Снова привет.

Есть ASUS P526 с уваленным бутом, сам увалил прошивкой.

Предыстория: принесли тел - висит на заставке ASUS, формат ХР не проходит СР тоже, при попытке ХР и нажатии зеленой кнопки писал примерно следующее - блаблаблаGSMFFS error или что-то вроде этого. Дабы исключить аппаратный косяк типа НЕПРОПАЙ после падения - пропаял флеш и проц, поведение не изменилось.
Решил прошить стандартной прошивой P526_v6.1.0_Russia_F3.2_Lock.exe в итоге аппарат забутился, за 5 секунд сделал вид что прошился, ушел на перезагрузку и оттуда не вернулся. Через 15 минут я выдернул АКБ и получил кирпич. (IMG:http://forum.pda2u.ru/style_emoticons/default/rolleyes.gif)

Что имеем:
1 Распиновку вычисленную снятием проца и прозвоном (выложу далее)
2 JTAG, сегодня сваял опробовал, проц определяет.
3 Родную прошивку в том числе распакованную на временные файлы temp0, temp1, temp2, temp3 и temp4
4 Имеем представление о том что надо прошить IPL и SPL.

Теперь несколько вопросов, на которые у меня нет однозначного ответа:
1 IPL и SPL может подойти от торнадо? так ли это?
2 Можно ли снять дамп с мертвого кпк чтоб определиться с адресами заливки этих IPL и SPL?
3 Тему http://forum.pda2u.ru/forum/topic244.html перечитал несколько раз, но помощь в добыче адресов и верных IPL , SPL все таки нужна.

ниже 2 фото с точками JTAG

вторая сторона платы

1. Нет, естественно, у каждого аппарата свои загрузчики, тот же бут от торнадо уваливает родственный ему хюрикен.
Вот вырезаные из прошивки IPL и EBOOT ____
но скорее всего их еще надо будет править для того чтоб они стали пригодны для заливки в РАМ.
Я сам сейчас занимаюсь 527, правда в связи с нехваткой времени пока не довел до конца, плюс там еще проблема, что для 527 в прошивках отсутствуют буты.
2. Именно так я и собираюсь сделать, правда у меня чуть другая ситуация 527 прошит от 526, у тебя же всё должно быть проще, загрузчики из прошивки есть, и девайс прошит своими загрузчиками, так что через NoICE снимай последовательно дампы с 0, 10000000, 20000000, 30000000

Сообщение отредактировал SAXON13 - 23.1.2009, 10:12

Править руками в винхексе или конвертить чем-то?
И размеры дампов 1й с 0 по 10000000 ; 2й с 10000000 по 20000000 ; 3й с 20000000 по 30000000 и 4й с 30000000 по какой адрес?

Скорее всего в Хексе, утилит нету. Главное знать что править, поэтому за неимением живого девайса, снимай дампы с трупика, будем знать в каком виде и по каким адресам они расположены

В общем так, 2 часа и нулевой результат. Присчитывании дампа с 0 по 0FFFFFFF вылетает ошибка
Memory read\write error - Can"t re-enter debug state
Причем ошибка выскакивает на разных адресах. H-JTAG проц детектит изумительно, питаю тел и JTAG от USB+кремниевый диод (4,3V)
Пробовал играться в NoICE частотой работы проца от 50 до 450МГц, результат одинаков. Может это с ватчдог связано? Он на снятие дампа может влиять? И как это побороть.

Да это ватч-дог, поэтому надо делать всё быстро, у тебя есть приблизительно 10 сек. с момента включения девайса
в NoICE dump> adress 0 size ~1000, всё равно больше 520 не сольёт и так последовательно по адресам 0, 10000000, 20000000, 30000000 а потом сужать диапазон поиска...

Сообщение отредактировал SAXON13 - 23.1.2009, 15:56

Mishael
Прозвони тестпоинты которые под сим картой -выходят туда точки jtag? сильно уж они неудобно расположенны - судя по моему Асус 535 -под симкой точно такие тест поинты -есть вероятность что для асуса это стандартный пины.

Насчет дампа памяти - сливай кусками -первый загрузчик будет по любому с 0 адреса -длинна его не большая не более 2-5 кил -второй загрузчик скорее всего с адреса 10000000 длинна его скорее всего в пределах 300-1000 кил.


IPL и EBOOT которые вырезаны из прошивки -судя по структуре это 2 бута -но IPL это не самый первый бут который лежит с 0 адреса .
Вероятно всего это буты которые нужны для прошивки ,диагностики ,дампа и тд и бут который запускает саму ОС .

Вот первый кусок из прошивки, но там практически всё нули, не знаю какую функцию он исполняет, но скорее всего при прошивке эта область не прошивается

2 arcc
Нет, пины которые возле sim коннектора на точки JTAG не звонятся, я тоже сначала предположил что это они.
Сейчас буду сливать дамп кусками.....

Вот первый кусок с 0 по 407F в котором содержится код, дальше пока идут нули. Сливаю дальше...

Mishael
Да то что ты слил и есть первый загрузчик если смотреть по аналогии с wizard (IPL ) в асус он называется X-LOADER и вероятно всего в прошивке не присутсвтует и не перепрошивается -фактически это и не нужно .
Еще раз слей эту область (сливай чуть больше с нулями ) и сохрани в bin формате а не в юникоде .

2 arcc
Я на данный момент дошёл до адреса 68FF0, этот watchdog меня с ума сведёт, пробовал его заткнуть аппаратно, не получается, даже кварц часовой стопал, не помогает. Может програмно как-то можно ухитриться, в мануале на проц OMAP850 есть инфа где он сидит и что ему надо.
Дальше точно нули идут, слить одним куском столько не удасться, а если и удасться то NoICE не даст сохранить ссылаясь на ту же ошибку ввода\вывода. А из текста в бин не перевести разве винхексом или ещё как-нибудь?

Ватчдог затыкается программно .Судя по тому как ведет себя девайс в первом буте нету отключения ватч дога ,а второй скорее всего убит .
Сделай плизз дамп нормальный в виде bin а то сидеть
и выдирать из твоего дампа данные както муторно .
Вот твой дамп
0000 44 00 00 EA 14 F0 9F E5 14 F0 9F E5 14 F0 9F E5 D..ê.ð.å.ð.å.ð.å
0010 14 F0 9F E5 14 F0 9F E5 14 F0 9F E5 14 F0 9F E5 .ð.å.ð.å.ð.å.ð.å
0020 00 00 00 20 04 00 00 20 08 00 00 20 0C 00 00 20 ... ... ... ...
0030 10 00 00 20 14 00 00 20 18 00 00 20 C4 80 8F E2 ... ... ... Ä..â
0040 03 00 98 E8 08 00 80 E0 08 10 81 E0 01 B0 40 E2 ...è...à...à.°@â
0050 01 00 50 E1 13 00 00 0A 70 00 B0 E8 05 00 54 E1 ..Pá....p.°è..Tá
0060 FA FF FF 0A 01 00 14 E3 0B 40 84 10 01 00 15 E3 úÿÿ....ã.@.....ã
0070 0B 50 85 10 02 00 15 E3 09 50 85 10 03 50 C5 E3 .P.....ã.P...PÅã

а мне нужно чтоб было в виде
44 00 00 EA 14 F0 9F E5 14 F0 9F E5 14 F0 9F E5
14 F0 9F E5 14 F0 9F E5 14 F0 9F E5 14 F0 9F E5
00 00 00 20 04 00 00 20 08 00 00 20 0C 00 00 20
10 00 00 20 14 00 00 20 18 00 00 20 C4 80 8F E2
03 00 98 E8 08 00 80 E0 08 10 81 E0 01 B0 40 E2
01 00 50 E1 13 00 00 0A 70 00 B0 E8 05 00 54 E1
FA FF FF 0A 01 00 14 E3 0B 40 84 10 01 00 15 E3
0B 50 85 10 02 00 15 E3 09 50 85 10 03 50 C5 E3
это нужно чтоб в IDA засунуть и глянуть .

To Mishael
В NoICE, закладка File>>SAVE в появившемся окне указываеш адрес и имя сохраняемого файла, адрес с которого дампить память, размер сохраняемого файла и указать в file format >>binary

To Arcc
Подскажите как правильно пользоваться ИДой, что там указывать и какие параметры задавать

Сообщение отредактировал SAXON13 - 28.1.2009, 2:38

вот кусок в бине с 0 по 5000

Вообщем порылся я в том что слито
Первое
X-loader работает с нуля далее перегружается в кэш процессора по адресу 20000000
Кстати попробуй установить адрес 20000000 и слить небольшой участок чтоб подтвердть мои догадки .
По каким адресам работают вторые буты пока ненашел- пока думаю.
Второе
-похожего на ватч дог таймер там нет но есть похожее в p526_IPL___EBOOT.

Вот как затыкается на визарде .
sub_350
LDR R0, =0xFFFEC808
MOV R1, #0xF5 ; '¿'
STRH R1, [R0]
MOV R1, #0xA0 ; 'à'
STRH R1, [R0]
RET
; End of function sub_350

На асусе подпрограммы нету там просто участок кода причем присутствует в обоих бутах.

ROM:10001058 LDR R0, =0xFFFEC800
ROM:1000105C MOV R1, #0xF5
ROM:10001060 STRH R1, [R0,#8]
ROM:10001064 MOV R1, #0xA0
ROM:10001068 STRH R1, [R0,#8]

Теперь будем думать как запихнуть это в NoICE и выполнить чтоб не ресетило девайс .

Вообщем попробуй вот так .
Бери WDTIMER.bin (распакуй архив ) и грузите с адреса 20000000 установи бряк(останов)
Breakpoint->Insert Breakpoint ->
на адрес 20000014 далее запускайте Go From ->20000000 и жди чтоб NoICE отработал WDTIMER.bin и стал на адрес 20000014 -далее если все прошло нормально то можеш спокойно лазить по памяти девайса смотреть где что и как .Ресетится не должен.

С адреса 20000000 слил кусок 5000 - все нули 00 00 00 00 00 00 00 00
Пробовал влить WDTIMER, бряк поставил, запустил, NoICE его колбасила минут десять так и не стопнула, остановил сам.
Вот тут разбирали прошивку и есть некоторый расклад по адресам, может это нам поможет? http://asusmobile.ru/board/viewtopic.php?t=11262
А вот здесь процесс расковыривания дампа http://asusmobile.ru/board/viewtopic.php?t=7793

Ватч дог остановился ?Можеш не ставить брейкпоинт а пройтись по шагам с адреса 20000000 -там всего несколько команд до адреса 20000014.
Пока не остановится ватч дог заливать что либо особо не получится -будет ресетить девайс .

Те ссылки что ты дал это не нужные нам данные -это расположение частей на самом DOC (ROM) а нам нужно что и где запускается в RAM (физические адреса ).
Некоторые адреса я нашел - но желательно бы проверить на рабочем девайсе есть ли там что либо когда девайс переводиш в режим бута .

Значит вот что нарыто .
Бут который IPL
запускается в RAM по адресу 13900000
Внутри есть вот такие данные которые мне непонятны .

.data:13900D07 DCB 0x43 ; C
.data:13900D08 aSpcipl_nb0 DCB "SPCIPL.nb0",0 ; DATA XREF: .text:off_13A88A84o
.data:13900D13 ALIGN 4
.data:13900D14 aExtrom_nb0 DCB "EXTROM.nb0",0
.data:13900D1F ALIGN 0x10
.data:13900D20 aIplmdoc_nb0 DCB "IPLMDOC.nb0",0
.data:13900D2C aGsm_dio_nb0 DCB "GSM.dio.nb0",0
.data:13900D38 aSpceboot_nb0 DCB "SPCEBOOT.nb0",0
.data:13900D45 ALIGN 4
.data:13900D48 aEbootmdoc_nb0 DCB "EBOOTMDOC.nb0",0
.data:13900D56 ALIGN 4
.data:13900D58 aFlash_dio_nb0 DCB "flash.dio.nb0",0
.data:13900D66 ALIGN 4

Второй бут который SPL запускается по адресу 13801000