Объявление

**jass66** · 09.05.2014, 16:13

http://www.dataman.com/media/datashe.../P30Family.pdf

**unicorp99** · 02.08.2014, 14:23

Слил дамп с микросхемы 28F640P30B. 8MB. Motorola canopy PTP 100 - 2400SM P10

считанный дамп в нутре флешки почему-то был реверсным - байты переставлены, перевёл в нормальный вид, когда текстовые фразы стали читаемыми - файл с дополнением в имени: rev

структура 640P30B - Motorola Canopy PTP 100 P10 2400SM
000010 - MAC
008000-00FFFF - 1st CERT тут сертификаты
010000-017FFF - 2st CERT второй рас для надёжности

040000-2CE830 - 1st boot.image
420000-6AE830 - 2st boot.image Обновление прошивки происходит в два этапа - почти ОДИНАКОВО шьются по очереди области 1st и 2st, дабы исключить трупность (как dual-bios в gigabyte motherboards)

как получен дизасм:

из прошивки 10.3 распакован файл 1.decomp

nios2-elf-as.exe -D 1.asm -EB (сделан файл a.out формата elf nios2 big endian из 4-х повторяющихся команд для того, чтобы скормить такой elf дизассемблеру..)
вставляю в файл 1.asm с адреса 34 кусок кода из 1.decomp
nios2-elf-objdump.exe -d a.out >b.asm

в файле b.asm правильный дизасм до адреса 179e5c - там последняя команда ret, далее данные, тексты, таблицы адресов и данных..

Задача: сделать программно из SM-ки AP-шку и обратно, и есть ещё BH- BackHaul, из них тоже можно и AP, и SM

Методика решения:
1. Обновить прошивку точки на модернизированную
2. С помощью модернизированной прошивки прошить флешку 28F640P30B дампом нужной железки.

1. Подзадача: скормить микрокод канапухи дизассемблеру IDA, чтобы разобраться в таблицах
незадача: в IDA нет поддержки дизассемблирования микрокода NIOS2 - программируемых матриц Altera Cyclone 2
возможный но трудный метод решения:
поменять текстовые команды микрокода на аналогичные другого проца, для получения связного дизассемблирования в IDA

Вопрос такого плана:
На какой типа проца можно заменить текстовые команды ассемблера NIOS2 (какой проц из имеющихся в IDA более похож на Altera NIOS2 ?)
MIPSb - big endian - более всего похож, но дизассемблер учитывает такую особенность MIPS, как выполнение следующей команды за командой перехода или возврата, и увеличивая на одну команду - попортит подпрограммы NIOS2
ARM big endian - имеет два режима thumb и ещё чото, вроде больше похож?
Как бы нужно такой проц, чтобы он по регистрам подходил..

Если кто-то хочет, может помочь процессу - разобраться в файлах и прокомментировать где какая подпрограмма и где какая таблица.
1.decode - непосредственно bin файл прошивки
b.asm - дизассемблированный текст прошивки до последней команды ret адрес 0x179e5c (далее команд рет нет, значит, это весь микрокод)

Примечание: не определён начальный адрес загрузки дампа в память, что-то выше 0x450сс..
Определил - 0x4AA00 - тогда составленная таблица адресов коротких подпрограмм из дампа, состоящих из 4-х байт (одна команда ret) совпадает с таблицей адресов из вызовов команд call (самых коротких, а это те же 4 байта) !
Для полного разбора дизасма нужны подпрограммы того, что находится ниже: от 0 до 0x4aa00

Что ещё найдено в прошивке - выключенные команды peek и poke, позволившие бы считывать дампы с флешек без разбора и распайки точки..
Также с помощью peek и poke можно запатчить на ходу прошивку. Эти команды заблокированы в версии 8 (вроде в версии 7 прошивки робят) - Как разблокировать?

Делюсь с Вами результатами процесса, надеюсь на помощь.
Ну и самый важный вопрос: как и где сделать мод
Жду Ваших предложений и подсказок, методик взлома и советов.

Примечание: пока не проверил изменение в этом файле 1.decode - потом запаковать это обратно в файл прошивки, потом прошить и включить - и если включится - то сама схема взлома сработает.
Трудность в том, что очкую, если ошибусь припаивать флешку - а там на BGA нужно накатывать шары 64 ноги - точечка и флешечка может отстраниться от испытаний... Одну флешечку походу запорол..
Один только переходник для программатора chipprog-48 на BGA флешку стоит недешево.. Посему такие эксперименты могут проводить только очень заинтересованные люди.

У кого есть канапухи и нужно сделать из SM-к AP-шки, присоединяйтесь к теме.. высказывайте Ваше видение процесса перепрошивки точек Motorola Canopy

--------------------------------------------

Что стало понятно из просмотра дампа - исходных текстов так сказать, строк
канапухи сделаны каждая на узкий диапазон частот - к примеру 2.4 GHz - от 2415 до 2457.5 (значительно уже, чем wifi, хотя в дампе есть частоты от 2400 до 2482.5)
web морда: 2415.0 2417.5 2420.0 2422.5 2425.0 2427.5 2430.0 2432.5 2435.0 2437.5 2440.0 2442.5 2445.0 2447.5 2450.0 2452.5 2455.0 2457.5
в прошивке: 24000...2402.5..24025...2405.0..24050...2407.5..24 075...2410.0..24100...2412.5..24125...2415.0..2415 0...2417.5..24175...2420.0..24200...2422.5..24225. ..2425.0..24250...
2427.5..24275...2430.0..24300...2432.5..24325...24 35.0..24350...2437.5..24375...2440.0..24400...2442 .5..24425...2445.0..24450...2447.5..24475...2450.0 ..24500...2452.5..24525...2455.0..24550...2457.5.. 24575...2460.0..24600...2462.5..24625...2465.0..24 650...2467.5..24675..
.2470.0..24700...2472.5..24725...2475.0..24750...2 480.0..24800...2482.5..24825

как я понял, есть моторолы на 2.4, на 5.2, на 5.4, на 5.7 GHz а убики и прочие атеросы весь диапазон на 5-6GHz занимают одной моделью, универсально!
также вычитал в описаниях релизов моторолы pdf - что устройства моторола на частоте 5200 MHz дюже сильно интерферируют с 5400, а есть ли такая пакость с убиками?

---------------------------------------------

Логи с другой моторолы 2400SM, пока микруха с накатанными шарами в проггере

Спойлер (+/-) (commands and log 9.5)

Спойлер (+/-) (commands and log 13.1)

Внимание!
Если у Вас есть канапухи со старыми версиями прошивок, не обновляйтесь до свежих версий, ещё не понятно, как понизить до старых версий. У меня девайс с оригинальной прошивкой 8.2.7 не понижается ниже 9.5..

Вложения

**unicorp99** · 04.08.2014, 02:17

Разобрал дизасм и нашел, как переделать байткоды команд процессора NIOS2 в команды MIPS:
call в jal (две команды подряд jal - IDA не дизассемблирует)
movhi в lua
addi в add
mov fp,sp в move $fp,$sp
ret в jr $ra (менял эту команду с предыдущей, чтобы логика работы проца MIPS не нарушалась, а то подпрограммы IDA увеличивала на одну команду..)
все остальные команды занулил.

поменянный дамп влил в elf-mips32 big endian с чотким расположением .text и .data - чтобы данные IDA не разбирала как команды

этого оказалось достаточно для срабатывания ida с частичным разворачиванием подпрограмм и тыканием по адресам.
Сразу разобрал все таблицы, достаточно просто всё.

----------

Сначала разблокировал команды peek, peekblock и poke.
Потом в самих командах убрал выдачу сообщения - что
Telnet+> peek 4
peek address:00000004 is out of range

Сжал, залил в boot.image на то же место, поправил длину сжатого и crc - и точка успешно прошилась!

Telnet+> peekblock 0
00000000 0009883A 21014C14 2001483A 00005300 ......L...H...S.
00000010 0A003E26 E0C50000 00000000 4C1AB700 ............L...
MAC адрес зачем-то дублируется по адресу 10h

Слил содержимое точки!
долго парился покомандно через perl->except сливая побайтно дамп точки. Время слива 8MB - 9 часов, ахринеть.. (помница через LPT с 2100AP было дольше 2MB - день чтоле)
потом тупо пропатчил прямо в памяти адрес двух файлов gif - и слил дважды для надежности рабочий дамп точки! дважды дамп в адресном пространстве, потому что возможно рассчитано на 16MB BGA flash
8000000- длина 800000
8800000- длина 800000 ещё раз. Файлы отличались - точка пишет свой лог работы по адресу 18000

Толку от такого же дампа 2400SM мало, ищу 2400AP и другие..

--------------------

Telnet+> pldversion
Platform Information : DigPlat;10.RfPlat;0.BoardRev;1.FreqBand;3.AdjPower ;T.ExtRange;F.ExtAnt;F.Polar;0.Lite;F.FPGASize;0.M od;0.PLDWork;F.PLDVer;11.LowCurrent;F.DualPatch;F.

ExtRange - это не более расширенный диапазон частот? Нужно сделать его T. (True)

**unicorp99** · 05.08.2014, 15:48

убил моторола канопи 5700sm

дали на время из работы из чужой организации -
5750AP (APboot.bin) Cyclone - EP1C12F25617
5700sm (c25_fskboot.bin) Cyclone 3 - EP3C25EF48417N

убил c25_fsk, пока к AP-шке не лезу.

ранее мучил 10.3 на 2400SM - норм (Cyclone 2)
пропатчил свою 2400SM - boot.image_12.1 - норм
точно также пропатчил C25_fskboot.image 12.1 - убил (мигает светодиодами сразу через один как бегущие огни)
c40 c25 и просто boot.image патчатся одинаково.. даже адреса совпадают

в чом дело, непонятно..

Выпаял флешку - накатывал шары несколько раз (с первого раза не все припаялись) (старался не перегреть) - в итоге не читается, проггер пишет, что не контачат три ножки..

-------------------------

Пришло с Америки 4 точки
5x00xx Apex старая походу очень
5250AP Cyclone2
5700AP Cyclone2
5200SM Cyclone

оживляю, все убитые (брал repair)

**unicorp99** · 09.08.2014, 05:52

Восстановил из 4шт только 2шт 5250AP и 5700AP из Америки (сгорела входная защита ethernet-линка)

довёл до 90% перевода NIOS2 команд в MIPS, дизасм IDA делает приемлемо.
IDA-ой расколупал версии 10.3, 12.1, 9.5, 9.3, 8.2.2

Убил патченными прошивками в итоге 4 точки. Так и не понял, где косяк.

Вообще, Раз сто пятьдесят повышал-понижал версии девайсов, всё проходит отлично..

Смог понизить версию точек на процахCyclone2 вместо (официально) 9.5 до 8.1.5.1
Старые точки на процах Cyclone1 понижаются официально без проблем, я пробовал аж до 7.3.6

В итоге, анализом прошивки и серией патчей в памяти прямо на ходу через шнурок plug 4-6 (заводские настройки точки), смог все свои точки обновить до AP20-DES advantage.

Спойлер (+/-) (было 5750AP,сталоAP20-DES adv)

Спойлер (+/-) (было 5700AP,стало AP20-DES adv)

Сбылась мечта настырного балбеса.. Теперь, когда известно, как это делать - можно добавлять оные точки в программу..

Из особенностей:
точки на процах Cyclone2 можно понизить только до версии 9.5, на процах Cyclone1 можно и ниже.
в прошивке 9.3 есть инженерное меню, где можно поставить расширенную частоту точки 2400-2475, 5600-5850 (не точно указываю частоты, по памяти) http://pinoyassasin.blogspot.ru/2011...ring-page.html
Чтобы меню появилось слева 4-е - просто открыть страницу engineering.cgi меню. инженерное меню engineering не появляется, если в точку воткнут default 4-6 plug. В следующих версиях меню убрали, а страницу параметров оставили..
На версии 8.1.5.1 при открытии страницы инженерного меню точка зависает (переполнение буфера отправки лога), походу..
Не понижалось с версии 9.5 на версию 8.2.7 (а на 8.2.2, 8.1.5 понижалось на Cyclone1 процах)

Что ещё интересно - патч прямо на ходу в памяти 5250AP - перевожу её с диапазона 5.2 на диапазон 5.7 - работает, но значительно хуже сигнал.. (вместо -40 сигнал -75 -80dB)

**unicorp99** · 11.08.2014, 03:04

Наконец-то сделана тестовая игральная программа с галочками для изменения фабричных настроек точек Motorola Canopy версии не выше 10.5. в ручном режиме наигрался и напонижался/наповышался версий досыта.

Прошить моторола canopy p11 p10 p9 sm в ap..
Перепрошить motorola canopy

ранее получалось только очень долгими понижениями прошивки 12.1->10.5->9.5->8.2.2 только на старых точках на процессоре Cyclone1 , потом изменение настроек, и только потом обратно
Теперь можно менять на точках Cyclone2 и Cyclone1 версий не выше 10.5. Если у Вас 11-я или 12-я или 13-я версия - то нужно будет понижать.

Смысл такой. В точку прошивается так называемый KEY1 и MASK1 для типа точки и KEY2 и MASK2 для шифрования.

В версиях 13.1.2 на изменённом MASK появился Engineering Key - можно инженерные настройки (как и в версии 9.3) менять..
Также, на версии 13.1.2 замечена серьёзная проблема - она видит тот старый ключ, на котором 13.1.2 впервые запустилась, у меня это был пробный 37B10000 - и пишет, что регион заблокирован, и инженерный режим включен.. (Видимо это их такого рода защита от такого типа взлома)
Region Locked - True
Region Code 67 - 222 Unknown
Encryption Locked - True
Engineering Key - True (Keyed)

Далее ->13.1.2 понизил до 12.1 - не дало понижать до 10.5 (Feature Key Downgrade error) - понизил до 11.2.. Reset to Factory Defaults -> 10.5 Reset to Factory Defaults ->9.5 и Reset to Factory Default лечит запарку с запоминанием неправильного ключа.. Точка дурные мысли забывает напрочь..

С версии 13.1.2 даёт в регионе Other-Other (после выбора региона и перезагрузки) выбирать частоты:
2400-2482.5 (2.4) было 2415-2457.5
5600-5875 (5.7) было 5735-5840
5150-5350 (5.2) было 5275-5325

с 11-й версии отключена возможность изменения MASK старым способом, перешли на 3DES шифрование. Последняя версия для смены MASK - 10.5. С версии 11 закодировали MASK с помощью 3DES

**unicorp99** · 26.08.2014, 06:15

Этап 2

Cделан прототип программы с галочками для изменения фабричных настроек точек Motorola Canopy версии выше 10.5 в ручном режиме..
после убивства двух точек на Cyclone3 с перепайкой BGA флеш трясущимися ручонками и мандраже по этому поводу - найдена вторая CRC32 и точки стали загружаться.
разгадано невиданное доселе Западло прошивки Cyclone3 - шьётся и кажет, что CRC32 норм - а не включается.. Cyclone2 таким же макаром шьётся и включается..

Теперь можно менять на точках Cyclone1 (P9) Cyclone2 (P10) и Cyclone3 (P11, C40, C25E) версий прошивки от 11.2

Как оказалось, первая точка не на процессоре Altera Cyclone - это мост между железом и процессором PowerPC - в прошивке модель MPC850 - на железке модель MPC852.. Дизасм прошивки в IDA есть сразу!
Далее, путём долгих колупаний всё-таки был разломан Cyclone3 - из SM-ки C25E в AP-шку C40 путём замены:
1. ID модели в прошивке - адрес 0x28 - нужно вместо чесла 0 - чесло 0x2000
2. bootstrap-а C25Ebstrap.bin на C40bstrap.bin - оба файла сгенерированы из ничего путём тяжолого анализа заблокированной микрошкодной пакости и дампов P11 C40 и C25E
3. файла прошивки на файл c40_fskboot.bin
4. ну и есс-но - FeatureKey

Смысл такой. В точку прошивается подписанный RSA1024 и защищённый 3DES так называемый новый один FeatureKey, внутренне - состоящий из двух старых:

Соответствие бит ключей
MASK1
к примеру 20B00000 (самое оптимальное состояние настроек)
первые 2 цифры:
0x80 0 - DEMO
0x40 0 - BackHaul (BH)
0x20 1 - Access Point
0x10 0 - 20Mbit (BH only)
0x08 0 - APAS (добавляет к названию точки буквы AS), что такое - не знаю
0x04 0 - 5.1GHz
0x02 0
0x01 0
вторые 2 цифры:
0x80 0 - MIR Unlimited для SM-ки (или AP-шки, работающей в режиме SM-ки)
0x40 0 - MIR 3 Mbps Aggregate (низкое значение, это не надо ставить, только хуже)
0x20 1 - MP Double rate (удвоение скорости)
0x10 0 - Advantage (на расстояниях до 2-х миль скорость выше в два раз)
0x08 0
0x04 0
0x02 0
0x01 0
третьи 2 цифры:
0x10 0 - AP Lite (AP Limited)

MASK2
Шифрование
0x80 0 - None crypt (вообще выключение шифрования)
0x40 0 - AES crypt
0x20 0
0x10 0 - Engineering key
0x08 0 - Lock region
0x04 0 - Lock crypt
0x02 0
0x01 0

Оптимальная конфигурация для AP/SM точки/клиента 20B00000 00000000 - (AP, Unlim, MP, Adv)
Оптимальная конфигурация для BH Backhaul - 50B00000 00000000 (BH, 20Mbit, Unlim, MP, Adv) - не уверен, что нужны последние три бита..
по BH только одно считанное устройство, мало данных..

Сначала думал, что для AP нужно ставить битик 20Mbit - оказывается, и толку нет (скорость без бита такая же), и CNUT network updater определяет такую точку как BH20-DES (а не AP20-DES).

Дефолтные MASK на точках с завода:
20300000 5250AP
20300000 5750AP
20000000 5700AP
20300000 5760AP
00800000 5760SM
00800000 2450SM
00060400 2400SM
20000000 2400AP
50000000 2400BH

как видите, все точки с 50 в названии (adv) отличаются 3 (AP-шки) и 8(SM-ка). совмещение 3 и 8 даёт B
что за 00060400 - я так и не понял..
---------------------------

Далее ->13.1.2 понизил до 12.1 - не дало понижать до 10.5 (Feature Key Downgrade error) - понизил до 11.2.. Reset to Factory Defaults -> 10.5 Reset to Factory Defaults ->9.5 и Reset to Factory Default лечит запарку с запоминанием неправильного ключа.. И точка дурные мысли забывает напрочь..

Что нету в наличии для анализа - устройств Lite, C16, C20, P12 - но, думаю, если дадут к ним доступ по сети - смогу вычитать, разобраться и перешить..
Для тех, кому нужно будет перешить такие точки:

Методика сравнительно честного отбора денег у жадных (слития прошивок из точки):

1. Заходите в точку на главную страницу. Сохраняете страницу в файл.
2. Заходите в точку по ftp, обязательно даёте команду binary. можете напечатать команду get и поставить пробел, так как далее именно в процессе прошивки точки можно слить с неё именно её прошивающиеся файлы..
3. Заходите в точку по телнет, копируете в файл вывод команд: ver, pldversion, softversion
4. Запускаете CNUT, включаете debug и делаете обновление прошивки точки - на этапе прогресса индикатора Transferring можно переходить к п.5
имена необходимых для анализа файлов будут в логе CNUT, обычно это APboot.bin SMboot.bin boot.image c25_fskboot.image c40_fskboot.image
5. можно посмотреть имена в открытом telnet - командой ls - только быстро, ведь точка
6. сливаете файл по ftp - к уже ранее набранной команде get допечатываете имя файла и ентер
7. переименовываете файл - добавляя к имени номер версии прошивки и номер попытки.

процедуру проделывают два раза - то есть прошивают четыре раза - два раза другую прошивку и два раза нужную. Подряд не даёт одно и то же прошивать..

По скорости сливания точки различаются:
Apex PowerPC 850 XPC855 - сетевой чип LAN83C183 труп - думаю менять на 83C185
P9 Cyclone1 PowerPC 850 MPC852 - 125Kbyte/sec сетевой чип AC101
P10 Cyclone2 - 325Kbyte/sec сетевой чип AC201
P11 Cyclone3 - 400Kbyte/sec сетевой чип 8041

В версии 13.1.2 даёт в регионе Other-Other (после выбора региона и перезагрузки) выбирать частоты:
2400-2482.5 (2.4) было 2415-2457.5
5600-5875 (5.7) было 5735-5840
5150-5350 (5.2) было 5275-5325

-----------------------------

Что в итоге можно сделать со старыми точками Motorola Canopy?

1. Самое главное, раз точек таких мало и уже не выпускают и ремонтировать сложновато - то можно перешить из SM-ки в AP-шку и получить заменяемые друг на друга точки.
На ebay куча старых точек 5700SM, 5200SM, 2400SM - которые можно перешить в AP и запустить в работу.

2. Несильно поменять рабочую частоту (к примеру 5.2->5.4 или 5.7->6.0 или 5.7->5.4 или 5.2->4.9)
Зачем это нужно?
К примеру, у Вас есть две старые точки, 5200SM 5.2 GHz и 5700SM 5.7 GHz. Есс-но, работать они друг с другом не будут. Но, можно через программу перешить точки в AP и жестко указать у обоих рабочую частоту 5.4 GHz, и точки заработают друг с другом.
Немного Хуже будет чувствительность, упадёт максимальная дальность работы, но точки создадут линк.
Можно сильно менять диапазон, но точка 5.2 на 6.0 будет работать очень плохо. также 5.7 на 4.9 будет работать, но с заметно более низким сигналом.
доступные частоты:
4.9 4920-5080
5.2 5150-5275-5325-5350
5.4 5470-5495-5705-5850
6.0 5600-5850-6050-6060
жирным выделены частоты, которые доступны на стране other в прошивке 13.1.2. Уже в прошивке 13.1.3 они недоступны.
Долго не дававшимися ньюансами смены частот были: устройства выпущены на определённые частоты только определённых версий. к примеру 6 GHz устройств версий P7,P8,P9 нету.
что не доломано - на 6GHz требует поставить другую страну, чем other.. Asia->India работает.. не стал дальше колупать..
5250AP P9 при прошивке в неё 6GHz без патча версий не включалась - ручонки опять затряслись, думал - дошился - но при Plug 4-6 включилась и дала допатчить..

4. Далее, если название вашей точки не оканчивается на число 50 (означает Advantage технологию), то можно поднять скорость клиента с 3.5Mbit до 20Mbit (а на весь сектор точки до 40Mbit), и это у близко расположенных клиентов (до 2 миль), а у далёких в зависимости от дальности. Читать по ключевым словам в нете: motorola canopy advantage
Если даже в названии точки AP есть две цифры 50 (xx50sm или xx50ap) - то заводская AP-шка Advantage не может работать как полноценный клиент SM Advantage.. Да, вот SM-ка xx50SM Advantage как SM-ка достаточна.

Полноценные распространённые модели:
2450AP Cyclone2 P10
2450SM Cyclone2 P10
5250AP Cyclone2 P10
5250SM Cyclone2 P10
5750AP Cyclone1 P9 или Cyclone2 P10
5750SM Cyclone2 P10
5760AP Cyclone3 P11 C40
5760SM Cyclone3 P11 C25E
Лучше обновить для скорости:
2400AP
2400SM
5200AP
5200SM
5700AP
5700SM
Под вопросом:
5700BH
2400BH

Ещё найденные модели: with AES
2401AP
2401SM
2451AP
2451SM
5201AP
5201SM
5251AP
5251SM
5401AP
5401SM
5451AP
5451SM
5701AP
5701SM
5751AP
5751SM

5. Если стоит заводской лок страны (думаю что маска для SM-ок 00040600 - что-то типа того) - то можно убрать лок.
Стали лочить устройства на страну. В версиях 13.1.2 есть какие-то проблемы с подключением, а в версии 13.1.3 ограничения AP-шки (выбор страны) передаются клиентам SM-кам (конечно же, на сеанс, только до перезагрузки)

Из того, что не всем интересно:
6. Поменять шифрование на AES, но, думаю, что это дополнительная нагрузка на проц точки..

**Санёк81** · 20.11.2014, 13:38

Приветствую!
дома валяются три канапли 5700SM с внешними антеннами (антенны какие то Израильские), покупали с запасом.

так я и не понял как снять дамп с них.

**ddmmiittrryy** · 12.12.2014, 13:52

а ермр 1000 никто не пробовал у Юбик залить????

**dea** · 14.05.2015, 20:29

Тоже любитель ломать Canopy, но доступны были версии P7 и P9
Это версии с процессором PowerPC XPC855 и Плис Apex.
Либо MPC852 и Cyclone

В общем в результате написана программка для доступа к флешке по стандартному интерфейсу BDM
в виду нищеты использовал UsbBlaster и самописную программку для записи чтения флешки этого типа.

Распиновка разъема на платах.

P7,P9
N|1 |2 |3 |4 |5 |6
================================================== =========
1| | | | | |SRESET
2| | | | |GND |DSCK
3| | | | |GND |
4| | | | |HRESET |DSDI
5| |GND| |GND |VDD |DSDO

Плис выполняет функции:
Управление частотой приема передачи, формирования пакета БПФ и декодирование БПФ (быстрое преобразование фурье) ну и отправляет пакеты по радио.
Далее данные обрабатываются процессором.
Опыты показали, что прошивки FPGA одинаковые в AP и SM, файлы прошивки тоже одинаковые полностью и все зависит только от настройки точки.

В общем флешка разбита на участки.

0x00 0000 пусто 0xFF
0x00 0100 команда перехода на загрузчик (CANOPY BOOT 3.0)
0x00 1ffff пусто 0хFF

0x00 2000 - Начало резервной копии конфигурации и калибрации
0x00 3ffff - конец

0х00 4000 - системный лог в текстовом виде копия
0x00 5ffff

0x00 6000 - MAC 0a
0x00 6001 - MAC 00
0x00 6002 - MAC 3e
0x00 6003 - MAC xx
0x00 6004 - MAC xx
0x00 6005 - MAC xx

0x00 6006 - 0x00
0x00 6007 - 0x00

0x00 6008 - комманда парехода на загрузчик

0х00 600с - 0xff 0xff 0xff

0x00 600F - Тип устройства 0xFF=AP 0xE3=SM других не ломал .....

0x00 6010 - Загрузчик ядра OS-9000 (CANOPY BOOT 3.0)
0x00 7fff

0x00 8000 - системный лог в текстовом виде оригинал
0х00 dfff

0x00 e000 - Начало основной копии конфигурации и калибрации
0х00 ffff

0x01 0000 - lzma код операционной системы
0x3e fffff

0x3f 0000 - Фаил сертификата электронной подписи (нафига он не понял ....)
0х3f 2900

0x40 0000 - lzma код операционной системы резервная копия.
0x7f ffff

В общем после запуска ядра адресное пространство процессора выглядит таким образом:
BR0 = 0x0000 0000 - ОЗУ с кодом ядра куда оно расжимается
BR1 = 0x0200 0000 - Адресное пространство флешки
BR2 = 0х7000 0000 - Адресное пространство FPGA
BR3 = 0xE800 0000 - неизвестно.
IMMR регистр команд процессора 0x02b0 0000.

В общем тип устройства определяет его мак адрес и тип устройства в области 0х6000-0х600f
Кроме того в области конфигурации есть некий ключ (видимо DES3 типа) который привязывает конфигугацию к мак адресу и типу устройства.

Если заменить мак адрес точки доступа в области загрузчика то устройство стартует как SM.
Если стереть конфигурацию вообще и запустить устройство то будет выдано сообщение что устройство не откалибровано и конфигурация создается пустой с пустым ключом и устройство работает ка SM.

В общем клонировать устройства получилось, а вот изменить мак адрес или изменить тип на BH без создания ключа в области конфигурации не получится.
Вариант это исправить прошивку и отключить проверку ключа, и тогда устройство будет кушать любую конфигурацию.

Но на это пока не нашел времени.
Слепок 16мб оперативки в принципе слит и пропущен через IDA, но времени свободного нет (((((

Из новых устройств это P10 на Cyclone II EP2C35F484I8N

В принципе процессор и БФП запускается в одном чипе.
Но протокол отладки процессора непоняет.
На плате стоит плис MAXX II EPM240GT100SN которая запрограммирована для параллельной загрузки конфигурации в основную ПЛИС.
К ней можно подключиться по jtag и получить доступ к флешке Interl 64OP308

Распиновка сервисного разъема:
N|1 |2 |3 |4 |5 |6
================================================== ============
1|FPGA TCK |GND | |GND |GND |
2|FPGA TDO |VCC 1,8| |VCC 1,8 | |
3|FPGA TMS |--- | | | |
4|---------- |--- | | | |
5|FPGA TDI |GND | |GND | |

Но процесс остановился на том. что нужно выпаять флешку и прозвонить ее на MAXII для того чтобы понять на какой ноге ПЛИС какая нога флешки.
Так как дали погонять два BH то выпаивать и ребалить нет желания, тем более даже нечего клонировать.

Как то так в кратце.

**dea** · 14.05.2015, 20:54

Сообщение от unicorp99 Посмотреть сообщение

Слил дамп с микросхемы 28F640P30B. 8MB. Motorola canopy PTP 100 - 2400SM P10
считанный дамп в нутре флешки почему-то был реверсным - байты переставлены, перевёл в нормальный вид, когда текстовые фразы стали читаемыми - файл с дополнением в имени: rev
структура 640P30B - Motorola Canopy PTP 100 P10 2400SM
000010 - MAC
008000-00FFFF - 1st CERT тут сертификаты
010000-017FFF - 2st CERT второй рас для надёжности

Скорее по адресу 0х8000 лежит не сертификат, а конфигурация и калибрация устройства.
Если точнее то с адреса 0х8020
0х805А - 99В25С989А544 - это ключ привязки конфигурации к мак адресу и типу устройства.
Чуть ниже пароли доступа к устройству.
0x8A00 - вот тут уже демо сертификаты куча разных.

0х10020 копия конфигурации устройства.

0х01 8000 тут логи устройства.
0х04 0000 тут файлы прошивок FPGA в зависимости от типа устройства и кодирования

**dea** · 25.05.2015, 23:35

В общем допилил всё сам.
Пока для P7,P8,P9,P10 версий.

Перешил для своих нужд AP в BH-20.
Device type 5.7GHz - BackHaul - Timing Slave - 20 MBit - 0a-00-хх-хх-хх-хх
Software Version CANOPY 7.3.6 Oct 24 2005 12:06:56 BH20-DES
Software Boot Version CANOPYBOOT 3.0
FPGA Version 051104 (DES)

Всё успешно перешивается в любую конфигурацию.
Частоты менять смысла нет, так как на плате стоят фильтра шириной в 20мгц (в моделях 5.7ггц.).

В общем 10$ на вебмани и мак адрес в личку.

Сейчас интересует полный реинженеринг P11. Так как можно делать любой OFDM передатчик, даже цифровое ТВ вещать в DVB-T.

Еще. Частоты можно добавить в инженерном меню.

http://169.254.1.1/configuration.html
http://169.254.1.1/ism.html
http://169.254.1.1/mac.html = но если флеш живая мак не поменять.... только через прогер, но это не нужно теперь.

**dea** · 28.07.2015, 14:18

Догрыз P11 C55, можно конвртить только в SM-Unlim, BH, AP уже не получится, нет прошивки fpga.

**Василий386** · 13.08.2015, 07:57

Господа, кто видел прошивку для ePMP1000 на 2,4 гГц с раскрытым диапазоном ?

Объявление

Дамп Motorola Canopy 2.4 P10 PTP100 - Cambium Networks и вопросы модификации

Дамп Motorola Canopy 2.4 P10 PTP100 - Cambium Networks и вопросы модификации

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий