Снова привет.

Есть ASUS P526 с уваленным бутом, сам увалил прошивкой.

Предыстория: принесли тел - висит на заставке ASUS, формат ХР не проходит СР тоже, при попытке ХР и нажатии зеленой кнопки писал примерно следующее - блаблаблаGSMFFS error или что-то вроде этого. Дабы исключить аппаратный косяк типа НЕПРОПАЙ после падения - пропаял флеш и проц, поведение не изменилось.
Решил прошить стандартной прошивой P526_v6.1.0_Russia_F3.2_Lock.exe в итоге аппарат забутился, за 5 секунд сделал вид что прошился, ушел на перезагрузку и оттуда не вернулся. Через 15 минут я выдернул АКБ и получил кирпич. (IMG:http://forum.pda2u.ru/style_emoticons/default/rolleyes.gif)

Что имеем:
1 Распиновку вычисленную снятием проца и прозвоном (выложу далее)
2 JTAG, сегодня сваял опробовал, проц определяет.
3 Родную прошивку в том числе распакованную на временные файлы temp0, temp1, temp2, temp3 и temp4
4 Имеем представление о том что надо прошить IPL и SPL.

Теперь несколько вопросов, на которые у меня нет однозначного ответа:
1 IPL и SPL может подойти от торнадо? так ли это?
2 Можно ли снять дамп с мертвого кпк чтоб определиться с адресами заливки этих IPL и SPL?
3 Тему http://forum.pda2u.ru/forum/topic244.html перечитал несколько раз, но помощь в добыче адресов и верных IPL , SPL все таки нужна.

ниже 2 фото с точками JTAG

вторая сторона платы

1. Нет, естественно, у каждого аппарата свои загрузчики, тот же бут от торнадо уваливает родственный ему хюрикен.
Вот вырезаные из прошивки IPL и EBOOT ____
но скорее всего их еще надо будет править для того чтоб они стали пригодны для заливки в РАМ.
Я сам сейчас занимаюсь 527, правда в связи с нехваткой времени пока не довел до конца, плюс там еще проблема, что для 527 в прошивках отсутствуют буты.
2. Именно так я и собираюсь сделать, правда у меня чуть другая ситуация 527 прошит от 526, у тебя же всё должно быть проще, загрузчики из прошивки есть, и девайс прошит своими загрузчиками, так что через NoICE снимай последовательно дампы с 0, 10000000, 20000000, 30000000

Сообщение отредактировал SAXON13 - 23.1.2009, 10:12

Править руками в винхексе или конвертить чем-то?
И размеры дампов 1й с 0 по 10000000 ; 2й с 10000000 по 20000000 ; 3й с 20000000 по 30000000 и 4й с 30000000 по какой адрес?

Скорее всего в Хексе, утилит нету. Главное знать что править, поэтому за неимением живого девайса, снимай дампы с трупика, будем знать в каком виде и по каким адресам они расположены

В общем так, 2 часа и нулевой результат. Присчитывании дампа с 0 по 0FFFFFFF вылетает ошибка
Memory read\write error - Can"t re-enter debug state
Причем ошибка выскакивает на разных адресах. H-JTAG проц детектит изумительно, питаю тел и JTAG от USB+кремниевый диод (4,3V)
Пробовал играться в NoICE частотой работы проца от 50 до 450МГц, результат одинаков. Может это с ватчдог связано? Он на снятие дампа может влиять? И как это побороть.

Да это ватч-дог, поэтому надо делать всё быстро, у тебя есть приблизительно 10 сек. с момента включения девайса
в NoICE dump> adress 0 size ~1000, всё равно больше 520 не сольёт и так последовательно по адресам 0, 10000000, 20000000, 30000000 а потом сужать диапазон поиска...

Сообщение отредактировал SAXON13 - 23.1.2009, 15:56

Mishael
Прозвони тестпоинты которые под сим картой -выходят туда точки jtag? сильно уж они неудобно расположенны - судя по моему Асус 535 -под симкой точно такие тест поинты -есть вероятность что для асуса это стандартный пины.

Насчет дампа памяти - сливай кусками -первый загрузчик будет по любому с 0 адреса -длинна его не большая не более 2-5 кил -второй загрузчик скорее всего с адреса 10000000 длинна его скорее всего в пределах 300-1000 кил.


IPL и EBOOT которые вырезаны из прошивки -судя по структуре это 2 бута -но IPL это не самый первый бут который лежит с 0 адреса .
Вероятно всего это буты которые нужны для прошивки ,диагностики ,дампа и тд и бут который запускает саму ОС .

Вот первый кусок из прошивки, но там практически всё нули, не знаю какую функцию он исполняет, но скорее всего при прошивке эта область не прошивается

2 arcc
Нет, пины которые возле sim коннектора на точки JTAG не звонятся, я тоже сначала предположил что это они.
Сейчас буду сливать дамп кусками.....

Вот первый кусок с 0 по 407F в котором содержится код, дальше пока идут нули. Сливаю дальше...

Mishael
Да то что ты слил и есть первый загрузчик если смотреть по аналогии с wizard (IPL ) в асус он называется X-LOADER и вероятно всего в прошивке не присутсвтует и не перепрошивается -фактически это и не нужно .
Еще раз слей эту область (сливай чуть больше с нулями ) и сохрани в bin формате а не в юникоде .

2 arcc
Я на данный момент дошёл до адреса 68FF0, этот watchdog меня с ума сведёт, пробовал его заткнуть аппаратно, не получается, даже кварц часовой стопал, не помогает. Может програмно как-то можно ухитриться, в мануале на проц OMAP850 есть инфа где он сидит и что ему надо.
Дальше точно нули идут, слить одним куском столько не удасться, а если и удасться то NoICE не даст сохранить ссылаясь на ту же ошибку ввода\вывода. А из текста в бин не перевести разве винхексом или ещё как-нибудь?

Ватчдог затыкается программно .Судя по тому как ведет себя девайс в первом буте нету отключения ватч дога ,а второй скорее всего убит .
Сделай плизз дамп нормальный в виде bin а то сидеть
и выдирать из твоего дампа данные както муторно .
Вот твой дамп
0000 44 00 00 EA 14 F0 9F E5 14 F0 9F E5 14 F0 9F E5 D..ê.ð.å.ð.å.ð.å
0010 14 F0 9F E5 14 F0 9F E5 14 F0 9F E5 14 F0 9F E5 .ð.å.ð.å.ð.å.ð.å
0020 00 00 00 20 04 00 00 20 08 00 00 20 0C 00 00 20 ... ... ... ...
0030 10 00 00 20 14 00 00 20 18 00 00 20 C4 80 8F E2 ... ... ... Ä..â
0040 03 00 98 E8 08 00 80 E0 08 10 81 E0 01 B0 40 E2 ...è...à...à.°@â
0050 01 00 50 E1 13 00 00 0A 70 00 B0 E8 05 00 54 E1 ..Pá....p.°è..Tá
0060 FA FF FF 0A 01 00 14 E3 0B 40 84 10 01 00 15 E3 úÿÿ....ã.@.....ã
0070 0B 50 85 10 02 00 15 E3 09 50 85 10 03 50 C5 E3 .P.....ã.P...PÅã

а мне нужно чтоб было в виде
44 00 00 EA 14 F0 9F E5 14 F0 9F E5 14 F0 9F E5
14 F0 9F E5 14 F0 9F E5 14 F0 9F E5 14 F0 9F E5
00 00 00 20 04 00 00 20 08 00 00 20 0C 00 00 20
10 00 00 20 14 00 00 20 18 00 00 20 C4 80 8F E2
03 00 98 E8 08 00 80 E0 08 10 81 E0 01 B0 40 E2
01 00 50 E1 13 00 00 0A 70 00 B0 E8 05 00 54 E1
FA FF FF 0A 01 00 14 E3 0B 40 84 10 01 00 15 E3
0B 50 85 10 02 00 15 E3 09 50 85 10 03 50 C5 E3
это нужно чтоб в IDA засунуть и глянуть .

To Mishael
В NoICE, закладка File>>SAVE в появившемся окне указываеш адрес и имя сохраняемого файла, адрес с которого дампить память, размер сохраняемого файла и указать в file format >>binary

To Arcc
Подскажите как правильно пользоваться ИДой, что там указывать и какие параметры задавать

Сообщение отредактировал SAXON13 - 28.1.2009, 2:38

вот кусок в бине с 0 по 5000

Вообщем порылся я в том что слито
Первое
X-loader работает с нуля далее перегружается в кэш процессора по адресу 20000000
Кстати попробуй установить адрес 20000000 и слить небольшой участок чтоб подтвердть мои догадки .
По каким адресам работают вторые буты пока ненашел- пока думаю.
Второе
-похожего на ватч дог таймер там нет но есть похожее в p526_IPL___EBOOT.

Вот как затыкается на визарде .
sub_350
LDR R0, =0xFFFEC808
MOV R1, #0xF5 ; '¿'
STRH R1, [R0]
MOV R1, #0xA0 ; 'à'
STRH R1, [R0]
RET
; End of function sub_350

На асусе подпрограммы нету там просто участок кода причем присутствует в обоих бутах.

ROM:10001058 LDR R0, =0xFFFEC800
ROM:1000105C MOV R1, #0xF5
ROM:10001060 STRH R1, [R0,#8]
ROM:10001064 MOV R1, #0xA0
ROM:10001068 STRH R1, [R0,#8]

Теперь будем думать как запихнуть это в NoICE и выполнить чтоб не ресетило девайс .

Вообщем попробуй вот так .
Бери WDTIMER.bin (распакуй архив ) и грузите с адреса 20000000 установи бряк(останов)
Breakpoint->Insert Breakpoint ->
на адрес 20000014 далее запускайте Go From ->20000000 и жди чтоб NoICE отработал WDTIMER.bin и стал на адрес 20000014 -далее если все прошло нормально то можеш спокойно лазить по памяти девайса смотреть где что и как .Ресетится не должен.

С адреса 20000000 слил кусок 5000 - все нули 00 00 00 00 00 00 00 00
Пробовал влить WDTIMER, бряк поставил, запустил, NoICE его колбасила минут десять так и не стопнула, остановил сам.
Вот тут разбирали прошивку и есть некоторый расклад по адресам, может это нам поможет? http://asusmobile.ru/board/viewtopic.php?t=11262
А вот здесь процесс расковыривания дампа http://asusmobile.ru/board/viewtopic.php?t=7793

Ватч дог остановился ?Можеш не ставить брейкпоинт а пройтись по шагам с адреса 20000000 -там всего несколько команд до адреса 20000014.
Пока не остановится ватч дог заливать что либо особо не получится -будет ресетить девайс .

Те ссылки что ты дал это не нужные нам данные -это расположение частей на самом DOC (ROM) а нам нужно что и где запускается в RAM (физические адреса ).
Некоторые адреса я нашел - но желательно бы проверить на рабочем девайсе есть ли там что либо когда девайс переводиш в режим бута .

Значит вот что нарыто .
Бут который IPL
запускается в RAM по адресу 13900000
Внутри есть вот такие данные которые мне непонятны .

.data:13900D07 DCB 0x43 ; C
.data:13900D08 aSpcipl_nb0 DCB "SPCIPL.nb0",0 ; DATA XREF: .text:off_13A88A84o
.data:13900D13 ALIGN 4
.data:13900D14 aExtrom_nb0 DCB "EXTROM.nb0",0
.data:13900D1F ALIGN 0x10
.data:13900D20 aIplmdoc_nb0 DCB "IPLMDOC.nb0",0
.data:13900D2C aGsm_dio_nb0 DCB "GSM.dio.nb0",0
.data:13900D38 aSpceboot_nb0 DCB "SPCEBOOT.nb0",0
.data:13900D45 ALIGN 4
.data:13900D48 aEbootmdoc_nb0 DCB "EBOOTMDOC.nb0",0
.data:13900D56 ALIGN 4
.data:13900D58 aFlash_dio_nb0 DCB "flash.dio.nb0",0
.data:13900D66 ALIGN 4

Второй бут который SPL запускается по адресу 13801000

2 arcc
Слил куски по 64К
В моём вот так: по адресу 13801000 все нули, по адресу 13900000 шлак, как мне кажется.
Как узнать остановился ватчдог или нет? мне NoICE должна об этом сообщить или пошагово дойдя до адреса 20000014 попробовать слить большой кусок дампа и если NoICE не ругнётся то остановился?

Аналогичный кирпич получил при попытке прошивки. Прошивка - как у Mishael. Симптомы превращения в кирпич аналогичные.... С интересом слежу за темой.

Реанимация продолжается. Сегодня принесли такой же рабочий аппарат, завтра сниму дамп.

дамп уже снял, выложить на файлообменники не могу уже 3й день, размер архива 100 метров. Может отдельные куски здесь на форуме выложить? Первый кусок (архив) с 0 по 0FFFFFFF весит 208КБ. Прикрепляю здесь.

вторая часть

и последняя

Продолжаем реанимацию. Были проблемы со скоростным инетом.

Вот остальная часть дампа с адреса 10000000 по 2FFFFFFF http://www.sharemania.ru/0293484

WD таймер побороть пока так и не удалось. Делал следуюшее..
вливал WDTIMER.bin - ватчдог не отключается
вырезал куски из рабочего дампа по адресам 13801000 и 13900000, вливал их, один черт эффекта 0. Может вырезал не полностью х.з.

Я пока в ступоре с этим аппаратом.
Ребят, прошу помощи.

В первых частях практически ничего нет - вот то что ты сейчас выложил скорее всего чтото есть судя по обьему файла .
Кстати как ты сливал с рабочего девайса ? Загонял девайс в режим загрузчика и сливал дамп ?
Если ты загрузчик не запускал то наврядли он будет в дампе.
Вообщем докачается гляну .

С рабочего аппарата сливал так же через JTAG т.е. H-JTAG+NoIce.
Рабочий девайс у меня будет до понедельника, если что не так в этом дампе, то солью иначе, как потребуется.

Я понимаю что ты сливал через jtag .
Вопрос в другом -в каком режиме девайса ты его сливал .
Нужно чтоб ты загнал девайс в режим прошивки (bootloader ) и только тогда сливал все области - по аналогии с wizard это режим трех цветных полос .

В противном случае когда обычный режим (Запуск OS ) -это немного не то .

если память не изменяет то в бут режиме, это в дампе будет видно?
камера+кнопка под джогдайлом+pwr

Я спрашиваю потому что если не в режиме бута то мы до бесконечности будем искать по каким адресам запускается бут.В некоторых девайсах например митаках буты которые для прошивки ,просто не грузятся в память в обычном режиме -они там ну нужны.
Самый простой способ найти где он работает в RAM это запустить на рабочем девайсе режим загрузчика -потом остановить девайс NoICE -ем и глянуть где он встал на каком адресе - далее грубо говоря поглядеть поднятся чуть выше и посмотреть где начало бута -покрайней мере это сузит область поиска.
В том что ты слил дампе я вижу бут но также с адреса 10000000 идет похоже пожататя OS .
Загрузчик я вижу по адресам 13A40000 потом еще в нескольких местах но я думаю что просто повторение.

Как врубается девайс режим загрузчика на 526 я честно говоря незнаю -девайса то нет -надо инет смотреть .

запустить на рабочем девайсе режим загрузчика -потом остановить девайс NoICE -ем и глянуть где он встал на каком адресе ....

не совсем понял, т.е. я запускаю девайс в бут режиме, коннекчу к H-JTAG, запускаю NoICE, коннекчу её, потом надо что-то запустить по GO и потом стопнуть HALT'ом или как-то иначе? поподробнее расскажи пожалуйста, я через пару часов на работе буду, попробую сразу.

Да все правильно написал - запускаешь девайс в режим бута -конектишся jtag-ом к нему запускаещь NoICe -ничего не запускаешь делаешь просто Halt и смотришь по какому адресу стал .Дальше сливаешь гдето +1Мег в верх от этого адреса и выкладываешь (если он допустим стал по адресу 100FFFFF то сливаешь начиная с 10000000 до 101FFFFF ) -дальше смотрим .

Странно, но у меня при запуске NoIce не дает нажать halt , кнопка не активна, только go или step.
Делаю так: запускаю кпк в режиме бута ОК+reset (на экране КПК надпись IPL: Insert UBS CABLE)
запускаю H-JTAG, детектица проц, запускаю NoICE? смотрю вкладку Run - Halt не активна, захожу Options->Target comunications->OK
коннект прошел, вкладка Run - Halt не активна.
Что не так делаю? При нажатии step хоть into хоть over - перескакивает на адрес 00000118

Ну так нажми go потом halt .
В режиме загрузчика слей области по мегабайту с 0 ,10000000,13A40000 .

Я смотрю в том дампе что ты ранее слил нет надписи IPL: Insert UBS CABLE -значит сливай как и раньше
всю область с 0 до 10000000 и потом с 10000000 до 2FFFFFFF

Да, похоже что сливал предыдущий дамп в режиме OS так как синий светодиод постоянно моргал на кпк, я же только плату цеплял без дисплея.
Сегодня зацепил дисплей чтоб контролировать и поставил сливать дамп в бут режиме, с 0 по 3FFFFFFF одним куском. Завтра выложу

Блин, техника надо мной эксперементирует (IMG:http://forum.pda2u.ru/style_emoticons/default/smile.gif)
Комп ночью повис и дамп не слился, сейчас запустил КПК через NoIce в режиме бута, понажимал GO\Halt , курсор мечется по адресам в пределах примерно от 13805840 до 13843894.
В общем чейчас слил кусок с 13800000 по 14000000 вот http://www.sharemania.ru/0212896

Ну вот ты и молодец -поймал нужные нам адреса .
Скакать по адресам и должно потому что программа то выполняется на девайсе а Halt -ом ты останавливаешь ее ,если нажимаешь go опять запускаещь и тд ..
Самое главное мы видим в каком адресном пространстве оно выполняется .
В том дампе что ты слил и есть бут который имеет надпись IPL: Insert UBS CABLE и начинается он с адреса 13800000.
Первой командой (FE0300EA) есть jmp на адрес 13801000 о чем я выше и писал что полностью совпадает с дизасемблированием .
Адрес по которому лить IPL в RAM 13800000 теперь нам известен .Но нужно слить и начало с 0 и вообще поглядеть что есть в RAM еще -потому что есть вариант что кроме этого загрузчика будет подгружатся и другой (но опять же не факт ). Судя по надписям внутри .
С 0000 нам потому еще чтоб глянуть как ведет себя девайс при старте -насколько я помн. там был мааааленкьй загрузчик x-loader

Кстати картинка которая при загрузке асуса в твоем дампе присутствует (IMG:http://forum.pda2u.ru/style_emoticons/default/smile.gif) начинается она с адреса 13A40000- заканчивается 13A8E467 .
Вырежи и обзови asus.jpg и увидищь заставку .

как раз сейчас сливаю область 0-10000000, медленно блин

2 arcc
Просвяти пожалуйста, как в IDA запихивать такой большой дамп, у меня IDA материться начинает, и второе, не могу "догнать" как определить точку входа если она вообще нужна.

А зачем запихивать весь дамп в IDA ?
Я вырезаю тока нужные части например бут а он не такой уж и большой иногда до метра гдето, а обычно 200-500 кил .Превый лоадер вообще пару килобайт .
Дамп обычно нужно для того чтоб визуально глянуть где буты находятся.
По опыт просто их видно уже сразу.
А до этого я же с прошивки доставал буты и смотрел их в IDA .
Плюс есть пару скриптов от itsme которые позволяют глянуть адресацию -но не всегда .
Если бут структуры майкрософта те по сути nk.exe то этими скриптами можно глянуть где он работает -просто преобразовать bin в nk.exe и подсунуть IDA.
Вообщем сразу так не обьяснишь .

То что сразу не объяснишь я уже понял т.к за время бодания этого асуса перелопатил не мало источников и по ида и по ассемблеру и по arm и по jtag в целом, про граничное сканирование, реверсинг и многое другое (IMG:http://forum.pda2u.ru/style_emoticons/default/smile.gif)
Про точку входа так и не понял, что оно есть?

Точка входа чего ? Если бут то обычно начало и есть точка входа .
Кстати я тоже не очень хорошо разбираюсь в ассемблере и ida -просто по аналогии очень много делается.

Когда читал про реверсинг то там часто говорили что многие проги (скорее всего не про прошивки речь шла) имеют точку входа. Просто я программированием только на бейсике занимался с 5 по 10 класс, там тоже начало проги оно и есть начало, а тут запутался что-то.

В общем я отрезал нужный кусок от дампа .
Загружай его на убитом девайсе с адреса 13800000 и делай go from 13800000 .

то есть дамп дальше не сливать? а то читается ещё, пока только 148 метров считалось (IMG:http://forum.pda2u.ru/style_emoticons/default/smile.gif) из 260 (IMG:http://forum.pda2u.ru/style_emoticons/default/smile.gif)

Сливай дамп -всегда пригодится .

пока сливаю, уже 162 метра

Дамп слился, загрузить IPL в мертвый не получается, наглая собака надзиратель ресетит девайс на полпути загрузки, не говорю уже что ещё и запустить надо будет по go from.....
Ниже выкладываю дамп с 0 по 10000000 в трех частях

А если попробовать IPL от Wizard. С адреса 20000000 с брейкпойнтом на 20000018, go from 20000000.
Вот тут : http://rapidshare.com/files/128234619/tornado.zip.html (из него возьмеш IPL_W)
Да еще проводи всю процедуру как можно быстрее с момента включения девайса и до заливки ИПЛ родного, и если появилось окно бутлоадера сразу прошивать, иначе после ресета все придётся делать с начала...

Теоретически можно попробовать, но я не пойму одно....
Мы цепляем аппарат, начинается отсчет времени работы таймера wathdog, грузим часть кода и в этот момент срабатывает wathdog и все обламывает. Получается что wathdog статует при физическом запуске КПК.
Интересный факт:
Сегодня пока эксперементировал с GO\HALT заметил следующее, гружу аппарат в бут режиме по комбинации OK+RESET с надписью IPL: INSERT USB CABLE - труба (рабочий донор) цепляется по JTAG и ждёт дальнейших действий в режиме бута, далее нажимаю GO и труба начинает исполнять код с самого начала, ВЫХОДИТ из бут режима и грузит OS, т.е. грузит винду. Если при перезапуске по GO нажать кнопку OK без RESET то аппарат начинает опять грузится в бут режиме как при обычном старте аппарата при OK+RESET.
Умозаключение следующее. Коль wathdog не сидит жестко в памяти самого проца на аппаратном уровне, а всего лишь кусок кода который неизбежно исполняется при старте убитого девайса, то можно попробовать сделать следующее: при коннекте грузануть в память по какому-либо промежуточному (пустому\забитому нулями или FF) адресу какой-нибудь короткий код, и тут же его запустить и спопнуть или запустить с брекпоинтом, теоретически таким образом можно попробовать заткнуть watchdog обманным путём - переключить исполение его кода на новый.
Возможно я ввожу себя в заблуждение, х.з.

WatchDog это микрокод который сидит в памяти самого проца, при запуске рабочего девайса его останавливает код находящийся в одном из загрузчиков, поэтому рабочий аппарат и не ресетиться, а в убитом до этого кода пока ты заливаеш бут по времени не дотягивает. Может не совсем правильно обьяснил, но суть такова, что надо проделывать все операции очень быстро и загружать перед этим код котрый будет стопорить Ватчдог, по идее может подойти любой содержащий команду остановки таймера , хотя в этом я не уверен. но попробовать можно...

Сообщение отредактировал SAXON13 - 14.4.2009, 0:18

wathdog это аппаратно програмируемый таймер .
При старте(включении ) девайса начинается отсчет.
Отключается он програмно.
Так что ты должен сначала все подготовить потом уже запускать девайс .Так как процессор одинаковый что и у wizard то по опыту секунд 10 у тебя есть .

По поводу загрузить по левому адресу кусок кода -тебе это и предлогали выше .
Так как процессор имеет внутренний кеш порядка 200 кил и находиться он по адресу 20000000 то туда тебе и предлогали сувать и стартовать там .
Можно еще отрезать начало твоего дампа и тоже запустить его, потому как отключение в самом начале.

.text:13801010 loc_13801010 ; CODE XREF: start+14j
.text:13801010 MRC p15, 0, PC,c7,c14, 3
.text:13801014 BNE loc_13801010
.text:13801018 MOV R0, #0
.text:1380101C MCR p15, 0, R0,c7,c5
.text:13801020 MRC p15, 0, R0,c1,c0
.text:13801024 ORR R0, R0, #0x1000
.text:13801028 BIC R0, R0, #0x200
.text:1380102C BIC R0, R0, #0x100
.text:13801030 BIC R0, R0, #8
.text:13801034 BIC R0, R0, #4
.text:13801038 ORR R0, R0, #2
.text:1380103C MCR p15, 0, R0,c1,c0
.text:13801040 LDR R0, =0xFFFECA00
.text:13801044 LDR R1, =0xFF22
.text:13801048 STRH R1, [R0]
.text:1380104C LDR R0, =0xFFFED300
.text:13801050 LDR R1, =0xFF22
.text:13801054 STRH R1, [R0]
.text:13801058 LDR R0, =0xFFFEC800
.text:1380105C MOV R1, #0xF5
.text:13801060 STRH R1, [R0,#8]
.text:13801064 MOV R1, #0xA0
.text:13801068 STRH R1, [R0,#8]
.text:1380106C LDR R0, =0xFFFECC00
.text:13801070 MOV R1, #0xC
.text:13801074 STR R1, [R0,#0xC]
.text:13801078 LDR R1, =0x17000F
.text:1380107C MOVS R1, R1
.text:13801080 BEQ loc_13801090
.text:13801084 STR R1, [R0,#0x10]
.text:13801088 MOV R1, #0
.text:1380108C STR R1, [R0,#0x50]


Сторожевой таймер
Материал из Википедии — свободной энциклопедии
Сторожевой таймер (контрольный таймер, англ. Watchdog timer) — аппаратно реализованная схема контроля за зависанием системы. Представляет собой таймер, который периодически сбрасывается контролируемой системой. Если сброса не произошло в течение некоторого интервала времени, происходит принудительная перезагрузка системы. В некоторых случаях сторожевой таймер может посылать системе сигнал на перезагрузку («мягкая» перезагрузка), в других же — перезагрузка происходит аппаратно (например, замыканием контактов кнопки Reset).

Автоматизированные системы, не использующие оператора человека, хотя тоже подвержены ошибкам, зависаниям и другим сбоям (в т.ч. аппаратным), с использованием сторожевых таймеров увеличивают стабильность работы - нет необходимости ручного сброса. Поэтому наиболее частое использование их — встроенные системы различного назначения

Попробовал IPL от wizard, NoIce то стопает watchdog то нет, иногда просто стартует и не останавливается, если стопает по брекпоинту то можно (опять же не всегда) влить родной IPL, но после его запуска по 13800000 ничего с КПК не происходит - не горит экран, никаких надписей типа IPL: Insert USB cable и т.д.
Пробовал запускать с адреса 13801000 и с 0 , и заливать полностью область 13800000-14000000, потом запуск по 1380000 и никаких признаков жизни бут режима.
При запуске прошивки в эксперт режиме при нажатии кнопки update из прошивки распаковываются всего два временных файла вместо пяти и на этом она (прошивка) стоит и думает непонятно о чём.

Может дамп полностью слить с рабочего и после стопанья ватчдога влить его полностью в труп? Но тогда мы не узнаем истинных адресов загрузчиков. Какие ещё варианты есть?

Полностью дамп ты не вольёш, потому что в этом методе всё льёться и запускается в РАМ память проца, то есть ограниченую по обьему и временную. Заливать ИПЛ надо именно когда патченый ИПЛ от Визарда стопонул на брейкпойнте, если нет то можно дальше не продолжать, а ресетить девайсину и начинать заново. Скорее всего ему еще чего то не хватает EBOOT или X-LDR (x-loader).
попробуй этот ИПЛ:  IPL.part1.rar ( 97.66 килобайт ) Кол-во скачиваний: 21


 IPL.part2.rar ( 20.8 килобайт ) Кол-во скачиваний: 21


Сообщение отредактировал SAXON13 - 14.4.2009, 11:00

Ок, сейчас попробую

Когда ты запускаешь по адресу 13800000 - ты держищь кнопки ??? Кнопки держать обязательно .

IPL от визарда ты куда заливаеш ?
И проверь действительно ли заливается по адресу 13800000 твой дамп .

Да вот ещё что сними дампы ИПЛ, СПЛ да и на всякий случай ОС и Радио вот этим флэшером:

и им же прошивай снятые дампы, по идее когда вдевайсе запущен ИПЛ, то этой прогой уже можно прошить...

Да как сказал Arcc кнопки входа в бут перед запуском надо держать, точно также как если бы ты прошивал обычным способом, не забудь проверить там по моему надо Холд вниз сдвигать, а тогда уже жать кнопки...

Сообщение отредактировал SAXON13 - 14.4.2009, 11:41

Вот тебе обрезаный родной IPL -попробуй его влить по адресу 13800000 и запустить. Брейкпоинт установи на адрес 13801080.

Потом если остановится ватчдог таймер то снова уже заливай полный IPL .
Про кнопки не забывай -держи их.

При старте этого укороченного IPL с бряком на 13801080 (и на 138010FF пробовал) в IDA выскакивает ошибка
Breakpoint insertion or removal failed at address 138010FF. Memory may be corrupted.

2 SAXON13
как этим флешером дамп снимать? Там только кнопка Flash? а Read нету.
Холд это переключатель блокировки тела? Если да то пробовал сдвигать, кнопки зажимал

2 arcc
буты которые родные гружу с 13800000, который от визарда с 20000000 с бряком на 20000018

Есть подозрение что не туда она его заливает, или выполнять начинает не с указанного адреса в GO FROM а с самого начала т.к. ели по бряку не остановилась и я стопаю её Halt'ом то останавливается на разных адресах начиная с 000С и до 29000000 примерно.
Как это проверить?

Насчет флэшера: правой кн. мыши щелкаеш слева вверху где значок, выпадает меню. в самом низу наж. "show backup". Появиться опция "backup" слева внизу , жмеш её и выбираеш что бэкапить. Тел должен быть как минимум в бут модэ, а возможно и еще в каком-то типа дэбуг, у меня живого аппарата нету чтоб проверить, а людям с Ассус-форума высылал эту прогу, то с 526 сливали и ИПЛ и EBOOT, а для 527 только EBOOT, хотя прога использовалась некими китайскими умельцами именно для 527, там просто у Ассусов есть ещё двольно много разных вариаций режимов, сейчас все не помню, если надо то поищю и опишу их, точнее как в них входить, а вот какой для чего, точно не известно...
Да, опцию формат не трогай и галочку на формат не ставь, форматнет всё и если сразу не прошьеш полной прошивкой то получиш второй трупик...

Да, Холд это переключатель блокировки, но это нужно точно для 527, а для 526 не помню. если сам не найдеш то потом посмотрю, где-то записано...

IPL с бряком на 13801080 нужен только чтоб стопонуть Ватчдог, там только эта часть и есть, так что в ИДе его особо не провериш, главное чтоб он в проце Ватчдог закупоривал...
чтоб смотреть куда заливает, там в НоАйсе есть функция, помоему view source или что то вроде этого, а то что у тебя показывает, то скорее всего он не исполняется или же исполняет код который есть в флэше...

Сообщение отредактировал SAXON13 - 14.4.2009, 15:10

Вот такую инструкцию нашел: На телефоне, Нажмите кнопку power или сделайте reset для сброса устройства, потом нажмите
[OK] (и не отпускайте) до появления надписи
IPL: Insert USB CABLE

[OK]это кн. под джогом (колесом прокрутки)
как я понимаю, в твоём случае надо будет просто зажать OK перед запуском бута, ресет жать не надо, всё что до этого залил слетит...

Сообщение отредактировал SAXON13 - 14.4.2009, 15:40

Попробуй делать в укороченном IPL старт не с 13800000 а с 13801018 а брейкпоинт тот же самый как я и говорил выше .
Да кстати можешь попробывать пошагать степом а не запускать go from -если время хватит.

Кстати, еще раз перечитал с чего всё началось и так и не понял, неужели девайс мог помереть от официальной прошивки? Может всё таки что то с железом?

Ребят, всё что описали утром обязательно попробую, жаль что на работе не всегда могу задержаться подольше, а дома ноут без LPT.

А то что аппарат помер от официала это факт, т.к. изначально был сбой ПО, возможно первая попытка прошла криво и надо было не передергивать АКБ, а ещё раз ввести в бут и прошить в эксперт режиме, но я поторопился видимо.

2 arcc
а как запускать в IDA степами с определенного адреса?

Привет, продолжаем.
Попробовал запустить укороченный IPL с адреса 13801018 и бряком на 13801080, та же ошибка

Breakpoint insertion or removal failed at address 138010FF. Memory may be corrupted.

причём Ida материться именно на адрес 138010FF в любом случае при заливке этого IPL.

Слил дампы прогой USBFlasher
IPL и Eboot здесь http://www.sharemania.ru/0234944

Так же слил ExtRom, GSM и OS
Выложу если надо.

В этой проге есть пункт формата "Format and Keep SGMFFS RETURN" , скорее всего надо было моему трупу такую процедуру провести вмето прошивки и скорее всего ожил бы, т.к. писал при ХР - GSMFFS Error...

Вопервых причем тут IDA и NoICe это разные вещи .IDA c jtag не работает .
Когда заливаешь по адресу 13800000 ты проверяешь есть этот файл в памяти ?

Так слей мне с убитого девайса что у тебя есть в памяти когда ты просто только подключаешь девайс и ничего не заливаешь с 0000 и 13800000- нужно поглядеть дампы большие не нужны гдето 10 -20 кил. Кнопки для входа в бут держи.

arcc, извини, конечно про NoIce речь шла а не об IDA, совсем с ума схожу уже, думаю одно - пишу другое (IMG:http://forum.pda2u.ru/style_emoticons/default/smile.gif)
сейчас солью куски

да еще сливай область 20000000 нужно глянуть x-loader перегружается туда или нет ,там тоже больших кусоков ненадо несколько килобайт всего.

Слил, выкладываю, инфа только в куске с 0 по FFFF, с адресов 13800000 и 20000000 пустота.
Кнопку держал всё время, сливая каждый кусок переконнекчивал трубу.

Да действительно везде пусто кроме x-loader в начале .Такое ощущение что ты девайс просто форматнул флеш .
Думаем дальше как действовать .
Ты проверял когда заливаешь файл -он есть в памяти ?

пытаюсь....
сейчас чуть КПК не разх*****, коннекчу, очень быстро заливаю IPL визардовский по 20000000 и тут же его пытаюсь слить по тем же адресам, но пока указываю все названия файлов, начальный адрес, размер - уже нихрена не успеваю слить.
Сейчас попробую запустить тогда его чтоб остановить ватчдог, и далее попробую.

Смотри вот что я вижу в том дампе что ты слил .
Похоже x-loader имеет ощибку в самом начале вместо 440000EA -если в IDA глядеть то будет
ROM:00000000 44 00 00 EA B loc_118
у тебя в твоем слитом получется
ROM:00000000 14 F0 9F E5 LDR PC, =0xE59FF014
далее уже следом идет 44 00 00 EA т.е у тебя какимто непонятным образом в начале х-loader записало мусор соответсвенно сместилась как ты говоришь точка входа и девайс выполняет мусор и сместилась вся адресация .
Те если вырезать 4 байта впереди получаем наш обычный x-loader .
Как вариант первый .
Загрузи прилогаемый файл с 0000 и запусти с 0000 -кнопки держи когда будеш запускать (возможно на флеши остался бут и он его загрузит )
Вариант номер 2 :
Загрузи файл по адресу 20000000 и также запусти с 20000000 и держи кнопки .
Неполучится будет думать дальше .

вот и проясняется картина по маленьку, NoIce симулирует загрузку кода. Заргузил сейчас этот кусок и GO его с 0 и...
о чудо.... исполняемый код не изменился, во всяком случае в NoIce в левой колонке где она код показывает с 0 адреса после загрузки 0000_x_loader.bin показания не изменились и после старта тоже, никакого перехода на 118.

ps сейчас вариант 2 попробую

по варианту 2 что-то правиться
слил по 4К с 0 и с 20000000

по адресу 20000000 не получится скорее всего грузить -так как переменные попадают в адресацию .
Поэтому предлогаю адрес 20004300 и также стартануть с него.
Я пока что немогу разобратся как действует лоадер -если он тока перегрузает IPL а в нем уже реализована дальнейшая зарузка это одно -второе наврядли в самом х-loadere реализован опрос клавиатуры чтоб выбирать какой грузить лоадер в дальнейшем .

Так немного непонял твоего ответа

NoICe не симулирует загрузку кода он показывает что у тебя процессор считал в память -по сути так как с нуля грузится девайс то он подставляет в RAM с флеши кусок кода и выполняет его.
Если в эту область можно залить данные (те по сути RAM открыт на запись ) то мы можем загрузить свой код и выполнить его но ватчдог нам не дает этого делать так что его нужно отрубать.

попробовал грузанул с 20004300, запустил, потом стопнул halt' ом остановился где-то в адресах больше 2900000 и дальше.
по 0 адресу ничего не переписалось

ну так и не должно ничего переписыватся в 0000 .Я тебе про другое говорил.
Возможно если выполнить правильный лоадер у тебя загрузится IPL c флеши или же загрузится SPL для OS если они сохранились на флеш .
Для этого смотри адресацию 13800000 и 13A40000 появится там чтонибудь или нет .
Если в этих адерсах появляются буты то ватчдог стопарится будет.

ватчдог точно не стопорился при этом, но сейчас гляну что по этим адресам происходит

добавлено:
не успеваю посмотреть что там есть, есть какая-нибудь команда в NoIce чтоб не сливать дамп а просто перевести курсор по данному адресу?
пока все адреса пропишешь с размерами и время заканчивается....

Я нашел что в NoICE можно выполнять скрипты -для этого
load c:\ASUS526\0000.bin 0000 B
R PC 0
G
BREAK
Save c:\ASUS526\13800000.bin 13800000 500

Запиши эти команды в файл 1.cmd (пути только подправь свои и положи файл 0000.bin туда )
Далее запускай этот скрипт -File->Play (или Ctrl+P) и выбирай файл скрипта .
Экономия времени огромная -и я думаю что команды понятые всем.

Либо же еще проще
в windows запусти cmd
далее
C:\>"C:\Program Files\NoICE\bin\NoICEARM.exe" C:\ASUS526\1.cmd

никогда не сталкивался с jtag но вдруг вам поможет.
IPL: Insert USB Cable появляется после загрузки и проигрывания анимации включения, которая сидит в куске радиомодуля на 526, 527, 320.
в случе ошибки записи радиомодуля надпись будет на черном экране
по ОК + Камера (удержание) + ресет, совершенно другой загрузчик запускает встроенное ПО, можно фрматнуть намертво девайс, поменять IP, изменить работу USB драйвера и не знаю что еще (очень чувствителен к клавишам, можно нажать дважды ненароком)

в радиомодуле так же, bmp подтверждения ХР, какая-то файловая система (вероятно буфер для радиомодуля), таблица раздела всего этого.
Я все это к тому, что OK + ресет будет работать, даже если не прошить радиомодуль, или зашить вместо него мусор, но надпись будет на черном фоне без проигрывания анимации.

Значит продолжаем эксперименты.
В архиве файлы
WD_20000000.bin -должен остановить ватчдог
0000.bin загрузчик с нуля
IPL.Nb0 -соотвествено IPL
12345.cmd скрипт .
Сделай папку c:\asus526_dead\ либо же исправь пути в скрипте.
После выполенния скрипта должны образоватся 2 файла test_00.bin и test_ipl.bin файлы выложи тут .
Порядок действий такой - запускаешь скрипт и обязательно держиш кнопки для входа в бут .
Если первая часть скрипта отработает нормально и ватчдог остановится то загрузятся с 0 и с 13800000 файлы и начнется выполнение с 0 адреса .
Дальше будем смотреть ...

Уа-у, экономия времени действительно большая получается.
Но вачдог толком с первого раза не останавливается, рубит аппарат при загрузке IPL.Nb0
Далее делал следующее, после остановки вачдогом нажимал несколько раз "Go\Halt" и потом "Reset the Target" после этого выполняю скрипт и всё проходит на ура, сделал так два раза для чистоты эксперимента, в считанных test_00 отличий нет, считанные test_IPL отличаются в 5 местах
вот они http://www.sharemania.ru/0182945

Странно почему в IPL отличия !!По идеи такого не должо быть .
Вообщем давай так
load c:\asus526_dead\WD_20000000.bin 20000000 B
BREAKPOINT 20000018
R PC 20000000
GO 20000000
load c:\asus526_dead\IPL.Nb0 13800000 B
R PC 13800000
GO 13800000
Дальше как запустишь
1) Пробуй подключится к USB и посмотри может быть действительно экран просто не зажигается но устройство появится в диспетчере
2)
можешь нажать Halt и посмотреть где останавливается выполнение -если гдето в районе адресации IPL это хорошо .

Кстати если девайс донор остался то попробуй подрубится к нему и посмотреть как он ведет себя на последний скрипт -если загружает IPL и выполняет его то скорее всего в твоем убитом девайсе проблемы с железом (но это не диагноз а просто как вариант )

выполнил, устройство не появляется, по halt'у останавливается и прыгает в пространстве от 0 до 2Dxx

Привет, попробовал на рабочем доноре, пока его у себя тормознул.
На рабочем скрипт проходит, если не зажимать кнопку "ОК", то после выполнения скрипта труба перезагружается в обычном режиме ОС, если зажимать кнопку "ОК" то труба ребутится в режим загрузчика.
Винда, кстати, не издает никаких звуков-пуков при подключении устройства, и в режиме ОС не отображает девайс в диспетчере устройств, а вот если подключить трубу в режиме загрузчика то девайс появляется в диспетчере как "Windows CE USB устройство" и опять же молча без звуков.
Сейчас гляну на мертвом теле, я то звука винды ждал....

Вся проблемма в том что на убитом девайсе почему то у тебя
1)Портится дамп IPL
2) И самое главное нет нормального выполнения IPL в RAM -по идеи он должен выполнятся в адресах 13800000 и ниже а по твоим словам он прыгает на нулевые адреса в район x-loader .
Как вариант но опять же это тока вариант - можно стопарнуть ватчдог и далее залить IPL -но в дальшейщем не запускать его на выполнение а пошагать степом (F9) (например шагов 100 -200) а далее запустить просто с текушего шага (GO) . И все время контролировать куда он там шагает и когда перескакивает на нулевые адреса.

Или торможу или еще что, не нашел :-) Подкиньте IPL и SPL для Р526 в бине, полноценные, не урезаные, для Jtag, если можно. Спасибо.

Nb0 и bin в данном случае эквивалентно .
В архиве 2 файла IPL бут который для прошивки ,SPL грузить винду .
Есть еще третий самый первый лоадер который называется х-loader

SPH, спасибо что присоеденился, теперь выясним с железом у меня траблы или что-то не так делаем.
У меня закрадывается подозрение что всё таки флешка померла на этом аппарате, поэтому и инфу не держит.
Сегодня вечером мне принесут ещё один P526 с разбитым дисплеем, пожно будет над ним поиздеваться.

Спасиб!
Есть еще вопросы, если можно. Незнаешь ли, в каком порядке происходит вообще загрузка аппарата, например в триколор?
Кто кого грузит и что делает. Что IPL грузить надо и стопить, что бы вачдог заткнуть это я понял. Меня интересует процесс загрузки. Нужно для чего: выяснить в каком порядке подгружать буты и запускать.
Если можно. Спасибо.
Я пока позанимаюсь, написал скрипты, все грузится отлично, вачдог затыкается, IPL грузится, запускается, но увы, небыло SPL, а его как я понял надо после исполнения IPL загрузить в озу, и запускать. Озу образуется после IPL повидимому, из него прописываются необходимые регистры. Или таки я опять что неверно понял?

Сними сначала дамп со своего трупа чтобы посмотреть X-loader у тебя целый или нет.
1 Если целый то заливаешь кусок IPL, стопаешь ватчдог, заливаешь полный IPL, стартуешь его (всё это проделываешь с нажатой кнопкой "ОК") - тело должно перейти в режим прошивки т.е. написать "IPL: Insert USB cable"
Как писал Melky, надпись можешь и не увидеть т.к. она будет на черном фоне, поэтому надо зацепить КПК по USB и глянуть в диспетчере устройств Windows CE устройство.
После этого запускаешь официальную прошивку в эксперт режиме, цепляешь USB кабель (в диспетчере должно появиться Windows CE устройство) и прошиваешь официалкой.
2 Если X-loader порушен, то - кусок IPL, стоп ватчдог, залить X-loader, залить полный IPL и т.д. как в п.1

Я вопринял как руководство к действию то, что тут - http://forum.pda2u.ru/forum/topic244.html?view=findpost&p=6158

При включении процессора (TI OMAP) начинается работа с 0000 первым грузится (выполняется ) всегда х-loader с 00000 .Также у процессора есть кэш по адресу 20000000 порядка 200к -как я понял из дампа что слил Mishael x-loader использует кеш процессора для своих переменных .
В самом x-loader идет инициализация процессора и тд в том числе и RAM а также есть проверка комбинации клавиш (но я на 100% не уверен хотя место вроде как нашел ) далее в зависимости от комбинации клавиш или ее отсутсвия загружается с флеши в RAM либо IPL либо SPL .
Если комбинация клавиш нажата то грузится IPL в адрес 138000000 и передается ему управление (это режим загрузчика -прошивальшика ).
Если комбинации нет то загружается SPL в RAM по адресу 139000000 и также ему передается управление -он уже грузит саму OS c флеши инициализирует память под нужды OS потому как там требуется виртуальная память и тд и тп .Помимо этого из дизасемблирования я видел что ватчдог таймер затыкается только после загрузки либо IPL либо SPL сам код стоит практически в самом начале одного и другого .
Т.е наша задача состоит в том чтоб запустить только загрузчик-прошивальшик IPL чтобы в дальнейшем использовать его штатные функции для прошивки (в противном случае нам нужно писать свой флешер ) но без документации это практически невозможно .
SPL нам нет нужды запускать по одной простой причине -OS у нас может и не быть (либо же она битая )и грузить ему нечего будет .

p.s девайса 526 у меня нет и экспериментировать нечем потому некоторые нюансы мне неведомы а кое в чем могу и ошибаться