motofan logo
2 страниц V  1 2 >        
> 

Siemens CC75, внебрачный сын Motorola?!, Исследование прототипа Siemens MARS, Mosel

EXL
сообщение 12.4.2024, 12:30


Rock The Microphone
********

Группа: Администраторы
Сообщений: 3 082
Регистрация: 12.5.2007
Из: г. Новосибирск
Пользователь №: 134 652
Модель телефона: XT894 / XT897
Прошивка: Различные


Настроение:
null



Рейтинг: 4638



История сотрудничества Siemens и Motorola имеет давние корни. Ещё в 2002 году Siemens лицензировал 3G-платформу i.300 у Motorola, чтобы застолбить за собой место на рынке только-только появившихся 3G/UMTS телефонов. Результатом их кооперации стали модели Siemens U10 (2002) и Siemens U15 (2003), которые по сути представляли собой Motorola A830 и Motorola A835 с несколько изменённым дизайном и ПО. Оба этих телефонов как в оригинальном исполнении Motorola, так и в Siemens'овском вполне себе обсуждались на нашем форуме и даже немного модифицировались пользователями, в их прошивку добавлялся русский язык, редактировались SEEM'ы. Но были они достаточно редкими и в продаже даже на их родных европейских и американских рынках встречались довольно нечасто.

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Официальные рендеры Siemens U10, Motorola A820, Motorola A830, Siemens U15, Motorola A835, Motorola A845 и их сравнение между собой

В 2005 году компания Siemens, тогда ещё пока не ставшая BenQ-Siemens, решила выпустить на рынок максимально простой, но в то же время стильный телефон в линейке популярной 75-серии. Внутри компании он имел кодовое название MARS, а некоторые устройства в "Product name:" были подписаны как Mosel. Финальное маркетинговое название модели должно было быть Siemens CC75.

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Официальные hi-res рендеры Siemens CC75

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Официальный hi-res промо-материал Siemens CC75

Увы, планам компании Siemens не суждено было сбыться и CC75 к большому сожалению отменили. О причинах отмены этого замечательного телефончика сейчас можно только гадать и предполагать. Возможно что последующее слияние Siemens с BenQ повлекло за собой чистку портфолио компании от не особо перспективных моделей.

Прикрепленное изображение

Мобильная аналитика по Siemens CC75 от Эльдара Муртазина, 4-й квартал 2005 года, источник: https://mobile-review.com/articles/2005/siemens-new.shtml

Муртазин на своём сайте тоже писал о том, что рыночная ниша устройства была не особо понятна и конкуренция с мобильными телефонами других производителей была бы жёсткой. Например, с теми же Motorola SLVR L2 и Motorola SLVR L6, которые вышли в первом квартале 2005 года и к моменту предполагаемого выхода Siemens CC75 на рынок уже во всю продавались. Печально, но может быть именно они и забили последний гвоздь в крышку этого прототипа? Ведь их позиционирование и дизайн были весьма схожими. Забавно, что Siemens CC75 ожидали в релизе многие дистрибьюторы мобильных телефонов и даже публиковали его в своих каталогах.

Прикрепленное изображение Прикрепленное изображение

Наличие Siemens CC75 в каталогах "Евросеть", фотографии overglube. Высококачественный скан по ссылке.

Так вот, казалось бы, причём тут вообще Motorola?! А всё дело в том, что сердцем Siemens CC75 должен был стать до боли знакомый нам процессор Neptune LTE от Motorola/Freescale, который использовался на огромном количестве мобильных телефонов Motorola и не только, от RAZR V3 до E398.

Так бы и канул этот Siemens CC75 вместе со всей интересной информацией о нём в небытие, если бы не коллекционеры мобильных телефонов из сообщества Siemens Mobile, которые тщательнейшим образом задокументировали и зафотографировали этот прекрасный по своему дизайну телефон. Дизайн Siemens CC75, кстати позже будет обыгран во вышедшей в релиз модельке BenQ-Siemens S68 (его сравнение с CC75 на фотографиях ниже), но это уже другая история, никак не связанная с Motorola. Строгий стиль Siemens CC75: серебристый металл, стекло, угловатый дизайн по особому привлекает внимание. Телефон действительно был бы очень красивым, если бы вышел в релиз.

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Фотографии прототипа Siemens CC75 в цвете "Aluminium Silver" из личных коллекций Александра Борисевича и Дмитрия Лысенко, материал из группы Siemens Mobile: https://vk.com/variety_of_siemens

Коллекционеры даже смогли раздобыть прототип Siemens CC75 в чёрном цвете, наверное, уникальный и единственный в своём роде аппарат, только посмотрите на это чудо.

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Фотографии прототипа Siemens CC75 в цвете "Black" из личной коллекции Виталия Сироткина, материал из группы Siemens Mobile: https://vk.com/variety_of_siemens

Более того, Дмитрий Лысенко смог найти бывшего разработчика связанного с Siemens CC75, который продавал этот телефон на Авито и взять у него обширное интервью, полное очень любопытной инсайдерской информации. Обязательно прочитайте его, оно очень интересное!

Прикрепленное изображение Прикрепленное изображение

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Фотографии стопки Siemens CC75 и других прототипов Siemens из интервью с бывшим разработчиком Elcoteq SE, источник: https://vk.com/@-145117607-intervu-s-razrabotchikom

Оказалось, что Siemens заказывал это устройство к производству не у самой Motorola, а у крупного финского субподрядчика Elcoteq SE, который занимался аутсорсом производства различной телекоммуникационной электроники для многих именитых производителей мобильных телефонов, в числе которых был как Siemens, так и сама Motorola. Elcoteq SE был достаточно крупной компанией и имел несколько центров разработки, расположенных в разных частях Европы. Несколько из них находились в России, в Санкт-Петербурге и занимались как разработкой плат, так и прошивок. Это объясняет почему в большинстве прототипов Siemens CC75 в интерфейсе во многих местах используются надписи на русском языке.

Прикрепленное изображение

Фотографии Siemens CC75 в списке центра сертификации FCC: https://fccid.io/PWX-CC75/External-Photos/E...l-Photos-603771

Благодаря интервью с разработчиком и внимательности Azq2 были получены ссылки [1] и [2] на сервис сертификации FCC, где по FCC ID можно тоже найти некоторую информацию про Siemens CC75, включая руководство пользователя и его внутренние фотографии. Увы, но схемы и сервис-мануалы устройства там конфиденциальные. Доступные PDF-документы FCC можно скачать одним архивом по этой ссылке.
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
EXL
сообщение 12.9.2024, 7:02


Rock The Microphone
********

Группа: Администраторы
Сообщений: 3 082
Регистрация: 12.5.2007
Из: г. Новосибирск
Пользователь №: 134 652
Модель телефона: XT894 / XT897
Прошивка: Различные


Настроение:
null



Рейтинг: 4638



Один из коллекционеров мобильных телефонов Siemens, использующий ник overglube, получил в своё распоряжение два прототипа Siemens CC75 с разными разъёмами: Mini-USB и Slim-Lumberg. Прототип с разъёмом Mini-USB практически не имеет Siemens-брендинга на корпусе, а его прошивка выглядит сильно сырой и инженерной.

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Прототипы Siemens CC75 с разъёмами Mini-USB и Slim-Lumberg из личной коллекции overglube

К большому сожалению, прототип с разъёмом Slim-Lumberg судя по его внешним и внутренним повреждениям, похоже что был вытащен из шредера каким-то сотрудником компании в самый последний момент! Видимо не выдержало сердце человека, не смог он уничтожить такую прелесть и телефончик был тайно спасён из-под пресса. А может быть его использовали в качестве подопытного образца различных Drop Test'ов, тестировали модельку на стойкость и выживаемость при падениях и повреждениях. Так или иначе, но из-за деформации и жёстких ударов этот прототип Siemens CC75 больше не включается. Поэтому overglube разобрал его, тщательнейшим образом отфотографировал все внутренности и провёл некоторые сравнения. Нас интересует именно маркировка микросхем, пойдём по порядку.

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Разборка и маркировка микросхем Siemens CC75, фотографии overglube

Motorola/Freescale SC29332VKN | [Data Sheet] — Процессор, он же SoC, сердце этого устройства. Его кодовое имя Neptune LTE (Low-Tier EDGE-enabled), на схемах и сервис-мануалах Motorola имеет традиционное обозначение U800. На линейке этих процессоров вышла огромная куча устройств, начиная с C380, V300, E398 и заканчивая RAZR V3. Внутри себя Neptune LTE имеет два вычислительных ядра и несколько регионов памяти: MCU — ARM7TDMI-S ARMv4 @ 52 MHz, DSP — S-OnyxU 56600S M56K @ 104 MHz, IROM — 1792 KiB, IRAM — 256 KiB.

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Маркировка чипа Motorola/Freescale SC29332VKN в Siemens CC75, RAZR V3, V300, E398, фотографии overglube, Paschendale и FCC

На смену Neptune LTE пришла платформа Neptune LTE2 использовавшаяся в L7, V360, RAZR V3i и других телефонах, процессор на плате которых имеет уже обозначение SC29343VKP. Различные индексы в окончании маркировки этого SoC, например, SC29332VG у E398 и SC29332VKP у V3, скорее всего просто означают ревизию, завод или технологический процесс. Так как до сих пор различные СЦ предлагают SC29332VKN (именно тот, который в Siemens CC75) для установки в V600, V3, C380, C390, C650, V80, V180, V220, V300, V500, V547, V600, E398 и другие Neptune LTE телефоны, это может говорить лишь о том, что они все электрически совместимы и взаимозаменяемы.

Прикрепленное изображение Прикрепленное изображение

Маркировка чипа Spansion S71WS256NC0BAWAP в Siemens CC75 и Spansion S71GL256NB0BFWAZ в BenQ-Siemens A58, фотографии overglube и Den K.

Spansion S71WS256NC0BAWAP | [Data Sheet] — Сдвоенная Flash + RAM память в одном чипе. Вместо привычной сдвоенной Intel'овской или ST'шной памяти, часто используемой в телефонах Motorola, в Siemens CC75 использована тоже сдвоенная микросхема но уже от Spainsion, который редко встречался как в Motorola так и в телефонах Siemens. На этот чип имеется документация в Интернете, из которой становится ясно, что прямо в маркировке этой микросхемы закодирован объём её Flash-памяти — число "256" означает что в чипе использовано 256 Мегабит NOR Flash памяти, то бишь 32 MB Flash для прошивки телефона и оставшееся свободное место будет распределено в качестве свободной пользовательской памяти. Аббревиатура "NC0" означает 64 Мегабита оперативной памяти PSRAM, то есть 8 MB RAM. Эти объёмы совпадают с теми, которые были в TRIPLETS'ах, E398, ROKR E1, RAZR V3, SLVR L2, SLVR L6 и даже с теми микросхемами памяти, которые были в классических Siemens'ах вроде CX65, M65, C65, S65, и многих других.

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Маркировка чипа Motorola/Freescale MC13717VL в Siemens CC75, Motorola C350L, Motorola C380, фотографии overglube, EXL, Paschendale

Motorola/Freescale MC13717VL | [Product Info] — Контролер питания и звука, Power Management + Audio IC. Снова микросхема от Motorola с кодовым названием Seaweed. Аналогичный, но немного с другим индексом чип Motorola MC13717VH был использован в древнем Motorola C350L. Скорее всего в Siemens CC75 используется его обновлённая и электрически совместимая версия. Широко распространён на C350-like и C650-like мобильных телефонах. Именно этот чип сколот на одном из прототипов overglube и вполне вероятно что его можно будет заменить с донорского C350L или C380.

Прикрепленное изображение

Скол и трещина в микросхеме Motorola/Freescale MC13717VL в Siemens CC75 с разъёмом Slim-Lumberg, фотография overglube

На сервис-схемах Motorola этот Power IC часто обозначен как U900, в более старших моделях, таких как TRIPLETS'ы, E398 и RAZR V3 аналогом этой микросхемы служит PCAP SYMBOL, а ещё в более новых по типу SLVR L6, SLVR L7, V360, RAZR V3r и других используется ATLAS UL.

Прикрепленное изображение Прикрепленное изображение

Маркировка чипа Motorola/Freescale MMM6025 в Siemens CC75 и Motorola SLVR L6, фотографии overglube и FCC

Motorola/Freescale MMM6025 | [Data Sheet] — часть RF-обвязки, RF Transmitter, PAM. Вместо привычного для телефонов Motorola 2004-2005 годов чипа от Skyworks здесь использован уже оригинальный чип от Motorola/Freescale. В сервисных документах он именуется как "Quad-Band GSM/GPRS Power Amplifier Front-End Module with PA and Antenna Switch" и датирован 2005 годом. На сервис-схемах Motorola обозначается как U50 и имеет кодовое название EAGLE. Используется как минимум в Motorola SLVR L2 и Motorola SLVR L6.

Прикрепленное изображение Прикрепленное изображение

Маркировка чипа Motorola/Freescale MC13877F в Siemens CC75 и Motorola SLVR L6, фотографии overglube и FCC

Motorola/Freescale MC13877F — снова часть RF-обвязки, RF Transceiver. В сервисных документах отмечен как "Quad-Band GSM/GPRS, ZIF, Integrated VCO", тоже датирован 2005 годом. На сервис-схемах Motorola обозначается как U150 и имеет кодовое название AlgaeMB. Используется как минимум в Motorola SLVR L2 и Motorola SLVR L6.

Прикрепленное изображение Прикрепленное изображение

Маркировка чипа Yamaha YMU762C MA-3 в Siemens CC75 и Samsung C100, фотографии overglube и YouTube-канала NaprawynaWariackichPapierach

Yamaha YMU762C MA-3 | [Data Sheet] — Mobile Audio 3, микросхема MIDI-синтезатора полифонии от Yamaha. Достаточно частый гость в мобильных телефонах, использовался много где, например, в Samsung C100 и Motorola T720c, T730. Более старые чипы, такие как MA-2 (Mobile Audio 2) тоже использовались во множестве мобильных телефонов, включая Motorola E365.

Посмотреть все фотографии прототипов Siemens CC75 можно в альбомах overglube по ссылкам ниже:Прикреплённые файлы:
Прикрепленный файл S71WS-NX0.PDF   ( 3.64 мегабайт ) Кол-во скачиваний: 2842
Прикрепленный файл I200.pdf   ( 1.17 мегабайт ) Кол-во скачиваний: 2913
Прикрепленный файл MMM6025.pdf   ( 565.52 килобайт ) Кол-во скачиваний: 2838
Прикрепленный файл YMU762C-QZ.pdf   ( 295.4 килобайт ) Кол-во скачиваний: 2852
Прикрепленный файл FCC_PWX--CC75_Siemens_CC75.zip   ( 6.4 мегабайт ) Кол-во скачиваний: 2849
Прикрепленный файл CC75_Datenblatt.pdf   ( 49.76 килобайт ) Кол-во скачиваний: 2837
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
EXL
сообщение 12.9.2024, 7:02


Rock The Microphone
********

Группа: Администраторы
Сообщений: 3 082
Регистрация: 12.5.2007
Из: г. Новосибирск
Пользователь №: 134 652
Модель телефона: XT894 / XT897
Прошивка: Различные


Настроение:
null



Рейтинг: 4638



Пару слов о графическом интерфейсе телефона. Как следует из очерка Эльдара Муртазина, программная оболочка Siemens CC75 действительно была уникальной для мобильных телефонов Siemens и весьма непривычной на первый взгляд. Он довольно простая, с крупными полноэкранными иконками в главном меню.

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Интерфейс прототипа Siemens CC75 с разъёмом Slim-Lumberg из личной коллекции Den K

Примечательно использование трёх программируемых софт-кнопок как в телефонах Motorola и Nokia, вместо двух. При этом боковые софт-клавиши часто представлены иконографикой, а не надписями. Инженерная прошивка телефона изобилует огромным количеством различных тестовых и инженерных приложений. Как уже было сказано выше, многие из этих приложений используют русский язык по той причине, что инженеры-разработчики прошивки из Elcoteq SE находились и разрабатывали ПО для этого телефона в Санкт-Петербурге.

Примечательно, что на прототипах Siemens CC75 с Mini-USB разъёмами, зачастую использовался несколько другой интерфейс в прошивке.

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Интерфейс прототипа Siemens CC75 с разъёмом Mini-USB из личной коллекции overglube

Эта программная оболочка прототипов с Mini-USB несколько отличается от оболочки использующейся на прототипах с разъёмом Slim-Lumberg и очень сильно похожа на референсную прошивку. На одном из нынё мёртвых и неизвестных сайтов с информацией про Siemens CC75 был найден очень интересный коллаж из 16 скриншотов раннего интерфейса телефона.

Прикрепленное изображение

Интерфейс референсной прошивки Motorola/Freescale в контексте Siemens CC75, спасибо за коллаж скриншотов overglube

Здесь в интерфейсе телефона используются всего две софт-клавиши и меню выполнено в виде классической и привычной 3x4 сетки. Но самое интересное в этих скриншотах то, что там имеются изображения из стоков, которые Motorola использовала в своих собственных мобильных телефонах. Как минимум две картинки со скриншота с названиями "Amber.jpg" и "Bamboo.jpg" имеются в различных флексах Motorola RAZR V3x и Motorola RAZR V3i соответственно. Обе эти раскладушки как и Siemens CC75 были в 2005 году. А ещё схема именований файлов вида "ss_midnight_", "ss_nocturne_", "ss_sport_" тоже имеет явно моторольские корни.

Прикрепленное изображение

Изображения "Amber.jpg" и "Bamboo.jpg" с Motorola RAZR V3x и Motorola RAZR V3i соответственно

Всё это косвенно подтверждает то, что на скриншотах выше была показана уникальная референсная прошивка от Motorola/Freescale, которая отправлялась тем компаниям, которые лицензировали их процессор Neptune LTE и всю программно-аппаратную платформу Motorola i.250 для использования в собственных мобильных телефонах.
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
EXL
сообщение 17.9.2024, 9:32


Rock The Microphone
********

Группа: Администраторы
Сообщений: 3 082
Регистрация: 12.5.2007
Из: г. Новосибирск
Пользователь №: 134 652
Модель телефона: XT894 / XT897
Прошивка: Различные


Настроение:
null



Рейтинг: 4638



Самое интересное что можно получить из прототипа Siemens CC75 это дампы содержимого Flash ROM и IROM микросхем, которые было бы очень интересно исследовать. Что полезного это даст? Во-первых, полный дамп микросхем памяти мог бы помочь восстановить некоторые другие прототипы Siemens CC75, которые навечно застряли в состоянии вечной перезагрузки. Таких аппаратов известно мне 3-4 штуки. Во-вторых, дамп прошивки гипотетически можно будет запустить в утёкшем эмуляторе Neptune SimTech MOOSE, что позволит ещё более тщательно изучить и даже модифицировать прошивку этого прототипа. Интересующиеся Siemens CC75 люди смогли бы использовать этот эмулятор для ознакомления с тем как выглядит и как ощущается прошивка этого редкого устройства.

Прикрепленное изображение

Запущенный Flash ROM прошивки Motorola SLVR L6i в эмуляторе SimTech MOOSE — наиболее близкий телефон по железу к Siemens CC75

Увы, но Siemens CC75 как и все прототипы, достаточно редко встречается "в дикой природе", а большинство обладателей этого устройства из числа коллекционеров мобильных телефонов довольно неохотно делятся какой-либо информацией и тем более не хотят производить различные программные и железные манипуляции с довольно дорогим аппаратом.

Для того, чтобы получить дампы регионов Flash-памяти и IROM-памяти необходимо проникнуть внутрь телефона. Аппараты, которые используют процессор Neptune LTE имеют два Boot Loader'а. Первый находится в IROM и зашивается заводом-изготовителем в сам SoC. Второй записан на Flash-чип и именно он инициализирует железо и стартует прошивку. Протокол общения второго бута по USB если и имеется, то к сожалению мне неизвестен, а вот первый бут должен иметь очевидную реализацию Motorola Flash Protocol, поскольку запекался в кремний на фабах Motorola/Freescale.

Поэтому в теории, Siemens CC75 может как и любая другая Motorola на Neptune LTE отправится в режим S Blank Neptune LTE при замыкании точек Test Point. Эта операция в контексте данного процессора простейшая и заключается в том, чтобы замкнуть питание Flash-микросхемы на землю. В этом случае при подаче питания первичный бут, находящийся в IROM, не сможет найти Flash-память и вторичный загрузчик на ней, поэтому запустит специальный Blank-режим. В теории звучит всё просто но на практике необходимо найти Test Point точки, при кратковременном замыкании которых и последующей подачи питания телефон бы отправлялся в Blank-режим. К счастью и среди коллекционеров мобильных телефонов бывают исключения и Den K решил поэкспериментировать над своим прототипом Siemens CC75 и найти нужные Test Point точки.

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Прототипы Siemens CC75 с разъёмами Slim-Lumberg из личной коллекции Den K

Первый эксперимент с нахождением точки оказался неудачным, телефон опознавался компьютером как "Неизвестное USB-устройство", а вот вторая попытка дала положительный результат и Siemens CC75 определился как интерфейс NS Blank Neptune LTE. Аббревиатура "NS" здесь расшифровывается как Non-Secured, то есть модификация Neptune LTE без аппаратных систем криптозащиты (HAB, SecMem, RSA). Другие варианты подразумевают "S" — Secured, который был установлен в большинстве мобильных телефонов Motorola на платформе P2K, и "SE" — Secured-Engineering, который предназначался для инженерных прототипов Motorola.

Прикрепленное изображение

Test Point для Siemens CC75, найденный Den K

Получив в распоряжение USB-интерфейс "NS Blank Neptune LTE" мы с Den K начали его исследовать. IROM реализует Motorola Flash Protocol, поэтому с этим интерфейсом могут взаимодействовать самые разные программы для телеонов Motorola, начиная с ramldr и заканчивая моим Flash Terminal, который был специально написан для снятия дампов с мобильных телефонов Motorola. Увы, но попытки заслать в Siemens CC75 разные RAMDLD-загрузчики от E398 (Blank/Flash), SLVR L6 (Flash) и LG G252 (Flash, ещё один ODM на NS Neptune LTE) любыми программами не увенчались успехом. Они засылаются в телефона, но запускаться и передавать что либо на USB-порт просто отказываются. Схема прошивки и чтения микросхем памяти через специальные загрузчики, загружаемые в RAM типична для многих мобильных телефонов.

Код
// Neptune LTE SoC Addressing

0x00000000: IROM (1.75 MB)
0x03FC0000: IRAM (256 KB)

0x10000000: Flash (32 MB)
0x12000000: RAM (8 MB)

Внутренний загрузчик IROM, он же первичный бут, реагирует на посылаемые команды корректно и даже отвечает на них в USB-порт. Вот только во всех этих ответах имеется одна странность — хотя их длина корректна и коррелирует с ожидаемой, содержимое ответа полностью занулено, причём не FF-байтами как это обычно бывает в случае с NOR Flash, а 00-байтами. Простыми словами, телефон реагирует на команды корректно, но отвечает нулями. Из-за этой очень странной особенности мы пока не можем снять с прототипа Siemens CC75 дамп его микросхем.

Прикрепленное изображение Прикрепленное изображение

RQHW — ответ 23 байта в обоих случаях и RQRC — ответ 11 байт в обоих случаях, но у Siemens CC75 везде нули

Что мы с Den K только не делали! Даже по итогу поставили USB-сниффер и проанализировали сырые USB-пакеты которыми отвечал телефон на посылаемые ему команды. Увы, везде эти "00 00 00 00..." нулевые байты, а мы были так близко к решению этой интересной задачи!

Прикрепленное изображение

USB sniffing Siemens CC75 с использованием Device Monitoring Studio

И ведь неясно где именно кроется корень проблемы. Это может быть какие-то нестандартные решения USB-порта Slim-Lumberg, так и намеренная защита от считывания информации с прототипов со стороны Motorola/Freescale.

Прикрепленное изображение

Код функции util_ui8_to_hexasc(), которая отвечает за формирование ASCII HEX ответа в IROM

Стоит поменять в коде IROM вот эту функцию таким образом как это показано на скриншоте выше, то телефон на USB-команды будет отвечать именно так, как нам отвечает Siemens CC75. В конце-концов Den K проверил оба своих прототипа с разъёмами Slim-Lumberg и оба они к сожалению отвечали нулевыми байтами.

Подведу промежуточный итог. Несмотря на не слишком воодушевляющие результаты, опускать руки ещё рано, как и терять надежду того, что с Siemens CC75 наконец-то получится снять дамп. Вот краткий план действий того, что стоило бы проверить.

🟩 Проверить, а не идут ли данные по другим контрольным линиям USB. USB has four flavors of transfers: bulk, interrupt, isochronous and control. К примеру, TCI/TCMD (он же P2K-режим) использует control, тогда как используемый нами Motorola Flash Protocol подвязан на bulk. Нет
❌ Проверить прототип Siemens CC75 с Mini-USB портом от overglube. Проверено, поток данных занулен как и в случае обычных Siemens CC75 со Slim-Lumberg.
🟩 Попытаться написать собственный загрузчик или найти/подобрать готовый. Запатчить его, если это потребуется. Здесь многое упирается в инициализацию Flash-памяти.
🟩 Попытаться связаться с бывшим разработчиком Elcoteq SE и узнать у него информацию про Siemens CC75. Возможно, он сможет поделиться какими-то файлами по типу загрузчиков.
🟩 Попытаться расковырять стандартный протокол Siemens CC75, благо есть зацепка в лице прошивальщика Siemens CFX65 тоже называемого MARS. Прототип подключенный к этой программе при нажатии разных кнопок может перезагружаться или выключаться.
✅ Попытаться перевести Siemens CC75 в P2K-режим, так как на чешских форумах была найдена информация о том, что это возможно. Попытаться связаться с BonfireCZ, которому это удалось. Все известные прототипы Siemens CC75 теперь переходят в P2K-режим.
🟩 Произвести выпаивание Flash-чипа на программатор для последующего дампа его содержимого. Самый сложный из оставшихся вариантов, наряду с нахождением JTAG, если он вообще распаян.

В заключение, хотелось бы выразить слова благодарности тем людям, материал которых я использовал при написании этой статьи:
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
EXL
сообщение 30.9.2024, 1:57


Rock The Microphone
********

Группа: Администраторы
Сообщений: 3 082
Регистрация: 12.5.2007
Из: г. Новосибирск
Пользователь №: 134 652
Модель телефона: XT894 / XT897
Прошивка: Различные


Настроение:
null



Рейтинг: 4638



Наконец-то overglube добрался до своего рабочего прототипа Siemens CC75 с Mini-USB разъёмом! Интересно в нём то, что он полностью лишён брендинга Siemens как по корпусу, так и по прошивке и называется Mosel, а не Mars. Необходимо было разобрать его, тщательно отфотографировать и провести процедуру Test Point для дальнейшего исследования.

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Siemens CC75 с разъёмом Mini-USB из личной коллекции overglube

Через Test Point можно будет получить доступ к USB-интерфейсу "NS Blank Neptune LTE" и посмотреть отличаются ли выхлопные ответы на команды в нём от тех, что были на протиках Den K с разъёмами Slim-Lumberg. Кстати, в файловой системе прототипа было обнаружено всего четыре BMP-изображения: "kairo.bmp" (с опечаткой, ибо правильно cairo), "fishing.bmp", "dog.bmp" (собака породы сиба-ину), "ice.bmp", все разрешением 128x116 пикселей, а мелодий немногим больше. Примечательно, что один из тестовых рингтонов имеет название "Elcotune.mid", что ещё раз подтверждает происхождение и связь этого прототипа с Elcoteq SE.

Прикрепленное изображение Прикрепленное изображение

Siemens CC75, подключенный в обычном режиме в Windows 10 и в Windows XP, скриншоты overglube

Телефон в обычном включенном состоянии видится по USB с VID_1907 и PID_0001, что отличается от прототипов со Slim-Lumberg'ом где VID_11F5 и PID_0007. Windows 10 ставит какие-то стандартные драйвера на COM<=>USB порт, Windows XP так не делает. Что именно можно засылать в этот порт и какой протокол для этого использовать пока нам неизвестно. Но может быть можно будет что-то придумать промониторив и разобрав работу MARS-флешера под Siemens CFX65.

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Залитые компаундом чипы на плате Siemens CC75 и навесные hardware фиксы, фотографии overglube

Чипы Siemens CC75 с Mini-USB разъёмом оказались немного залиты компаундом, а ещё на плате имеются некоторые интересные hardware-фиксы: от разъёма дисплея протянут проводок до земли и сделан навесной монтаж SMD-конденсатора или SMD-резистора на микросхеме M393/Y534. После замыкания точки Test Point, которую нашёл Den K, аппарат в Blank-режиме нормально увиделся моторольскими программами.

Прикрепленное изображение Прикрепленное изображение

Siemens CC75, подключенный в NS Blank Neptune LTE режиме в Windows XP с программами RSD Lite и ramldr, скриншоты overglube

Но увы, при попытке что-либо прочитать с него, возникает ситуация аналогичная той, что была у Den K на его протиках со Slim-Lumberg разъёмами: телефон отвечает байтами с ожидаемой длиной, но они полностью забиты нулями.

Прикрепленное изображение

Сниффинг USB-пакетов обмена Siemens CC75 с ramldr, ответ полностью забит нулями, скриншот overglube

Вот такая вот печальная история на данный момент. Но зато overglube снял огромное количество фотографий и даже видеоролик, скачать и посмотреть всё это можно ниже.


Небольшой видеообзор прототипа Siemens CC75 от overglube

Раньше я считал что прототипы с разъёмами Mini-USB более старые, однако судя по особенностям корпуса более старыми как раз являются прототипы с брендингом Siemens и разъёмом Slim-Lumberg. Так как на прототипе с разъёмом Mini-USB корпус более доработанный: квадратные края у джойстика, тщательно нанесённые точки на его гранях, есть зацеп на крышке АКБ сверху, есть изолирующий контакт у разъёма снизу. И если правильно декодировать его Production Date, то получается, что этот Siemens CC75 сделан 22.03.06 в 14:41:00, либо его прошивка была скомпилирована в это время.

Всё это очень подозрительно, возможно что Siemens позже решил перепродать CC75 кому-то, а не полностью отменить разработку. Это могло бы объяснить две вещи: отсутствие Siemens-брендинга в таких прототипах и наклейки с надписью BenQ вместо Siemens на некоторых из CC75.

Прикреплённые файлы:
Прикрепленный файл Siemens_CC75_Mini-USB_overglube_proto_Photos.zip   ( 45.65 мегабайт ) Кол-во скачиваний: 2821
Прикрепленный файл Siemens_CC75_Mini-USB_overglube.mp4   ( 27.45 мегабайт ) Кол-во скачиваний: 5548
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
EXL
сообщение 30.9.2024, 2:17


Rock The Microphone
********

Группа: Администраторы
Сообщений: 3 082
Регистрация: 12.5.2007
Из: г. Новосибирск
Пользователь №: 134 652
Модель телефона: XT894 / XT897
Прошивка: Различные


Настроение:
null



Рейтинг: 4638



Недавно Den K обнаружил на чешском фанатском форуме SiemensMania, который каким-то чудом всё ещё находится в онлайне в 2024 году, тему посвящённую Siemens CC75, в которой чешский коллекционер под ником BonfireCZ рассказывает о том, что каким-то образом смог достучаться на своём прототипе Siemens CC75 до режимов "Motorola Data Logging MCU Interface" и "Motorola Test Command Interface" и даже получить доступ к файловой системе устройства через какие-то моторольские программы.

Прикрепленное изображение

Скриншот темы про Siemens CC75 на форуме SiemensMania

Второй режим особенно интересен, ведь его альтернативное название: P2K-режим (TCI/TCMD) — до боли знакомо каждому МотоФану. Именно через этот режим можно производить самые разные манипуляции с телефонами Motorola: читать и редактировать SEEM и PDS, работать с файловой системой устройства, переводить телефон в режим прошивки и делать множество других интересных вещей.

Прикрепленное изображение

Скриншот утилиты MEMACS Dumper, использующейся для чтения адресного пространства телефонов Motorola через P2K-режим

Через "Motorola Test Command Interface" можно даже читать адресное пространство инженерных устройств с помощью команды MEMACS и одноимённой утилиты MEMACS Dumper. Вот только вопрос как именно туда попасть. Есть мысль попытаться отправить на эмулируемый COM-порт устройства команды AT+MODE=13, AT+MODE=8, AT+MODE=P2K и другие. Может даже пройтись скриптом такого вида:

Код
for /l %x in (1, 1, 100) do echo at+mode=%x > com3

Это возможно переключит устройство из режима USB-модема в P2K-режим, но только вместо COM3 здесь нужно подставить номер порта который появится при подключении Siemens CC75 в обычном режиме по USB.

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Прикрепленное изображение Прикрепленное изображение

Фотографии Siemens CC75 из личной коллекции BonfireCZ, материал с сайта https://www.siemens-museum.com/

Помимо этого можно связаться с чешскими коллекционерами и обладателями Siemens CC75, их даже несколько: BonfireCZ, NoviS и Einex. С ними со всеми можно установить связь через Facebook или даже VK, благо они до сих пор посещают группы коллекционеров мобильных телефонов Siemens. Как минимум BonfireCZ может перевести свой Siemens CC75 в P2K-режим и получить оттуда некоторую информацию. Интересно обычный ли у него Siemens CC75 или же с очень ранней референсной прошивкой от Freescale/Motorola, где имеются P2K и другие режимы.
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
-RPG-
сообщение 6.10.2024, 13:45


Ветеран
*****

Группа: Пользователи
Сообщений: 484
Регистрация: 13.3.2007
Пользователь №: 126 829
Модель телефона: куча разных
Прошивка: нестандарт

Рейтинг: 550



Как детектив прочитал clapping.gif
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
EXL
сообщение 24.10.2024, 22:22


Rock The Microphone
********

Группа: Администраторы
Сообщений: 3 082
Регистрация: 12.5.2007
Из: г. Новосибирск
Пользователь №: 134 652
Модель телефона: XT894 / XT897
Прошивка: Различные


Настроение:
null



Рейтинг: 4638



Итак, продолжим! После публикации этой обзорной темы про Siemens CC75 снова появилась некоторая очень интересная информация.

1.

В интернете был обнаружен видеоролик от BonfireCZ с демонстрацией функциональности его прототипа Siemens CC75, интерфейс и иконки которого несколько отличаются от тех CC75, что были представлены в этой теме.



Источник видео: https://www.youtube.com/watch?v=848rM4_mqOM

По идее этот Siemens CC75 должен быть очень ранним, поскольку его прошивка изобилует огромной кучей стоковых картинок Motorola: Dancing.jpg (известна на E398), Interior.jpg, High Tide.jpg, Desert.jpg (известна на A1200) и некоторых других.

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Стоковые изображения Motorola на Siemens CC75 из личной коллекции BonfireCZ, материал из видеоролика выше.

Иконки в этом телефоне выглядят менее проработанее чем в последующих прототипах. Это именно тот Siemens CC75 с P2K-режимом который обсуждался на чешском форуме SiemensMania, подробнее см. здесь.

2.

Коллекционер Дмитрий Лысенко опубликовал и дополнил прекрасными фотографиями мой пост про Siemens CC75 в группе Siemens Mobile: https://vk.com/wall-145117607_6862

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Прикрепленное изображение Прикрепленное изображениеПрикрепленное изображение

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Фотографии Siemens CC75 из личной коллекции Дмитрия Лысенко, полный альбом фотографий доступен по ссылке: https://vk.com/album-145117607_303272629

В комментариях к этому посту отметился другой коллекционер Андрей Карпов, который продемонстрировал нам свой более ранний прототип Siemens CC75:

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Фотографии Siemens CC75 из личной коллекции Андрея Карпова, источник: https://vk.com/wall-145117607_6862?reply=6864

Как видно на фотографиях Siemens CC75, которые предоставил Андрей Карпов, изображён тот самый референсный интерфейс прошивки Freescale/Motorola, который я описывал в этом сообщении! Там использовалось именно такое же меню сеткой и две софт-кнопки вместо трёх. В будущем нужно будет связаться с Андреем Карповым, чтобы попытаться снять BackUp с этого телефона.

3.

Мы с Den K решили провести эксперимент по переводу его прототипа Siemens CC75 в какой-либо альтернативный режим подключения, отправив в COM-порт стандартную команду переключения телефонов Motorola из AT-режима (USB Modem) в P2K-режим (TCI/TCMD):

Код
echo "AT+MODE=8" > COM3

После выполнения этой команды Siemens CC75 действительно переключился в некий режим, в котором в диспетчере устройств он стал видеться как (I250-012) Siemens Mobile Phone, вот только увы драйверов на этом режим пока нет и как управлять телефоном из него неизвестно. Строка USB_VID, USB_PID у устройства следующая:

Код
USB\VID_11F5&PID_0008\6&1CE2DEFA&0&11


Прикрепленное изображение Прикрепленное изображение

USB_VID и USB_PID мобильных телефонов и аксессуаров Siemens.

Поискав в Интернете можно найти информацию, что подобные USB_VID и USB_PID использовались в мобильных телефонах Siemens, а полное совпадение по USB_VID, USB_PID имеется у некоторого устройства Siemens UMTS/HSDPA Data Card, впрочем скорее всего это просто коллизия. Да и драйверов к этой карте не было найдено.

Возможно позже мне получится придумать что-нибудь с этим интерфейсом, чтобы снять какие-либо BackUp'ы.

Прикреплённые файлы:
Прикрепленный файл SnapSave.io-Siemens_CC75.mp4   ( 9.69 мегабайт ) Кол-во скачиваний: 4360
Прикрепленный файл Siemens_CC75_Aluminium_Silver_Black_D_Lysenko.zip   ( 43.83 мегабайт ) Кол-во скачиваний: 3014
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
EXL
сообщение 24.10.2024, 23:38


Rock The Microphone
********

Группа: Администраторы
Сообщений: 3 082
Регистрация: 12.5.2007
Из: г. Новосибирск
Пользователь №: 134 652
Модель телефона: XT894 / XT897
Прошивка: Различные


Настроение:
null



Рейтинг: 4638



Наконец-то дело сдвинулось с мёртвой точки! Со мной связался коллекционер ahsim, у которого появился очень интересный прототип Siemens CC75, похоже что он был тоже одной из самых ранних вариаций этого устройства!

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение Прикрепленное изображение

Фотографии Siemens CC75 из личной коллекции ahsim

Отличительной особенностью этого прототипа является его "круговое" главное меню в виде карусели и общая недоделанность и сырость прошивки, в которой полно пунктов меню, которые заканчиваются "Not implemented". Посмотреть обзорные видеоролики работы интерфейса в этом прототипе Siemens CC75 можно по этим ссылкам:Я попросил ahsim'а подключить его Siemens CC75 к компьютеру и посмотреть какой именно интерфейс будет доступен в "диспетчере устройств". Для подключения прототипа ahsim использовал обычный прямой кабель DCA-540 и после подключения внезапно обнаружилось что телефон определился в знакомом всем мотофанам P2K-режиме:

Прикрепленное изображение

Motorola P2K режим в прототипе Siemens CC75

Для дальнейшего исследования этого режима мы перешли из Windows 10 в Windows XP, поскольку известно что P2K-режим не работает на новых Windows старше Windows 8. К моему большому сожалению, зарекомендовавшие себя драйвера Motorola USB Driver v3.7.0 к Siemens CC75 не подошли. Поэтому пришлось узнавать USB_VID и USB_PID, которые уже были не Motorola-like, а Siemens-like:

Код
USB\VID_11F5&PID_0008&MI_05\6&12D8335&0&0005

В предыдущем сообщении нам с Den K удалось ввести его Siemens CC75 в режим с аналогичными USB_VID и USB_PID, вот только в нашем случае используется составное и привычное USB/P2K-устройство, а в случае Den K другое одиночное USB-устройство. Есть предположение, что в более новых прототипах привычный P2K-режим заменили каким-то уникальным Siemens-like режимом, что довольно печально, поскольку это потребует некоторые телодвижения и дополнительные исследования.

Я скачал какие-то старые P2K-драйвера отдельным набором файлов без установщика и изменил в них USB_VID и USB_PID на те, которые показал Siemens CC75. Это сработало! Драйвера установились, а привычные программы стали видеть Siemens CC75. Изменённые USB-драйвера можно скачать здесь: CC75_P2K_Drivers_01.zip

Прикрепленное изображение Прикрепленное изображение

Siemens CC75 подключенный к программе P2K Tools VS

Первым делом мы с ahsim установили P2K Tools VS и запросили там P2K Info:

Код
Model:
??

Flex:
0

Release Label:
Hex:  21402823294D325F4144452D475F435F31322E31342E305F525F30422E30382E3632
ASCI: !@(#)M2_ADE-G_C_12.14.0_R_0B.08.62

Platform:
Hex:  04FFFF0B08
ASCI: яя

DSP:
Hex:  62E1E0
ASCI: bба

Hardware:
Hex:  0B3030303130303231353200
ASCI: 0001002152

Language Package ID:
Hex:  021206
ASCI:

Затем мы слили дамп с диска /a/ файловой системы инженерного прототипа Siemens CC75, диск к сожалению был всего один, диска /c/ нет. Список файлов:

Siemens CC75 disk /a/ files
Код
/a/
├── ALARMCLOCK
├── DL_DMH_File
├── EMS_nf.tmp
├── EMS_save.tmp
├── EMS_scratch.tmp
├── EMS_smart_msg.tmp
├── EMS_view.tmp
├── gain_table.bin
├── mobile
│   ├── audio
│   │   ├── Angelus.mid
│   │   ├── Attraction.mid
│   │   ├── Ave Maria.mid
│   │   ├── Burn.mid
│   │   ├── Deuchland.mid
│   │   ├── Elcotune.mid
│   │   ├── Fugue in D.mid
│   │   ├── GesangDerMonche.mid
│   │   ├── HelanGor.mid
│   │   ├── Juomalaulu.mid
│   │   ├── Krisse.mid
│   │   ├── Maamme.mid
│   │   ├── Madrigal.mid
│   │   ├── melody.mid
│   │   ├── MyToneDB.db
│   │   ├── Ode.mid
│   │   ├── poquito.mid
│   │   ├── prelude.mid
│   │   ├── Songarhell.mid
│   │   ├── Songarleve.mid
│   │   ├── StStaffansVisa.mid
│   │   └── vavr
│   │       ├── FILEA0.va
│   │       ├── FILEA1.va
│   │       ├── FILEA2.va
│   │       ├── FILEA3.va
│   │       ├── FILEA4.va
│   │       ├── FILEA5.va
│   │       ├── FILEA6.va
│   │       ├── FILEA7.va
│   │       ├── FILEA8.va
│   │       ├── FILEA9.va
│   │       ├── FILEAa.va
│   │       ├── FILEAb.va
│   │       ├── FILEAc.va
│   │       ├── FILEAd.va
│   │       ├── FILEAe.va
│   │       ├── FILEAf.va
│   │       ├── FILEAg.va
│   │       ├── FILEAh.va
│   │       ├── FILEAi.va
│   │       ├── FILEAj.va
│   │       ├── FILEAk.va
│   │       ├── FILEAl.va
│   │       ├── FILEAm.va
│   │       ├── FILEAn.va
│   │       ├── FILEAo.va
│   │       ├── FILEAp.va
│   │       ├── FILEAq.va
│   │       ├── FILEAr.va
│   │       ├── FILEAs.va
│   │       ├── FILEAt.va
│   │       ├── FILEF0.vr
│   │       ├── FILEF1.vr
│   │       ├── FILEF2.vr
│   │       ├── FILEF3.vr
│   │       ├── FILEF4.vr
│   │       ├── FILEP0.vr
│   │       ├── FILEP1.vr
│   │       ├── FILEP2.vr
│   │       ├── FILEP3.vr
│   │       ├── FILEP4.vr
│   │       ├── FILEP5.vr
│   │       ├── FILEP6.vr
│   │       ├── FILEP7.vr
│   │       ├── FILEP8.vr
│   │       ├── FILEP9.vr
│   │       ├── FILEPa.vr
│   │       ├── FILEPb.vr
│   │       ├── FILEPc.vr
│   │       ├── FILEPd.vr
│   │       ├── FILEPe.vr
│   │       ├── FILEPf.vr
│   │       ├── FILEPg.vr
│   │       ├── FILEPh.vr
│   │       ├── FILEPi.vr
│   │       ├── FILEPj.vr
│   │       ├── FILEPk.vr
│   │       ├── FILEPl.vr
│   │       ├── FILEPm.vr
│   │       └── FILEPn.vr
│   ├── mixedmedia
│   │   └── mmdb_message.mdb
│   ├── picture
│   │   ├── ss_midnight_a_128x128_c.gif
│   │   ├── ss_nocturne_a_128x128_c.gif
│   │   ├── ss_sports_a_128x128_c.gif
│   │   ├── ss_velocity_a_128x128_c.gif
│   │   ├── wp_amber_128x128_c.jpg
│   │   ├── wp_amour_128x128_c.jpg
│   │   ├── wp_animal_128x128_c.jpg
│   │   ├── wp_aqua_128x128_c.jpg
│   │   ├── wp_bamboo_128x128_c.jpg
│   │   ├── wp_beats_128x128_c.jpg
│   │   ├── wp_blue_128x128_c.jpg
│   │   ├── wp_blue_bliss_128x128_c.jpg
│   │   ├── wp_blue_tile_128x128_c.jpg
│   │   ├── wp_cake_128x128_c.jpg
│   │   ├── wp_camouflauged_128x128_c.jpg
│   │   ├── wp_car_128x128_c.jpg
│   │   ├── wp_caribbean_128x128_c.jpg
│   │   ├── wp_catch_me_128x128_c.jpg
│   │   ├── wp_chill_128x128_c.jpg
│   │   ├── wp_clouds_128x128_c.jpg
│   │   ├── wp_cocktail_128x128_c.jpg
│   │   ├── wp_come_together_128x128_c.jpg
│   │   ├── wp_cute_128x128_c.jpg
│   │   ├── wp_dancefloor_128x128_c.jpg
│   │   ├── wp_dancing_128x128_c.jpg
│   │   ├── wp_decibel_128x128_c.jpg
│   │   ├── wp_desert_128x128_c.jpg
│   │   ├── wp_high_tide_128x128_c.jpg
│   │   └── wp_interior_128x128_c.jpg
│   └── settings
│       ├── basic.thm
│       ├── callhist.dat
│       ├── factoryset.dat
│       ├── Ftr_Avail.ftr
│       ├── Ftr_Rcd.ftr
│       ├── Ftr_State.ftr
│       ├── Ftr_Val.ftr
│       ├── magyar.lng
│       ├── mars.laf
│       ├── marsmenu.mnu
│       ├── profile1.pro
│       ├── profile2.pro
│       ├── profile3.pro
│       ├── profile4.pro
│       ├── profile5.pro
│       ├── roman.lng
│       ├── settings.dat
│       ├── siminfo.dat
│       ├── suomi.lng
│       ├── theme1.thm
│       ├── theme2.thm
│       ├── theme3.thm
│       ├── theme4.thm
│       └── theme5.thm
├── param_as_table.bin
├── param_table.bin
├── PUSH_DATABASE
└── WebSession
[close]

После с помощью утилиты MEMACS Dumper, как это было описано в этом сообщении, нам удалось слить дампы содержимого SoC IROM (1792 KiB) и Flash ROM (32 MiB) для их последующего изучения. Скорость дампинга по какой-то причине гораздо ниже чем на телефонах Motorola, возможно из-за специфики DCA-540. Стандартные 32 MiB сливаются примерно час, тогда как на той же Motorola V80 всего 10 минут.

Прикрепленное изображение Прикрепленное изображение

Siemens CC75 подключенный к программе MEMACS Dumper, процесс слития содержимого микросхем памяти

Адресация и размеры следующие: IROM: 0x00000000-0x1C0000, ROM: 0x10000000-0x2000000. По итогу получилось слить следующие дампы, которые очень сильно помогут нам в дальнейших исследованиях:Всё ещё открытым остаётся вопрос о том, заменили ли в более новых прототипах Siemens CC75 режим P2K на какой-то проприетарный Siemens-режим или всё-таки нет.

Бинарные дампы и дампы файлов будут изучены в последующем. На данный момент список дел выглядит следующим образом:

✅ Исследовать бинарные дампы и дампы файлов.
✅ Попытаться загнать прототип Siemens CC75 владельцем которого является ahsim во Flash-режим.
✅ Попытаться использовать изменённые P2K-драйвера на прототипе Siemens CC75 владельцем которого является Den K.

Прикреплённые файлы:
Прикрепленный файл Siemens_CC75_ahsim_01.mp4   ( 17.13 мегабайт ) Кол-во скачиваний: 4654
Прикрепленный файл Siemens_CC75_ahsim_02.mp4   ( 15.21 мегабайт ) Кол-во скачиваний: 4806
Прикрепленный файл CC75_P2K_Drivers_01.zip   ( 1.38 мегабайт ) Кол-во скачиваний: 5198
Прикрепленный файл Siemens_CC75_disk_a_filesystem_dump.zip   ( 599.35 килобайт ) Кол-во скачиваний: 4656
Прикрепленный файл Siemens_CC75_0200-irom-Neptune-LTE1_1792KiB.zip   ( 1.27 мегабайт ) Кол-во скачиваний: 4660
Прикрепленный файл Siemens_CC75_SW_v1.00_M2_ADE-G_C_12.14.0_R_0B.08.62_LP_021206_DSP_62E1E0_PDS_2006_BOOT_0753_32MiB.zip   ( 4.68 мегабайт ) Кол-во скачиваний: 67884
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
EXL
сообщение 31.10.2024, 2:13


Rock The Microphone
********

Группа: Администраторы
Сообщений: 3 082
Регистрация: 12.5.2007
Из: г. Новосибирск
Пользователь №: 134 652
Модель телефона: XT894 / XT897
Прошивка: Различные


Настроение:
null



Рейтинг: 4638



Итак, небольшое исследование содержимого дампов микросхем и файловых систем целых четырёх инженерных прототипов Siemens CC75. Во-первых, спешу порадовать всех замечательной новостью. Кроме прототипа ahsim'а нам удалось снять дампы с более нового Siemens CC75 владельцем которого является Den K и ещё два своих прототипа сдампил коллекционер Дмитрий Лысенко, за что ему огромное спасибо! По итогу у нас получилось четыре FULL 32 MiB дампа образов флешек разных прототипов Siemens CC75 для дальнейших исследований!

Прикрепленное изображение

Дампы Siemens CC75 от ahsim'а, Den K и Дмитрия Лысенко

1. IROM'ы

Для тех кто не в курсе мотороловской кухни, объясняю что IROM это внутренняя память самого SoC процессора, которая находится с ним на одном кристалле как и быстрая оперативная память IRAM. Тогда как RAM и ROM (Flash ROM) являются внешними по отношению к Neptune LTE и находятся на другой или других отдельных микросхемах. IROM является неперезаписываемым и намертво запекается в кремниевый кристалл процессора на фабе завода-изготовителя Freescale.

Через чтение области памяти 0x00000000...0x00400000 с "перехлёстом" был вычислен размер IROM, он оказался 1792 KiB (1.75 MiB), что полностью совпадает с размером IROM'ов на других Neptune LTE телефонах, таких как E398, RAZR V3, C650 и прочих. Побайтовое сравнение и чексуммы полностью идентичны во всех слитых IROM'ах, IROM'ы от Siemens CC75 полностью совпадают с IROM'ами от E398, RAZR V3, C650 байт-в-байт. Это значит что никакой разницы между IROM'ами NS Flash Neptune LTE (non-secure version) и S Flash Neptune LTE (secured RSA version) нет и инженерность SoC определяется лишь битами в его серийном UUID номере.

Одинаковый IROM у Siemens CC75 с E398, RAZR V3, C650 рождает парадокс. Почему же телефоны Motorola в Blank-режиме адекватно отвечают на команды Motorola Flash Protocol, а Siemens CC75 отвечает зануленным содержимым? На эту загадку до сих пор нет ответа, возможно как-то проверяется серийный номер UUID проца и в случае NS вырезаются/зануляются байты в ответе. Вот только зачем.

2. Full 32 MB Flash ROM dumps!

Итак, самое интересное и ценное в исследовании Siemens CC75 это их полные дампы Flash-микросхем от Spansion. Замечу, что как и все P2K-телефоны Motorola этот Siemens CC75 тоже использует порядок байт Big-Endian в прошивке и бутах.

2.1. 0x10000000-0x10007FFF, FBL, Bootloader

Как и у телефонов Motorola, в самом начале дампа Siemens CC75 идёт вторичный бут Flash Boot Loader версии 07.53 в котором имеется строка "© Copyright Motorola 2002". Бут очень старый, похоже что использовался ещё в телефонах линейки TRIPLETS: Motorola V300, V400, V500, V600 и др. Возможно что именно этот бут от условного V600 входил в пресловутую платформу Motorola/Freescale i.250, на это намекает в его самом конце такая строка как "Motorola (I250-000)", всё остальное здесь стандартно и совпадает с бутами от Motorola.

Прикрепленное изображение

Строка "Motorola (I250-000)" в буте Siemens CC75

Буты в дампах ahsim и Den K одинаковые, буты в дампах Дмитрия Лысенко тоже одинаковые, но при этом между собой эти два разных набора бутов не совпадают. Версия при этом у них одна и та же, 07.53, но адрес точки входа в бут в случае обоих прототипов Дмитрия Лысенко другой: 0x10002B78 вместо 0x10002BC0, это может говорить о том, что в бут инженеры Elcoteq/Siemens могли внести изменения и перекомпилировать его для каких-то своих нужд, не меняя версию.

2.2. 0x10008000-0x1000FFFF, CG5, hwcfg

Здесь хранятся настройки инициализации различного железа на плате, которые используются бутом и прошивкой телефона. Во всех четырёх дампах hwcfg полностью одинаковый.

2.3. 0x10010000-0x1001FFFF, CG6, PDS

Кодовая группа, где хранятся калибровки дисплея, клавиатуры, сети, батареи, bluetooth, SIM-Lock, история прошивок и другая самая разная информация. Во всех четырёх дампах версия PDS_2006, как в древних телефонах платформы TRIPLETS. Вторая копия PDS по адресу 0x10018000 не используется и полностью пуста (кроме заголовка) на всех телефонах. В прототипе Den K упоминается более ранняя прошивка M2_ADE-G_C_13.3.0_R_0B.08.62, тогда как на телефоне у него самого стоит M2_ADE-G_C_13.7.0_R_0B.08.62, это намёк на то что его прототип прошивался. Забавно, что упомянутая старая версия прошивки в прототипе Den K оказалась на прототипах Siemens CC75 коллекционера Дмитрия Лысенко. Больше ничего интересного в PDS найдено не было.

2.4. 0x10020000-0x1003FFFF, PANICS, Panics Data

Пустая кодовая группа во всех дампах, видимо функциональность сбора паник отключена. Прототипы Siemens CC75 не умеют писать паники, либо пишут их в другое место, например, в файловую систему.

2.5. 0x10040000-0x1007FFFF, CG3, DSP Firmware, DSP Patches

Прошивка DSP-ядра процессора Neptune LTE, которая загружается в него при включении телефона. Несмотря на то, что в P2K Info всех 4-ых дампов Siemens CC75 её версия 62E1E0, побайтовое сравнение выявило различия между самым новым прототипом Den K и остальными. Неизвестно с чем связаны эти различия при неизменности версии. Снова простая перекомпиляция DSP Firmware без изменения версии?

2.6. 0x10080000-0x100800C3, CG0, Memory Map

Карта памяти прошивки даёт следующие результаты по списку кодовых групп во Flash-памяти:

Код
CG0:  0x10080000-0x1008FFFF
CG1:  0x100A0000-0x110FFFFF
CG2:  -
CG3:  0x10040000-0x1007FFFF
CG4:  -
CG5:  0x10008000-0x1000FFFF
CG6:  0x10010000-0x1001FFFF
CG7:  -
CG8:  -
CG9:  -
CG10: -
CG11: -
CG12: -
CG13: -
CG14: -
CG15: -
CG16: -
CG17: -
CG18: 0x11FE0000-0x11FE07FF
CG19: -
CG20: 0x11300000-0x1131FFFF

Как и в случае с кодовой группой CG3/DSP, у прототипа Den K имеются некоторые различия в карте памяти прошивки, видно что инженеры меняли размеры и адресацию кодовых групп:

Код
CG0:  0x10080000-0x1009FFFF
CG1:  0x100A0000-0x111FFFFF
CG20: 0x11200000-0x1121FFFF

Увеличен размер CG0, увеличен размер CG1, CG20 передвинута несколько выше. Ещё я заметил, что CG0 расширена в сравнении с телефонами Motorola, где она является просто небольшой картой памяти размера 0xC4 байт и дальше следует код CG1, тут же добавлен какой-то другой код.

2.7. 0x100800C4-0x1008FFFF, CG0, Flashstrap?

Начиная с 0x100800C4 размещается неизвестная Thumb-функция, назначение которой не совсем ясно (прыжок в CG1 скорее всего идёт отсюда). Непонятно зачем и с какой целью для этой функции нужно было откусывать такой большой объём Flash-памяти, да ещё и увеличивать его размер в более новых прототипах. За исключением этой функции размером ~200 байт блок кодовой группы дальше полностью пустой.

Предположительно это некий "Flashstrap", если разобрать эту функцию в IDA Pro, то видны обращения в периферию по адресам 0x24849005 и 0x24849000 и далее JMP-прыжок по адресу в R0, скорее всего на начало кода в CG1.

2.8. 0x100A0000-0x110FFFFF, CG1, Program, Software

Собственно самая крупная и главная кодовая группа в прошивке телефона Siemens CC75 и его моторольских родственников, где находится весь скомпилированный код прошивки, который изобилует кучей Motorola'измов и Siemens'измов. Большинство мотороловских черт вроде функции pu_main и версионирования тут сохранено. Кстати о версиях, в четырёх снятых нами дампах версии прошивок следующие:

Код
Mars SW v1.00 ----- ----- M2_ADE-G_C_12.14.0_R_0B.08.62 ahsim
Mars SW v2.00 v2.00 v3.20 M2_ADE-G_C_13.3.0_R_0B.08.62  Dmitry Lysenko
Mars SW v2.00 v2.00 v3.20 M2_ADE-G_C_13.3.0_R_0B.08.62  Dmitry Lysenko
Mars SW v2.00 v3.00 v4.10 M2_ADE-G_C_13.7.0_R_0B.08.62  Den K

Как видно из таблицы выше, прототип Den K как и предполагалось, оказался самым поздним, а прототип ahsim пока является самым ранним. Предположительное объяснение всех этих версий на примере прототипа Siemens CC75 владельцем которого является Den K:

v2.00, Mars SW -- общая базовая версия части прошивки Siemens.
v3.00 -- версия прошивки, которая отображается в меню телефона.
v4.10 -- неизвестно, возможно версия оболочки или наполнения файловой системы.
13.7.0 -- общая базовая версия части прошивки Motorola/Freescale.
0B.08.62 -- неизвестно, возможно версия той части GSM-стека, которая крутится на MCU/ARM.

Рядом со странным версионированием от Motorola и Freescale встречается так же некое название Freescale M2, возможно что это синоним названия платформы Motorola/Freescale i.250-021 и последнее кстати встречается в этих дампах в написании 250-012, что скорее всего опечатка.

Более подробно основной код прошивки Siemens CC75 будет изучаться несколько позднее.

2.9. 0x11300000-0x1131FFFF, CG20, Redbend FoTA

Неизвестная кодовая группа, которая не встречается в телефонах Motorola на Neptune LTE. Содержит скомпилированный код. В заголовке идёт адрес в начало IRAM+1 (Thumb?), возможно CG20 копируется туда? Может быть что это какой-то загрузчик с протоколами Siemens, позволяющий обновлять прошивку? В коде этой кодовой группы очень часты обращения к периферийным адресам, а ещё встречаются строки вида "Starting update", "current app is corrupt or mismatch delta base version", "Error, sector size is not power of 2", "Redbend - Init start version". Может быть это какой-то модуль FoTA?

Прикрепленное изображение

Siemens использовал наработки компании Red Bend по технологии FoTA в своих мобильных телефонах

Гугление по фразе Red Bend Siemens действительно подтвердило мою догадку. Интересно, можно ли извлечь из этого FoTA-модуля что-то полезное, например, функцию инициализации параметров флешки Spansion и поблочного стирания и записи?

2.10. 0x11380000-0x11FDFFFF, CG2, Flex, File System & SEEMs

Файловая система лежит по адресу 0x11380000 как и на большинстве TRIPLETS'ов по типу Motorola V600. Она немного похожа на Intel FHS используемый в телефонах Motorola, но похоже что magic'и блоков перебиты разработчиками Siemens/Elcoteq на некий Kent:

Прикрепленное изображение

Пример начала блока файловой системы в Siemens CC75 с "Kent" magic'ом

Внутри этой кодовой группы находятся все файлы телефона и SEEMs (настройки). Увы, но образы CG2 от Siemens CC75 не открываются ни во FlexParser04, ни в deflex, программах для разбора CG2 в телефонах Motorola. Кстати, блоки в этой кодовой группе тоже разделены по 0x20000.

Забавно, что во флексе и в PDS у Siemens CC75 нашлась версия флекса "GI9V600000AA081" от V600, что ещё раз сближает эту платформу Freescale M2, Motorola i.250-021 с телефонами линейки TRIPLETS, а именно Motorola V600.

2.11. 0x11FE0000-0x11FE07FF, CG18, SW Signature

В обычных телефонах Motorola в этом блоке содержится RSA-подпись прошивки CG1, но на прототипах Siemens CC75 этот блок пустует, хотя размечен в CG0. Значит ли это что если бы Siemens CC75 вышел в продажу, то его прошивка была бы защищена RSA, как у обычных телефонов Motorola? Этого мы уже никогда не узнаем.

3. Файловая система

Внутри файловой системы телефона, которая сливается программой P2K Tools VS имеются как привычные файлы для Motorola, так и для Siemens. Есть все основания полагать, что стандартные мотороловские директории перемаплены следующим образом:

Код
sys/ => /a/mobile/settings
img/ => /a/mobile/picture/*.bmp/*.jpg
anim/ => /a/mobile/picture/*.gif
audio/ => /a/mobile/audio

Контентное наполнение телефона отличается среди прототипов. В старых используются изображения из стоков Motorola и рингтоны Elcoteq, а вот в более новом протике Den K используются рингтоны и изображения Siemens.

Прикрепленное изображение Прикрепленное изображение

Изображения в разных прототипах Siemens CC75: стоки Motorola/Freescale и Siemens

В директории /a/mobile/settings/ собраны все инородные для телефонов Motorola файлы меню и настроек. Вот только и для обычной Siemens-кухни x65 и x75 серий они тоже инородны. По итогу Siemens CC75 имеет уникальную прошивку, поэтому его инженерам-разработчикам многое нужно было переписывать с нуля.

4. Попытка эмуляции Siemens CC75 в SimTech MOOSE

Мы с fkcoder'ом в Telegram-чате MotoFan.Ru целых три часа пытались завести дампы Siemens CC75 в утёкшем эмуляторе SimTech MOOSE, но пока без какого-либо существенного результата. Мы нашли функцию pu_main, но дальше выполнение падает на 0x1032FA46, и падает оно очень неприятным образом, эмулятор перестаёт реагировать на branch'и при исполнении кода. Неизвестно пока куда двигаться дальше. Список функций-патчей и break'ов для дальнейших попыток:

Код
arm br 100AB70E
#arm br 100AC604
arm br 100AB718
arm br 100AB71C
arm br 100AB720
arm br 100AB724
arm br 100AB728
#arm wh 0x1032FA46 4600
#arm wh 0x1032FA48 4600
arm wh 0x1032FA4A 4600
arm wh 0x1032FA4C 4600
arm br 1032FA4A
arm br 1032FA50
arm br 1032FA54
arm br 1032FA5A
arm br 1032FA5E
arm br 1032FA62
arm br 1032FA68
arm br 1032FA6C

Возможно в будущем при попытках эмуляции LG G252, LG S3500 нам удасться решить и проблему с Siemens CC75 и довести его хотя бы до стартового экрана.

Прикрепленное изображение

Запущенный bootloader 07.53 от Siemens CC75 в эмуляторе SimTech MOOSE на профиле V600

А вот бут Siemens CC75 на профиле Motorola V600 как и ожидалось в эмуляции запустился нормально и даже показал версию прошивки. Но это мало что даёт.

5. Рассуждения о Blank/Flash режимах

До сих пор непонятно как зайти во Flash-режим на Siemens CC75. Я продизасмил прошивку СС75 и нашёл сочетание кнопок клавиатуры при которой прошивка запускает Bootloader, это 0xFD3D, на телефонах Motorola такое сочетание генерируют зажатые кнопки * и #, но на Siemens CC75 это увы не работает.

Мы с ahsim'ом нашли способ зайти в бут его прототипа CC75 через P2K-режим, вот как он его описывает:

Цитата(ahsim)
Телефон подключен к кабелю, жму в P2K Tools перейти во Flash-режим, но он не переходит. Далее долго жму красную кнопку, подтверждаю выключение - белый экран постоянно светится - в диспетчере определяется как Motorola Flash Interface.

Но это не всегда срабатывает, иногда телефон просто пишет какие-то странные цифры в углу экрана:

Прикрепленное изображение

Неизвестный цифровой код в левом углу экрана вместо перехода в бут, фотография ahsim

А ещё этот способ, к сожалению, не работает на прототипе Den K, в его случае при нажатии кнопки "перейти во Flash-режим" в P2K Tools VS телефон просто гасит экран, но никуда не переключается. Самое интересное, что Siemens CC75 в режиме NS Flash Neptune LTE нормально отвечает на команды Motorola Flash Protocol, в отличие от режима NS Blank Neptune LTE где ответы отправляются пустые/зануленными. Кстати, USB_VID и USB_PID в режиме NS Flash Neptune LTE совпадают с теми, которые используют телефоны Motorola: VID_22B8, PID_4903.

Вообще в телефонах Motorola во Flash Interface (бутлоадер, режим S Flash Neptune LTE) можно войти тремя известными способами:

1. С помощью P2K-режима на включенном телефоне, что мы и протестировали ahsim'ом. Способ бесполезен если телефон программный труп или в бутлупе.
2. Зажатие определённых кнопок, которые дадут комбинацию 0xFD3D на определённом адресе. Это зажатые * и # кнопки на Motorola. В бутлоадере Siemens CC75 тоже захардкожено это же значение. Вот только до сих пор неизвестно, генерирует ли его какое-либо сочетание кнопок на CC75 и может ли вообще оно генерировать подобное.
3. Замыкание пинов 4 и 5 (13 и 14) на мотороловском CeBUS разъёме. По схеме это замыкание шаров Neptune LTE с обозначениями OPT1 и OPT2 между собой. Неизвестно, прокинуто ли это куда-то в разъём Slim-Lumber, и выведено вообще хотя бы на плату? Den K попытался найти эти OPT-точки, но пока не смог.

Прикрепленное изображение

Siemens CC75 в режиме бута в программе RSD Lite, фотография ahsim

В любом случае, даже если мы найдём 100% способ заходить в бут на телефонах Siemens CC75, мы всё равно не сможем ничего записать в него из-за отсутствия RAMDLD'ов. Когда ahsim смог отправить свой Siemens CC75 в привычный моторольский бут, мы сразу же протестировали несколько RAMDLD'ов:
  • RAMDLD, которым снимают и пишут 16 MiB и 32 MiB дампы на телефонах Motorola
  • RAMDLD от E398
  • RAMDLD от V600
  • RAMDLD от LG G252
  • RAMDLD от LG S3500
Увы, все они виснут после команды JUMP, вероятно из-за того что не могут проинициализировать Flash-память Spansion, поскольку в большинстве случаев в телефонах Motorola (и наверное LG) использовались флешки от ST и Intel, совместимые между собой.

Так что пока для решения проблемы залития слитых дампов обратно в прототипы Siemens CC75 я вижу только методы:

1. Искать другие телефоны на платформе Motorola/Freescale i.250 и похожих, кроме Siemens CC75, LG G252, LG S3500 могут быть ещё какие-то телефоны. И если в них юзается флешка Spansion, то RAMDLD'ы от их прошивок подойдут и для CC75!
2. Спросить сотрудника Elcoteq, который участвовал в разработке Siemens CC75, возможно какие-то файлики у него остались или прошивки, которыми они шили прототипы.
3. Пробовать сделать подходящий RAMDLD самому, раскопав инициализацию флешки Spansion и команды стирания и записи блоков по даташитам и мануалам. Скорее всего это довольно сложная задача.

К этому сообщению я прикрепляю архив с четырьмя известными на сегодня дампами Siemens CC75 и всем сопутствующим контентом.

Прикреплённые файлы:
Прикрепленный файл CC75_Kitchen_31-Oct-2024.zip   ( 58.85 мегабайт ) Кол-во скачиваний: 15
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
Siemens CC75, внебрачный сын Motorola?!, Исследование прототипа Siemens MARS, Mosel · О компании Motorola · Forum
 

2 страниц V  1 2 >
Ответ в темуСоздание новой темы
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0

 



Текстовая версия Сейчас: 5.12.2024, 12:49

Форум живёт: