Extraction des Mainsoftwares HD 200

[iautran]

Salut Psycko,

 

oui je comprends bien et c'est clair que la team nous laisse en galère et surtout sans aucune communication :-/

 

En fait, je me demande surtout si, dès lors qu'on trouve la solution pour injecter le mainsoftware, alors est-ce que cela ne signifiera pas aussi qu'on a débloqué la protection mise en place par Atlas et qui fait que cela aura pour conséquence d'obliger Atlas à sortir un autre firmware (puisqu'on se retrouvera finalement quasiment dans la même situation que les pirates qui ont hacké l'atlas et nous ont mis dans cette situation).

 

Mon raisonnement est correct ou j'ai loupé un truc ?

[dcd63]

 

 

 

 

Bonjour 1@dcd63[/uSER]

 

j'ai trouvé ce que tu cherche chez les chinois mais les liens sont payant

 

MERCI mais je l'ai dèja

 

je vous le passe

 

 https://mon-partage.fr/f/FzOOL4td/

 

moi je travail sur le boot D afin de savoir comment il fonctionne !

 

c'est sure que le jour ou l'on aura percé le mystère, va falloir rester discret . sans quoi  :tw_bawling:

 

ils sont victime de leur micmac, a vouloir être trop gourmand !

 

s'ils c'étaient contenté de mettre a dispo leurs mises a jours on en serai pas la ! 

 

++

 

 

[coolirc]

Bonjour

 

c'est pas évident de mettre le boot via internet puisque ils vont le récupérer facilement et le désassemblé

 

le but de cette démarche est de mettre le boot a l'abri pour sécurisé leur mainsoft pour ne pas utilisé les serveurs free kyngs dans les démos pirates concurrents ...

[tilki42]

MERCI mais je l'ai dèja

 

je vous le passe

 

 https://mon-partage.fr/f/FzOOL4td/

 

moi je travail sur le boot D afin de savoir comment il fonctionne !

 

c'est sure que le jour ou l'on aura percé le mystère, va falloir rester discret . sans quoi  :tw_bawling:

 

ils sont victime de leur micmac, a vouloir être trop gourmand !

 

s'ils c'étaient contenté de mettre a dispo leurs mises a jours on en serai pas la ! 

 

++

 

Bonjour est ce qu'il faudrait pas se pencher plutot sur le premier fichier de boot qu'on a envoyé au winbond qui a déclenché le run et apres on a mis le second fichier.

[coolirc]

Bonjour est ce qu'il faudrait pas se pencher plutot sur le premier fichier de boot qu'on a envoyé au winbond qui a déclenché le run et apres on a mis le second fichier.

 

oui surement y'a une instruction qui débloque le processeur pour accepter le boot mais il faut déja extraire le live boot depuis un F200 il faut trouver aussi une interface jtag pour communiquer avec le hd200 c'est surement ce que dcd63 est entrain de faire en essayant de trouver comment le bootloader uboot fonctionne

[tilki42]

c'est pour ça que je dis on doit peut être examiner mieux le premier fichier

[dcd63]

oui

 

c'est complexe et bien ficelé

 

le premier fichier n'est pas équipé de la partie Mainsoft, il autorise le 2 ème et seulement celui ci !

 

qui lui a un mainsoft que l'on ne peu pas remplacer sinon ça boot m^m pas.

 

il faut réussir a comprendre pourquoi  :hungover_40_anim_gif:  ...

 

je viens de récupéré une B128 pour tester quelques fichier maison

 

je suis en possession d'un dump F200 vierge qui a exactement la même structure que le boot D

 

et je pense qu'avec quelques modifications cela pourrait fonctionner.

 

++ 

[platargiste]

/monthly_2017_07/large.IMG_2364.JPG.8b8ae40e4d452e700a95a66bad1f1bc5.JPGcette partie du 1 er fichier du boot D quelqu un sait a quoi elle sert ? On dirait des cavaliers comme sur une carte mère.

 

J arrive pas à coller la photo c est a l adresse 000397E4 

[isamudyson]

oui

 

c'est complexe et bien ficelé

 

le premier fichier n'est pas équipé de la partie Mainsoft, il autorise le 2 ème et seulement celui ci !

 

qui lui a un mainsoft que l'on ne peu pas remplacer sinon ça boot m^m pas.

 

il faut réussir a comprendre pourquoi  :hungover_40_anim_gif:  ...

 

je viens de récupéré une B128 pour tester quelques fichier maison

 

je suis en possession d'un dump F200 vierge qui a exactement la même structure que le boot D

 

et je pense qu'avec quelques modifications cela pourrait fonctionner.

 

++ 

 

Ce que je peine à comprendre c'est si le premier fichier ouvre les chakras autorisant le second fichier alors pourquoi l'effet se maintient si on éteint le démo entre les deux injections et pourquoi l'effet se maintient après effacement de l'eeprom ??? 

 

Comment le premier fichier maintient-il son effet ?????

[platargiste]

Je dirais que le premier mets en place les jumpers autorisant ainsi le flash du boot

[gex1000]

Ce que je peine à comprendre c'est si le premier fichier ouvre les chakras autorisant le second fichier alors pourquoi l'effet se maintient si on éteint le démo entre les deux injections et pourquoi l'effet se maintient après effacement de l'eeprom ??? 

 

Comment le premier fichier maintient-il son effet ?????

 

Le bootloader est un programme qui permet l'utilisation du matériel de la carte, carte réseau carte graphique mémoire etc... Le principe est simple, on démarre une image  dans la mémoire vive et à partir de là on installe le programme sur la flash. Dans ce programme est indiqué l'ordre de démarrage des périphérique, sur quoi démarrer etc..

 

Dans le cas de l'atlas je pense que dans ce programme il y'a une vérification qui se fait entre le mainsoft et le bootloader.

 

Dans le principe, il faudrait se connecter sur l'eeprom et lire avec barebox ou u-boot le bootloader ce qui se trouve dans la mémoire flash. Ce que ne peut faire le programmateurs CH341A, lui ne lit que le logiciel.

 

C'est le principe utiliser pour réparer des bios de carte mère, sauf que je ne connais que l'injection et non la récupération de bios.

 

Je ne sais pas si je suis clair?

 

Je vais essayé de me réinstaller l’émulateur sur un ordinateur

[platargiste]

/monthly_2017_07/large.IMG_2364.JPG.8b8ae40e4d452e700a95a66bad1f1bc5.JPGc’est cette photo dont je parlais plus haut.

[123MAXIMEG]

j'ai lu sur un autres forum qu'une personne avait envoyer 4 démos en B pour passage en F200 au retour un démo reste bloquer sur RUN

 

c'est peut être le fichier tant convoiter ! a croire qu'il manque la deuxième partie !

 

il serait intéressant d'extraire sur ce démo ! mais je ne pense pas qu'il soit équipé pour !

[tilki42]

 

oui

 

c'est complexe et bien ficelé

 

le premier fichier n'est pas équipé de la partie Mainsoft, il autorise le 2 ème et seulement celui ci !

 

qui lui a un mainsoft que l'on ne peu pas remplacer sinon ça boot m^m pas.

 

il faut réussir a comprendre pourquoi  :hungover_40_anim_gif:  ...

 

je viens de récupéré une B128 pour tester quelques fichier maison

 

je suis en possession d'un dump F200 vierge qui a exactement la même structure que le boot D

 

et je pense qu'avec quelques modifications cela pourrait fonctionner.

 

++ 

 

oui effectivement le premier fichier n'a pas de mainsoft , mais il ya le debut de mainsoft avec le soft de 1@ryl[/uSER]  on le voit clairement voici les infos

 

len: 0000003F

 

ver: D100

 

crc: 00000000

 

avec editeur hexa si on se postionne sur 0x00160000  on voit

 

2VDK............ALTADH-S002-...S....................72..70300CRC et si on le tourne a l'envers voici

 

KDV2............ATLAS-HD-200S.........................270307CRC0

 

donc il y a une histoire de crc checksum?

 

 

[WindowsXP]

Bonsoir,

 

Moi ce que je trouve bizarre c'est que le dump F200 de la carte mère que j'ai fait avant de la monter soit différent du dump F200 de la première page du topic, comme si le dump de la carte mère neuve avant première utilisation était compressé (puis se décompressait après l'allumage du démo).

 

[tilki42]

Bonsoir fait une comparaison avec editeur hexa regarde ou il y a des différences.

[WindowsXP]

Bonsoir fait une comparaison avec editeur hexa regarde ou il y a des différences.

 

C'est fait y a des différences dés le début du fichier (Voir la capture que je viens de rajouter au dessus : premier fichier CM F200 neuve jamais monté et deuxième fichier celui du topic)

[tilki42]

le deuxième fichier correspond au 1er fichier de boot servant a passer de B a D les debut sont identiques

[bulbes67]

bonsoir,

 

je me joint a vous y a une difference a la ligne 00000240 puis plus de difference jusqu'a la ligne 00001250

 

le premier est le premier boot D

 

est le deuxieme est le dump F200 original

 

oups l'image ne s'affiche pas...desolé

[Minot]

1@123MAXIMEG[/uSER] en effet ça aurait été intéressant de faire un dump de la spiflash du démo bloqué sur run

 

 

[dcd63]

RE

 

il existe 3 stade différents de l'eeprom

 

- N°1 le programme avant mise sous tension :

 

le loader est prêt a faire l'appairage avec le CPU , le boot et le mainsoft sont plein d'info et de paramètre pour le démo !

 

exemple:

 

....ATLAS...HD-200S..... .@.€...........

[MUSB] DMA Request could not be allocated for USB%d!

Running with no DMA....

[MUSB] DMA controller could not be created for USB%d! Running with no DMA...

[MUSB] USB%d RESET irq when HOST->PERIPHERAL transition ==> treat with FullSpeed....................

No DUMP buffer exist, please call MUSB_FAPI_DUMP_INIT(bufferSize) to create one

 

 

- N°2 le programme après mise sous tension :

 

l'eeprom a été vidée et entièrement reprogrammé par le CPU, nous avons un démo vierge F200 de production !

 

- N°3 le programme après la mise a jours KYNG :

 

l'eeprom n'as plus rien a voir...

 

la structure du N°1 est similaire au Boot D

 

nous avons une première partie de 0x0 à 0x0227  paquet mis en mémoire tampon je pense

 

 

H61...!............@...@..!.....

 

KG13.... ..m'Ÿ{.ïë@.µÈleÍ

 

. B.ý7ݵ‡Ke€XÙ~vK.é. ±

 

PpD4CÇ.@ëE‰ðªZMsºü

 

¨†.žgär"È.…`åîå

 

 

puis un premiers paramétrage uboot  

 

H61...!................Z

..#."p........O»Ý.....

..Ý.....P¦ 

Ý.....6dÝ......c

Ý......3Ý.......

Ý.......Ý.......

Ý.......Ý.......

Ý.......Ý.......

Ý......fÝ.......

 

 

suivie d'un 2ème

 

Þ.......Þ.....6dÞ......

iÞ......3Þ.......Þ.......

Þ.......Þ......¯Þ......J

Þ......fÞ......xÞ......‚

Þ.......Þ..(....Þ.......

Þ.......Þ.......ÿÿÿÿ....

Þ.......ÿÿÿÿ...ÈÞ.......

 

 

ensuite un autre paquet de données de 0x01250 à 0x01340

 

puis on viens fermer tous ça avec H61 et des données figurant dans le premier uboot

 

H61...#."p.."p.

 

...O»..O»........

 

voila a étudier

 

je pense qu'il y a moyen de faire qques chose mais je crois que je suis bloqué par le calcule du CRC

 

quelqun sait comment il est calculé ??

 

j'ai l'impression que 70300CRC est un crc passe partout, je vais essayer !

[dcd63]

autre chose le dump F200 déposé en début du post n'est pas vierge.

 

un dump vierge possède un paquet supplémentaire de 4 bits en 0x000005

 

ce qui décale toute l'eeprom d'un paquet y compris en 0x0160000

 

avec le soft de ryl la lecture de la versin,  LEN et CRC est faussée !

 

c'est a la mise sous tension que ce paquet disparaît et que tout rentre dans l'ordre :headphones_40_anim_gif:

 

pour les TESTEURS en tous genre voici un F100 vierge

 

 https://mon-partage.fr/f/lbXEMg9l/

 

travaux pratique :

 

tenter de mixer avec un D pour le passer en F100

 

infos:

 

quand vous rebooter votre démo et que seule la led rouge est allumée 

 

cela signifie que le CPU ne trouve pas le bon boot. il est en mode LOOPS et vient interroger l'eeprom toutes les 4s environ.

 

on peux le voir a l’oscilloscope . et suffit de mettre en place l'eerpom en D pour qu'il démarre sans m^m toucher a l'inter.

 

moi j'ai déssoudé la winbond et j'ai 6 mini pcb avec 6 puces a distance.

 

Bonne journée a tous ++

[minixav]

Bonjour,

 

KDV2............ATLAS-HD-200S.........................270307CRC0

 

Pour moi c'est pas un checksum mais une date

 

avec le B105 j'ai GENK[00][00][00][00]BOOT[00][00][00][00]ATLAS-HD-200S[00][00][00]¼}[05][00][00][00][00][00][00][00][00][00][00][00][00][00]±¡±[05]±[00]010217µÔ”Õ etc..

 

le fichier source kyng .kbt as la meme date

[dcd63]

oui en effet tu a raison

 

 mais il figure en 0x016004C dans le boot D et les paquets LEN et CRC sont vides !

 

en revanche j'en suis sûre le CRC est calculé dès que l'on change l'eeprom et  donc sans le bon LEN & CRC ça peu pas marcher.

 

il faut trouver comment le calculer

 

++

[minixav]

en 0x016004C

 

c'est pareil mais pour le mainsoft (KAPP) 0X160000

 

l'adresse 0x160000 est le debut du mainsoft