📃Firmware Analysis Process 3

DATE : 2024/05/24

안녕하세요, 한후입니다.

오늘도 앞서 살펴봤던 Firmware와 다른 구조를 가진 Firmware를 가져와 봤습니다!

본론으로 들어가기 전에 Firmware Analysis Process& Firmware Analysis Process 2 내용을

간단하게 정리해볼까요?

---

우리가 이전 POST를 통해 살펴본 Firmware 분석 과정은 Firmware가 어떻게 생겼느냐! 에 따라

방식이 조금 달라졌을 뿐 전반적인 흐름은 동일합니다.

[1] 첫 번째 Step으로 분석하고 싶은 Firmware를 준비했었죠!

제가 사용한 Firmware는 대부분 카메라, Router 등을 제작하는 회사에서 자체 제공하는 파일이었습니다.

(POST에서 Firmware를 얻는 과정에 대해서는 자세하게 다루지 않았지만,

저처럼 공개된 firmware를 다운 받거나 장치를 구매해 직접 firmware를 추출할 수도 있습니다.

이 밖에도 여러 가지 방법이 있다는 점을 알고 넘어가는 정도로 빠르게 지나가도록 하죠 )

[2] Firmware 구조 파악하기

firmware를 준비한 다음 확인했던 건, firmware가 어떻게 구성되었는가 이었습니다.

binwalk -e BIN_FILE

처음 살펴봤던 firmware는 squashfs를 바로 찾아볼 수 있었던 반면,

두 번째로 살펴봤던 firmware는 LZMA 압축 데이터 속에 file system이 숨겨져 있었습니다.

이를 통해 firmware도 제각각으로 구성된다는 걸 확인할 수 있었죠!!

[3] File System 추출하기

firmware를 열어본 근본적인 목적은 file system을 추출하기 위함이었습니다.

binwalk -e BIN_FILE

이 과정에서 binwalk는 주어진 binary file에서 file system을 추출해 별도의 폴더를 만들어줬고

dd if=INPUT_FILE skip=OFFSET bs=1 of=OUTPUT_FILE

firmware의 특정 부분만 따로 뽑아내고 싶은 경우엔 dd command를 사용하여 파일 일부를 복제한 다음,

복제한 파일에서 file system을 추출할 수 있었습니다.

이처럼 file system은 firmware가 어떻게 구성되어 있느냐, file system이 어느 위치에 있느냐,

어떤 file system인가 에 따라 추출 방식이 조금씩 달라질 수 있습니다.

그리하여 오늘은 지금까지 살펴봤던 firmware와 다르게 file system이 여러 개 들어있는 경우를

살펴볼까 합니다. file system이 여러 개라고 해서 특별히 더 어려워지는 내용은 없습니다!!

지금까지 익혀온 방법 그대로 하면 되거든요! 😄

그럼 이제 본론으로 들어가 봅시다!

---

1_ ) Firmware 준비

오늘 제가 가져온 firmware는 camera firmware입니다.

firmware를 다운 받아 보니 압축되어 있어서 unzip command로 압축을 풀어줬습니다.

2_) Firmware 구조 확인

firmware를 준비했으니 어떻게 구성되어 있는지 확인해보겠습니다.

binwalk -t BIN_FILE

-t 옵션을 사용하여 터미널 크기에 알맞게 정보를 출력합니다.

명령어 결과를 보면 이번 firmware는 file system이 무려 3개라고 나오네요!

여느 때와 같이 binwalk를 이용하여 추출할 수도 있지만

사진 속 Squashfs 처럼 firmware 중간에 위치한 정보만 뽑아내 직접 file system을 추출할 수도 있습니다.

오늘은 두 가지 방법 모두 시도해보도록 하죠.

3_) file system extraction : binwalk

우선 우리에게 익숙한 binwalk로 빠르게 file system을 추출해보고 가겠습니다.

binwalk -e BIN_FILE

firmware에서 file system을 추출하기 위해선 extraction을 뜻하는 -e 옵션을 사용합니다.

추출을 시도하면 위와 같이 binary file 이름에 extracted를 붙인 폴더가 생성됩니다.

해당 폴더로 들어가 보겠습니다.

폴더 안으로 이동해 내용물을 확인해 보니, 위에서 확인했던 3개의 file system이 모두 추출되어 있네요!!

각 폴더 안에 뭐가 들어있는 지 궁금하시죠!?

이번에도 ls command로 폴더를 열어보니 아래와 같은 결과를 얻을 수 있었습니다.

4_) file system extraction : python code

"아~ binwalk가 만능 해결사입니다. file system 추출하기? 너무 쉽네요 쉬워!!"

라고 지루해 하실 분들을 위해 직접 python code로 자신이 원하는 파일 내용만 가져와 수동으로

file system을 추출하는 방법을 알아볼까 합니다. 😏

python에 익숙하지 않으신 분들도 쉽게 따라하실 수 있는 엄-청 단순하고 짧은 코드이기 때문에

생각보다 만만하실 겁니다!!

우선 수동으로 작업할 환경을 따로 만들어 주겠습니다. mkdir command로 폴더를 하나 만들고

해당 경로로 binary file을 복사해줍니다.

cp command는 coyp의 약자로

cp FILE_NAME PATH

위와 같은 형태로 어떤 파일을 어디로 복사할 건지 알려주면 손쉽게 파일을 복사할 수 있습니다.

---

자 그럼! firmware에서 특정 부분만 쏙 베껴 쓸 python 코드를 작성해보겠습니다.

처음 실행했던 binwalk -t 명령어의 결과를 보면 offset 값을 확인할 수 있는데요,

이 정보를 활용해 어느 위치부터 파일 내용을 읽으면 되는지 시작 위치를 지정해줄 겁니다.

또한 현재 3개의 file system이 연달아 붙어있기 때문에 각 영역이 끝나는 지점도 정확히 알려줘야 하는데요

0x200040 : first squashfs file system
0x550040 : second squashfs file system

550040 - 200040 = 350000

이를 계산하기 위해선 다음 file system의 시작 위치에서 자신의 시작 위치를 빼면 size를 구할 수 있습니다!

마지막으로 파일 내용을 읽어온 다음, 이를 저장할 파일 이름까지 받아주면 준비는 끝납니다.

이제 firmware에서 파일 내용을 읽어올 2개의 squashfs와 jffs 정보로 리스트를 만들어둡니다.

우리가 하고자 하는 원본 firmware에서 각 file system 내용을 읽어와 별도의 파일로 만드는 것입니다.

따라서 firmware_segments 안에 넣어둔 file system 정보를 하나씩 꺼내보면서

원본으로부터 offset에서 size까지 내용을 긁어와 파일을 작성할 겁니다. (파일 이름은 name 값이 되겠죠?)

우리가 작성한 python 코드는 "firmware 풀어헤쳐! 여기부터 저기까지 내용 읽어와!" 라는 느낌으로

f = open(sys.argv[2], "rb")

unpack 이라는 키워드를 사용하면 주어진 파일을 읽기 모드로 열고

out = open(segment.name, "wb")

읽어온 내용을 그대로 베껴 쓸 파일도 하나 열어줍니다. (간단히 복사본이라 부르겠습니다.)

f.seek(segment.offset, 0)
data = f.read(segment.size)

out.write(data)

그런 다음, offset으로 시작 위치를 찾아 size만큼 읽어 복사본이 될 파일에 적어주는 겁니다.

이렇게 작성한 코드에 실행 권한을 부여한 다음, 아래와 같이 입력하여 file system을 각각의 파일로

만들어 보겠습니다.

./extractor.py unpack BIN_FILE

코드를 실행하고 나면..! 성공적으로 file system 내용만 뽑아온 걸 볼 수 있습니다.

이제 각 파일로부터 file system을 추출해내기만 하면 되는데요,

Squashfs와 jffs2는 서로 다른 file system이기 때문에 사용할 명령어도 당연히 다릅니다!

unsquashfs -d OUTPUT INPUT

unsquashfs -d squashfs1_out squashfs1
unsquashfs -d squashfs2_out squashfs2

jffs2 -d OUTPUT INPUT

jffs2 -d jffs2_out jffs2

5_) 결과 비교

여기까지 진행하셨다면 사진과 같이 file system이 추출된 directory 3개를 확인하실 수 있으실 겁니다.

그렇다면 각 directory의 내용물을 확인해 보죠!

짠! 어떤가요!? 뭔가 익숙하지 않으신가요??

---

앞서 binwalk로 file system을 추출했을 때와 동일한 결과임을 눈치채셨을 겁니다!

당연하죠! 같은 firmware에서 추출한 file system이니까요 😂

"결과물이 같으면 그냥 편하게 binwalk 쓰면 됐잖아요!?" 라고 하시겠지만

위에서 작성한 python code는 어떻게 활용하느냐에 따라 굉장히 유용한 상황을 마주하게 될지도 모릅니다.

실제로 우리도 작성한 코드로 file system만 뽑아냈으니까요!

만약 3개 모두 추출하지 않고 딱 하나만 뽑아내고 싶었다면 어땠을까요?

근데 그게 firmware 중간에 위치했다?

dd command를 사용하는 경우에도 원하는 위치의 내용만 복사할 수는 있지만 block size를 지정하고

알맞은 크기로 계산하는 게 은근히 머리가 아픕니다.. 그래서 좀 더 쉽게 원하는 내용만 얻어낼 수 있는

방법을 알아두면 좋겠다 싶어 python code로 가져와 본 겁니다!!

이렇게 해서 오늘은 file system이 여러 개로 들어있는 firmware를 사용하여 수동으로 원하는 내용만

추출해내는 방법에 대해 알아보았습니다. 결과물은 같아도 여러 방법을 구사할 줄 안다는 건 좋은 거니까요!

이 POST가 여러분께 조금이라도 유익했기를 바라며 오늘 내용은 여기서 마치겠습니다. 🖐️

(만약 첫 번째 Squashfs만 추출하고 싶다면 코드를 어떻게 수정하면 될까요? 🤔)