本文将介绍如何拆焊Flash芯片，设计及制作相应的分线板。了解对嵌入式设备的非易失性存储的简单有效攻击手段。这些攻击包括：

• 读取存储芯片内容

• 修改芯片内容

• 监视对存储芯片的读取操作并远程修改(中间人攻击)

想想，当你拆开一个嵌入式产品，却被挡在Flash之外，好奇的你一定想对它一探究竟。

那么，下面我们就开始。

拆焊Flash芯片

为了读取Flash芯片的内容，有以下两个基本途径：

• 直接将导线连接到 芯片的引脚

• 把芯片拆下来，插到另一块板子上

下面介绍的Flash为BGA(球形栅格阵列)封装——无外露引脚。因此，只能选择拆焊的方法。

拆焊法的优点：

• 可避免对电路板上其他器件造成影响;

• 可以很容易看到芯片底部的布线;

• 可用其他芯片或微控制器代替原芯片。

一些不便之处：

• 电路在缺少完整器件的情况下无法运行;

• 在拆卸过程中，一些邻近器件可能被损坏;

• 如果操作不恰当，Flash本身可能毁坏。

OK，拆焊是吧?你看，下图所示的热风枪简直就是神器。只要将芯片周围加热，便可以很容易地拿下芯片：

这种办法简单、快速只是可能伤及无辜——焊掉邻近的元件，所以，务必小心翼翼。

下图显示芯片拆下后PCB的布线。观察图片，猜想底部的两列引脚为空引脚，因为他们压根就没接入电路。

用KiCAD定制分线板

现在该做什么?BGA封装简直就是一团糟，依然无法外接导线。

一种可行的方法是制作分线板。通常，分线板是将芯片的所有针脚的位置“镜像”下来，这样就能将芯片的引脚引接出来。

为此，我们首先要搜集芯片的相关信息。大多数情况下，芯片的型号都印制在芯片上，这样我们就很容易识别。如上图，芯片上第一行为MXIC代表Macronix International公司，第二行为芯片的具体型号MX25L3255EXCI datasheet 。以下为datasheet资料：

 PCB的设计可由KiCAD ，常用的EDA软件实现。

    分线板的设计过程与其他PCB板一样：

• 新建电路板，画出电路简图，标明元器件的具体型号

• 确定芯片的具体尺寸

根据之前datasheet的资料。我们添加1个4×6的网格作为整个芯片的BGA封装，2个1×4的网格作为连接芯片8个有效引脚的接线柱。最后一步是，用线路将这些器件连接起来：

转接板的设计到此为止，接下来是如何把设计转化成的PCB。

PCB制作

PCB就像是由两层铜和一层基板压制成的三明治，导线分布在铜上面。

根据制作流程，分为：

• 蚀刻法

• 数控铣法

以下为两种方法的具体步骤。

蚀刻法

蚀刻，即是用化学药品逐步除去铜的过程。我们先用油墨保护覆铜板上的线路及要保留下来的铜。

1、首先，用热转印法制作PCB。PCB电路图用激光打印机打印在亮光纸上。然后，把亮光纸紧贴在覆铜板上，加热和施以压力，使亮光纸上的电路图转印到覆铜板上。通常，这个过程用熨衣服的熨斗即可完成，但是专用的压制器会使加热及受力更加均匀，更容易成功。

2、接下来是蚀刻，将整块PCB板浸没在腐蚀液，以此来去除多余的铜。

蚀刻后的分线板，转印的墨粉还附着在上面：

除去墨粉后：

现在可以准备手工焊接了。微型焊接与正常焊接一样，只是器件的尺寸极小，因此需要借助显微镜。

此外，传统的焊接用的是线状的焊锡丝，而BGA微型焊接用的是锡球。

接下来，开始重整锡球：

• 将一个新的锡球放置在凹槽上，加热，熔化锡球;

• 校准芯片和板子;

• 回流。

锡球重整完成：

芯片焊接完成后的最终结果：

数控铣

作为替代方法，数控铣仅是将需要的线路和剩余的铜隔离开来而已。

(1)5X5的BGA通常用于制作 PCB，而4X6的常用于分线板。我们设计5X5的是为了该分线板可以直接插接在通用EEPROM 编程器的ZIF插槽里，电路简图如下：

(2)芯片的尺寸与前面设计的4X6的一样，只是网格变成5X5，板上的布线也稍显复杂：

(3)由于KiCAD无法直接生成与数控铣兼容的目标文件，因此，我们用Flatcam接收Gerber文件并确定数控铣隔离的导线的路径：

(4)接下来将生成的STL文件导入bCNC——数控铣的终端控制程序，如下图所示：

雕刻过程中：

(5)板子雕刻完成：

最终结果：

(6)下一步，涂覆阻焊层，保护铜不被氧化，并用紫外灯固化：

(7)阻焊层覆盖了BGA的铜片及1X4的接线柱，我们得刮掉这个薄层，使铜片露出来：

(8)给各个节点焊锡：

(9)回到数控铣，打孔，切削PCB的边缘：

(10)最终成品，BGA焊接在板子上，准备插到EEPROM编程器上：

结论

了解了如何拆焊Flash芯片和如何设计PCB，以及制作PCB的两种不同方法。

关于STM32对内部Flash的保护

为了防止对Flash的非法访问，所有STM32的芯片都提供对Flash的保护，具体分为写保护和读保护。

如果对Flash设置了写保护，那就无法对Flash进行编程和擦除。在开发STM32的时候，如果出现这种情况，通常仿真器都支持对Flash进行解锁，像jlink，stlink等仿真器都支持这个功能。

在使用MDK进行调试的时候，可能会遇到如下图所示的报错信息，这时候就要排查Flash是不是被保护起来了。

读保护即大家通常说的“加密”，是作用于整个Flash存储区域。一旦设置了Flash的读保护，内置的Flash存储区只能通过程序的正常执行才能读出，而不能通过下述任何一种方式读出：

• 通过调试器(JTAG或SWD)
• 从RAM中启动并执行的程序

写保护是以四页(1KB/页) Flash存储区为单位提供写保护，对被保护的页实施编程或擦除操作将不被执行，同时产生操作错误标志，读与写设置的效果见下表：

当Flash读保护生效时，CPU执行程序可以读受保护的Flash区，但存在两个例外情况：

• 调试执行程序时
• 从RAM启动并执行程序时

STM32还提供了一个特别的保护，即对Flash存储区施加读保护后，即使没有启用写保护，Flash的第 0 ～ 3 页也将处于写保护状态，这是为了防止修改复位或中断向量而跳转到RAM区执行非法程序代码。

Flash保护的相关函数

FLASH_Unlock();   //Flash解锁 
FLASH_ReadOutProtection(DISABLE);  //Flash读保护禁止   
FLASH_ReadOutProtection(ENABLE);   //Flash读保护允许

STM32如何设置读保护和解除读保护？

读保护设置后将不能读出Flash中的内容。

如何设置读保护

在程序的开头加入“设置读保护”的代码即可，每次运行代码时都检查一下，如果没有开就打开，如果打开了就跳过。其中，设置读保护的代码如下：

int main(void)
{
  ...
  if (FLASH_GetReadOutProtectionStatus()!=SET)//检查设置读保护与否
  {
    FLASH_Unlock();         //写保护时可以不用这句话，可用可不用
    FLASH_ReadOutProtection(ENABLE);     //设置读保护
  }
  ...
  while(1)
  {
    ...
  }
}

上面的代码执行后，使用j-link就不能读出程序了，实现了代码读保护。需要注意的是，芯片读保护后无法再次烧写新的程序到Flash中，必须要解除读保护才可以。但是当解除读保护的时候STM32会自动擦除整个Flash，起到保护数据的作用。

通过代码解除Flash保护

解除读保护可以设置在按键里面，方便实现解锁，也可以设置在命令中。如下是解除读保护代码：

void Off_Protect(void) //关闭保护
{
if(FLASH_GetReadOutProtectionStatus() != RESET)
  {
    FLASH_Unlock(); //不解锁FALSH也可设置读保护，可用可不用
    FLASH_ReadOutProtection(DISABLE);
    FLASH_Lock();   //上锁
  }
}

程序中设置一个按键或者命令，可以随时解除Flash的读保护，让芯片又可以重新烧录程序。如果没有留，还可以专门写一个程序，下载到RAM中去运行，用来解除读保护。

注意：执行后，Flash会自动全部擦除。

int main(void)
{
Chip_Init();
  FLASH_Unlock(); //不解锁FALSH也可设置读保护，可用可不用
  FLASH_ReadOutProtection(DISABLE);
}

通过ST-Link Utility来解除Flash保护

在STLink连接目标板的情况下打开程序烧写软件ST-Link Utility，在菜单栏的Target下选择connect，因为这时候Flash已经被锁住了，能看到如下图所示的错误提示。

下面来操作如何解除Flash保护。

请确保当前已经正确连接了STLink和目标板，在菜单栏Target里打开Option Bytes...选项，发现在这里Read Out Protection选项是Enable，这个表示无法通过SWD读取STM32内部Flash的程序。

将Read Out Protection选项设置为Disable，并点击Apply。

这时候Flash已经成功解锁了，跟上文提到的解除Flash保护的结果一样，内部Flash已经被擦除了，如下图红框中所示。

完成以上步骤之后，在菜单栏Target下选择Disconnect断开与目标板连接。

重新进入MDK，可以正常对目标板烧写程序了。

通过ST-Link Utility来设置Flash保护

在菜单栏Target里打开Option Bytes...选项，可以看到下面有Flash sector protection选项。选择Select all之后，发现所有Page的Protection项都已经变成Write Protection了，只要选择Apply选项就可以对Flash进行写保护，如上图所示。