Siemens CC75, внебрачный сын Motorola?!, Исследование прототипа Siemens MARS, Mosel Поделиться Опции

[EXL]

История сотрудничества Siemens и Motorola имеет давние корни. Ещё в 2002 году Siemens лицензировал 3G-платформу i.300 у Motorola, чтобы застолбить за собой место на рынке только-только появившихся 3G/UMTS телефонов. Результатом их кооперации стали модели Siemens U10 (2002) и Siemens U15 (2003), которые по сути представляли собой Motorola A830 и Motorola A835 с несколько изменённым дизайном и ПО. Оба этих телефонов как в оригинальном исполнении Motorola, так и в Siemens'овском вполне себе обсуждались на нашем форуме и даже немного модифицировались пользователями, в их прошивку добавлялся русский язык, редактировались SEEM'ы. Но были они достаточно редкими и в продаже даже на их родных европейских и американских рынках встречались довольно нечасто.

Официальные рендеры Siemens U10, Motorola A820, Motorola A830, Siemens U15, Motorola A835, Motorola A845 и их сравнение между собой

В 2005 году компания Siemens, тогда ещё пока не ставшая BenQ-Siemens, решила выпустить на рынок максимально простой, но в то же время стильный телефон в линейке популярной 75-серии. Внутри компании он имел кодовое название MARS, а некоторые устройства в "Product name:" были подписаны как Mosel. Финальное маркетинговое название модели должно было быть Siemens CC75.

Официальные hi-res рендеры Siemens CC75

Официальный hi-res промо-материал Siemens CC75

Увы, планам компании Siemens не суждено было сбыться и CC75 к большому сожалению отменили. О причинах отмены этого замечательного телефончика сейчас можно только гадать и предполагать. Возможно что последующее слияние Siemens с BenQ повлекло за собой чистку портфолио компании от не особо перспективных моделей.

Мобильная аналитика по Siemens CC75 от Эльдара Муртазина, 4-й квартал 2005 года, источник: https://mobile-review.com/articles/2005/siemens-new.shtml

Муртазин на своём сайте тоже писал о том, что рыночная ниша устройства была не особо понятна и конкуренция с мобильными телефонами других производителей была бы жёсткой. Например, с теми же Motorola SLVR L2 и Motorola SLVR L6, которые вышли в первом квартале 2005 года и к моменту предполагаемого выхода Siemens CC75 на рынок уже во всю продавались. Печально, но может быть именно они и забили последний гвоздь в крышку этого прототипа? Ведь их позиционирование и дизайн были весьма схожими. Забавно, что Siemens CC75 ожидали в релизе многие дистрибьюторы мобильных телефонов и даже публиковали его в своих каталогах.

Наличие Siemens CC75 в каталогах "Евросеть", фотографии overglube. Высококачественный скан по ссылке.

Так вот, казалось бы, причём тут вообще Motorola?! А всё дело в том, что сердцем Siemens CC75 должен был стать до боли знакомый нам процессор Neptune LTE от Motorola/Freescale, который использовался на огромном количестве мобильных телефонов Motorola и не только, от RAZR V3 до E398.

Так бы и канул этот Siemens CC75 вместе со всей интересной информацией о нём в небытие, если бы не коллекционеры мобильных телефонов из сообщества Siemens Mobile, которые тщательнейшим образом задокументировали и зафотографировали этот прекрасный по своему дизайну телефон. Дизайн Siemens CC75, кстати позже будет обыгран во вышедшей в релиз модельке BenQ-Siemens S68 (его сравнение с CC75 на фотографиях ниже), но это уже другая история, никак не связанная с Motorola. Строгий стиль Siemens CC75: серебристый металл, стекло, угловатый дизайн по особому привлекает внимание. Телефон действительно был бы очень красивым, если бы вышел в релиз.

Фотографии прототипа Siemens CC75 в цвете "Aluminium Silver" из личных коллекций Александра Борисевича и Дмитрия Лысенко, материал из группы Siemens Mobile: https://vk.com/variety_of_siemens

Коллекционеры даже смогли раздобыть прототип Siemens CC75 в чёрном цвете, наверное, уникальный и единственный в своём роде аппарат, только посмотрите на это чудо.

Фотографии прототипа Siemens CC75 в цвете "Black" из личной коллекции Виталия Сироткина, материал из группы Siemens Mobile: https://vk.com/variety_of_siemens

Более того, Дмитрий Лысенко смог найти бывшего разработчика связанного с Siemens CC75, который продавал этот телефон на Авито и взять у него обширное интервью, полное очень любопытной инсайдерской информации. Обязательно прочитайте его, оно очень интересное!

Фотографии стопки Siemens CC75 и других прототипов Siemens из интервью с бывшим разработчиком Elcoteq SE, источник: https://vk.com/@-145117607-intervu-s-razrabotchikom

Оказалось, что Siemens заказывал это устройство к производству не у самой Motorola, а у крупного финского субподрядчика Elcoteq SE, который занимался аутсорсом производства различной телекоммуникационной электроники для многих именитых производителей мобильных телефонов, в числе которых был как Siemens, так и сама Motorola. Elcoteq SE был достаточно крупной компанией и имел несколько центров разработки, расположенных в разных частях Европы. Несколько из них находились в России, в Санкт-Петербурге и занимались как разработкой плат, так и прошивок. Это объясняет почему в большинстве прототипов Siemens CC75 в интерфейсе во многих местах используются надписи на русском языке.

Фотографии Siemens CC75 в списке центра сертификации FCC: https://fccid.io/PWX-CC75/External-Photos/E...l-Photos-603771

Благодаря интервью с разработчиком и внимательности Azq2 были получены ссылки [1] и [2] на сервис сертификации FCC, где по FCC ID можно тоже найти некоторую информацию про Siemens CC75, включая руководство пользователя и его внутренние фотографии. Увы, но схемы и сервис-мануалы устройства там конфиденциальные. Доступные PDF-документы FCC можно скачать одним архивом по этой ссылке.

[EXL]

Один из коллекционеров мобильных телефонов Siemens, использующий ник overglube, получил в своё распоряжение два прототипа Siemens CC75 с разными разъёмами: Mini-USB и Slim-Lumberg. Прототип с разъёмом Mini-USB практически не имеет Siemens-брендинга на корпусе, а его прошивка выглядит сильно сырой и инженерной.

Прототипы Siemens CC75 с разъёмами Mini-USB и Slim-Lumberg из личной коллекции overglube

К большому сожалению, прототип с разъёмом Slim-Lumberg судя по его внешним и внутренним повреждениям, похоже что был вытащен из шредера каким-то сотрудником компании в самый последний момент! Видимо не выдержало сердце человека, не смог он уничтожить такую прелесть и телефончик был тайно спасён из-под пресса. А может быть его использовали в качестве подопытного образца различных Drop Test'ов, тестировали модельку на стойкость и выживаемость при падениях и повреждениях. Так или иначе, но из-за деформации и жёстких ударов этот прототип Siemens CC75 больше не включается. Поэтому overglube разобрал его, тщательнейшим образом отфотографировал все внутренности и провёл некоторые сравнения. Нас интересует именно маркировка микросхем, пойдём по порядку.

Разборка и маркировка микросхем Siemens CC75, фотографии overglube

Motorola/Freescale SC29332VKN | [Data Sheet] — Процессор, он же SoC, сердце этого устройства. Его кодовое имя Neptune LTE (Low-Tier EDGE-enabled), на схемах и сервис-мануалах Motorola имеет традиционное обозначение U800. На линейке этих процессоров вышла огромная куча устройств, начиная с C380, V300, E398 и заканчивая RAZR V3. Внутри себя Neptune LTE имеет два вычислительных ядра и несколько регионов памяти: MCU — ARM7TDMI-S ARMv4 @ 52 MHz, DSP — S-OnyxU 56600S M56K @ 104 MHz, IROM — 1792 KiB, IRAM — 256 KiB.

Маркировка чипа Motorola/Freescale SC29332VKN в Siemens CC75, RAZR V3, V300, E398, фотографии overglube, Paschendale и FCC

На смену Neptune LTE пришла платформа Neptune LTE2 использовавшаяся в L7, V360, RAZR V3i и других телефонах, процессор на плате которых имеет уже обозначение SC29343VKP. Различные индексы в окончании маркировки этого SoC, например, SC29332VG у E398 и SC29332VKP у V3, скорее всего просто означают ревизию, завод или технологический процесс. Так как до сих пор различные СЦ предлагают SC29332VKN (именно тот, который в Siemens CC75) для установки в V600, V3, C380, C390, C650, V80, V180, V220, V300, V500, V547, V600, E398 и другие Neptune LTE телефоны, это может говорить лишь о том, что они все электрически совместимы и взаимозаменяемы.

Маркировка чипа Spansion S71WS256NC0BAWAP в Siemens CC75 и Spansion S71GL256NB0BFWAZ в BenQ-Siemens A58, фотографии overglube и Den K.

Spansion S71WS256NC0BAWAP | [Data Sheet] — Сдвоенная Flash + RAM память в одном чипе. Вместо привычной сдвоенной Intel'овской или ST'шной памяти, часто используемой в телефонах Motorola, в Siemens CC75 использована тоже сдвоенная микросхема но уже от Spainsion, который редко встречался как в Motorola так и в телефонах Siemens. На этот чип имеется документация в Интернете, из которой становится ясно, что прямо в маркировке этой микросхемы закодирован объём её Flash-памяти — число "256" означает что в чипе использовано 256 Мегабит NOR Flash памяти, то бишь 32 MB Flash для прошивки телефона и оставшееся свободное место будет распределено в качестве свободной пользовательской памяти. Аббревиатура "NC0" означает 64 Мегабита оперативной памяти PSRAM, то есть 8 MB RAM. Эти объёмы совпадают с теми, которые были в TRIPLETS'ах, E398, ROKR E1, RAZR V3, SLVR L2, SLVR L6 и даже с теми микросхемами памяти, которые были в классических Siemens'ах вроде CX65, M65, C65, S65, и многих других.

Маркировка чипа Motorola/Freescale MC13717VL в Siemens CC75, Motorola C350L, Motorola C380, фотографии overglube, EXL, Paschendale

Motorola/Freescale MC13717VL | [Product Info] — Контролер питания и звука, Power Management + Audio IC. Снова микросхема от Motorola с кодовым названием Seaweed. Аналогичный, но немного с другим индексом чип Motorola MC13717VH был использован в древнем Motorola C350L. Скорее всего в Siemens CC75 используется его обновлённая и электрически совместимая версия. Широко распространён на C350-like и C650-like мобильных телефонах. Именно этот чип сколот на одном из прототипов overglube и вполне вероятно что его можно будет заменить с донорского C350L или C380.

Скол и трещина в микросхеме Motorola/Freescale MC13717VL в Siemens CC75 с разъёмом Slim-Lumberg, фотография overglube

На сервис-схемах Motorola этот Power IC часто обозначен как U900, в более старших моделях, таких как TRIPLETS'ы, E398 и RAZR V3 аналогом этой микросхемы служит PCAP SYMBOL, а ещё в более новых по типу SLVR L6, SLVR L7, V360, RAZR V3r и других используется ATLAS UL.

Маркировка чипа Motorola/Freescale MMM6025 в Siemens CC75 и Motorola SLVR L6, фотографии overglube и FCC

Motorola/Freescale MMM6025 | [Data Sheet] — часть RF-обвязки, RF Transmitter, PAM. Вместо привычного для телефонов Motorola 2004-2005 годов чипа от Skyworks здесь использован уже оригинальный чип от Motorola/Freescale. В сервисных документах он именуется как "Quad-Band GSM/GPRS Power Amplifier Front-End Module with PA and Antenna Switch" и датирован 2005 годом. На сервис-схемах Motorola обозначается как U50 и имеет кодовое название EAGLE. Используется как минимум в Motorola SLVR L2 и Motorola SLVR L6.

Маркировка чипа Motorola/Freescale MC13877F в Siemens CC75 и Motorola SLVR L6, фотографии overglube и FCC

Motorola/Freescale MC13877F — снова часть RF-обвязки, RF Transceiver. В сервисных документах отмечен как "Quad-Band GSM/GPRS, ZIF, Integrated VCO", тоже датирован 2005 годом. На сервис-схемах Motorola обозначается как U150 и имеет кодовое название AlgaeMB. Используется как минимум в Motorola SLVR L2 и Motorola SLVR L6.

Маркировка чипа Yamaha YMU762C MA-3 в Siemens CC75 и Samsung C100, фотографии overglube и YouTube-канала NaprawynaWariackichPapierach

Yamaha YMU762C MA-3 | [Data Sheet] — Mobile Audio 3, микросхема MIDI-синтезатора полифонии от Yamaha. Достаточно частый гость в мобильных телефонах, использовался много где, например, в Samsung C100 и Motorola T720c, T730. Более старые чипы, такие как MA-2 (Mobile Audio 2) тоже использовались во множестве мобильных телефонов, включая Motorola E365.

Посмотреть все фотографии прототипов Siemens CC75 можно в альбомах overglube по ссылкам ниже:

• CC75 miniUSB Unit vs. CC75 B3 V5 Proto — Фотообзор и сравнение двух прототипов
• Project MARS also known as Siemens CC75

Прикреплённые файлы:

[EXL]

Пару слов о графическом интерфейсе телефона. Как следует из очерка Эльдара Муртазина, программная оболочка Siemens CC75 действительно была уникальной для мобильных телефонов Siemens и весьма непривычной на первый взгляд. Он довольно простая, с крупными полноэкранными иконками в главном меню.

Интерфейс прототипа Siemens CC75 с разъёмом Slim-Lumberg из личной коллекции Den K

Примечательно использование трёх программируемых софт-кнопок как в телефонах Motorola и Nokia, вместо двух. При этом боковые софт-клавиши часто представлены иконографикой, а не надписями. Инженерная прошивка телефона изобилует огромным количеством различных тестовых и инженерных приложений. Как уже было сказано выше, многие из этих приложений используют русский язык по той причине, что инженеры-разработчики прошивки из Elcoteq SE находились и разрабатывали ПО для этого телефона в Санкт-Петербурге.

Примечательно, что на прототипах Siemens CC75 с Mini-USB разъёмами, зачастую использовался несколько другой интерфейс в прошивке.

Интерфейс прототипа Siemens CC75 с разъёмом Mini-USB из личной коллекции overglube

Эта программная оболочка прототипов с Mini-USB несколько отличается от оболочки использующейся на прототипах с разъёмом Slim-Lumberg и очень сильно похожа на референсную прошивку. На одном из нынё мёртвых и неизвестных сайтов с информацией про Siemens CC75 был найден очень интересный коллаж из 16 скриншотов раннего интерфейса телефона.

Интерфейс референсной прошивки Motorola/Freescale в контексте Siemens CC75, спасибо за коллаж скриншотов overglube

Здесь в интерфейсе телефона используются всего две софт-клавиши и меню выполнено в виде классической и привычной 3x4 сетки. Но самое интересное в этих скриншотах то, что там имеются изображения из стоков, которые Motorola использовала в своих собственных мобильных телефонах. Как минимум две картинки со скриншота с названиями "Amber.jpg" и "Bamboo.jpg" имеются в различных флексах Motorola RAZR V3x и Motorola RAZR V3i соответственно. Обе эти раскладушки как и Siemens CC75 были в 2005 году. А ещё схема именований файлов вида "ss_midnight_", "ss_nocturne_", "ss_sport_" тоже имеет явно моторольские корни.

Изображения "Amber.jpg" и "Bamboo.jpg" с Motorola RAZR V3x и Motorola RAZR V3i соответственно

Всё это косвенно подтверждает то, что на скриншотах выше была показана уникальная референсная прошивка от Motorola/Freescale, которая отправлялась тем компаниям, которые лицензировали их процессор Neptune LTE и всю программно-аппаратную платформу Motorola i.250 для использования в собственных мобильных телефонах.

[EXL]

Самое интересное что можно получить из прототипа Siemens CC75 это дампы содержимого Flash ROM и IROM микросхем, которые было бы очень интересно исследовать. Что полезного это даст? Во-первых, полный дамп микросхем памяти мог бы помочь восстановить некоторые другие прототипы Siemens CC75, которые навечно застряли в состоянии вечной перезагрузки. Таких аппаратов известно мне 3-4 штуки. Во-вторых, дамп прошивки гипотетически можно будет запустить в утёкшем эмуляторе Neptune SimTech MOOSE, что позволит ещё более тщательно изучить и даже модифицировать прошивку этого прототипа. Интересующиеся Siemens CC75 люди смогли бы использовать этот эмулятор для ознакомления с тем как выглядит и как ощущается прошивка этого редкого устройства.

Запущенный Flash ROM прошивки Motorola SLVR L6i в эмуляторе SimTech MOOSE — наиболее близкий телефон по железу к Siemens CC75

Увы, но Siemens CC75 как и все прототипы, достаточно редко встречается "в дикой природе", а большинство обладателей этого устройства из числа коллекционеров мобильных телефонов довольно неохотно делятся какой-либо информацией и тем более не хотят производить различные программные и железные манипуляции с довольно дорогим аппаратом.

Для того, чтобы получить дампы регионов Flash-памяти и IROM-памяти необходимо проникнуть внутрь телефона. Аппараты, которые используют процессор Neptune LTE имеют два Boot Loader'а. Первый находится в IROM и зашивается заводом-изготовителем в сам SoC. Второй записан на Flash-чип и именно он инициализирует железо и стартует прошивку. Протокол общения второго бута по USB если и имеется, то к сожалению мне неизвестен, а вот первый бут должен иметь очевидную реализацию Motorola Flash Protocol, поскольку запекался в кремний на фабах Motorola/Freescale.

Поэтому в теории, Siemens CC75 может как и любая другая Motorola на Neptune LTE отправится в режим S Blank Neptune LTE при замыкании точек Test Point. Эта операция в контексте данного процессора простейшая и заключается в том, чтобы замкнуть питание Flash-микросхемы на землю. В этом случае при подаче питания первичный бут, находящийся в IROM, не сможет найти Flash-память и вторичный загрузчик на ней, поэтому запустит специальный Blank-режим. В теории звучит всё просто но на практике необходимо найти Test Point точки, при кратковременном замыкании которых и последующей подачи питания телефон бы отправлялся в Blank-режим. К счастью и среди коллекционеров мобильных телефонов бывают исключения и Den K решил поэкспериментировать над своим прототипом Siemens CC75 и найти нужные Test Point точки.

Прототипы Siemens CC75 с разъёмами Slim-Lumberg из личной коллекции Den K

Первый эксперимент с нахождением точки оказался неудачным, телефон опознавался компьютером как "Неизвестное USB-устройство", а вот вторая попытка дала положительный результат и Siemens CC75 определился как интерфейс NS Blank Neptune LTE. Аббревиатура "NS" здесь расшифровывается как Non-Secured, то есть модификация Neptune LTE без аппаратных систем криптозащиты (HAB, SecMem, RSA). Другие варианты подразумевают "S" — Secured, который был установлен в большинстве мобильных телефонов Motorola на платформе P2K, и "SE" — Secured-Engineering, который предназначался для инженерных прототипов Motorola.

Test Point для Siemens CC75, найденный Den K

Получив в распоряжение USB-интерфейс "NS Blank Neptune LTE" мы с Den K начали его исследовать. IROM реализует Motorola Flash Protocol, поэтому с этим интерфейсом могут взаимодействовать самые разные программы для телеонов Motorola, начиная с ramldr и заканчивая моим Flash Terminal, который был специально написан для снятия дампов с мобильных телефонов Motorola. Увы, но попытки заслать в Siemens CC75 разные RAMDLD-загрузчики от E398 (Blank/Flash), SLVR L6 (Flash) и LG G252 (Flash, ещё один ODM на NS Neptune LTE) любыми программами не увенчались успехом. Они засылаются в телефона, но запускаться и передавать что либо на USB-порт просто отказываются. Схема прошивки и чтения микросхем памяти через специальные загрузчики, загружаемые в RAM типична для многих мобильных телефонов.

Код

// Neptune LTE SoC Addressing

0x00000000: IROM (1.75 MB)
0x03FC0000: IRAM (256 KB)

0x10000000: Flash (32 MB)
0x12000000: RAM (8 MB)

Внутренний загрузчик IROM, он же первичный бут, реагирует на посылаемые команды корректно и даже отвечает на них в USB-порт. Вот только во всех этих ответах имеется одна странность — хотя их длина корректна и коррелирует с ожидаемой, содержимое ответа полностью занулено, причём не FF-байтами как это обычно бывает в случае с NOR Flash, а 00-байтами. Простыми словами, телефон реагирует на команды корректно, но отвечает нулями. Из-за этой очень странной особенности мы пока не можем снять с прототипа Siemens CC75 дамп его микросхем.

RQHW — ответ 23 байта в обоих случаях и RQRC — ответ 11 байт в обоих случаях, но у Siemens CC75 везде нули

Что мы с Den K только не делали! Даже по итогу поставили USB-сниффер и проанализировали сырые USB-пакеты которыми отвечал телефон на посылаемые ему команды. Увы, везде эти "00 00 00 00..." нулевые байты, а мы были так близко к решению этой интересной задачи!

USB sniffing Siemens CC75 с использованием Device Monitoring Studio

И ведь неясно где именно кроется корень проблемы. Это может быть какие-то нестандартные решения USB-порта Slim-Lumberg, так и намеренная защита от считывания информации с прототипов со стороны Motorola/Freescale.

Код функции util_ui8_to_hexasc(), которая отвечает за формирование ASCII HEX ответа в IROM

Стоит поменять в коде IROM вот эту функцию таким образом как это показано на скриншоте выше, то телефон на USB-команды будет отвечать именно так, как нам отвечает Siemens CC75. В конце-концов Den K проверил оба своих прототипа с разъёмами Slim-Lumberg и оба они к сожалению отвечали нулевыми байтами.

Подведу промежуточный итог. Несмотря на не слишком воодушевляющие результаты, опускать руки ещё рано, как и терять надежду того, что с Siemens CC75 наконец-то получится снять дамп. Вот краткий план действий того, что стоило бы проверить.

🟩 Проверить, а не идут ли данные по другим контрольным линиям USB. USB has four flavors of transfers: bulk, interrupt, isochronous and control. К примеру, TCI/TCMD (он же P2K-режим) использует control, тогда как используемый нами Motorola Flash Protocol подвязан на bulk. Нет
❌ Проверить прототип Siemens CC75 с Mini-USB портом от overglube. Проверено, поток данных занулен как и в случае обычных Siemens CC75 со Slim-Lumberg.
🟩 Попытаться написать собственный загрузчик или найти/подобрать готовый. Запатчить его, если это потребуется. Здесь многое упирается в инициализацию Flash-памяти.
🟩 Попытаться связаться с бывшим разработчиком Elcoteq SE и узнать у него информацию про Siemens CC75. Возможно, он сможет поделиться какими-то файлами по типу загрузчиков.
🟩 Попытаться расковырять стандартный протокол Siemens CC75, благо есть зацепка в лице прошивальщика Siemens CFX65 тоже называемого MARS. Прототип подключенный к этой программе при нажатии разных кнопок может перезагружаться или выключаться.
✅ Попытаться перевести Siemens CC75 в P2K-режим, так как на чешских форумах была найдена информация о том, что это возможно. Попытаться связаться с BonfireCZ, которому это удалось. Все известные прототипы Siemens CC75 теперь переходят в P2K-режим.
🟩 Произвести выпаивание Flash-чипа на программатор для последующего дампа его содержимого. Самый сложный из оставшихся вариантов, наряду с нахождением JTAG, если он вообще распаян.

В заключение, хотелось бы выразить слова благодарности тем людям, материал которых я использовал при написании этой статьи:

• Дмитрию Лысенко, коллекционеру из коммьюнити https://vk.com/variety_of_siemens
• Александру Борисевичу, коллекционеру из коммьюнити https://vk.com/variety_of_siemens
• Виталию Сироткину, коллекционеру из коммьюнити https://vk.com/variety_of_siemens
• Неизвестному сотруднику Elcoteq SE, давшему интервью https://vk.com/@-145117607-intervu-s-razrabotchikom
• overglube, коллекционеру из коммьюнити https://vk.com/variety_of_siemens и пользователю MotoFan.Ru
• Den K, коллекционеру из коммьюнити https://vk.com/variety_of_siemens и участнику siepatchdb@c.j.r
• PUNK-398, пользователю форума MotoFan.Ru

[EXL]

Наконец-то overglube добрался до своего рабочего прототипа Siemens CC75 с Mini-USB разъёмом! Интересно в нём то, что он полностью лишён брендинга Siemens как по корпусу, так и по прошивке и называется Mosel, а не Mars. Необходимо было разобрать его, тщательно отфотографировать и провести процедуру Test Point для дальнейшего исследования.

Siemens CC75 с разъёмом Mini-USB из личной коллекции overglube

Через Test Point можно будет получить доступ к USB-интерфейсу "NS Blank Neptune LTE" и посмотреть отличаются ли выхлопные ответы на команды в нём от тех, что были на протиках Den K с разъёмами Slim-Lumberg. Кстати, в файловой системе прототипа было обнаружено всего четыре BMP-изображения: "kairo.bmp" (с опечаткой, ибо правильно cairo), "fishing.bmp", "dog.bmp" (собака породы сиба-ину), "ice.bmp", все разрешением 128x116 пикселей, а мелодий немногим больше. Примечательно, что один из тестовых рингтонов имеет название "Elcotune.mid", что ещё раз подтверждает происхождение и связь этого прототипа с Elcoteq SE.

Siemens CC75, подключенный в обычном режиме в Windows 10 и в Windows XP, скриншоты overglube

Телефон в обычном включенном состоянии видится по USB с VID_1907 и PID_0001, что отличается от прототипов со Slim-Lumberg'ом где VID_11F5 и PID_0007. Windows 10 ставит какие-то стандартные драйвера на COM<=>USB порт, Windows XP так не делает. Что именно можно засылать в этот порт и какой протокол для этого использовать пока нам неизвестно. Но может быть можно будет что-то придумать промониторив и разобрав работу MARS-флешера под Siemens CFX65.

Залитые компаундом чипы на плате Siemens CC75 и навесные hardware фиксы, фотографии overglube

Чипы Siemens CC75 с Mini-USB разъёмом оказались немного залиты компаундом, а ещё на плате имеются некоторые интересные hardware-фиксы: от разъёма дисплея протянут проводок до земли и сделан навесной монтаж SMD-конденсатора или SMD-резистора на микросхеме M393/Y534. После замыкания точки Test Point, которую нашёл Den K, аппарат в Blank-режиме нормально увиделся моторольскими программами.

Siemens CC75, подключенный в NS Blank Neptune LTE режиме в Windows XP с программами RSD Lite и ramldr, скриншоты overglube

Но увы, при попытке что-либо прочитать с него, возникает ситуация аналогичная той, что была у Den K на его протиках со Slim-Lumberg разъёмами: телефон отвечает байтами с ожидаемой длиной, но они полностью забиты нулями.

Сниффинг USB-пакетов обмена Siemens CC75 с ramldr, ответ полностью забит нулями, скриншот overglube

Вот такая вот печальная история на данный момент. Но зато overglube снял огромное количество фотографий и даже видеоролик, скачать и посмотреть всё это можно ниже.

Небольшой видеообзор прототипа Siemens CC75 от overglube

Раньше я считал что прототипы с разъёмами Mini-USB более старые, однако судя по особенностям корпуса более старыми как раз являются прототипы с брендингом Siemens и разъёмом Slim-Lumberg. Так как на прототипе с разъёмом Mini-USB корпус более доработанный: квадратные края у джойстика, тщательно нанесённые точки на его гранях, есть зацеп на крышке АКБ сверху, есть изолирующий контакт у разъёма снизу. И если правильно декодировать его Production Date, то получается, что этот Siemens CC75 сделан 22.03.06 в 14:41:00, либо его прошивка была скомпилирована в это время.

Всё это очень подозрительно, возможно что Siemens позже решил перепродать CC75 кому-то, а не полностью отменить разработку. Это могло бы объяснить две вещи: отсутствие Siemens-брендинга в таких прототипах и наклейки с надписью BenQ вместо Siemens на некоторых из CC75.

Прикреплённые файлы:

[EXL]

Недавно Den K обнаружил на чешском фанатском форуме SiemensMania, который каким-то чудом всё ещё находится в онлайне в 2024 году, тему посвящённую Siemens CC75, в которой чешский коллекционер под ником BonfireCZ рассказывает о том, что каким-то образом смог достучаться на своём прототипе Siemens CC75 до режимов "Motorola Data Logging MCU Interface" и "Motorola Test Command Interface" и даже получить доступ к файловой системе устройства через какие-то моторольские программы.

Скриншот темы про Siemens CC75 на форуме SiemensMania

Второй режим особенно интересен, ведь его альтернативное название: P2K-режим (TCI/TCMD) — до боли знакомо каждому МотоФану. Именно через этот режим можно производить самые разные манипуляции с телефонами Motorola: читать и редактировать SEEM и PDS, работать с файловой системой устройства, переводить телефон в режим прошивки и делать множество других интересных вещей.

Скриншот утилиты MEMACS Dumper, использующейся для чтения адресного пространства телефонов Motorola через P2K-режим

Через "Motorola Test Command Interface" можно даже читать адресное пространство инженерных устройств с помощью команды MEMACS и одноимённой утилиты MEMACS Dumper. Вот только вопрос как именно туда попасть. Есть мысль попытаться отправить на эмулируемый COM-порт устройства команды AT+MODE=13, AT+MODE=8, AT+MODE=P2K и другие. Может даже пройтись скриптом такого вида:

Код

for /l %x in (1, 1, 100) do echo at+mode=%x > com3

Это возможно переключит устройство из режима USB-модема в P2K-режим, но только вместо COM3 здесь нужно подставить номер порта который появится при подключении Siemens CC75 в обычном режиме по USB.

Фотографии Siemens CC75 из личной коллекции BonfireCZ, материал с сайта https://www.siemens-museum.com/

Помимо этого можно связаться с чешскими коллекционерами и обладателями Siemens CC75, их даже несколько: BonfireCZ, NoviS и EINEX. С ними со всеми можно установить связь через Facebook или даже VK, благо они до сих пор посещают группы коллекционеров мобильных телефонов Siemens. Как минимум BonfireCZ может перевести свой Siemens CC75 в P2K-режим и получить оттуда некоторую информацию. Интересно обычный ли у него Siemens CC75 или же с очень ранней референсной прошивкой от Freescale/Motorola, где имеются P2K и другие режимы.

[-RPG-]

Как детектив прочитал

[EXL]

Итак, продолжим! После публикации этой обзорной темы про Siemens CC75 снова появилась некоторая очень интересная информация.

1.

В интернете был обнаружен видеоролик от BonfireCZ с демонстрацией функциональности его прототипа Siemens CC75, интерфейс и иконки которого несколько отличаются от тех CC75, что были представлены в этой теме.

Источник видео: https://www.youtube.com/watch?v=848rM4_mqOM

По идее этот Siemens CC75 должен быть очень ранним, поскольку его прошивка изобилует огромной кучей стоковых картинок Motorola: Dancing.jpg (известна на E398), Interior.jpg, High Tide.jpg, Desert.jpg (известна на A1200) и некоторых других.

Стоковые изображения Motorola на Siemens CC75 из личной коллекции BonfireCZ, материал из видеоролика выше.

Иконки в этом телефоне выглядят менее проработанее чем в последующих прототипах. Это именно тот Siemens CC75 с P2K-режимом который обсуждался на чешском форуме SiemensMania, подробнее см. здесь.

2.

Коллекционер Дмитрий Лысенко опубликовал и дополнил прекрасными фотографиями мой пост про Siemens CC75 в группе Siemens Mobile: https://vk.com/wall-145117607_6862

Фотографии Siemens CC75 из личной коллекции Дмитрия Лысенко, полный альбом фотографий доступен по ссылке: https://vk.com/album-145117607_303272629

В комментариях к этому посту отметился другой коллекционер Андрей Карпов, который продемонстрировал нам свой более ранний прототип Siemens CC75:

Фотографии Siemens CC75 из личной коллекции Андрея Карпова, источник: https://vk.com/wall-145117607_6862?reply=6864

Как видно на фотографиях Siemens CC75, которые предоставил Андрей Карпов, изображён тот самый референсный интерфейс прошивки Freescale/Motorola, который я описывал в этом сообщении! Там использовалось именно такое же меню сеткой и две софт-кнопки вместо трёх. В будущем нужно будет связаться с Андреем Карповым, чтобы попытаться снять BackUp с этого телефона.

3.

Мы с Den K решили провести эксперимент по переводу его прототипа Siemens CC75 в какой-либо альтернативный режим подключения, отправив в COM-порт стандартную команду переключения телефонов Motorola из AT-режима (USB Modem) в P2K-режим (TCI/TCMD):

Код

echo "AT+MODE=8" > COM3

После выполнения этой команды Siemens CC75 действительно переключился в некий режим, в котором в диспетчере устройств он стал видеться как (I250-012) Siemens Mobile Phone, вот только увы драйверов на этом режим пока нет и как управлять телефоном из него неизвестно. Строка USB_VID, USB_PID у устройства следующая:

Код

USB\VID_11F5&PID_0008\6&1CE2DEFA&0&11

USB_VID и USB_PID мобильных телефонов и аксессуаров Siemens.

Поискав в Интернете можно найти информацию, что подобные USB_VID и USB_PID использовались в мобильных телефонах Siemens, а полное совпадение по USB_VID, USB_PID имеется у некоторого устройства Siemens UMTS/HSDPA Data Card, впрочем скорее всего это просто коллизия. Да и драйверов к этой карте не было найдено.

Возможно позже мне получится придумать что-нибудь с этим интерфейсом, чтобы снять какие-либо BackUp'ы.

Прикреплённые файлы:

[EXL]

Наконец-то дело сдвинулось с мёртвой точки! Со мной связался коллекционер ahsim, у которого появился очень интересный прототип Siemens CC75, похоже что он был тоже одной из самых ранних вариаций этого устройства!

Фотографии Siemens CC75 из личной коллекции ahsim

Отличительной особенностью этого прототипа является его "круговое" главное меню в виде карусели и общая недоделанность и сырость прошивки, в которой полно пунктов меню, которые заканчиваются "Not implemented". Посмотреть обзорные видеоролики работы интерфейса в этом прототипе Siemens CC75 можно по этим ссылкам:

• Siemens_CC75_ahsim_01.mp4
• Siemens_CC75_ahsim_02.mp4

Я попросил ahsim'а подключить его Siemens CC75 к компьютеру и посмотреть какой именно интерфейс будет доступен в "диспетчере устройств". Для подключения прототипа ahsim использовал обычный прямой кабель DCA-540 и после подключения внезапно обнаружилось что телефон определился в знакомом всем мотофанам P2K-режиме:

Motorola P2K режим в прототипе Siemens CC75

Для дальнейшего исследования этого режима мы перешли из Windows 10 в Windows XP, поскольку известно что P2K-режим не работает на новых Windows старше Windows 8. К моему большому сожалению, зарекомендовавшие себя драйвера Motorola USB Driver v3.7.0 к Siemens CC75 не подошли. Поэтому пришлось узнавать USB_VID и USB_PID, которые уже были не Motorola-like, а Siemens-like:

Код

USB\VID_11F5&PID_0008&MI_05\6&12D8335&0&0005

В предыдущем сообщении нам с Den K удалось ввести его Siemens CC75 в режим с аналогичными USB_VID и USB_PID, вот только в нашем случае используется составное и привычное USB/P2K-устройство, а в случае Den K другое одиночное USB-устройство. Есть предположение, что в более новых прототипах привычный P2K-режим заменили каким-то уникальным Siemens-like режимом, что довольно печально, поскольку это потребует некоторые телодвижения и дополнительные исследования.

Я скачал какие-то старые P2K-драйвера отдельным набором файлов без установщика и изменил в них USB_VID и USB_PID на те, которые показал Siemens CC75. Это сработало! Драйвера установились, а привычные программы стали видеть Siemens CC75. Изменённые USB-драйвера можно скачать здесь: CC75_P2K_Drivers_01.zip

Siemens CC75 подключенный к программе P2K Tools VS

Первым делом мы с ahsim установили P2K Tools VS и запросили там P2K Info:

Код

Model:
??

Flex:
0

Release Label:
Hex:  21402823294D325F4144452D475F435F31322E31342E305F525F30422E30382E3632
ASCI: !@(#)M2_ADE-G_C_12.14.0_R_0B.08.62

Platform:
Hex:  04FFFF0B08
ASCI: яя

DSP:
Hex:  62E1E0
ASCI: bба

Hardware:
Hex:  0B3030303130303231353200
ASCI: 0001002152

Language Package ID:
Hex:  021206
ASCI:

Затем мы слили дамп с диска /a/ файловой системы инженерного прототипа Siemens CC75, диск к сожалению был всего один, диска /c/ нет. Список файлов:

Siemens CC75 disk /a/ files

Код

/a/
├── ALARMCLOCK
├── DL_DMH_File
├── EMS_nf.tmp
├── EMS_save.tmp
├── EMS_scratch.tmp
├── EMS_smart_msg.tmp
├── EMS_view.tmp
├── gain_table.bin
├── mobile
│   ├── audio
│   │   ├── Angelus.mid
│   │   ├── Attraction.mid
│   │   ├── Ave Maria.mid
│   │   ├── Burn.mid
│   │   ├── Deuchland.mid
│   │   ├── Elcotune.mid
│   │   ├── Fugue in D.mid
│   │   ├── GesangDerMonche.mid
│   │   ├── HelanGor.mid
│   │   ├── Juomalaulu.mid
│   │   ├── Krisse.mid
│   │   ├── Maamme.mid
│   │   ├── Madrigal.mid
│   │   ├── melody.mid
│   │   ├── MyToneDB.db
│   │   ├── Ode.mid
│   │   ├── poquito.mid
│   │   ├── prelude.mid
│   │   ├── Songarhell.mid
│   │   ├── Songarleve.mid
│   │   ├── StStaffansVisa.mid
│   │   └── vavr
│   │       ├── FILEA0.va
│   │       ├── FILEA1.va
│   │       ├── FILEA2.va
│   │       ├── FILEA3.va
│   │       ├── FILEA4.va
│   │       ├── FILEA5.va
│   │       ├── FILEA6.va
│   │       ├── FILEA7.va
│   │       ├── FILEA8.va
│   │       ├── FILEA9.va
│   │       ├── FILEAa.va
│   │       ├── FILEAb.va
│   │       ├── FILEAc.va
│   │       ├── FILEAd.va
│   │       ├── FILEAe.va
│   │       ├── FILEAf.va
│   │       ├── FILEAg.va
│   │       ├── FILEAh.va
│   │       ├── FILEAi.va
│   │       ├── FILEAj.va
│   │       ├── FILEAk.va
│   │       ├── FILEAl.va
│   │       ├── FILEAm.va
│   │       ├── FILEAn.va
│   │       ├── FILEAo.va
│   │       ├── FILEAp.va
│   │       ├── FILEAq.va
│   │       ├── FILEAr.va
│   │       ├── FILEAs.va
│   │       ├── FILEAt.va
│   │       ├── FILEF0.vr
│   │       ├── FILEF1.vr
│   │       ├── FILEF2.vr
│   │       ├── FILEF3.vr
│   │       ├── FILEF4.vr
│   │       ├── FILEP0.vr
│   │       ├── FILEP1.vr
│   │       ├── FILEP2.vr
│   │       ├── FILEP3.vr
│   │       ├── FILEP4.vr
│   │       ├── FILEP5.vr
│   │       ├── FILEP6.vr
│   │       ├── FILEP7.vr
│   │       ├── FILEP8.vr
│   │       ├── FILEP9.vr
│   │       ├── FILEPa.vr
│   │       ├── FILEPb.vr
│   │       ├── FILEPc.vr
│   │       ├── FILEPd.vr
│   │       ├── FILEPe.vr
│   │       ├── FILEPf.vr
│   │       ├── FILEPg.vr
│   │       ├── FILEPh.vr
│   │       ├── FILEPi.vr
│   │       ├── FILEPj.vr
│   │       ├── FILEPk.vr
│   │       ├── FILEPl.vr
│   │       ├── FILEPm.vr
│   │       └── FILEPn.vr
│   ├── mixedmedia
│   │   └── mmdb_message.mdb
│   ├── picture
│   │   ├── ss_midnight_a_128x128_c.gif
│   │   ├── ss_nocturne_a_128x128_c.gif
│   │   ├── ss_sports_a_128x128_c.gif
│   │   ├── ss_velocity_a_128x128_c.gif
│   │   ├── wp_amber_128x128_c.jpg
│   │   ├── wp_amour_128x128_c.jpg
│   │   ├── wp_animal_128x128_c.jpg
│   │   ├── wp_aqua_128x128_c.jpg
│   │   ├── wp_bamboo_128x128_c.jpg
│   │   ├── wp_beats_128x128_c.jpg
│   │   ├── wp_blue_128x128_c.jpg
│   │   ├── wp_blue_bliss_128x128_c.jpg
│   │   ├── wp_blue_tile_128x128_c.jpg
│   │   ├── wp_cake_128x128_c.jpg
│   │   ├── wp_camouflauged_128x128_c.jpg
│   │   ├── wp_car_128x128_c.jpg
│   │   ├── wp_caribbean_128x128_c.jpg
│   │   ├── wp_catch_me_128x128_c.jpg
│   │   ├── wp_chill_128x128_c.jpg
│   │   ├── wp_clouds_128x128_c.jpg
│   │   ├── wp_cocktail_128x128_c.jpg
│   │   ├── wp_come_together_128x128_c.jpg
│   │   ├── wp_cute_128x128_c.jpg
│   │   ├── wp_dancefloor_128x128_c.jpg
│   │   ├── wp_dancing_128x128_c.jpg
│   │   ├── wp_decibel_128x128_c.jpg
│   │   ├── wp_desert_128x128_c.jpg
│   │   ├── wp_high_tide_128x128_c.jpg
│   │   └── wp_interior_128x128_c.jpg
│   └── settings
│       ├── basic.thm
│       ├── callhist.dat
│       ├── factoryset.dat
│       ├── Ftr_Avail.ftr
│       ├── Ftr_Rcd.ftr
│       ├── Ftr_State.ftr
│       ├── Ftr_Val.ftr
│       ├── magyar.lng
│       ├── mars.laf
│       ├── marsmenu.mnu
│       ├── profile1.pro
│       ├── profile2.pro
│       ├── profile3.pro
│       ├── profile4.pro
│       ├── profile5.pro
│       ├── roman.lng
│       ├── settings.dat
│       ├── siminfo.dat
│       ├── suomi.lng
│       ├── theme1.thm
│       ├── theme2.thm
│       ├── theme3.thm
│       ├── theme4.thm
│       └── theme5.thm
├── param_as_table.bin
├── param_table.bin
├── PUSH_DATABASE
└── WebSession

[close]

После с помощью утилиты MEMACS Dumper, как это было описано в этом сообщении, нам удалось слить дампы содержимого SoC IROM (1792 KiB) и Flash ROM (32 MiB) для их последующего изучения. Скорость дампинга по какой-то причине гораздо ниже чем на телефонах Motorola, возможно из-за специфики DCA-540. Стандартные 32 MiB сливаются примерно час, тогда как на той же Motorola V80 всего 10 минут.

Siemens CC75 подключенный к программе MEMACS Dumper, процесс слития содержимого микросхем памяти

Адресация и размеры следующие: IROM: 0x00000000-0x1C0000, ROM: 0x10000000-0x2000000. По итогу получилось слить следующие дампы, которые очень сильно помогут нам в дальнейших исследованиях:

• Дамп файловой системы, диска /a/: Siemens_CC75_disk_a_filesystem_dump.zip
• Дамп IROM: Siemens_CC75_0200-irom-Neptune-LTE1_1792KiB.zip
• Дамп ROM (прошивки, full-flash): Siemens_CC75_SW_v1.00_M2_ADE-G_C_12.14.0_R_0B.08.62_LP_021206_DSP_62E1E0_PDS_2006_BOOT_0753_32MiB.zip

Всё ещё открытым остаётся вопрос о том, заменили ли в более новых прототипах Siemens CC75 режим P2K на какой-то проприетарный Siemens-режим или всё-таки нет.

Бинарные дампы и дампы файлов будут изучены в последующем. На данный момент список дел выглядит следующим образом:

✅ Исследовать бинарные дампы и дампы файлов.
✅ Попытаться загнать прототип Siemens CC75 владельцем которого является ahsim во Flash-режим.
✅ Попытаться использовать изменённые P2K-драйвера на прототипе Siemens CC75 владельцем которого является Den K.

Прикреплённые файлы:

[EXL]

Итак, небольшое исследование содержимого дампов микросхем и файловых систем целых четырёх инженерных прототипов Siemens CC75. Во-первых, спешу порадовать всех замечательной новостью. Кроме прототипа ahsim'а нам удалось снять дампы с более нового Siemens CC75 владельцем которого является Den K и ещё два своих прототипа сдампил коллекционер Дмитрий Лысенко, за что ему огромное спасибо! По итогу у нас получилось четыре FULL 32 MiB дампа образов флешек разных прототипов Siemens CC75 для дальнейших исследований!

Дампы Siemens CC75 от ahsim'а, Den K и Дмитрия Лысенко

1. IROM'ы

Для тех кто не в курсе мотороловской кухни, объясняю что IROM это внутренняя память самого SoC процессора, которая находится с ним на одном кристалле как и быстрая оперативная память IRAM. Тогда как RAM и ROM (Flash ROM) являются внешними по отношению к Neptune LTE и находятся на другой или других отдельных микросхемах. IROM является неперезаписываемым и намертво запекается в кремниевый кристалл процессора на фабе завода-изготовителя Freescale.

Через чтение области памяти 0x00000000...0x00400000 с "перехлёстом" был вычислен размер IROM, он оказался 1792 KiB (1.75 MiB), что полностью совпадает с размером IROM'ов на других Neptune LTE телефонах, таких как E398, RAZR V3, C650 и прочих. Побайтовое сравнение и чексуммы полностью идентичны во всех слитых IROM'ах, IROM'ы от Siemens CC75 полностью совпадают с IROM'ами от E398, RAZR V3, C650 байт-в-байт. Это значит что никакой разницы между IROM'ами NS Flash Neptune LTE (non-secure version) и S Flash Neptune LTE (secured RSA version) нет и инженерность SoC определяется лишь битами в его серийном UUID номере.

Одинаковый IROM у Siemens CC75 с E398, RAZR V3, C650 рождает парадокс. Почему же телефоны Motorola в Blank-режиме адекватно отвечают на команды Motorola Flash Protocol, а Siemens CC75 отвечает зануленным содержимым? На эту загадку до сих пор нет ответа, возможно как-то проверяется серийный номер UUID проца и в случае NS вырезаются/зануляются байты в ответе. Вот только зачем.

2. Full 32 MB Flash ROM dumps!

Итак, самое интересное и ценное в исследовании Siemens CC75 это их полные дампы Flash-микросхем от Spansion. Замечу, что как и все P2K-телефоны Motorola этот Siemens CC75 тоже использует порядок байт Big-Endian в прошивке и бутах.

2.1. 0x10000000-0x10007FFF, FBL, Bootloader

Как и у телефонов Motorola, в самом начале дампа Siemens CC75 идёт вторичный бут Flash Boot Loader версии 07.53 в котором имеется строка "© Copyright Motorola 2002". Бут очень старый, похоже что использовался ещё в телефонах линейки TRIPLETS: Motorola V300, V400, V500, V600 и др. Возможно что именно этот бут от условного V600 входил в пресловутую платформу Motorola/Freescale i.250, на это намекает в его самом конце такая строка как "Motorola (I250-000)", всё остальное здесь стандартно и совпадает с бутами от Motorola.

Строка "Motorola (I250-000)" в буте Siemens CC75

Буты в дампах ahsim и Den K одинаковые, буты в дампах Дмитрия Лысенко тоже одинаковые, но при этом между собой эти два разных набора бутов не совпадают. Версия при этом у них одна и та же, 07.53, но адрес точки входа в бут в случае обоих прототипов Дмитрия Лысенко другой: 0x10002B78 вместо 0x10002BC0, это может говорить о том, что в бут инженеры Elcoteq/Siemens могли внести изменения и перекомпилировать его для каких-то своих нужд, не меняя версию.

2.2. 0x10008000-0x1000FFFF, CG5, hwcfg

Здесь хранятся настройки инициализации различного железа на плате, которые используются бутом и прошивкой телефона. Во всех четырёх дампах hwcfg полностью одинаковый.

2.3. 0x10010000-0x1001FFFF, CG6, PDS

Кодовая группа, где хранятся калибровки дисплея, клавиатуры, сети, батареи, bluetooth, SIM-Lock, история прошивок и другая самая разная информация. Во всех четырёх дампах версия PDS_2006, как в древних телефонах платформы TRIPLETS. Вторая копия PDS по адресу 0x10018000 не используется и полностью пуста (кроме заголовка) на всех телефонах. В прототипе Den K упоминается более ранняя прошивка M2_ADE-G_C_13.3.0_R_0B.08.62, тогда как на телефоне у него самого стоит M2_ADE-G_C_13.7.0_R_0B.08.62, это намёк на то что его прототип прошивался. Забавно, что упомянутая старая версия прошивки в прототипе Den K оказалась на прототипах Siemens CC75 коллекционера Дмитрия Лысенко. Больше ничего интересного в PDS найдено не было.

2.4. 0x10020000-0x1003FFFF, PANICS, Panics Data

Пустая кодовая группа во всех дампах, видимо функциональность сбора паник отключена. Прототипы Siemens CC75 не умеют писать паники, либо пишут их в другое место, например, в файловую систему.

2.5. 0x10040000-0x1007FFFF, CG3, DSP Firmware, DSP Patches

Прошивка DSP-ядра процессора Neptune LTE, которая загружается в него при включении телефона. Несмотря на то, что в P2K Info всех 4-ых дампов Siemens CC75 её версия 62E1E0, побайтовое сравнение выявило различия между самым новым прототипом Den K и остальными. Неизвестно с чем связаны эти различия при неизменности версии. Снова простая перекомпиляция DSP Firmware без изменения версии?

2.6. 0x10080000-0x100800C3, CG0, Memory Map

Карта памяти прошивки даёт следующие результаты по списку кодовых групп во Flash-памяти:

Код

CG0:  0x10080000-0x1008FFFF
CG1:  0x100A0000-0x110FFFFF
CG2:  -
CG3:  0x10040000-0x1007FFFF
CG4:  -
CG5:  0x10008000-0x1000FFFF
CG6:  0x10010000-0x1001FFFF
CG7:  -
CG8:  -
CG9:  -
CG10: -
CG11: -
CG12: -
CG13: -
CG14: -
CG15: -
CG16: -
CG17: -
CG18: 0x11FE0000-0x11FE07FF
CG19: -
CG20: 0x11300000-0x1131FFFF

Как и в случае с кодовой группой CG3/DSP, у прототипа Den K имеются некоторые различия в карте памяти прошивки, видно что инженеры меняли размеры и адресацию кодовых групп:

Код

CG0:  0x10080000-0x1009FFFF
CG1:  0x100A0000-0x111FFFFF
CG20: 0x11200000-0x1121FFFF

Увеличен размер CG0, увеличен размер CG1, CG20 передвинута несколько выше. Ещё я заметил, что CG0 расширена в сравнении с телефонами Motorola, где она является просто небольшой картой памяти размера 0xC4 байт и дальше следует код CG1, тут же добавлен какой-то другой код.

2.7. 0x100800C4-0x1008FFFF, CG0, Flashstrap?

Начиная с 0x100800C4 размещается неизвестная Thumb-функция, назначение которой не совсем ясно (прыжок в CG1 скорее всего идёт отсюда). Непонятно зачем и с какой целью для этой функции нужно было откусывать такой большой объём Flash-памяти, да ещё и увеличивать его размер в более новых прототипах. За исключением этой функции размером ~200 байт блок кодовой группы дальше полностью пустой.

Предположительно это некий "Flashstrap", если разобрать эту функцию в IDA Pro, то видны обращения в периферию по адресам 0x24849005 и 0x24849000 и далее JMP-прыжок по адресу в R0, скорее всего на начало кода в CG1.

2.8. 0x100A0000-0x110FFFFF, CG1, Program, Software

Собственно самая крупная и главная кодовая группа в прошивке телефона Siemens CC75 и его моторольских родственников, где находится весь скомпилированный код прошивки, который изобилует кучей Motorola'измов и Siemens'измов. Большинство мотороловских черт вроде функции pu_main и версионирования тут сохранено. Кстати о версиях, в четырёх снятых нами дампах версии прошивок следующие:

Код

Mars SW v1.00 ----- ----- M2_ADE-G_C_12.14.0_R_0B.08.62 ahsim
Mars SW v2.00 v2.00 v3.20 M2_ADE-G_C_13.3.0_R_0B.08.62  Dmitry Lysenko
Mars SW v2.00 v2.00 v3.20 M2_ADE-G_C_13.3.0_R_0B.08.62  Dmitry Lysenko
Mars SW v2.00 v3.00 v4.10 M2_ADE-G_C_13.7.0_R_0B.08.62  Den K

Как видно из таблицы выше, прототип Den K как и предполагалось, оказался самым поздним, а прототип ahsim пока является самым ранним. Предположительное объяснение всех этих версий на примере прототипа Siemens CC75 владельцем которого является Den K:

v2.00, Mars SW -- общая базовая версия части прошивки Siemens.
v3.00 -- версия прошивки, которая отображается в меню телефона.
v4.10 -- неизвестно, возможно версия оболочки или наполнения файловой системы.
13.7.0 -- общая базовая версия части прошивки Motorola/Freescale.
0B.08.62 -- неизвестно, возможно версия той части GSM-стека, которая крутится на MCU/ARM.

Рядом со странным версионированием от Motorola и Freescale встречается так же некое название Freescale M2, возможно что это синоним названия платформы Motorola/Freescale i.250-021 и последнее кстати встречается в этих дампах в написании 250-012, что скорее всего опечатка.

Более подробно основной код прошивки Siemens CC75 будет изучаться несколько позднее.

2.9. 0x11300000-0x1131FFFF, CG20, Redbend FoTA

Неизвестная кодовая группа, которая не встречается в телефонах Motorola на Neptune LTE. Содержит скомпилированный код. В заголовке идёт адрес в начало IRAM+1 (Thumb?), возможно CG20 копируется туда? Может быть что это какой-то загрузчик с протоколами Siemens, позволяющий обновлять прошивку? В коде этой кодовой группы очень часты обращения к периферийным адресам, а ещё встречаются строки вида "Starting update", "current app is corrupt or mismatch delta base version", "Error, sector size is not power of 2", "Redbend - Init start version". Может быть это какой-то модуль FoTA?

Siemens использовал наработки компании Red Bend по технологии FoTA в своих мобильных телефонах

Гугление по фразе Red Bend Siemens действительно подтвердило мою догадку. Интересно, можно ли извлечь из этого FoTA-модуля что-то полезное, например, функцию инициализации параметров флешки Spansion и поблочного стирания и записи?

2.10. 0x11380000-0x11FDFFFF, CG2, Flex, File System & SEEMs

Файловая система лежит по адресу 0x11380000 как и на большинстве TRIPLETS'ов по типу Motorola V600. Она немного похожа на Intel FHS используемый в телефонах Motorola, но похоже что magic'и блоков перебиты разработчиками Siemens/Elcoteq на некий Kent:

Пример начала блока файловой системы в Siemens CC75 с "Kent" magic'ом

Внутри этой кодовой группы находятся все файлы телефона и SEEMs (настройки). Увы, но образы CG2 от Siemens CC75 не открываются ни во FlexParser04, ни в deflex, программах для разбора CG2 в телефонах Motorola. Кстати, блоки в этой кодовой группе тоже разделены по 0x20000.

Забавно, что во флексе и в PDS у Siemens CC75 нашлась версия флекса "GI9V600000AA081" от V600, что ещё раз сближает эту платформу Freescale M2, Motorola i.250-021 с телефонами линейки TRIPLETS, а именно Motorola V600.

2.11. 0x11FE0000-0x11FE07FF, CG18, SW Signature

В обычных телефонах Motorola в этом блоке содержится RSA-подпись прошивки CG1, но на прототипах Siemens CC75 этот блок пустует, хотя размечен в CG0. Значит ли это что если бы Siemens CC75 вышел в продажу, то его прошивка была бы защищена RSA, как у обычных телефонов Motorola? Этого мы уже никогда не узнаем.

3. Файловая система

Внутри файловой системы телефона, которая сливается программой P2K Tools VS имеются как привычные файлы для Motorola, так и для Siemens. Есть все основания полагать, что стандартные мотороловские директории перемаплены следующим образом:

Код

sys/ => /a/mobile/settings
img/ => /a/mobile/picture/*.bmp/*.jpg
anim/ => /a/mobile/picture/*.gif
audio/ => /a/mobile/audio

Контентное наполнение телефона отличается среди прототипов. В старых используются изображения из стоков Motorola и рингтоны Elcoteq, а вот в более новом протике Den K используются рингтоны и изображения Siemens.

Изображения в разных прототипах Siemens CC75: стоки Motorola/Freescale и Siemens

В директории /a/mobile/settings/ собраны все инородные для телефонов Motorola файлы меню и настроек. Вот только и для обычной Siemens-кухни x65 и x75 серий они тоже инородны. По итогу Siemens CC75 имеет уникальную прошивку, поэтому его инженерам-разработчикам многое нужно было переписывать с нуля.

4. Попытка эмуляции Siemens CC75 в SimTech MOOSE

Мы с fkcoder'ом в Telegram-чате MotoFan.Ru целых три часа пытались завести дампы Siemens CC75 в утёкшем эмуляторе SimTech MOOSE, но пока без какого-либо существенного результата. Мы нашли функцию pu_main, но дальше выполнение падает на 0x1032FA46, и падает оно очень неприятным образом, эмулятор перестаёт реагировать на branch'и при исполнении кода. Неизвестно пока куда двигаться дальше. Список функций-патчей и break'ов для дальнейших попыток:

Код

arm br 100AB70E
#arm br 100AC604
arm br 100AB718
arm br 100AB71C
arm br 100AB720
arm br 100AB724
arm br 100AB728
#arm wh 0x1032FA46 4600
#arm wh 0x1032FA48 4600
arm wh 0x1032FA4A 4600
arm wh 0x1032FA4C 4600
arm br 1032FA4A
arm br 1032FA50
arm br 1032FA54
arm br 1032FA5A
arm br 1032FA5E
arm br 1032FA62
arm br 1032FA68
arm br 1032FA6C

Возможно в будущем при попытках эмуляции LG G252, LG S3500 нам удасться решить и проблему с Siemens CC75 и довести его хотя бы до стартового экрана.

Запущенный bootloader 07.53 от Siemens CC75 в эмуляторе SimTech MOOSE на профиле V600

А вот бут Siemens CC75 на профиле Motorola V600 как и ожидалось в эмуляции запустился нормально и даже показал версию прошивки. Но это мало что даёт.

5. Рассуждения о Blank/Flash режимах

До сих пор непонятно как зайти во Flash-режим на Siemens CC75. Я продизасмил прошивку СС75 и нашёл сочетание кнопок клавиатуры при которой прошивка запускает Bootloader, это 0xFD3D, на телефонах Motorola такое сочетание генерируют зажатые кнопки * и #, но на Siemens CC75 это увы не работает.

Мы с ahsim'ом нашли способ зайти в бут его прототипа CC75 через P2K-режим, вот как он его описывает:

Телефон подключен к кабелю, жму в P2K Tools перейти во Flash-режим, но он не переходит. Далее долго жму красную кнопку, подтверждаю выключение - белый экран постоянно светится - в диспетчере определяется как Motorola Flash Interface.

Но это не всегда срабатывает, иногда телефон просто пишет какие-то странные цифры в углу экрана:

Неизвестный цифровой код в левом углу экрана вместо перехода в бут, фотография ahsim

А ещё этот способ, к сожалению, не работает на прототипе Den K, в его случае при нажатии кнопки "перейти во Flash-режим" в P2K Tools VS телефон просто гасит экран, но никуда не переключается. Самое интересное, что Siemens CC75 в режиме NS Flash Neptune LTE нормально отвечает на команды Motorola Flash Protocol, в отличие от режима NS Blank Neptune LTE где ответы отправляются пустые/зануленными. Кстати, USB_VID и USB_PID в режиме NS Flash Neptune LTE совпадают с теми, которые используют телефоны Motorola: VID_22B8, PID_4903.

Вообще в телефонах Motorola во Flash Interface (бутлоадер, режим S Flash Neptune LTE) можно войти тремя известными способами:

1. С помощью P2K-режима на включенном телефоне, что мы и протестировали ahsim'ом. Способ бесполезен если телефон программный труп или в бутлупе.
2. Зажатие определённых кнопок, которые дадут комбинацию 0xFD3D на определённом адресе. Это зажатые * и # кнопки на Motorola. В бутлоадере Siemens CC75 тоже захардкожено это же значение. Вот только до сих пор неизвестно, генерирует ли его какое-либо сочетание кнопок на CC75 и может ли вообще оно генерировать подобное.
3. Замыкание пинов 4 и 5 (13 и 14) на мотороловском CeBUS разъёме. По схеме это замыкание шаров Neptune LTE с обозначениями OPT1 и OPT2 между собой. Неизвестно, прокинуто ли это куда-то в разъём Slim-Lumber, и выведено вообще хотя бы на плату? Den K попытался найти эти OPT-точки, но пока не смог.

Siemens CC75 в режиме бута в программе RSD Lite, фотография ahsim

В любом случае, даже если мы найдём 100% способ заходить в бут на телефонах Siemens CC75, мы всё равно не сможем ничего записать в него из-за отсутствия RAMDLD'ов. Когда ahsim смог отправить свой Siemens CC75 в привычный моторольский бут, мы сразу же протестировали несколько RAMDLD'ов:

• RAMDLD, которым снимают и пишут 16 MiB и 32 MiB дампы на телефонах Motorola
• RAMDLD от E398
• RAMDLD от V600
• RAMDLD от LG G252
• RAMDLD от LG S3500

Увы, все они виснут после команды JUMP, вероятно из-за того что не могут проинициализировать Flash-память Spansion, поскольку в большинстве случаев в телефонах Motorola (и наверное LG) использовались флешки от ST и Intel, совместимые между собой.

Так что пока для решения проблемы залития слитых дампов обратно в прототипы Siemens CC75 я вижу только методы:

1. Искать другие телефоны на платформе Motorola/Freescale i.250 и похожих, кроме Siemens CC75, LG G252, LG S3500 могут быть ещё какие-то телефоны. И если в них юзается флешка Spansion, то RAMDLD'ы от их прошивок подойдут и для CC75!
2. Спросить сотрудника Elcoteq, который участвовал в разработке Siemens CC75, возможно какие-то файлики у него остались или прошивки, которыми они шили прототипы.
3. Пробовать сделать подходящий RAMDLD самому, раскопав инициализацию флешки Spansion и команды стирания и записи блоков по даташитам и мануалам. Скорее всего это довольно сложная задача.

К этому сообщению я прикрепляю архив с четырьмя известными на сегодня дампами Siemens CC75 и всем сопутствующим контентом.

Прикреплённые файлы:

[EXL]

Siemens CC75 (Mosel variant)

До сих пор нами были слиты дампы прототипов Siemens CC75 в вариациях Mars, а вот с получением дампа варианта Mosel, единственным известным обладателем которого является overglube, возникли неопределённые трудности. Предыдущее описание прототипа Mosel было опубликовано здесь, его главной особенностью является то, что он полностью лишён брендинга Siemens как по корпусу, так и по программной части.

Siemens CC75/Mosel с разъёмом Mini-USB из личной коллекции overglube

Помимо полностью переработанной прошивки в нём были изменены USB_VID и USB_PID практически у всех USB-режимов, что подразумевало редактирование USB-драйверов. Приведу полезную таблицу USB IDs различных вендоров и режимов устройств, сердцем которых является Neptune LTE SoC:

Код

# 22B8 - Motorola/Freescale
# 11F5 - Siemens
# 1907 - Elcoteq/ELQ

| Phone/Mode            | USB-Modem, AT     | TCI, TCMD, P2K | S Neptune LTE Flash | S Neptune LTE Blank |
|-----------------------|-------------------|----------------|---------------------|---------------------|
| Motorola E398/ROKR E1 | 22B8_4902         | 22B8_4901      | 22B8_4903           | 22B8_4903           |
| Siemens CC75/Mars     | 11F5_0007         | 11F5_0008      | 22B8_4903           | 22B8_4903           |
| Siemens CC75/Mosel    | 1907_0001         | 1907_0002      | 1907_0002           | 22B8_4903           |

Я снова изменил USB_VID и USB_PID в наборе мотороловских драйверов, однако в случае с Mosel это ничего не дало, P2K-программы по типу P2K Tools VS и MEMACS Dumper никак не хотели видеть телефон. Проблема оставалась неразрешённой до той поры как я не вспомнил про свою утилиту FlashTerminal, которую я когда-то написал для снятия различных дампов с мобильных телефонов Motorola. Мне пришлось немного пореверсить и разобраться в том, как работает протокол P2K и за пару дней у меня получилось имплементировать и отладить во FlashTerminal'е возможность чтения содержимого чипа Flash-памяти через команду MEMACS, сохранение файлов внутреннего диска телефона с помощью команд FSAC и чтение различной информации об устройстве. По итогу у нас с overglube с помощью моего FlashTerminal в виртуалке с Linux'ом получилось снять абсолютно все необходимые дампы с его Siemens CC75/Mosel и они отправились на дальнейшее исследование.

Различия прошивок CC75/Mars и CC75/Mosel

Абсолютно вся прошивка прототипа Siemens CC75 в варианте Mosel отличается от варианта Mars, пойдём по порядку по всем кодовым группам, где имеются какие-либо изменения.

Сравнения и изменения бутлоадера в CG75/Mars и CC75/Mosel

• 0x10000000-0x10007FFF, FBL, Bootloader:
  Бут по коду совпадает с тем, что были в протиках ahsim'а и Den K, но отличается перебитыми USB_VID/USB_PID и строкой определения "ELQ Mobile Phone". ELQ вероятно сокращение от названия компании производителя Elcoteq.
• 0x10040000-0x1007FFFF, CG3, DSP Firmware, DSP Patches:
  Прошивка DSP-ядра процессора Neptune LTE совпадает с таковой самого нового прототипа CC75/Mars владельцем которого является Den K.
• 0x10080000-0x100800C3, CG0, Memory Map:
  Карта памяти прошивки CC75/Mosel внезапно совпадает по размерам с таковыми на телефонах Motorola, она не увеличена как на CC75/Mars и функция Flashstrap тоже отсутствует. Кроме того убрана CG20.
• 0x100800C4-0x1137FFFF, CG1, Program, Software:
  Главная кодовая группа в прошивке телефона как и у многих телефонов Motorola начинается сразу после небольшой карты памяти CG0, это серьёзно отличает Mosel от Mars'ов. Размер CG1 увеличен вплоть до границ флекса CG2.
• 0x11300000-0x1131FFFF, CG20, Redbend FoTA:
  FoTA-модуль от Redbend характерный для прототипов CC75/Mars и других телефонов Siemens полностью отсутствует в прошивке телефона.
• 0x11380000-0x11FDFFFF, CG2, Flex, File System & SEEMs:
  Технически флекс аналогичен таковым в CC75/Mars, но наполнение файловой системы у Mosel и Mars несколько разное.

Немного подробнее про различия в CG1 (код прошивки) и CG2 (файловая система, настройки). Первым делом стоит упомянуть о том, что практически все отображаемые упоминания компаний Siemens, Motorola и Freescale были стёрты или заменены на "ELQ" или нейтральные "Mobile Phone". Были изменены все USB_VID, USB_PID доступных USB-режимов. Кастрации даже подверглись версии прошивок, они были изменены на v2.00 и v2.0, хотя в Siemens CC75 оригинальное версионирование Motorola/Freescale было хоть как-то сохранено. Версия Hardware тоже подверглась изменениям и по ней теперь не отследить эволюцию.

Наполнение CG2 флекса в CC75/Mosel

Инженеры Elcoteq убрали все стоковые рингтоны и изображения Motorola/Freescale и Siemens в файловой системе CG2 флекса и заменили их своими собственными.

Заключение и итог

У нас с overglube появились разные версии относительно того, зачем Elcoteq решил стереть весь брендинг Siemens и Motorola/Freescale из этого устройства:

Код

w:\Mars\Mosel_MMI\mat20\src\matlib\scanctx\clipmake.c

Вот эти строчки в прошивке телефона навевают мне мысли о том, что Mosel было как название альтернативного/резервного UI для Siemens CC75, возможно только для внутреннего пользования в Elcoteq, пока там пилили железо, а в самом Siemens'е допиливали софт...

Или даже так: Mosel — телефоны для внутреннего использования и тестов, Mars — потребительские устройства.

А мне кажется немного по-другому всё было.

Siemens отказался от CC75 в 2005 году, когда его разработка в Elcoteq была уже почти завершена. И Elcoteq чтобы не выбрасывать отменённый и уже готовый телефон попытались сделать на его основе этот Mosel наверное с целью продать разработку кому-либо ещё. Но от брендинга Motorola/Freescale и Siemens очевидно необходимо было избавиться, заменив его на какой-то нейтральный. Поэтому они просто форкнули последнюю готовую прошивку CC75/Mars которую сами же разрабатывали, переименовали всё в Mosel этот. Заменили иконки, чуть подправили UI. И решили кому-то продать разработку, но похоже не срослось. Как минимум год 2006 в твоём протике говорит в пользу такого стечения обстоятельств. Отсюда все эти надписи "Demo Unit" и изменённое кодовое имя.

Как бы там ни было на самом деле, но весь брендинг в телефоне был тщательнейшим образом вычищен. Кстати пару слов о хронологии прошивок и определении самого позднего и раннего прототипа! В дампах был обнаружен скомпилированный браузер Openwave, который хоть и не представлен в UI устройств в явном виде, наверное всё-таки требовался для чего-то связанного с MMS. В этом браузере есть такая замечательная особенность, что при сборке прошивки релиз-инженерами Siemens или Elcoteq он запекает текущую дату сборки выставленную на компьютере или билд-сервере для дальнейшего отображения в окне About. По нахождению этой даты в слитых дампах прошивок был составлен такой хронологический порядок:

Код

| Phone/Model          | Browser version       | Build date             | Owner                |
|----------------------|-----------------------|------------------------|----------------------|
| Siemens CC75/Mars    | Openwave 6.3.0        | Built on Jun 16 2005   | ahsim                |
| Siemens CC75/Mars    | Openwave 6.3.0        | Built on Aug 05 2005   | Dmitry Lysenko       |
| Siemens CC75/Mars    | Openwave 6.3.0        | Built on Aug 05 2005   | Dmitry Lysenko       |
| Siemens CC75/Mars    | Openwave 6.3.0.2      | Built on Sep 07 2005   | Den K                |
| Siemens CC75/Mosel   | Openwave 6.3.0.2      | Built on Feb 03 2006   | overglube            |

Как и предполагалось, прототип ahsim'а оказался самым ранним, а Mosel у overglube оказался самым поздним, хотя изначально мы считали что именно он является самым ранним по причине наличия у него разъёма Mini-USB вместо фирменного Slim-Lumberg от Siemens.

Дамп Siemens CC75/Mosel можно скачать в архиве ниже, а вся кухня изучения Siemens CC75 доступна on-line по ссылке: https://firmware.center/projects/EXL/Siemens/CC75/

Прикреплённые файлы:

[EXL]

GFX

Меня много раз просили достать графику и иконки из Siemens CC75 для последующего переиспользования в кастомных скинах и темах релизных мобильных телефонов Siemens и Motorola. Теперь, когда слито целых пять различных дампов Siemens CC75 у меня наконец-то появилась возможность это сделать. Графическое наполнение последних прототипов Siemens CC75 действительно выглядит интересно. Особенно меня впечатлил иконпак — целых 66 крупных и с любовью нарисованных иконок в разрешении 70x60 для каждого меню и подменю, при этом в варианте CC75/Mosel все иконки были тщательно перерисованы, а их стилистика кардинально изменилась. Какой набор графики по итогу получился у разработчиков Siemens CC75 лучше и красивее вам предстоит решить самостоятельно

Стоковый формат иконок был следующим: 16 bpp RGB565 Big-Endian bitmap + 8 bpp grayscale mask, для их извлечения использовались программы Image Search Editor и GIMP. Для более удобного использования иконки были сконвертированы в PNG. Иконки отдельными файлами можно скачать из архивов ниже.

Siemens CC75/Mars | ahsim

В этом раннем прототипе имеются лишь заготовки иконок, их шаблоны для разметки. Почему-то у многих изображений имеется явно JPG'шный градиентный фон (который трудно убрать маской), артефакты и замыленность. Из интересного, похоже в этой прошивке остался самый первый набор иконок главного меню от референсной прошивки Motorola/Freescale, увидеть который можно на прототипе Андрея Карпова в этом сообщении. Иконки главного меню инженеры Siemens и Elcoteq предполагали сделать размером 57x32, стандартные же из референсной прошивки Motorola/Freescale имели размеры 25x25. Кроме того, дамп этого прототипа изобилует 15 полноэкранными тестовыми битмапами с текстурами, скачать и посмотреть которые можно в архиве ниже.





Siemens CC75/Mars | Den K

В этом прототипе как и в прототипах CC75/Mars от Дмитрия Лысенко имеются целых 66 крупных и отлично прорисованных иконок размера 70x60 из стандартного набора мобильных телефонов Siemens.





Siemens CC75/Mosel | overglube

В прототипе CC75/Mosel компания Elcoteq решила перерисовать все иконки в собственной стилистике. Их количество сократилось до 58, а размер остался тем же 70x60. Эти иконки в отличие от мультяшной стилистики Siemens выполнены более реалистично, используется дизайнерский приём, называемый скевоморфизмом.





Прикреплённые файлы:

[EXL]

Дайджест новостей за Q4 2024 — Q1 2025

Давненько я ничего не писал про инженерные прототипы Siemens CC75, хотя накопилось довольно много интересного материала и новостей, которые стоило бы упомянуть. Что же, исправляю эту досадную ситуацию!

1. Убийство и воскрешение CC75/Mars

Один из коллекционеров мобильных телефонов Siemens с ником ahsim по печальному стечению обстоятельств случайно программно окирпичил свой Siemens CC75. В поисках нового контента он решил применить другую тему, но из-за сырой инженерной прошивки эта тема не применилась и телефон после перезагрузки показывал белый экран и толком не реагировал на нажатия кнопок.

Убитый программно Siemens CC75/Mars с белым экраном, фотографии ahsim

К счастью, мы до этого заблаговременно слили с его Siemens CC75 все различные BackUp'ы и дампы, включая образ файловой системы. Я предложил ahsim'у пролить с помощью P2K Tools VS системные файлы из резервной копии в директорию /a/mobile/settings, он сделал это и после перезагрузки его телефон снова вернулся к жизни!

Друзья, рассказав эту историю, я хотел бы отметить насколько важно делать всевозможные BackUp'ы ваших инженерных устройств и как опасно экспериментировать с их параметрами, делать различные сбросы к заводским настройкам. Не будь у нас резервной копии файлов, вернуть этот телефон к жизни было бы очень проблематично.

2. Тройка новых CC75/Mars

Известный в узких кругах коллекционер мобильных телефонов Никита Прокопчик выставил свои прототипы Siemens CC75 на продажу по 19000 рублей за самый новый и 9000 рублей за два других на своей торговой площадке Раритетные мобильные телефоны в VK.

Три прототипа Siemens CC75/Mars в продаже, фотографии из личной коллекции Nikrar

Эти прототипы быстро ушли другим коллекционерам мобильных телефонов Siemens. Самый интересный из них тот, что имеет тему с облаками и тот, который использует самую новую прошивку. Непонятно почему прошивки некоторых прототипов имеют иконки от CC75/Mosel и надписи Demo Unit, но при этом подписаны как Siemens CC75/Mars. Ситуация довольно странная.

3. Обнаружено целых 16 (!) прототипов CC75/Mars 😳

Коллекционер Дмитрий Лысенко поделился крутыми фотографиями из группы Siemens Mobile на Facebook, где всплыло сразу 16 (!) прототипов Siemens CC75!

Целых 16 (!) прототипов Siemens CC75, фотографии из группы Siemens Mobile на Facebook

Владельцем сей внушительной коллекции является сын одного из бывших сотрудников немецкого подразделения Siemens Mobile, лот скорее всего находится в Турции и неспешно распродаётся наследниками. Вот бы в них покопаться и посливать фуллы!

4. Мысли по восстановлению чешского прототипа CC75/Mars

Ранее упомянутый чешский коллекционер Daniel Linhart рассказал про проблемный прототип Siemens CC75 его знакомого с ником EINEX, который включается, показывает бутскрин с Марсом, но затем остаётся на белом экране.

Убитый программно Siemens CC75/Mars с белым экраном, фотография EINEX

Этот прототип был куплен 10 лет назад и до сих пор находится в таком состоянии. По идее такую проблему можно попытаться решить так же, как и проблему ahsim'а, с помощью проливки системных файлов в директорию /a/mobile/settings, взять которые можно из существующих резервных копий CC75, доступных на firmware.center: https://firmware.center/firmware/Siemens/

Альтернативный способ восстановления — дождаться пишущего загрузчика (если он будет) и прошиться на какую-нибудь другую прошивку. Оригинальные файлы и прошивку перед всеми этими манипуляциями следует обязательно забекапить!

5. Новые дампы прототипов CC75/Mars от Den K

Коллекционер мобильных телефонов Siemens под ником Den K выкупил себе два Siemens CC75 и успешно сдампил их способами, представленными выше, а дампы отправил мне на изучение. Версии прошивок в его новых прототипах следующие:

Код

Siemens_CC75_Mars_SW_v2.00_v2.00_v3.20_M2_ADE-G_C_13.3.0_R_0B.08.62_LP021206_DSP62E1E0_GI9V600000AA081_PDS2006_BOOT0753_32M.bin
Siemens_CC75_Mars_SW_v2.00_v3.00_v4.10_M2_ADE-G_C_13.7.0_R_0B.08.62_LP021206_DSP62E1E0_GI9V600000AA081_PDS2006_BOOT0753_32M.bin

Эти прошивки уже были изучены. Увы, но никакого нового контента в них не обнаружилось. А вот буты немного отличаются, хоть и имеют одинаковую версию. Впрочем, схожая ситуация была была с прототипами у Дмитрия Лысенко, бут из ROM'а 13.3.0 совпадает с ними. Все эти новые дампы залиты на firmware.center и отсортированы.

6. DevKit'ы Motorola/Freescale i.250

На торговой площадке Avito не так давно всплыло целых пять DevKit'ов платформы Motorola/Freescale i.250, именно на таких устройствах и проектировался Siemens CC75, они разделяют с ним аппаратно-программную платформу.

Фотографии пяти DevKit'ов Motorola/Freescale i.250, которые недавно появились на Avito по цене в 3000 рублей за комплект

К большому сожалению, отсутствует документация и различный софт, который должен был идти с этими платами, позволять перешивать и отлаживать их. А без него они не слишком интересны.

Список некоторых файлов документации, которая должна была поставляться с DevKit'ами Motorola/Freescale i.250

Для Siemens CC75 этот DevKit тоже по большей части бесполезен, так как имеет распаянные флешки от Intel, а не Spansion. Разве что JTAG делать на этих платах в теории будет куда более удобно, чем на самих телефонах.

7. LG G252 и LG S3500

Долгое время описание мобильных телефонов LG G252 и LG S3500 лежало в ящике стола, но наконец-то я его закончил. Для тех кто не в курсе, эти телефоны как и Siemens CC75 тоже работают на платформе Motorola/Freescale i.250, сердцем которой является процессор Neptune LTE SoC. Получается, что эти телефоны являются прямыми родственниками Siemens CC75, хотя по их внешнему виду и интерфейсу этого никогда не скажешь, настолько там всё переработано в лучших корейских традициях. У LG G252 и LG S3500 кстати с Siemens CC75 даже бут общий, совпадает байт-в-байт.

Фотографии LG G252 из различных лотов на GooFish

Мы пробовали грузить загрузчик RAMDLD из прошивок LG G252 и LG S3500 в Siemens CC75, но к большому сожалению он не подошёл и не запустился. Вероятно это связано либо с отличной Flash-памятью, либо он не стартует из-за каких-то различий в периферии.

В любом случае, почитать обзор-исследование LG G252 и LG S3500 можно по этой ссылке:
LG G252 и LG S3500 на Neptune LTE, Исследование телефонов от LG на платформе Motorola/Freescale i.250

[EXL]

На финишной прямой...

Благодаря тому, что прототипов Siemens CC75 и материалов по ним накопилось довольно много, каждый можно рассмотреть в отдельности и сравнить его с другими. Так и поступил Den K, внимательно рассмотрев свои прототипы Siemens CC75 и сравнив их с другими, он обнаружил странные срезы наклеек на некоторых из них, которые открывают доступ к пятакам-точкам на главной плате телефона.

Имея большой опыт восстановления прототипов Siemens и BenQ-Siemens, Den K решил что эти точки скорее всего являются разведёнными пинами JTAG, поскольку точно таким же образом были срезаны наклейки на прототипе Siemens SG75 для удобного доступа к ним и проведения JTAG-процедур.

Срезанные наклейки на различных прототипах Siemens CC75 (Mars и Mosel).

На прототипе CC75 у overglube наклейка была вырезана лишь под одной точкой. Эта же точка (третья снизу) на телефоне Никиты Прокопчика отличалась от других и была изрядно потемневшей. Скорее всего так случилось из-за того, что этот контакт раньше активно использовали и золото со временем сошло с него, обнажив медь, которая быстро темнеет и окисляется на воздухе.

Когда Den K пришла ещё одна пачка рабочих прототипов Siemens CC75, он решил поэкспериментировать с тем, который был у него убит программно и находился в Boot Loop'е. Обнаружилось, что замыкание этой третьей снизу точки на землю и подачи питания на клеммы разъёма аккумулятора даёт на телефоне режим S Blank Neptune LTE. Таким образом, обнаружился новый и альтернативный Test Point без разбора мобильного телефона, которым активно пользовались сами сотрудники Siemens и Elcoteq SE.

Эксперименты на этом не закончились, я вспомнил что процессор Neptune LTE обладает одной замечательной особенностью, при замыкании точек OPT1 и OPT2 между собой IROM в процессоре сразу запускает Boot Loader с Flash-памяти, вместо запуска прошивки, которая уже потом сама обрабатывает нажатие кнопок * и # и если они замкнуты, передаёт управление в Boot Loader. Эта та самая процедура "иглоукалывания" 4-го и 5-го контактов CE Bus, широко известная всем пользователям Motorola E398. Главная сложность заключалась в определении того, какие точки на плате телефона идут до необходимых шаров OPT1 и OPT2 у Neptune LTE.

Определение разных Test Points на Siemens CC75 при выпаянном Neptune LTE

Для решения этой проблемы Den K отважился на рискованный шаг: снять процессор с платы телефона и прозвонить шары под ним, а потом вернуть обратно. Задумка была такой, что эта процедура ещё поможет нам определить JTAG-точки для дальнейших исследований. Вооружившись огромным утёкшим талмудом по процессору Neptune LTE, Den K прозвоном быстро нашёл все самые важные точки и сопоставил их с шарами процессора, после чего отреболлил его и поставил обратно на плату.

Замыкание точек OPT1 и OPT2 между собой иголками через наклейку по итогу даёт точно такой же эффект как замыкание 4-го и 5-го контактов на коннекторе CE Bus: телефон запускает Boot Loader с Flash-памяти вместо своей собственной прошивки. Здесь есть небольшая особенность, в этом Forced Flash Mode режиме Siemens CC75 определяется с USB_VID: 11F5 и USB_PID: 0008, что соответствует P2K Mode на рабочем телефоне, но это всё-таки Flash Mode, просто с другими VID/PID. Почему так получилось, пока неизвестно, но это стоит учитывать и редактировать драйвера или программы в соответствии с этим.

Сравнение старых и новых найденных Test Points на Siemens CC75, последние из которых можно использовать без разборки телефона

Теперь у нас есть удобнейшие Test Point точки, которые можно использовать без разборки телефона и которые позволяют запускать как Flash Mode, так и Blank Mode. Помимо этого были найдены точки JTAG, но с ним возникли некоторые трудности. Хотя у Den K имеется RIFF Box, по-умолчанию поддержки Neptune LTE в нём нет. А написать профили для записи данных на NOR-флешки не самая тривиальная задача. Поэтому JTAG пока мы отложили, даже если у нас получится записать флешку через него, способ трудоёмкий, доступный единицам и требующий специализированного оборудования.

Свой собственный RAMDLD-загрузчик

Даже имея удобный доступ ко Flash и Blank режимам, проблема зануленных ответов телефона на посылаемые ему команды до сих пор преследовала нас. Однажды читая архивы форума MotoFan.Ru и сопутствующие блоги активных участников и разработчиков этого проекта в прошлом, я наткнулся на интересную статью от Ilya Petrov в его блоге moto-ezx blog про описание этого бага с нулевыми ответами, с которым мы столкнулись.

Статья от Ilya Petrov в moto-ezx blog про баг, с которым мы столкнулись.

Оказалось всё просто: в Neptune LTE для совместимости с прошлыми поколениями Neptune, есть две карты памяти с разными IO-адресами. И по умолчанию как сам IROM, так и Boot Loader выбирают неверные адреса. Чтобы они выбрали верные, нужно дёрнуть один из битов периферийного адреса 0x24852014, этим и занимаются абсолютно все официальные RAMDLD'ы.

Помимо описания этой проблемы у Ильи Петрова были наброски собственного RAMDLD, который он назвал LTE-Hitagi видимо в честь персонажа Hitagi Senjōgahara из аниме и манги Monogatari. Я внимательно изучил код кастомного загрузчика и форкнул его исправив несколько багов, а также попутно добавив чтение содержимого чипа Flash-памяти командой DUMP, которую юзают многие неофициальные флешеры и дамперы. Затем я добавил поддержку обновлённого LTE-Hitagi в свой аналог утилиты ramldr.exe от Vilko, который называется Flash Terminal, после чего отправил всё это на проверку Den K и у него оно заработало! Siemens CC75 перестал плеваться нулями.

Итоги

С помощью форка LTE-Hitagi удалось прочитать тот Siemens CC75, который был убит программно и находится в Boot Loop'е. Оказалось, что там была прошита самая новая версия прошивки в линейке прототипов CC75/Mars от 08-Дек-2005 года, новее лишь у CC75/Mosel. А вот почему эта прошивка не хочет стартовать и телефон постоянно перезагружается, вопрос хороший. По итогу всех снятых на данный момент времени восьми дампов вырисовывается следующая картина:

Код

Mars SW   v1.00 ----- ----- M2_ADE-G_C_12.14.0_R_0B.08.62 ahsim
Mars SW   v2.00 v2.00 v3.20 M2_ADE-G_C_13.3.0_R_0B.08.62  Dmitry Lysenko
Mars SW   v2.00 v2.00 v3.20 M2_ADE-G_C_13.3.0_R_0B.08.62  Dmitry Lysenko
Mars SW   v2.00 v2.00 v3.20 M2_ADE-G_C_13.3.0_R_0B.08.62  Den K
Mars SW   v2.00 v3.00 v4.10 M2_ADE-G_C_13.7.0_R_0B.08.62  Den K
Mars SW   v2.00 v3.00 v4.10 M2_ADE-G_C_13.7.0_R_0B.08.62  Den K
Mars SW   v4.4  ----- v4.40 M2                            Den K
Mosel SW  v2.0  ----- v2.00 M2                            overglube

| Phone/Model          | Browser version       | Build date             | Owner                |
|----------------------|-----------------------|------------------------|----------------------|
| Siemens CC75/Mars    | Openwave 6.3.0        | Built on Jun 16 2005   | ahsim                |
| Siemens CC75/Mars    | Openwave 6.3.0        | Built on Aug 05 2005   | Dmitry Lysenko       |
| Siemens CC75/Mars    | Openwave 6.3.0        | Built on Aug 05 2005   | Dmitry Lysenko       |
| Siemens CC75/Mars    | Openwave 6.3.0        | Built on Aug 05 2005   | Den K                |
| Siemens CC75/Mars    | Openwave 6.3.0.2      | Built on Sep 07 2005   | Den K                |
| Siemens CC75/Mars    | Openwave 6.3.0.2      | Built on Sep 07 2005   | Den K                |
| Siemens CC75/Mars    | Openwave 6.3.0.2      | Built on Dec 08 2005   | Den K                |
| Siemens CC75/Mosel   | Openwave 6.3.0.2      | Built on Feb 03 2006   | overglube            |

Из новой прошивки мне удалось выцепить новую анимацию включения и выключения и пару фоновых картинок с облаками.

Анимации включения и выключения с новой сдампленной прошивки Siemens CC75/Mars

Итак, теперь у нас есть не только удобные Test Point точки для запуска телефона во Flash и Blank режимах, но и свой собственный читающий RAMDLD с открытым исходным кодом, который будет работать на любых Siemens CC75/Mars и Siemens CC75/Mosel. Для полного счастья нам не хватает лишь возможности стирания и записи в нашем RAMDLD и эмуляции прошивки CC75 в SimTech MOOSE. Надеюсь, что в скором времени хотя бы первая проблема будет решена.

Полезные ссылки

• https://firmware.center/firmware/Siemens/CC75 — все основные файлы и дампы, слитые с прототипов Siemens CC75.
• https://github.com/MotoFanRu/LTE-Hitagi — наш кастомный RAMDLD для снятия дампов с прототипов Siemens CC75.
• https://github.com/EXL/FlashTerminal — утилита для снятия дампов с прототипов Siemens CC75.

Исследование продолжается. Stay tuned!