机顶盒型号判断。目前笔者所在省份的中兴正17机顶盒型号主要有:B600V4A、B600V4C 等,下面将使用本程序对远程机顶盒型号做简单的判断。使用“inetd Command”命令,成功开启telnet服务,1)如果没有返回数据,是860074八机顶盒,主机名为“3孔化似”, 使用“1dt”用户可以登录成功,如图2。
主机:/.H:A;^_ 端口号:I10042
命令: inetd Comman
待发送信息:
如果返回加密数摒的长度为
发送记录:/ 0,是b600v4c机顶盒
正在连接''.J.jL., x.,:,.... Connecting from:Connected./
己连接 tf-' - "■*" "■' • 10042!
BusyBox ul.2.1 <2009.10.12-17:22+0000> Built-in shell <ash> Enter 1 help' for a list of built—in connands.
F tt cat /etc/hw.inf :XB6e0U4A<STBSD-ST52e5-e00>
2)如果返回加密数据的长度为32,推测为B600V2机顶盒,虽然成功开启telnetd服务, 但是不能使用“idt”用户登录,主机名没有,为“(none)”。
3)如果返回加密数据的长度为24,是86007扣机顶盒,此时虽然成功开启仏11^13服务, 但是不能使用“idt”用户登录,主机名为“BcmPT”。
第二节中兴其它型号机顶盒分析
通过Google搜索讣60072”,获得中兴机顶盒升级服务器链接,如图8,不难看出B600V4、 V4A和B700V2、V2A机顶盒均使用STi类型CPU,所以系统应该使用的也是STLinux,而且 软件相互兼容。B600V4C机顶盒却比较特殊,使用BCM7466类型的CPU,因此telnet登录时, 主机名显示为“BcmPT,
<in>w w< w»i i
n>uMrW< bv*>^'Kr>.ttUnM-W(' JMM_.V^rt<*. *J.^rt' rtM'l M»K«<M> tM(MvUM*MvV>.Mk.<*<' M >m^ !»«• <tfVf1t. ttf' M>*Rl-K-<l v>UM< *n>iaMKKVI UM>w*d^LMnMN. m' t»i«M1»»«'<»W kdM>n>'01
STJT5TT"
a^.ar>W7.r*o-n.
tt^tm^l^p Ut*Mvrn Uctf&av**tf^*WUtn. wf >M*M>av'/*w<r fttU^m*^n>l _•__•■»>«•&*» UiiMtmti Utmtmr'm.m0%.tti' Knu«i_V-W«Vrt|- Ma*n><tt)l »««M-«im» n>ua>^uaM ^a>iM*ab><ntwm.m' *M>Muav*vw<r ku*>n'
^*><a>nwMini^>n_ _ii
•«»,—**• fc>awvmtn ^MiVMii.HicMLM' K*"*umvwee- Mwni>m
<nhMO<KTiM> ttinw^v Um>M'M.wkrf<* ta>MM>OTVM««t.rfi* M<^m>S>l _■»•_,. titof> »”n«>mv» to*M-.-fcmw M' ta<uv>^VMrw Mwtr »W1»»"1««» ^na>mn> u#vwu«dltt»t* tww»i^.^w«* hkw-n«m»M
l<>MKMWI <MOMC M
图8
我们分析870072八机顶盒不需要串口连接,也不需要机顶盒实物,只要在匕化狀系统中 还原出升级文件,就能对其关键文件进行分析。
中兴机顶盒升级文件。从B600v4A八开始,升级包与860074有很大的差别,在升级包中增加了ECC信息,也就是以512个字节为一个块,计算出£0^然后在后面增加16个 字节的内容,其中的字节[0][1][2]为前256字节的31^1 ECC,字节[3][6][7]为后256字节的3bit ECC,字节[4]为0x00或0乂??(如果ECC全为0xFF时),其余字节均为0xFF (详细描述参阅爱好者:http://WWW.JYBASE.NET/),如图9
使用WinHex打开升级包文件allmtd_70032505.jpg,各部分之间存在大量的“FF”数据作为分割,确定出升级包的三个部分,内核:0x00000000~0x0017FFFF,根文件系统:
0x00180000^0x0037FFFF,扩展文件系统:0x00380000〜0x0125BFFF。
然后确定是否使用£0:校验,查看512字节(十六进制200)的整数 数据的后8字节全部为“FF”,为使用了ECC校验的升级包,否则没有使用ECC校验。
最后使用文件分割器将升级包分割为三个文件:kernel.bin、」1[82.1^11和(^^^8.1^1^如果存在£0:校验的,需要将£0:数据删除(每512字节删除16字节)。
jffs2和cramfs文件系统的恢复。虚拟机安装Linux,笔者使用nmf 0S 3. 0 (Ubuntu 10. 04内核),然后将jffs2. bin和cramfs. bin文件复制到虚拟机中,如/root/bin目录。 ^!^^终端中执行以下命令。
获得B700机顶盒的jffs2和cramfs ―统文件,如图13,图14。使用mount挂载目录或文件,重启后将失效,挂载成功后需要把文件复制出来。 |
