芯(xin)片解密過程

侵(qin)入型攻(gong)擊(ji)的(de)(de)(de)第一(yi)步(bu)是(shi)揭去芯片封裝（簡稱(cheng)“開蓋”有時候稱(cheng)“開封”，英文為(wei)“DECAP”，decapsulation）。有兩種方法(fa)可以達到這(zhe)一(yi)目的(de)(de)(de)：第一(yi)種是(shi)完全溶解掉(diao)芯片封裝，暴露金屬連線。第二種是(shi)只移掉(diao)硅(gui)核上面的(de)(de)(de)塑(su)料封裝。第一(yi)種方法(fa)需要(yao)(yao)將芯片綁(bang)定(ding)到測試夾具上，借助綁(bang)定(ding)臺來操(cao)作。第二種方法(fa)除了需要(yao)(yao)具備(bei)攻(gong)擊(ji)者一(yi)定(ding)的(de)(de)(de)知識(shi)和必要(yao)(yao)的(de)(de)(de)技能外，還需要(yao)(yao)個人的(de)(de)(de)智慧和耐心(xin)，但操(cao)作起來相對比較方便，完全家(jia)庭中操(cao)作。 　　

芯片(pian)(pian)上面的(de)塑料(liao)可以(yi)用小刀揭開，芯片(pian)(pian)周圍的(de)環氧樹脂(zhi)可以(yi)用濃硝酸(suan)(suan)腐蝕掉。熱的(de)濃硝酸(suan)(suan)會(hui)溶(rong)解(jie)掉芯片(pian)(pian)封(feng)裝而不會(hui)影響芯片(pian)(pian)及(ji)連線(xian)。該(gai)過(guo)程一般(ban)在非常(chang)干燥(zao)的(de)條件下進行，因為水的(de)存在可能(neng)會(hui)侵蝕已暴露的(de)鋁線(xian)連接(jie) （這就(jiu)可能(neng)造成解(jie)密失(shi)敗）。 　　

接著(zhu)在超(chao)聲池里(li)先用丙酮清洗該(gai)芯片以除(chu)去殘余(yu)硝酸，并(bing)浸泡。 　　

最后一(yi)步是尋(xun)找保(bao)(bao)護(hu)熔絲(si)(si)(si)的(de)位置并將(jiang)保(bao)(bao)護(hu)熔絲(si)(si)(si)暴露在紫(zi)(zi)(zi)外(wai)光(guang)下。一(yi)般用(yong)(yong)一(yi)臺放大倍數至少100倍的(de)顯微鏡，從編程電壓輸入腳的(de)連線跟蹤進去(qu)，來尋(xun)找保(bao)(bao)護(hu)熔絲(si)(si)(si)。若沒(mei)有顯微鏡，則采用(yong)(yong)將(jiang)芯(xin)片的(de)不(bu)同部分暴露到紫(zi)(zi)(zi)外(wai)光(guang)下并觀察結果的(de)方式進行簡(jian)(jian)單的(de)搜索。操作時應用(yong)(yong)不(bu)透明的(de)紙片覆(fu)蓋芯(xin)片以保(bao)(bao)護(hu)程序存儲(chu)器(qi)不(bu)被紫(zi)(zi)(zi)外(wai)光(guang)擦除(chu)。將(jiang)保(bao)(bao)護(hu)熔絲(si)(si)(si)暴露在紫(zi)(zi)(zi)外(wai)光(guang)下5～10分鐘就能(neng)破壞掉保(bao)(bao)護(hu)位的(de)保(bao)(bao)護(hu)作用(yong)(yong)，之(zhi)后，使用(yong)(yong)簡(jian)(jian)單的(de)編程器(qi)就可直接讀出程序存儲(chu)器(qi)的(de)內容。 　　

對于使(shi)(shi)用(yong)了(le)防護層來(lai)保護EEPROM單(dan)元的(de)單(dan)片機來(lai)說，使(shi)(shi)用(yong)紫外(wai)光(guang)復(fu)位(wei)保護電路是不可(ke)行的(de)。對于這(zhe)種(zhong)類型的(de)單(dan)片機，一般使(shi)(shi)用(yong)微探針(zhen)技術來(lai)讀(du)取存儲器(qi)(qi)(qi)內容。在(zai)(zai)芯片封裝打開后，將芯片置于顯微鏡(jing)下(xia)(xia)就(jiu)能夠很容易的(de)找到從存儲器(qi)(qi)(qi)連到電路其它部(bu)分的(de)數據(ju)(ju)總線。由于某(mou)種(zhong)原因，芯片鎖(suo)定(ding)位(wei)在(zai)(zai)編程(cheng)模(mo)式下(xia)(xia)并不鎖(suo)定(ding)對存儲器(qi)(qi)(qi)的(de)訪問(wen)。利用(yong)這(zhe)一缺陷將探針(zhen)放在(zai)(zai)數據(ju)(ju)線的(de)上面就(jiu)能讀(du)到所(suo)有想要的(de)數據(ju)(ju)。在(zai)(zai)編程(cheng)模(mo)式下(xia)(xia)，重啟(qi)讀(du)過程(cheng)并連接探針(zhen)到另外(wai)的(de)數據(ju)(ju)線上就(jiu)可(ke)以讀(du)出程(cheng)序和數據(ju)(ju)存儲器(qi)(qi)(qi)中的(de)所(suo)有信息(xi)。 　　

還(huan)有一種可能(neng)的(de)攻擊手段(duan)是借助顯微(wei)鏡和激光(guang)切割(ge)機等設備(bei)來(lai)尋找保護熔(rong)絲(si)，從(cong)(cong)而(er)尋查和這部分電路(lu)相聯系的(de)所有信號線。由于(yu)設計有缺陷，因此，只要切斷(duan)從(cong)(cong)保護熔(rong)絲(si)到其它電路(lu)的(de)某一根(gen)信號線（或切割(ge)掉整個加密電路(lu)）或連接(jie)1～3根(gen)金線（通(tong)常稱FIB：focused ion beam)，就(jiu)能(neng)禁止整個保護功能(neng)，這樣，使用簡單的(de)編程(cheng)器就(jiu)能(neng)直(zhi)接(jie)讀出程(cheng)序存(cun)儲(chu)器的(de)內容。 　　

雖(sui)然大(da)多數普通單(dan)(dan)片機都具有熔絲(si)(si)燒斷保護單(dan)(dan)片機內代碼的(de)功能，但由于通用(yong)(yong)低檔的(de)單(dan)(dan)片機并非定(ding)位于制作安(an)全(quan)類產品，因此，它們往往沒有提供有針(zhen)對性的(de)防范措施且安(an)全(quan)級別較低。加上(shang)單(dan)(dan)片機應用(yong)(yong)場合廣(guang)泛，銷售量(liang)大(da)，廠(chang)商間委(wei)托加工(gong)與技術轉(zhuan)讓頻繁，大(da)量(liang)技術資(zi)料(liao)外(wai)瀉，使得(de)利用(yong)(yong)該類芯片的(de)設計漏洞(dong)和廠(chang)商的(de)測(ce)試接口，并通過(guo)修改熔絲(si)(si)保護位等侵入型(xing)攻擊或非侵入型(xing)攻擊手(shou)段來讀取(qu)單(dan)(dan)片機的(de)內部程序變得(de)比較容易。