Мне уже четвертый или пятый раз присылают письмо с просьбой объяснить, с чего начинать "прошивкокопание". Меня это очень радует, ибо не перевелись люди, которые считают себя ЛЮДЬМИ, а не кем-то иным, верят в свои силы, ставят себе задачи и пытаются их решать. Как известно, ламер - не тот, кто чего-то не знает, а тот, кто знать НЕ ХОЧЕТ. Иначе - все мы ламеры, кроме Бога. В связи с этим, открываю этот топик. Предлагаю его прибить вверху (на усмотрение модератора), а по мере накопления инфы - сделать соответствующий FAQ. Начинаю с инфы, которой со мной в свое время поделился Skylord (за что ему большое спасибо) и которую я нашел сам и использовал для себя. Предлагаю всем желающим меня поправить, если я в чем-то ошибся и дополнять, если есть какие-то дополнительные сведения. Итак, начнем. Телефоны Siemens собираются на специализированном микроконтроллере EGOLD, ядром которого является процессор типа c166. Конкретное поколение процессора мне неизвестно, в некоторых случаях приходится учитывать систему команд c167. Информацию по архитектуре, системе команд и использованию процессора (на английском языке) можно взять на http://www.infineon.com/c166/. Лично я пользуюсь файлом http://www.infineon.com/cmc_upload/documents/039/947/sj2003551.pdf. Раньше на этом же сайте можно было взять простенький 16-разрядный ассемблер/дизассемблер adis16x. Теперь его там нет (убрали, или я просто найти не могу - не знаю). Эта программа поможет вам написать небольшой патчик, сохранить его в нужном формате, откуда его легко трансформировать в формат Vklay. Она же сможет дизассемблировать "на лету" небольшой кусок кода, когда вы не хотите запускать Иду. Нужность этой проги для прошивкокопателя очевидна, занимает она всего несколько десятков килобайт, поэтому я с удовольствием вышлю ее любому, кто возьмется выложить ее в общедоступном месте. Для серьезного анализа прошивки понадобиться интерактивный дизассемблер IDA. Нужна полная версия, которая поддерживает процессор c166. Ссылку на полную версию не публикую по понятным причинам, ее достаточно легко найти, во всяком случае - на версию 4.30, которая вполне подойдет для анализа прошивки. Несколько слов о фуллфлеше (ФФ) и адресуемой процессором памяти. Как известно, размер ФФ для S/Me45 составляет 6 Мбайт, адресуемая память процессора - 16 Мбайт. ПО телефона считает, что первые два мегабайта ФФ находятся по адресам с 0x800000 по 0x9fffff, остальные 4Мбайта - с адреса 0xc00000 по 0xffffff. В связи с особенностями дешифрации адресов в телефоне, процессор "видит" первые два мегабайта ФФ также и по адресам с 0xa00000 по 0xbfffff, что обычно используется программами-флешерами для чтения/записи с 0xa00000 по 0xffffff - получаются те же 6 Мбайт, очень удобно . Однако, для анализа прошивки такой подход не есть правильным и мы должны помнить о действительном положении вещей, когда беремся за дизассемблер . Кроме того, что называют "флешем", в телефоне еще имеется RAM и ROM, которые находятся в пределах первых двух мегабайт адресного пространства процессора. К сожалению, в настоящее время для S/Me45 нет ПО, позволяющего считывать RAM с работающего телефона. Что касается ROM, то его содержимое могут считывать некоторые флешеры, в частности - Ksie, если ему указать нужные адреса. В ROM находятся некоторые процедуры, которые используются любой версией прошивки телефона при работе, поэтому очень полезно иметь содержимое ROM при дизассемблировании прошивки. Таким образом, для анализа прошивки нам понадобится: 1. Первые два мегабайта 16-мегабайтного фуллфлеша, слитые с помощью Ksie. 2. Собственно 6-мегабайтный фуллфлеш телефона. Подготовка бинарного файла для дизассемблирования (без задания маппингов для IDA): 1. Берем WinHex, или что там нам нравиться. 2. Делаем файл размером 16М. 3. Берем KSie и сливаем первые 2Мбайта полного 16Мбайтного флеша. Обращаем внимание, что там может быть 16 лишних байт в начале, которые KSie дописывает сама для себя. Эти байты удаляем для получения соответствия адресов. 4. Кладем эти 2Мбайта в созданный файл, начиная с 0. 5. Берешь 6-мегабайтный ФФ телефона. 6. Кладем первые 2 мегабайта от ФФ в созданный файл по адресам 0x800000 по 0x9fffff. 7. Кладем оставшиеся 4 мегабайта от ФФ в созданный файл по адресам 0xc00000 по 0xffffff. 8. Натравливаем Иду на полученный файл, не забывая правильно указать тип процессора . Дальнейшие действия зависят от обстоятельств и ограничиваются только вашей фантазией .

____________________________ ...from your horror I'll create a dreem...

Кстати IDA лежит тут 2$Lava А патч с иконками ты чей юзаешь? вот и первые примеры!

____________________________

цитата: Mak$ пишет: 2$Lava А патч с иконками ты чей юзаешь? вот и первые примеры! патч - это уже готовый результат. а нам интересен сам процесс. никак не могу найти точку входа на диалог тип сообщениястанд.текст/факс/э-почта/новый) с целью изменить процедуру обработки одного пункта энтого меню на Flash-SMS...

____________________________ S/ME45i(C289)+S/ME45i(CE20) $Lava http://forum.gsmhosting.com/vbb/showthread.php?t=116462/a>patch_me

цитата: Нужность этой проги для прошивкокопателя очевидна, занимает она всего несколько десятков килобайт, поэтому я с удовольствием вышлю ее любому, кто возьмется выложить ее в общедоступном месте. кидай мне на deadman[собака]ronees.unets.ru я ее выложу, если есть что еще выложить кидай тоже да кстати по SL45 ктонить подобную инфу может выложить по адресам интересует, где кто лежит и как ксюхой стащить первые два метра.. кстати если она умеет дергать первые два метра то нельзя ли ей вытянуть все адресное пространство ? (все 16 метров)

____________________________ Siemens SL45i/SonyEricsson P910i УральскийGSM - MegaFon

Очень информативно написано. Спасибо.
Может кто знает - про организацию памяти в а55 (с55) ??? Здесь ведь fullflash 8 мб !!!

И еще: Выложите (у кого есть) эти первые 2 мегабайта (от 16ти), слитые ксей ???
Спасибо =))

Если кому интересно, то первые 2 мегабайта адресного пространства микроконтроллера в S/ME45 можно читать и в моей проге V_KLay, если задать так: Memory of phone: Address = 0x600000 Size = 0x200000 т.е. программа после прибавления к адресу в DWORD-е числа 0x00A00000 - не проверяет на переполнение, поэтому результирующий адрес который шлется лоадеру для чтения равен 0x00000000

____________________________ http://www.vi-soft.com.ua

DeadMаn Отправил тебе и $Lava. Выложите, пожалуйста, а то я сейчас на суровом диал-апе и каждый коннект для меня - испытание . 16 метров стянуть можно. Только в них инфы больше нет - просто повторяются вышеуказанные области памяти . ValeraVi Класс! Теперь можно забыть о 16 байтах в начале файла, а спокойно сливать первые два мега. Может, в твоей проге еще какие полезные фичи есть, например дизассемблер? З.Ы. Насчет других телефонов, кроме S/Me45 у меня инфы нет. У кого есть - делитесь .

____________________________ ...from your horror I'll create a dreem...

выложил ftp://ronees.unets.ru/siemens/Adis16x.rar размер 104кБ 2bbsc я там pdf в архив с прогой запаковал

____________________________ Siemens SL45i/SonyEricsson P910i УральскийGSM - MegaFon

цитата: bbsc пишет ValeraVi Класс! Теперь можно забыть о 16 байтах в начале файла, а спокойно сливать первые два мега. Может, в твоей проге еще какие полезные фичи есть, например дизассемблер? Ксаси у тебя какой ksie ? у меня 2 - он добавляет 16 байт только в .ksi файлы,а .fls файлы без добавки - ровно 2 метра цитата: З.Ы. Насчет других телефонов, кроме S/Me45 у меня инфы нет. У кого есть - делитесь . Вот товарищ mamaich пишет по sl45i - http://mamaich.fuckru.net/sl45i/sl45_re.htm И очень хорошо пишет - подробно!

____________________________ S/ME45i(C289)+S/ME45i(CE20) $Lava http://forum.gsmhosting.com/vbb/showthread.php?t=116462/a>patch_me

цитата: bbsc пишет: по мере накопления инфы - сделать соответствующий FAQ. а можно написать про отличия в копании прошивки от sl45i - мы бы могли тогда пользоваться ссылкой http://mamaich.fuckru.net/sl45i/sl45_re.htm с твоими уточнениями(читай идовскими базами насчет мессера. А то все затихло как-то.

____________________________ S/ME45i(C289)+S/ME45i(CE20) $Lava http://forum.gsmhosting.com/vbb/showthread.php?t=116462/a>patch_me

Ну ладно ида есть. теперь надо хитрый IDC к ней написать, на основе даркбировских я чото ковырял и делал простейший расставлятель реальных адресов call и mov в прошивке, но чот у меня туго с энтим С ещё бы круто было сделать перевод менюшек в удобоваримый вид с подставлением вместо типа R14, 0322h - конкретного текста из ленгпака.

____________________________ CX65 - Never the same...

цитата: SiNgle пишет:... теперь надо хитрый IDC к ней написать, на основе даркбировских я чото ковырял и делал простейший расставлятель реальных адресов call и mov... А в чем проблема? Если скормишь Иде 16-меговый файл (как описано выше), то все адреса будут реальными. И маппинги задавать не нужно.

____________________________ ...from your horror I'll create a dreem...

Пара вопросов: 1) ИДА на изготовленном вышеуказанным способом файле заявила, что не знает "где тут у вас EntryPoint". Отсюда вопрос - по какому смещению тыкать C, где в файле будет Code Start? 2) Есть ли прога, которая позволяет редактировать картинки в фуллфлеше S55? Если нет, то рыл ли кто-нибудь место где они лежат и алгоритм их хранения/запаковки/распаковки? З.Ы. Я кончено понима что мне сейчас скажут "читайте внимательнее" но у меня телефон S55... думаю этим все объясняется да? Или есть способ из его фуллфлеша сооруджить файл удобоваримый ИДОй?

____________________________ Siemens S35i -> Siemens S55 ----------- cable + power supply switch =) 12.91.11->20.91.11 Band selection, rounded fonts m55 startup/shutdown graphics ...Modding'n'restyling in progress...

По поводу А50, v10, ВА20: Слил первые 2 метра и фф kSie, в WinHEX сделал 16 МБ файл, записал с 0х0 первые 2 метра, с 0хс00000 фф. Надо сказать, что вначале 2-х мегабайтного файла нули идут, а должно быть что то осмысленное-конкретно переход на reset_handler. Далее взял и сравнил 2 МБ файл и 4 МБ фф: с 0х18000 по 0х1FFFFF байты полностью совпадают. Что то наверное неправильно слилось. Буду какчать V_klay Кто нибудь готовил для ida файл от А50?

____________________________ В здоровом теле-здоровый дух

цитата: bbsc пишет: цитата: SiNgle пишет:... теперь надо хитрый IDC к ней написать, на основе даркбировских я чото ковырял и делал простейший расставлятель реальных адресов call и mov... А в чем проблема? Если скормишь Иде 16-меговый файл (как описано выше), то все адреса будут реальными. И маппинги задавать не нужно. Только адреса callов будут нормальными, а когда грузятся данные то всё всё криво и ещё там пачка таблиц с указанием на адреса, вот это дело автоматом бы в комменнты падало.

____________________________ CX65 - Never the same...

цитата: CDrom пишет:По поводу А50, v10, ВА20: Слил первые 2 метра и фф kSie, в WinHEX сделал 16 МБ файл, записал с 0х0 первые 2 метра, с 0хс00000 фф. Надо сказать, что вначале 2-х мегабайтного файла нули идут, а должно быть что то осмысленное-конкретно переход на reset_handler. Далее взял и сравнил 2 МБ файл и 4 МБ фф: с 0х18000 по 0х1FFFFF байты полностью совпадают. Что то наверное неправильно слилось. Буду какчать V_klay Кто нибудь готовил для ida файл от А50? Сливай все 16мб или создавай 16метровое файло и в него засунь фф.

____________________________ CX65 - Never the same...

у с55 entrypoint 800000h Jmp ххххх

____________________________ CX65 - Never the same...

цитата: SiNgle пишет: ... когда грузятся данные то всё всё криво и ещё там пачка таблиц с указанием на адреса, вот это дело автоматом бы в комменнты падало. Хочешь сказать, адреса расположения данных не соответствуют Ну, а приведение данных к удобоваримому для юзера виду есть предмет заботы самого юзера

____________________________ ...from your horror I'll create a dreem...

Сделать бы такую базу исходников прокомментированных прошивок ...

Да, вопрос - у всех мобил entrypoint'ы стоят на 0x800000? А конкретно - интересует A35... И еще - а нету ли такого рулеза как эмулятор или какой-нить отладчик для c166/167?

ЗЖ. [Offtop.] bbsc, спасибо за ответ.

Давайте уже вместе чтоли ковырять. Адреса главных процедурок и тп. Просто есть мысля убить насовсем родные звуки, убрать "Не держи у уха" и может памяти откопать чуток

____________________________ CX65 - Never the same...

Два вопроса 1) Есть ли софт для изменения картинок в фуллфлеше S55 2) Если нет, то не знает ли кто-нибудь а) сжаты ли картинки б) если да, то каким алгоритмом, если никто не в курсе, то может хоть знает кто где функция компрессии/декомпрессии в) если картинки не зажаты, то каков формат хранения цветовой информации, индексный, или 1-байт на пиксель что нибудь типа 3 бита на R, 3 бита на G и 2 на B?

____________________________ Siemens S35i -> Siemens S55 ----------- cable + power supply switch =) 12.91.11->20.91.11 Band selection, rounded fonts m55 startup/shutdown graphics ...Modding'n'restyling in progress...

>> Давайте уже вместе чтоли ковырять.
>> Адреса главных процедурок и тп.

Лучше не чисто адреса тогда а еще и их код (начало и концовка поидее достаточно) чтобы среди разных прошивок можно было их найти... Или базу стандартных процедур чтобы IDA их по именам обзывала, типа "call DrawText" етц, вроде как там это есть... В октябре буду на 10mbit сидеть а не том [цензоред] что у меня сейчас сразу скачаю иду и буду пытаться копать... пробовал adis16x'ом но уж слишком неудобно ...

Всем желаюищим могу выслать адреса Callов обработки пунктов меню с названиями для с55v24. Greetz goez to Mamaich...

____________________________ CX65 - Never the same...

Привет прошивкокопателям! Теперь клепать патчи будет проще. Сделал простой конвертер из Intel HEX в формат V_Klay. Брать тут (с исходниками) : http://dredkin.narod.ru/siemens

____________________________ Клепать пачти стало проще! http://dredkin.narod.ru/siemens

цитата: $Lava пишет:с нетерпением ждем первого примера копания -типа "Хело, ворлд"! Вы хотели Hello World? Получите! Для начинающих патчеписателей: Патч, выводящий на экран строку из ленгпака по нажатию на клавишу влево (на ассемблере) с подробными комментариями. http://dredkin.narod.ru/siemens

____________________________ Клепать пачти стало проще! http://dredkin.narod.ru/siemens

цитата: CDrom пишет:2 AsteriXXX: Угу, и даже знакомому с программированием тяжко. В чужом коде ковыряться дело не благодарное. А я думал ты в этом отношении подкован, судя по патчам к китайцам. Главное быть знакомым с ассемблером. Крякерством и тп

____________________________ CX65 - Never the same...

Подкован/не подкован - имхо, некорректное определение. Здесь что, все профессионалы? В любом деле нужно пытаться понять предмет. Для копания прошивки, на мой взгляд, - это: 1. Понять, что такое микропроцессор, как он выполняет команды, зачем ему память, какая она бывает, что такое прерывание, что такое внешнее устройство. 2. Осознать, что процессоры бывают разные, в телефоне - с166. 3. Почитать описание микропроцессора. 4. Посмотреть на схему телефона, понять, как микропроцессор должен адресовать свою память и по каким адресам что будет находиться. 5. Ознакомиться с системой команд с166. Собственно, все (если ничего не упустил). При чем тут программирование? Конечно, азы нужно понимать: стек, вызов, переход условный/безусловный, подпрограмма. Но этот черт совсем не так страшен, как понятие "подкованности в программировании".

____________________________ ...from your horror I'll create a dreem...

цитата: bbsc пишет:Но этот черт совсем не так страшен, как понятие "подкованности в программировании". Ню-ню Я, к примеру, подхожу по всем этим пунктам, плюс доводилось и программки писать разной сложности. Также неоднократно ломал игрушки Айсом и ВинХексом. И что с того? Я могу тратить на копание прошивки не более 3 часов в сутки. Мне шести метров от моего МТ50 хватит на год, а то и больше. За это время выйдет следующая прошивка... Как подобную ситуацию разгребать? У меня после выдирания всего адресного пространства вообще каша. Куски кода отмаплены, некоторые трижды. Код ссылается на блок памяти, как на область данных (строки копирует и т.д.), а в этом месте находится мапнутый код. Некоторые переходы указывают в середину команд. Некоторые вызовы из нормальных процедур (распознанные ИДА) на определенном шаге вложенности упираются в байтики, которые как команды не декодируются. У меня, блин, одних только обработчиков CC25INT четыре штуки, и они меняют вектор прерывания друг на друга. А что выполнится по TRAP #30, я вообще пока понять не смог. Может, кто подскажет ? Пусть не адрес, хотя бы суть...

____________________________ Sincerely yours, Andy BiiiG

Согласен с andy_biiig. Я могу сказать, что S7 416-2Dp для меня значительно проще в понимании, потому что я чётко представляю, как он работает. А по телефонам? Общая информация не даёт ясного понимания работы контроллера в телефоне. Тему конечно создали хорошую, только реально, никто кроме mamaich-а информацией не делится. Оно и понятно-нарытое своим трудом бсплатно на всеобщее рассмотрение выкладывать трудно. Так что реально для ковыряния своей первой прошивки нужно только гигантское количество времени, даже если ты асс в программировании (в последнем случае конечно будет легче)

____________________________ В здоровом теле-здоровый дух

Для начала решите что вы хотите в прошивке изменить, для чего вообще решили её колупать. mamaich дал отдизасмленную прощивку от SL45 я по ней в С55 основные процедуры нашел. Я всем предлагал адреса вызовов менюшек никому не надо. Насчет перемешанного кода и данных. Дак для того и нужен опыт. Я на глаз могу определить где код а где данные. Ну и опыть работы в ИДА тоже необходим. А callы у вас кривые из-за того что адреса видать не те которые надо. когда адреса верные код принимает чистый опрятный (в меру) вид.

____________________________ CX65 - Never the same...