reverse engineering nand flash
play

Reverse Engineering NAND Flash Adapted from Josh m0nk - PowerPoint PPT Presentation

Nov 17, 2022 •702 likes •1.02k views

Reverse Engineering NAND Flash Adapted from Josh m0nk Thomass Black Hat PresentaBon Andrew bunnie Huang & Sean xobs Cross 30c3 PresentaBon

  1. Reverse ¡Engineering ¡NAND ¡Flash ¡ Adapted ¡from ¡ Josh ¡‘m0nk’ ¡Thomas’s ¡Black ¡Hat ¡PresentaBon ¡ Andrew ¡‘bunnie’ ¡Huang ¡& ¡Sean ¡‘xobs’ ¡Cross ¡30c3 ¡PresentaBon ¡ Presented ¡by ¡Ben ¡RuktanBchoke ¡

  2. NAND:Hard ¡It ¡Work ¡ • FloaBng ¡gate ¡transistor ¡ • Pages ¡– ¡Typically ¡512, ¡2048, ¡or ¡4096 ¡ • Blocks ¡– ¡Typically ¡16kb ¡– ¡512kb ¡ • ShiXing ¡to ¡0 ¡is ¡easy ¡ • ShiXing ¡to ¡1 ¡is ¡hard ¡

  3. NAND:Hard ¡it ¡Work ¡

  4. Faking ¡Reliability ¡ • Flash ¡memory ¡is ¡“unreliable” ¡ • You ¡are ¡not ¡storing ¡data, ¡you ¡are ¡storing ¡ probabilisBc ¡approximaBons ¡of ¡your ¡data ¡ • Workaround: ¡computaBonal ¡error ¡correcBon ¡ (ECC) ¡ • Flash ¡geometry ¡changes ¡ – New ¡ECC ¡rules, ¡page ¡size, ¡block ¡mapping, ¡etc. ¡

  5. Also, ¡Bad ¡Blocks ¡ • TLC/MLC ¡Flash ¡is ¡super ¡cheap ¡ • Work ¡around: ¡bad ¡block ¡remapping ¡ – In ¡some ¡cases, ¡over ¡80% ¡of ¡blocks ¡are ¡bad ¡(e.g. ¡ 16GB ¡chip ¡sold ¡as ¡2GB) ¡ • Also, ¡blocks ¡go ¡bad ¡with ¡P/E ¡cycles ¡

  6. What’s ¡inside ¡

  7. NAND:SoX ¡it ¡Works ¡ • RAW ¡NAND ¡vs. ¡MMC/eMMC ¡ – Complex ¡Driver ¡vs. ¡Simple ¡Driver ¡ • ¡Proprietary ¡(closed) ¡wear ¡leveling ¡ algorithms ¡are ¡normally ¡embedded ¡

  8. NAND:SoX ¡it ¡Works ¡ • MTD ¡Subsystem ¡ • Kind ¡of ¡a ¡meta-­‑driver ¡ • Used ¡heavily ¡for ¡boot ¡parBBons ¡on ¡Android ¡

  9. Related ¡Works ¡ • MTD ¡at ¡the ¡Driver ¡Level ¡ • Flash ¡TransiBon ¡Layers ¡and ¡Reverse ¡the ¡ Embedded ¡Controllers ¡

  10. Digilient ¡Nexys™2 ¡Spartan-­‑3E ¡FPGA ¡ + ¡Schmartboard ¡

  11. What's ¡an ¡ini*al ¡RAM ¡disk? ¡ • The ¡ ini#al ¡RAM ¡disk ¡(initrd) ¡is ¡an ¡iniBal ¡root ¡file ¡system ¡that ¡is ¡ mounted ¡prior ¡to ¡when ¡the ¡real ¡root ¡file ¡system ¡is ¡available. ¡The ¡ initrd ¡is ¡bound ¡to ¡the ¡kernel ¡and ¡loaded ¡as ¡part ¡of ¡the ¡kernel ¡boot ¡ procedure. ¡The ¡kernel ¡then ¡mounts ¡this ¡initrd ¡as ¡part ¡of ¡the ¡two-­‑ stage ¡boot ¡process ¡to ¡load ¡the ¡modules ¡to ¡make ¡the ¡real ¡file ¡ systems ¡available ¡and ¡get ¡at ¡the ¡real ¡root ¡file ¡system. ¡ • The ¡initrd ¡contains ¡a ¡minimal ¡set ¡of ¡directories ¡and ¡executables ¡to ¡ achieve ¡this, ¡such ¡as ¡the ¡insmod ¡tool ¡to ¡install ¡kernel ¡modules ¡into ¡ the ¡kernel. ¡ • In ¡the ¡case ¡of ¡desktop ¡or ¡server ¡Linux ¡systems, ¡the ¡initrd ¡is ¡a ¡ transient ¡file ¡system. ¡Its ¡lifeBme ¡is ¡short, ¡only ¡serving ¡as ¡a ¡bridge ¡to ¡ the ¡real ¡root ¡file ¡system. ¡In ¡embedded ¡systems ¡with ¡no ¡mutable ¡ storage, ¡the ¡initrd ¡is ¡the ¡permanent ¡root ¡file ¡system. ¡

  12. Boo*ng ¡with ¡an ¡ini*al ¡RAM ¡disk ¡ The ¡boot ¡loader, ¡such ¡as ¡GRUB, ¡idenBfies ¡the ¡kernel ¡that ¡is ¡to ¡be ¡loaded ¡and ¡copies ¡this ¡kernel ¡ • image ¡and ¡any ¡associated ¡initrd ¡into ¡memory. ¡ AXer ¡the ¡kernel ¡and ¡initrd ¡images ¡are ¡decompressed ¡and ¡copied ¡into ¡memory, ¡the ¡kernel ¡is ¡ • invoked. ¡Various ¡iniBalizaBon ¡is ¡performed ¡and, ¡eventually, ¡you ¡find ¡yourself ¡in ¡init/ main.c:init() ¡(subdir/file:funcBon). ¡This ¡funcBon ¡performs ¡a ¡large ¡amount ¡of ¡subsystem ¡ iniBalizaBon. ¡A ¡call ¡is ¡made ¡here ¡to ¡init/do_mounts.c:prepare_namespace(), ¡which ¡is ¡used ¡to ¡ prepare ¡the ¡namespace ¡(mount ¡the ¡dev ¡file ¡system, ¡RAID, ¡or ¡md, ¡devices, ¡and, ¡finally, ¡the ¡initrd). ¡ Loading ¡the ¡initrd ¡is ¡done ¡through ¡a ¡call ¡to ¡init/do_mounts_initrd.c:initrd_load(). ¡ The ¡initrd_load() ¡funcBon ¡calls ¡init/do_mounts_rd.c:rd_load_image(), ¡which ¡determines ¡the ¡RAM ¡ • disk ¡image ¡to ¡load ¡through ¡a ¡call ¡to ¡init/do_mounts_rd.c:idenBfy_ramdisk_image(). ¡This ¡funcBon ¡ checks ¡the ¡magic ¡number ¡of ¡the ¡image ¡to ¡determine ¡if ¡it's ¡a ¡minux, ¡etc2, ¡romfs, ¡cramfs, ¡or ¡gzip ¡ format. ¡Upon ¡return ¡to ¡initrd_load_image, ¡a ¡call ¡is ¡made ¡to ¡init/do_mounts_rd:crd_load(). ¡This ¡ funcBon ¡allocates ¡space ¡for ¡the ¡RAM ¡disk, ¡calculates ¡the ¡cyclic ¡redundancy ¡check ¡(CRC), ¡and ¡then ¡ uncompresses ¡and ¡loads ¡the ¡RAM ¡disk ¡image ¡into ¡memory. ¡At ¡this ¡point, ¡you ¡have ¡the ¡initrd ¡image ¡ in ¡a ¡block ¡device ¡suitable ¡for ¡mounBng. ¡ MounBng ¡the ¡block ¡device ¡now ¡as ¡root ¡begins ¡with ¡a ¡call ¡to ¡init/do_mounts.c:mount_root(). ¡The ¡ • root ¡device ¡is ¡created, ¡and ¡then ¡a ¡call ¡is ¡made ¡to ¡init/do_mounts.c:mount_block_root(). ¡From ¡ here, ¡init/do_mounts.c:do_mount_root() ¡is ¡called, ¡which ¡calls ¡fs/namespace.c:sys_mount() ¡to ¡ actually ¡mount ¡the ¡root ¡file ¡system ¡and ¡then ¡chdir ¡to ¡it. ¡This ¡is ¡where ¡you ¡see ¡the ¡familiar ¡message ¡ shown ¡in ¡LisBng ¡6: ¡VFS: ¡Mounted ¡root ¡(ext2 ¡file ¡system). ¡ Finally, ¡you ¡return ¡to ¡the ¡init ¡funcBon ¡and ¡call ¡init/main.c:run_init_process. ¡This ¡results ¡in ¡a ¡call ¡ • to ¡execve ¡to ¡start ¡the ¡init ¡process ¡(in ¡this ¡case ¡/linuxrc). ¡The ¡linuxrc ¡can ¡be ¡an ¡executable ¡or ¡a ¡script ¡ (as ¡long ¡as ¡a ¡script ¡interpreter ¡is ¡available ¡for ¡it). ¡

  13. MTD ¡Subsystem ¡Architecture ¡

  14. Graphical ¡Analysis ¡

  15. Graphical ¡representaBon ¡of ¡the ¡bytes ¡ in ¡the ¡firmware ¡

  16. ¡Graphical ¡representaBon ¡of ¡the ¡bytes ¡ in ¡the ¡firmware ¡ ¡

  17. Graphical ¡representaBon ¡of ¡the ¡bytes ¡ in ¡the ¡firmware ¡(zoomed ¡in) ¡

  18. JFFS2 ¡Header ¡Fields ¡

  19. Bootloader ¡Environemnet ¡ Variable ¡Analysis ¡

  20. U-­‑Boot ¡code ¡showing ¡ default_environment ¡

  21. Loading ¡default_environment ¡ variables ¡ bootargs=root=/dev/mtdblock3 ¡roo;stype=jffs2 ¡noinitrd ¡ramdisk_size=4096 ¡ mem=32M ¡mtdparts=s3c2410-­‑nand:16k(boot),176k(u-­‑boot),4912k(linux-­‑img), 27104K(roo;s),-­‑(extra);phys_mapped_flash:-­‑(all) ¡

  22. U-­‑boot ¡sub-­‑images ¡

  23. Tamper ¡DetecBon ¡

  24. Tamper ¡protecBon ¡in ¡acBon ¡

  25. Front ¡and ¡Back ¡panels ¡

  26. Circuits ¡inside ¡plasBc ¡padding ¡

  29. Original ¡JFFS2 ¡Record ¡

  30. Modifed ¡JFFS2 ¡Record ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

FlexFS: A Flexible Flash File System for MLC NAND Flash Memory Sungjin Lee , Keonsoo Ha, Kangwon

FlexFS: A Flexible Flash File System for MLC NAND Flash Memory Sungjin Lee , Keonsoo Ha, Kangwon

FlexFS: A Flexible Flash File System for MLC NAND Flash Memory Sungjin Lee , Keonsoo Ha, Kangwon Zhang, Jihong Kim, and Junghwan Kim* School of Computer Science and Engineering Seoul National University * Samsung Advanced Institute of Technology

852 views • 53 slides
IEE5008 Autumn 2012 Memory Systems 3D Nand Flash Memory Pranav Arya Department of

IEE5008 Autumn 2012 Memory Systems 3D Nand Flash Memory Pranav Arya Department of

IEE5008 Autumn 2012 Memory Systems 3D Nand Flash Memory Pranav Arya Department of Electronics Engineering National Chiao Tung University pranav_arya7@yahoo.co.in Pranav Arya, 2012 Outline Introduction Planar Nand Flash

819 views • 43 slides
Partitioned Real-Time NAND Flash Storage Katherine Missimer and Rich West Introduction 2

Partitioned Real-Time NAND Flash Storage Katherine Missimer and Rich West Introduction 2

Partitioned Real-Time NAND Flash Storage Katherine Missimer and Rich West Introduction 2 Introduction 3 Introduction 4 NAND Flash Memory Non-volatility Shock resistance Low power consumption Fast access time 5 NAND Flash Memory No

771 views • 47 slides
Program Interference in MLC NAND Flash Memory: Characterization, Modeling, and Mitigation Yu Cai

Program Interference in MLC NAND Flash Memory: Characterization, Modeling, and Mitigation Yu Cai

Program Interference in MLC NAND Flash Memory: Characterization, Modeling, and Mitigation Yu Cai 1 Onur Mutlu 1 Erich F. Haratsch 2 Ken Mai 1 1 Carnegie Mellon University 2 LSI Corporation Flash Challenges: Reliability and Endurance P/E cycles

626 views • 30 slides
Memory Systems Overview of the NAND Flash High- Speed Interfacing and Controller Architecture

Memory Systems Overview of the NAND Flash High- Speed Interfacing and Controller Architecture

IEE5008 Autumn 2012 Memory Systems Overview of the NAND Flash High- Speed Interfacing and Controller Architecture Nina Mitiukhina Electrical Engineering and Computer Science International Graduate Program National Chiao Tung University

841 views • 45 slides
Reducing SSD Read Latency via NAND Flash Program and Erase Suspension Guanying Wu and Xubin He

Reducing SSD Read Latency via NAND Flash Program and Erase Suspension Guanying Wu and Xubin He

Reducing SSD Read Latency via NAND Flash Program and Erase Suspension Guanying Wu and Xubin He {wug, xhe2}@vcu.edu Department of Electrical and Computer Engineering Virginia Commonwealth University Richmond, VA This research is sponsored in

364 views • 18 slides
ZombieNAND: Resurrecting Dead NAND Flash for Improved SSD Longevity Ellis H. Wilson III 1 , 2

ZombieNAND: Resurrecting Dead NAND Flash for Improved SSD Longevity Ellis H. Wilson III 1 , 2

ZombieNAND: Resurrecting Dead NAND Flash for Improved SSD Longevity Ellis H. Wilson III 1 , 2 Myoungsoo Jung 3 Mahmut Kandemir 1 1 Department of Computer Science and Engineering, The Pennsylvania State University 2 Panasas, Inc. 3 Department of

344 views • 16 slides
NAND Flash Memory Laura M. Grupp * , John D. Davis , Steven Swanson * * Non-volatile Systems

NAND Flash Memory Laura M. Grupp * , John D. Davis , Steven Swanson * * Non-volatile Systems

The Bleak Future of NAND Flash Memory Laura M. Grupp * , John D. Davis , Steven Swanson * * Non-volatile Systems Laboratory Department of Computer Science and Engineering University of California, San Diego Microsoft Research 1 Flashs

510 views • 31 slides
Flash Memory For Automative 2016 10 Do not distribute without permission 1 2007

Flash Memory For Automative 2016 10 Do not distribute without permission 1 2007

Flash Memory For Automative 2016 10 Do not distribute without permission 1 2007 2 2011 6th 3 2015 9th 4 Automotive Flash 5 NAND for Automotive More storage requires NAND Navigation, ADAS,

339 views • 15 slides
Long-Term JPEG Data Protection and Recovery for NAND Flash-Based Solid-State Storage Yu-Chun Kuo,

Long-Term JPEG Data Protection and Recovery for NAND Flash-Based Solid-State Storage Yu-Chun Kuo,

Long-Term JPEG Data Protection and Recovery for NAND Flash-Based Solid-State Storage Yu-Chun Kuo, Ruei-Fong Chiu, and Ren-Shuo Liu System and Storage Design Lab Department of Electrical Engineering National Tsing Hua University Taiwan 1

1.01k views • 42 slides
Exploiting Latency Variation for Access Conflict Reduction of NAND Flash Memory Jinhua Cui,

Exploiting Latency Variation for Access Conflict Reduction of NAND Flash Memory Jinhua Cui,

Exploiting Latency Variation for Access Conflict Reduction of NAND Flash Memory Jinhua Cui, Weiguo Wu, Xingjun Zhang, Jianhang Huang, Yinfeng Wang * Xian Jiaotong University, *ShenZhen Institute of Information Technology 1 OUTLINE 1.

509 views • 21 slides
Deep In-memory Architectures for NAND Flash Memory Sujan K Gonugondla, Mingu Kang, Yongjune Kim,

Deep In-memory Architectures for NAND Flash Memory Sujan K Gonugondla, Mingu Kang, Yongjune Kim,

Deep In-memory Architectures for NAND Flash Memory Sujan K Gonugondla, Mingu Kang, Yongjune Kim, Naresh Shanbhag University of Illinois at Urbana-Champaign Mark Helm, Sean Eilert Micron Technology, Inc. 1 Machines are Beating Humans at

703 views • 19 slides
Hiding @ Depth: Exploring & Subverting NAND Flash memory Josh m0nk Thomas (A DARPA CFT

Hiding @ Depth: Exploring & Subverting NAND Flash memory Josh m0nk Thomas (A DARPA CFT

Hiding @ Depth: Exploring & Subverting NAND Flash memory Josh m0nk Thomas (A DARPA CFT Project by MonkWorks, LLC) RIP 4.1.13 - Long Live CFT Thx Mudge Saturday, June 22, 13 ./whoami (m0nk) Applied Research Scientist @ Accuvant

394 views • 35 slides
Leveraging Value Locality in Optimizing NAND Flash-based SSDs Aayush Gupta , Raghav Pisolkar,

Leveraging Value Locality in Optimizing NAND Flash-based SSDs Aayush Gupta , Raghav Pisolkar,

Leveraging Value Locality in Optimizing NAND Flash-based SSDs Aayush Gupta , Raghav Pisolkar, Bhuvan Urgaonkar and Anand Sivasubramaniam Computer Systems Lab The Pennsylvania State University 1 Agenda Relook at Locality Another

485 views • 32 slides
Reverse Engineering CS 166 Armen Boursalian 30 Apr 2018 Reverse Engineering Take a

Reverse Engineering CS 166 Armen Boursalian 30 Apr 2018 Reverse Engineering Take a

Reverse Engineering CS 166 Armen Boursalian 30 Apr 2018 Reverse Engineering Take a product, understand how it works Usually limited to certain aspects, not full systems Need to know a little bit about a lot of topics to gain

636 views • 11 slides
REAL: A Retention Error Aware LDPC Decoding Scheme to Improve NAND Flash Read Performance Meng

REAL: A Retention Error Aware LDPC Decoding Scheme to Improve NAND Flash Read Performance Meng

REAL: A Retention Error Aware LDPC Decoding Scheme to Improve NAND Flash Read Performance Meng Zhang Fei Wu Xubin He Ping Huang Shunzhuo Wang Changsheng Xie Wuhan National Laboratory for Optoelectronics, Huazhong

780 views • 22 slides
Page 1 Linker Operation Linker Operation Classify all program symbols as either: A strong

Page 1 Linker Operation Linker Operation Classify all program symbols as either: A strong

Assignment for Tues Last Time Read Getting the Least out of Your C Looked at ColdFire and ARM in depth Compiler linked to course web page Today m.c a.c Compiler Compiler Tools and toolchains for embedded m.o a.o

279 views • 6 slides
IRQs: the Hard, the Soft, the Threaded and the Preemptible Alison Chaiken http://she-devel.com

IRQs: the Hard, the Soft, the Threaded and the Preemptible Alison Chaiken http://she-devel.com

IRQs: the Hard, the Soft, the Threaded and the Preemptible Alison Chaiken http://she-devel.com alison@she-devel.com Embedded Linux Conference Europe Oct 11, 2016 Example code Agenda Why do IRQs exist? About kinds of hard IRQs

712 views • 59 slides
LibreCores Free and Open Digital Hardware Requirements Design Implementation Hardware

LibreCores Free and Open Digital Hardware Requirements Design Implementation Hardware

Digital hardware design What can we learn from software development and what not? Philipp Wagner @ FOSDEM 2017 LibreCores Free and Open Digital Hardware Requirements Design Implementation Hardware Verification Development Maintenance

523 views • 23 slides
LSE Summer Week 2016 16 July, 2016 Antoine Jacoutot <ajacoutot@openbsd.org> whoami(1)

LSE Summer Week 2016 16 July, 2016 Antoine Jacoutot <ajacoutot@openbsd.org> whoami(1)

OpenBSD rc.d(8) LSE Summer Week 2016 16 July, 2016 Antoine Jacoutot <ajacoutot@openbsd.org> whoami(1) OpenBSD developer since 2006 ajacoutot@ aka aja@ sysmerge, rc.d, rcctl, libtool, stuff, other stuff >400 ports,

1.19k views • 64 slides
Jonathan M. McCune Carnegie Mellon University March 27, 2008 Bryan Parno, Arvind Seshadri

Jonathan M. McCune Carnegie Mellon University March 27, 2008 Bryan Parno, Arvind Seshadri

Jonathan M. McCune Carnegie Mellon University March 27, 2008 Bryan Parno, Arvind Seshadri Adrian Perrig, Michael Reiter 1 Password Reuse People often use 1 password for 2+ websites Banking, social networking, file sharing, P A S S

749 views • 62 slides
Reversing firmware using radare2 [H2HC] A. Kochkov October, 2014 Motives Implement FOSS

Reversing firmware using radare2 [H2HC] A. Kochkov October, 2014 Motives Implement FOSS

Reversing firmware using radare2 [H2HC] A. Kochkov October, 2014 Motives Implement FOSS alternative (coreboot, OpenEC) Figure out possible attack vectors via firmware trojans We will take only case of modern PC/Laptop/Server firmware(s).

747 views • 46 slides
Week 5 - Monday What did we talk about last time? Scope Systems programming A C

Week 5 - Monday What did we talk about last time? Scope Systems programming A C

Week 5 - Monday What did we talk about last time? Scope Systems programming A C program is like a fast dance on a newly waxed dance floor by people carrying razors. Waldi Ravens In Windows, each drive has its own directory

333 views • 31 slides
SIP Working Group IETF 74 chaired by Keith Drage, Dean Willis Note Well Any submission to the

SIP Working Group IETF 74 chaired by Keith Drage, Dean Willis Note Well Any submission to the

SIP Working Group IETF 74 chaired by Keith Drage, Dean Willis Note Well Any submission to the IETF intended by the Contributor for publication as all or part of an IETF Internet-Draft or RFC and any statement made within the context of an IETF

354 views • 10 slides

More recommend