Ковырнём Прошивку ..., Hex Workshop 4.0, Hiew etc... Поделиться Опции

[Dms]

Unregistered поделись пожалуйста схемой на С350. Очень надо плиз.

Unregistered поделись пожалуйста схемой на С350. Очень надо плиз.

Схемы лично мне не жалко, да вот нельзя этого делать...
Одно могу сказать точно - шина данных разведена "один в один", а адресов - со смещением вверх на 1 адрес A1CPU -> A0Flash,... A23CPU -> A22Flash.
Лично мне кажется, что декрипт и расклад по "полочкам" во флэш всё-таки делает процессор под управление boot-loader.

Одно могу сказать точно - шина данных разведена "один в один", а адресов - со смещением вверх на 1 адрес A1CPU -> A0Flash,... A23CPU -> A22Flash.

RTFM то бишь учите мат часть и основы
Есть волшебный термин который объясняет такое дело - "СЛОВО"
Добавлено:

поделись пожалуйста схемой на С350. Очень надо плиз

В топике про прошивку что с главной страницы ссылка, есть ссылка на level3 для C33x
Там есть схема
IMHO тоже самое только с ЧБ индикатором
Да и подтверждение есть - заталкал там ктото прошивку от 350 в 33x и даже работает аппарат нормально (см. в томже топике)

ВОТ И ПОЧИНИЛИ!!! (o)

А ещё "прикол" хотите? - шина адресов от проца к память подключена со смещением на 1 - A1 CPU - to A0 Memory etc...

Смотрим... Конвертим... Блин, BEELINE диалап маздай! PDF'ок так много, качать - не перекачать. После утягивания Mandrake 9.1 за 4-ро суток (и это тока первого диска) что-то нехочется. Хорошо что люди добрые в схемах разбираются. (o)

така вот, по умолчанию активен device 0x3802, а 0x3801 недоступен, хоть тресни.
После запуска PST - все нормалек. Как он девайсы переключает???

Х.З. но предположительно через обращение к корневому устройству.

Одно могу сказать точно - шина данных разведена "один в один", а адресов - со смещением вверх на 1 адрес A1CPU -> A0Flash,... A23CPU -> A22Flash.
Лично мне кажется, что декрипт и расклад по "полочкам" во флэш всё-таки делает процессор под управление boot-loader.

Отлично! Пробую всёже этот вариант. А вот по поводу BootLoader'а - это не факт, т.к. BootLoader тоже кривой! Блин. Такойже как и все остальные файлы.

ye0

RTFM то бишь учите мат часть и основы
Есть волшебный термин который объясняет такое дело - "СЛОВО"

О.К. Просвятите pls., буду очень признателен. Я к сожалению не программист... (но с железом знаком неплохо).

ye0
Сорри за беспокойство, но мне кажется я понял, что ознаяает Ваше высказывание

Есть волшебный термин который объясняет такое дело - "СЛОВО"

- т.к. процессор 16-разрядный (по шине данных), то отпадает надобность адресоваться к каждому байту памяти - вот и отпала надобнось в использовании младшего адреса на шине проца... (догадка ламерская - ну не программёр я и всё тут! sos :D )

Одно могу сказать точно - шина данных разведена "один в один", а адресов - со смещением вверх на 1 адрес A1CPU -> A0Flash,... A23CPU -> A22Flash.

Стоп. А всего линейка шины адреса памяти и процессора сколь? Не A0-A31 случайно? Одинакова ли по количеству линий. Схемы под рукой нет.

Я почему спрашиваю: сливали V6x флеши программатором-то. Наблюдается целостность. А в нашем случае она наблюдаться будет в том случае, если A0CPU -> A[last]MEM, A1CPU -> A0, A2CPU -> A1MEM и т.д. Т.о. мы получаем инструкцию, подобную ROL и ROR процессора, тока для адресной шины. А это неплохо придуманная хитрость, т.к. програмными способами такое решение получить довольно-таки трудно.

Дайте полную картину разводки шины адреса. А я воплощу програмно.

ЗЫ: Подымался вопрос о секьюрности...
1. а) ЕСЛИ НЕ СЕКЬЮРНО. Насчёт шины данных - можно не играться.
б) ЕСЛИ СЕКЬЮРНО А если играться, то ключ должен быть динамический. Я думаю
2. а) ЕСЛИ НЕ СЕКЬЮРНО, то это действительно просто разводка линий адресного пространства.
б) ЕСЛИ СЕКЬЮРНО, то разводка линий адресного пространства как раз кстати.

Изходя из анализа вышесказанного вытекает логическое заключение: по поводу адресного пространства мы двигаемся в нужном направлении... (o)

Епрст

Шина данных у проца 16бит
Слово 8бит
Сигнал A0 просто не нужет так как данные с адреса где А0 == 0 идут по D0-D7
А для А0 == 1 идут по D8-D15

Флэш имеет слово в 16 бит потому для его внутренней адресации используется нога с именем А0

На последок загадка - если на вокзале вы отдали свою сумку в камеру хранения и получили номерок, и придя через день по томуже номерку получили свою же сумку, имеет ли значение где сумка лежала и как это место связанно с номерком?

Ответ прост: Чтобы CPU не делал он оперирует с данными и адресами которые так сказать держит в мозгу, и нихрена не важно как распаянна шина данных и шина адреса - ведь только сам CPU может положить и прочитать данные в чипы памяти.
Знать как реально распаянна шина данных и адреса важно только если вы отпаяли флэш и считали на программаторе данные. Тогда возможно необходимо провести перестановки бит - если шина данных не один в один, и байт целиком - если шина адреса кривая

С современными технологиями проще припаять JTAG к плате телефона и выкачать прошивку как ее видет CPU без мучений с определениями правильности\кривизны ШД\ША
И именна по этому 99.9% что данные во флэше в нормальном не шифрованном виде
А дешифровку(?) производит приемный код в телефоне
Хотя не исключена вероятность что прошивка нифиге не шифрованая. Но файл прошивки есть перечень инструкций и данных для приемного кода на телефоне выполная которые прошивается конкретно данных флэш чип

И исходя из выше написаного - прогресса в движение нет
Всем учить мат часть
Или хотябы головой думать
На худой конец рисуйте и моделируйте процессы - хоть на кубиках

Знать как реально распаянна шина данных и адреса важно только если вы отпаяли флэш и считали на программаторе данные. Тогда возможно необходимо провести перестановки бит - если шина данных не один в один, и байт целиком - если шина адреса кривая

А я про что и говорю. V6x прошивки были слиты программатором. Я про это подробно писал на пред. страницах.

Шина данных у проца 16бит
Слово 8бит

Вот это новость . 8bits=1byte(BYTE), 16bits=2bytes(WORD), 32bits=4bytes(DWORD).
Так что СЛОВО=16бит или 2байта. ;)

Сигнал A0 просто не нужет так как данные с адреса где А0 == 0 идут по D0-D7
А для А0 == 1 идут по D8-D15

Ещё одна новость . С каких это пор A0 отвечает за Axx??? zootag;

ИТАК: if A0-A15=0 then ADDR=0000h (if 16bit)
if A0=1, A1-A15=0 then ADDR=0001h
if A0=0, A1=1, A1-A15=0 then ADDR=0002h
if A0=1, A1=1, A1-A15=0 then ADDR=0003h и т.д.

или вот нагляднее: слева направо А15-A0 соответственно (А15, А14, .. , А0)

00000000 00000000 = 0
00000000 00000001 = 1
00000000 00000010 = 2
00000000 00000011 = 3
....
00000000 11111111 = 255 (или FFh)
00000001 00000000 = 256 (или 100h)
....
11111111 11111111 = 65535 (или FFFFh)

RTFM то бишь учите мат часть и основы

:D

ARM7TDMITM (Thumb®)Datasheet

Data Types
ARM7TDMI supports byte (8-bit), halfword (16-bit) and
word (32-bit) data types. Words must be aligned to fourbyte
boundaries and half words to two-byte boundaries.

Трудно сказать, что такое СЛОВО 8)

Теперь про адресную шину.
К примеру, процессор делает выборку инструкций и выставляет на своих адресных шинах адреса 0,1,2,3 а считывает из ПЗУ с адресов 0,4,8,B (ну развели так плату по каким-то причинам и поменяли местами А0,А1 с А2,А3), ну так и пофигу! Самое главное, что процессор получит свою инструкцию и обработает так как и полагается. Другое дело, что для этого ПЗУшку придется прошивать таким же перемешанным кодом, что не есть хорошо для человека.

[Sep.]

вы не можете пока конкретно сказать что течет по кабелю, но может попытаться глянуть зашифрован файл прошивки или нет - если сравнить две одинаковые прошивки с разными языками? Здесь очень много разных прошивок и для виктора и для ПСТ : http://www.spunlock.biz/moto/motos.html Может вам чем нибудь поможет.
PS А кстати сам файл прошивки для ПСТ для v66 зашифрован?

[Sep.]

А и еще - вот встречал на форуме http://gsmzone.com.ua не помню в каком топике такую тему: Народ, чтоб востресить убитый мотор прошивал флеш в сименсе, а потом выпаивал его и ставил обратно в мотор или что то в этом духе. Это для тех труб в которые eep был галимо залит и они даже через *#вкл не шились. Идея вообще интересная конечно =) особенно после того, что в моторе шина на флеш сдвинута...

вы не можете пока конкретно сказать что течет по кабелю, но может попытаться глянуть зашифрован файл прошивки или нет - если сравнить две одинаковые прошивки с разными языками? Здесь очень много разных прошивок и для виктора и для ПСТ : http://www.spunlock.biz/moto/motos.html Может вам чем нибудь поможет.
PS А кстати сам файл прошивки для ПСТ для v66 зашифрован?

zootag; Читай на предыдущих страницах. Там есть все. НАЧИНАЯ ОТ PST, Kernel32.dll, USB Sniffer, P2K.SYS и ЗАКАНЧИВАЯ ЖЕЛЕЗОМ.

Data Types
ARM7TDMI supports byte (8-bit), halfword (16-bit) and
word (32-bit) data types. Words must be aligned to fourbyte
boundaries and half words to two-byte boundaries.

Дело темное
Но я понимал под словом минимальный размер данных который можно адрисовать и прочитать\записать

К примеру ADSP21xx имеет слово 16бит - и там как не крути но менее 16 бит по шине не прочитать и соответственно в ячейку с адресом 0 модно записать от 0x0000 до 0xFFFF и ячейка по адресу 1 не измениться

То что АРМу приписали такую бадагу несколько не понятно, хотя если вспомнить что они развивались чуть ли не со времен до x86 то для них вполне может устоялась такая странная терминология - может они под словом понимают максимальный размер данных хранимый в регистре
Добавлено:
Порылся по ману на АРМ, похоже что слово для них размер инструкции для проца а она у них всегда 32 бита (16бит для Thumb)

to Lord-3X
То что ты написал, какбы тебя не обидить, показывает что у тебя малость каша в голове
Учи мат часть


Для ожидающих пример
Разряды ША считаются с нуля с права на лево
Крестом обозначены не имеющие смысла разряды ША
Для тех кто не понял это про ЖЕЛЕЗО

Для проца с шиной данных (ШД) в 8 бит
ША______ШД
_________[0-7]
00000000 ячейка памяти с адресом 0
00000001 ячейка пямяти с адресом 1

Для проца с шиной данных (ШД) в 16 бит
ША______ШД
_________[0-7]___________[8-15]
0000000x я\п с адресом 0 я\п с адресом 1
0000001x я\п с адресом 2 я\п с адресом 2

Для проца с шиной данных (ШД) в 32 бит
ША______ШД
_________[0-7]_________|[8-15]________|[16-23]______|[24-31]
000000xx|я\п с адресом 0|я\п с адресом 1|я\п с адресом 2|я\п с адресом 3
000001xx|я\п с адресом 4|я\п с адресом 5|я\п с адресом 6|я\п с адресом 7

И так - 8 битный проц читает из памяти один байт за такт как ни крути

16 битный читает за такт два байта
Если ему надо прочитать слово он его читает за один такт ТОЛЬКО если его адрес выравнен Иначе ему придется тратить два такта для того что прочитать слово

Пример такой дурости
Надо прочитать слово по адресу 0x3 (то есть нам нужен байт с A1 и байт с A2)

Такт 1
ША__|ШД
_____|[0-7]_________________________[8-15]
001x |адрес 0x2 - игнорирует этот байт|адрес 0x3 читает первый байт слова

Такт 2
ША__|ШД
____|[0-7]______________________|[8-15]
010x|адрес 0x4 - читает второй байт|адрес 0x5 - игнорирует этот байт

До кучи во всех процах от 16 бит есть доп выводы которые показывают какой байт с ШД проц сейчас будет читать. На основание таких сигналов строят декодеры битов А0, А1(для 32битных процов)
В ARM такие сигналы есть /EB0 /EB1 (Enable Byte 0 для D0-D7, Enable Byte 1 для D8-D15)
Для других по другому
Может быть просто /BH /BL (Byte High для D8-D15, Byte Low для В0-В7)
i486 имел четыре таких вывода ибо там ШД 32 бита и там небыло выводов для двух младших разрядов - ША начиналась с A2

hi
всё, блин, наконец-то немного освободился.

от этого:
http://www.motorola.com/PCS/Services/servman.htm

пассвордов нету?

И так - 8 битный проц читает из памяти один байт за такт как ни крути

Несколько не согласен в формулировке. Каждая команда микропроцессора выполняется за определенное количество машинных циклов. Машинный цикл состоит из определенного количества тактов частоты. Например, 8051 - имеются инструкции, выполняющиеся за 1, 2, 4 машинных цикла. Но это так, уж слишком глубоко полезли 8)

Демагогию разводите Mr.Evy
Читает байт тобиш пересылает из памяти в проц все равно за один такт, если тактов задержки нет

согласен, демагогию. Я нисколько не оспариваю ваше утверждение. Так, на мой взгляд несущественная поправочка. Z80 - чтение команды из памяти - машинный цикл 4 такта, два на чтение данных из памяти, 2 на выполнение команды (регенирацию динамической памяти).

Я Вам граждане советовал бы делом заняться... А то вам тут только тотализатор устроить осталось.
100 к 1 что ваши посты ни на йоту не помогли :)))

REDCODE
Reference Manual na i.MXL

чё делать бум?

100 к 1 что ваши посты ни на йоту не помогли ))

Помогли
Вон специалисты стразу перестали постить идеи и результаты перстановок битиков в прошивке и прочей херомантие :D

Encryption by RSA Security. Это такие дяди которые занимаются безопасностью банков считаються самой крутой фирмой по этому вопросу. У них самые сильные алгоритмы по шифрованию(хе, по дешефровке похоже тоже). Ваша идея супер.Да помогут вам все хорошие люди. Если всё таки крипт RSA то держитесь за стулья вы можете декрипт делать до модели Motorola c9999iiiiiiii .УДАЧИ!!!!

Вон специалисты стразу перестали постить идеи и результаты перстановок битиков в прошивке и прочей херомантие

Ребята-аа!!! zootag;

Я говорил о BYTE, WORD, DWORD опираясь на INTEL архитектуру, програмист я, хаком иногда занимаюсь, хлеб это мой. А о шине адреса опираясь на ZX-Spectrum, я его сам паял, муз. сопроцессор приваривал, турбировал ВГ93, и пр. Пояю я усилки, БП, технику чиню и пр.

А об архитектуре современных машин я знаю не всё (в частности о способах разводки ША и ШД). Но меня беспокоит другой вопрос: зачем нужны тематические форумы? Ответ прост: они нужны для общения, чтоб можно было решать общие проблемы вместе. Думаете, если бы я всё знал, я бы открывал этот топик? Я делаю всё что от меня может зависеть, начиная от трассировки PST, p2k.sys, kernel32.dll и заканчивая ГИПОТЕЗАМИ, после которых я задаю вопросы вам: Кто что думает? А как вам такой вариант? и пр.

А сейчас такой значит будет расклад :o Надо было слово специалисты ещё и в кавычки поставить - так понятнее. Я вам господин ye0 рекомендую прочитать весь топик сначала, прежде чем оскорблять. Я ценю ваши знания, нам такие люди нужны, но мы ("специалисты") тоже кое-какую работу (и я думаю, что не малую) проделали здесь.

Процессор на схеме от С33х лево нарисован
От туда можно взять только часть пинов которые свои имена подтверждают проводами. К примеру там есть несколько TDI TDO и думаю много чего еще
Крайне интерестно посмотреть level3 от C350 все таки

По пути - на www.motorola.com/imx появился новый проц
С потдержкой Java
К чему бы это? ;)

А может написать прошивку заново? :)
http://www.kdsi.co.kr/datadir/c_board/510lib.doc

Ребята! Может кому нужна програмка делающая это: Converts firmware files in Motorola S-Record format to raw binary format or binary to S-Record.
Наз. SBS Convertor

ссылки http://www.sony-ericsson.ru/programm.php?i...dkey=32&idpr=55
и
(новая версия 2) http://www.cmd-files.has.it/

Господа! Вот тут мы Все ломаем копья про шины, процы и их организацию... Я тут подумал, что крипт прошивки лежит как бы на поверхности - все мы так или иначе пользуемся "ломаными" PST. А что есть "ломаная" PST - это просто напросто обойдённая защита, поставляемая WIBU-Key Systems! Насколько мне известно, небезизвестная программа для калибровки параметров "старых" Моторол под названием "Win-GATE22" напрямую завязана с программно-аппаратным ключом от WIBU-Key Systems, которая присутствует и в "правильных" PST!. Мало того, к ней(Win-GATE22) подключён ЗАКРИПТОВАННЫЙ Мастер-Флекс файл, с помощью которого можно, и это делается!!! - ФЛЕКСИРОВАТЬ аппараты! М.б. нужно искать в этом направлении? Конечно, можно использовать и JTAG, да вот только где взять конфигурацию для него?

Конечно, можно использовать и JTAG, да вот только где взять конфигурацию для него?

Наконец то всплыло это
Думаю что конфиг можно таки составить - всетаки номера пинов известны по схеме, для iMX BSDLи есть
Правда голым понтом взять не удастца и придется осцилограф пользовать

А что там конкретно на схеме?
Я имею ввиду прямо от разъёма до самой флешки? Какой путь проходят наши данные попадая во флеш из УСБ?

Какой путь проходят наши данные попадая во флеш из УСБ?

Между разъёмом и процессором находится интерфейсная микросхема, осущ. привязку к уровням. И всё - остальное я думаю делается внутри проца.

И всё - остальное я думаю делается внутри проца.

Нет не всё... <_<

Когда мы дружно ломали ПСТ, Кернел32.длл и П2К.сус, то я заметил, что в ланг-паке и в самой прошивке есть бинарник размером 80.896 байт (~79K). Это и есть BootLoader. Т.к. когда ПСТ пишет "Loading BootStrap Loader", то в буфере Kernel32.DeviceIoControl потом байтики из ентого бинарника, а когда пишет "Programming Code Group 4" - байтики из второго бинарника (наш родной lang0011). Самое интересное, что BootLoader такая же каша как и все остальные бинарники из флеша.

И вобще, откудова ПСТ узнаёт информацию о прошивке когда мы её открываем в ПСТ (что проц Neptune и т.д.)? Мож из имени файла? У меня нет маздая, а под Линукс ПСТ нету. Проверьте кто-нить, переименуйте в 1.shx и попробуйте открыть в ПСТ, интересен результат...
Учитывая вышесказанное: по-поводу программ типа USB Sniffer'a и пр. - недоверяю я им. Ловить поток данных аппаратно - значит ловить конкретно!!! Все эти СНИФЕРЫ садятся на API маздая, а Motorola Inc. и создатели PST решили всех опрокинуть и в обход АПИ написали код прямого обращения к контроллеру УСБ!!! Как вам такой вариант? Я так делал с LPT портом (прямо в Delphi 6 вставил ассемблерный код из книжки Роберта Журдена, который обращается к LPT посредством прерываний BIOS'a - работает на ура даже в 2000/ХаРе!!!). Вот вам и повод для раздумий. (o)

а ЕСТЬ у кого нить прошивка от VictorGSM, чтобы на нее глянуть?
Она тоже шифрована?

А разве ПСТ высвечивает версию прошивки? Что-то не помню... А если и светит, то в *.SHX есть заголовок, в котором и может быть прописана версия прошивки.

Да, кстати. Распаковывал SHX прогой, что написал Lord-3X. Получил 4 файла.
Потом перепрошивал телефон с помпощью ПСТ(Field Update), так ПСТ сам распакоавывает SHX и создает 6 файлов.

1. Файл проекта.
2. BootLoader.
3. CG0 - весит 200 байт, думаю инфорамционный файл (версия прошивки и т.д)
4. CG1 - не знаю, что это... :(
5. CG3 - начинается с 200 байт, которые прописаны в 3. Что это - тоже не знаю :(
6. CG4 - языковой пакет

Файлы 3-4 отличаются немного от тех, что получил прогой Lord-3X, но алгоритм кодирования тот-же.

Да, алгорит кодирования очень напоминает кодировани ГОСТ (простая замена). Об этом говорит кратность размеров файлов 64 битам, и одинаковое кодирование одинаковых последовательностей. Эти последовательности явно видны в файлах. Возможно, это кодированные поледовательности нулей.
Ручаться, что это ГОСТ не буду, т.к. это единственный алгоритм, реализацию которого я помню с лекций :)

[Dms]

а ЕСТЬ у кого нить прошивка от VictorGSM, чтобы на нее глянуть?
Она тоже шифрована?

http://www.spunlock.biz/moto/motos.html
Как я понял не просто криптованы, а использован какой то из алгоритмов сжатия (при сжатии RAR-ом размер файла получается больше оригинала), скорей всего если расжать то внутри (с вероятностью 99.99%) окажется тот же SHX.
P.S. Вопрос админу форума - когда начнет работать кнопка Quote(упарился делать копи-пасте), если она не работает то нафига она вообще есть, или может я чего то не знаю - может надо как то по другому нажимать эту кнопку.

Я тут подумал, что крипт прошивки лежит как бы на поверхности - все мы так или иначе пользуемся "ломаными" PST.

Не помню точно но здается что при шифровке не ксором а чемто с ключами устойчивых последовательностей быть в результате не должно, иначе ключ компрометируется.
А если глянуть бинари из shx то там полно одинаковых 8байтных последовательностей

И кстати если формат s-hex посмотреть то там предусмотрено указание адреса старта прошики
В нашем случае это получается что заливается код, стартует, заливается - стартует и так еще два раза

Добавлено:

и создатели PST решили всех опрокинуть и в обход АПИ написали код прямого обращения к контроллеру УСБ!!!

Ндасс
LMD

"Мы легких путей не ищем"

Перечитал и не увидел, вы USB снифферами пробовали виктора перехватывать или трассировать заливку? Тем более что виктор 3.2.3 существует в двух видах - от виктора и перелопаченный от spunlock. Некоторые флэши для т720 викторовские заливаются только перелопаченным виктором. Он лежит у spunlock'a на сайте. Может кстати у него самого и спросить насчет того как в викторе реализован залив прошивки...

[Dms]

Если перечитывал форум то должен быть заметить что он посвящен С350 и перехватывать "виктора" который не работает с данной моделью - проблематично, по крайней мере для тех людей у которых кроме С350 больше ни чего нет.
Все флеши от Т720 прекрасно шил в обычном викторе, в spunlockе лучше вообще ничего не шить - слишком перелопачен, кроме окна логер там наверно ничего больше не работает.
Скорей всего в викторе аналогичный PST процесс заливки, зачем что то придумывать когда уже все придумано, или ты думаешь он ездил по всему миру, скупал телефоны с разными прошивками, потом выпаивал-считывал и т.д., потом сидел и что то там писал - чушь.
У человека есть доступ на официальный сервер моторолы, накачал оттуда прошивки, мануалы и т.д.,
написал прогу(аналог PST но более понятную для обычного юзера) и впаривает теперь всяким лохам по 600$
Возможно я неправ, это проверить можно распаковав VFL-файлы.

Ну вы хлопцы даёте! Увидел чем занимаетесь - офигел. Дело это правильное. Буду следить за данной темой - может чем помогу. ;)

ZX- Spectrum forever !!!

Труба 37р. Хотелось бы понять что можно хорошего сделать с содержимом EEPROM, кроме как стереть. (в вин98 на MSS3.2.3 качнул у себя Full EEPROM). Получился файл размером 213662 байта. Явно кодированный, а не шифрованый. У старых моделек Моторол в ЕЕПРОМе хранилось куча полезного. Картинки, настройки, мелодии и т.д. Нужен совет "отцов"