Ковырнём Прошивку ..., Hex Workshop 4.0, Hiew etc... Поделиться Опции

[Kozdik]

ARM , мож он там и есть, но скажите мне, что такое тогда "Neptun"? Это тоже встречается в доках по моторолам с3хх. Мое мнение: внутри большого чипа может присуствовать arm7tdmi-s. Но как и в РС проц не работает без чипсета ( в современных как минимум) так, и здесь. Моторола собрала память, доп. обслуживающие чипы и проц все в одном кристалле. И фиг так просто разобраться как оно там устроенно - память, прерывания и т.п. для "нашего мифического" проца ARM.
Вот все это наличие в одном кристалле может и называться тогда "Neptun". Но где доки по этой инфе найдешь? Опять же методом "научного тыка"?

Кстати, он RISC, а это клево!

[S@V]

Kozdik
Возможно ты и прав, но это мало что меняет... Зачем вникать во все тонкости? Все вычисления всё равно производит процессор arm7tdmi-s, а чипсет только обеспечивает его нормальное функционирование, а также связь со всеми устройствами внутри телефона. Память же располагать на кристалле процессора слишком дорогое удовольствие, она находится рядом с процессором (на схеме - справа) отдельно RAM, отдельно ROM.

Кстати о памяти:
RAM и ROM соединены с процом одной шиной адреса и данных, т.е. скорее всего для процессора это единое адресное пространство.
ROM (она же флешка): микросхема 28F640W18, ёмкость 64Мбит(т.е. 8Мбайт), время доступа 70,85н.с. и т.д. (можно посмотреть тут)
RAM: статическое ОЗУ сверхмалого энергопотребления с малым напряжением питания, микросхема K6F8016U6A, 512Kx16(т.е. 8Мб!!!) описание нашёл тут
Всего получается 16Мб.
Исходя из этого можно предположить, что во флеше хранится только прошивка, а в RAM заливается флекс, настройки телефона, пользовательские данные и т.д. В RAMе используется страничная адресация.
Вот вам и место для явы!!!

[Vilko]

Флекс, настройки и ява определенно хранятся в ROM, судя по тому, сколько энергии сжирает простая закачка файлов в телефон.

[Vilko]

S@V

Во первых так написано в доке:
"The logical and physical RAM is actually the same thing, and the data is stored in the same RAM chips. However, whereas physical RAM occupies a contiguous area from address 32M to 32M+(memory size)-1, logical RAM may be scattered anywhere in the bottom 32M bytes.

а что это за дока? дока на какое устройство?

[S@V]

Vilko
Совсем необязательно. Нахрена тогда там столько ОП? Я почти на 100% уверен, что в с450 используется та же конфигурация. В любом случае определить что где находится можно либо получив полный дамп памяти, либо из телефона на некоторое время достать батарею, а затем посмотреть что осталось. Содержимое RAM сотрётся...
Насчёт p2kmem: ты выяснил почему он пишет ошибку?
А цитату я взял из ф-ла ch-2.pdf описания проца (arm.rar), которое ты выкладывал.

[Vilko]

либо из телефона на некоторое время достать батарею, а затем посмотреть что осталось. Содержимое RAM сотрётся...

настройки и файлы не стираются. :) значит - в ROM

p2k_mem выдает ошибку, когда читает несуществующую память. либо, возможно, память, заблокированную каким-либо процессом.

[Prusa]

Vilko
интересно считать мона,
а почему низя записать с помощью RadioComm (MEMACS) обратно в тело?

[S@V]

Оказывается не всё так круто...
Скачал pdf по RAMу, там написано, что ёмкость у него не 8Мбайт, а 8Мбит (1024 rows, 512x16 columns)... :(
Совсем ничего не понимаю...

[Vilko]

Prusa
видимо, потому, что просто так записать в Flash не получится... это читается он как обычная память, а для записи надо дать команду очистки блока и перезаписи его...

[S@V]

Vilko
Пора обновлять p2kmem!!!
Я при помощи RadioComma обнаружил читаемую область памяти с данными по адресу FFF93000h - FFFFFFFFh!
Интересно, что там?

[S@V]

Ещё прикол:
RadioComm читает данные с 00000000h по 00FFFFFFh!

[Vilko]

S@V
p2k-mem представлен в сырцах. именно для того, чтобы каждый мог прописать нужный ему диапазон памяти.
а насчет читаемых областей памяти - вся периферия проца доступна тоже через какие-либо участки памяти. так что ты можешь считывать просто данные какого то устройства.
то, что читает с 0 по 0FFFFFFh - у тебя наверно 450 или 550? все правильно, в нем 16Мб памяти...

[Prusa]

Vilko

а почему прога не может прочитать с адреса 00200000h а radiocomm - могет?
в радиокоме еще есть выбор устройства MCU DSP - что это
и какое устройство используется у тебя в проге?

[Vilko]

Prusa прога читает блоками по 2 Кб - максимальный размер блока за 1 раз. так выше скорость, а блоки меньшей протяженности прошивкой все равно быть не могут. соответсвтенно, если длина данных меньше - они прочитаны не будут.
если нужно читать блоки меньшего размера - выставь его в программе...
прога читает MCU устройство - "Main Control Unit"
DSP1 и DSP2 - это переферия - она нас не интересует(с точки зрения прошивки).

[S@V]

то, что читает с 0 по 0FFFFFFh - у тебя наверно 450 или 550? все правильно, в нем 16Мб памяти...

В том то всё и дело, что с350...

[Vilko]

S@V
тогда ты считал 2 копии одного и того-же. у меня тоже с 0 по 0FFFFFFh читается, но с 800000h начинается повтор.

[Vilko]

Ха. к вопросу о выдранных из скачанной прошивки гифах:
я уже писал, что вытащил из прошивки 2 одинаковые группы гифов по 219 файлов.
так вот - 2я группа - это LangPack :)
он, оказывается, и картинки тоже замещает, не только текст.
просто в русской и англицкой версиях графика одинаковая...

[PhantomSM-Tula]

супер!
нашли чем память занять

вопрос
в сообщениях есть быстрая вставка, где она хранится?
СИМки менял, flex прошивал, они остаются

[Vilko]

Выложил у себя выдранный из прошивки lang-pack: http://anton.tbg.ru/files/578980.lng
он не шифрован, но русский текст в нем в какой-то неизвестной кодировке.
желающие могут попробовать разобрать.

[][nt13]

Vilko
А чем ты пробовал расшифровать .lng файл?
Я пробовал WinHex' ом... кодировки менял.... *** чо вышло!!!!

[Vilko]

][nt13
Я ничем не пробовал... просто не увидел знакомой кодировки и отложил на потом...
Так что вышло?

[][nt13]

Vilko

В том то и дело, что ничего!!!!!
Я уже и через SourceEdit попробовал.... NOTHING ELSE TROUBLE!!!!!!!!

[SVK]

проц  - ARM7TDMI-S

А ты в этом уверен? :)
Ибо есть такая интерестная информация: ARM7
ARM7 is a family of low-power 32-bit RISC microprocessor cores. They can operate upto 130 MIP's and incorporate a Thumb 16-bit instruction set. The ARM& family consists of 4 members: ARM7TDMI, ARM7TDMI-S, ARM7EJ-S, and ARM720T. ARM7TDMI. ARM720T has 8 KByte unified cache, it is the only ARM7 processor with unified cache. ARM7EJ-S is the only ARM7 family member that utilises a DSP instruction set, and has a Java byte-code execution unit. Collectively this is known as Jazelle.
Оригинал

[Vilko]

SVK так в C350.rdf написано... да и в документации моторолы на Neptune процессор написано, что в нем ARM7TDMI

[MmX Ice]

У меня раньше был самсунг с100, так там всё прошивку дизасемблировал в IDA. Сейчас моторолка V300. Прошивку от PST в бинарник переделал, но ни чего понять не погу. Может кто подскажет, исполняется всё в ARM или TRUMB?
И ещё подскажите как MEMACC пользоваться?

[Vilko]

Понять не можешь скорее всего потому, что сама прошивка шифрована...
а для memacc сделана утилитка http://anton.tbg.ru/files/p2k_mem.zip
там достаточно только начальный/конечный адреса ввести, и если по ним что-то есть, оно будет считано в файл.

[Ectar]

MmX Ice
Супер, покулупайся мож что интересного найдешь, боя все хочу этим занятся да занят дико на работе и еле сайт успеваю доделывать...

[MmX Ice]

Понять не можешь скорее всего потому, что сама прошивка шифрована...

100% не зашифрована. Просто очень много времени уходит, чтобы определить где данные, а где код. (все части прошивки в Bin весят чуть больше 28 метров)

а для memacc сделана утилитка http://anton.tbg.ru/files/p2k_mem.zip
там достаточно только начальный/конечный адреса ввести, и если по ним что-то есть, оно будет считано в файл.

Пробовал ей пользоваться, но на любой вводимый диапазон адресов выдаётся Fail! (пытался прочитать с V150 и V300) Поэтому и хотел узнать как пользоваться MEMACC чтобы свою прогу сделать.

[Vilko]

Долго эта тема была мертва, и - наконец - свершилось!
После долгого копания в слитой прошивке мне удалось найти, а Rippy - переложить на интеловский код с мотороловского - процедуру расшифровки прошивок моторолы. :)
теперь можно заглянуть во все те прошивки, что раньше были наглухо зашифрованы.
увы, пока не удалось зашифровать их обратно - алгоритм шифрования несимметричный, а опознать его, дабы найти описание не получилось еще.

[Vilko]

расшифровать закрытую прошивку можно прогой http://anton.tbg.ru/files/FLASH_decr.EXE
алгоритм - похоже BowFish, над шифрованием обратно(для изменения прошивки) пока работаем...

[Vilko]

И опять я. :)
Теперь - с вестью о полной победе над мотороловскими зашифрованными прошивками.
алгоритм шифрования опознан - это Blowfish
программку для раскодирования и закодирования обратно выложу в ближайшем времени.
Любители поковырятся в прошивке, что-то там изменить - готовьтесь :)

[C001eR]

2Vilko да щас патчи наверное станут появлятся как на гнусмасах или семёнах ! :D Сможем открыть чё нить новое вроде запись видео,либо проигрывание mmf ? <_<

[Vilko]

итак: http://anton.tbg.ru/files/flash_crypt.zip - 2 утилитки. одна прошивку расшифровывает, вторая - зашифровывает обратно, для того, чтобы можно было залить изменения... :)

[Evy]

Добавлю, что прошивка должна быть бинарником, сконвертированным из *.shx, соответственно для заливки потребуется сконвертить бинарник обратно в *.shx

[Vilko]

Evy
Все правильно. над этим сейчас ведется работа в 2х направлениях:
1 - будет сделана прога, разбирающая и расшифровывающая сразу shx и собирающая его обратно
2 - будет сделана(практически готова) прога, заливающая в телефон именно бинарники. преимущество последней в том, что не надо заливать всю прошивку, а только 1 изменившийся бинарник.

Vilko BRavo! Bravissimo!

Теперь вопрос ну а как скорректированный мной и зашифрованный vilko_crypt бинарник мне превратить в shx или в vf2/vf3 для виктора?

[/B]2 Vilko[/b]

Появиться ли драйвер USB-drive для серии p2k? Обещал ведь ;-)

[Vilko]

Zergio
1 - читай выше
2 - usb - драйв появится. когда - не знаю, мне пока интереснее прошивкой заниматься, а писать прогу, которая меня сейчас не интересует - ничего хорошего не выйдет :)

Vilko

Логично! Про ковыряние:
У меня вопросики к тебе
1)
Есть ли в прошивке некие контрольные точки?
Т.е. разные контрольные суммы участков кода и данных, алгоритм стандарный crc16,crc32?

2)
Откуда брались ключи под Blowfish? Размер 128? 256? 448?

With respect to you
ZERGIO

[BeZ]

Vilko

2 - usb - драйв появится. когда - не знаю, мне пока интереснее прошивкой заниматься, а писать прогу, которая меня сейчас не интересует - ничего хорошего не выйдет

ИМХО, не нужно это

[Vilko]

Zergio
Контрольные точки - это что?
а контрольные суммы - есть у кодовых групп(тех бинарников, на которые shx разбивается) - их проверяет pst перед тем, как лить в телефон. а вот внутри самой прошивки... в коде 350 пока не нашел каких-либо проверок прошивкой самой себя. но это не значит на 100%, что этого там нет. просто я еще не все проверил.

а ключи были взяты(как и сам тип алгоритма) из скачанной программой p2kmem памяти телефона - сам же телефон данные расшифровывал... :)

PS: за обнаружение алгоритма шифрования - огромная благодарность Evy. Без него скорее всего ничего не получилось бы.