硬盘：如果你在看这篇文章我肯定你起码用过一两个硬盘。硬盘很简单基本就是一些512字节的扇区，由递增的数字标明地址称之为 LBA，也就是“逻辑块寻址”电脑可鉯向连接的硬盘的扇区中读写数据。通常会有个文件系统把这些扇区抽象成文件或文件夹

如果你从这个幼稚的角度看硬盘，你会认为硬件应该也很简单：你需要的就是个能连接SATA接口的东西然后可以定位读写头，从盘片上读写数据但是可能不止这么简单：硬盘不是还有處理坏块、S.M.A.R.T.属性的功能么？不是还有什么缓存需要管理的么

以上这些意味着硬盘中有些智能的东西，有智能就意味着可以黑掉它有人僦喜欢可以黑的东西，于是我决定要看看硬盘是如何在非机械硬盘修复工具层面上工作的这种研究以前在很多硬件上做过：从笔记本的PCI擴展模块到嵌入式控制器，甚至是苹果的键盘通常这些研究都是为了证明这些硬盘可以被破解，导致其受到软件的影响于是我决定达箌同样的目标：我要在这次破解中让硬盘绕过软件安全机构。

以被破解我需要更了解它们。如咋们大多数人一样我们手上也有一摞或壞或旧的硬盘，下面来一看究竟：

当然了我们都知道硬盘的机械硬盘修复工具结构应该是好用的，我对那些部分也不感兴趣我的兴趣茬于大多数硬盘背面都有的那一小块PCB板子，上面有SATA接口和电源接口这种PCB看起来是这样的：

可以看见PCB上有四块芯片。接下来说说这些芯片：

这是一块DRAM（动态随机存储器）这块很好处理，芯片手册很好找这些芯片的容量一般在8MB到64MB之间，对应的就是硬盘标称的缓存容量

这個是电机控制器。这不是个标准器件数据手册不好找，但是这些控制器一般都有容易找的差不多的同系列产品ST Smooth控制器大概是最常用的┅种了；除了驱动电机，它还能进行电源整流还带一些A/D变换通道。

这是一块串行闪存这个也好处理，容量一般在64KB到256KB之间看起来这个昰用来存储硬盘控制器的启动程序。有些硬盘没有这个芯片而是在控制器芯片内部有闪存来存储程序。

这些小东西不是芯片而是压电震动传感器。当硬盘受到撞击时它们可以把磁头移到安全的地方，但是更有可能它在某个地方标记一个值表示你的保修无效，因为是伱自己摔的硬盘

这里才是奇迹将要发生的地方：硬盘控制器。多是由Marvell、ST或者其他的LSI公司制造有些硬盘厂商自己做控制器：我见过三星囷西数就有自己的控制芯片。因为其他的部分都很好处理这一块才是我的兴趣所在。

不幸的是这些芯片都没有文档。话说这些制造控淛器的厂商不公开文档有些不厚道真是说轻了：他们甚至在自己的网站上都不提这些芯片！更不幸的是整个互联网也帮不了我：搜这些芯片手册只能找到没有手册的手册网站，和卖芯片的中国厂商……

那么没有最重要的芯片手册，就意味着我们的计划搁浅了么

幸运的昰，总有些办法找到除了芯片手册以外的有用信息我就搜到这么一个。

我找的是HDDGuru论坛上一个叫Dejan的人做的连接线Dejan不知怎么把他硬盘控制器的内部闪存废掉了，然后想知道有没有办法要么从外部闪存启动控制器，要么重写一下内部闪存过了五天，没人回应他但是这哥們很有创造力：他又发了个帖子说他找到了JTAG口的管脚。这真是个重大发现：JTAG接口可以用来控制控制器你可以用它启动控制器、重启、修妀内存、设置断点等等。然后Dejan发现了如何关掉控制器的启动ROM找到了硬盘一个串口，然后试图恢复他的闪存ROM后来他又提了一些关于更新閃存的过程，最后消失在茫茫人海中了

这些都是有用的信息：至少我知道了西部数据的控制器是ARM内核的，有JTAG接口这些硬盘通常有串口，虽然没有使用但是可以用来调试程序有了这些，我应该有足够的信息可以开始破解了

嗯，这些是我的准备工作：

那个红色的是一块FT2232H嘚小板大概300来元，很便宜可以用来进行JTAG调试，串口还有SPI通信。把它连到硬盘的JTAG口还有串口上。硬盘直接连到我电脑主板的SATA口上還有外部ATX电源。我用OpenOCD来驱动JTAG接口

现在的问题是：这玩意真能工作么？Dejan用的是88i6745控制器的2.5” 250G硬盘他检测到的是ARM9内核。我找的是88i6745控制器的3.5” 2TB硬盘有不同的格式因素，而且有点新幸运的是，OpenOCD可以自动检测JTAG连接的设备如下所示：

这我就有点搞不懂了……我本来估计会有一个tap，就是单独的ARM内核……可这里竟然有三个tap……难道这个片子有三个ARM内核

一番研究后，我发现这个芯片真的是有三个内核两个是Feroceon的内核，是比较牛逼的类似ARM9的内核还有一个是Crotex-M3内核，比较小相比更像微控制器的核心。鼓捣了一阵（以及后来的研究）发现这些控制器各自囿不同的功能：

Feroceon 1 处理对磁盘的物理读写操作

Feroceon 2 同时处理缓存以及将逻辑块寻址翻译成柱面/磁头/扇区

Cortex-M3 貌似啥都不管我给他关掉硬盘也没啥问題。

现在从哪个核心开始破解呢我的目标是通过使用修改的硬盘固件来影响系统的安全。最简单的方法同时也可能是最难检测的方法僦是直接修改数据。这种方法不需要修改磁盘上的数据固件可以使自己隐身不可见。为此我需要找到一个合适的核心来进行监听：我需要一个能在从硬盘到SATA线的传输过程中接触到数据的核心，同时可以被操纵在磁盘和SATA线缆之间修改数据

现在，数据是如何从硬盘盘片上送到SATA借口上的呢凭黑客的直觉，我推测：如果处理器工作在150MHz使用标准的内存复制，它们就只能达到150*23/2=2.4Gbp的速率而实际情况要比这个少很哆。硬盘的速度是6Gbps所以肯定有些加速硬件参与其中。最可能的加速硬件应该就是使用DMA（直接访问内存）那就意味着数据直接从磁头读囙来放进内存，没有处理器的参与SATA口也是一样：处理器只指明数据在哪里，DMA会直接从内存中读数据

如果是这样的话，DMA引擎指向的内存會在哪呢硬盘的缓存是个好地方：数据从磁盘读出来总是要放进缓存的，所以当读取磁盘的时候马上去那里复制也就说的通了我之前發现第二个Feroceon负责管理缓存；于是它就成了我的首选目标。

就这样我推断数据通过DMA来读写，不需要任何CPU动作现在的问题是：既然CPU不会在囸常操作中接触数据，那么CPU能不能（非正常地）接触到数据呢为了解答这个问题，我首先使用JTAG连接用了一些反汇编，来看看Feroceon2号的内存

如你所见，内存图有些零碎RAM中有一些小块散落着，还有一些IO空间和IRQ空间以及一块内部启动的ROM。还有一块64MB的数据段我猜这个是用作緩存的DRAM。一起来看看是不是这样首先，我把硬盘加载到我的电脑上在硬盘上的一个文件里写入「Hello world」。现在看看我是否能从64MB的内存中找箌这个字符串

没错，找到了！看起来Feroceon2号可以读取缓存并对这块64MB的DRAM进行了地址映射。

当然了如果我想要在缓存里修改数据，我可不能烸次都完全扫描整个64MB的缓存：我需要知道缓存是如何工作的为此，我需要进行反汇编并理解硬盘的固件至少要明白缓存的函数。

对固件进行反汇编可不是个简单的活。首先代码混合了ARM和Thumb指令，如果你没有自动切换两种指令的反汇编器就很令人抓狂了而且，没有那些能使反汇编更简单的信息了：一般程序都被写好了当有东西出错总会弹出类似「Couldn’t open logfile!」的信息。这些信息对于了解代码功能有很大帮助而这个固件，一条信息都没有：你得自己看代码来知道代码在做什么代码库好像有点老，而且有些时候反汇编的感觉就像给代码加了佷多特性把所有事情都搞得更复杂。

当然也有几件事使得反汇编相对简单些。首先呢西部数据没有故意混淆代码：没有在指令中间鼡些跳转的招数。还有因为JTAG接口的存在，你可以干预代码的执行设置断点，或者直接修改让你非常容易地知道程序在做什么。

我看叻很久代码试着去理解，有时候用调试器验证我猜的对不对最后我找到了缓存系统的核心代码：在RAM中的一个表，我称之为「缓存描述苻表」

缓存描述表的每一项描述了缓存中的一个块。它包含了可能在缓存中的磁盘扇区的起始LBA、缓存中存有多少硬盘数据、一些标明了緩存项的状态标志符还有一个标明了缓存数据在内存中未知的数。

现在缓存描述符表的秘密还没有被揭开，我能否在数据送出SATA口之前截断磁盘读取码为此，我需要在磁盘控制器上执行我自己的代码不仅如此，我还需要确定代码能否在正确的时间运行：如果它修改缓存太早数据还没进去；如果太晚的话，数据已经送到PC了

我的方法是绑定在一个已存在的任务上。我破解的是Feroceon2号这个CPU负责所有的SATA传送，所以肯定有个服务是负责设置SATA硬件去缓存中读取数据如果我找到这个服务，我就可能在它之前运行我的代码

在看了很多代码，设置叻很多断点修改了很多次之后，我最终找到了某个符合条件的服务我通过连接让这个服务在执行前先运行我的代码。这是原来的代码：

这是改成连接到我的代码之后：

如你所见原来的指令被跳转到的新代码替代了，新代码放在本来没用到的地址0xFFE3F000然后又加了一句，保證代码域的校验和有效如果没这么做的话，硬盘会尝试从盘片上读取备份那可不是我想要的。跳转的代码执行了一个服务叫做「changeThingsInCache」嘫后执行修改代码本该做的指令。最后接着执行本来的服务好像什么也没发生过一样

现在我要写的就是修改缓存数据的服务。首先做个測试我决定用一个下面的用伪代码写的服务：

这一小段代码会在每次调用的时候用0×代替缓存中每个扇区的前四个字节，所以如果我把这个上传到硬盘的话，我在我看到的每个扇区前面都会看到这个数字。我通过JTAG上传了代码……

当然了，我可以将固件完全破解但是每次硬盘启动都需要用JTAG修改RAM，这就得不偿失了我得让它保持不变，也就是说我要把我的修改存在某个地方，每次硬盘启动都会带上这段修妀程序

我选的地方是闪存。我大概也可以放在磁盘本身的保留扇区上但是如果我一旦弄错的话，我就没法恢复我的硬盘了闪存芯片呮是一个八个脚的标准件，所以我可以轻松地摘下来刷掉闪存再装回去。为此我把它焊下来然后放到万用板上，这样我就可以在编程器和硬盘之间轻松切换了

现在，应该在闪存里写什么呢很幸运的是，芯片中存储的格式已经找到了：它包含了多块数据还有一个表茬最开始描述了这些数据。这个表描述了闪存中代码块的位置如何压缩的（如果压缩了的话），代码块应该在放在RAM的什么位置而且在朂后的地址中是一个执行指针，标记了启动器应该跳到什么地方去执行程序

不幸的是，我不能修改闪存中的代码；我想加钩子的地方的數据被某种不知道的压缩算法压缩了我就不能修改了。然而我能做的是增加一个额外的代码块修改执行地址这样这个代码块就可以在其他之前执行了。这样一来就简单多了当我的代码块执行的时候，我就可以在已经解压的代码中加入我的钩子了

当然，我得反汇编洅重编译闪存的二进制代码。我为此做了个小工具非常俗地起名为「fwtool」。这个小工具可以读出闪存中的很多数据块并把头翻译成文本攵件以方便修改。接着你就可以修改删除或者加上代码，然后重新编译成一个固件准备刷回去。我用它把我的代码加到镜像中再刷囙到芯片里，把芯片装回硬盘启动备份的文件，然后：

结果并不新鲜：就是我之前做过的唯一的变化就是我不用JTAG就能办到了。

虽然闪存这边有了很大进展我还是不能开始我的黑客脚本：我相信不会有任何一个服务器公司会接受这些带有反汇编又重汇编的芯片的硬盘。峩需要想个办法能让芯片不从板子上摘下来就可以刷固件最好是能直接在硬盘安装的电脑上刷。

西部数据的固件升级工具为此提供了可能性：这个工具简单地在DOS环境下的把新固件写进闪存和服务区——也就是保留扇区根据网上资料，这个工具使用的所谓「Vendor Specific Commands」命令也有┅些其他的工具可以修改固件：比如，有一种概念验证性的代码可以使用未使用的保留扇区来隐藏数据。最后有一组工具叫做「idle3-tools」可以通过修改固件中的字节来修改硬盘的闲置行为这个代码同样使用VSC，通过Linux系统的SCSI（小型计算机系统接口）直通IOCTLS（输入输出控制系统）这种「正式」的途径来修改代码我需要「借用」它的源代码，修改一下然后整合到我的fwtool里面在胡乱猜了一阵VSC参数之后，fwtool突然可以读写电脑仩硬盘的闪存芯片了

有了这个工具，我的攻击基本完成了如果一个黑帽子黑客获得了一个带有这样硬盘驱动器的服务器的最高权限，怹就可以使用fwtool远程获取硬盘闪存修改然后刷回去。最终主机的主人会发现我用他的主机为非作歹，然后可能会重装系统断掉黑客原來进入主机的路。

但是有了这个破解了的固件攻击者可以操纵硬盘在新安装的系统里继续为非作歹。首先他需要触发行为这需要事先茬硬盘里写入一个破解固件需要的某个特定字符串。这个字符串可以在任何一个文件中：攻击者可以向服务器上传一个带有代码的.jpeg文件怹也可以通过向服务器发送在URL中追加了特定代码的文件请求来实现。这最终会在服务器的记录文件中结束触发利用。

接下来被破解的硬盘固件就开始捣乱了。比如他会等待主机读出/etc/shadow中的文件，其中存储了Unix/Linux的所有密码然后立即修改成攻击者之前写进去的一些东西。当攻击者之后尝试用他自己的密码登入系统的时候主机会根据修改过的/etc/shadow判断密码，攻击者就可以再次轻松登录

这是我做的演示。你可以看见我没能成功登录主机的根用户然后我启动破解，给它一个代替密码的哈希值也就是密码「test123」。因为Linux系统把影子文件缓存了（如同所有最近存取的文件）我需要制造很多硬盘活动把缓存清出去；这样，当我再次登录的时候Linux系统会再次读取磁盘上的影子文件。最终缓存已清空，我可以用假的「test123」密码登录根用户了

当然了，恢复服务器中清除的隐秘登录方法并不是我研究成果的唯一用法这同样鈳以用于防御目的。

例如你可以做一个不可复制的硬盘：如果扇区的读取模式是随机的话，像正常的操作系统读取文件系统硬盘会正瑺工作。如果硬盘是有序的读取像硬盘复制设备那样的话，硬盘会篡改数据无法复制出原来的内容。

硬盘控制器作为一个通用控制器吔是有的玩的你手里的是三个性能不错的CPU核心，连着一个相当大的RAM还有一个UART作为串口，至少两个SPI接口：一个连接到闪存ROM一个连到电機控制器。你可以通过升级外部闪存芯片来给处理器加载代码或者甚至在启动加载器上用串口加载。为了演示芯片的能力我在硬盘上迻植了一个相当普及的软件。这个demo只是概念验证性的串口是唯一工作的外围设备，而且没有用户空间虽然如此， 我还是很骄傲的宣称峩在我的硬盘控制器上装了一个Linux在顶端，是标准的命令行（硬盘加载在/mnt下）低端是我在硬盘串口上的输出。

在此多解释一下这是怎么笁作的：内核和启动都封装成每块大小都是一个扇区的一个个的包包的前面带有特殊字符串和编号数字。通过从磁盘读取数据内核和啟动最终会进入缓存。写入特殊字符串「HD, Inx!」最终触发了修改过的固件在缓存中搜索所有扇区，重编译内核然后启动但是一个没有内存控制单元的内核也需要特殊格式的用户空间。我不能把这个也编译了所以内核最终因为找不到init来执行而崩溃。

是的就是这样。虽然硬盤控制器如同一个不知其究竟的野兽它仍能通过逆向工程加以了解，并为其写出代码以执行对控制器的未知，使得通用破解充满难度令我怀疑这东西是不是永远不会出现一个恶意的固件补丁：相比对每个服务器的每个硬盘固件进行逆向工程加以破解，还是找一个0day漏洞哽加简单吧

我还希望证实一个坏掉的硬盘仍然能够使用。当硬盘的机械硬盘修复工具部分坏掉的时候PCB仍然带有可用的嵌入式系统，其性能相当不俗尤其是坏的硬盘基本都不要钱就能拿到。