Aktuelles
Von:
Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Registriere dich noch heute kostenlos, um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereichen, welche für Gäste verwehrt bleiben

Wassertstand zum Thema Timebomb Vu+Solo2

    Nobody is reading this thread right now.
AW: Wassertstand zum Thema Timebomb Vu+Solo2

Daggi Duck, na das liest sich ja interessant. Danke für den Hinweis. Ich würde mir das ja auch kaufen, aber noch weis ich genau was ich damit machen kann, muss ich noch mehr lesen.

Ich finde wir sollten auch an dem Thema dran bleiben und alles mögliche versuchen um uns auf so eine evtl.. erneute Attacke besser vorbereiten, indem wir uns soviel wie möglich an Daten des Chips besorgen und sie dann ggf. wieder selber drauf zu schreiben. Ich glaube nämlich nicht, dass die Chinesen so ein Theater noch mal mit machen.

Beste Grüsse
reini12
 
Zuletzt bearbeitet:
AW: Wassertstand zum Thema Timebomb Vu+Solo2

Kann man dann NAND-Chips dumpen und flashen, wobei man den NAND-Chip natürlich erstmal von der Receiver-Platine ab- und dann wieder auflöten muss. Passende TSOP-Fassung für den "Programmer" wäre sicher auch nützlich, aber die kosten viel und mit etwas Lötgeschick geht es bei Einzelstücken auch ohne. Für die "Serien-Produktion" von programmierten Chips braucht man dann aber schon eine TSOP-Fassung.
 
AW: Wassertstand zum Thema Timebomb Vu+Solo2

Hier noch mal was eigentlich dazu geführt hat das sich der Flash gelöscht hat:

So for some technical background, just for those who care
Du musst angemeldet sein, um Bilder zu sehen.

About half a year or so ago i already made aware that there was added into the Vu drivers a 'time bomb', i don't know the exact thread by heart but pretty sure that the search function will bring it up..

The following driver releases where, apart for the usual bug fixes and improvements, trial runs for what has now gone 'live'.

Due to the fact the guys who cloned the security for the Chinese (and this was actually done in Europe, as many of you might know) made a pretty good copy of the alpu tpm chip (from neowine), which is used by many stb manufacturers and of course offers no real sense of clone protection what so ever
Du musst angemeldet sein, um Bilder zu sehen.
Vu had to look for another means of establishing the board authenticity.

So the logical second choice was the FPGA, hey, it was sitting on the board anyway and for the clone companies would for sure mean another $10/25K to read out and so that was of course the logical way to go.

So that brings us to the current situation, the best they can do is just wipe out the block in the nand where the SoC boots from, that would mean that the resellers will have to be equipped with at least BBS tools and software to 'revive' all boxes killed in the 19-4 attack.
Which is of course a good thing in more that one way,
First - the clones where shut off, even if it will be for a very short time. But this is giving a strong signal to the end user market never to buy a clone (of course, buying a clone is always a bad thing) as you can never be sure what will happen.
Second - this creates a market for the 'guy on the attic with a soldering station' (not that he will need one in this case) but you know the guy i am talking about, these are the same guys who helped out when ci modules and other stb where killed (a.k.a. erased) in the past.

So i guess the next thing that will happen is that the manufacturer of the clone boxes will start shipping BBS tools and so on to their resellers and they will 'fix' the problem in a jiffie any day soon now.

And now, just because we can, a quick rundown of what is exactly the 'authenticity check' and the 'counter measure' taken by Vu.
Let me first just state, i have no involvement in any cloning activities, i am just an independent researcher who likes to 'see what went down'.
And if i tell or not, it won't matter for the outcome, the current 'disabled' hardware will be revived, i am sure of this as there where too many sold already so it is imperative to the companies who made them that the 'problem' will be fixed, and so it will.

So, first what they have done is do some FPGA magic, to confirm to the drivers that they are in fact dealing with cloned hardware (i won't go into details on how they do this, its some challenge, some des crypto and some other stuff but not really relevant to be known exactly).
Then after they have established that it is in fact not a genuine board some counters start running in some critical places, like the tuning of the front end, vfd actions and a random one connected to the a/v input. So doing this they are pretty sure that at some point the counter limits are reached and then it is time to run 'the check'.
The check of course consist of a simple 'hello, what day are we at?' if this is in fact 19-4-2014 or later it is time to do some erasing to make sure that we are not happy that you cloned our board.
So now we start erasing, all they need to do is clean out the area where to SoC start reading from after it start up (a.k.a. the boot loader, a.k.a CFE). But for whatever reasons they chose to erase 64 pages, I guess to make sure it really won't start (not that it would matter at all, 1 would have been enough).
After that the erasing continues some more when the critical functions are called until the stb is rebooted and at that point the user will get a nice black screen and no reaction from the stb what so ever. All gpio will remain uninitialized after powering on, this for instance causes the LAN light to stay on continuously and so forth.

So that's pretty much the background of the whole thing, clones are killed and now let's see what the next move will be
Du musst angemeldet sein, um Bilder zu sehen.


For those who want to investigate the matter for them selves,
the recent functions where added into the drivers from a file called brcm_fpga_secu.c,
find it and you will see what i was talking about
Du musst angemeldet sein, um Bilder zu sehen.


A quick code snippet from it (the least interesting one, as here the damage is 'already being done') just for reference:

void nand_erase_64_pages(void)
{
for (int addr = 0; addr < 64; addr += 2)
{
BDEV_WR_RB((BCHP_NAND_CMD_ADDRESS, addr));
BDEV_WR_RB((BCHP_NAND_CMD_START, CMD_ERASE << BCHP_NAND_CMD_START_OPCODE_SHIFT));
BDEV_WR_RB((BCHP_NAND_CMD_START, CMD_NULL << BCHP_NAND_CMD_START_OPCODE_SHIFT));
BDEV_WR(BCHP_NAND_SPARE_AREA_WRITE_OFS_0 + 0x00, 0));
BDEV_WR(BCHP_NAND_SPARE_AREA_WRITE_OFS_0 + 0x04, 0));
BDEV_WR(BCHP_NAND_SPARE_AREA_WRITE_OFS_0 + 0x08, 0));
BDEV_WR(BCHP_NAND_SPARE_AREA_WRITE_OFS_0 + 0x0c, 0));
BDEV_WR(BCHP_NAND_SPARE_AREA_WRITE_OFS_10 + 0x00, 0));
BDEV_WR(BCHP_NAND_SPARE_AREA_WRITE_OFS_10 + 0x04, 0));
BDEV_WR(BCHP_NAND_SPARE_AREA_WRITE_OFS_10 + 0x08, 0));
BDEV_WR(BCHP_NAND_SPARE_AREA_WRITE_OFS_10 + 0x0c, 0));
BKNI_Sleep_tagged(20);
}
BKNI_Sleep_tagged(100);
}
Moral of the story is of course, with the genuine product you would have never had these kind of issues and thus that is ALWAYS the way to go!

These where my 2 cents
Du musst angemeldet sein, um Bilder zu sehen.
happy reading.

Quelle: openpli
 
AW: Wassertstand zum Thema Timebomb Vu+Solo2

Noch einfacher kann man glaube ich den Chip nicht einlöten:
Sie müssen registriert sein, um Links zu sehen.

[video=youtube_share;T3MFNqNhpZE]http://youtu.be/T3MFNqNhpZE[/video]

Beste Grüsse
reini12
 
Ich würde mir das Löten ohne die richtige Ausrüstung nicht zutrauen, und das obwohl ich sehr viel Erfahrung habe.
Gerade auch mit dem Austausch von TSOP48 Flashs.

Ausgelötet hab ich beruflich mit einer professionellen Heißluft-Lötstation, eingelötet mit ner Hohlkehle, die aber etwas länger und gebogener war
wie oben im Video. Achtung, im Video wird das ganze bei einer leeren Platine gezeigt, wo zum ersten mal ein IC eingelötet wird.


Grundlegend sollte die Platine über ne Vorheiztplatte langsam und nicht zu heiß vorgewärmt werden, damit die
Multilayer-Platine nicht zuviel Wärme abzieht.
Mit Heißluft beim Entlöten muss man aufpassen, da umliegende Plastikteile gern schmelzen.


Ich zeige hier die Probleme kurz auf, die man erst durch Erfahrung lernt zu vermeiden:

- die Löttemparatur (zu kalt, zu heiß und man zieht Brücken oder das Zinn verfließt nicht richtig)

- die richtige Menge Flussmittel anbringen

- mehrlagige Leiterplatte, zieht sehr viel Wärme ab, gerade an Gnd oder VCC-Anschlüssen -> Problem Löttemperatur

- Pin-Abstand des TSOP48 ist sehr gering, dadurch entsteht eine Art Kapillar-Effekt, welcher dir das Zinn zwischen die Pins zieht,
hat man erst mal die Brücke(n) drin, wirds schwer, da hilft meist ne Entlöt-Lize, aber da kann man auch gern mal die Pins verbiegen.
Oder es lösen sich die Pads bei zu hoher Temperatur.

- Platzierung des Ics ist schwer, der Pin-Abstand ist gering, über die Länge des ICs führt eine ungenaue Ausrichtung auf der
einen Seite zu großem Versatz auf der anderen Seite. Die Pins sind sehr empfindlich und sehr schnell verbogen, erneute
Ausrichtung ist sehr schwer.

- Entlötetes IC -> Lötpads müssen perfekt entlötet sein, bei kleinen Zinnrückstände kann man nicht mehr genau platzieren

- nicht zuviel zug anwenden, Lötpads gehen sehr leicht ab, dann hat man die Platine fast geschrottet wenn man die
Verbindung nicht mehr mit Draht herstellen kann.

- unbelegte Lötpads gehen sehr leicht ab, gerade bei zu hoher Temperatur


Zu nem Fachmann geht ist zu raten, allerdings wird das nicht ganz billig sein. Vermutlich ist einschicken billiger.
Außerdem dürfte die Ausrüstung incl. Erfahrung im SMD-Löten vermutlich am ehesten bei einer Leiterplatten-Fertigung zu
finden sein, aber ob die externe Reparaturen bearbeiten?
Ob die gängingen Radio- und Fernsehtechniker SMD-Leiterplatten reparieren oder nur durch neue Leiterplatten ersetzen,
kann ich nicht beurteilen...

zu cat /proc/mtd:

Ich hab nur Dreams:
root@dm800:~# cat /proc/mtd
dev: size erasesize name
mtd0: 10000000 00020000 "complete"
mtd1: 00100000 00020000 "loader"
mtd2: 00700000 00020000 "boot partition"
mtd3: 0f800000 00020000 "root partition"

Dort kann man schön mit cat /dev/mtd0 > /tmp/complete_flash.bin
das ganze Flash dumpen.

Mit der Solo2 kenn ich mich leider nicht so aus mit der Flash-Aufteilung,
könnte gut sein das man das genauso angenehm dumpen kann.

Müßte man testen bzw jemand mit guten Linux-Kenntnissen drüber sehen,
ob man das ganze Device dumpen kann.

Ein kompletter Bootlog wäre interessant per RS232, da sollte eventuell sowas enthalten sein:
Creating MTD partitions on "brcmnand.0":
0x000000000000-0x000007400000 : "rootfs"
0x000007400000-0x000007800000 : "kernel"
 
Zuletzt bearbeitet von einem Moderator:
AW: Wassertstand zum Thema Timebomb Vu+Solo2

@GTI2010, Danke für deinen ausführliche Hinweis. Es haben aber schon 2 User es geschafft den Chip aus zu löten und wieder einzulöten. Einer von den beiden, hat es einfach mit einem Lötkolben von Amazon gemacht. Erlich gesagt sehe ich auch kein Problem das hinzubekommen, man sollte natürlich Geduld mit bringen und wer noch nie gelötet hat, sollte es erst mal an einem defekten Board testen. Denke aber das kann man wirklich schaffen.

Beste Grüsse
reini12
 
AW: Wassertstand zum Thema Timebomb Vu+Solo2

Unmöglich ist es nicht :)
Aber auch ned einfach.

Kann jemand ein serielles Bootlog erstellen?
Veilleicht sind dort mehr mtd-Blocks zu sehen.
 
AW: Wassertstand zum Thema Timebomb Vu+Solo2

Meinst du das?

root@vusolo2:~# cat /proc/mtd
dev: size erasesize name
mtd0: 0e100000 00020000 "rootfs"
mtd1: 0e100000 00020000 "rootfs(redundant)"
mtd2: 00700000 00020000 "kernel"
mtd3: 00100000 00020000 "mac"
mtd4: 0d6d2000 0001f000 "rootfs"

Commands to dump a partition : nanddump -nf /hdd/mtd3 /dev/mtd3

Beste Grüsse
reini12
 
AW: Wassertstand zum Thema Timebomb Vu+Solo2

Im seriellen Bootlog vom kompletten Start einer funktionierenden Clone-Box erscheit die mtd-Aufteilung

Das darüber ist die Ausgabe, die man gebootet erhält und derjenige, der das ins Netz gestellt hat, nimmt an
das mtd3, also "mac" die gelöschten Daten beinhaltet.

Ich habe das auch schon im Netz gesehen, wobei dabei stand, das mtd3 oft leer ist.
Wenn es leer ist, kann es sich nicht um die Daten handeln, die wichtig für den Boot sind.

zb. bei der Solo sieht es im Bootlog so aus:
Creating 7 MTD partitions on "brcmnand.0":
0x000000000000-0x000007400000 : "rootfs"
0x000007400000-0x000007800000 : "kernel"
0x000007800000-0x000007c00000 : "boot"
0x000007c00000-0x000007d00000 : "cfe"
0x000007d00000-0x000007d80000 : "mac"
0x000007d80000-0x000007e00000 : "env"
0x000007e00000-0x000007f00000 : "nvm"

wobei cfe, env und nvm eventuell interessant sein könnten...
 
AW: Wassertstand zum Thema Timebomb Vu+Solo2

Komplett ist der Bootlog aber sicher auch nicht???

Kann man das Booten des Receivers mit irgendeiner Eingabe an der seriellen Konsole (ESC, Ctrl-C, Leertaste u.ä. sind da die üblichen Verdächtigen) abbrechen und erhält eine Eingabeaufforderung vom Bootloader??? Wenn ja, bekommt man vielleicht alle möglichen Befehle des Bootloaders mit Hilfe des Befehls ?, help, -help, -? o.ä. angezeigt??? Hab mal irgendwo vor längerer Zeit eine Dokumentation des CFE-Loaders von Brooadcom für deren Router-Chips gelesen, kann mich aber beim besten Willen nicht mehr genau an die möglichen Befehle erinnern.
 
AW: Wassertstand zum Thema Timebomb Vu+Solo2

Normal kann man das Booten mit folgenden Möglichkeiten abbrechen.: "3"-exit oder mit der ESC-Taste oder Menütaste. So ist es zumindest bei einer SH4 Box.

Beste Grüsse
reini12
 
AW: Wassertstand zum Thema Timebomb Vu+Solo2

Das CFE wurde ja vermutlich gelöscht, die Frage ist, werden dann Default-Werte verwendet. Eventuell mal mit der Baudrate spielen,
vielleicht meldet sich was.

Wobei, lösche bei nem Broadcom-Router das CFE, dann geht au nix mehr außer mit Jtag...
 
AW: Wassertstand zum Thema Timebomb Vu+Solo2

Wenn der CFE-Bootloder wirklich vollkommen gelöscht wurde, dann hilft eine reine Sotware-Lösung gar nichts mehr, auch wenn da was von den Chinesen angeblich in Arbeit ist. Da bleibt dann nur noch das BroadBandStudio oder eben Flash-Chip wechseln.
 
AW: Wassertstand zum Thema Timebomb Vu+Solo2

Die Chinesen arbeiten ja nur daran, dass wir wieder updaten können, also sie versuchen auszuschließen das wieder der flash wie auch immer gelöscht werden kann. Ein Softfix würd definitiv nicht kommen, zumindest nicht von da. Habe heute meinen Chip bekommen, jetzt warte ich auf meine Box die ist ja zum einlöten eines Sockels weg. Dann werde ich versuchen mal ein paar Daten aus dem Flash zu lesen, vielleicht bringt das was.

Beste Grüsse
reini12
 
AW: Wassertstand zum Thema Timebomb Vu+Solo2

reini12 schrieb:
...Dann werde ich versuchen mal ein paar Daten aus dem Flash zu lesen, vielleicht bringt das was.
...
Zum Vergrößern anklicken....

Da bin ich gespannt. Ansonsten ist mein Olympus MAUSB-10 xD-Cardreader mit Alauda-Chip (siehe Post #44) vorgestern in GB versand worden. Da hab ich dann nächste Woche auch ein Spielzeug für NAND-Chips.
 

Ähnliche Themen

wylly31
Wir fassen zusammen! Aktueller Kenntnisstand V14 Karten und Pairing
10 11 12
Antworten
173
Aufrufe
38K
wylly31
wylly31
TV Pirat
Kerry erinnert Syrien-Konflikt an Hitler-Deutschland
9 10 11
Antworten
159
Aufrufe
60K
TV Pirat
TV Pirat
TV Pirat
Mietkaution bei Hartz IV
Antworten
0
Aufrufe
2K
TV Pirat
TV Pirat
Zurück
Oben