Вскрытие прошивок мп3 плейеров. Rovermedia ARIA M1.

[.efko.]

Привет всем, есть сабжевый mp3 плейер. Глюков - много, дизайн - тоже не очень. Но зато нравится присутствие флэшки. Сделан на STMP3502.
Есть ли кто-нибудь, кто может помочь в написании на него нормальной прошивки?
Заодно предлагаю обсудить и сам плейер.

[Neekeetos]

Данке шон. То есть там никаких защёлок или винтов более нет?

Там защелки по кругу - штуки по две на каждой стороне, винт - один

[NeoSpb]

По просьбе Neekeetos*а привожу небольшой рассказик, как можно найти что нибудь в прошивках Sigmatel

Как искать нужные модули в ресурсах?
(На примере поиска модуля FM-тюнера в прошивке Samsung YP-MT6)

Для начала поисков необходимо получить набор отдельных файлов модулей,
т.е. експортировать модули из файла resources.bin. Для это воспользуемся
программой ResEdit (ищем здесь http://home.tula.net/nickit/). Открываем
в ней наш файл ресурсов и выбираем *Export* в появившемся окне выбираем
*What* равное data. Получили набор bin файлов.

Дальше обратим внимание на то, по какому признаку мы будем определять
наш модуль. Вообще говоря в нем должны содежаться какие-то константы,
по которым мы и готовы его идентифицировать. В данном случае будем искать
константы 108000 или 87500. Я использовал свой любимый Total Commander для
поиска во всех экспортированых bin-ах последовательности байтов, отвечающих
выбранным константам. Т.к. используется Little-endian модель, в файлах
необходимо искать не 01A5E0 (108000), а E0A501. После поиска круг
подозреваемых bin-ов сузился - из 282 осталось 4 модуля, содержащих константу
108000. (Я выбрал файл, содержащих наибольшее количество констант)

Теперь необходимо правильно загрузить этот файл в IDA, для этого необходимо
определить адрес загрузки. Т.к. все переходы в модулях осуществляются по
абсолютным адресам, то загружаем сначала файл использую любое смещение загрузки
и просматриваем дизассемблированный код, по адресам переходов, логически
мысля, пытаемся выяснить, какая же база загрузки должна быть верной

Например я увидел вот такой переход (и похожих адресов много):

jle $AB63

можно предположить, что база загрузки есть адрес больше либо равный AB00. Перезагружаем
наш файл установив базу загрузки AB00. Загрузив файл для точного определения базы
можем воспользоваться теми переходами, которые вызывают функции, например в моем файле
первый вызов был:

jsr ROM_ACFD

прыгнув по адресу я увидел вот такой код:

ROM:ACFD bset #19,x:XMEM_F403
ROM:ACFF bset #18,x:XMEM_F403
ROM:AD01 bset #3,x:XMEM_F423

но обычно функция начинается с инструкции:

movec ssh,yr7)+

поднимаюсь выше, и нахожу начало вызываемой функции:

ROM:ACE8 movec ssh,yr7)+
ROM:ACE9 bset #18,x:XMEM_F400

теперь воспользовавшись калькулятором вычисляю разницу адресов 0xACFD и 0xACE8 получаю
0x15 выходит, что база загрузки файла 0xAB15. (Можно также предположить, что все модули
будут загружаться именно с этого адреса)

Загружаем файл с верным смещением и проводим его анализ на наличие необходимых функций,
в моем случае в наличии оказался исходный текст модуля тюнера, поэтому по коду С
с легкостью можно было восстановить все функции. Но даже если исходников нет, не беда,
всегда можно и самому на глаз определить, где что твориться =).

В заключении прикрепляю базу IDA с модулем управления FM-тюнером Philips 5767
который я и искал в своей прошивке...

2 Neekeetos
Начет шага настройки тюнера, до меня тут дошло, что у нас то шаг настройки 100 KHz, это в Америке 50

Offтопик:
PS. Плеер уехал на ремонт в Москву, ожидание завершения ремонта расстягивается уже на целый месяц

[Neekeetos]

По просьбе Neekeetos*а привожу небольшой рассказик, как можно найти что нибудь в прошивках Sigmatel

Молодца!

2 Neekeetos
Начет шага настройки тюнера, до меня тут дошло, что у нас то шаг настройки 100 KHz, это в Америке 50

Offтопик:
PS. Плеер уехал на ремонт в Москву, ожидание завершения ремонта расстягивается уже на целый месяц

Классно ты его . Прочитал внимательно что ты делал - здорово. PS: оверлеи грузятся все время по одному адресу и адрес видимо может зависеть только от SDk - те если нашел конкретный адрес загрузки его можно смело указывать.

Добавлено через 20 минут

По просьбе Neekeetos*а привожу небольшой рассказик, как можно найти что нибудь в прошивках Sigmatel

Поглядел идашную базу, все классно. Кстати фишка - в асме используются jump-table. Например у тебя в базе

ROM:ABD0 65F41C 00ABDC sub a,b #$ABDC,r5

как видишь загружается какой то адрес в r5 - это адрес таблицы переходов. Дальше вычисляется адрес перехода:

ROM:ABD9 07ED95 movem pr5+n5),r5
ROM:ABDA 000000 nop
ROM:ABDB 0AE580 jmp (r5)

сразу после этой строчки начинается сам JUMPTABLE:

ROM:ABDC 00ABEC dcb $ABEC ; ü
ROM:ABDD 00ABF4 dcb $ABF4 ; ¯
ROM:ABDE 00AC01 dcb $AC01
ROM:ABDF 00AC0E dcb $AC0E
ROM:ABE0 00AC1B dcb $AC1B
ROM:ABE1 00AC6B dcb $AC6B ; k
ROM:ABE2 00ACC6 dcb $ACC6 ; ¦
ROM:ABE3 00AC82 dcb $AC82 ; Â
ROM:ABE4 00AC8A dcb $AC8A ; Ê
ROM:ABE5 00AC99 dcb $AC99 ; Ù
ROM:ABE6 00ACAB dcb $ACAB ; ë
ROM:ABE7 00ACC6 dcb $ACC6 ; ¦
ROM:ABE8 00AC28 dcb $AC28 ; (
ROM:ABE9 00AC35 dcb $AC35 ; 5
ROM:ABEA 00AC47 dcb $AC47 ; G
ROM:ABEB 00AC59 dcb $AC59 ; Y

Так что получается по JUMPTABLE можно четко определить по какому адресу она должна лежать

[NeoSpb]

Поглядел идашную базу, все классно. Кстати фишка - в асме используются jump-table. Например у тебя в базе

Да, это компилятор С так switch транслирует, бывает еще просто набор сравнений и переходов вставляет. И по этой таблице в частности тоже можно ориентироваться.

Мне тут попался в руки MSI Mega Stick 5510... Дык там сложнее было определить базу загрузки, пришлось пользоваться и такими таблицами переходов...

Я его уже чутка пропатчил, расширил диапазон, но вот тема, шаг в УКВ другой нужен, знаю что на 5767 шаг 50Khz держится, а вот если меньше?...

[Neekeetos]

Да, это компилятор С так switch транслирует, бывает еще просто набор сравнений и переходов вставляет. И по этой таблице в частности тоже можно ориентироваться.

Мне тут попался в руки MSI Mega Stick 5510... Дык там сложнее было определить базу загрузки, пришлось пользоваться и такими таблицами переходов...

Я его уже чутка пропатчил, расширил диапазон, но вот тема, шаг в УКВ другой нужен, знаю что на 5767 шаг 50Khz держится, а вот если меньше?...

Насколько я понял шаг в 50кГц - минимальный для данной миикросхемы. Кроме того учитывая что в синтезаторе используется 12битный делитель получишь при шаге к примеру 25 кГц максимальную частоту приема в районе 104 МГц что не больно хорошо

[NeoSpb]

Насколько я понял шаг в 50кГц - минимальный для данной миикросхемы. Кроме того учитывая что в синтезаторе используется 12битный делитель получишь при шаге к примеру 25 кГц максимальную частоту приема в районе 104 МГц что не больно хорошо

Да, до верхней границы я реально не доходил при 25 кГц, может и попробую, хотя с теорией не поспоришь .
Еще вот такой вопрос, на ARIA там как 65 МГц реально ловит, просто у меня границей приема станций на MSI оказалась частота в районе 69 МГц, а дальше судя по характерным звукам приемник загибается

[Neekeetos]

Да, до верхней границы я реально не доходил при 25 кГц, может и попробую, хотя с теорией не поспоришь .
Еще вот такой вопрос, на ARIA там как 65 МГц реально ловит, просто у меня границей приема станций на MSI оказалась частота в районе 69 МГц, а дальше судя по характерным звукам приемник загибается

Приемники разные - в ровере стоит радио без синтезатора и с диким диапазоном перестройки, в твоем используется филипс и встроеный в него синтезатор с гетеродином - у него диапазон значительно меньше поскольку используются варикапы с относительно небольшим перекрытием по емкости - надо в доке смотреть (по моим подсчетам это гдето 120-250МГц гетеродин те частота приема 60-125, можешь попробовать катушки покрутить - сдвинуть диапазон ).

[NeoSpb]

можешь попробовать катушки покрутить - сдвинуть диапазон ).

Ага, спасибо, попробую, сам об этом только что подумал

Offтопик:
ЗЫ. Усе нету у меня теперь Samsung*a, выдали заключение о неремонтопригодности , думаю что дальше делать...

[NeoSpb]

Покрутить не получилося... Открыл я его снова, а там то усе цивильно , кварц там. Так что облом, что есть, то есть.
Эх, остался у меня теперь только этот MSI-й Sigmatel (3410), обменял сломаный Samsung на MPIO FY600, это уже не Sigmatel . (Предполагаю что ARM*а с каким нибудь DSP).
2 Neekeetos Ты случаем не в курсе, что там за проц стоит?

[Neekeetos]

Покрутить не получилося... Открыл я его снова, а там то усе цивильно , кварц там.

Ну и что, речь была не про то. Дело в том что ты можешь установить любую частоту в синтезаторе но гетеродин в 5767 работает только в определенном диапазоне, те вне рабочего диапазона синтезатор перестанет работать. Смысл предложения был в том чтобы сместить этот диапазон куда тебе нужно, что реально поскольку в филипсе внешнике катушки и ты можешь их махнуть на что нибудь.

Так что облом, что есть, то есть.
Эх, остался у меня теперь только этот MSI-й Sigmatel (3410), обменял сломаный Samsung на MPIO FY600, это уже не Sigmatel . (Предполагаю что ARM*а с каким нибудь DSP).
2 Neekeetos Ты случаем не в курсе, что там за проц стоит?

Надо разбирать и глядеть, так не могу сказать

[NeoSpb]

ты можешь их махнуть на что нибудь.

Проблема тут только одна, паяла у меня нормального нету, а 40 Ваттником здоровым орудовать ... Плюс, я в корпусах этих элементов не спец

Надо разбирать и глядеть, так не могу сказать

Да, соберусь с духом и разберу, а то пока новый, стремно немного

[NeoSpb]

Посмотрел аппаратку MPIO:
Основа - чипец SAMSUNG S5L841F с ядрами:
* CalmRISC16, как основной CPU
* MAC2424, как DSP (мат. сопроцессор)

Приемник - любимый Philips TEA5767

Стерео КОДЕК, с усилителем: Texas TLV320AIC

Плюс микросхема удвоителя напряжения: Texas TPS61100

Теперь бы разобраться, как прошивка закодирована :/...

Не знаю, может новую тему завести, по поводу исследования
прошивок плееров и их аппаратного обеспечения, а то здесь я
одни оффтопы клею

[Neekeetos]

Посмотрел аппаратку MPIO:
Основа - чипец SAMSUNG S5L841F с ядрами:
* CalmRISC16, как основной CPU
* MAC2424, как DSP (мат. сопроцессор)

Приемник - любимый Philips TEA5767

Стерео КОДЕК, с усилителем: Texas TLV320AIC

Плюс микросхема удвоителя напряжения: Texas TPS61100

Прикольный чипец по двум причинам - для него можно надыбать среду программирования и у него можно затереть загрузчик неправильной прошивкой, так что будь аккуратнее при тестах - обратно тяжело восстановить . Гдето 2 или 3 года назад у меня был плеер на TCC731 это практически 1:1 твой самсунг. Описание можно найти http://ferenczy.coex.cz/mt-500/reversing-en.php - тут большинство доступных документов.

Теперь бы разобраться, как прошивка закодирована :/...

Не знаю, может новую тему завести, по поводу исследования
прошивок плееров и их аппаратного обеспечения, а то здесь я
одни оффтопы клею

Обычно прошивка никак не закодирована а просто в виде s-rec файла или бинарника . Удачи!

[.efko.]

Не знаю, может новую тему завести, по поводу исследования
прошивок плееров и их аппаратного обеспечения, а то здесь я
одни оффтопы клею

переименовал эту.

[tester17]

Neekeetos, случайно не знаешь, как восстановить плеер на samsung* овском чипе? ...случайно при экспирементах видимо затер загрузчик, ну соответсвенно плеер и сдох. А вот информации про плееры на этих чипах очень мало.

[NeoSpb]

2 .efko.

Спасибо. Только я здесь воду собираюсь мутить не только по Rovermedia ARIA и Sigmatel`ах

Прикольный чипец по двум причинам - для него можно надыбать среду программирования и у него можно затереть загрузчик неправильной прошивкой, так что будь аккуратнее при тестах - обратно тяжело восстановить .

Да уж, с бывшим моим MT6 я наэксперементировался неподумавши теперь уже ученый...

Гдето 2 или 3 года назад у меня был плеер на TCC731 это практически 1:1 твой самсунг.

Спасибо за ссылочку, я на нее уже правда сходить успел , плюс нашел инфу чисто по S5L840F (отличается уменьшеным объемом памяти RAM и отсутствием USB 2.0).

Обычно прошивка никак не закодирована а просто в виде s-rec файла или бинарника .

Ну в этом и тема основная. Для перепрошивки используется MPIO Utility, которая использует файлы с расширением .dwu (на самом деле это обычный cab-архив).

Есть два типа прошивок:
* Recovery - содерхит внутри набор smx файлов общим объемом почти 3 метра (в одном из фалов в чистом текстовом виде лежит ленгпак)
* Update - содержит внутри один файл Player.bin

Идентифицировать хотя бы в одном из файлов осмысленный код не удалось . По smx я не присматривался, а по Player.bin могу сказать, что там используется какой-то способ кодирования, который мне самому с "полтыка" осилить не удается... Вот если бы кто помог . Пока я только визуально выделил заголовок - характерный для всех прошивок, и какие-то таблицы вначале...

[NeoSpb]

случайно при экспирементах видимо затер загрузчик, ну соответсвенно плеер и сдох.

А что за плеер, может нам попути...

[tester17]

NeoSpb, я так думаю нет разницы какой плеер , методика восстановления будет одна и та же. Если интересно, то этот мы его обсуждаем здесь _http://board.asd.ru/viewtopic.php?t=748. ( там найдешь и даташит на чип плеера , если, конечно,интересно) Чип самсунговский..
прошивка по структуре точно такая же , как ты описывал в предыдущем посте. А чип кстати очень вкусный.. много , что умеет. Сигмател 3502 тут даже рядом не стоял .Жаль , что на него мало информации и вообще он какой-то очень редкий.
Кстати утилита от MPIO умеет восстанавливать неправильно прошитые плееры ?

[NeoSpb]

Сигмател 3502 тут даже рядом не стоял .Жаль , что на него мало информации и вообще он какой-то очень редкий.
Кстати утилита от MPIO умеет восстанавливать неправильно прошитые плееры ?

Насчет хужести 35хх я бы не стал так категорично... Единственное такое уж явное отличие это мат. сопроцессор в Samsung*е, а так набор модулей приблизительно идеинтичный. Хотя действительно соглашусь, отчасти S5Lxxx продуманы лучше

Утилита MPIO по моему, сугубо личному мнению, не ахти какое произведение . То, что она не сможет восстановить убитый плеер, скорее всего правда, т.к. из того, что я читал на форумах, это просто бич какой-то... Во-первых, эта утилита очень красочная , что, благодаря несжатым изображениям, придает ей около 8 метров в весе. Во-вторых присутствуют следующие функции:
1. Format&Recovery - насчет которой мы с Neekeetos*ом пришли к общему мнению, что она восстанавливает только ресурсы (smx файлы), на скрытом диске основной флеши.
2. Update - выполняет простое копирование файла Player.bin в корень флешки и безопасно отключает плеер от системы .
Сервис режима в плеере (такого, как предлагают сигмы) я не обнаружил... Посему как это все восстанавливать, случись чего, пока понять не могу, т.к. если плеер не будет определяться системой, то MPIO Utility ничем не поможет

Offтопик:
Предложеную тобой ссылку прийму к сведению, может она прольет мне свет на все это непотребство Естественно все это весьма интересно...

[SpyFox]

Владельцы RoverMedia DP400FM отзовитесь... плиз

Купил в сентябре прошлого года флешку, в июне накрылся тюнер - шум и наводки при нажатии на кнопки. В конце июля при записи трансляции "ФортДенса" из Питера приказал долго жить и сам плеер(ровно как и все содержимое его полупроводникового желудка)...
В гарантийке его приняли безо всяких притензий. После ремонта при выдачи проверяю его - тюнер мертв... "Извините, подождите минут 20-30... перепрошьем..." - говорят в ответ на претензию.
В сентябре тюнер снова сдох... Плеер пока жив, но боюсь что скора настанет и его очередь... А пока записываю "Модель для Сборки" каждый раз, как в последний...
Мой совет: не связивайтесь с такой х...фигней, как плееры этой фирмы