posts: add bitbyteshark's firmware updater fix
Signed-off-by: Daniel Maslowski <info@orangecms.org>
This commit was merged in pull request #5.
This commit is contained in:
Daniel Maslowski
73
_posts/2026-04-15-firmware-updater-fix.markdown
Normal file
73
_posts/2026-04-15-firmware-updater-fix.markdown
Normal file
@@ -0,0 +1,73 @@
|
||||
---
|
||||
layout: post
|
||||
title: "Fixen eines Firmware-Updaters"
|
||||
date: 2025-04-15 17:35:00
|
||||
post_author: Jan / bitbyteshark
|
||||
---
|
||||
|
||||
Wer einem alten Laptop aus dem Keller noch einmal neues Leben einhauchen will, findet dabei nur selten eine Batterie in gutem Zustand vor. So ist es uns ergangen, als wir einen Dell XPS17 L702x mit Windows 7 (etwa aus dem Jahr 2010) wiederverwenden wollten. Für einen frischen Start wird zuerst kurz™ die neuste Firmware aufgespielt. Dafür stellt uns Dell den Firmware-Updater `L702X_A19.exe` für Windows von 2020 auf ihrer Website bereit. Doch ganz so leicht sollte es nicht sein.
|
||||
|
||||
## Fehlermeldung
|
||||
|
||||
|
||||
|
||||
Dank diesem eingebauten Schutzmechanismus lässt sich die Firmware nur mit eingestecktem Netzteil und eingesteckter Batterie ausführen, die außerdem auch noch zu mehr als 10% geladen sein muss. Der seit Jahren tiefenentladene Akku lässt jedoch nur noch eine maximale Ladung von 2% zu. Auch ein online beschriebener Bypass mit der Flag `/forceit` lässt hier leider kein Update zu.
|
||||
|
||||
Selbstverständlich will man dem Gerät hier trotzdem seinen Willen aufzwingen. Dazu reichten die Problemlösungsstrategien im Club von Firmware-Update via `fwupd`, über Patch der .exe-Datei mit Ghidra, bis hin zum Jumpstart des alten Akkus. Da ein Update via `fwupd` für dieses Gerät nicht verfügbar ist, haben wir uns dafür entschieden, den Umgang mit Ghidra zu lernen und etwas zu frickeln.
|
||||
|
||||
## Strategie
|
||||
|
||||
Die Idee ist, die Prüfung des Batteriezustandes im Programm zu finden und das Ergebnis zu invertieren oder die Prüfung im Ganzen zu überspringen. Ghidra zeigt uns die zu Grunde liegenden Assembly-Instruktionen der kompilierten Datei und erzeugt dazu dekompilierten C-Programmcode, der eine einfachere Interpretation ermöglicht.
|
||||
|
||||
Mit der Suche des Texts der Fehlermeldung ließ sich der Code-Abschnitt des Pop-Up-Fensters finden, der für den Klick auf OK mutmaßlich auch den Retry der Batterie-Prüfung auslöst. Da im Executable keine der ursprünglichen Funktionsbezeichnungen mehr erhalten bleiben, stochert man dabei etwas im Dunkeln und erschließt sich den Kontext nach und nach.
|
||||
|
||||
## Umsetzung
|
||||
|
||||
In mehreren Versuchen haben wir den Rückgabewert der Batterieprüfung ausgetauscht und den Vergleichswert überschrieben, haben damit aber zunächst nur neue Fehlermeldungen oder gar keine Änderung bewirkt.
|
||||
|
||||
Mehr Erfolg hatten wir schließlich mit einem switch-case-Statement, mit dem die verschiedenen Fehler-cases und auch der Erfolgs-case verarbeitet werden. Dort konnten wir den Initialwert so überschreiben, dass immer der Erfolgs-case ausgelöst wird.
|
||||
|
||||
Die konkrete Änderung wird im Assembly umgesetzt und muss der gleichen Größe der ursprünglichen Anweisungen entsprechen. In userem Fall sieht die Anweisung vor der Änderung so aus:
|
||||
|
||||
```
|
||||
004031ac 8b 85 04 MOV EAX,dword ptr [EBP + int_for_case_switching]
|
||||
f3 ff ff
|
||||
```
|
||||
|
||||
Nach der Änderung mit konstantem Wert 7 so:
|
||||
|
||||
```
|
||||
004031ac c7 c0 07 MOV EAX,0x7
|
||||
00 00 00
|
||||
```
|
||||
|
||||
Nach Einbau der Änderung lässt sich eine .exe exportieren und wir konnten so die neue Firmware doch noch installieren.
|
||||
|
||||
## Zum Nachmachen
|
||||
|
||||
Dell stellt das Executable "Dell XPS L702X System BIOS" für das Firmware-Upgrade auf die Verison A19 von 2020 online bereit. Um sicherzugehen, dass es sich um die identische Datei handelt, sollte die MD5-Checksum abgeglichen werden:
|
||||
|
||||
``` sh
|
||||
md5sum L702X_A19.exe
|
||||
e2c30fa6285242a6a56f9b5371ddb2fc
|
||||
```
|
||||
|
||||
Die geänderten 6 byte können direkt auf die Datei angewendet werden:
|
||||
|
||||
```sh
|
||||
cp L702X_A19.exe L702X_A19_patched.exe
|
||||
echo -ne '\xc7\xc0\x07\x00\x00\x00' | dd of=L702X_A19_patched.exe obs=1 seek=12716 conv=notrunc
|
||||
```
|
||||
|
||||
Die seek-Position ist hier die zu patchende Adresse und resultiert aus der in Ghidra angezeigten Adresse minus der Basisadresse (`0x004031ac - 0x00400000`) als Dezimalwert.
|
||||
|
||||
Hier die neue MD5-Prüfsumme:
|
||||
|
||||
```sh
|
||||
md5sum L702X_A19_patched.exe
|
||||
ea0d4df025d55bb3d0ac039bc9b872c7
|
||||
```
|
||||
|
||||
## Fazit
|
||||
|
||||
Rückblickend ließ sich der Updater also doch noch überreden und hat sich super angeboten, um als Anfänger mit etwas Unterstützung zu basteln und Neues zu lernen.
|
||||
Reference in New Issue
Block a user