|
После замены dll`ок OCD Commander`а, удалось войти в in DEBUG.
Действия по инструкции к желаемому результату не привели - на последнем этапе выполняю step & go, загорается желтый светодиод, но на экране продолжает гореть заставка и процесс прошивки не начинается.
Перечитал много форумов в поисках подробностей первых фаз загрузки, форматов загрузчиков и т.д.
Обзавёлся IDA Pro 5.5 и начал потрошить прошивку.
У меня в аппарате первые 0x800 байт прошивки видны по адресам 00000 и 20000.
Просмотрев Идой этот кусочек, нашел такой участок:
ROM:00000680 STR LR, [SP,#-4]!
ROM:00000684 BL sub_4CC
ROM:00000688 MOV R0, 0xA0060000
ROM:00000690 BL mov_pc_r0
ROM:00000694 ; ---------------------------------------------------------------------------
ROM:00000694 MOV R0, #0
ROM:00000698 LDR LR, [SP],#4
ROM:0000069C BX LR
ROM:000006A0
ROM:000006A0 ; =============== S U B R O U T I N E =======================================
ROM:000006A0
ROM:000006A0 ; Attributes: noreturn
ROM:000006A0
ROM:000006A0 mov_pc_r0 ; CODE XREF: ROM:00000690�p
ROM:000006A0 MOV PC, R0
ROM:000006A0 ; End of function mov_pc_r0
Это подтвердило правильность инструкции о необходимости точки останова в адресе 0xA0060000
В интернете удалось найти файл загрузчика для какого-то аппарата, он тоже начинался с байтов FE 03 00 EA
В прошивке я нашел несколько таких сигнатур, первая из них начинается с адреса 0x800 и до следующей такой сигнатуры занимает 0х80000 байт, что в точности соответствует выложенному файлу загрузчика для i350-го. Я даже вырезал из прошивки этот участок и побайтно сравнил с выложенным - различий нет.
Сразу же вырезал ещё два таких же участка (начинающихся с FE 03 00 EA) , идущих один за другим в прошивке до начала собственно IMGFS.
Если первый занимал 0х80000=524288b, то второй уже имеет размер 0xC0000=786432b, а третий и того больше - 0x3C0400=3932160b.
Беглый осмотр содержимого этих файлов показал, что они все имеют отношение к загрузке аппарата.
Например, в третьем, самом большом файле есть сточка в unicode "- IMAGE UTILITY -", которая и есть часть того, что мы хотим увидеть на экране аппарата.
Не долго думая, выполнил все шаги инструкции, каждый раз загружая новые файлы (сконвертировав их в HEX и задав начальную область 0xA0060000).
step & go при зажатых кнопках на этих файлах не привело к желаемому результату. Даже желтый светодиод не загорелся.
Тогда я сделал файл, содержащий все три части, но и это не помогло...
Делать нечего, взялся за Иду в отношении предполагаемого первого загрузчика. Сгенерировал листинг, поиском нашел все места, содержащие манипуляции с PC и нашел такие любопытные участки:
seg000:A0061238 MOV R1, #0x80000
seg000:A006123C MOV PC, R1
Возможно, это возврат к обычному процессу загрузки (если никакие кнопки не были зажаты).
seg000:A0072468 LDR R2, =0x80072488
seg000:A007246C BIC R2, R2, #0x20000000
seg000:A0072470 CMP R2, #0
seg000:A0072474 MCR p15, 0, R1,c1,c0
seg000:A0072478 MOV PC, R2
Этот участок кода я вообще не могу прокомментировать… Возможно, из таблицы переходов вызывается какой-то адрес, и если это не пустой адрес, то выполняется переход на него. Тогда это вызов какой-то предопределённой процедуры.
seg000:A00613A8 loc_A00613A8 ; CODE XREF: seg000:A0061398j
seg000:A00613A8 ; seg000:A0061410j ...
seg000:A00613A8 LDR R1, =0xBBBB0020
seg000:A00613AC LDR R0, =0xA0120400
seg000:A00613B0 LDR R2, [R0,#8]
seg000:A00613B4 CMP R2, #0
seg000:A00613B8 BNE loc_A00613C4
seg000:A00613BC LDR R1, =0xBBBBE021
seg000:A00613C0 B loc_A00613D4
seg000:A00613C4 loc_A00613C4 ; CODE XREF: seg000:A00613B8j
seg000:A00613C4 LDR R1, =0xBBBB002F
seg000:A00613C8 ADR LR, unk_A00613D0
seg000:A00613CC MOV PC, R2
Тут тоже сложно комментировать, но по крайней мере один вывод я сделать могу: адрес 0xA0120400 ссылается за пределы данного загрузчика, который в этом адресном пространстве занимает место с 0xA006000 по 0xA00DFFFF.
|
Gigabyte Gsmart I300-убит бутлоадер?, Сбой при прошивке...
15.8.2009, 22:13
