob_off - 4, tag, tagname(tag));
if (tag == FDT_BEGIN_NODE) {
s = p;
p = PALIGN(p + strlen(s) + 1, 4);
if (*s == '\0')
s = "/";
printf("%*s%s {\n", depth * shift, "", s);
depth++;
continue;
}
if (tag == FDT_END_NODE) {
depth--;
printf("%*s};\n", depth * shift, "");
continue;
}
if (tag == FDT_NOP) {
printf("%*s// [NOP]\n", depth * shift, "");
continue;
}
if (tag != FDT_PROP) {
fprintf(stderr, "%*s ** Unknown tag 0x%08"PRIx32"\n", depth * shift, "", tag);
break;
}
sz = fdt32_to_cpu(GET_CELL(p));
s = p_strings + fdt32_to_cpu(GET_CELL(p));
if (version < 16 && sz >= 8)
p = PALIGN(p, 8);
t = p;
p = PALIGN(p + sz, 4);
dumpf("%04"PRIxPTR": string: %s\n", (uintptr_t)s - blob_off, s);
dumpf("%04"PRIxPTR": value\n", (uintptr_t)t - blob_off);
printf("%*s%s", depth * shift, "", s);
utilfdt_print_data(t, sz);
printf(";\n");
}每一个NODE都有一个string表示名字, 这个名字字段是紧跟FDT_BEGIN_NODE tag存放的:
// 39dc: tag: 0x00000001 (FDT_BEGIN_NODE)
serial@b8000000 {
// 39f0: tag: 0x00000003 (FDT_PROP)
// 6661: string: compatible
// 39fc: value
compatible = "nuvoton,nuc970-uart";每个node是由多个prop组成的, prop的key字段以指针的形式存放, 内容存在在dtb的最后一部分文字池中.
tag: FDT_PROP
len: 该prop的value的长度.
nameoff: 该prop的key字符串在文字池中的地址.
data: 使用数组(而非指针)存放的value字段.
代码中使用s = p_strings + fdt32_to_cpu(GET_CELL(p));获取key的实际地址.
struct fdt_property {
fdt32_t tag;
fdt32_t len;
fdt32_t nameoff;
char data[0];
};value部分是字符串或者数字的组合, 如果所有字符是可打印的, 认为是字符串, 如果是4的倍数, 认为数字. (单字节的还没见过)
void utilfdt_print_data(const char *data, int len)
{
int i;
const char *s;
/* no data, don't print */
if (len == 0)
return;
if (util_is_printable_string(data, len)) {
printf(" = ");
s = data;
do {
printf("\"%s\"", s);
s += strlen(s) + 1;
if (s < data + len) /* 考虑多个string的组合: compatible = "nuvoton,nuc972", "nuvoton,nuc970"; */
printf(", ");
} while (s < data + len);
} else if ((len % 4) == 0) {
const fdt32_t *cell = (const fdt32_t *)data;
printf(" = <");
for (i = 0, len /= 4; i < len; i++)
printf("0x%08" PRIx32 "%s", fdt32_to_cpu(cell[i]),
i < (len - 1) ? " " : "");
printf(">");
} else {
const unsigned char *p = (const unsigned char *)data;
printf(" = [");
for (i = 0; i < len; i++)
printf("%02x%s", *p++, i < len - 1 ? " " : "");
printf("]");
}
}最近编辑记录 qianfan (2021-06-22 15:51:38)
离线