📃Firmware Analysis Process 2

DATE : 2024/05/16

안녕하세요, 한후입니다.

오늘도 어김없이 Firmware Analysis와 관련된 내용을 가져왔는데요,

Firmware Analysis Process에서 다룬 내용을 기반으로 하되! 조금은 다른 방식으로

File System 추출하는 과정을 소개해볼까 합니다.

바로 앞선 POST에서는 Binwalk 라는 도구를 활용하여 파일 구조를 확인하고

압축되어있던 LZMA 파일 & Squashfs File System을 추출했었습니다.

하지만 Binwalk 특성 상, 파일 이름을 숫자로 부여한다는 부분이 불편하실 수도 있고

Firmware를 구성하는 모든 파트를 추출하여 불필요한 콘텐츠를 생성할 필요가 없는 경우도 있을 겁니다.

그래서 오늘은 Firmware의 특정 부분만 쏙 빼낼 수 있는 방법에 대해 알아보고자 하는데요,

바로 시작해보죠!!

---

1_) Firmware 준비하기

오늘도 마찬가지로 분석할 Firmware를 준비해줍니다!

저는 좀 더 다양하게 구성된 Firmware를 보여드리기 위해 앞서 사용한 Firmware가 아닌,

Camera Firmware를 사용할 겁니다.

2_) Firmware 압축 풀기

제가 준비한 Firmware는 ZIP 파일 형태로 압축되어 있는 상태이기 때문에 Bin file을 얻기 위해

압축을 한 번 풀어주도록 하겠습니다.

unzip ZIP_FILE_NAME

3_) BIN file 구조 분석

ZIP 파일의 압축을 풀어보니 PDF 파일과 BIN 파일이 생겨난 걸 볼 수 있습니다!

그렇다면 우리의 Target.. BIN 파일을 공략해보죠. 😏

Binwalk로 Firmware가 어떻게 생겼나 열어 보면 위와 같이 익숙한 화면을 볼 수 있습니다.

쭉 읽어보니 저번 Firmware에서도 나왔던 LZMA 압축 데이터도 들어 있네요!

그런데.. 뭔가 이상합니다. 어떻게 File System이 하나도 나오지 않은 거죠..!? 🤔

❗binwalk를 실행한 결과 화면을 보시면 이전 Firmware와 굉장히 다르게 생겼다는 걸 느낄 겁니다.

아마 사용하시는 Firmware가 무엇이냐에 따라 들어 있는 File System도, 압축 데이터도 가지각색일 텐데요

경우에 따라서 지금 보여드리는 Firmware처럼 File System이 바로 보이지 않는 경우도 있고

binwalk와 같은 도구로 추출하지 못하도록 만들기 위해 의도적으로 위치 파악을 방해하는 dummy를

넣어두는 경우도 있다고 합니다.

그렇기 때문에!! 이번 POST에서는 Binwalk -e를 사용하지 않고 File System을 추출하는 방법을

알아보고자 하는 거죠!! 그럼 계속 이어가 보도록 하겠습니다.

4_) dd command로 LZMA Data만 뽑아내기

위에서 확인한 Firmware 구성 요소 중에서 LZMA data만 뽑아내고자 하는데요

여기서 새로운 명령어가 dd가 등장합니다.

dd if=INPUT_FILE skip=START_OFFSET bs=BLOCK_SIZE of=OUTPUT_FILE_NAME

제가 사용할 dd command는 보시는 바와 같이 4개의 옵션을 동반합니다.

if에는 데이터를 부분 추출할 파일을 전달하고, skip은 추출할 데이터의 시작 위치를 의미하며

bs는 block size로 기본 크기가 1k인데 우리는 Firmware 중에서 가장 마지막에 위치한 LZMA를 추출할

것이기 때문에 사이즈 조정을 굳이 할 필요는 없습니다.

마지막 of는 추출한 데이터를 저장할 파일 이름을 지정하는 옵션입니다.

그럼 바로 명령어를 실행해보죠. LZMA 데이터의 시작 위치를 확인한 다음, skip 옵션에 사용합니다.

결과 파일 이름은 whatisit.lzma로 지정했습니다.

제대로 데이터를 복사해왔는지 확인하기 위해 file command를 실행해보니

lzma compressed data라고 인식되는군요!

5_) lzma compressed data -> data

위에서 만들어진 whatisit.lzma file은 말 그대로 LZMA 방식으로 압축된 데이터입니다.

그렇다는 건, 안에 들어있는 내용물을 얻기 위해 압축을 풀어줘야 한다는 뜻이죠!

unlzma LZMA_COMPRESSED_FILE

or 

lzma -d < LZMA_COMPRESSED_FILE > OUTOUT_FILE_NAME 

저는 unlzma command를 사용하면 계속 에러만 나서 두 번째 명령어를 사용했습니다.

압축이 풀리면 지정한 이름의 파일이 만들어져 있는 걸 볼 수 있는데요

binwalk로 구조를 확인해 보면

이번 Linux kernel version 정보도 알 수 있고 새로운 LZMA 데이터를 마주하게 됩니다..!

6_) LZMA Data 복사하고 압축 풀기 (2 round)

앞에서 한 번 해봤으니 이번엔 그렇게 낯설지 않을 겁니다!

dd command로 LZMA 데이터만 쏙 복사해서 압축을 풀어 원본 데이터를 얻어보도록 하죠!

이번엔 unlzma command로 LZMA 압축 파일이 잘- 풀렸습니다!

file command로 output의 파일 타입을 확인해 보니 cpio archive라고 하네요!!

제가 지금 사용하고 있는 Firmware는 Dlink의 camera 제품의 Firmware입니다.

Dlink의 많은 제품이 File System을 cpio archive 안에 넣어둔다고 하는데요, 그렇다면.. output file을

열어보기만 하면 file system을 얻을 수 있는 걸까요..!?

7_) cpio archive -> file system 얻기

mkdir cpio
cd cpio

cpio에서 내용물을 추출하기 전에 directory가 복잡해질 수 있으니 새 directory를 하나 만들어

이동해줍니다.

cpio -idm --no-absolute-filenames < ../output

그런 다음, 위의 명령어를 실행해 cpio directory 밖에 있는 output file을 가져와

파일을 추출하기만 하면 끝..!

참고로 cpio command를 사용할 때는 i, p, o, t 옵션 중 하나는 반드시 사용하셔야 합니다.

cpio 옵션에 대해 더 알고 싶으시다면 터미널에 cpio --help를 입력하여 직접 알아보시길!!

명령어를 실행하고 나면 --no-absolute-filename 옵션에 의해 현재 경로, 즉 cpio directory를 기준으로

뽑아낸 파일들이 위치하게 됩니다.

그렇다는 건, ls command로 cpio directory를 열어보는 순간!

File System이 쫙- 나올 거라는 뜻입니다. 과연 정말로 그런지 바-로 확인해볼까요!?

ls command를 눌러 현재 directory에 들어있는 콘텐츠를 출력했더니 위와 같이 우리에게 익숙한

File System을 추출해낸 걸 확인할 수 있었습니다!! 한 마디로 성공이라는 거죠!! 🤤

이렇게 해서 얻어낸 File System 안에는 뭐가 있는지 천천히 구경해보시기 바랍니다!

---

오늘은 이렇게 해서 camera Firmware에서 File System를 추출하는 방법에 대해 알아보았습니다.

똑같이 File System 추출하는 건데 앞서 살펴본 내용과는 또 다르죠?

Binwalk는 자동으로 구성 요소들을 추출하고 File System까지 폴더로 예쁘게 만들어주는 반면

dd는 Firmware 중 우리가 원하는 부분만 쏙 빼내기에 적합한 명령어였습니다.

또한 Firmware를 한 번 열어봤다고 해서 그 안에서

떡!하니 File System이 우리를 반겨 주는 경우만 있지는 않다는 점!!

오늘 POST를 통해 얻어가셨으면 합니다. 그럼 우린 다음 POST에서 만나죠!