Gorgias

Firmware, sometimes referred to as a firmware image (or simply “ROM” in mobile communities), resides in Non-Volatile Memory (NVM) and can be both read and written. In embedded systems, the most common NVM types are ROM (Read-Only Memory) and Flash memory. While strictly speaking, “ROM” includes Mask ROM, PROM, EPROM, and EEPROM, modern “mainstream ROM” usually refers to EEPROM integrated within an MCU. Flash memory typically serves as the primary external storage.

In embedded devices, beyond standard NAND or NOR flash chips, you may also encounter eMMC. For expandable storage, devices might use SD cards, CF cards, USB drives, or HDDs. These storage solutions generally follow a controller + storage architecture: a controller bridges the host and the storage medium. As long as you can interact with the controller, you can read or write to the underlying storage.

Devices like eMMC, SD cards, and HDDs expose standard external interfaces, allowing them to be read using standard card readers or programming sockets. In contrast, raw flash chips are managed directly by the SoC (System on Chip) via specific drivers; they lack a generic external interface. However, because these chips are memory-mapped peripherals, you can interact with them if you can access their address space. This is the principle behind techniques like reading firmware via JTAG, IAP (In-Application Programming), or bootloaders (like U-Boot). Theoretically, even if the device’s main controller is non-functional, the firmware can still be recovered directly from the storage chip.

For the purpose of this series, I define “firmware” as the original files containing the operating system and data stored on these media. In embedded security research, firmware extraction is almost always the first—and most critical—step. Without the firmware, further research often hits a dead end. This series aims to systematically share the knowledge and techniques I’ve accumulated over years of performing firmware extraction.

EEPROM typically offers much higher endurance (erase/write cycles) than Flash memory. Combined with small package sizes and low write/erase power consumption, EEPROM is often the preferred choice for storing configuration data, particularly in automotive applications.

For high-performance storage, Flash memory is the standard. There are two main types:

• NOR Flash: Supports XIP (eXecute In Place) and offers fast read speeds, but provides slower write and erase operations. It supports random access, making it ideal for code execution.
• NAND Flash: Accessed in blocks rather than randomly. It offers significantly higher capacity, higher throughput, and lower cost per bit, but generally has lower reliability and requires complex management.

To communicate with these media, you must speak their protocols:

• EEPROM: Typically uses I2C or SPI (Serial Peripheral Interface).
• NOR Flash: Serial NOR usually uses SPI; Parallel NOR uses a parallel bus. Protocol standards include JEDEC SFDP (JESD216) for SPI and JEDEC CFI (JESD68) for parallel NOR.
• NAND Flash: Uses the Raw NAND protocol, with most modern devices adhering to the ONFI (Open NAND Flash Interface) standard.

Note: JEDEC (Joint Electron Device Engineering Council) defines standards that allow software to query a Flash chip’s manufacturer and device IDs to determine its size and capabilities. However, not all chips strictly adhere to these standards.

NOR flash is available in parallel and serial variants.

• Serial NOR: Commonly packaged as SOP (Small Outline Package) and uses SPI.
• Parallel NOR: Typically uses TSOP (Thin Small Outline Package) like TSOP-56, or BGA (Ball Grid Array) like TFBGA-56 and LFBGA-64.

Because NOR flash supports random access, it functions similarly to SRAM. Below is the pinout for a parallel NOR flash chip. Manually wiring these (using “flying leads”) can be tedious due to the high pin count.

TSOP-56 Pinout:

NAND flash is a type of non-volatile storage optimized for high density. Embedded devices commonly use SLC (Single Level Cell) NAND, which stores 1 bit per cell.

Flash memory uses a floating-gate transistor structure. Electrons are trapped in an insulated floating gate to store data. A key characteristic of Flash is that it cannot support in-place overwrites. Writing involves capturing electrons, but “erasing” involves releasing them. To erase, a high voltage is applied to pull electrons from the floating gate. Because the source connections are grouped, erasure must happen in large blocks, not individual bytes.

The ONFI standard defines several common packages for NAND flash, typically using SMT (Surface Mount Technology).

TSOP-48:

BGA-63:

NAND flash uses a multiplexed parallel I/O interface, typically 8-bit (x8). Pins marked with # are active-low and usually require pull-up resistors.

NAND is organized hierarchically. Below is the organization of an 8-bit NAND chip from ESMT:

• Page: 2048 bytes (Data) + 64 bytes (Spare/OOB)
• Block: 64 Pages
• Device: 1024 Blocks
• Total Capacity: 1056 Mbits (128 MB Data + 4 MB Spare)

For non-expandable storage (soldered chips), reading methods fall into three categories:

1. Chip-off (Offline): Desolder the chip and read it using a dedicated programmer and socket.
   • Pros: Direct access, works if the device is dead.
   • Cons: Higher cost (hardware), potential for damage, requires handling ECC/bad blocks manually.
2. In-System / In-Circuit (Online): Connect external tools to the PCB to read the chip without desoldering.
   • Methods: SoC debug interfaces (JTAG/SWD) or clamping directly to the storage chip pins (e.g., using a test clip).
   • Tools: J-Link, USBDM, Bus Pirate, or custom harnesses.
3. Internal Backup (Software): Gain shell access (e.g., via UART or partial exploit) and use system tools (dd, cat, nanddump) to dump the firmware partitions.

Tip: You don’t always need expensive programmers. For common protocols, a microcontroller (STM32, AVR) or a Raspberry Pi can often be repurposed as a dumper.

NOR Flash is similar to standard RAM: it supports random access. This enables XIP (eXecute In Place), allowing the CPU to fetch and execute instructions directly from the flash memory. This makes NOR ideal for storing the bootloader or BIOS, which must run immediately upon power-up.

NAND Flash, by contrast, does not support XIP. The CPU cannot execute code directly from NAND. Therefore, the very first stage of boot code cannot reside solely on NAND.

Historical Context (The “NOR-less” Shift): Early devices (like feature phones) used both NOR and NAND: NOR for the bootloader/kernel (XIP) and NAND for the filesystem (storage). Samsung later popularized the “NOR-less” concept. By embedding a small ROM inside the SoC capable of loading a bootloader from the first page of NAND into internal RAM, they eliminated the need for expensive NOR chips. This reduced cost and complexity, making NOR rare in modern high-volume consumer electronics like smartphones.

Managed Flash & FTL: NAND is susceptible to bit flips and bad blocks. It requires a complex software management layer called the FTL (Flash Translation Layer) to handle:

• Error Correction Codes (ECC)
• Bad Block Management
• Wear Leveling
• Garbage Collection

Depending on where this FTL resides, flash is categorized as:

• Raw Flash: The FTL is implemented in the OS driver (software).
• Managed Flash (eMMC, SD, UFS): The FTL is implemented in a hardware controller inside the storage package.

Implications for Extraction: When reading Raw NAND, you get the raw data including bit errors and OOB (Out-Of-Band) metadata. You must manually handle ECC algorithms (e.g., Hamming, BCH) and descrambling to reconstruct a valid binary. Since these algorithms are often vendor-specific and not standard, this is the most challenging part of raw firmware extraction.

Advanced topics on reconstructing firmware from raw dumps will be covered in future posts.

NAND vs. NOR Flash Memory Technology Overview

Understanding Flash: Blocks, Pages and Program / Erases

UEFI Blog 杂谈闪存二：NOR和NAND Flash

NAND Flash memory in embedded systems

JEDEC

ONFI

I originally wrote this post last year but accidentally set the GitHub repository to private and lost the README. After re-uploading, the context felt slightly dated, but the technical content remains relevant.

UBI (Unsorted Block Images) is a volume management system for raw flash devices designed by IBM. It can manage multiple logical volumes on a single physical device and supports wear leveling. It is widely used in embedded devices.

Speaking of raw flash, we should first explain what MTD (Memory Technology Device) is. MTD is a Linux subsystem used to access memory devices (especially flash devices). It serves as an abstraction layer between hardware and filesystems. Taking NAND flash as an example, MTD encapsulates NAND operations and provides abstract interfaces to upper-layer filesystem drivers. An MTD device consists of eraseblocks. The MTD driver provides read, write, and erase operations—but before modifying any block, you must erase it first.

UBI shares similarities with LVM (Logical Volume Management). While LVM maps logical sectors to physical sectors, UBI maps Logical Erase Blocks (LEBs) to Physical Erase Blocks (PEBs). Fundamentally, UBI operates at the eraseblock level.

At the beginning of each UBI block (excluding bad blocks), there are two 64-byte headers:

• EC header (erase counter header), which contains per-PEB information (VID header offset, data offset).
• VID header (volume identifier header), which contains the volume ID and the PEB number corresponding to a given LEB.

In the Linux source tree under linux/drivers/mtd/ubi/, ubi-media.h defines both the EC header and VID header.

The volume with ID UBI_INTERNAL_VOL_START is dedicated to storing volume table records.

It contains the volume name:

On a typical MTD device, the initial sectors are reserved for the bootloader, while the subsequent regions are allocated for UBI. The figure below provides a simplified example; in practice, multiple UBI volumes and other partitions may be interleaved. UBI employs a mechanism called “fastmap” to map LEBs onto non-contiguous PEBs, providing an abstraction layer for UBIFS.

MTD provides user-space tools for directly operating on UBI: mtd-utils

http://git.infradead.org/mtd-utils.git

• ubinfo - provides information about UBI devices and volumes found in the system;
• ubiattach - attaches MTD devices (which describe raw flash) to UBI and creates corresponding UBI devices;
• ubidetach - detaches MTD devices from UBI devices (the opposite to what ubiattach does);
• ubimkvol - creates UBI volumes on UBI devices;
• ubirmvol - removes UBI volumes from UBI devices;
• ubiblock - manages block interfaces for UBI volumes. See here for more information;
• ubiupdatevol - updates UBI volumes; this tool uses the UBI volume update feature which leaves the volume in “corrupted” state if the update was interrupted; additionally, this tool may be used to wipe out UBI volumes;
• ubicrc32 - calculates CRC-32 checksum of a file with the same initial seed as UBI would use;
• ubinize - generates UBI images;
• ubiformat - formats empty flash, erases flash and preserves erase counters, flashes UBI images to MTD devices;
• mtdinfo - reports information about MTD devices found in the system.

While the above tools operate on UBI, standard PCs lack native MTD devices. To analyze a raw flash firmware dump from an embedded device on a PC, you must simulate an MTD device. The most common tool for this is NANDSim.

• mtdram which simulates NOR flash in RAM;
• nandsim which simulates NAND flash in RAM;
• block2mtd which simulates NOR flash on top of a block device;

First, examine NANDSim’s parameters. Given the large number of options, correct configuration is key.

To understand NANDSim’s implementation, one can examine the kernel driver source code. Briefly, nandsim.c calls nand_scan_ident in nand_base.c. During nand_detect, a Read ID operation is performed: nand_readid_op sends 0x90,0x00 to the NAND device. Subsequently, nand_get_manufacturer matches the manufacturer ID. Finally, nand_scan_tail initializes the NAND chip and sets the appropriate properties.

The NAND chip datasheet specifies the ID bytes in detail.

Therefore, we must set the ID correctly. This allows the driver to automatically configure the capacity, page size, and other parameters. For NANDSim, only the first four ID parameters are required.

If you need to tune the NAND simulation parameters, use the datasheet table to choose appropriate values.

Typically, an embedded device stores the bootloader and other partitions on the same chip as the system partition. Consequently, partitioning NANDSim is necessary. In this example, the eraseblock size is 128KB (0x20000).

Write a script to locate UBI regions in the dump:

512MB = 4096 * 128 KB, so this chip has 4K blocks.

Load the MTD modules and the NANDSim module:

Verify the MTD device information to ensure the partitions were created successfully.

You can also check dmesg for detailed load info, including chip and partition info.

You can also view the MTD partition table via:

mtd0 represents the entire MTD device. Write the extracted firmware into this device; since the simulation runs in RAM, the operation is extremely fast.

Examining the ubi module parameters reveals an mtd parameter. However, using this may fail if the default VID header offset (512) does not match the target image.

Instead, load the ubi module first, then use ubiattach from mtd-utils to specify the parameters explicitly:

You should then see attach success messages:

Next, mount the UBIFS volume to access the filesystem contents.

In some cases, SquashFS runs on top of UBI, which causes standard UBIFS mounts to fail:

The hsqs magic bytes identify this as a SquashFS image. It can be extracted directly as SquashFS:

Detach/unload:

Install via pip (or download): https://github.com/jrspruitt/ubi_reader

First, check whether it correctly identifies UBI metadata:

Extract all files (but it will fail if another filesystem is present):

It is recommended to first restore PEBs to LEBs before analyzing individual volumes:

After mounting UBIFS, modification and repacking might be required. Direct use of dd is not suitable for this task.

First, pay attention to the output from ubiattach—it prints LEB information:

There are 240 LEBs in total, with each LEB being 126976 bytes. These parameters must be passed to mkfs.ubifs to build the UBIFS image:

Create ubi_config.ini:

The vol_size must match the image size. Additionally, the file must end with an empty line to avoid the following error: ubinize: error!: cannot load the input ini file "ubi_config.ini"

Finally, use ubinize to generate the UBI image:

Where:

• -e: Number of eraseblocks (default is 0). This can be quickly verified with binwalk.
• -Q: Image sequence number, viewable with ubi_display_info.
• -x: UBI version (default is 1).
• -s: Sub-page size. Not all NAND flash supports sub-pages. Typically, SLC NAND with 2048-byte pages uses 4 sub-pages of 512 bytes, whereas MLC usually does not have sub-pages.
• -m: Page size.
• -p: Physical eraseblock size. A physical block usually consists of 64 pages; refer to the NAND datasheet for specifics.

Below is an example of flashing rootfs.ubi to mtd7:

For SquashFS filesystems, building UBIFS is unnecessary. After modifying the contents, simply repack SquashFS using mksquashfs. Ensure that ownership and permissions are correct (e.g., if the target system runs as root, pack as root). Then, use ubinize to wrap it into a UBI image.

Memory Technology Devices

UBI - Unsorted Block Images

Mounting and Rebuilding UBI Images

固件 (Firmware), 在港澳台称作韧体, 在手机领域又称作字库。它位于非易失性存储(Non-Volatile Memory，NVM)中，可以被读写。在嵌入式领域，最常见的NVM类型是ROM(read-only memory)和Flash Memory， 其中ROM包括Mask ROM、PROM、EPROM、EEPROM；现在主流的ROM就是EEPROM，一般是在MCU内部；而更加主流的外存一般都是Flash Memory。

在嵌入式设备中，除了使用最基本的NAND或者NOR Flash芯片，还可能会使用eMMC；扩展存储会用到SD卡，CF卡，HDD等；这些都是有一个主控再加一个存储区，主控和上位机通信，只要能访问主控，就能读写存储芯片的内容。对于eMMC、SD卡、CF卡、HDD之类的设备，它的主控对外有通用的接口，只要用读卡器或者烧录座就可以读取。但是对于SoC直接管理的存储芯片，并没有对外部的通用接口，但是主控都是驱动控制的，所以只要能访问内存（外围设备的地址）就行了，因此有一些JTAG读固件、IAP读取固件、U-Boot读取固件的技巧，是而且理论上主控坏了，我们还能从存储区读取出固件。

只要是这些设备存放了操作系统，我把这原始的文件都称作固件。在嵌入式安全研究中，固件提取总是最初的工作，也是最重要的工作，决定了研究是否能继续下去。因此我决定整理这几年关于固件提取的知识分享出来。

由于EEPROM产品比Flash产品在擦写次数上有着更大的优势，再加上更小的尺寸和较低的擦写电流，因此成为车载应用中首选的存储技术。

但是对于性能较高的设备，就要用到Flash。NAND对比NOR，支持XIP，而且读取速度很快，但是写入和擦除速度很慢。NAND 的容量要大很多，速度快，价格也相对便宜，但是可靠性较低。 NAND以块为单位来访问数据，而NOR Flash可以随机访问数据。

要与固件载体通信，修改里面的数据，就要有相应的协议。对于EEPROM，协议主要有I2C, SPI，其中SPI有多种模式。而NAND Flash使用的是Raw NAND协议，现在几乎都遵循ONFI标准。对于NOR Flash一般有SPI协议；SPI的Flash一般遵循JEDEC SFDP(JESD216)标准，而Parallel NOR支持JEDEC CFI(JESD68)标准。

JEDEC：全称是Joint Electron Device Engineering Council 即电子元件工业联合会。JEDEC是由生产厂商们制定的国际性协议，JEDEC用来帮助程序读取Flash的制造商ID和设备ID，以确定Flash的大小和算法。

注意：不一定所有芯片都遵循这些标准。

NOR Flash 有并行和串行两种，串行一般是SOP封装，使用SPI协议。并行只有极少数BGA封装，一般是TSOP封装，TSOP-56, TFBGA-56, LFBGA-64。

NOR Flash支持随机访问，因此擦除单位是Byte。这里指的是并行信号引脚，NOR的信号线和SRAM基本上是一样的。如果飞线会特别麻烦。

TSOP-56

NAND Flash属于非易失性存储器，对于嵌入式设备，一般使用SLC，单位是1-bit，是一种浮栅结构，可以捕获电子并且外部绝缘，断电之后可以保留数据。Flash都不支持覆盖，即写入操作只能在空或已擦除的单元内进行。

擦除方法是在源极加正电压利用第一级浮空栅与漏极之间的隧道效应，将注入到浮空栅的负电荷吸引到源极。由于利用源极加正电压擦除，因此各单元的源极联在一起，这样，擦除不能按字节擦除，而是全片或者分块擦除。

ONFI标准定义了一些常用的NAND封装，NAND Flash一般是TSOP和BGA的封装，都使用SMT的贴装方式。下图是不同封装的引脚定义。

TSOP-48

BGA-63

NAND Flash并行输入输出，一般是8位I/O，也就是x8。图中具有上划线的引脚(在这里使用"#“号表示)，是低电平有效，该引脚默认应该是上拉的状态。

ESMT厂商的某款8位NAND的阵列组织如下，一页有2048存储+64Cache字节，一个块含有64个页，该NAND Flash有1024个块，加上Cache就是1056M-bit。也就是128MB容量+4MB的缓存。

这里说的是非扩展存储。固件提取按照读取方式，分为下列几种：脱机读取(Chip-Off)，在线读取，内部备份。

内部备份，指拿到了设备权限，从块设备备份数据，或者从I2C、SPI驱动接口读取数据。

在线读取，指在设备上外接工具、使用设备主芯片特有的调试接口，或者是存储芯片的通用接口读取数据。一般准备USB线束，或者使用JLink，USBDM之类的调试工具（也有很多冷门芯片需要特殊调试工具），属于IAP方式提取固件。

脱机读取，把目标存储芯片拆下，使用烧录座和编程器读取。该方式读取成本较高，而且编程器和与芯片相配的主控不一定兼容，因此还要手动修复固件。

在了解了芯片的标准和通信协议后，对于一些冷门的存储芯片，其实可以不依赖编程器。使用STM32、AVR或者树莓派都能完成固件提取工作。

NOR Flash和普通的内存比较像的一点是他们都可以支持随机访问，这使它也具有支持片内执行(XIP, eXecute In Place)的特性，可以像普通ROM一样执行程序。这点让它成为BIOS等开机就要执行的代码的绝佳载体。

与NOR Flash不同的是，NAND不支持XIP，因此不能存放最开始的Bootloader。

最早的手机等设备之中既有NOR Flash也有NAND Flash。NOR Flash很小，因为支持XIP，所以负责初始化系统并提供NAND Flash的驱动，类似Bootloader。而NAND Flash则存储数据和OS镜像。三星最早提出NOR less的概念，在它的CPU on die ROM中固化了NAND Flash的驱动，会把NAND flash的开始一小段拷贝到内存低端作为bootloader,这样昂贵的NOR Flash就被节省下来了，降低了手机主板成本和复杂度。渐渐NOR Flash在手机中慢慢消失了。

NAND Flash相对NOR Flash更可能发生比特翻转，就必须采用错误探测/错误更正(EDC/ECC)算法，同时NAND Flash随着使用会渐渐产生坏块；通常需要有一个特殊的软件层，实现坏块管理、擦写均衡、ECC、垃圾回收等的功能，这一个软件层称为 FTL（Flash Translation Layer）。根据 FTL 所在的位置的不同，可以把 Flash Memory 分为 Raw Flash 和 Managed Flash 两类：

最早大家都是使用Raw Flash，FTL全由驱动程序实现。后来发展到SD和eMMC等，则由硬主控实现。

因此要读取原始NAND，还要考虑坏块管理，擦写平衡，ECC等功能。

其中ECC是最难的地方，因为从编程器读取NAND很大可能会出现错误，需要纠错。大部分NAND Flash使用了硬件ECC，算法由硬件决定，对于SLC颗粒，一般使用hanming，BCH之类的算法，这些实现在网上都没有标准的源码，因此需要特殊途径搞到ECC算法。

根据存储芯片应用特性，可以推断出它的用途是存放Bootloader，是系统，还是临时数据。根据芯片支持的规范，可以读取其中的内容。 后续会分享一系列进阶的固件提取知识。

NAND vs. NOR Flash Memory Technology Overview

Understanding Flash: Blocks, Pages and Program / Erases

UEFI Blog 杂谈闪存二：NOR和NAND Flash

NAND Flash memory in embedded systems

JEDEC

ONFI

去年写的，不小心把github仓库弄成私有，Readme没了，重新传了个Readme，觉得有点不好意思。先把这篇文章放出来吧

UBI(Unsorted Block Images)全称未分类块镜像。由IBM公司设计，是一个基于Raw Flash设备的卷管理系统，可以在单个物理设备上管理多个逻辑卷，并且支持耗损均衡(wear-leveling)。广泛应用于嵌入式设备。

提到Raw Flash，就要解释一下什么是MTD(Memory Technology Device)。MTD是用于访问Memory设备(尤其是Flash设备)的一个Linux子系统，作为硬件和文件系统之间的抽象层。以NAND Flash为例，MTD对NAND flash封装，为上层文件系统驱动提供抽象接口。MTD设备由擦除块(Eraseblocks)组成，MTD驱动提供了读写和擦除三种操作，但是在修改每个块之前都要先擦除。

UBI有点像LVM(Logical Volume Management)，LVM提供逻辑扇区到物理扇区的映射，而UBI提供逻辑擦除块(LEB)到物理擦除块(PEB)的映射。从上述可知，UBI是以块为单位操作的。

在每个UBI块（非坏块）的头部，有两个长度为64字节的头信息。

• EC header(erase counter header)，包含了每个PEB的信息(VID的偏移，数据的偏移)。
• VID Header(volume identifier header)，包含了卷ID和LEB对应PEB的编号。

在Linux源码/linux/drivers/mtd/ubi目录，ubi-media.h内，有EC header和VID header的定义。

ID为UBI_INTERNAL_VOL_START的卷，专门用来存放分卷表的记录。

其中包含卷名

一个MTD设备前面的部分一般用于存放Bootloader，后面用于UBI。下图只是一个简单的举例，实际情况可能是多个UBI和其他分区间接排列。UBI使用fastmap将LEB到映射到乱序的PEB，为UBIFS提供抽象接口。

MTD为提供了直接操作UBI的工具：MTD-Utils

http://git.infradead.org/mtd-utils.git

• ubinfo - provides information about UBI devices and volumes found in the system;
• ubiattach - attaches MTD devices (which describe raw flash) to UBI and creates corresponding UBI devices;
• ubidetach - detaches MTD devices from UBI devices (the opposite to what ubiattach does);
• ubimkvol - creates UBI volumes on UBI devices;
• ubirmvol - removes UBI volumes from UBI devices;
• ubiblock - manages block interfaces for UBI volumes. See here for more information;
• ubiupdatevol - updates UBI volumes; this tool uses the UBI volume update feature which leaves the volume in “corrupted” state if the update was interrupted; additionally, this tool may be used to wipe out UBI volumes;
• ubicrc32 - calculates CRC-32 checksum of a file with the same initial seed as UBI would use;
• ubinize - generates UBI images;
• ubiformat - formats empty flash, erases flash and preserves erase counters, flashes UBI images to MTD devices;
• mtdinfo - reports information about MTD devices found in the system.

上面的工具只能操作UBI，而一般电脑上没有MTD设备。当从嵌入式设备提取了原始的Flash固件，想要在电脑上读取，可以使用来模拟一个MTD设备。一般情况下，会使用到NANDSim。

• mtdram which simulates NOR flash in RAM;
• nandsim which simulates NAND flash in RAM;
• block2mtd which simulates NOR flash on top of a block device;

首先看NANDSim的参数，一大堆参数该如何配置呢？

可以去阅读内核驱动源码来了解NANDSim的实现，这里简单说明一下。首先由nandsim.c 调用nand_base.c中的nand_scan_ident，在nand_detect中会进行Read ID操作，nand_readid_op对NAND发送0x90,0x00。随后在nand_get_manufacturer，匹配厂商ID，最后在nand_scan_tail中初始化NAND芯片，设置各项属性。

NANDFlash的芯片手册会表明ID的具体参数

所以我们需要将ID设定正确，驱动会根据ID自动设置容量，页大小等数据。在NANDSim的参数只需要前四项。

如果需要调整模拟NAND的参数，可以根据芯片手册上的数据表来选择。

一般情况下，嵌入式设备的bootloader等其他分区都会和系统分区放在同一个芯片内。因此需要对NANDSim分区，该芯片的eraseblocks以128KB为单位，也就是0x20000。

写一个脚本来寻找UBI的分布

512MB = 4096 * 128 KB，该芯片有4K个块。

加载MTD模块和NANDSim模块

查看MTD设备的信息，可以看到分区已经创建成功。

通过dmesg可以看到加载的具体信息，包括芯片信息和分区信息。

也可以通过下面的命令查看MTD分区表

MTD0是整个MTD设备，将提取出的固件写入MTD设备，因为是在内存中模拟，所以速度很快。

查看ubi模块信息，会发现有mtd参数，实际上使用此参数会出错，因为默认的VID Header长度为512。

因此需要先挂载UBI模块，然后使用MTD-Utils的UBI Attach指定相关参数。

接下来可以看到挂载成功的信息

随后指定文件系统UBIFS进行挂载，可以成功读取到文件系统里的内容。

有时候在UBI之上会使用SquashFS，因此常规的挂载方法会失效

这里的hsqs是SquashFS的Magic，因此只需要将UBI用squashfs挂载即可

卸载操作如下

下载或使用PIP安装，https://github.com/jrspruitt/ubi_reader

先看是否准确识别UBI信息

完全提取文件，但是遇到其他文件系统就会失败。

所以建议先还原PEB到LEB，然后再对其各个卷进行分析。

挂载UBIFS之后，有可能需要修改文件重打包，使用dd命令不可行。

首先记住ubiattach命令后的回显，会打印出LEB信息

总共240个LEB，每个LEB占用12696字节，在mkfs里把ubifs的参数填入，打包成UBIFS。

新建ubi_config.ini文件

vol_size一定要和image的尺寸对应，最后一行为空，否则报错 ubinize: error!: cannot load the input ini file “ubi_config.ini”

最后用ubinize生成UBI文件

-e 是擦除块的数量，默认是0，可以用binwalk快速查看 -Q 是映像的顺序号，可用ubi_display_info查看 -x 是UBI的版本，默认是1 -s 是子页大小，不是所有的NAND都有子页，一般来说SLC颗粒的2048字节的NAND页是由4个512字节的子页组成，MLC没有子页 -m 是页大小 -p 是物理块大小，一个物理块一般有64页，参考NAND Flash手册

下面是给mtd7烧写rootfs.ubi

如果是SquashFS的文件系统，那么不需要构建ubifs，在修改完系统内容后，直接用mksquashfs打包SquashFS，一定要用相应的权限打包，如果目标系统是root，那么就在root下打包。后续操作就是用ubinize打包成UBI。

Memory Technology Devices

UBI - Unsorted Block Images

挂载和反向制作 ubi 镜像

固件 (Firmware), 在港澳台称作韧体, 在手机领域又称作字库。它位于非易失性存储(Non-Volatile Memory，NVM)中，可以被读写。在嵌入式领域，最常见的NVM类型是ROM(read-only memory)和Flash Memory， 其中ROM包括Mask ROM、PROM、EPROM、EEPROM；现在主流的ROM就是EEPROM，一般是在MCU内部；而更加主流的外存一般都是Flash Memory。

在嵌入式设备中，除了使用最基本的NAND或者NOR Flash芯片，还可能会使用eMMC；扩展存储会用到SD卡，CF卡，HDD等；这些都是有一个主控再加一个存储区，主控和上位机通信，只要能访问主控，就能读写存储芯片的内容。对于eMMC、SD卡、CF卡、HDD之类的设备，它的主控对外有通用的接口，只要用读卡器或者烧录座就可以读取。但是对于SoC直接管理的存储芯片，并没有对外部的通用接口，但是主控都是驱动控制的，所以只要能访问内存（外围设备的地址）就行了，因此有一些JTAG读固件、IAP读取固件、U-Boot读取固件的技巧，是而且理论上主控坏了，我们还能从存储区读取出固件。

只要是这些设备存放了操作系统，我把这原始的文件都称作固件。在嵌入式安全研究中，固件提取总是最初的工作，也是最重要的工作，决定了研究是否能继续下去。因此我决定整理这几年关于固件提取的知识分享出来。

由于EEPROM产品比Flash产品在擦写次数上有着更大的优势，再加上更小的尺寸和较低的擦写电流，因此成为车载应用中首选的存储技术。

但是对于性能较高的设备，就要用到Flash。NAND对比NOR，支持XIP，而且读取速度很快，但是写入和擦除速度很慢。NAND 的容量要大很多，速度快，价格也相对便宜，但是可靠性较低。 NAND以块为单位来访问数据，而NOR Flash可以随机访问数据。

要与固件载体通信，修改里面的数据，就要有相应的协议。对于EEPROM，协议主要有I2C, SPI，其中SPI有多种模式。而NAND Flash使用的是Raw NAND协议，现在几乎都遵循ONFI标准。对于NOR Flash一般有SPI协议；SPI的Flash一般遵循JEDEC SFDP(JESD216)标准，而Parallel NOR支持JEDEC CFI(JESD68)标准。

JEDEC：全称是Joint Electron Device Engineering Council 即电子元件工业联合会。JEDEC是由生产厂商们制定的国际性协议，JEDEC用来帮助程序读取Flash的制造商ID和设备ID，以确定Flash的大小和算法。

注意：不一定所有芯片都遵循这些标准。

NOR Flash 有并行和串行两种，串行一般是SOP封装，使用SPI协议。并行只有极少数BGA封装，一般是TSOP封装，TSOP-56, TFBGA-56, LFBGA-64。

NOR Flash支持随机访问，因此擦除单位是Byte。这里指的是并行信号引脚，NOR的信号线和SRAM基本上是一样的。如果飞线会特别麻烦。

TSOP-56

NAND Flash属于非易失性存储器，对于嵌入式设备，一般使用SLC，单位是1-bit，是一种浮栅结构，可以捕获电子并且外部绝缘，断电之后可以保留数据。Flash都不支持覆盖，即写入操作只能在空或已擦除的单元内进行。

擦除方法是在源极加正电压利用第一级浮空栅与漏极之间的隧道效应，将注入到浮空栅的负电荷吸引到源极。由于利用源极加正电压擦除，因此各单元的源极联在一起，这样，擦除不能按字节擦除，而是全片或者分块擦除。

ONFI标准定义了一些常用的NAND封装，NAND Flash一般是TSOP和BGA的封装，都使用SMT的贴装方式。下图是不同封装的引脚定义。

TSOP-48

BGA-63

NAND Flash并行输入输出，一般是8位I/O，也就是x8。图中具有上划线的引脚(在这里使用"#“号表示)，是低电平有效，该引脚默认应该是上拉的状态。

ESMT厂商的某款8位NAND的阵列组织如下，一页有2048存储+64Cache字节，一个块含有64个页，该NAND Flash有1024个块，加上Cache就是1056M-bit。也就是128MB容量+4MB的缓存。

这里说的是非扩展存储。固件提取按照读取方式，分为下列几种：脱机读取(Chip-Off)，在线读取，内部备份。

内部备份，指拿到了设备权限，从块设备备份数据，或者从I2C、SPI驱动接口读取数据。

在线读取，指在设备上外接工具、使用设备主芯片特有的调试接口，或者是存储芯片的通用接口读取数据。一般准备USB线束，或者使用JLink，USBDM之类的调试工具（也有很多冷门芯片需要特殊调试工具），属于IAP方式提取固件。

脱机读取，把目标存储芯片拆下，使用烧录座和编程器读取。该方式读取成本较高，而且编程器和与芯片相配的主控不一定兼容，因此还要手动修复固件。

在了解了芯片的标准和通信协议后，对于一些冷门的存储芯片，其实可以不依赖编程器。使用STM32、AVR或者树莓派都能完成固件提取工作。

NOR Flash和普通的内存比较像的一点是他们都可以支持随机访问，这使它也具有支持片内执行(XIP, eXecute In Place)的特性，可以像普通ROM一样执行程序。这点让它成为BIOS等开机就要执行的代码的绝佳载体。

与NOR Flash不同的是，NAND不支持XIP，因此不能存放最开始的Bootloader。

最早的手机等设备之中既有NOR Flash也有NAND Flash。NOR Flash很小，因为支持XIP，所以负责初始化系统并提供NAND Flash的驱动，类似Bootloader。而NAND Flash则存储数据和OS镜像。三星最早提出NOR less的概念，在它的CPU on die ROM中固化了NAND Flash的驱动，会把NAND flash的开始一小段拷贝到内存低端作为bootloader,这样昂贵的NOR Flash就被节省下来了，降低了手机主板成本和复杂度。渐渐NOR Flash在手机中慢慢消失了。

NAND Flash相对NOR Flash更可能发生比特翻转，就必须采用错误探测/错误更正(EDC/ECC)算法，同时NAND Flash随着使用会渐渐产生坏块；通常需要有一个特殊的软件层，实现坏块管理、擦写均衡、ECC、垃圾回收等的功能，这一个软件层称为 FTL（Flash Translation Layer）。根据 FTL 所在的位置的不同，可以把 Flash Memory 分为 Raw Flash 和 Managed Flash 两类：

最早大家都是使用Raw Flash，FTL全由驱动程序实现。后来发展到SD和eMMC等，则由硬主控实现。

因此要读取原始NAND，还要考虑坏块管理，擦写平衡，ECC等功能。

其中ECC是最难的地方，因为从编程器读取NAND很大可能会出现错误，需要纠错。大部分NAND Flash使用了硬件ECC，算法由硬件决定，对于SLC颗粒，一般使用hanming，BCH之类的算法，这些实现在网上都没有标准的源码，因此需要特殊途径搞到ECC算法。

根据存储芯片应用特性，可以推断出它的用途是存放Bootloader，是系统，还是临时数据。根据芯片支持的规范，可以读取其中的内容。 后续会分享一系列进阶的固件提取知识。

NAND vs. NOR Flash Memory Technology Overview

Understanding Flash: Blocks, Pages and Program / Erases

UEFI Blog 杂谈闪存二：NOR和NAND Flash

NAND Flash memory in embedded systems

JEDEC

ONFI

去年写的，不小心把github仓库弄成私有，Readme没了，重新传了个Readme，觉得有点不好意思。先把这篇文章放出来吧

UBI(Unsorted Block Images)全称未分类块镜像。由IBM公司设计，是一个基于Raw Flash设备的卷管理系统，可以在单个物理设备上管理多个逻辑卷，并且支持耗损均衡(wear-leveling)。广泛应用于嵌入式设备。

提到Raw Flash，就要解释一下什么是MTD(Memory Technology Device)。MTD是用于访问Memory设备(尤其是Flash设备)的一个Linux子系统，作为硬件和文件系统之间的抽象层。以NAND Flash为例，MTD对NAND flash封装，为上层文件系统驱动提供抽象接口。MTD设备由擦除块(Eraseblocks)组成，MTD驱动提供了读写和擦除三种操作，但是在修改每个块之前都要先擦除。

UBI有点像LVM(Logical Volume Management)，LVM提供逻辑扇区到物理扇区的映射，而UBI提供逻辑擦除块(LEB)到物理擦除块(PEB)的映射。从上述可知，UBI是以块为单位操作的。

在每个UBI块（非坏块）的头部，有两个长度为64字节的头信息。

• EC header(erase counter header)，包含了每个PEB的信息(VID的偏移，数据的偏移)。
• VID Header(volume identifier header)，包含了卷ID和LEB对应PEB的编号。

在Linux源码/linux/drivers/mtd/ubi目录，ubi-media.h内，有EC header和VID header的定义。

ID为UBI_INTERNAL_VOL_START的卷，专门用来存放分卷表的记录。

其中包含卷名

一个MTD设备前面的部分一般用于存放Bootloader，后面用于UBI。下图只是一个简单的举例，实际情况可能是多个UBI和其他分区间接排列。UBI使用fastmap将LEB到映射到乱序的PEB，为UBIFS提供抽象接口。

MTD为提供了直接操作UBI的工具：MTD-Utils

http://git.infradead.org/mtd-utils.git

• ubinfo - provides information about UBI devices and volumes found in the system;
• ubiattach - attaches MTD devices (which describe raw flash) to UBI and creates corresponding UBI devices;
• ubidetach - detaches MTD devices from UBI devices (the opposite to what ubiattach does);
• ubimkvol - creates UBI volumes on UBI devices;
• ubirmvol - removes UBI volumes from UBI devices;
• ubiblock - manages block interfaces for UBI volumes. See here for more information;
• ubiupdatevol - updates UBI volumes; this tool uses the UBI volume update feature which leaves the volume in “corrupted” state if the update was interrupted; additionally, this tool may be used to wipe out UBI volumes;
• ubicrc32 - calculates CRC-32 checksum of a file with the same initial seed as UBI would use;
• ubinize - generates UBI images;
• ubiformat - formats empty flash, erases flash and preserves erase counters, flashes UBI images to MTD devices;
• mtdinfo - reports information about MTD devices found in the system.

上面的工具只能操作UBI，而一般电脑上没有MTD设备。当从嵌入式设备提取了原始的Flash固件，想要在电脑上读取，可以使用来模拟一个MTD设备。一般情况下，会使用到NANDSim。

• mtdram which simulates NOR flash in RAM;
• nandsim which simulates NAND flash in RAM;
• block2mtd which simulates NOR flash on top of a block device;

首先看NANDSim的参数，一大堆参数该如何配置呢？

可以去阅读内核驱动源码来了解NANDSim的实现，这里简单说明一下。首先由nandsim.c 调用nand_base.c中的nand_scan_ident，在nand_detect中会进行Read ID操作，nand_readid_op对NAND发送0x90,0x00。随后在nand_get_manufacturer，匹配厂商ID，最后在nand_scan_tail中初始化NAND芯片，设置各项属性。

NANDFlash的芯片手册会表明ID的具体参数

所以我们需要将ID设定正确，驱动会根据ID自动设置容量，页大小等数据。在NANDSim的参数只需要前四项。

如果需要调整模拟NAND的参数，可以根据芯片手册上的数据表来选择。

一般情况下，嵌入式设备的bootloader等其他分区都会和系统分区放在同一个芯片内。因此需要对NANDSim分区，该芯片的eraseblocks以128KB为单位，也就是0x20000。

写一个脚本来寻找UBI的分布

512MB = 4096 * 128 KB，该芯片有4K个块。

加载MTD模块和NANDSim模块

查看MTD设备的信息，可以看到分区已经创建成功。

通过dmesg可以看到加载的具体信息，包括芯片信息和分区信息。

也可以通过下面的命令查看MTD分区表

MTD0是整个MTD设备，将提取出的固件写入MTD设备，因为是在内存中模拟，所以速度很快。

查看ubi模块信息，会发现有mtd参数，实际上使用此参数会出错，因为默认的VID Header长度为512。

因此需要先挂载UBI模块，然后使用MTD-Utils的UBI Attach指定相关参数。

接下来可以看到挂载成功的信息

随后指定文件系统UBIFS进行挂载，可以成功读取到文件系统里的内容。

有时候在UBI之上会使用SquashFS，因此常规的挂载方法会失效

这里的hsqs是SquashFS的Magic，因此只需要将UBI用squashfs挂载即可

卸载操作如下

下载或使用PIP安装，https://github.com/jrspruitt/ubi_reader

先看是否准确识别UBI信息

完全提取文件，但是遇到其他文件系统就会失败。

所以建议先还原PEB到LEB，然后再对其各个卷进行分析。

挂载UBIFS之后，有可能需要修改文件重打包，使用dd命令不可行。

首先记住ubiattach命令后的回显，会打印出LEB信息

总共240个LEB，每个LEB占用12696字节，在mkfs里把ubifs的参数填入，打包成UBIFS。

新建ubi_config.ini文件

vol_size一定要和image的尺寸对应，最后一行为空，否则报错 ubinize: error!: cannot load the input ini file “ubi_config.ini”

最后用ubinize生成UBI文件

-e 是擦除块的数量，默认是0，可以用binwalk快速查看 -Q 是映像的顺序号，可用ubi_display_info查看 -x 是UBI的版本，默认是1 -s 是子页大小，不是所有的NAND都有子页，一般来说SLC颗粒的2048字节的NAND页是由4个512字节的子页组成，MLC没有子页 -m 是页大小 -p 是物理块大小，一个物理块一般有64页，参考NAND Flash手册

下面是给mtd7烧写rootfs.ubi

如果是SquashFS的文件系统，那么不需要构建ubifs，在修改完系统内容后，直接用mksquashfs打包SquashFS，一定要用相应的权限打包，如果目标系统是root，那么就在root下打包。后续操作就是用ubinize打包成UBI。

Memory Technology Devices

UBI - Unsorted Block Images

挂载和反向制作 ubi 镜像

使用华为E5885L一年多了，对我而言，它不仅是一款完美的4G便携路由器，而且经过改造之后更是一款渗透利器。尽管这是一款非常美好的产品，但是在安全研究的工作中，还是发现有不少痛点。但是在使用了GL.iNet MIFI之后，完全满足了我的测试需求。尽管能够解决问题，但是某些地

在车联网领域，TCU（Telematics control unit）是联网汽车不可缺少的一个单元（也叫T-Box，Te

使用华为E5885L一年多了，对我而言，它不仅是一款完美的4G便携路由器，而且经过改造之后更是一款渗透利器。尽管这是一款非常美好的产品，但是在安全研究的工作中，还是发现有不少痛点。但是在使用了GL.iNet MIFI之后，完全满足了我的测试需求。尽管能够解决问题，但是某些地方太粗糙了。

外壳

在侧面有很特别的出风口，跟眼睛一样o皿o，里面有风扇的形状，又丑又没用。

拆机之后，可以看到简陋的电池黏在外壳上，用一张墨绿色的纸挡住

首先E5885L使用了HiSilicon LTE Cat6的芯片集，基带的型号是hi6932，这个基带芯片实际上还用于车规级的芯片919系列，至少性能是值得肯定的。但是，车规级芯片如果作为NAD，网络负载压力也十分地小，便携路由方案的RAM要比车规级小很多。一旦负载量增大，便会出现网络不稳定的问题，这种场景主要还是容易发生在测试过程中。

某些场景需要两个RJ45接口，E5885L就不能满足了，但是GL-MIFI有两个RJ45接口，并且WAN口可以配置成LAN口。十分灵活

有时需要进行ARP欺骗，因为E5885L的配置，导致不能成功实现。

E5885L修改IMEI要重启系统才能生效，而GL-MIFI的处理器和基带芯片是分开的，因此只需要重置4G模块就能生效

GL-MIFI支持USB外接3G/4G Modem，很多时候，PC无法使用Modem拨号、有可能是驱动不支持，有可能是pppd配置不正确，此时，我们能把目标Modem放到GL-MIFI上面识别，可以免去E-SIM飞线的工作。

内部天线也是贴在外壳上，GL-MIFI使用的是移远EC20 4G模块，Mini PCI-E接口，国内版使用EC20-CEHCLG型号，仅支持上网，不能拨打电话。

在PCB上引出了许多AR9331的GPIO引脚，有助于开发IoT应用。

在Web界面提供了快速AT命令的插件。

很方便的进行基础操作

修改IMEI非常方便

支持配置APN，非常方便

默认开放SSH服务，基于OpenWRT编译，gl.inet提供的软件源速度快。

https://forum.gl-inet.com/t/mifi-install-package-on-external-storage-usb-or-sd-card/4332

可以查询官方提供的MIFI的通信模组使用教程

https://github.com/domino-team/docs/blob/master/docs/mini/mifi.md

Osmocom也有移远EC20的hack说明

https://osmocom.org/projects/quectel-modems/wiki/EC20

新版固件已经禁用了AT+QLINUXCMD，所以不能直接发送命令

固件目录如下，分为三个目录：APP、SOC、MCU。也就是应用、核心板、底板。APP用于升级导航地图和语音识别库数据，MCU目录用于更新MCU固

Scheme 编程语言是一种Lisp方言，诞生于1975年，由 MIT 的 Gerald J. Sussman 和 Guy L. Steele