掩膜单片机解密原理
掩膜单片机是在芯片生产过程中,增加一块Mask和若干道加工工序,将数据一次性固化存储在芯片上,无需从芯片外部写入数据,因此一般没有数据读出通道。但芯片加工过程中写入了0/1数据,必然会在芯片内部留下物理痕迹,这样就能通过反向分析的方法,从这些物理痕迹入手,将芯片内部存储的数据读出。
掩膜单片机分类
Mask ROM也有很多种类。
数据存储,可以通过有无半导体器件(比如NMOS管)来区分0和1。
数据存储,也可以将半导体器件(比如NMOS管)全部加工出来,只是通过其连接与否来区分0和1。器件的连接又可以通过有源区(Diff)、金属(Metal)或者通孔(Via)来实现。
以上这两类ROM,均会在芯片表面留下图形化的物理痕迹,能通过显微相片直接识别出0/1来,这类码点称为“明码”。
数据存储,还可以通过改变半导体器件(比如NMOS管)的电学性能来区分0和1。在芯片加工过程中,使用一层Mask,将需要写0和需要写1的NMOS管子区分开来,对其中的一类NMOS管进行一次额外的掺杂,以改变它们的开启电压。再设计ROM外围电路,依据NMOS管的开启电压不同,从其电性能差异上识别出0/1。区分0和1的两种NMOS管,形状和连接关系均无任何区别,仅仅是掺杂稍有不同,因此无法通过图形识别直接区分它们,这也是此类码点被称为“暗码”的原因。
要想读出暗码,需要利用不同掺杂半导体材料跟特殊化学试剂的显示反应,对芯片进行码点染色,让它们呈现出差异性的颜色,以便识别0和1。
掩膜单片机解密步骤
1、查找MCU说明书(Datasheet),了解芯片的整体结构、运算逻辑单元(ALU)各项功能、数据总线及结构、存储器相关部分特点(不仅包括ROM,还包括RAM和各通用寄存器)等硬件相关信息同时熟悉MCU的指令集等软件相关信息。了解MCU的IO接口及应用特点。当然获取码点容量信息是必须的。
2、将样片开盖,获取芯片面积、线宽、层数,ROM面积、ROM类型等基本信息,通过各种实验手段获得芯片工艺特点。
3、将样片去层,获得ROM区域以及外围相关电路(包括译码电路和与之相关的数字电路)的各层显微相片,并完成图片拼接。
4、将样片码点染色,获得码点区域染色后的显微相片,并完成图片拼接。
5、提取码点,得到二维平面阵列码点。
6、分析ROM外围译码电路及与之相关的数字电路,得到码点顺序。
7、依据码点顺序对平面阵列码点进行重构,得到二进制文件。
成 功 案 例
近年来,创微科技公司已经成功解密了数百款各大MCU生产厂家的不同类型产品,积累了丰富的掩膜单片机解密经验。
