Pace TDS865NSD Fakten zusammen tragen, rooten etc

[Eliteforce]

Auch hier mal eine Baustelle öffnen.

Ich lese immer öfters auf das Gerät kommt man rauf. Hängt ja ein netter MIPS Chip drauf, den kann man sehr schön (wenn Zugriff auf die Dateien) per IDA und ein paar anderen Bytes dazu bewegen auch andere Richtungen ein zu schlagen.

Wer Infos diesbezüglich hat, alles hier rein.

Haltet den Thread sauber :mask:

 

[Eliteforce]

Keiner was zu sagen

Ist zwar vom TDS866 aber ich denke das wird beim 865 nicht anders sein

Spoiler

.rodata:0040168C aChipInformatio:.ascii "Chip information:",0 # DATA XREF: main+3F0o
.rodata:0040169E .align 4
.rodata:004016A0 aChipIdValue0x0:.ascii "Chip Id value = 0x%08x\n",0 # DATA XREF: main+408o
.rodata:004016B9 .align 2
.rodata:004016BC aChipRevValue0x:.ascii "Chip Rev value = 0x%08x\n",0 # DATA XREF: main+424o
.rodata:004016D5 .align 2
.rodata:004016D8 aChipUniqueId0x:.ascii "Chip Unique ID = 0x%08x%08x\n",0
.rodata:004016D8 # DATA XREF: main+440o
.rodata:004016F5 .align 2
.rodata:004016F8 aChipIdB0x08x08:.ascii "Chip ID B = 0x%08x%08x\n",0
.rodata:004016F8 # DATA XREF: main+45Co
.rodata:00401715 .align 2
.rodata:00401718 aChipIdC0x08x08:.ascii "Chip ID C = 0x%08x%08x\n",0
.rodata:00401718 # DATA XREF: main+478o
.rodata:00401735 .align 2
.rodata:00401738 aStbId09u: .ascii "STB ID = %09u\n",0 # DATA XREF: main+494o
.rodata:0040174F .align 4
.rodata:00401750 aViasatIdS: .ascii "Viasat ID = %s\n",0 # DATA XREF: main+4C0o
.rodata:00401765 .align 2
.rodata:00401768 aNdsIdS: .ascii "NDS ID = %s\n",0 # DATA XREF: main+4ECo
.rodata:0040177D .align 4
.rodata:00401780 aJtagStatusS_0: .ascii "JTAG status = %s\n",0 # DATA XREF: main+52Co
.rodata:00401795 .align 2
.rodata:00401798 a010u: .ascii "%010u",0 # DATA XREF: sub_400D48+1F8o
.rodata:0040179E .align 4
.rodata:004017A0 aC: .ascii "%c",0 # DATA XREF: sub_400D48+228o
.rodata:004017A0 # sub_400F9C+4DCo
.rodata:004017A3 .align 2
.rodata:004017A4 a02x02x02x010u: .ascii "%02X%02X%02X%010u",0 # DATA XREF: sub_400F9C+58o
.rodata:004017B6 .align 4
.rodata:004017B6

 

[günthern]

Spoiler: Tds865

This is the Pace Pace_TDS865NSDX dump(also Samsung.DSB-H670N)
I think it will be useful for someone.

-------------------------------------------------------------------
About paired keys.
We knows, that newcs supports nd$ paired cards with undocumented options:
<ekpair>********************************</ekpair>
<hwkey>********************************<//hwkey>
(you can simply find *** values in attached dump to compare with yours dump )
(Latest Gbox.net also supports that paired cards.)
So how to get that keys?
It possible to get keys from memory dump.
_____________________________________________
How to get into box.........
open the box
and look for j514on pcb
there you have 4 pin connection via
this is 232 ttl
connect 232 ttl to this j514 it is 4 pins via there..(add....using any ttl to rs232 converter)
and have putty or serial conection sw
baudrate is 115200 8N1
you will see console booting up from box..
you have linux console now
---------------------------------------------------------------------------
how to extract the hwkeys and ekpariedkey...
you need the card and valid subscribtion for hd channels for this box
switch off the power box..
but before that switching off the box... tune in the HD chanell first
and turn on the power without SC
you get information insert smartcard in the reader.... OSD on tv
!!!!!!! don't do that.! (don't insert card yet)
you have connect 232 and have console now...
take break interrupt
the magic key to interrupt is CTTRL+4
and you are inside ..linux console
shell is busybox
go to /NDS/bin/
start /.mor_epg_zapviasat &
you will get now the same OSD message now.. "insert sc in the reader"
do that..
you got hd picture now
switch off the box on the front of box..
not power cable..
take dump from /dev/mem
with dd cmd dd if=/dev/mem of=/mnt/usb/somefile.bin
but you have to mount usb first
because too big file
about 268 mbyte
take this dump out and connect to your regular linux machine..
you have to search for some tags
but it is important to do the clean startup
because om RAM
after key extraction don't need to go inside box
dont do that.. if you want safe .. have all your files on the usbflash
--------------------------------------
final step
just look in memory for 30 00 00 01 tag or 30 00 01

and after what 16 byte is the first key

and the second one is 10 00 00 tag from memory
You got paired keys

Ich hatte das mal gefunden.

 

[5656c]

Funktioniert nicht mehr bei neuer soft das wurde seitens blockiert

 

[pit12]

sagen wir mal ganz theoretisch,man könnte sie trotzdem auslesen,was dann? sind ja 2 16 byte keys, einer unique einer general? an einer etsi keyladder glaube ich so langsam nicht mehr :mask:
mich interessiert es nicht dass es dann offen ist,ich finde die verschlüsselung an sich viel interessanter,was ja eigentlich der sinn der ganzen sache hier ist

 

[Eliteforce]

Hmmm, kein serieller Port zu sehen wo die Bezeichnung passt, bzw. auch nix auf den unterschiedlichen 4 header Pins zu lauschen. Müssen ja die Leitungen komplett gekappt sein oder aber falscher Anschluss. Mal am Scart noch prüfen.

Einer ne Idee was der STM8 noch beherbergen könnte. Die 4 Pins führen noch zum STM8S103F3P6

 

[2predator]

Hallo,
Aus einem anderen Forum. ist aber für pace DS830NP
-------------------------------------------------------------------------------------
RS-232 Anschluss an den SCART-Pins 10, 12 und 14 (eigentlich nicht Pin 18 für masse, wie in der Abbildung) ist bei vielen Receivern üblich. Hab hier einen SEG DSR-6012, der an den SCART-Pins RS-232 Signale hat. Andere Receiver haben dort oft nur serielle TTL-Signale, so dass man noch einen zusätzlichen RS-232/TTL Pegelwandler (z.B. MAX232 o.ä.) benötigt, um einen PC anschließen zu können. Wegen der vollkommen unterschiedlichen Signal-Pegel (+/-5...12V bei RS-232 oder 0V/2,4....5V bei TTL) kann man dann ohne Pegelwandler keinen PC anschließen, ohne das serielle Interface des Receiver-Chips zu gefährden bzw. den Receiver-Chip ganz zu zerstören.

Die Versuche über das serielle Interface was bei den von S*y zertifizierten Receivern zu bewirken gab es schon, waren aber auch nicht von Erfolg. Das einzige, was an der seriellen Schnittstelle scheinbar möglich ist, ist die Beobachtung einiger Debug-Meldungen beim Booten des Receivers.
----------------------------------------------------------------------------------------
Mach doch mal ein Bild von der Platine!

 

[DVB-T2 HD]

Einer ne Idee was der STM8 noch beherbergen könnte. Die 4 Pins führen noch zum STM8S103F3P6

Front-Prozessor???

 

[Eliteforce]

Wäre eine Möglichkeit, muss ich mal das Teil zerlegen ob auf der Frontplatine noch was zu finden ist oder diese nackig verbaut ist.

Hab gestern nur mal kurz das Sheet überflogen und was von Smartcard gelesen

 

[latte3]

putty-log über scart und usb-adapter

Spoiler

Pace DS865NP 5094-03-01-00
Pace Premiere satellite bootloader 1 1.29
00-0
02-0
01-1-V00000014.1
03-0-a
AT
1

 

[DVB-T2 HD]

Hab gestern nur mal kurz das Sheet überflogen und was von Smartcard gelesen

Ja, der UART-Port kann auch für eine Smartcard-Kommunikation genutzt werden:

The following communication interfaces are implemented:
•
UART1: Full feature UART, synchronous mode, SPI master made, Smartcard mode, IrDA mode, single wire mode, LIN2.1 master capability

Ist aber eher unüblich, einen allgemeinen Microcontroller dafür in Receivern zu verwenden, weil es dafür spezielle Chips gibt.

 

[2predator]

Spoiler: j514

and look for j514on pcb
there you have 4 pin connection via
this is 232 ttl
connect 232 ttl to this j514 it is 4 pins via there..(add....using any ttl to rs232 converter)

Ist das die selbe Schnittelle wie über Scart? Dachte immer das nach dem booten die r232 (Scart) deaktiviert ist!?

 

[Eliteforce]

Ok, also den STM8 nicht weiter verfolgen. Solch Progger kostet zwar kein Geld aber ist wohl unnütz.

Ja der serielle ist deaktiviert vom Kernel sowie der andere übliche Grimmek. Deckt sich auch zu den 866 Source Schnipseln.

Nach dem Loader der den Kernel startet ist im Log halt duster. Ich muss mal sehen was mein Pace hier sagt, der lag Jahre im Schuppen und hat nie ein Sat Signal gesehen.

 

[2predator]

Mein 830 hab ich schon aus dem Keller geholt, ist ebenfalls nie am Netz gewesen. Leider hab ich kein Scartkabel mehr, aber so wie es aussieht haben die an anderer stelle mit der BusyBox herumgrühert.

 

[Melgar]

Ok, also den STM8 nicht weiter verfolgen. Solch Progger kostet zwar kein Geld aber ist wohl unnütz.

Hab letztens mal den STM aus dem TDS-866 ausgelesen, scheint aber wohl nur für die Echtzeituhr(RTC) zu sein.

Frage: hat einer nen Schaltplan vom Pace TDS866NDSX?

DS830NP Gute Idee

www.digital-eliteboard.com