【119楼】 taoist SAM-ICE 可以破解成 全功能的 J-LINK吗
只看到分别移位到d0,d1,d2, 难道还是只取这3个引脚?
如果还是只取这3个引脚,又怎么区分hw的不同版本?
001058FA 4A1B LDR R2, ; =0x200218
不知道这句是什么意思?
to 【118楼】 wzavr
001058C0 2004 MOV R0, #4 ; R0 = 4
......
001058F6 4A4F LDR R2, ; =PIOA_PDSR (0xFFFFF43C)
001058F8 6813 LDR R3, ; read PIOA_PDSR (0xFFFFF43C)
001058FA 4A1B LDR R2, ; =0x200218
001058FC 0A5C LSR R4, R3, #9 ; R4 = PIOA_PDSR >> 9
001058FE 4020 AND R0, R4 ; R0 = PA11
00105900 0B9C LSR R4, R3, #14
00105902 2502 MOV R5, #2
00105904 4025 AND R5, R4 ; R5 = PA15
00105906 4305 ORR R5, R0 ; R5 = PA15 | R0 = PA15 | PA11
00105908 0F58 LSR R0, R3, #29 ;
0010590A 2301 MOV R3, #1 ; R3 = 1
0010590C 4003 AND R3, R0 ; R0 = PA29
0010590E 432B ORR R3, R5 ; R3 = PA29 | R5 = PA11 | PA15 | PA29 (D2 | D1 | D0)
00105910 0098 LSL R0, R3, #2 ; R0 = R3 << 2
00105912 4B0E LDR R3, ; =0x1099C4
00105914 5818 LDR R0, ; R0 = 0x1099C4 + R0(0 - 28)
00105916 6010 STR R0, ; =
......
0010594C 001099C4 DW 0x001099C4
......
00105968 00200218 DW 0x00200218
......
00105A34 FFFFF43C DW 0xFFFFF43C
......
001099C4 00013880 DW 0x00013880
001099C8 00013880 DW 0x00013880
001099CC 00013880 DW 0x00013880
001099D0 00013880 DW 0x00013880
001099D4 00013880 DW 0x00013880
001099D8 00013880 DW 0x00013880
001099DC 00013880 DW 0x00013880
001099E0 00013880 DW 0x00013880
<fontcolor=#699bcd>本贴被 taoist
编辑过,最后修改时间:2008-12-15,15:58:35.
我也搞定了.
只是不明白怎么判断hw的版本是v8的. 因为3个区别hw版本的脚的电平组合都已经用过了.
硬件版本的区别如下
PA11 PA15 PA29 VER
NC NC NC 5.00 0
NC NC GND 5.90 1
NC GND NC 5.20 2
NC GND GND 5.40 3
GND NC NC 5.90 4
GND NC GND 6.00 5
GND GND NC 5.30 6
GND GND GND 5.40 7
还没开始fw的反汇编,请教下taoist .
我也等v7 sch的出现,或者有空把v8 sw反汇编出来.
原公司的v8还没正式出来, 别搞到最后给来个大变动,就什么都没有玩了. <font color=#699bcd>本贴被 wzavr
编辑过,最后修改时间:2008-12-15,14:04:12.
囧~~~~强人们都瞄准v8了~~~~我的v5还在凑硬件呢
哈哈,在V7的图出来之前,我不会再写了... 有问题私聊吧...773086017
to 【114楼】 bigstrong 大强
再下去。。。V7的原理图咋都不会出现了。。。
反汇编了DSAM提供的V5的firmware,把过程写下来,希望能对破解V6的同志提供一些帮助:
一、复位向量跳转,设置SP_IRQ和SP_SYS 二、C语言运行环境初始化,猜测是类似__main的函数,包括拷贝数据段等操作
三、解锁Flash
四、将固件从备份区拷到运行区,Flash内部从起始地址开始依次是BootLoader(0x100000-0x102000)、代码运行空间(RO)(0x102000-0x102000+6E00)、代码备份区(0x102000+6E00-0x1FFFFF)
五、跳转到0x102000处,开始运行固件 对7S64不了解,仅从反汇编的结果可以看出这些内容,不对之处,多多指正。
看到固件更新部分在FirmWare里,而不在Bootloader里,猜测V6的破解方法是弄清更新的过程,自己写一个BootLoader(含更新部分)骗过上位机,获取固件后写入到备份区(或者直接写入到运行空间)。
难点在于:
固件更新过程。即在固件更新的过程中,下位机要做哪个工作,包括如何与上位机交互,如何将上位机发过来的固件正确写入到Flash<font color=#699bcd>本贴被 bigstrong
编辑过,最后修改时间:2008-12-15,12:49:47.
【112楼】 ahfong2006 怎么搞定的?
呃。。。感谢taoist的提示。。。我的V6貌似修复了
http://cache.amobbs.com/bbs_upload782111/files_11/ourdev_544417.JPG <font color=green>(原文件名:v6.JPG) <font color=#699bcd>本贴被 ahfong2006
编辑过,最后修改时间:2008-12-15,11:12:08.
【110楼】 taoist 谢谢了哈!学习ing
to 【108楼】 wzavr 在有了90%把握前,请勿轻易尝试
to 【105楼】 alan_super WinHex比UE在二进制文件处理方面弓虽
to 【109楼】 eng5025 YES
taoist
你用来反汇编用的DLL是不是在SEGGER网站上下载的Setup_JLinkARM_V396d.zip?<font color=#699bcd>本贴被 eng5025
编辑过,最后修改时间:2008-12-15,07:49:28.
通过分析, fw应可以在64上用,不过在64上使用时,会有一个非常麻烦的问题.
taoist ,对不?
半个好消息,通过看dll反汇编出来的东西,结合各种各样的流言 :)
基本上能做到 taoist 所说的步骤了. 哈哈哈哈
虽然家里有v6,不过在不确定的情况下,不会拿这个做试验, 尽快订一块板子,买一片256试试.
今晚通宵没白费.
进了一步,已经用vs.net 中的 dumpbin.exe 程序将dll文件反汇编.
不知道能否分析出来哪些数据是 fw,看看先.
Ultraedit
请问怎么在dll中提取bin啊?
看到以前有人说过dll用什么加密过,要先脱壳.不过我现在安装的3.92a好像没有加过壳.
现在对怎么提取出bin还是一头雾水.
谢谢,可以了。
to 【100楼】 bigstrong 大强
用了一次ADS,受不了那BT的界面。。。永远放弃。。。
to 【99楼】 bigarmer
1) BIN --> HEX 2) 建一个新项目,随便写个main
3) Option里配好CPU,debugger选simulater 4) 运行debug
5) 菜单--> view -->memory
6) 在memory窗体里按mouse右键,选择Memory Restore...装载HEX
用ADS应该同样可以做到,可以使用LoadMemory讲二进制文件下载到指定地址,然后将PC指向这个地址。以前调UBOOT的时候经常这么干。
to 【97楼】 taoist 可否演示一番?非常感激!
强帖。
IAR EWARM的memory restore功能只支持Intel HEX和Motorola的S*格式
BIN要先转成HEX
我的意思是IAR EWARM可以直接反汇编BIN吗?
to 【93楼】 bigarmer
在debug模式下的memory窗口里restore memory
IDA只能静态反汇编,用IAR反汇编,搞不明白了,直接跑跑。。。哇哈哈
呵呵,期待哪位有V7的兄弟早点把图传上来吧!
不明白。
我觉得IDA比较好用。
to 【91楼】 bigarmer memory restore
to【87楼】 bigstrong 大强 坚决不买。。。 PA5用来当串口
PA28呢? PA30呢? 继续DASM。。。呵呵 <fontcolor=#699bcd>本贴被
taoist 编辑过,最后修改时间:2008-12-14,23:05:49.
to 【86楼】 taoist
刚才网速很慢,可能帖子没发送成功,而我又刷新了几次页面,导致成那样的了。我是想问IAR EWARM怎么用来反汇编?谢谢。
呵呵,如果不急的话,估计很快就是V6的价格了,300块左右...
不过看taoist没有硬件反汇编太痛苦了,再说V7能早点公开,用CotexM3的兄弟可以早一点可以用上快速的SWV(虽然俺不用M3)。
如果taoist看着可行的话,我可以帮忙凑一点,虽然还是个穷学生,大不了再透支一下信用卡...我的早餐...最好能再有两个XD支持一下。
<fontcolor=#699bcd>本贴被 bigstrong
编辑过,最后修改时间:2008-12-14,23:00:14.
799这么低了?前几天还是这个价格的两。。。哦,是680了<fontcolor=#699bcd>本贴被
ahfong2006 编辑过,最后修改时间:2008-12-14,22:54:53.
是没通过审核还是在刷屏呢?
等了一天了,还是没有人上V7的电路图 taoist,咱们合伙买个V7得了,淘宝上799
【83楼】【84楼】【85楼】 bigarmer
你在干嘛???刷屏?
看来V8用了2个LED
1个用于指示USB通讯--PA1 1个用于指示Target的状态(是否复位)?--PA0<font color=#699bcd>本贴被 taoist
编辑过,最后修改时间:2008-12-14,17:58:57.
顶一个
to 【79楼】 wzavr J-Link的DLL总共就那么几个你觉得哪个像呢?
分析DLL各人有各人的方法咯,我的方法等V7原理图出现自会公布 DLL的文件格式网上有的是
我的反汇编工具就是IAR EWARM
lz,能说说firmware对应的是哪个dll文件? 怎么分析dll文件?
怎么提取dll文件中的firmware以供反汇编?
在还没能得到v7原理图前, 介绍下基础知识,大家一起群策群力,试试能不能一起分析.
对Taoist的破解方式很感兴趣,由于对7S64系列不了解,也猜测过固件的升级与加载方式,但一直没有试验过(手头也没有S64的板子),希望有V7的兄弟协助Taoist一下。
没太看明白,在DASM的main中的代码要完成什么工作?其实是segger在设计上的“失误”,对于防破没做太多的工作,否则就没那么容易了。
我一直在想,如果segger把DLL中的代码做个动作,随便来个置换之类的运算,并且让bootloader来解析,也就是从DLL中看到的firmware就是一串搞不懂的数字,破起来是不是就难度提高了不少呢?或者简单的,即使像U-Link2那样,不使用CRC32做校验,使能看得明文的firmware,也难以动个手脚,也难以读回bootloader来(当然,还是不够保险)。
作了动作之后,除了芯片解密,或者寄希望于其芯片某些“bug”,破起来应该就难很多了。曾经对v5也疯狂过,并且想过对V6做更进一步的研究,无奈太忙了,而且v5弄出来基至没有自己做一两个。没想到现在已经有DASM公开了V5的boot。
当时觉得只要弄明白两点就行了:一是firmware的起始地址,二是firmware的校验方式。第一个v5的花了1K多(还好不是自己掏),所以当时非得弄明白才敢动手(以防万一,如果手头有多两个给折腾,弄起来还是很轻松的),只好不停的反汇编……(IDA很强大!)。正如楼主所说,只要有硬件,一切都好办!其实只要有原理图,运行一个起来也比较容易。当时关注过J-TRACE,想买一个,taobao上要1W左右,就死心了……
估计要火一把,赶紧保存此贴,没准啥时候有被通知封_杀了...
Thanks to taoist!
to 【71楼】 bigarmer
前面我贴的那张V8的图就是在S64上跑的。。。
http://cache.amobbs.com/bbs_upload782111/files_11/ourdev_542317.jpg <font color=green>(原文件名:chipid.jpg)
http://cache.amobbs.com/bbs_upload782111/files_11/ourdev_542337.jpg <font color=green>(原文件名:chipid2.jpg) <font color=#699bcd>本贴被 taoist
编辑过,最后修改时间:2008-12-13,23:19:10.
to 【71楼】 bigarmer 给你证据:
002036D4 B5F0 PUSH {R4,R5,R6,R7, LR}
002036D6 B081 SUB SP, SP, #4
002036D8 0004 LSL R4, R0, #0 ; R4 = R0
002036DA 000D LSL R5, R1, #0 ; R5 = R1
002036DC 0016 LSL R6, R2, #0 ; R6 = R2
002036DE 4818 LDR R0, ; =DBGU_CIDR (0xFFFFF240)
002036E0 6800 LDR R0, ; read chipid
002036E2 211F MOV R1, #31 ; R1 = 0x1F
002036E4 4388 BIC R0, R1 ; R0 = R0 & (!R1)
002036E6 2780 MOV R7, #128 ; R7 = 0x80
002036E8 2120 MOV R1, #32 ; R1 = 0x20
002036EA 9100 STR R1, ; PUSH 0x20
002036EC 4915 LDR R1, ; =0x270D0940
002036EE 4288 CMP R0, R1
002036F0 D002 BEQ 0x2036F8 ; if(chip_id & 0xFFFFFFE0 == 0x270D0940) then goto 0x2036F8
002036F2 4915 LDR R1, ; =0x275B0940
002036F4 4288 CMP R0, R1
002036F6 D102 BNE 0x2036FE ; if(chip_id & 0xFFFFFFE0 == 0x275B0940) then goto 0x2036FE
002036F8 3780 ADD R7, #128 ; R7 = 0x100
002036FA 2040 MOV R0, #64 ; R0 = 0x40
002036FC 9000 STR R0, ; PUSH 0x40
002036FE F000 ; pre BL/BLX
00203700 F83B BL 0x203778 ; jump to 0x00203778
呵呵。不用。
V8我可以找个S128和S256做个测试就可以了。S64不用试,肯定不行的。
我还猜了Pro,似乎是SAM7X系列吧?<fontcolor=#699bcd>本贴被 bigarmer
编辑过,最后修改时间:2008-12-13,23:00:28.
【69楼】 bigarmer 不信? 打赌?
谁有原版的JLINK V8,发张内部照片上来看看?
to 【66楼】 bigarmer V8的APP有55KB没错
代码备份区55KB有没有不影响使用 8K BOOT空间没错 附加信息要的
但你猜错了。。。偶已经说过了。。。V8是AT91SAM7S256
公布某些东西可能是会砸了某些人的某些饭碗。。。
V8的APP都有55K了,加上代码备份区55K还有BOOT的8K,已经118K了,还有附加信息。如果没猜错,我认为原装的V8用的是S128。<font color=#699bcd>本贴被 bigarmer
编辑过,最后修改时间:2008-12-13,22:44:19.
to 【64楼】 bigarmer
我没用DASM的Bootloader,因为觉得有点问题 V8用7S64就行了
其实V8的固件用个S128就可以的了。<fontcolor=#699bcd>本贴被 bigarmer
编辑过,最后修改时间:2008-12-13,22:36:47.
【60楼】 taoist : 所以我建议你搞来卖(就是说做点事)...
现在破解的卖得还是很贵的.毕竟大家都得养家糊口,一大家子这么多张嘴,没点银子怎么行?你忙活一通就是为了多个工具?
不过有很多值得敬仰的DX不愿意赚这个钱.
(如:DASM,莫非你也是?),而是无私奉献出一些东西,这些东西要落入别人手可能就是个摇钱树也不一定.
当然不管如何,我也希望这东西不要卖得死贵,但也不希望是白菜价(虽然我短期是用WIGGLER对付着,将来能否JLINK也晓不得).
没有利润了所谓的原装公司只能喝西北风去了.如果官方放弃了这块或者停止继续服务(甚至PC,连通用都面临这个问题,IAR又何尝没可能
呢),升级(大家都破解了嘛?原装还有谁买呢?).
不知道到时候是该笑还是该哭呢?(真到那时候中国的破解大国还是有些DX赚到了银子呢)
不过自然界啥东西都有自己一定的规律,有原装就必定要盗版,破戒,相互激励......扯远了.
期待你的下步举动.
说的很玄......神功无敌.
原来我还怀疑DASM是,IAR公司的人,借公布低版本来占市场份额. 看来我错了?
呃。。。窗户纸捅破之前神秘将持续。。。。
to 【57楼】 Oliver 我的“事”已经做了。。。
我测绘了我的V6,画出了原理图,公布给了大家。。。 正如你所说的,一个人哪吃得消。。。精力财力的,难道你还想让偶买V7?
我只想偷个懒,用我的V6的Firmware换V7的一张原理图,这个条件很低了吧?
画原理图无损硬件吧。。。用万用表量量就行了呀。。。
而且。。。我的Bootloader已经让V6,V8都在MCUZONE的7S64小开发板上跑了
对我来说,反汇编比花银子买V7便宜,对吧。。。 证明,完全可以空手入白刃,不需要原装机
况且。。。我把标题都想好了“X行代码破解J-Link”<fontcolor=#699bcd>本贴被 taoist
编辑过,最后修改时间:2008-12-13,22:36:57.
期待.........
等……等……
【56楼】 taoist:如果真是这样你可以考虑以此做点"事",那样可以买个能用的回来绘出其原理图.
如果只是为了玩玩我觉得划不来,不谋利就必须发动群众力量(一个人那吃得消啊?精力财力的).
但没几个人愿意那自己的V7,V8来绘图(因为这个往往是公司的,搞坏了吃不了兜着走).
你上老外的网找找有无SCH试试.
你说的再暗示就变明示了,那我想好些群众可能是懂了吧,我目前还是当ARM是MCU,最多就是WIGGLER+H-JTAG,人笨了没法.
to 【55楼】 Oliver 我的暗示已经够明确了
再下去的话就是公布Bootloader了,因为它太简单了。。。所以对它的描述不能再进一步了 苦难民众已经有V5了,救世主是DASM
我正在反汇编V8,没有原理图,从反汇编的程序来推断外部硬件难度很大 我也需要救世主 <font color=#699bcd>本贴被 taoist
编辑过,最后修改时间:2008-12-13,17:34:00.
【41楼】 taoist: 既然你不是灌水来的,那期待早些出现sch.
另外既然你不想以此来谋利,那必要的时候你就公布一下你愿意公布的部分东东吧?
也算造福一下这里的苦难民众吧...
【53楼】 sunsky 你若愿意提供V7原理图,我可以公开V6 Firmware
你若愿意提供V7,我可以公开V7 Firmware,因为Bootloader是DLL中没有的。。。
上述是我的承诺<fontcolor=#699bcd>本贴被 taoist
编辑过,最后修改时间:2008-12-13,17:26:10.
感谢taoist提供了有价值的东西,可惜我对ATMEL 的ARM不熟悉。我可以买个V7,把原理图绘出来。
简单地改firmware的“V5”到“V6”,V5的JLINK 升级后会变成一个“Update”版本。应该也不会就这么简单:(<font color=#699bcd>本贴被 ahfong2006
编辑过,最后修改时间:2008-12-13,16:49:24.
to 【50楼】 zchong H-Jtag + Wiggler
换一种思路,别进死胡同<fontcolor=#699bcd>本贴被 taoist
编辑过,最后修改时间:2008-12-13,16:43:37.
写bootloader没问题,关键怎么和PC联系上就是个大问题了 还得苦练内功,天天向上<font color=#699bcd>本贴被 zchong
编辑过,最后修改时间:2008-12-13,16:34:00.
我已经说得够多了。。。
我相信你们写这个bootloader一点难度都没有,我保证当我公开破解方法时,你们会惊呼。。。这么简单啊。。。
V7的原理图快点出现吧。。。 我反汇编头都大了。。。 该死的PA1。。。<font color=#699bcd>本贴被 taoist
编辑过,最后修改时间:2008-12-13,16:32:56.
与47楼同感,功力不够,只能赞一下有破解能力的兄弟。
感觉有难度啊,底层的东西不太懂,感觉无从下手啊
DLL里面没有Bootloader,只有APP 自己不写一段Bootloader咋运行?
所谓的“空手入白刃”是不是自已写一段bootloader与上位机通信,然后从上位机那调firmware出来?
如果是这样,那只要有上位机软件就可以了(直接破了),还要下位机bootloader干什么?
为了避免某些人说本帖是水帖,给大家一点信息,并不是我不想给全,反汇编是要时间的,我还要确认很多东西。
1、V6原理图上没用的管脚,一点一点都会用到 2、V8用的CPU是AT91SAM7S256而不是AT91SAM7S128
3、自己写一个Bootloader并不是很难,大家有V5的firmware,可以推算一下V6
4、Segger公司用的是IAR EWARM 4.xx版本,firmware是用Thumb指令集
5、DLL包罗万象,但反汇编很痛苦,反汇编推算硬件电路更痛苦
6、非常感谢DASM,给了我很大的启发,没有DASM提供的Firmware,我也不敢动我的V6 7、WinHex是很好的工具
人都是贪的,有了V5,想V6,有了V6,想V7,有了V7,想V8 觉得V5够用的,请勿参与讨论
我想做一个真正的V8 当然。。。如果可能的话,J-Trace,J-Link ARM-Pro我也想要
我有V6完整的Firmware,我完全可以做一批板子到淘宝上卖
但我觉得没有那个必要,我只希望在BBS上找一些喜欢研究J-Link的人探讨探讨一下
因此,我许诺有人公开V7的硬件,我就公开V6的Firmware <fontcolor=#699bcd>本贴被
taoist 编辑过,最后修改时间:2008-12-13,15:55:34.
一起等
等待V6固件,也等待V7原理图
to 【39楼】 Oliver 积分么总归是要一点点积起来的呀。。。
用V6的Firmware加上我的破解方法难道不值一份原理图?
http://cache.amobbs.com/bbs_upload782111/files_11/ourdev_541377.JPG <font color=green>(原文件名:V8.JPG) <font color=#699bcd>本贴被 taoist
编辑过,最后修改时间:2008-12-13,15:19:18.
V5应该大部分应用够用
严重水帖...
积分都这么少的,新注册用户; 本站的V5应该大部分应用够用了
空中楼阁,就不去想啦。<fontcolor=#699bcd>本贴被 ahfong2006
编辑过,最后修改时间:2008-12-13,08:58:53.
【178楼】 taoist
max3373 1 接 7s64的 37
8 接 7s64的 36
4 串100电阻 接jtag 9
5 串100电阻 接jtag 7
他用的245 两片 没用16245
MAX3374应该是单向的吧。。。 请确认连线。。。
to 【165楼】 taoist
sot23-8封装 双向buffer 8M MAX3374
是连接的那两个TMS 和 TCK
他的有两种v6的 一种是支持swd的 一种是不支持的 我买了不支持的 后来又买一个支持的 查出的这个片子
不支持的 焊上后swd可以用了 原装的没见过 不知道有没有这个片子
正在学习大侠们的方法 不过对7s64和 pc的反汇编不熟悉 正在学
【169楼】 taoist:
我測試了一下,我的v6的AD5~AD7都是空的....
我顶,看顶出个V6来用用不
bozai 波仔 果然厉害
这些山寨J-Link都是SEGGER的改良版哦。估计考虑了性能的提升,否则谁愿意无故提高成本呢?原装的J-Link上面没做USB口的ESD保护,这个就很不好!
勤研的山寨机上还有一个AD8541的运放。。。
to 【168楼】 bozai 章其波
那些是输入的,对CPU来说,可以不用管
xlink 那家的 那个片子不便宜的 至于是不是原装的 俺没见过
啃了一下V8的A/D程序
看程序做了一个减法,用AD5采样值-AD6采样值,看样子好像是检测5V_Supply的值 公式如下:
(AD5 - AD6) * 6600 / 1024
然后判断电压值的区间 我的V6的AD5接了分压电阻,AD6悬空
请各位帮我确认AD6的接线,不论什么版本
to 【165楼】 taoist
还有一个输入的OE没有被控制的。
to 【164楼】 lzyr
原装的上面没有这个东东,你那个V6是山寨的吧。
哈哈,传说中的高仿V6出现。。。
to【161楼】 bozai 章其波 请仔细看V6原理图,PA9控制输出的OE
to【163楼】 lzyr
应该是一个双向的buffer,几脚,啥封装?MAX3370/MAX3371/MAX3373/MAX3374?
应该连接在PA27--TCK或PA4--TMS之间<fontcolor=#699bcd>本贴被 taoist
编辑过,最后修改时间:2008-12-16,09:45:47.
v6上多一个片子,max3373还是3374了,做swd用的 双向io
我有一个v6板的 跟公布的原理图不太一样 上面用了美信的一个片子 我看看是啥型号
多谢波仔
囧~~~~现在怀很大希望看见能diy v6的swd 或者v7 人家不想用7根的jtag了 看起来好蠢笨 占地方 <font color=#699bcd>本贴被 gerbee
编辑过,最后修改时间:2008-12-16,09:37:11.
to 【160楼】 taoist
因为SWD数据信号是双向的,那么必然同时用到功能为TX和RX的脚,jtag原来的电路RX必定会冲突的(看现在的V6原理图16245的OE都是直接拉低的)。
to 【158楼】 bozai 章其波
不用的脚置为输入不就行了