reverse engineering nand flash
play

Reverse Engineering NAND Flash Adapted from Josh m0nk - PowerPoint PPT Presentation

Nov 17, 2022 •702 likes •1.02k views

Reverse Engineering NAND Flash Adapted from Josh m0nk Thomass Black Hat PresentaBon Andrew bunnie Huang & Sean xobs Cross 30c3 PresentaBon

  1. Reverse ¡Engineering ¡NAND ¡Flash ¡ Adapted ¡from ¡ Josh ¡‘m0nk’ ¡Thomas’s ¡Black ¡Hat ¡PresentaBon ¡ Andrew ¡‘bunnie’ ¡Huang ¡& ¡Sean ¡‘xobs’ ¡Cross ¡30c3 ¡PresentaBon ¡ Presented ¡by ¡Ben ¡RuktanBchoke ¡

  2. NAND:Hard ¡It ¡Work ¡ • FloaBng ¡gate ¡transistor ¡ • Pages ¡– ¡Typically ¡512, ¡2048, ¡or ¡4096 ¡ • Blocks ¡– ¡Typically ¡16kb ¡– ¡512kb ¡ • ShiXing ¡to ¡0 ¡is ¡easy ¡ • ShiXing ¡to ¡1 ¡is ¡hard ¡

  3. NAND:Hard ¡it ¡Work ¡

  4. Faking ¡Reliability ¡ • Flash ¡memory ¡is ¡“unreliable” ¡ • You ¡are ¡not ¡storing ¡data, ¡you ¡are ¡storing ¡ probabilisBc ¡approximaBons ¡of ¡your ¡data ¡ • Workaround: ¡computaBonal ¡error ¡correcBon ¡ (ECC) ¡ • Flash ¡geometry ¡changes ¡ – New ¡ECC ¡rules, ¡page ¡size, ¡block ¡mapping, ¡etc. ¡

  5. Also, ¡Bad ¡Blocks ¡ • TLC/MLC ¡Flash ¡is ¡super ¡cheap ¡ • Work ¡around: ¡bad ¡block ¡remapping ¡ – In ¡some ¡cases, ¡over ¡80% ¡of ¡blocks ¡are ¡bad ¡(e.g. ¡ 16GB ¡chip ¡sold ¡as ¡2GB) ¡ • Also, ¡blocks ¡go ¡bad ¡with ¡P/E ¡cycles ¡

  6. What’s ¡inside ¡

  7. NAND:SoX ¡it ¡Works ¡ • RAW ¡NAND ¡vs. ¡MMC/eMMC ¡ – Complex ¡Driver ¡vs. ¡Simple ¡Driver ¡ • ¡Proprietary ¡(closed) ¡wear ¡leveling ¡ algorithms ¡are ¡normally ¡embedded ¡

  8. NAND:SoX ¡it ¡Works ¡ • MTD ¡Subsystem ¡ • Kind ¡of ¡a ¡meta-­‑driver ¡ • Used ¡heavily ¡for ¡boot ¡parBBons ¡on ¡Android ¡

  9. Related ¡Works ¡ • MTD ¡at ¡the ¡Driver ¡Level ¡ • Flash ¡TransiBon ¡Layers ¡and ¡Reverse ¡the ¡ Embedded ¡Controllers ¡

  10. Digilient ¡Nexys™2 ¡Spartan-­‑3E ¡FPGA ¡ + ¡Schmartboard ¡

  11. What's ¡an ¡ini*al ¡RAM ¡disk? ¡ • The ¡ ini#al ¡RAM ¡disk ¡(initrd) ¡is ¡an ¡iniBal ¡root ¡file ¡system ¡that ¡is ¡ mounted ¡prior ¡to ¡when ¡the ¡real ¡root ¡file ¡system ¡is ¡available. ¡The ¡ initrd ¡is ¡bound ¡to ¡the ¡kernel ¡and ¡loaded ¡as ¡part ¡of ¡the ¡kernel ¡boot ¡ procedure. ¡The ¡kernel ¡then ¡mounts ¡this ¡initrd ¡as ¡part ¡of ¡the ¡two-­‑ stage ¡boot ¡process ¡to ¡load ¡the ¡modules ¡to ¡make ¡the ¡real ¡file ¡ systems ¡available ¡and ¡get ¡at ¡the ¡real ¡root ¡file ¡system. ¡ • The ¡initrd ¡contains ¡a ¡minimal ¡set ¡of ¡directories ¡and ¡executables ¡to ¡ achieve ¡this, ¡such ¡as ¡the ¡insmod ¡tool ¡to ¡install ¡kernel ¡modules ¡into ¡ the ¡kernel. ¡ • In ¡the ¡case ¡of ¡desktop ¡or ¡server ¡Linux ¡systems, ¡the ¡initrd ¡is ¡a ¡ transient ¡file ¡system. ¡Its ¡lifeBme ¡is ¡short, ¡only ¡serving ¡as ¡a ¡bridge ¡to ¡ the ¡real ¡root ¡file ¡system. ¡In ¡embedded ¡systems ¡with ¡no ¡mutable ¡ storage, ¡the ¡initrd ¡is ¡the ¡permanent ¡root ¡file ¡system. ¡

  12. Boo*ng ¡with ¡an ¡ini*al ¡RAM ¡disk ¡ The ¡boot ¡loader, ¡such ¡as ¡GRUB, ¡idenBfies ¡the ¡kernel ¡that ¡is ¡to ¡be ¡loaded ¡and ¡copies ¡this ¡kernel ¡ • image ¡and ¡any ¡associated ¡initrd ¡into ¡memory. ¡ AXer ¡the ¡kernel ¡and ¡initrd ¡images ¡are ¡decompressed ¡and ¡copied ¡into ¡memory, ¡the ¡kernel ¡is ¡ • invoked. ¡Various ¡iniBalizaBon ¡is ¡performed ¡and, ¡eventually, ¡you ¡find ¡yourself ¡in ¡init/ main.c:init() ¡(subdir/file:funcBon). ¡This ¡funcBon ¡performs ¡a ¡large ¡amount ¡of ¡subsystem ¡ iniBalizaBon. ¡A ¡call ¡is ¡made ¡here ¡to ¡init/do_mounts.c:prepare_namespace(), ¡which ¡is ¡used ¡to ¡ prepare ¡the ¡namespace ¡(mount ¡the ¡dev ¡file ¡system, ¡RAID, ¡or ¡md, ¡devices, ¡and, ¡finally, ¡the ¡initrd). ¡ Loading ¡the ¡initrd ¡is ¡done ¡through ¡a ¡call ¡to ¡init/do_mounts_initrd.c:initrd_load(). ¡ The ¡initrd_load() ¡funcBon ¡calls ¡init/do_mounts_rd.c:rd_load_image(), ¡which ¡determines ¡the ¡RAM ¡ • disk ¡image ¡to ¡load ¡through ¡a ¡call ¡to ¡init/do_mounts_rd.c:idenBfy_ramdisk_image(). ¡This ¡funcBon ¡ checks ¡the ¡magic ¡number ¡of ¡the ¡image ¡to ¡determine ¡if ¡it's ¡a ¡minux, ¡etc2, ¡romfs, ¡cramfs, ¡or ¡gzip ¡ format. ¡Upon ¡return ¡to ¡initrd_load_image, ¡a ¡call ¡is ¡made ¡to ¡init/do_mounts_rd:crd_load(). ¡This ¡ funcBon ¡allocates ¡space ¡for ¡the ¡RAM ¡disk, ¡calculates ¡the ¡cyclic ¡redundancy ¡check ¡(CRC), ¡and ¡then ¡ uncompresses ¡and ¡loads ¡the ¡RAM ¡disk ¡image ¡into ¡memory. ¡At ¡this ¡point, ¡you ¡have ¡the ¡initrd ¡image ¡ in ¡a ¡block ¡device ¡suitable ¡for ¡mounBng. ¡ MounBng ¡the ¡block ¡device ¡now ¡as ¡root ¡begins ¡with ¡a ¡call ¡to ¡init/do_mounts.c:mount_root(). ¡The ¡ • root ¡device ¡is ¡created, ¡and ¡then ¡a ¡call ¡is ¡made ¡to ¡init/do_mounts.c:mount_block_root(). ¡From ¡ here, ¡init/do_mounts.c:do_mount_root() ¡is ¡called, ¡which ¡calls ¡fs/namespace.c:sys_mount() ¡to ¡ actually ¡mount ¡the ¡root ¡file ¡system ¡and ¡then ¡chdir ¡to ¡it. ¡This ¡is ¡where ¡you ¡see ¡the ¡familiar ¡message ¡ shown ¡in ¡LisBng ¡6: ¡VFS: ¡Mounted ¡root ¡(ext2 ¡file ¡system). ¡ Finally, ¡you ¡return ¡to ¡the ¡init ¡funcBon ¡and ¡call ¡init/main.c:run_init_process. ¡This ¡results ¡in ¡a ¡call ¡ • to ¡execve ¡to ¡start ¡the ¡init ¡process ¡(in ¡this ¡case ¡/linuxrc). ¡The ¡linuxrc ¡can ¡be ¡an ¡executable ¡or ¡a ¡script ¡ (as ¡long ¡as ¡a ¡script ¡interpreter ¡is ¡available ¡for ¡it). ¡

  13. MTD ¡Subsystem ¡Architecture ¡

  14. Graphical ¡Analysis ¡

  15. Graphical ¡representaBon ¡of ¡the ¡bytes ¡ in ¡the ¡firmware ¡

  16. ¡Graphical ¡representaBon ¡of ¡the ¡bytes ¡ in ¡the ¡firmware ¡ ¡

  17. Graphical ¡representaBon ¡of ¡the ¡bytes ¡ in ¡the ¡firmware ¡(zoomed ¡in) ¡

  18. JFFS2 ¡Header ¡Fields ¡

  19. Bootloader ¡Environemnet ¡ Variable ¡Analysis ¡

  20. U-­‑Boot ¡code ¡showing ¡ default_environment ¡

  21. Loading ¡default_environment ¡ variables ¡ bootargs=root=/dev/mtdblock3 ¡roo;stype=jffs2 ¡noinitrd ¡ramdisk_size=4096 ¡ mem=32M ¡mtdparts=s3c2410-­‑nand:16k(boot),176k(u-­‑boot),4912k(linux-­‑img), 27104K(roo;s),-­‑(extra);phys_mapped_flash:-­‑(all) ¡

  22. U-­‑boot ¡sub-­‑images ¡

  23. Tamper ¡DetecBon ¡

  24. Tamper ¡protecBon ¡in ¡acBon ¡

  25. Front ¡and ¡Back ¡panels ¡

  26. Circuits ¡inside ¡plasBc ¡padding ¡

  29. Original ¡JFFS2 ¡Record ¡

  30. Modifed ¡JFFS2 ¡Record ¡

Recommend

FlexFS: A Flexible Flash File System for MLC NAND Flash Memory Sungjin Lee , Keonsoo Ha, Kangwon

FlexFS: A Flexible Flash File System for MLC NAND Flash Memory Sungjin Lee , Keonsoo Ha, Kangwon

FlexFS: A Flexible Flash File System for MLC NAND Flash Memory Sungjin Lee , Keonsoo Ha, Kangwon Zhang, Jihong Kim, and Junghwan Kim* School of Computer Science and Engineering Seoul National University * Samsung Advanced Institute of Technology

852 views • 53 slides
IEE5008 Autumn 2012 Memory Systems 3D Nand Flash Memory Pranav Arya Department of

IEE5008 Autumn 2012 Memory Systems 3D Nand Flash Memory Pranav Arya Department of

IEE5008 Autumn 2012 Memory Systems 3D Nand Flash Memory Pranav Arya Department of Electronics Engineering National Chiao Tung University pranav_arya7@yahoo.co.in Pranav Arya, 2012 Outline Introduction Planar Nand Flash

819 views • 43 slides
Partitioned Real-Time NAND Flash Storage Katherine Missimer and Rich West Introduction 2

Partitioned Real-Time NAND Flash Storage Katherine Missimer and Rich West Introduction 2

Partitioned Real-Time NAND Flash Storage Katherine Missimer and Rich West Introduction 2 Introduction 3 Introduction 4 NAND Flash Memory Non-volatility Shock resistance Low power consumption Fast access time 5 NAND Flash Memory No

771 views • 47 slides
Program Interference in MLC NAND Flash Memory: Characterization, Modeling, and Mitigation Yu Cai

Program Interference in MLC NAND Flash Memory: Characterization, Modeling, and Mitigation Yu Cai

Program Interference in MLC NAND Flash Memory: Characterization, Modeling, and Mitigation Yu Cai 1 Onur Mutlu 1 Erich F. Haratsch 2 Ken Mai 1 1 Carnegie Mellon University 2 LSI Corporation Flash Challenges: Reliability and Endurance P/E cycles

626 views • 30 slides
Memory Systems Overview of the NAND Flash High- Speed Interfacing and Controller Architecture

Memory Systems Overview of the NAND Flash High- Speed Interfacing and Controller Architecture

IEE5008 Autumn 2012 Memory Systems Overview of the NAND Flash High- Speed Interfacing and Controller Architecture Nina Mitiukhina Electrical Engineering and Computer Science International Graduate Program National Chiao Tung University

841 views • 45 slides
Reducing SSD Read Latency via NAND Flash Program and Erase Suspension Guanying Wu and Xubin He

Reducing SSD Read Latency via NAND Flash Program and Erase Suspension Guanying Wu and Xubin He

Reducing SSD Read Latency via NAND Flash Program and Erase Suspension Guanying Wu and Xubin He {wug, xhe2}@vcu.edu Department of Electrical and Computer Engineering Virginia Commonwealth University Richmond, VA This research is sponsored in

364 views • 18 slides
ZombieNAND: Resurrecting Dead NAND Flash for Improved SSD Longevity Ellis H. Wilson III 1 , 2

ZombieNAND: Resurrecting Dead NAND Flash for Improved SSD Longevity Ellis H. Wilson III 1 , 2

ZombieNAND: Resurrecting Dead NAND Flash for Improved SSD Longevity Ellis H. Wilson III 1 , 2 Myoungsoo Jung 3 Mahmut Kandemir 1 1 Department of Computer Science and Engineering, The Pennsylvania State University 2 Panasas, Inc. 3 Department of

344 views • 16 slides
NAND Flash Memory Laura M. Grupp * , John D. Davis , Steven Swanson * * Non-volatile Systems

NAND Flash Memory Laura M. Grupp * , John D. Davis , Steven Swanson * * Non-volatile Systems

The Bleak Future of NAND Flash Memory Laura M. Grupp * , John D. Davis , Steven Swanson * * Non-volatile Systems Laboratory Department of Computer Science and Engineering University of California, San Diego Microsoft Research 1 Flashs

510 views • 31 slides
Flash Memory For Automative 2016 10 Do not distribute without permission 1 2007

Flash Memory For Automative 2016 10 Do not distribute without permission 1 2007

Flash Memory For Automative 2016 10 Do not distribute without permission 1 2007 2 2011 6th 3 2015 9th 4 Automotive Flash 5 NAND for Automotive More storage requires NAND Navigation, ADAS,

339 views • 15 slides
Long-Term JPEG Data Protection and Recovery for NAND Flash-Based Solid-State Storage Yu-Chun Kuo,

Long-Term JPEG Data Protection and Recovery for NAND Flash-Based Solid-State Storage Yu-Chun Kuo,

Long-Term JPEG Data Protection and Recovery for NAND Flash-Based Solid-State Storage Yu-Chun Kuo, Ruei-Fong Chiu, and Ren-Shuo Liu System and Storage Design Lab Department of Electrical Engineering National Tsing Hua University Taiwan 1

1.01k views • 42 slides
Exploiting Latency Variation for Access Conflict Reduction of NAND Flash Memory Jinhua Cui,

Exploiting Latency Variation for Access Conflict Reduction of NAND Flash Memory Jinhua Cui,

Exploiting Latency Variation for Access Conflict Reduction of NAND Flash Memory Jinhua Cui, Weiguo Wu, Xingjun Zhang, Jianhang Huang, Yinfeng Wang * Xian Jiaotong University, *ShenZhen Institute of Information Technology 1 OUTLINE 1.

509 views • 21 slides
Deep In-memory Architectures for NAND Flash Memory Sujan K Gonugondla, Mingu Kang, Yongjune Kim,

Deep In-memory Architectures for NAND Flash Memory Sujan K Gonugondla, Mingu Kang, Yongjune Kim,

Deep In-memory Architectures for NAND Flash Memory Sujan K Gonugondla, Mingu Kang, Yongjune Kim, Naresh Shanbhag University of Illinois at Urbana-Champaign Mark Helm, Sean Eilert Micron Technology, Inc. 1 Machines are Beating Humans at

703 views • 19 slides
Hiding @ Depth: Exploring & Subverting NAND Flash memory Josh m0nk Thomas (A DARPA CFT

Hiding @ Depth: Exploring & Subverting NAND Flash memory Josh m0nk Thomas (A DARPA CFT

Hiding @ Depth: Exploring & Subverting NAND Flash memory Josh m0nk Thomas (A DARPA CFT Project by MonkWorks, LLC) RIP 4.1.13 - Long Live CFT Thx Mudge Saturday, June 22, 13 ./whoami (m0nk) Applied Research Scientist @ Accuvant

394 views • 35 slides
Leveraging Value Locality in Optimizing NAND Flash-based SSDs Aayush Gupta , Raghav Pisolkar,

Leveraging Value Locality in Optimizing NAND Flash-based SSDs Aayush Gupta , Raghav Pisolkar,

Leveraging Value Locality in Optimizing NAND Flash-based SSDs Aayush Gupta , Raghav Pisolkar, Bhuvan Urgaonkar and Anand Sivasubramaniam Computer Systems Lab The Pennsylvania State University 1 Agenda Relook at Locality Another

485 views • 32 slides
Reverse Engineering CS 166 Armen Boursalian 30 Apr 2018 Reverse Engineering Take a

Reverse Engineering CS 166 Armen Boursalian 30 Apr 2018 Reverse Engineering Take a

Reverse Engineering CS 166 Armen Boursalian 30 Apr 2018 Reverse Engineering Take a product, understand how it works Usually limited to certain aspects, not full systems Need to know a little bit about a lot of topics to gain

636 views • 11 slides
REAL: A Retention Error Aware LDPC Decoding Scheme to Improve NAND Flash Read Performance Meng

REAL: A Retention Error Aware LDPC Decoding Scheme to Improve NAND Flash Read Performance Meng

REAL: A Retention Error Aware LDPC Decoding Scheme to Improve NAND Flash Read Performance Meng Zhang Fei Wu Xubin He Ping Huang Shunzhuo Wang Changsheng Xie Wuhan National Laboratory for Optoelectronics, Huazhong

780 views • 22 slides
COTS 3D NAND Flash: SEE Test Results and Challenges Edward Wilcox, Michael Campola, Kenneth LaBel

COTS 3D NAND Flash: SEE Test Results and Challenges Edward Wilcox, Michael Campola, Kenneth LaBel

COTS 3D NAND Flash: SEE Test Results and Challenges Edward Wilcox, Michael Campola, Kenneth LaBel NASA Goddard Space Flight Center Presented by Edward Wilcox at the Single Event Effects (SEE) Symposium and Military and Aerospace Programmable

610 views • 24 slides
Flash Memory and Micro SD Card Presented by: Krishna Goyal (200601195) Anirudh Tripathi

Flash Memory and Micro SD Card Presented by: Krishna Goyal (200601195) Anirudh Tripathi

Flash Memory and Micro SD Card Presented by: Krishna Goyal (200601195) Anirudh Tripathi (200601141) OUTLINE Memory Volatile and Nonvolatile memory EPROM and EEPROM memory Flash memory NAND and NOR Flash memory Flash

450 views • 34 slides
FIOS: A Fair, Efficient Flash I/O Scheduler Stan Park and Kai Shen presented by Jason

FIOS: A Fair, Efficient Flash I/O Scheduler Stan Park and Kai Shen presented by Jason

FIOS: A Fair, Efficient Flash I/O Scheduler Stan Park and Kai Shen presented by Jason Gevargizian Flash devices NAND Flash devices are used for storage aka Solid-state Drives (SSDs) much higher I/O performance than mechanical

539 views • 30 slides
CA CAME MELab ab Motivation Host NAND Flash density (pages / block) Delay More GC overhead

CA CAME MELab ab Motivation Host NAND Flash density (pages / block) Delay More GC overhead

Platform-Agnostic Lightweight Deep Learning for Garbage Collection Scheduling in SSDs Junhyeok Jang, Donghyun Gouk, Jinwoo Shin, Myoungsoo Jung Computer Architecture and Memory systems Laboratory CA CAME MELab ab Motivation Host NAND

1.06k views • 11 slides
Hiding @ Depth: Exploring & Subverting NAND Flash memory Josh m0nk Thomas (A DARPA CFT

Hiding @ Depth: Exploring & Subverting NAND Flash memory Josh m0nk Thomas (A DARPA CFT

Hiding @ Depth: Exploring & Subverting NAND Flash memory Josh m0nk Thomas (A DARPA CFT Project by MonkWorks, LLC) RIP 4.1.13 - Long Live CFT Thx Mudge Saturday, June 22, 13 My Path, And You Can Too! Saturday, June 22, 13 My Path,

379 views • 16 slides
Flash Memory Overview Steven Swanson Humanity processed 9 Zettabytes in 2008* Welcome to the

Flash Memory Overview Steven Swanson Humanity processed 9 Zettabytes in 2008* Welcome to the

Flash Memory Overview Steven Swanson Humanity processed 9 Zettabytes in 2008* Welcome to the Data Age! 2 *http://hmi.ucsd.edu Solid State Memories NAND flash Ubiquitous, cheap Sort of slow, idiosyncratic Phase change, Spin

634 views • 30 slides
Reverse Engineering TCP/ IP Reverse Engineering TCP/ IP Steven Low EAS, Caltech Joint work

Reverse Engineering TCP/ IP Reverse Engineering TCP/ IP Steven Low EAS, Caltech Joint work

Reverse Engineering TCP/ IP Reverse Engineering TCP/ IP Steven Low EAS, Caltech Joint work with: Li J W Li, J. Wang, Pongsajapan, Tan, Tang, M. Wang P j T T M W Outline Background Layering as optimization decomposition L

932 views • 47 slides
Next-Generation Debuggers For Reverse Engineering For Reverse Engineering The ERESI team

Next-Generation Debuggers For Reverse Engineering For Reverse Engineering The ERESI team

Next-Generation Debuggers For Reverse Engineering For Reverse Engineering The ERESI team eresi@asgardlabs.org This presentation is about .. The Embedded ERESI debugger : e2dbg The Embedded ERESI tracer : etrace The ERESI reverse

849 views • 47 slides

More recommend