先把問(wèn)題拆清楚——“讀取”到底讀什么���?
在單片機語(yǔ)境里��,“讀取”通常有三層含義:
調試/生產(chǎn)階段的“正常讀取”
通過(guò)官方調試口(ICSP 或 FMD-Link)把 Flash/EEPROM 里的程序或數據回讀到 PC���,用來(lái)做量產(chǎn)校驗或在線(xiàn)升級�。
逆向/破解場(chǎng)景下的“非侵入式讀取”
不破壞封裝��、不磨蓋��,用第三方編程器或自制硬件直接 dump 整個(gè)程序區�����。
物理級別的“侵入式讀取”
拆封裝��、探針扎線(xiàn)�,甚至 FIB 改線(xiàn)�����,把存儲陣列的電荷狀態(tài)讀出來(lái)�。
下文把三種場(chǎng)景一次說(shuō)明白�,并給出可行性與風(fēng)險對照表��。
官方通道:100 % 可讀����,但有前提
工具鏈
? FMD-Link(或兼容的 FMD-ICE)+ FMD IDE
? FlashPro 下載器(支持批量校驗回讀)
可讀取內容
? 程序 Flash(PROM 區)
? 數據 EEPROM
? SRAM(在線(xiàn)調試時(shí)可實(shí)時(shí)查看)
限制條件
? 讀功能受“Code Protect”熔絲位控制��。出廠(chǎng)默認關(guān)閉保護����,用戶(hù)可在燒錄時(shí)勾選“Enable Code Protect”���。
? 一旦開(kāi)啟保護����,官方工具也讀不回程序區�,只能全片擦除后重新燒錄�。
? 部分 Touch MCU(FT62F0Gx 等)在開(kāi)啟“Boot + IAP”模式后����,Boot 區仍可讀����,應用區被保護�。
結論:只要沒(méi)開(kāi)保護����,開(kāi)發(fā)者隨時(shí)可讀���;開(kāi)了保護���,官方也束手無(wú)策���。
非官方通道:難度與風(fēng)險隨型號差異巨大
8-bit OTP/EPROM 老型號(FT60F0xx 早期批次)
? 采用單層金屬�、0.35 μm OTP 工藝��,顯微鏡下即可看清位線(xiàn)�����。
? 市面上有“一拖八”編程器聲稱(chēng)可直讀���,但只要 Code Protect 熔絲燒斷�,數據線(xiàn)即被永久隔離��,只能讀到 0x3FFF(全 1)���。
→ 保護位一燒���,直讀成功率 ≈ 0�。
8-bit MTP/Flash 新型號(FT60F211����、FT62F0xx 后期批次)
? 采用 0.15 μm MTP + 金屬 3 層工藝���,位線(xiàn)埋在金屬 2 以下���,非侵入式光學(xué)手段基本失效�。
? 公開(kāi)資料未發(fā)現第三方量產(chǎn)級漏洞�����;網(wǎng)上流傳的“FMD 旁路攻擊腳本”屬于實(shí)驗性質(zhì)�����,需要 glitch 電源與精確時(shí)序���,普通玩家不具備可復制性�。
32-bit ARM 內核系列(FT32F0xx)
? 內建 SWD 口��,默認開(kāi)啟 RDP Level 1(相當于 ST 的 Level 1)��。
? 目前 RDP Level 2 尚未發(fā)現量產(chǎn)芯片啟用��,因此可通過(guò)“SWD + 擦除解鎖”方式 dump SRAM����,但 Flash 仍受保護���。
→ 這類(lèi)芯片的逆向難度與 STM32F0 系列持平��。
侵入式讀?��。豪碚撋峡尚?���,成本極高
? 需要 FIB 打開(kāi)頂層金屬 + 激光切割保護熔絲 + 探針臺讀 bitline��,單次開(kāi)銷(xiāo) > 5000 美元����。
? 對 8-bit 小容量 MCU 來(lái)說(shuō)�����,ROI 極低��;只有大批量克隆時(shí)才可能采用��,而輝芒微的單價(jià)普遍 < 0.3 USD��,基本無(wú)利可圖�。
一張表看清“能不能讀”
| 場(chǎng)景 | 是否可讀 | 條件/工具 | 法律與風(fēng)險 |
|---|
| 官方調試回讀 | ? | FMD-Link + 未開(kāi)保護 | 合法���、無(wú)風(fēng)險 |
| 第三方編程器 | ?~?? | 保護位未燒 | 合法�,但可靠性差 |
| 非侵入式旁路 | ?? | 需專(zhuān)用硬件+漏洞 | 灰色��,可能侵權 |
| 侵入式物理 | ? | FIB+探針臺 | 高成本�����、違法風(fēng)險高 |
開(kāi)發(fā)者實(shí)用建議
量產(chǎn)前一定確認 Code Protect 狀態(tài):FMD IDE → Configure → Security → 勾選“Enable”即可徹底鎖死�����。
如果必須保留現場(chǎng)升級通道���,可保留 Boot 區可讀�,應用區加密���;使用官方 IAP Demo 做雙區備份��。
對于高價(jià)值算法(如電機控制 PI 參數�����、加密密鑰)�,可放入 EEPROM 并啟用 EEPROM 讀保護位(EERE)���,防止官方工具回讀�。
不要輕信“萬(wàn)能編程器”廣告:輝芒微在 2023 年后已全面啟用新型 MTP + 熔絲保護��,公開(kāi)渠道尚無(wú)可靠繞過(guò)方案����。
三佛科技提供樣品���,技術(shù)支持�,可燒錄~
一句話(huà)總結
輝芒微 MCU 在設計之初就兼顧了“易開(kāi)發(fā)”與“難破解”:
? 開(kāi)發(fā)者手里�,它是透明的�����;
? 逆向者手里�,它是磨砂的����;
? 只有在你主動(dòng)把燈關(guān)掉(燒斷保護位)后���,它才真正變成“黑盒”�。
