zxy y opciones

[donrodrigo]

Hola Fran. No sufras, que no era ninguna indirecta. Tan solo asumía mis propias carencias. Aunque estudie electrónica industrial allá por la prehistoria, no me dedico a ello. Soy químico, y esto es solo un hobby.
Y puestos en el tema, parto de la hipótesis de que tratamos con un A4 ó un A4U. Me ha parecido ver que el oscilador va a los pines 36 y 37 del micro, que corresponde al patillaje de esta serie. Aunque no he tenido demasiado tiempo para dedicarlo a esto, si tengo prevista una estrategia:
Soldar un pequeño hilo al pin 34 PDI-DATA en el caso de que no le vea ningún acceso mas cómodo. A continuación avrdude desde la consola, primero con buspirate que es lo que tengo mas a mano, y en caso de que mi BP no acepte el modo PDI, le meteré mano con un AVRISP MKII clonico que me han dejado, con un firmware al uso. En el caso de que los lockbites estén activados pues ya sabemos lo que hay: game over. Esto hasta que no lo probemos no lo sabremos.
Hay la posibilidad de hackear el micro: hacer glitching, o HI/LO POWER, o stress térmico para ver si el micro se cuelga y admite dumpeo. Pero habría que valorar si vale la pena arriesgar una unidad con estas técnicas, que no son del todo seguras.
Por cierto, instalar avr studio en wine, es rizar el rizo, pero se puede con algo de paciencia. Particularmente, y aunque no sea políticamente correcto desde el punto de vista de los adictos al software libre, yo aun mantengo una mínima partición en güindos 7, para poder gorrinear cómodamente con aquello que no se ha portado a Linux, y que me interesa usar, por ejemplo avr studio.

Saludos

Pd. Abandonar ubuntu ???? Jamaaaaaaaaaaaaasss!!!!

[donrodrigo]

Bueno, pues ya os puedo decir que no es un xmega. La disposición de pines no es compatible con la serie xmega en TQFP44. Vcc está a pin 5, 17 y 27. Gnd a pin 6, 18 y 28; y el oscilador a pines 7 y 8. Por la frecuencia del oscilador, pienso que será un atmega de las series 164/324/644/1284, cuya distribución de pines coincide con la observada en el dispositivo, y según el datasheet admite hasta 20Mhz. Los atmega 16/32, asi como los 8515 y 8535 también comparten mapa de pins, pero su máxima frecuencia es de 16 Mhz. Luego os digo algo mas. Hasta que no conecte con el no sabre seguro que micro es, pero parece que la cosa empieza a centrarse.
Saludos.

[donrodrigo]

Una foto resumen de lo observado hasta ahora:




Una imagen vale mas que 1000 palabras. Ahora viene la segunda parte: los pines 1 a 3 no tienen vía alguna, y por lo tanto no tienen ningún acceso en placa. Por este motivo, para conectar con el micro, habrá que soldar 3 hilos a las patas o usar algún tipo de pinza que permita conectar con estos pines para acceder a la flash del micro. A lo largo de esta semana, si el curro me lo permite, ejecutaré la  tarea. Tengo un juego de pinzas para inspección de chips en placa, pero son demasiado grandes para este chip, asi que me tocara el método mas tedioso, el de la soldadura. Ya os cuento.
Saludos.

[Unoqueva]

Buen trabajo donrodrigo, que no de miedo e soldar tres cablecitos a ese micro, que dentro de lo que cabe aun hay espacio entre patillas.
Para conectarle el vibrador a la turnigy 9x era algo mas complicado y lo ha hecho mucha gente.

[rafa400]

Una foto resumen de lo observado hasta ahora:



Una imagen vale mas que 1000 palabras. Ahora viene la segunda parte: los pines 1 a 3 no tienen vía alguna, y por lo tanto no tienen ningún acceso en placa. Por este motivo, para conectar con el micro, habrá que soldar 3 hilos a las patas o usar algún tipo de pinza que permita conectar con estos pines para acceder a la flash del micro. A lo largo de esta semana, si el curro me lo permite, ejecutaré la  tarea. Tengo un juego de pinzas para inspección de chips en placa, pero son demasiado grandes para este chip, asi que me tocara el método mas tedioso, el de la soldadura. Ya os cuento.
Saludos.

 
 
 
 
buen trabajo compañero me apunto al hilo ya que me parece muy interesante y espero esos progresos.
un saludete.

[donrodrigo]

Empezamos el tunning ;:D





veremos como acaba esto jijijiji

[donrodrigo]

Probando la conexion verificamos firma y vemos que funciona



Consultamos la firma 0x1E9511 y vemos que corresponde al Atmega 324PA. Pedimos conexion al avrdude



Bien identificación conseguida. ATMEGA 324PA.

Seguimos adelante.

[donrodrigo]

E ipso facto procedemos a dumpear la flash integra del bicho.




proceso que se ejecuta sin error alguno ni acuse de lockbits. Ya dispongo de una copia de la flash en hexa para su estudio.

Y continuamos.

[donrodrigo]

Bueno, no cantemos victoria aun. El archivo esta vacio. Asi que de momento fiasco. Seguimos trabajando.

[madcortina]

Menudo juaker estas echo tío, interesante trabajo de estudio.

[donrodrigo]

Weno pues ya tengo un file de la flash en hexa. Al bootloader aun no he podido acceder. Me falta tiempo. jijijiji

[donrodrigo]

Bueno, como voy a estar unos días liado con el curro, antes de marcharme os dejo un resumen de lo visto hasta ahora.
microcontrolador: Atmel Atmega 324PA a 20 Mhz.
Fuses:
      lfuse: 0xF7
      hfuse: 0xDA
      efuse: 0xFD
      Lockbits: 0x3F (dudo mucho que sea este el valor inicial de los lockbits, puesto que equivale a un  unlock bits. En mi ansiedad por reventar el core no tome la precaución de guardar el valor. El glitching me domina...... Habrá que verificar el resultado).

Esta pendiente extraer el bootloader. En esto está el meollo del asunto. Os pongo una captura de pantalla de la flash en hexa comparada con el firmware 3.01.bin. Parecen iguales. Si como sospecho la diferencia entre las versiones antiguas y la version "S" es solo de software, mediante el bootloader seria posible evolucionar las versiones antiguas a la nueva version "S", grabando este boot a traves del puerto icsp y a continuacion actualizar el firmware mediante el programa de tarot o por via UART. Si alguien se anima, también se le podría pedir a los de tarot para que lo publicaran jijijijiji ;D .
Por cierto, sin este bootloader, la flash es mas inútil que un diccionario de inglés inventado. He probado a meterla en otro 324pa virgen que tengo por casa para "jugar" y no runea bien, ni con los mismos fuses. Asi que si alguien tiene la intención de metérsela a las bravas al suyo que no lo haga que lo fundirá.



Weno pues ahí queda eso. Saludos.

Pd. Edito para indicar que mientras se mantenga la integridad del bootloader, siempre es posible revertir una actualización mal hecha. Por este motivo los que han actualizado la versión antigua con el firmware de la "S" , pueden revertir la actualización y recuperar su versión.

[Unoqueva]

   

[Fran lopez]

Hola Donrodrigo:
Por fin he encontrado tiempo libre para contestar,,,

El modelo del micro lo has clavado, en rc groups lo mostraron el 22 de febrero aunque yo encontré ese dato después de tu primera intervención en este hilo ,, no lo publique porque estaba seguro de que lo encontrarías bastante rápido ya que en enero tuve la ocasión de leer un hilo que creaste en el foro de Arduino.

Title: dumpear la flash del atmega.(probado)
Post by: donrodrigo on January 30, 2012, 05:34:27 PM

Te dejo el enlace de rc groups para que lo compruebes tu mismo.


http://www.rcgroups.com/forums/showthread.php%3Ft%3D1568592%26pp%3D20%26page%3D25&prev=/search%3Fq%3Datmel%2Batmega324pa%2Bunbrick%26hl%3Des%26client%3Dfirefox-a%26hs%3DpJX%26sa%3DX%26rls%3Dorg.mozilla:es-ES:official%26channel%3Dnp%26biw%3D1525%26bih%3D674%26prmd%3Dimvns&sa=X&ei=sfsBUKvKCIK1hAfE2uWICA&ved=0CGQQ7gEwBA

Aún así sigo diciendo lo mismo, .

Entrando un poco en el tema, emulando el Atmega 324PA tengo  los fuses pero  no encuentro LockBits (0x3F), puede ser   (0xEF) ?? , la diferencia es clara de uno a otro , ¿  puedes confirmarlo? .

Te adjunto una captura:
http://yfrog.com/ncpicture20120717215132p



En cuanto al primer caso las pruebas de estrés térmico y demás  las realizaría yo mismo,( con su ayuda si no es demasiada molestia ),y en cuanto reciba el buspirate , no me gustaría que dañara su unidad.

Además creo que desinteresadamente y por el hobby ya ha realizado más que suficiente sin haberla estrenado en el heli todavía.


Pd. Abandonar Ubuntu jamass!!, diría que lo abandona por el BT.

Deta...escrit., ¿pert....Anony...sector404??.

Saludos.

[donrodrigo]

Hola Fran. Aunque estoy un poco liado esta semana con el curro, y tengo que reconstruir mi heli, ( el destrozo de este finde ha sido terrible), voy a intentar pinchar otra vez el micro y volveré a interrogarlo. El valor 0x3F, no es un valor valido de lockbits para el 324pa, puesto que equivaldría a tener los bites 6 y 7 a "0", cuando esos bites no estan habilitados en este micro ( solo se programan los bites de 0 a 5). Asi pues pienso que debe ser un error mio de lectura, o una defunción prematura del micro;jejejeje ya veremos. Intentare esta semana volver a pinchar el micro y ver en que estado está.



A pesar de que el link a rcgroups me da error, he buscado en ese foro, y he visto que ellos ya tenían identificado el micro, pero tampoco he visto que hayan hecho mas progresos (una pena). Habrá que seguir peleando.
He hecho otra prueba, que consiste en modificar el hfuse, dejándolo en 0xDB. De esta forma, se deshabilita BOOTRST, y el micro arranca desde la dirección 0x0000, (sector de aplicacion) sin pasar por el bootloader. A continuación le grabo el firmware original puesto que esta en formato raw binario (en teoria es ejecutable) mediante "avrdude -U flash:w:firm.bin:r". Pero el micro no rula. Esto me hace sospechar que se esta usando encriptado en el bootloader para proteger el código, puesto que el micro lo soporta tal y como se explica en "Atmel AVR231: AES Bootloader" http://www.atmel.com/devices/atmega324pa.aspx?tab=documents ; y si el firmware estuviera en abierto se ejecutaria sin problemas. Con lo cual el tema aun se complica mas. Así pues tendríamos dos posibilidades: una que el BOOT desencripte el firmware al subirlo a la flash, y otra que se desencripte al vuelo durante la ejecución. La flash que extraje la semana pasada no esta bien, asi que hay que volver a empezar y de una forma u otra, cualquier posibilidad de éxito pasa por obtener el código del boot. No me veo desencriptando por fuerza bruta un binario de 30k encriptado con AES de 128 o 256 bits.
Veo que has pillado un buspirate, (al igual que el "openbech logic sniffer" del mismo grupo) es una herramienta excelente. No se si la conocías, pero puedes usarla incluso en modo binario, lo que te permite escribir tus propios scripts ( en python por ejemplo ) o tus propios ejecutables en C y usarlo con ellos. ( si tienes tiempo claro jijijiji). Hay tambien un clon del AVRISP mkii que es compatible con avrstudio ( y es bastante baratito) y que usa un fimware open source (LUFA) y que da tambien mucho juego, aunque yo solo lo uso para los micros PDI.



No sufras por la integridad de mi unidad: he comprado dos. Una para sacrificar y otra para usarla. No es que me sobre la pasta: tengo un segundo heli, y si la unidad sobrevive al "hackeo" la montaré en él.

Pd. ¿Que es BT5 sino un ubuntu tuneado? ¿ que hay en BT5 que no puedas poner en ubuntu??. Aun asi y por comodidad, tres particiones conviven pacificamente  en mi pc, una pequeñita para güindos7, una medianita para BT5, y la mayor para ubuntu. Aunque  lo admito: soy un fan del BT ;:D

deta......404?.no.
Solo simpatizo.
Saludos.