Flash型单片机的加密与解密

单片机解密1、背景单片机（MCU）一般都有内部EEPROM/FLASH供用户存放程序和工作数据。

为了防止访问或拷贝单片机的机内程序，大部分单片机都带有加密锁定位或者加密字节，以保护片内程序。

如果在编程时加密锁定位被使能（锁定），就无法用普通的编程器直接读取单片机内的程序，这就是所谓单片机加密或者说锁定功能。

事实上，这样的保护措施很脆弱，很容易破解。

单片机攻击者借助专用设备或自制设备，利用单片机芯片设计上的漏洞或软件缺陷，通过多种技术手段，就可以从芯片提取关键信息，获取单片机内程序。

2、解密方法1）软件方法：主要针对SyncMos. Winbond等在生产工艺上的漏洞，利用某些编程器空位插字节，通过一定的方法查找芯片中是否有连续的空位，也就是查找芯片中连续的FF FF 字节，插入的字节能够执行把片内的程序送到片外的指令，然后用破解的设备进行截获，这样芯片内部的程序就被破解完成了。

2）硬件电路修改方法：其流程为a：测试使用高档编程器等设备测试芯片是否正常，并把配置字保存。

注：配置字指的是在PIC等系列的单片机里，其芯片内部大都有设置一个特殊的存储单元，地址是2007，由用户自由配置，用来定义一些单片机功能电路单元的性能选项。

b：开盖可以手工或开盖机器开盖。

c：做电路修改对不同芯片，提供对应的图纸，让厂家切割和连线，对每一个割线连线一般需要提供芯片位置概貌图、具体位置图、FIB示意图三张图纸（部分小的芯片只提供概貌图和FIB图）。

d：读程序取回电路修改后的单片机，直接用编程器读出程序。

e：烧写样片按照读出的程序和配置，烧写样片提供给客户。

这样就结束了IC解密。

3）软件和硬件结合的方法，比如对HOTEK，MDT等单片机破解。

3、芯片解密服务流程当客户有芯片解密的需求后，可以通过联系解密客户服务厂家进行沟通、咨询，提供详细的需解密的芯片信号及后缀、封装等相关特征。

厂家根据客户提供的具体型号由技术部门进行评估，确认是否能破解，若能破解，厂家确认好所需的费用和解密的周期，客户提供完好的母片并支付部分定金（对于某些芯片，可能还需要必要的测试环境），解密服务正式启动。

Flash型单片机的加密与解密2005 年4 月A 版摘要：随着Flash 型单片机的普及，单片机加密的技术已经有了较大的变化。

本文以HCS12 系列单片机为例，介绍一种典型的加解密机制，并着重讨论使用密码加解密的方法以及相应的用户接口程序设计思路。

关键词：Flash 型单片机；加密；解密；密码引言厂商利用单片机进行产品开发时，都会关心其代码和数据的保密性。

考虑到用户在编写和调试代码时所付出的时间和精力，代码的成本是不言而喻的。

早期的单片机，代码是交给芯片制造商制成掩膜ROM。

有两种加密的机制，一是彻底破坏读取代码的功能，无论是开发者还是使用者都永远无法读取其中的内容。

从安全上来说，这种方式很彻底，但是已经无法检查ROM 中的代码了。

另一种方法是不公开读取方法，厂商仍可以读取代码。

这种方式留有检查代码的可能性，但是并不能算是一种真正的“加密”，被破解的可能性是存在的。

客观地讲，一方面希望加密很彻底，而另外一方面又希望留有检查代码的可能，这是相互矛盾的要求。

自Flash 技术得到广泛应用以来，各类单片机制造商纷纷采用了多种不同的芯片加密方法，对比掩膜ROM 芯片来说，Flash ROM 在线可编程特性使得芯片的加密和解密方式变得更加灵活和可靠。

在Flash 型单片机中，芯片的加密和解密工作都是通过对Flash ROM 的编程来完成的，由于用户程序可以在线地改写ROM 的内容，可以编写一套加密和解密的小程序，随用户程序下载到芯片中，通过运行该程序，在线修改Flash ROM 的内容，对芯片进行加密和解密，使整个的加解密过程更为简单灵活。

Freescale 公司的HCS12 单片机采用的加解密思路有一定的典型性，我们对此作了一些研究，现以MC9S12DP256 单片机为例，介绍Flash 型单片机的加密解密方法。

单片机数据加密算法
1. 对称加密算法，对称加密算法使用相同的密钥来加密和解密数据。

常见的对称加密算法包括AES（高级加密标准）、DES（数据加密标准）和3DES。

这些算法在单片机上通常具有较高的执行效率和较小的存储需求。

2. 非对称加密算法，非对称加密算法使用公钥和私钥来加密和解密数据。

常见的非对称加密算法包括RSA、ECC（椭圆曲线加密）和DSA（数字签名算法）。

这些算法通常比对称加密算法更复杂，因此在单片机上的实现可能需要更多的计算资源。

3. 哈希函数，哈希函数用于将任意长度的数据映射为固定长度的哈希值。

常见的哈希函数包括SHA-1、SHA-256和MD5。

在单片机上，哈希函数通常用于验证数据的完整性和生成消息摘要。

4. 随机数生成器，随机数生成器用于生成加密过程中需要的随机数。

在单片机上，通常使用伪随机数生成器来产生随机数序列。

在选择单片机数据加密算法时，需要综合考虑安全性、执行效率和存储需求。

合适的加密算法可以保护数据安全，同时不会对单
片机的性能造成过大的影响。

同时，还需要注意算法的实现细节，以防止可能的侧信道攻击和其他安全风险。

最终选择的加密算法应该能够满足具体应用场景的安全需求。

单片机解密方法简单介绍下面是单片机解密的常用几种方法,我们做一下简单介绍:1：软解密技术，就是通过软件找出单片机的设计缺陷，将内部OTP/falsh ROM 或eeprom代码读出，但这种方法并不是最理想的，因为他的研究时间太长。

同一系列的单片机都不是颗颗一样。

下面再教你如何破解51单片机。

2：探针技术，和FIB技术解密，是一个很流行的一种方法，但是要一定的成本。

首先将单片机的C onfig.(配置文件)用烧写器保存起来，用在文件做出来后手工补回去之用。

再用硝酸熔去掉封装，在显微镜下用微形探针试探。

得出结果后在显微镜拍成图片用FIB连接或切割加工完成。

也有不用FIB用探针就能用编程器将程序读出。

3：紫外线光技术，是一个非常流行的一种方法，也是最简单的一种时间快、像我们一样只要30至1 20分钟出文件、成本非常低样片成本就行。

首先将单片机的Config.(配置文件)用烧写器保存起来，再用硝酸熔去掉封装，在显微镜下用不透光的物体盖住OTP/falsh ROM 或eeprom处，紫外线照在加密位上10到120分钟，加密位由0变为1就能用编程器将程序读出。

（不过他有个缺陷，不是对每颗OT P/falsh都有效）有了以上的了解解密手段，我们开始从最简的紫外光技术，对付它：EMC单片机用紫外光有那一些问题出现呢？：OTP ROM 的地址(Address:0080H to 008FH) or (Address:0280h to 028FH) 即:EMC的指令的第9位由0变为1。

因为它的加密位在于第9位，所以会影响数据。

说明一下指令格式："0110 bbb rrrrrrr" 这条指令JBC 0x13,2最头痛,2是B，0X13是R。

如果数据由0变为1后："0111 bbb rrrrrrr"变成JBS 0x13,2头痛啊，见议在80H到8FH 和280H到28FH多用这条指令。

接触dsp已经有一段时间了，从Hellodsp得到了很多帮助，前段时间本人也进行了第一次烧写，幸运的遇到了FLASH锁死的情况，不知该哭该笑，我们系很少人玩DSP，少写过的人不多，遇到锁死的就更少了，没人给解决，只能在网上搜，最终皇天不负有心人，搞定！！废话不多说，下面就分享一下该怎么解锁（部分借用网络资源，在此感谢！！）：根据得到的.out文件，通过hex2000.exe来得到相应的ASCII码文件，文件中00 08 00 3F 7F F8 EE EE FF FF FF FF FF FF FF FF FF FF FF FF FF FF为密码区，其中00 08 00 3F 7F F8为密码区地址，后面16组为实际密码，LSB到HSB。

需要：对应的.out 和.map文件，分别用来生成hex文件和查看链接关系。

配置：build.bat 批处理文件，用windows的命令提示符来得到所需要的hex文件，编码为ASCII；用记事本打开内填写hex2000.exe在你电脑中的目录build.cmd 命令文件，采用hex2000.exe程序选项命令来得到所需文件。

具体命令：-memwidth 16 设定存储器格式为16bit ，不用管-romwidth 16 设定rom格式为16bit&，不用管-a 设定输出文件格式，填写你的.OUT名如我的是Tlv320aic23x.out-o 设定输出文件名，随便起个名字，是你得到密码的文件名-map 设定输出映射文件，填写你的.map名如我的是Tlv320aic23x.map-boot 设定引导数据流，不做操作hex2000.exe 程序文件，ccs自带的，路径为..\C2000\cgtools\bin\hex2000.exe更多有关此程序的命令选项请参考相关资料。

00 3F 7F F8 这段数字后的数据为地址003f7ff8中的内容，也即密码区的首字节，根据前面得到的ascii格式的文本文件，搜索3F 7F数据组合，然后其后的就是实际烧进去的数据。

单片机加密及几种方法单片机加密的几种方法(1)单片机加密方法:科研成果保护是每一个科研人员最关心的事情, 目的不使自己的辛苦劳动付注东流。

加密方法有软件加密, 硬件加密, 软硬件综合加密, 时间加密, 错误引导加密, 专利保护等措施。

有矛就有盾, 有盾就有矛, 有矛、有盾, 才促进矛、盾质量水平的提高。

加密只讲盾, 也希望网友提供更新的加密思路。

现先讲一个软件加密: 利用MCS-51 中A5 指令加密,( 本人85 年发现的, 名软件陷阱), 其实世界上所有资料, 包括英文资料都没有讲这条指令, 其实这是很好的加密指令。

A5 功能是二字节空操作指令。

加密方法在A5 后加一个二字节或三字节操作码, 因为所有反汇编软件都不会反汇编A5 指令, 造成正常程序反汇编乱套, 执行程序无问题。

仿制者就不能改变你的源程序, 你应在程序区写上你的大名、单位、开发时间及仿制必究的说法, 以备获得法律保护。

我曾抓到过一位“获省优产品”仿制者, 我说你们为什么把我的名字也写到你的产品中?硬件加密:8031/8052 单片机就是8031/8052 掩模产品中的不合格产品, 内部有ROM( 本人85 年发现的), 可以把8031/8052 当8751/8752 来用, 再扩展外部程序器, 然后调用8031 内部子程序。

当然你所选的同批8031 芯片的首地址及所需用的中断入口均应转到外部程序区。

(2) 单片机加密方法:各位, 我在这里公开场合讲加密, 有的只能讲思路, 有的要去实验, 要联想, 要综合应用各种方法, 甚至有的不能言传, 只能意会。

因为这里有的造矛者也在看我们如何造盾, 当然, 我们也要去看人家怎样造矛, 目前国内、外最高造矛的水平怎样。

“知已知彼, 才能百战百胜”。

硬件加密: 使他人不能读你的程序① 用高电压或激光烧断某条引脚, 使其读不到内部程序, 用高电压会造成一些器件损坏。

② 重要RAM 数据采用电池( 大电容, 街机采用的办法) 保护, 拔出芯片数据失去。

单片机破解的常用方法及应对策略摘要：介绍了单片机内部密码破解的常用方法，重点说明了侵入型攻击／物理攻击方法的详细步骤，最后，从应用角度出发，提出了对付破解的几点建议。

关键词：单片机；破解；侵入型攻击／物理攻击１引言单片机（Ｍｉｃｒｏｃｏｎｔｒｏｌｌｅｒ）一般都有内部ＲＯＭ／ＥＥＰＲＯＭ／ＦＬＡＳＨ供用户存放程序。

为了防止未经授权访问或拷贝单片机的机内程序，大部分单片机都带有加密锁定位或者加密字节，以保护片内程序。

如果在编程时加密锁定位被使能（锁定），就无法用普通编程器直接读取单片机内的程序，这就是所谓拷贝保护或者说锁定功能。

事实上，这样的保护措施很脆弱，很容易被破解。

单片机攻击者借助专用设备或者自制设备，利用单片机芯片设计上的漏洞或软件缺陷，通过多种技术手段，就可以从芯片中提取关键信息，获取单片机内程序。

因此，作为电子产品的设计工程师非常有必要了解当前单片机攻击的最新技术，做到知己知彼，心中有数，才能有效防止自己花费大量金钱和时间辛辛苦苦设计出来的产品被人家一夜之间仿冒的事情发生。

２单片机攻击技术目前，攻击单片机主要有四种技术，分别是：（１）软件攻击该技术通常使用处理器通信接口并利用协议、加密算法或这些算法中的安全漏洞来进行攻击。

软件攻击取得成功的一个典型事例是对早期ＡＴＭＥＬＡＴ８９Ｃ系列单片机的攻击。

攻击者利用了该系列单片机擦除操作时序设计上的漏洞，使用自编程序在擦除加密锁定位后，停止下一步擦除片内程序存储器数据的操作，从而使加过密的单片机变成没加密的单片机，然后利用编程器读出片内程序。

（２）电子探测攻击该技术通常以高时间分辨率来监控处理器在正常操作时所有电源和接口连接的模拟特性，并通过监控它的电磁辐射特性来实施攻击。

因为单片机是一个活动的电子器件，当它执行不同的指令时，对应的电源功率消耗也相应变化。

这样通过使用特殊的电子测量仪器和数学统计方法分析和检测这些变化，即可获取单片机中的特定关键信息。

Flash文件的破解与加密方法探秘破解和防破解是必是同时存在的对立体。

如同制造病毒和防范病毒一样，制造病毒的言论从不会公开出现在一些名门场合，所以每当病毒来袭，防范的一方总是措不及防。

我们更希望看到的不是偷偷摸摸，而是从破解和防范中学习到实用的技术和知识。

一、破解篇这里所谈的破解，包括提取swf、破解已加密及未加密的swf，即通常所说的“swf to fla”。

获取swf的工具·Flash Saver - 保存网页中的swf·Flash文件格式转换器(FlashChanger) - 转换未加壳的exe 为swf·Flash吸血鬼- 不得已时用之。

提取范围很广，只要能看到Flash的窗口，包括加壳及未加壳的exe、网页等等。

在使用Flash吸血鬼提取swf的过程中建议不要进行其他操作，否则速度会变得极其缓慢，配置不好的机器有可能死机。

这也是这款软件目前版本(v2.2)最大的一个不足之处。

如果想中止程序，可以在任务管理器中结束。

使用Temporary Internet Files(IE缓存)下载MV、SWF等资源偶尔会有网友问我关于网上MV 如何下载，其实方法很简单，只要到Temporary Internet Files 文件夹下就能找到想找的大部分网络资源。

Temporary Internet Files 是IE 的临时文件夹。

目录一般在C:\Documents and Settings\你的用户名\Local Settings\Temporary Internet Files使用Temporary Internet Files 查找资源的技巧：先清空Temporary Internet Files，然后用IE 打开或刷新你要找的资源(比如MV) 所在的网页。

再刷新Temporary Internet Files 就能看到了，如果资源比较大，需要过一会，等下载完后再刷新才能看到。