nRF51系列单片机读取保护绕过技术详解<\/h1>

1. 背景介绍<\/h2>
本教程详细讲解如何绕过nRF51系列单片机（以nRF51288为例）的读取保护机制，提取受保护的固件内容。这种技术在逆向工程、设备修复和安全研究中非常有用，特别是当厂商停止支持或设备固件无法通过正常方式获取时。<\/p>

2. 硬件准备<\/h2>

2.1 所需设备<\/h3>

nRF51系列目标设备（本案例为PM2.5检测器，使用nRF51288芯片）<\/li>
树莓派（本案例使用树莓派3）<\/li>
SWD调试接口连接线（1.54mm间距排针）<\/li>

焊接工具（用于连接SWD接口）<\/li> <\/ul>

2.2 SWD接口识别<\/h3>

nRF51系列单片机通常提供SWD调试接口，引脚排列一般为：<\/p>

SWCLK (Serial Wire Clock)<\/li>
SWDIO (Serial Wire Data Input\/Output)<\/li>
GND (Ground)<\/li>

VCC (3.3V电源)<\/li> <\/ol>

3. 软件环境配置<\/h2>

3.1 OpenOCD配置<\/h3>

需要为树莓派3修改OpenOCD配置文件，主要调整以下参数：<\/p>

interface bcm2835gpio
bcm2835gpio_peripheral_base 0x3F000000
bcm2835gpio_speed_coeffs 194938 48  # 树莓派3特定参数
reset_config none separate
transport select swd

# SWD引脚定义（树莓派GPIO编号）
bcm2835gpio_swd_nums 25 24  # SWCLK=GPIO25, SWDIO=GPIO24

# nRF51系列配置
source [find target\/swj-dp.tcl]
set _CHIPNAME nrf51
set _ENDIAN little
set _WORKAREASIZE 0x4000
set _CPUTAPID 0x0bb11477

swj_newdap $_CHIPNAME cpu -expected-id $_CPUTAPID -irlen 4
set _TARGETNAME $_CHIPNAME.cpu
target create $_TARGETNAME cortex_m -chain-position $_TARGETNAME
$_TARGETNAME configure -work-area-phys 0x20000000 -work-area-size $_WORKAREASIZE -work-area-backup 0

flash bank $_CHIPNAME.flash nrf51 0x00000000 0 1 1 $_TARGETNAME
flash bank $_CHIPNAME.uicr nrf51 0x10001000 0 1 1 $_TARGETNAME
<\/code><\/pre>
关键修改点：<\/p>

-irlen 4<\/code>：nRF51使用32位M0内核，指令长度为4字节<\/li>
树莓派3的CPU频率参数调整<\/li>
明确指定SWD传输协议<\/li>
禁用reset信号处理（如果未连接reset引脚）<\/li>
<\/ul>
4. 读取保护机制分析<\/h2>
4.1 保护机制概述<\/h3>
nRF51系列通过RBPCONF寄存器实现读取保护：<\/p>

CR0：禁止代码地址访问<\/li>
CR1：禁止部分代码或调试接口访问<\/li>
<\/ul>
4.2 UICR寄存器<\/h3>
User Information Configuration Registers (UICR)位于0x10001000，包含：<\/p>

RBPCONF寄存器（0x10001004）：控制读取保护配置<\/li>
其他芯片运行参数（如bootloader地址、代码段长度等）<\/li>
<\/ul>
4.3 保护特性<\/h3>

读取保护通过硬件模块实现，仅保护内存操作<\/li>
寄存器操作不受限制<\/li>
修改UICR需要擦除整个闪存（通过NVMC控制器）<\/li>
<\/ul>
5. 绕过保护的技术原理<\/h2>
5.1 核心思路<\/h3>
利用ARM Thumb指令集的特性：<\/p>

Thumb指令长度为16bit，32位寻址必须通过寄存器间接寻址<\/li>
找到使用寄存器间接寻址的指令（如LDR R3, [R3]<\/code>）<\/li>
控制PC指针执行该指令，同时操纵源寄存器指向目标内存地址<\/li>
<\/ul>
5.2 具体实现步骤<\/h3>

识别使用寄存器间接寻址的指令地址（案例中为0x6d4）<\/li>
设置PC寄存器指向该地址<\/li>
设置用于寻址的寄存器（案例中使用R4）为目标内存地址<\/li>
单步执行指令<\/li>
读取目标寄存器获取内存内容<\/li>
<\/ol>
6. 固件提取实战<\/h2>
6.1 准备工作<\/h3>

启动OpenOCD：openocd -f xxx.cfg<\/code><\/li>
连接OpenOCD telnet接口：nc 127.0.0.1 4444<\/code><\/li>
<\/ol>
6.2 验证保护状态<\/h3>
读取RBPCONF寄存器值（0x10001004）：<\/p>
reg pc 0x6d4
reg r4 0x10001004
step
reg r4
<\/code><\/pre>
预期结果：0xffff0000<\/code>表示保护全开<\/p>
6.3 自动化提取脚本<\/h3>
使用Python脚本自动提取整个闪存内容（0x00000-0x40000）：<\/p>
from<\/span> pwn import<\/span> *<\/span>
<\/span><\/span>import<\/span> re
<\/span><\/span>
<\/span><\/span>p =<\/span> remote("127.0.0.1"<\/span>, "4444"<\/span>)
<\/span><\/span>p.<\/span>recvuntil(">"<\/span>)
<\/span><\/span>p.<\/span>write("reset halt<\/span>\n<\/span>"<\/span>)
<\/span><\/span>p.<\/span>recvuntil(">"<\/span>)
<\/span><\/span>
<\/span><\/span>with<\/span> open("firmware.bin"<\/span>, "wb"<\/span>) as<\/span> f:
<\/span><\/span>    for<\/span> addr in<\/span> range(0<\/span>, 0x40000<\/span>, 4<\/span>):
<\/span><\/span>        p.<\/span>write("reg pc 0x6d4<\/span>\n<\/span>"<\/span>)
<\/span><\/span>        p.<\/span>recvuntil(">"<\/span>)
<\/span><\/span>        p.<\/span>write("reg r4 "<\/span> +<\/span> hex(addr) +<\/span> "<\/span>\n<\/span>"<\/span>)
<\/span><\/span>        p.<\/span>recvuntil(">"<\/span>)
<\/span><\/span>        p.<\/span>write("step<\/span>\n<\/span>"<\/span>)
<\/span><\/span>        p.<\/span>recvuntil(">"<\/span>)
<\/span><\/span>        p.<\/span>write("reg r4<\/span>\n<\/span>"<\/span>)
<\/span><\/span>        ret =<\/span> p.<\/span>recvuntil(">"<\/span>)
<\/span><\/span>        d =<\/span> re.<\/span>search('0x[0-9a-fA-F]<\/span>{8}<\/span>'<\/span>, ret.<\/span>decode('utf-8'<\/span>))[0<\/span>]
<\/span><\/span>        f.<\/span>write(p32(int(d, 16<\/span>)))
<\/span><\/span>        
<\/span><\/span>        if<\/span> addr %<\/span> 0x100<\/span> ==<\/span> 0<\/span>:
<\/span><\/span>            print("reading:"<\/span>, addr)
<\/span><\/span><\/code><\/pre>6.4 脚本说明<\/h3>

逐4字节读取整个闪存空间<\/li>
每次操作：

设置PC到0x6d4（间接寻址指令地址）<\/li>
设置R4为当前读取地址<\/li>
单步执行<\/li>
读取R4值（包含目标内存内容）<\/li>
写入输出文件<\/li>
<\/ol>
<\/li>
每读取256字节打印进度信息<\/li>
<\/ul>
7. 结果验证<\/h2>
提取完成后：<\/p>

使用IDA Pro等工具分析firmware.bin<\/code><\/li>
确认0x6d4地址确实包含寄存器间接寻址指令<\/li>
验证固件完整性<\/li>
<\/ol>
8. 注意事项<\/h2>

焊接SWD接口时要小心，避免短路<\/li>
树莓派GPIO电压为3.3V，与目标设备匹配<\/li>
读取过程较慢（约30分钟读取完整固件）<\/li>
该方法依赖于特定指令的存在，不同固件可能需要调整目标指令地址<\/li>
操作前确认设备不包含其他物理保护措施（如防拆标签）<\/li>
<\/ol>
9. 扩展应用<\/h2>
此技术可应用于：<\/p>

废弃设备的固件恢复<\/li>
蓝牙协议逆向工程<\/li>
安全研究中的固件分析<\/li>
设备功能修改与定制<\/li>
<\/ul>
通过这种方法，即使面对全保护的nRF51系列设备，也能成功提取固件进行进一步分析。<\/p>