Восстановление boot на i9003

[Jet]

Цитата:

Сообщение от haydeGen

я полный ноль в этом, но очень хочется узнать, так для справки, это как в Nokia затереть APE часть?..... наверно на мцрф скучно скучно профессионалам и они делятся знаниями с нубами

нет, это хуже, намного хуже. Аппарат получается полный труп, загрузчика нет, восстановить его через JTAG не представляется возможным. Все - финиш... как вариант, снимать флешу и на программаторе ее заливать, или ставить с рабочего аппарата пару, или возможно только флешку с живым бутом.

Nokia можно стереть полностью и при этом она будет шиться, ну RPL придется заказать если нет бекапа, но поднять можно в любом случае.
Тут же производитель нарочно убивает в телефоне аппаратный JTAG интерфейс, остается доступ только через FSBL, если его потереть, то на руках мертвое тело.

[Serg555]

Цитата:

Сообщение от Crew

Даташиты я изучал еще когда Вы под стол пешком ходили. Публичное обращение в теме к админу ведет к бану. Если охота выпендриться тем что узнали из google вчера, для этого есть ЛС.

Как админа Вас тут ни кто не оскорблял. Я вам посоветовал сделать тоже самое что и Вы мне , т.к. данным вопросом как я понял вы не владеете, а советы даёте...
По поводу моего хождения пешком под стол , то могу сказать одно - в то время как я ходил пешком под стол , Вы могли изучать даташиты только на какой-нибудь транзистор типа П307, т.к. о CPU тогда еще и слышать не слышали...
А по поводу - "что узнали из google вчера" - не люблю "понты" кидать , но раз пошла такая песня - то некоторые модели из программно убитых телефонов (затерты загрузчики) я восстановил ( как любят заявлять некоторые команды) - first in the world!

Цитата:

Сообщение от sJet

Сергей, абсолютно согласен на все 100%, что доказывает последний опыт общения с Desire HD. Новый телефон с коробки, кто то пытался зашить на русский, не удачно, аппарат труп. Проц виден, но дальше тишина. Убит FSBL, и пока что единственный вариант его воскрешения - это рабочая пара с другого аппарата, или хотя бы флешка.

Да , не очень хороший подарок сделала НТС в новых моделях , до MSM8X55 они этим не страдали.
P.S.
Если флэш нужна , то есть. Только менять её.... я бы не взялся
Я как глянул в даташите на "конструкцию" проца, паять его мне сразу расхотелось... Почти 1000 выводов с одной стороны и больше 300-т с другой шагом 0.4мм.

[Hustler82]

А в I9003 есть какой-либо програмный код jtag? Есть ли смысл ждать возможности восстановления данного ТА, или его впринципе невозможно восстановить, только замена флешь?

[7952822]

Прочитав всё вышенаписанное не смог не удержаться от комментария:

Конечно же, JTAG - самый низкоуровневый интерфейс программирования, и ниже его уже ничего нету. Но, и OMAP - это тоже не пару триггеров или инверторов. И чтобы понять как его зацепить к jtag'у нужен как минимум даташит, с системой команд, которым наверняка обладают разработчики. Поэтому вполне допускаю о наличии какой-нить тестовой ножки, которую принудительно нужно подтянуть к противоположной полярности, чтобы он открылся А может они и отжигают эту ножку, посмотрев в сторону iPhone.

PS: Всё это сугубо моё IMHO

[bambarmia]

Я уверен даташиты все мы читали, но не все их читали достаточно внимательно. Вот выдержка из даташита на MSM7200 (вся линейка MSM не особенно отличается одна от другой, поэтому и все что видим для 7200 99.999% тоже самое, разве что другие адреса регистров, для MSM82xx и других MSM чипов):

REG: 0x44 (абсолютный адрес - 0xB8000964) CONF_FUSE_1, Type: Read, Clock: Modem bus clock: The CONF_FUSE_1 register contains additional configuration fuses, as defined in the Efuse chapter of this document. (т.е. регистр CONF_FUSE_1 содержит дополнительные перемычки для конфигурации чипа):
Bits Name Description
0 MARM_ANY_MODE_DEBUG_DISABLE Disable access to the modem ARM debug TAP port for all modes.
1 MARM_PRIV_MODE_DEBUG_DISABLE Disable access to the modem ARM debug TAP port for privileged mode only.
......

Обратите внимание Бит0 - отключает доступ к отладке ядра АРМ модема (т.е. MSM чипа)

Дальше смотрим такой регистр:
REG: 0x4 (абсолютный адрес - 0xB8000904) OVERRIDE_1, Type: Read/Write(once), Clock: modem bus clock: This is a one-time-writable register used to override the fuse values when necessary. OVERRIDE_1 is used to override the final 8 tap_instruction disable fuses and the debug disable overrides. All writes following the first write access are ignored (т.е. по существу на русском: этот регистр используется для програмной отмены дейстия перемычек (FUSEs) таких как отключение 8 инструкций TAP контроллера а также для отмены действия перемычки "ARM JTAG disable"

Что это значит? Именно то о чем во многих постах выше ув. тов. Serg555 пытался донести: если пережечь соответствующую перемычку то весь "самый-пресамый низкоуровневый интерфейс" просто напросто перестанет отвечать на запросы отладчика. Если при этом производителю добавить в один из лоадеров инструкции которые пропишут соответствующие биты регистра OVERRIDE_1 то после того как данный лоадер будет исполнен, наш "хваленный низкоуровневый интерфейс" снова станет отвечать и реагировать на команты отладчика, т.е. JTAG устройства. Что собственно и наблюдаем в телефоне HTC Desire HD.

А то что касается непосредственно самого i9003 на OMAP3630 - то здесь хотя я и не углублялся в даташит на него, но с большой вероятностью предположу что там похожая ситуация. И никак это не относится к ревизиям плат.

[Serg555]

Цитата:

Сообщение от bambarmia

А то что касается непосредственно самого i9003 на OMAP3630 - то здесь хотя я и не углублялся в даташит на него, но с большой вероятностью предположу что там похожая ситуация. И никак это не относится к ревизиям плат.

Я тоже придерживаюсь такого же мнения...
А то что "убитые" платы первой ревизии цепляются к Jtag , а второй нет , то возможно платы 1-й ревизии это всего лишь протатипы и Jtag у них не отключен. Интересно было бы взглянуть на IMEI такого тела, сразу стало бы ясно...

[haydeGen]

Ребята, Я понимаю что вы очень крутые и говорите о даташитах, как будто это 2ва пальца.........., но по факту:

Цитата:

Так фул слили ведь с живого , а не убитого тела. А с живым как бЫ и проблем с коннектом не должно быть...

из-за этого началась канитель... да и ладно...
и так:
1) Кто нибудь видел удачный пинг к процессору ТА ?
2) на RIFF Users Data Exchange мона положить дамп Siemens A75
3) bambarmia, ты в этом, даташитах, что-то понимаешь наверное, мона я создам тему: "вот как бывает с HTC Desire HD" а ты подробнее опишешь то что было постом выше?

[Jet]

Есть один простой вопрос:
Вы всегда пишите в тех темах, где ничего не понимаете?

Если вам так интересна данная тема, то пользуясь поиском можно найти много интересного. А вот разжевывать вам тут никто и ничего не будет.
P.S. в школе вам дают начальные знания, вам интересно и вы их впитываете. А вот дальше, в техникумах, институтах и университетах вас уже не учат, а подстегивают к тому чтобы вы учились сами. Находили информацию, разбирались в ней, там знания никто не навязывает. Хочешь учи сам - не хочешь, гуляй на все 4 стороны.
Так вот тут приблизительно то же самое, кто хочет, тот найдет и поймет. А кто не хочет будет заваливать форум дурацкими вопросами.

[haydeGen]

Цитата:

Есть один простой вопрос:
Вы всегда пишите в тех темах, где ничего не понимаете?

пф... это кому еще поиском нуна пользоваться, найдешь много чего интересного!

Цитата:

А вот разжевывать вам тут никто и ничего не будет.

Я задал 2ва вопроса, один был ну очень простым, второй тебя совсем не касался! если тебе чем-то хочется поделиться по теме валяй, но не вы.б.ся ОК? и так, кто нибудь из ребят на этом форуме может пояснить что сказал bambarmia?

[Jet]

1. bambarmia описал все даже слишком подробно, и имея немного серого вещества, можно без проблем разобраться!
2. ответы на 3 дурацких вопроса!
---- Кто нибудь видел удачный пинг к процессору ТА ?
----Да, видел, и если подумать логически, раз к нему есть фулл, то и пинг соответственно был. по другому не слить.
---- на RIFF Users Data Exchange мона положить дамп Siemens A75?
---- да кладите сколько влезет, только RIFFом его сливать никто не будет, это еще очень давно делал Joker и больше таким заморачиваться никто не будет.
---- bambarmia, ты в этом, даташитах, что-то понимаешь наверное, мона я создам тему: "вот как бывает с HTC Desire HD" а ты подробнее опишешь то что было постом выше?
---- Куда еще подробнее, человек и так выдал слишком много информации. Может еще страницы мануала надо было указать?
3. На ТЫ с хамовитыми личностями переходить не собираюсь! Так что потрудитесь...
И завуалированные маты на форуме не приветствуются...

4. и еще по поводу этого "... наверно на мцрф скучно скучно профессионалам и они делятся знаниями с нубами" - думаю что там вас с таким поведением забанили бы уже очень давно!

[haydeGen]

sJet - исчезни, я тебя умоляю! забудь.

и так, что мне не понятно:

Цитата:

если пережечь соответствующую перемычку то весь "самый-пресамый низкоуровневый интерфейс" просто напросто перестанет отвечать на запросы отладчика

что значит пережечь?

Цитата:

если при этом производителю добавить в один из лоадеров инструкции которые пропишут соответствующие биты

что за инструкции? и почему только производитель их может добавить ?

[Jet]

правильно поставленный вопрос это уже половина ответа!!!
Изначально в процессоре доступен JTAG интерфейс, через который производитель может зашить все лоадеры в телефон, а потом и саму прошивку через них. (хотя как вариант возможно и на программаторе все заливается отдельно на флешку) В одном из лоадеров находится инструкция по программному включению JTAG. Если он будет не исправен, то JTAG станет недоступным.
И после проверки на работоспособность в аппарате "пережигается" нужный fuse.
Фактически это типа выставления битов секьюрити на atmel или pic, только там полностью стерев устройство биты возвращаются в исходное состояние. А в этих процах эти биты имеют строение OTP, один раз установил и все.
Достаточно доходчиво?

[Hustler82]

Ато вот это за jtag? контроллера питания? и зачем он нужен?
I9003.jpg

I9003_1.jpg

[bambarmia]

Цитата:

Сообщение от Hustler82

Ато вот это за jtag? контроллера питания? и зачем он нужен?

Это JTAG порт радиомодуля (Infenion), по блок схемам он не имеет связи с основной флеш памятью где лежит прошивка, значит и пользы от него никакой, разве что изучать и отлаживать как работает радиотракт

[Jet]

Выдержка из инструкции RIFF

Код:

"В некоторые (или всех) ревизиях плат HTC Desire HD JTAG интерфейс 
деактивирован (т.е. в MSM8255 микросхеме перемычка MARM JTAG прожжена). 
В этом случае JTAG интерфейс может быть активирован только прошивкой. 
Это осуществляется в FSBL лоадере, в связи с чем, запись зоны FSBL в 
DCC лоадере преднамеренно отключена. DCC лоадер отклоняет все попытки 
записи в FSBL зону и не выдает ошибку, как будто запись выполнена успешно. 
Тем самым FSBL зона защищена, но при этом пользователь по-прежнему сможет 
записывать полный дамп без дополнительных трудностей.
Ресурректор восстанавливает бутовые области радио части (кроме FSBL зоны) и 
переписывает SPL версии 0.85.0007. Дополнительно к зонам SPL и Radio, зона, 
в которой содержится Model ID, тоже переписывается. Таким образом, 
по окончанию процесса восстановления, телефон будет иметь 
Model ID = ‘PD9810000’."

Выдрать из стоковой прошивки, или доступного фула FSBL не проблема. И вот он тот самый загрузчик который нам нужен. Но что с ним делать дальше, если запись во флеш по JTAG не доступна, и записать мы его туда не можем? А запись во влеш открывается только при наличии в ней FSBL загрузчика...
Итого замкнутый круг, "что было раньше курица или яйцо"?

[jblack]

Цитата:

Сообщение от sJet

Выдержка из инструкции RIFF

Код:

"В некоторые (или всех) ревизиях плат HTC Desire HD JTAG интерфейс 
деактивирован (т.е. в MSM8255 микросхеме перемычка MARM JTAG прожжена). 
В этом случае JTAG интерфейс может быть активирован только прошивкой. 
Это осуществляется в FSBL лоадере, в связи с чем, запись зоны FSBL в 
DCC лоадере преднамеренно отключена. DCC лоадер отклоняет все попытки 
записи в FSBL зону и не выдает ошибку, как будто запись выполнена успешно. 
Тем самым FSBL зона защищена, но при этом пользователь по-прежнему сможет 
записывать полный дамп без дополнительных трудностей.
Ресурректор восстанавливает бутовые области радио части (кроме FSBL зоны) и 
переписывает SPL версии 0.85.0007. Дополнительно к зонам SPL и Radio, зона, 
в которой содержится Model ID, тоже переписывается. Таким образом, 
по окончанию процесса восстановления, телефон будет иметь 
Model ID = ‘PD9810000’."

Вот вам и ответ как только добавят FSBL лоадер так и будет счастье.

Цитата:

Сообщение от sJet

Выдрать из стоковой прошивки, или доступного фула FSBL не проблема. И вот он тот самый загрузчик который нам нужен. Но что с ним делать дальше, если запись во флеш по JTAG не доступна, и записать мы его туда не можем? А запись во влеш открывается только при наличии в ней FSBL загрузчика...
Итого замкнутый круг, "что было раньше курица или яйцо"?

Содержимое микросхемы и лоадер разные вещи, лоадер это код который записывается в определенную область процессора для получения доступа к периферии и хранится там только во время текущего сеанса при перезагрузке данная область очищается.

Одним словом изучаем основы микропроцессорной техники.

[haydeGen]

Ребята, я опять тута, дамп слит-то, как быть? я так понял - зажигает производитель, но все же сцука дамп есть)))

[Crew]

Не забываем про недокументированные "лазейки", о которых Вы ничего не знаете...
------------------------------------------------
Добавлено позже:
Более чем достаточный опыт может быть только у разработчика микроконтроллеров или у господа Бога, а Вам надо к специалисту обратиться, гордыню полечить. Про случайно найденную дырку в квалкомах не надо...

Цитата:

Сообщение от bambarmia

поэтому поверьте опыт уменя более чем достаточный

[Hustler82]

А никто не пробовал подконнектить i9003 с рабочим бутом? определится ли у него ядро или будет тоже самое Device on TAP #0: ID = 0xFFFFFFFE, IR Length = 0x06 bits

[Hustler82]

Что за устройство определяется если выставить положение в цепочке TAP7?

Цитата:

Открытие порта...OK
Подключение к RIFF Боксу...OK
Версия Прошивки: 1.26, Версия JTAG Manager: 1.35
Выбрано Вручную Устройство: [OMAP3430, 1.80V, TAP7]

Подключение к OMAP3430 ядру...OK
Выставленное I/O Напряжение 1.81В, Частота TCK: 8 MHz

ID Ядра на TAP7: 0x2B89102F - Подключено ОК