对于m系列,向量表默认在地址0,前4个字节是栈末尾地址也是初始栈指针,然后0x4-0x8这4个字节是reset handler,跳转过去会执行main函数的起点,是绝对地址。然后修改VTOR寄存器可以重定位向量表。
所以bootrom默认在地址0开始
对于arm64,就复杂一些
首先reset handler不是向量表一部分了而且每个条目最多0x80字节,向量表的基地址写在vbar_eln的寄存器里面
然后异常表第一项是同步异常,一般是死循环。
所以说我们可以来看unisoc的bootrom,首先我们先用0作为加载地址载入ida
然后看代码
bootrom一开始把vbar_el3设置成0x100800,是向量表的开始
所以找第一个死循环的位置
在0x800偏移
所以实际bootrom加载地址是0x100800-0x800=0x100000
那么可以看到确实是0x80字节一个条目,多出来就用nop
然后还有一些其他方法,比如说armv7的加载地址怎么确定:
armv7的向量表也是4个字节一个条目,开头是reset handler,所以说实际上找到程序开始的函数,然后就可以算了,而且很多情况下向量表就在0地址,更好找
再就是通过switch,跳转表里面的地址是真实地址,然后真实地址-跳转表偏移量就是固件加载地址
再就是找一些magic number,然后看看用到magic number的函数(这个是指的直接用不是绝对地址引用),然后猜测里面的printf的字符串(这个一般是绝对地址),然后找到ida搜索这个字符串,找到偏移量
还有一种指令定位法,比如LDR R0,=0xxxxx,是绝对地址,然后这可能是引用固件中某个区域,我们认为真实地址和偏移量的后三位(可能更多)一般是一样的因为加载地址一般都是比较整的,所以直接搜后三位地址在一般是字符串中出现的偏移量,然后就可以计算加载地址了。
最后还有一个开源工具https://github.com/sgayou/rbasefind
没用过估计不好用