Версия для печати темы

Автор: Mishael 23.1.2009, 1:48

Снова привет.

Есть ASUS P526 с уваленным бутом, сам увалил прошивкой.

Предыстория: принесли тел - висит на заставке ASUS, формат ХР не проходит СР тоже, при попытке ХР и нажатии зеленой кнопки писал примерно следующее - блаблаблаGSMFFS error или что-то вроде этого. Дабы исключить аппаратный косяк типа НЕПРОПАЙ после падения - пропаял флеш и проц, поведение не изменилось.
Решил прошить стандартной прошивой P526_v6.1.0_Russia_F3.2_Lock.exe в итоге аппарат забутился, за 5 секунд сделал вид что прошился, ушел на перезагрузку и оттуда не вернулся. Через 15 минут я выдернул АКБ и получил кирпич.

Что имеем:
1 Распиновку вычисленную снятием проца и прозвоном (выложу далее)
2 JTAG, сегодня сваял опробовал, проц определяет.
3 Родную прошивку в том числе распакованную на временные файлы temp0, temp1, temp2, temp3 и temp4
4 Имеем представление о том что надо прошить IPL и SPL.

Теперь несколько вопросов, на которые у меня нет однозначного ответа:
1 IPL и SPL может подойти от торнадо? так ли это?
2 Можно ли снять дамп с мертвого кпк чтоб определиться с адресами заливки этих IPL и SPL?
3 Тему http://forum.pda2u.ru/forum/topic244.html перечитал несколько раз, но помощь в добыче адресов и верных IPL , SPL все таки нужна.

ниже 2 фото с точками JTAG

Автор: Mishael 23.1.2009, 1:50

вторая сторона платы

Автор: SAXON13 23.1.2009, 10:08

1. Нет, естественно, у каждого аппарата свои загрузчики, тот же бут от торнадо уваливает родственный ему хюрикен.
Вот вырезаные из прошивки IPL и EBOOT ____[ Скрытый текст ]
но скорее всего их еще надо будет править для того чтоб они стали пригодны для заливки в РАМ.
Я сам сейчас занимаюсь 527, правда в связи с нехваткой времени пока не довел до конца, плюс там еще проблема, что для 527 в прошивках отсутствуют буты.
2. Именно так я и собираюсь сделать, правда у меня чуть другая ситуация 527 прошит от 526, у тебя же всё должно быть проще, загрузчики из прошивки есть, и девайс прошит своими загрузчиками, так что через NoICE снимай последовательно дампы с 0, 10000000, 20000000, 30000000

Автор: Mishael 23.1.2009, 10:33

Править руками в винхексе или конвертить чем-то?
И размеры дампов 1й с 0 по 10000000 ; 2й с 10000000 по 20000000 ; 3й с 20000000 по 30000000 и 4й с 30000000 по какой адрес?

Автор: SAXON13 23.1.2009, 10:44

Скорее всего в Хексе, утилит нету. Главное знать что править, поэтому за неимением живого девайса, снимай дампы с трупика, будем знать в каком виде и по каким адресам они расположены

Автор: Mishael 23.1.2009, 12:26

В общем так, 2 часа и нулевой результат. Присчитывании дампа с 0 по 0FFFFFFF вылетает ошибка
Memory read\write error - Can"t re-enter debug state
Причем ошибка выскакивает на разных адресах. H-JTAG проц детектит изумительно, питаю тел и JTAG от USB+кремниевый диод (4,3V)
Пробовал играться в NoICE частотой работы проца от 50 до 450МГц, результат одинаков. Может это с ватчдог связано? Он на снятие дампа может влиять? И как это побороть.

Автор: SAXON13 23.1.2009, 15:55

Да это ватч-дог, поэтому надо делать всё быстро, у тебя есть приблизительно 10 сек. с момента включения девайса
в NoICE dump> adress 0 size ~1000, всё равно больше 520 не сольёт и так последовательно по адресам 0, 10000000, 20000000, 30000000 а потом сужать диапазон поиска...

Автор: arcc 24.1.2009, 0:13

Mishael
Прозвони тестпоинты которые под сим картой -выходят туда точки jtag? сильно уж они неудобно расположенны - судя по моему Асус 535 -под симкой точно такие тест поинты -есть вероятность что для асуса это стандартный пины.

Насчет дампа памяти - сливай кусками -первый загрузчик будет по любому с 0 адреса -длинна его не большая не более 2-5 кил -второй загрузчик скорее всего с адреса 10000000 длинна его скорее всего в пределах 300-1000 кил.


IPL и EBOOT которые вырезаны из прошивки -судя по структуре это 2 бута -но IPL это не самый первый бут который лежит с 0 адреса .
Вероятно всего это буты которые нужны для прошивки ,диагностики ,дампа и тд и бут который запускает саму ОС .

Автор: SAXON13 24.1.2009, 3:52

Вот первый кусок из прошивки, но там практически всё нули, не знаю какую функцию он исполняет, но скорее всего при прошивке эта область не прошивается

Автор: Mishael 24.1.2009, 11:36

2 arcc
Нет, пины которые возле sim коннектора на точки JTAG не звонятся, я тоже сначала предположил что это они.
Сейчас буду сливать дамп кусками.....

Вот первый кусок с 0 по 407F в котором содержится код, дальше пока идут нули. Сливаю дальше...

Автор: arcc 25.1.2009, 23:46

Mishael
Да то что ты слил и есть первый загрузчик если смотреть по аналогии с wizard (IPL ) в асус он называется X-LOADER и вероятно всего в прошивке не присутсвтует и не перепрошивается -фактически это и не нужно .
Еще раз слей эту область (сливай чуть больше с нулями ) и сохрани в bin формате а не в юникоде .

Автор: Mishael 26.1.2009, 12:37

2 arcc
Я на данный момент дошёл до адреса 68FF0, этот watchdog меня с ума сведёт, пробовал его заткнуть аппаратно, не получается, даже кварц часовой стопал, не помогает. Может програмно как-то можно ухитриться, в мануале на проц OMAP850 есть инфа где он сидит и что ему надо.
Дальше точно нули идут, слить одним куском столько не удасться, а если и удасться то NoICE не даст сохранить ссылаясь на ту же ошибку ввода\вывода. А из текста в бин не перевести разве винхексом или ещё как-нибудь?

Автор: arcc 27.1.2009, 17:57

Ватчдог затыкается программно .Судя по тому как ведет себя девайс в первом буте нету отключения ватч дога ,а второй скорее всего убит .
Сделай плизз дамп нормальный в виде bin а то сидеть
и выдирать из твоего дампа данные както муторно .
Вот твой дамп
0000 44 00 00 EA 14 F0 9F E5 14 F0 9F E5 14 F0 9F E5 D..ê.ð.å.ð.å.ð.å
0010 14 F0 9F E5 14 F0 9F E5 14 F0 9F E5 14 F0 9F E5 .ð.å.ð.å.ð.å.ð.å
0020 00 00 00 20 04 00 00 20 08 00 00 20 0C 00 00 20 ... ... ... ...
0030 10 00 00 20 14 00 00 20 18 00 00 20 C4 80 8F E2 ... ... ... Ä..â
0040 03 00 98 E8 08 00 80 E0 08 10 81 E0 01 B0 40 E2 ...è...à...à.°@â
0050 01 00 50 E1 13 00 00 0A 70 00 B0 E8 05 00 54 E1 ..Pá....p.°è..Tá
0060 FA FF FF 0A 01 00 14 E3 0B 40 84 10 01 00 15 E3 úÿÿ....ã.@.....ã
0070 0B 50 85 10 02 00 15 E3 09 50 85 10 03 50 C5 E3 .P.....ã.P...PÅã

а мне нужно чтоб было в виде
44 00 00 EA 14 F0 9F E5 14 F0 9F E5 14 F0 9F E5
14 F0 9F E5 14 F0 9F E5 14 F0 9F E5 14 F0 9F E5
00 00 00 20 04 00 00 20 08 00 00 20 0C 00 00 20
10 00 00 20 14 00 00 20 18 00 00 20 C4 80 8F E2
03 00 98 E8 08 00 80 E0 08 10 81 E0 01 B0 40 E2
01 00 50 E1 13 00 00 0A 70 00 B0 E8 05 00 54 E1
FA FF FF 0A 01 00 14 E3 0B 40 84 10 01 00 15 E3
0B 50 85 10 02 00 15 E3 09 50 85 10 03 50 C5 E3
это нужно чтоб в IDA засунуть и глянуть .

Автор: SAXON13 28.1.2009, 2:35

To Mishael
В NoICE, закладка File>>SAVE в появившемся окне указываеш адрес и имя сохраняемого файла, адрес с которого дампить память, размер сохраняемого файла и указать в file format >>binary

To Arcc
Подскажите как правильно пользоваться ИДой, что там указывать и какие параметры задавать

Автор: Mishael 28.1.2009, 11:36

вот кусок в бине с 0 по 5000

Автор: arcc 29.1.2009, 0:33

Вообщем порылся я в том что слито
Первое
X-loader работает с нуля далее перегружается в кэш процессора по адресу 20000000
Кстати попробуй установить адрес 20000000 и слить небольшой участок чтоб подтвердть мои догадки .
По каким адресам работают вторые буты пока ненашел- пока думаю.
Второе
-похожего на ватч дог таймер там нет но есть похожее в p526_IPL___EBOOT.

Вот как затыкается на визарде .
sub_350
LDR R0, =0xFFFEC808
MOV R1, #0xF5 ; '¿'
STRH R1, [R0]
MOV R1, #0xA0 ; 'à'
STRH R1, [R0]
RET
; End of function sub_350

На асусе подпрограммы нету там просто участок кода причем присутствует в обоих бутах.

ROM:10001058 LDR R0, =0xFFFEC800
ROM:1000105C MOV R1, #0xF5
ROM:10001060 STRH R1, [R0,#8]
ROM:10001064 MOV R1, #0xA0
ROM:10001068 STRH R1, [R0,#8]

Теперь будем думать как запихнуть это в NoICE и выполнить чтоб не ресетило девайс .

Автор: arcc 29.1.2009, 1:09

Вообщем попробуй вот так .
Бери WDTIMER.bin (распакуй архив ) и грузите с адреса 20000000 установи бряк(останов)
Breakpoint->Insert Breakpoint ->
на адрес 20000014 далее запускайте Go From ->20000000 и жди чтоб NoICE отработал WDTIMER.bin и стал на адрес 20000014 -далее если все прошло нормально то можеш спокойно лазить по памяти девайса смотреть где что и как .Ресетится не должен.

Автор: Mishael 29.1.2009, 10:59

С адреса 20000000 слил кусок 5000 - все нули 00 00 00 00 00 00 00 00
Пробовал влить WDTIMER, бряк поставил, запустил, NoICE его колбасила минут десять так и не стопнула, остановил сам.
Вот тут разбирали прошивку и есть некоторый расклад по адресам, может это нам поможет? http://asusmobile.ru/board/viewtopic.php?t=11262
А вот здесь процесс расковыривания дампа http://asusmobile.ru/board/viewtopic.php?t=7793

Автор: arcc 29.1.2009, 12:34

Ватч дог остановился ?Можеш не ставить брейкпоинт а пройтись по шагам с адреса 20000000 -там всего несколько команд до адреса 20000014.
Пока не остановится ватч дог заливать что либо особо не получится -будет ресетить девайс .

Те ссылки что ты дал это не нужные нам данные -это расположение частей на самом DOC (ROM) а нам нужно что и где запускается в RAM (физические адреса ).
Некоторые адреса я нашел - но желательно бы проверить на рабочем девайсе есть ли там что либо когда девайс переводиш в режим бута .

Автор: arcc 29.1.2009, 12:48

Значит вот что нарыто .
Бут который IPL
запускается в RAM по адресу 13900000
Внутри есть вот такие данные которые мне непонятны .

.data:13900D07 DCB 0x43 ; C
.data:13900D08 aSpcipl_nb0 DCB "SPCIPL.nb0",0 ; DATA XREF: .text:off_13A88A84o
.data:13900D13 ALIGN 4
.data:13900D14 aExtrom_nb0 DCB "EXTROM.nb0",0
.data:13900D1F ALIGN 0x10
.data:13900D20 aIplmdoc_nb0 DCB "IPLMDOC.nb0",0
.data:13900D2C aGsm_dio_nb0 DCB "GSM.dio.nb0",0
.data:13900D38 aSpceboot_nb0 DCB "SPCEBOOT.nb0",0
.data:13900D45 ALIGN 4
.data:13900D48 aEbootmdoc_nb0 DCB "EBOOTMDOC.nb0",0
.data:13900D56 ALIGN 4
.data:13900D58 aFlash_dio_nb0 DCB "flash.dio.nb0",0
.data:13900D66 ALIGN 4

Второй бут который SPL запускается по адресу 13801000

Автор: Mishael 30.1.2009, 8:49

2 arcc
Слил куски по 64К
В моём вот так: по адресу 13801000 все нули, по адресу 13900000 шлак, как мне кажется.
Как узнать остановился ватчдог или нет? мне NoICE должна об этом сообщить или пошагово дойдя до адреса 20000014 попробовать слить большой кусок дампа и если NoICE не ругнётся то остановился?

Автор: yaroslaf 31.1.2009, 16:37

Аналогичный кирпич получил при попытке прошивки. Прошивка - как у Mishael. Симптомы превращения в кирпич аналогичные.... С интересом слежу за темой.

Автор: Mishael 25.2.2009, 13:41

Реанимация продолжается. Сегодня принесли такой же рабочий аппарат, завтра сниму дамп.

Автор: Mishael 4.3.2009, 8:24

дамп уже снял, выложить на файлообменники не могу уже 3й день, размер архива 100 метров. Может отдельные куски здесь на форуме выложить? Первый кусок (архив) с 0 по 0FFFFFFF весит 208КБ. Прикрепляю здесь.

Автор: Mishael 4.3.2009, 8:24

вторая часть

Автор: Mishael 4.3.2009, 8:25

и последняя

Автор: Mishael 10.4.2009, 13:49

Продолжаем реанимацию. Были проблемы со скоростным инетом.

Вот остальная часть дампа с адреса 10000000 по 2FFFFFFF http://www.sharemania.ru/0293484

WD таймер побороть пока так и не удалось. Делал следуюшее..
вливал WDTIMER.bin - ватчдог не отключается
вырезал куски из рабочего дампа по адресам 13801000 и 13900000, вливал их, один черт эффекта 0. Может вырезал не полностью х.з.

Я пока в ступоре с этим аппаратом.
Ребят, прошу помощи.

Автор: arcc 10.4.2009, 15:34

В первых частях практически ничего нет - вот то что ты сейчас выложил скорее всего чтото есть судя по обьему файла .
Кстати как ты сливал с рабочего девайса ? Загонял девайс в режим загрузчика и сливал дамп ?
Если ты загрузчик не запускал то наврядли он будет в дампе.
Вообщем докачается гляну .

Автор: Mishael 11.4.2009, 1:10

С рабочего аппарата сливал так же через JTAG т.е. H-JTAG+NoIce.
Рабочий девайс у меня будет до понедельника, если что не так в этом дампе, то солью иначе, как потребуется.

Автор: arcc 11.4.2009, 2:07

Я понимаю что ты сливал через jtag .
Вопрос в другом -в каком режиме девайса ты его сливал .
Нужно чтоб ты загнал девайс в режим прошивки (bootloader ) и только тогда сливал все области - по аналогии с wizard это режим трех цветных полос .

В противном случае когда обычный режим (Запуск OS ) -это немного не то .

Автор: Mishael 11.4.2009, 2:21

если память не изменяет то в бут режиме, это в дампе будет видно?
камера+кнопка под джогдайлом+pwr

Автор: arcc 11.4.2009, 3:45

Я спрашиваю потому что если не в режиме бута то мы до бесконечности будем искать по каким адресам запускается бут.В некоторых девайсах например митаках буты которые для прошивки ,просто не грузятся в память в обычном режиме -они там ну нужны.
Самый простой способ найти где он работает в RAM это запустить на рабочем девайсе режим загрузчика -потом остановить девайс NoICE -ем и глянуть где он встал на каком адресе - далее грубо говоря поглядеть поднятся чуть выше и посмотреть где начало бута -покрайней мере это сузит область поиска.
В том что ты слил дампе я вижу бут но также с адреса 10000000 идет похоже пожататя OS .
Загрузчик я вижу по адресам 13A40000 потом еще в нескольких местах но я думаю что просто повторение.

Как врубается девайс режим загрузчика на 526 я честно говоря незнаю -девайса то нет -надо инет смотреть .

Автор: Mishael 11.4.2009, 4:15

запустить на рабочем девайсе режим загрузчика -потом остановить девайс NoICE -ем и глянуть где он встал на каком адресе ....

не совсем понял, т.е. я запускаю девайс в бут режиме, коннекчу к H-JTAG, запускаю NoICE, коннекчу её, потом надо что-то запустить по GO и потом стопнуть HALT'ом или как-то иначе? поподробнее расскажи пожалуйста, я через пару часов на работе буду, попробую сразу.

Автор: arcc 11.4.2009, 9:56

Да все правильно написал - запускаешь девайс в режим бута -конектишся jtag-ом к нему запускаещь NoICe -ничего не запускаешь делаешь просто Halt и смотришь по какому адресу стал .Дальше сливаешь гдето +1Мег в верх от этого адреса и выкладываешь (если он допустим стал по адресу 100FFFFF то сливаешь начиная с 10000000 до 101FFFFF ) -дальше смотрим .

Автор: Mishael 12.4.2009, 12:21

Странно, но у меня при запуске NoIce не дает нажать halt , кнопка не активна, только go или step.
Делаю так: запускаю кпк в режиме бута ОК+reset (на экране КПК надпись IPL: Insert UBS CABLE)
запускаю H-JTAG, детектица проц, запускаю NoICE? смотрю вкладку Run - Halt не активна, захожу Options->Target comunications->OK
коннект прошел, вкладка Run - Halt не активна.
Что не так делаю? При нажатии step хоть into хоть over - перескакивает на адрес 00000118

Автор: arcc 12.4.2009, 14:56

Ну так нажми go потом halt .
В режиме загрузчика слей области по мегабайту с 0 ,10000000,13A40000 .

Автор: arcc 12.4.2009, 15:23

Я смотрю в том дампе что ты ранее слил нет надписи IPL: Insert UBS CABLE -значит сливай как и раньше
всю область с 0 до 10000000 и потом с 10000000 до 2FFFFFFF

Автор: Mishael 12.4.2009, 19:19

Да, похоже что сливал предыдущий дамп в режиме OS так как синий светодиод постоянно моргал на кпк, я же только плату цеплял без дисплея.
Сегодня зацепил дисплей чтоб контролировать и поставил сливать дамп в бут режиме, с 0 по 3FFFFFFF одним куском. Завтра выложу

Автор: Mishael 13.4.2009, 11:22

Блин, техника надо мной эксперементирует
Комп ночью повис и дамп не слился, сейчас запустил КПК через NoIce в режиме бута, понажимал GO\Halt , курсор мечется по адресам в пределах примерно от 13805840 до 13843894.
В общем чейчас слил кусок с 13800000 по 14000000 вот http://www.sharemania.ru/0212896

Автор: arcc 13.4.2009, 12:02

Ну вот ты и молодец -поймал нужные нам адреса .
Скакать по адресам и должно потому что программа то выполняется на девайсе а Halt -ом ты останавливаешь ее ,если нажимаешь go опять запускаещь и тд ..
Самое главное мы видим в каком адресном пространстве оно выполняется .
В том дампе что ты слил и есть бут который имеет надпись IPL: Insert UBS CABLE и начинается он с адреса 13800000.
Первой командой (FE0300EA) есть jmp на адрес 13801000 о чем я выше и писал что полностью совпадает с дизасемблированием .
Адрес по которому лить IPL в RAM 13800000 теперь нам известен .Но нужно слить и начало с 0 и вообще поглядеть что есть в RAM еще -потому что есть вариант что кроме этого загрузчика будет подгружатся и другой (но опять же не факт ). Судя по надписям внутри .
С 0000 нам потому еще чтоб глянуть как ведет себя девайс при старте -насколько я помн. там был мааааленкьй загрузчик x-loader

Автор: arcc 13.4.2009, 12:38

Кстати картинка которая при загрузке асуса в твоем дампе присутствует начинается она с адреса 13A40000- заканчивается 13A8E467 .
Вырежи и обзови asus.jpg и увидищь заставку .

Автор: Mishael 13.4.2009, 13:15

как раз сейчас сливаю область 0-10000000, медленно блин

Автор: Mishael 13.4.2009, 13:41

2 arcc
Просвяти пожалуйста, как в IDA запихивать такой большой дамп, у меня IDA материться начинает, и второе, не могу "догнать" как определить точку входа если она вообще нужна.

Автор: arcc 13.4.2009, 14:08

А зачем запихивать весь дамп в IDA ?
Я вырезаю тока нужные части например бут а он не такой уж и большой иногда до метра гдето, а обычно 200-500 кил .Превый лоадер вообще пару килобайт .
Дамп обычно нужно для того чтоб визуально глянуть где буты находятся.
По опыт просто их видно уже сразу.
А до этого я же с прошивки доставал буты и смотрел их в IDA .
Плюс есть пару скриптов от itsme которые позволяют глянуть адресацию -но не всегда .
Если бут структуры майкрософта те по сути nk.exe то этими скриптами можно глянуть где он работает -просто преобразовать bin в nk.exe и подсунуть IDA.
Вообщем сразу так не обьяснишь .

Автор: Mishael 13.4.2009, 14:39

То что сразу не объяснишь я уже понял т.к за время бодания этого асуса перелопатил не мало источников и по ида и по ассемблеру и по arm и по jtag в целом, про граничное сканирование, реверсинг и многое другое
Про точку входа так и не понял, что оно есть?

Автор: arcc 13.4.2009, 15:03

Точка входа чего ? Если бут то обычно начало и есть точка входа .
Кстати я тоже не очень хорошо разбираюсь в ассемблере и ida -просто по аналогии очень много делается.

Автор: Mishael 13.4.2009, 15:19

Когда читал про реверсинг то там часто говорили что многие проги (скорее всего не про прошивки речь шла) имеют точку входа. Просто я программированием только на бейсике занимался с 5 по 10 класс, там тоже начало проги оно и есть начало, а тут запутался что-то.

Автор: arcc 13.4.2009, 15:44

В общем я отрезал нужный кусок от дампа .
Загружай его на убитом девайсе с адреса 13800000 и делай go from 13800000 .

Автор: Mishael 13.4.2009, 15:54

то есть дамп дальше не сливать? а то читается ещё, пока только 148 метров считалось из 260

Автор: arcc 13.4.2009, 16:05

Сливай дамп -всегда пригодится .

Автор: Mishael 13.4.2009, 16:17

пока сливаю, уже 162 метра

Автор: Mishael 13.4.2009, 19:50

Дамп слился, загрузить IPL в мертвый не получается, наглая собака надзиратель ресетит девайс на полпути загрузки, не говорю уже что ещё и запустить надо будет по go from.....
Ниже выкладываю дамп с 0 по 10000000 в трех частях

Автор: SAXON13 13.4.2009, 20:22

А если попробовать IPL от Wizard. С адреса 20000000 с брейкпойнтом на 20000018, go from 20000000.
Вот тут : http://rapidshare.com/files/128234619/tornado.zip.html (из него возьмеш IPL_W)
Да еще проводи всю процедуру как можно быстрее с момента включения девайса и до заливки ИПЛ родного, и если появилось окно бутлоадера сразу прошивать, иначе после ресета все придётся делать с начала...

Автор: Mishael 13.4.2009, 22:53

Теоретически можно попробовать, но я не пойму одно....
Мы цепляем аппарат, начинается отсчет времени работы таймера wathdog, грузим часть кода и в этот момент срабатывает wathdog и все обламывает. Получается что wathdog статует при физическом запуске КПК.
Интересный факт:
Сегодня пока эксперементировал с GO\HALT заметил следующее, гружу аппарат в бут режиме по комбинации OK+RESET с надписью IPL: INSERT USB CABLE - труба (рабочий донор) цепляется по JTAG и ждёт дальнейших действий в режиме бута, далее нажимаю GO и труба начинает исполнять код с самого начала, ВЫХОДИТ из бут режима и грузит OS, т.е. грузит винду. Если при перезапуске по GO нажать кнопку OK без RESET то аппарат начинает опять грузится в бут режиме как при обычном старте аппарата при OK+RESET.
Умозаключение следующее. Коль wathdog не сидит жестко в памяти самого проца на аппаратном уровне, а всего лишь кусок кода который неизбежно исполняется при старте убитого девайса, то можно попробовать сделать следующее: при коннекте грузануть в память по какому-либо промежуточному (пустому\забитому нулями или FF) адресу какой-нибудь короткий код, и тут же его запустить и спопнуть или запустить с брекпоинтом, теоретически таким образом можно попробовать заткнуть watchdog обманным путём - переключить исполение его кода на новый.
Возможно я ввожу себя в заблуждение, х.з.

Автор: SAXON13 14.4.2009, 0:17

WatchDog это микрокод который сидит в памяти самого проца, при запуске рабочего девайса его останавливает код находящийся в одном из загрузчиков, поэтому рабочий аппарат и не ресетиться, а в убитом до этого кода пока ты заливаеш бут по времени не дотягивает. Может не совсем правильно обьяснил, но суть такова, что надо проделывать все операции очень быстро и загружать перед этим код котрый будет стопорить Ватчдог, по идее может подойти любой содержащий команду остановки таймера , хотя в этом я не уверен. но попробовать можно...

Автор: arcc 14.4.2009, 0:28

wathdog это аппаратно програмируемый таймер .
При старте(включении ) девайса начинается отсчет.
Отключается он програмно.
Так что ты должен сначала все подготовить потом уже запускать девайс .Так как процессор одинаковый что и у wizard то по опыту секунд 10 у тебя есть .

По поводу загрузить по левому адресу кусок кода -тебе это и предлогали выше .
Так как процессор имеет внутренний кеш порядка 200 кил и находиться он по адресу 20000000 то туда тебе и предлогали сувать и стартовать там .
Можно еще отрезать начало твоего дампа и тоже запустить его, потому как отключение в самом начале.

.text:13801010 loc_13801010 ; CODE XREF: start+14j
.text:13801010 MRC p15, 0, PC,c7,c14, 3
.text:13801014 BNE loc_13801010
.text:13801018 MOV R0, #0
.text:1380101C MCR p15, 0, R0,c7,c5
.text:13801020 MRC p15, 0, R0,c1,c0
.text:13801024 ORR R0, R0, #0x1000
.text:13801028 BIC R0, R0, #0x200
.text:1380102C BIC R0, R0, #0x100
.text:13801030 BIC R0, R0, #8
.text:13801034 BIC R0, R0, #4
.text:13801038 ORR R0, R0, #2
.text:1380103C MCR p15, 0, R0,c1,c0
.text:13801040 LDR R0, =0xFFFECA00
.text:13801044 LDR R1, =0xFF22
.text:13801048 STRH R1, [R0]
.text:1380104C LDR R0, =0xFFFED300
.text:13801050 LDR R1, =0xFF22
.text:13801054 STRH R1, [R0]
.text:13801058 LDR R0, =0xFFFEC800
.text:1380105C MOV R1, #0xF5
.text:13801060 STRH R1, [R0,#8]
.text:13801064 MOV R1, #0xA0
.text:13801068 STRH R1, [R0,#8]
.text:1380106C LDR R0, =0xFFFECC00
.text:13801070 MOV R1, #0xC
.text:13801074 STR R1, [R0,#0xC]
.text:13801078 LDR R1, =0x17000F
.text:1380107C MOVS R1, R1
.text:13801080 BEQ loc_13801090
.text:13801084 STR R1, [R0,#0x10]
.text:13801088 MOV R1, #0
.text:1380108C STR R1, [R0,#0x50]


Сторожевой таймер
Материал из Википедии — свободной энциклопедии
Сторожевой таймер (контрольный таймер, англ. Watchdog timer) — аппаратно реализованная схема контроля за зависанием системы. Представляет собой таймер, который периодически сбрасывается контролируемой системой. Если сброса не произошло в течение некоторого интервала времени, происходит принудительная перезагрузка системы. В некоторых случаях сторожевой таймер может посылать системе сигнал на перезагрузку («мягкая» перезагрузка), в других же — перезагрузка происходит аппаратно (например, замыканием контактов кнопки Reset).

Автоматизированные системы, не использующие оператора человека, хотя тоже подвержены ошибкам, зависаниям и другим сбоям (в т.ч. аппаратным), с использованием сторожевых таймеров увеличивают стабильность работы - нет необходимости ручного сброса. Поэтому наиболее частое использование их — встроенные системы различного назначения

Автор: Mishael 14.4.2009, 9:20

Попробовал IPL от wizard, NoIce то стопает watchdog то нет, иногда просто стартует и не останавливается, если стопает по брекпоинту то можно (опять же не всегда) влить родной IPL, но после его запуска по 13800000 ничего с КПК не происходит - не горит экран, никаких надписей типа IPL: Insert USB cable и т.д.
Пробовал запускать с адреса 13801000 и с 0 , и заливать полностью область 13800000-14000000, потом запуск по 1380000 и никаких признаков жизни бут режима.
При запуске прошивки в эксперт режиме при нажатии кнопки update из прошивки распаковываются всего два временных файла вместо пяти и на этом она (прошивка) стоит и думает непонятно о чём.

Может дамп полностью слить с рабочего и после стопанья ватчдога влить его полностью в труп? Но тогда мы не узнаем истинных адресов загрузчиков. Какие ещё варианты есть?

Автор: SAXON13 14.4.2009, 11:01

Полностью дамп ты не вольёш, потому что в этом методе всё льёться и запускается в РАМ память проца, то есть ограниченую по обьему и временную. Заливать ИПЛ надо именно когда патченый ИПЛ от Визарда стопонул на брейкпойнте, если нет то можно дальше не продолжать, а ресетить девайсину и начинать заново. Скорее всего ему еще чего то не хватает EBOOT или X-LDR (x-loader).
попробуй этот ИПЛ:  IPL.part1.rar ( 97.66 килобайт ) : 21


 IPL.part2.rar ( 20.8 килобайт ) : 21

Автор: Mishael 14.4.2009, 11:16

Ок, сейчас попробую

Автор: arcc 14.4.2009, 11:22

Когда ты запускаешь по адресу 13800000 - ты держищь кнопки ??? Кнопки держать обязательно .

IPL от визарда ты куда заливаеш ?
И проверь действительно ли заливается по адресу 13800000 твой дамп .

Автор: SAXON13 14.4.2009, 11:30

Да вот ещё что сними дампы ИПЛ, СПЛ да и на всякий случай ОС и Радио вот этим флэшером:
[ Скрытый текст ]
и им же прошивай снятые дампы, по идее когда вдевайсе запущен ИПЛ, то этой прогой уже можно прошить...

Да как сказал Arcc кнопки входа в бут перед запуском надо держать, точно также как если бы ты прошивал обычным способом, не забудь проверить там по моему надо Холд вниз сдвигать, а тогда уже жать кнопки...

Автор: arcc 14.4.2009, 11:37

Вот тебе обрезаный родной IPL -попробуй его влить по адресу 13800000 и запустить. Брейкпоинт установи на адрес 13801080.

Потом если остановится ватчдог таймер то снова уже заливай полный IPL .
Про кнопки не забывай -держи их.

Автор: Mishael 14.4.2009, 14:30

При старте этого укороченного IPL с бряком на 13801080 (и на 138010FF пробовал) в IDA выскакивает ошибка
Breakpoint insertion or removal failed at address 138010FF. Memory may be corrupted.

2 SAXON13
как этим флешером дамп снимать? Там только кнопка Flash? а Read нету.
Холд это переключатель блокировки тела? Если да то пробовал сдвигать, кнопки зажимал

2 arcc
буты которые родные гружу с 13800000, который от визарда с 20000000 с бряком на 20000018

Автор: Mishael 14.4.2009, 14:46

Есть подозрение что не туда она его заливает, или выполнять начинает не с указанного адреса в GO FROM а с самого начала т.к. ели по бряку не остановилась и я стопаю её Halt'ом то останавливается на разных адресах начиная с 000С и до 29000000 примерно.
Как это проверить?

Автор: SAXON13 14.4.2009, 15:07

Насчет флэшера: правой кн. мыши щелкаеш слева вверху где значок, выпадает меню. в самом низу наж. "show backup". Появиться опция "backup" слева внизу , жмеш её и выбираеш что бэкапить. Тел должен быть как минимум в бут модэ, а возможно и еще в каком-то типа дэбуг, у меня живого аппарата нету чтоб проверить, а людям с Ассус-форума высылал эту прогу, то с 526 сливали и ИПЛ и EBOOT, а для 527 только EBOOT, хотя прога использовалась некими китайскими умельцами именно для 527, там просто у Ассусов есть ещё двольно много разных вариаций режимов, сейчас все не помню, если надо то поищю и опишу их, точнее как в них входить, а вот какой для чего, точно не известно...
Да, опцию формат не трогай и галочку на формат не ставь, форматнет всё и если сразу не прошьеш полной прошивкой то получиш второй трупик...

Да, Холд это переключатель блокировки, но это нужно точно для 527, а для 526 не помню. если сам не найдеш то потом посмотрю, где-то записано...

IPL с бряком на 13801080 нужен только чтоб стопонуть Ватчдог, там только эта часть и есть, так что в ИДе его особо не провериш, главное чтоб он в проце Ватчдог закупоривал...
чтоб смотреть куда заливает, там в НоАйсе есть функция, помоему view source или что то вроде этого, а то что у тебя показывает, то скорее всего он не исполняется или же исполняет код который есть в флэше...

Автор: SAXON13 14.4.2009, 15:32

Вот такую инструкцию нашел: На телефоне, Нажмите кнопку power или сделайте reset для сброса устройства, потом нажмите
[OK] (и не отпускайте) до появления надписи
IPL: Insert USB CABLE

[OK]это кн. под джогом (колесом прокрутки)
как я понимаю, в твоём случае надо будет просто зажать OK перед запуском бута, ресет жать не надо, всё что до этого залил слетит...

Автор: arcc 14.4.2009, 15:40

Попробуй делать в укороченном IPL старт не с 13800000 а с 13801018 а брейкпоинт тот же самый как я и говорил выше .
Да кстати можешь попробывать пошагать степом а не запускать go from -если время хватит.

Автор: SAXON13 14.4.2009, 15:47

Кстати, еще раз перечитал с чего всё началось и так и не понял, неужели девайс мог помереть от официальной прошивки? Может всё таки что то с железом?

Автор: Mishael 14.4.2009, 21:21

Ребят, всё что описали утром обязательно попробую, жаль что на работе не всегда могу задержаться подольше, а дома ноут без LPT.

А то что аппарат помер от официала это факт, т.к. изначально был сбой ПО, возможно первая попытка прошла криво и надо было не передергивать АКБ, а ещё раз ввести в бут и прошить в эксперт режиме, но я поторопился видимо.

2 arcc
а как запускать в IDA степами с определенного адреса?

Автор: Mishael 16.4.2009, 9:02

Привет, продолжаем.
Попробовал запустить укороченный IPL с адреса 13801018 и бряком на 13801080, та же ошибка

Breakpoint insertion or removal failed at address 138010FF. Memory may be corrupted.

причём Ida материться именно на адрес 138010FF в любом случае при заливке этого IPL.

Слил дампы прогой USBFlasher
IPL и Eboot здесь http://www.sharemania.ru/0234944

Так же слил ExtRom, GSM и OS
Выложу если надо.

В этой проге есть пункт формата "Format and Keep SGMFFS RETURN" , скорее всего надо было моему трупу такую процедуру провести вмето прошивки и скорее всего ожил бы, т.к. писал при ХР - GSMFFS Error...

Автор: arcc 16.4.2009, 10:15

Вопервых причем тут IDA и NoICe это разные вещи .IDA c jtag не работает .
Когда заливаешь по адресу 13800000 ты проверяешь есть этот файл в памяти ?

Так слей мне с убитого девайса что у тебя есть в памяти когда ты просто только подключаешь девайс и ничего не заливаешь с 0000 и 13800000- нужно поглядеть дампы большие не нужны гдето 10 -20 кил. Кнопки для входа в бут держи.

Автор: Mishael 16.4.2009, 11:12

arcc, извини, конечно про NoIce речь шла а не об IDA, совсем с ума схожу уже, думаю одно - пишу другое
сейчас солью куски

Автор: arcc 16.4.2009, 12:04

да еще сливай область 20000000 нужно глянуть x-loader перегружается туда или нет ,там тоже больших кусоков ненадо несколько килобайт всего.

Автор: Mishael 16.4.2009, 14:09

Слил, выкладываю, инфа только в куске с 0 по FFFF, с адресов 13800000 и 20000000 пустота.
Кнопку держал всё время, сливая каждый кусок переконнекчивал трубу.

Автор: arcc 16.4.2009, 14:20

Да действительно везде пусто кроме x-loader в начале .Такое ощущение что ты девайс просто форматнул флеш .
Думаем дальше как действовать .
Ты проверял когда заливаешь файл -он есть в памяти ?

Автор: Mishael 16.4.2009, 14:26

пытаюсь....
сейчас чуть КПК не разх*****, коннекчу, очень быстро заливаю IPL визардовский по 20000000 и тут же его пытаюсь слить по тем же адресам, но пока указываю все названия файлов, начальный адрес, размер - уже нихрена не успеваю слить.
Сейчас попробую запустить тогда его чтоб остановить ватчдог, и далее попробую.

Автор: arcc 16.4.2009, 14:43

Смотри вот что я вижу в том дампе что ты слил .
Похоже x-loader имеет ощибку в самом начале вместо 440000EA -если в IDA глядеть то будет
ROM:00000000 44 00 00 EA B loc_118
у тебя в твоем слитом получется
ROM:00000000 14 F0 9F E5 LDR PC, =0xE59FF014
далее уже следом идет 44 00 00 EA т.е у тебя какимто непонятным образом в начале х-loader записало мусор соответсвенно сместилась как ты говоришь точка входа и девайс выполняет мусор и сместилась вся адресация .
Те если вырезать 4 байта впереди получаем наш обычный x-loader .
Как вариант первый .
Загрузи прилогаемый файл с 0000 и запусти с 0000 -кнопки держи когда будеш запускать (возможно на флеши остался бут и он его загрузит )
Вариант номер 2 :
Загрузи файл по адресу 20000000 и также запусти с 20000000 и держи кнопки .
Неполучится будет думать дальше .

Автор: Mishael 16.4.2009, 15:23

вот и проясняется картина по маленьку, NoIce симулирует загрузку кода. Заргузил сейчас этот кусок и GO его с 0 и...
о чудо.... исполняемый код не изменился, во всяком случае в NoIce в левой колонке где она код показывает с 0 адреса после загрузки 0000_x_loader.bin показания не изменились и после старта тоже, никакого перехода на 118.

ps сейчас вариант 2 попробую

Автор: Mishael 16.4.2009, 15:43

по варианту 2 что-то правиться
слил по 4К с 0 и с 20000000

Автор: arcc 16.4.2009, 15:50

по адресу 20000000 не получится скорее всего грузить -так как переменные попадают в адресацию .
Поэтому предлогаю адрес 20004300 и также стартануть с него.
Я пока что немогу разобратся как действует лоадер -если он тока перегрузает IPL а в нем уже реализована дальнейшая зарузка это одно -второе наврядли в самом х-loadere реализован опрос клавиатуры чтоб выбирать какой грузить лоадер в дальнейшем .

Автор: arcc 16.4.2009, 16:05

Так немного непонял твоего ответа

NoICe не симулирует загрузку кода он показывает что у тебя процессор считал в память -по сути так как с нуля грузится девайс то он подставляет в RAM с флеши кусок кода и выполняет его.
Если в эту область можно залить данные (те по сути RAM открыт на запись ) то мы можем загрузить свой код и выполнить его но ватчдог нам не дает этого делать так что его нужно отрубать.

Автор: Mishael 16.4.2009, 16:14

попробовал грузанул с 20004300, запустил, потом стопнул halt' ом остановился где-то в адресах больше 2900000 и дальше.
по 0 адресу ничего не переписалось

Автор: arcc 16.4.2009, 16:20

ну так и не должно ничего переписыватся в 0000 .Я тебе про другое говорил.
Возможно если выполнить правильный лоадер у тебя загрузится IPL c флеши или же загрузится SPL для OS если они сохранились на флеш .
Для этого смотри адресацию 13800000 и 13A40000 появится там чтонибудь или нет .
Если в этих адерсах появляются буты то ватчдог стопарится будет.

Автор: Mishael 16.4.2009, 16:29

ватчдог точно не стопорился при этом, но сейчас гляну что по этим адресам происходит

добавлено:
не успеваю посмотреть что там есть, есть какая-нибудь команда в NoIce чтоб не сливать дамп а просто перевести курсор по данному адресу?
пока все адреса пропишешь с размерами и время заканчивается....

Автор: arcc 16.4.2009, 18:02

Я нашел что в NoICE можно выполнять скрипты -для этого
load c:\ASUS526\0000.bin 0000 B
R PC 0
G
BREAK
Save c:\ASUS526\13800000.bin 13800000 500

Запиши эти команды в файл 1.cmd (пути только подправь свои и положи файл 0000.bin туда )
Далее запускай этот скрипт -File->Play (или Ctrl+P) и выбирай файл скрипта .
Экономия времени огромная -и я думаю что команды понятые всем.

Либо же еще проще
в windows запусти cmd
далее
C:\>"C:\Program Files\NoICE\bin\NoICEARM.exe" C:\ASUS526\1.cmd

Автор: melky 16.4.2009, 20:27

никогда не сталкивался с jtag но вдруг вам поможет.
IPL: Insert USB Cable появляется после загрузки и проигрывания анимации включения, которая сидит в куске радиомодуля на 526, 527, 320.
в случе ошибки записи радиомодуля надпись будет на черном экране
по ОК + Камера (удержание) + ресет, совершенно другой загрузчик запускает встроенное ПО, можно фрматнуть намертво девайс, поменять IP, изменить работу USB драйвера и не знаю что еще (очень чувствителен к клавишам, можно нажать дважды ненароком)

в радиомодуле так же, bmp подтверждения ХР, какая-то файловая система (вероятно буфер для радиомодуля), таблица раздела всего этого.
Я все это к тому, что OK + ресет будет работать, даже если не прошить радиомодуль, или зашить вместо него мусор, но надпись будет на черном фоне без проигрывания анимации.

Автор: arcc 17.4.2009, 9:37

Значит продолжаем эксперименты.
В архиве файлы
WD_20000000.bin -должен остановить ватчдог
0000.bin загрузчик с нуля
IPL.Nb0 -соотвествено IPL
12345.cmd скрипт .
Сделай папку c:\asus526_dead\ либо же исправь пути в скрипте.
После выполенния скрипта должны образоватся 2 файла test_00.bin и test_ipl.bin файлы выложи тут .
Порядок действий такой - запускаешь скрипт и обязательно держиш кнопки для входа в бут .
Если первая часть скрипта отработает нормально и ватчдог остановится то загрузятся с 0 и с 13800000 файлы и начнется выполнение с 0 адреса .
Дальше будем смотреть ...

Автор: Mishael 17.4.2009, 14:50

Уа-у, экономия времени действительно большая получается.
Но вачдог толком с первого раза не останавливается, рубит аппарат при загрузке IPL.Nb0
Далее делал следующее, после остановки вачдогом нажимал несколько раз "Go\Halt" и потом "Reset the Target" после этого выполняю скрипт и всё проходит на ура, сделал так два раза для чистоты эксперимента, в считанных test_00 отличий нет, считанные test_IPL отличаются в 5 местах
вот они http://www.sharemania.ru/0182945

Автор: arcc 17.4.2009, 15:18

Странно почему в IPL отличия !!По идеи такого не должо быть .
Вообщем давай так
load c:\asus526_dead\WD_20000000.bin 20000000 B
BREAKPOINT 20000018
R PC 20000000
GO 20000000
load c:\asus526_dead\IPL.Nb0 13800000 B
R PC 13800000
GO 13800000
Дальше как запустишь
1) Пробуй подключится к USB и посмотри может быть действительно экран просто не зажигается но устройство появится в диспетчере
2)
можешь нажать Halt и посмотреть где останавливается выполнение -если гдето в районе адресации IPL это хорошо .

Автор: arcc 17.4.2009, 15:35

Кстати если девайс донор остался то попробуй подрубится к нему и посмотреть как он ведет себя на последний скрипт -если загружает IPL и выполняет его то скорее всего в твоем убитом девайсе проблемы с железом (но это не диагноз а просто как вариант )

Автор: Mishael 17.4.2009, 16:07

выполнил, устройство не появляется, по halt'у останавливается и прыгает в пространстве от 0 до 2Dxx

Автор: Mishael 20.4.2009, 8:11

Привет, попробовал на рабочем доноре, пока его у себя тормознул.
На рабочем скрипт проходит, если не зажимать кнопку "ОК", то после выполнения скрипта труба перезагружается в обычном режиме ОС, если зажимать кнопку "ОК" то труба ребутится в режим загрузчика.
Винда, кстати, не издает никаких звуков-пуков при подключении устройства, и в режиме ОС не отображает девайс в диспетчере устройств, а вот если подключить трубу в режиме загрузчика то девайс появляется в диспетчере как "Windows CE USB устройство" и опять же молча без звуков.
Сейчас гляну на мертвом теле, я то звука винды ждал....

Автор: arcc 20.4.2009, 9:12

Вся проблемма в том что на убитом девайсе почему то у тебя
1)Портится дамп IPL
2) И самое главное нет нормального выполнения IPL в RAM -по идеи он должен выполнятся в адресах 13800000 и ниже а по твоим словам он прыгает на нулевые адреса в район x-loader .
Как вариант но опять же это тока вариант - можно стопарнуть ватчдог и далее залить IPL -но в дальшейщем не запускать его на выполнение а пошагать степом (F9) (например шагов 100 -200) а далее запустить просто с текушего шага (GO) . И все время контролировать куда он там шагает и когда перескакивает на нулевые адреса.

Автор: SPH 22.4.2009, 17:55

Или торможу или еще что, не нашел :-) Подкиньте IPL и SPL для Р526 в бине, полноценные, не урезаные, для Jtag, если можно. Спасибо.

Автор: arcc 22.4.2009, 18:43

Nb0 и bin в данном случае эквивалентно .
В архиве 2 файла IPL бут который для прошивки ,SPL грузить винду .
Есть еще третий самый первый лоадер который называется х-loader

Автор: Mishael 23.4.2009, 8:24

SPH, спасибо что присоеденился, теперь выясним с железом у меня траблы или что-то не так делаем.
У меня закрадывается подозрение что всё таки флешка померла на этом аппарате, поэтому и инфу не держит.
Сегодня вечером мне принесут ещё один P526 с разбитым дисплеем, пожно будет над ним поиздеваться.

Автор: SPH 23.4.2009, 10:14

Спасиб!
Есть еще вопросы, если можно. Незнаешь ли, в каком порядке происходит вообще загрузка аппарата, например в триколор?
Кто кого грузит и что делает. Что IPL грузить надо и стопить, что бы вачдог заткнуть это я понял. Меня интересует процесс загрузки. Нужно для чего: выяснить в каком порядке подгружать буты и запускать.
Если можно. Спасибо.
Я пока позанимаюсь, написал скрипты, все грузится отлично, вачдог затыкается, IPL грузится, запускается, но увы, небыло SPL, а его как я понял надо после исполнения IPL загрузить в озу, и запускать. Озу образуется после IPL повидимому, из него прописываются необходимые регистры. Или таки я опять что неверно понял?

Автор: Mishael 23.4.2009, 10:32

Сними сначала дамп со своего трупа чтобы посмотреть X-loader у тебя целый или нет.
1 Если целый то заливаешь кусок IPL, стопаешь ватчдог, заливаешь полный IPL, стартуешь его (всё это проделываешь с нажатой кнопкой "ОК") - тело должно перейти в режим прошивки т.е. написать "IPL: Insert USB cable"
Как писал Melky, надпись можешь и не увидеть т.к. она будет на черном фоне, поэтому надо зацепить КПК по USB и глянуть в диспетчере устройств Windows CE устройство.
После этого запускаешь официальную прошивку в эксперт режиме, цепляешь USB кабель (в диспетчере должно появиться Windows CE устройство) и прошиваешь официалкой.
2 Если X-loader порушен, то - кусок IPL, стоп ватчдог, залить X-loader, залить полный IPL и т.д. как в п.1

Автор: SPH 23.4.2009, 10:36

Я вопринял как руководство к действию то, что тут - http://forum.pda2u.ru/forum/topic244.html?view=findpost&p=6158

Автор: arcc 23.4.2009, 11:02

При включении процессора (TI OMAP) начинается работа с 0000 первым грузится (выполняется ) всегда х-loader с 00000 .Также у процессора есть кэш по адресу 20000000 порядка 200к -как я понял из дампа что слил Mishael x-loader использует кеш процессора для своих переменных .
В самом x-loader идет инициализация процессора и тд в том числе и RAM а также есть проверка комбинации клавиш (но я на 100% не уверен хотя место вроде как нашел ) далее в зависимости от комбинации клавиш или ее отсутсвия загружается с флеши в RAM либо IPL либо SPL .
Если комбинация клавиш нажата то грузится IPL в адрес 138000000 и передается ему управление (это режим загрузчика -прошивальшика ).
Если комбинации нет то загружается SPL в RAM по адресу 139000000 и также ему передается управление -он уже грузит саму OS c флеши инициализирует память под нужды OS потому как там требуется виртуальная память и тд и тп .Помимо этого из дизасемблирования я видел что ватчдог таймер затыкается только после загрузки либо IPL либо SPL сам код стоит практически в самом начале одного и другого .
Т.е наша задача состоит в том чтоб запустить только загрузчик-прошивальшик IPL чтобы в дальнейшем использовать его штатные функции для прошивки (в противном случае нам нужно писать свой флешер ) но без документации это практически невозможно .
SPL нам нет нужды запускать по одной простой причине -OS у нас может и не быть (либо же она битая )и грузить ему нечего будет .

p.s девайса 526 у меня нет и экспериментировать нечем потому некоторые нюансы мне неведомы а кое в чем могу и ошибаться

Автор: SPH 23.4.2009, 16:08

К сожалению сегодня весь день провозился, но в триколор так и не попал. Да и вачдог достал если честно. В даташите на проц написано про нужные биты, которые видимо надо прописать в регистры. К сожалению моего ума не хватает.

Автор: Mishael 23.4.2009, 22:36

Я же говорю, на этой модели нет никакого триколора.
Вместо триколора (режим загрузчика) - надпись "IPL: Insert USB cable" (тот же режим загрузчика) на синем фоне, но эту надпись, возможно, видно только на рабочем аппарате, а на убитом её видно может и не быть, вернее она будет на черном фоне и ты её не увидишь, поэтому:
тебе необходимо взять архив из поста http://forum.pda2u.ru/forum/topic698s80.html?p=15863&#entry15863
переписать в нём скрипт как здесь http://forum.pda2u.ru/forum/topic698s80.html?p=15908&#entry15908
и выполнить его.
С момента подключения девайса к H-JTAG и до последнего момента всё время держи нажатой кнопку "ОК" на КПК и выполнив скрипт подключи КПК через USB кабель к компу и посмотри в диспетчере устройств появилось ли "Windows CE устройство" ?
Никаких звуков видна при подключении КПК не издаст, поэтому контролировать надо только визуально.
Если устройство появится то можно будет шить официальной прошивкой в експерт режиме. На рабочей трубе у меня это проходит а на дохлой нет, у меня IPL рушится при заливке и соответственно не выполняется по нормальному.

Автор: melky 25.4.2009, 21:02

Mishael - надпись все равно должно быть видно, она белыми буквами на черном фоне. На рабочем аппарате выглядит как черная полоска на синем фоне анимационной картинки.
А прогеров нету знакомых ? не легче P526FUU.exe родной от 526-го ковырнуть и посмотреть по каким адресам что шьется ?
ведь там шьется fixIPL.nb0 - незначительно отличается от IPL самой прошивки (p526.pim) а потом из прошивки вынимается eboot и IPL и тоже прошивается.
Кстати я считывал утилитой IPL с девайса, и он отличается и от fixIPL и от IPL из файла прошивки.

Автор: arcc 25.4.2009, 21:43

melky
Ты путаешь разные понятия - прошивка на DOC и запуск загрузчиков в RAM .
Дампы считаны с рабочего девайса с тех мест где они лежат в RAM и нас собственно в меньшей степени волнует отличия с тем что лежит в прошивке .
В данном случае нам нужно прежде всего запустить эти загрузчики чтоб они выполнялись .Нужно дизасемблировать первый загрузчки и искать проблеммы в нем.
Как вариант почему это не работает есть подозрение что это такая же проблемма как и на Hermes -там проблема возникала если использовать родной IPL и запускать его в RAM он не дает делать выполннение SPL в RAM ,в нем была проверка считывается ли SPL из NAND или нет .
Еще раз повторю мы не пищем в DOC а запускаем сам загрузчик в памяти и уже штатными средствами самого загрузика в дальнейшем запишем по нужным адресам в DOC -вообщем нам даже ненужно знать какие это адреса потому что выполняется обыкновенный апдейт прошивки.

Автор: melky 25.4.2009, 22:16

arcc понятно, это может прокатить на 526-м, так как в прошивке есть и eboot и IPL.
Проблема только у 527-го, так как у них этого нет. Saxon вроде так и не оживил зверька, иначе бы уже написал об этом.

Автор: arcc 25.4.2009, 22:21

Я знаю про 527 и его проблемы -но тут мы вроде как не обсуждаем его.

Автор: melky 26.4.2009, 11:47

arcc - если зверек по комбинации ОК+Камера (удержание) + ресет не подает признаков жизни, то описанный тобой метод как вода в ступе. потому что мертв все загрузчики....
Ну даже запустив IPL в RAM и запустив официальную утилиту прошивки в эксперт режиме максимум прошьется eboot и IPL на свои места, а другого то в прошивке нет. а я не уверен, что загрузка начинается с eboot, скорее всего она начинается с того, что сидит в зверьке и одновременно еще является служебным меню настроек.

Автор: arcc 26.4.2009, 12:34

melkyСо всем уважением к вам !
Вы это - ознакомтесь вообщето с темой.
Почитайте что такое jtag -как происходит загрузка девайса и тд .Пройдтесь по темам хотяб этого форума.
Пока что ваши знания на нулевом уровне.
1) Загрузчики (они же bootloader ) они же eboot IPL SPL X-loader и тд это как биос в материнке.
2)Обычно Производитель делает несколько загрузчиков -для прошивки для диагностики для загрузки OS
Первым идет очень маленький загрузчик в данном случае это зависит от конкретного железа связки процесор-флеш .В этом лоадере идет настройка (инициализация ) работы процессора и настройка работы флеши и RAM .
В дальнейшем маленький лоадер загружает уже более большой лоадер где реализованы другие функции .У всех производителей сделано по разному но принцип один и тотже.
А вообще почитайте доку на процессор и на флеш и вам станет все понятно .

Автор: melky 26.4.2009, 12:46

arcc, а я знаю, что тут я на нуле
просто не совсем понимаю что за чем грузится, и больше всего не понимаю, почему в прошивке 526-го два разных IPL и третий (скачанный с девайса) отличается от них обоих.

Автор: arcc 26.4.2009, 12:59

В девайсе 526 три загрузчика .
Я уже писал чуть выще как и что просиходит .
Первым выполняется x-loader (для своих переменных он использует кэш процессора потому как на момент старта загрузки еще не инициализирована RAM ) далее он загружает в зависимости от комбинации клавиш либо IPL для прошивки и тд ,либо загрузчик для OS .

Автор: mentos163 6.5.2009, 13:06

arcc, скажите пожалуйста!!! я удалил какую то нужную прогу на асусе р526 он у меня перегрузился и не хочет запускаться, что делать???

пожалуйста!!!!

Автор: SPH 6.5.2009, 13:12

Оффтоп:

Молиться ;-)

Автор: mentos163 6.5.2009, 13:15

)))))))) большое человеческое спасибо))))

Автор: SAXON13 6.5.2009, 14:33

А подробнее? Он не включается вообще или не грузиться Винда? Сделай Хард-ресет если не поможет то прошей...



Если нечего ответить, лучше ничего не отвечать...

Автор: mentos163 6.5.2009, 14:37

я даже не знаю что такое хард ресет, подскажи пожалуйста. У меня показывает только заставку вин мобаил

Автор: SAXON13 6.5.2009, 14:52

Чтобы сделать жесткую перезагрузку необходимо:
Удерживать вверх колесо регулировки громкости и одновременно нажать стилусом кнопку сброса
Отпустить стилус и продолжать удерживать колесо в верхнем положении
Нажать кнопки начала вызова для подтверждения выбранного действия


Начнется загрузка настроек по умолчанию, а все пользовательские данные будут удалены.

ЕСЛИ НЕ ПОЛУЧИЛОСЬ: после вышеописанной процедуры... вытащить аккумулятор и поставить обратно ..

Автор: mentos163 7.5.2009, 8:42

SAXON13, большое спасибо!!!!!!!!!!! я начал реанимацию !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! благодарю Вас!!!!!!!

Mishael, мне помогло!!!! я человеку сказал спасибо!!!!! для меня это было очень важно!!!!!!!

Автор: Mishael 7.5.2009, 13:55

2 SPH
Как успехи в реанимации?

Автор: mentos163 8.5.2009, 7:21

всё работает!!!!

Автор: Mishael 8.5.2009, 9:34

mentos163, а по подробней можно что ВСЁ работает? И как этого добились?
Если тебе помог Хард ресет, то меня интересует не он а JTAG.

Автор: mentos163 8.5.2009, 10:53

Mishael, я сделал этот ресет, восстановились настройки, мне нужен телефон для того чтоб звонил и только, а чтоб он ещё был красивым мне это не нужно!! с уважением!!!!

SAXON13, ещё раз спасибо!!!!!

Насчет хард-ресет, то вообще-то надо было посмотреть в каталоге полезной информации http://forum.pda2u.ru/forum/ipb.html?s=&showtopic=295&view=findpost&p=15117

Автор: arcc 8.5.2009, 11:15

Понятна ваша радость -мы все рады за вас и за успешный ресет .
Но данная тема немного не той тематики о чем вы думаете -здесь обсуждается действительно более сложные вопросы восстановления девайса .
Как бы это помягче выразится -ну вообщем ресет это самое элементарное и это написанно в инструкции .
Вот потому народ и прикалывается над вами -хотя если честно (каюсь ) я тоже хотел - но сдержал свои эмоции .

Автор: mentos163 8.5.2009, 13:00

arcc, я уже понял это, но мне было очень нужно, а когда нужно то делаешь все возможное!!! Сам знаешь!!!!

Автор: alex811 4.6.2009, 14:04

Господа!
При перепрошивке отключили свет и мой верный помошник asus p 526 заснул!
Кто может помочь восстановить девайс, откликнитесь обсудим условия???
Помогите кто может.

Автор: Mishael 15.6.2009, 19:50

2 alex811, не повезло тебе, решение ещё не найдено, во всяком случае подтверждения успешности ещё небыло.
2 arcc, продолжим?
Cегодня принесли плату P3300 (купил на з\ч) флеша такая же MS25-D10SD9-B3P
Вот думаю если сразу её махну на 526 и под JTAG её, то как быть с OTP зонами? Т.к. купил то на IMEI можно внимания не обращать, это официально, но вот сидит ли он по тем же адресам или по другим ХЗ. Есть мысли?

Автор: SAXON13 15.6.2009, 23:41

Сильно сомневаюсь, что по тем же адресам, почти наверняка что нет. К тому же и структура и количество бутов у них разные, наверняка что нет.
А вот реально ли их перенести, то тоже скорее всего что малореально...
А что есть сомнения по поводу флэши в Асусе?

Автор: Mishael 16.6.2009, 4:32

По поводу флеши, да, я выше писал что при считывании идет отличие в 2-5 байтах от записанного. Про структуру и адреса уже думал, но .... хочется верить

Автор: arcc 16.6.2009, 11:52

Mishael
Ну сам посуди -производители то разные .
Если даже буты разные и их количество .Это тебе не Квалком где по большему счету все унифицировано .

Автор: SAXON13 16.6.2009, 12:25

Да я тут подумал, а при чем тут флэш. ведь через жэтаг ты заливаеш ведь и считываеш не с неё, а из РАМ, флэш до момента прошивки вообще в этом процессе не участвует, разве что при самом старте грузит всякий мусор из себя...
может попробовать аппаратно временно на момент заливки отключать флэш?
Там есть ноги поверофф или что то вроде сейчас не помню, поищи на форуме, кажется в теме по поднятию Визарда я скидывал даташит на ДОК, если не найдеш вечером сам посмотрю и скажу где...

Автор: Mishael 17.6.2009, 6:20

2 SAXON13
Не, отключать флеш это уже совсем ни к чему, безполезный гемор, если даже после танцев с бубном что-то и получиться то при битом RAM софт один хрен слетит.
Вы вместе с arcc в постах выше верно сказали что нифига не получиться.
Просто промелькнула искорка надежды, всё, отставить, жду (ищу) родную флеху.

Автор: SAXON13 17.6.2009, 9:51

так я так и не понял, у тебя РАМ битая или флэш, по идее РАМ, если при считывании идут отличия, кстати при каком именно считывании?
так зачем флэш менять?

Автор: Mishael 25.6.2009, 22:51

SAXON13, я прозрел только сейчас. Действительно флеша не при чём, отличие идёт при считывании NoICE'ом залитого IPL из RAM.
А он то у нас, получается, в проце находится!? Я зациклился на флехе, и только сейчас на неё мануал глянул.
К серийному номеру проца (не девайс ID) привязки во флехе нету? Проц то можно от HTC 3300 поставить?

Автор: SAXON13 26.6.2009, 10:29

Привязки к процу нету, это ж не нокия. Да, помоему в HTC 3300 тоже ОМАР_850 так что можно ставить, только вот ты мне скажи на каких адресах у тебя ошибки, потому что по моему в нашем случае учавствует не только РАМ проца, но и РАМ самого девайса, скорее всего именно она битая, а может ее прсто прогреть или перекатать надо, уже у когото была похожая проблемма, после прогрева РАМ все решилось.

Автор: Mishael 27.6.2009, 12:55

Я к тому про флеш говорю, что и флеш и RAM у него в DOC сидят. RAM отдельно нет.
У него в логической части только
1-OMAP,
2-DOC (128MB Flash, 64MB SD RAM судя по мануалу на ASUS P526)
3-TWL3027(контроллер питания)

есть ещё 2 микрухи BGA
на одной маркировка BC2003(контроллер тача),
на другой B6150H1 (bluetooth).
На оратной стороне разрозненные стабилизаторы, отдельно RF часть и отдельно GPS.
И всё.

таки значит в DOC'е RAM тоже есть.

А IPL мы через NOICE прописываем в RAM проца по адресу 13800000, верно?
Если так, то мне действительно надо проц махнуть.

Автор: hrom___1 29.6.2009, 9:20

Ребят.... Привет для начала!!! У меня умер зверёк P526... Я тут вашу переписку почитал, если честно мало что понял!!! можно как нибудь упорядочить и разложить по пунктам, как и что делать??? какие проги, какие действия... в таком духе. Заранее благодарен!!!

Автор: SAXON13 29.6.2009, 15:33

Да похоже что РАМ у него в DOC, а вот где точно заливается IPL сказать не могу, по идее в РАМ процесора, хотя может там и внешняя учавствует, так что можно попробоваь проц переставить, а может просто его прогреть...

Автор: arcc 29.6.2009, 20:55

Если не понимаещь о чем пишут то не стоит и пытатся чтото делать .Решения на сегодняшний момент готового нет .

Автор: hrom___1 30.6.2009, 7:14

Я не то, что бы не понимаю... просто не разу не сталкивался... а кпк сделать хочется...

Автор: Mishael 1.7.2009, 8:12

2 hrom__1
скопируй всю тему в формате .doc и отредактируй лишнее и ещё раз перечитай, ещё перечитай соседние темы ссылки на которые в моём первом посте этой темы. Только тогда будет ясная картина с названием "что и как делать".
Только картина ещё не завершена.

2 SAXON13
Проц и DOC перекатаны уже, поэтому менять, время выберу - махну.

Автор: papandos 23.7.2009, 12:51

Здравствуйте есть убитый асус 526 убит судя по словам неудачной прошивкой, реакция полный ноль!
с паяльником на ты (радиоэлектрик)
Полностью прочитал две ветки по ОМАР850
Не могу подключить пины(и куча комбинаций) как на фото сверху!
Питаю 3,7в в зависимости от комбинации кнопок ток от140 до 50
H-Jtag не определяет? H-Jtag не определяет? H-Jtag не определяет?

Автор: SAXON13 23.7.2009, 13:08

Распиновка есть (какая еще куча комбинаций?), как настроить H-JTAG, есть в теме про Визард, подать питание на кабель и на аппарат, нажать кратковременно кн. Power...
Если всё делаеш по инструкции, то что то с железом...

Автор: papandos 24.7.2009, 23:38

Все доделал уже на макетке плюс анимация (видно обмен данных)
Проц определил!
NoICE for ARM работает стартует 0000
беда была в мекрухе 1533АП5 и 1554АП5 (аналог) не тянет уровни.
плюс колдовство с запиткой платы и телефона!

готов на эксперименты!

Автор: papandos 25.7.2009, 5:20

есть вопрос не пойму почему картинки разные это моя

а это ваша

Автор: arcc 25.7.2009, 12:16

А ты не думал что картинка старая ??? А прога изменяется со временем . Процессор правильно определен ?Чего еще надо ?
В остальном уже читаем тему и пробуем .Там написанно куда грузить и что делать.
Пока у меня нет такого девайса на эксперименты и я немогу сказать получится что либо или нет.
Как сказал SAXON13 всегда есть нюансы .

Автор: papandos 25.7.2009, 12:34

В теме есть ВСЕ! это точно!
но у меня доступные адреса только 0000-0060
флэш не видит?

Автор: SAXON13 25.7.2009, 15:23

Не понятно, что ты делаеш? Как можно дать ответ?

Автор: papandos 28.7.2009, 12:26

Здравствуйте!
провел кучу экспериментов!
Зажимал всевозможные кнопки, скрипт полностью у меня сработал всего пару раз!
В итоге я его укоротил до load c:\asus526\BOOT\WD_20000000.bin 20000000 B
BREAKPOINT 20000018
R PC 20000000
GO 20000000
и прикрепил к NoICEARM закладка Target Communications - Play this file after Reset (так еще быстрее)
после этого получил полный доступ!
ИТОГ!
При записи в 0000 все ОК! (проверял много раз! запись-чтение)
При записи в в область 13800000 нет совпадения с оригиналом
теряются два первые байта потом еще пару байтов и т.д.
СЛУЧАЙНО НАЩЕЛ АРХИВ asus526_dead.rar сделан Mishael после его шаманств пост #88
у меня полное совпадение test_ipl.bin
вообще в эту область запись нестабильна, пробовал FF прописывает с ошибками
в отличии от начальных секторов!
сделал видео как все работает http://depositfiles.com/files/6hwv7zshj
готов на любые эксперименты!
и еще ни в одной прошивке не нашел надпись касательно USB кабеля?

Автор: arcc 28.7.2009, 15:10

дак я про тоже самое и говорю -что непонятно пока почему портится.
Возможно какие то переменные и они ниначто не влияют .
Как появится у меня или у друзей такой девайс так и займусь экспериментами .

Автор: papandos 28.7.2009, 15:21

Спасибо буду ждать!
отрицательный результат - тоже результат!

Автор: papandos 30.7.2009, 11:34

Здравствуйте!
Информация к размышлению!
Jtag- без проблем и ошибок пишет и исполняет только в область 0000 и 20000000
причем если записать IPL.Nb0 в сектор 20000000 и исполнить, резко возрастает ток (что то там происходит)
но далее без остановок и ошибок и без переброса на начальные сектора исполняет код далее....
В область 10000000 пишет только с ошибками, причем обязательно пропуская два первых байта!
В область 30000000 - и далее при визуальной нормальной записи - прописывает нули.
Заметил что при Х резете в зависимости от комбинации кнопок меняется первая строчка X-Loader
потом если пару раз нажмешь на один резет восстанавливает до 440000EA
такое впечатление что проц работает сам по себе как сам захочет!

Автор: arcc 30.7.2009, 12:44

С 0000 подстыкована флешь -т.е фактически при старте процессора он будет читать данные с 0000 ,а по адресу 20000000 это кеш процессора причем довольнатаки большой 200к.

Автор: papandos 30.7.2009, 14:25

может глупый вопрос но как работает USB в телефоне - через внутренний драйвер или это как то хардово он привязан к процу?

Автор: papandos 1.8.2009, 11:31

есть подвижки!
Кирпич превратился в пол кирпича (появился белый экран)
и неизвесное устройство USB

которое все равно не дает прошить!

как делал.
если загрузить IPL.Nb0 в 20000000 адрес и исполнить потом остановить
что то происходит по току видно!
после этого без проблем и ошибок заливаю в 13800000
и исполняю итог - белый экран и неизвестное устройство!

arcc - чего то не хватает
Help!

Автор: SAXON13 2.8.2009, 1:03

Перед исполнением клавиши входа в бут зажимаеш?

Автор: papandos 2.8.2009, 1:13

одну клавишу OK

Автор: papandos 2.8.2009, 19:43

arcc! help!
ПРОСТО НЕТ ИНЦИЛИЗАЦИИИ УСТРОЙСТВА.(ASUS 526) КАК МНЕ КАЖЕТСЯ?

Автор: papandos 2.8.2009, 21:13

Молюсь - есть результат!

Автор: arcc 3.8.2009, 0:08

Какой результат?

Девайс в режиме бута не должен видется как обычное устройство .В свойствах Активсинка убери галочку подключение через USB устройство .

Автор: lyapis 27.8.2009, 23:49

Здрасте всем. Весьма интересная тема, но есть ряд вопросов:
1. каким проводом и как подпаиваетесь к точкам jtag? (если можно - фото)
1а. нет ли площадок покрупнее?
2. возможно ли в данном случае использовать упрощенную схему jtag кабеля? (например как для O2 XDA Flame)
3. какие конкретно кнопки нажимать при подаче питания на труп? (кто пишет кратковременно pwr, кто - pwr+камера 10-15 сек)
4. можно ли втыкать-вытыкать jtag кабель не выключая комп?
Заранее спс.

Автор: SAXON13 30.8.2009, 11:22

Ребята, перестаньте задавать "глупые" вопросы, это раздел по програмному реанимиованию девайсов, а не клуб юнного радиолюбителя, тем более на большинство из них уже не раз отвечали.
Теперь по существу:
1. провода типа МГФТ, многожильный тонкий провод, провода лучше паять приложив их горизонтально, а не вертикально, так менше рика вырвать площадки, чем при вертикальном припаивании.
1а. Нет покрупнее площадок на этом аппарате нету.
2. Возможно, если не жалко аппарат, микрсхема выполняет роль буферной защиты, чтобы не спалить процессор.
3. При первом подключении нажимать ПОВЕР, так как обычно включаеш девайс, а камера 10-15 сек, это уже когда будет залит булоадер, перед его запуском.
4. Да, можно
Насчет фото не понял, может еще видео надо с процессом пайки?

Автор: lyapis 30.8.2009, 17:55

Нет, видео не надо - процесс пайки меня не интересует меня интересует результат (человек припаял МГТФ к площадке диаметром менее полумиллиметра... . Какого сечения провод?).
Зря Вы так негативно реагируете. Даже самые виртуозные программные мероприятия не приведут к успеху без грамотной аппаратной подготовки, не так ли, уважаемый Саксон 13?
P.S.
Неужели мой вопрос глупее вопроса про ХР? (См. выше по теме)

Автор: arcc 31.8.2009, 10:06

А вы думаете вопрос не глупый ??
Если у вас нет оборудывания для проделывания такой операции -зачем туда лазить ?
Видел я такие девайсы после неквалифицированного вмешательства -чинить было бесполезно.
Дедушкиным паяльником которым он паял утюги этим не сделать -а в остальном тот кто имеет оборудывание не задает эти глупые вопросы .
Мало мальский набор инструмента это паяльная станция (100-500$) микроскоп (100-500$) ну и остальной хрени подсчитать трудно (200-1000$).
Некторые элементы стоящие на платах имеют размер 1 мм и выше -вот и думайте сами .

Автор: lyapis 1.9.2009, 16:30

Блин,Ребята!!! Я ПРОСТО ПОПРОСИЛ ФОТОГРАФИЮ!..

С чего Вы взяли, что я сам полезу в аппарат???
С чего Вы взяли, что вопросы задают только обладатели спецоборудования???
У маня в распоряжении лаборатория со специально обученными специалистами и с соответствующим оборудованием. Еще раз повторюсь меня интересует результат, а не процесс. Я же должен поставить задачу типа: Припаять провода МГТФ например 0,07 к таким-то площадкам, длинной 100 мм, концы заделать на разъем типа BLD с такой-то распиновкой. Или имея фото: сделайте вот так.

Вот и всё..

Зачем было это все писать: Дедушкин паяльник... и прочее.....? (Кстати в теме про http://forum.pda2u.ru/ipb.html?act=attach&type=post&id=479 как раз похоже дедушкиным паяльником и работали)

Автор: Mishael 1.9.2009, 20:31

2 lyapis
Сам не полезешь, тогда не задавай глупых вопросов.
Человек (директор/ страждущий) ни разу не державший в руке паяльник не сможет пояснить умеющему (ремонтнику/любителю/профи ) как и что надо припаять. Умеющему ДОСТАТОЧНО найти куда припаяться (есть в теме), а как это сделать он сам сообразит, это инженерная (радиолюбительская) смекалка подскажет.
Тем более если у Вас в рапоряжении ЛАБОРАТОРИЯ со СПЕЦИАЛЬНО ОБУЧЕННЫМИ СПЕЦИАЛИСТАМИ, то покажите СПЕЦИАЛИСТАМ эту тему форума, они прочитают и сделают всё необходимое без Вашего, МЕШАЮЩЕГО творческой мысли, участия. Так глядишь ещё и нам помогут, а если их отгораживать от полной информации (типа ты припаяй вот так а я прошивать буду) то ничего стоящего не выйдет. В ремонте важно понимать и железо и софт и особенности их тандема.

И впредь, не задавайте в этой теме такие вопросы. Это вопросы уровня кружка электроники в пионерлагере после 1го класса.

Автор: lyapis 1.9.2009, 21:42

Так, понятно. Единомышленники объединились. Простого ответа в двух словах или фото я виидимо не получу.

До сих пор не понятно только одно: почему человеку, который что-то удалил из телефона и написал в первый попавшийся форум, которому девайс нужен только чтобы звонить, был дан НОРМАЛЬНЫЙ ответ, а мне уже три человека (очевидно достаточно грамотных специалиста) пишут какую-то лирику?

Да, и еще (если это Вам не очевидно): свой убитый девайс хотят восстановить не только програмисты, радиоэлектроники, но и простые люди. И обращаются они сюда ЗА ПОМОЩЬЮ, а не для того,чтобы поболтать.

Теперь кое-что поясню:
1. Лаборатория имеется ввиду - монтажная. Специалист - по монтажу. И девочка-монтажница врядли будет разбираться в теме.
2. Пока мы тут чатились нашел jtag промышленного производства. Так что о помощи можно будет говорить ПОСЛЕ аппаратной подготовки.
3.

В моем случае важно правильно организовать работу: грамотно поставить задачи своим коллегам, обеспечить их информацией ТОЛЬКО в части касающейся.

P.S.
Раз уж Вы взвалили на себя святое бремя помогать людям, так помогайте, а не учите жить.

Автор: Mishael 1.9.2009, 22:16

Так и помогаем, а не учим жить. я же написал - покажи знающему\разбирающемуся человеку эту тему чтобы он понял СУТЬ ПРОБЛЕМЫ и ОСНОВНЫЕ ПРИНЦИПЫ еЁ решения и предпринимал ПРАВИЛЬНЫЕ ШАГИ.
Далее.
Здесь пишут только по существу восстановления программной части ЗАВЕДОМО САМОСТОЯТЕЛЬНО изготовив или купив JTAG интерфейс и умея его правильно подпаять к плате ничего на ней не повредив. Кто не уверен в своих прямых руках - отдайте в добрые руки.

И этот человек ещё таскает по столу аппарат в течении нескольких месяцев у этого аппарата уже более сотни подключений\отключений к компу и до сих пор дорожки не вырвались. Этот человек МАГ!

Автор: lyapis 2.9.2009, 5:58

Ладно, я все понял. Давайте прекратим эту никому не нужную переписку.
Но раз уж

, то переименуйте тему, например так: "ASUS P526 реанимация через УЖЕ ГОТОВЫЙ И ПОДКЛЮЧЕННЫЙ JTAG" и, как Вы говорите, "глупых" вопросов (соответственно и таких же ответов) не будет.

Автор: papandos 2.9.2009, 11:17

Здравствуйте!
Я опять дома (была командировка)
после долгих издевательств над пациентом исчез полу рабочий USB
но появились две картинки

эта при загрузке IPL (любая кнопка или без кнопок)


А эта картинка при исполнении IPL + колесо в верх!

может дальше картой добить?

Автор: Mishael 4.9.2009, 16:21

Привет. То есть флешером в эксперт моде он не видится сейчас? И какой из выложенных IPL всё таки привел к такому результату?

Автор: papandos 7.9.2009, 13:25

Я уже писал - пост 153
в моем случае (точно убит прошивкой) запускаю noice добиваюсь ресетами первой строки переход на 118(с первого раза не всегда получается, надо дождаться пока бут все отработает)
потом запускаю бряк от Wizard. С адреса 20000000 с брейкпойнтом на 20000018, go from 20000000 надо чтоб отработал =

Теперь можно залить IPL в 20000000 и исполнить с 20000000 с остановкой через секунд 5-10-20 (подымится ток до 150-170 милиапер)
Все теперь можно этот же IPL без ошибок залить и исполнить в 13800000 подключаешь USB получаешь неизвестное устройство
шить можно (эксперт реж. или китайской утилитой) но только пока noice по кругу исполняет код в районе 138*****
П.С. после прошивки нет перезагрузки когда сам перегружаешь результат ноль после нескольких попыток решил обновить и GSM
Итог: пост 168 USB отсутствует
наверно сейчас есть только один вариант по этой аналогии http://forum.pda2u.ru/topic857.html?hl=Востановление+бутлоадера+в+ETEN+M500\M500\ загрузить драйвер USB
Может кто-то поможет, нужен файл и адрес (готов на эксперименты)

Автор: Mishael 9.9.2009, 6:24

теперь понятно, я на данный момент со своего 526го выставил дисплей, поэтому эксперименты временно приостановил, возьму дисп. буду дальше мучать

Автор: papandos 9.9.2009, 8:53

Tо что я написал получится я много раз проверял (да и симптомы у трупов были одинаковые) вопрос перезагрузки после прошивки?
Если будешь использовать китайскую утилиту не прошивай GSM - получишь мой результат!(нет USB зато картинки )

Автор: Simply Beaver 16.9.2009, 12:43

Всем здрасте.
так для сведенья

Эта картинка лежит в GSM модуле. По этой комбинации делается хард ресет.

А причём тут кнопка камеры?
На скольк я помню камера + ресет это комбинация сервисного меню.
А вход в бут лоадер это "ок" + ресет.

Автор: Tam 12.1.2010, 19:40

Друзья помогите мне с Асус Р526 у меня точно такая проблема как и у Mishael только прикол в том что он знает эти все расшифровки,комбинации а я в этом плане новичок.Хочу сам его сделать только мне нужна ваша помощь.Ситуация 1-н в 1-н аналогична помогите мне с этой проблемой буду признателен.

Автор: Yokel 17.1.2010, 10:02

Есть успехи?

Автор: Tam 17.1.2010, 19:00

успехов нету тело до сих пор не работает.Помощи ждать не от кого!

Автор: lyapis 17.1.2010, 22:13

Если так поставлен вопрос - помощи не жди!
Давай больше информации (что уже сделал?):
пробовал хирое включение, разобрал девайс, собрал/купил JTAG (кстати для наших асусов unbuffered и XILINX не катят, нужен wiggler), подпаялся, законнектился, проц определился, noice пишет то-то то-то и тд...

Автор: Andrei_HTC 3.2.2010, 20:01

Ребят так как там подняли зверя?слежу за веткой с начало!!!отпишитесь на чем остановились?!!

Автор: papandos 4.2.2010, 10:54

Так вроде все "успехи" описаны!

Автор: Simply Beaver 27.2.2010, 0:23

А в чём прикол от китайской (тайской) утилиты, если она не прошивает ни одного загрузчика? Нам же необходимо именно загрузчики для обновить, а OS и GSM это уже дело пары минут.
Тут необходима только оф прошивка в режиме expert mode
Да, и Melky хотел вам сказать что x-loader не прошивается ни офф утилитой апдэйда, ни точно уж китайской.

Автор: Yokel 22.4.2010, 16:04

Получается поднять?

Автор: alecs-m 2.5.2010, 18:12

А что если в настройке LPT Jtag Settings (H-JTAG)понизить скорость TCK Speed.
MAX/1 это максимальная.
Возможно Jtag диктует быстрее чем Flash успевает записывать.

Автор: bogush 8.5.2010, 8:51

а ты спроси у них что такое пятница и узнаешь где остановка , ты что не понял что они в книжках фраз набрались и ими кидаються ,а смысла и сами не знают

Автор: Nazarka 9.6.2010, 12:01

может пригодится?заметил на своём трупике что при подключенном юсб, нажать ресет и подержать 3-4 секунды- должен мигнуть красный светодиод ,а потом сразу же сделать ресетом быстрый двойной "клик", зажгется подсветка клавы .............вот что и хотел сказать

Автор: Tam 22.6.2010, 12:28

Ребята короче сдал ASUS в ремонт сказали что мать сгорела полностью поменяли на новую цена 400грн

Автор: tokar58 25.3.2011, 22:51

товарищи,помогите пожалуйста,друг дал убитый софтово этого зверька,после прочтения огромного количества инфы приступил к его реанимации,все делал в соответствии с руководством по ссылке: http://forum.pda2u.ru/topic348.html кабель делал по упрощенной схеме,но упростил еще (собрал без микросхемы,на этом форуме говорили что можно и без нее) так вот,подключил я все это дело к телу,настроил h-jtag,при "detecting target" выдает следующее: unable to find target.please make sure that the hardware..... где я сделал ошибку подскажите пожалуйста.
PS при включении тела потребление тока: 60мА,хотя в тексте вышеприведенной ссылки говорилось что должен потреблять 120-140мА.
надеюсь на скорый ответ.

Автор: lyapis 7.4.2011, 5:50

tokar58, забудь о помощи, посмотри когда был последний пост по теме...
Единственное, что могу точно сказать, JTAG без микросхемы не катит, надо обязательно Wiggler. Попробуй.

Да, и еще забыл. При включении у мя ток прыгал от 40 до 90 ма.