welche Box von der T-Home darf sein
- Ersteller Giesbert
- Erstellt am
Hallöchen ... hab seit 2 wochen auch die SPw502v und mir war langweilig und war am gucken ob da nicht linux drauf geht .... mhm ... hab das ding auch schon des öfteren offen gehabt *g* ... insgesamt sieht die platine dem SP700 extrem ähnlich und unterscheidet sich primär in ein paar chips ... zB ist unter einem Aufkleber ein EON-Prozesszor?! versteckt ... dann ist da noch 2x RAM von Infineon .. man sieht auf der platine sehr schön das die 2x TAE-Anschlüsse auch anderst verbaut werden können also neben den Netzwerk/DSL-Anschluss gelegt werden können ... (vermutlich je nach kunden wunsch *g*)
ähm es ist identisch zum w700 eine 8 Pin-Leiste vorhanden welche auch irgendwo hin führen .. (nicht genau gemerkt) .. aber ich geh mal davon aus das man zum auslesen so ein MAX-Converter-Kabel braucht (welches ich ja nicht habe)
Öhm die Firmware ist scheinbar im gegensatz zum W700 und W501 irgendwie anders gepackt .. ist nur schnuckelige grob ~2MB gross.
Zur Firmware gibts nix interessanteres zu sagen außer das am ende der Firmware ein BRNDW502V steht ... (firmware branding ...)
so for ... dorty
ähm es ist identisch zum w700 eine 8 Pin-Leiste vorhanden welche auch irgendwo hin führen .. (nicht genau gemerkt) .. aber ich geh mal davon aus das man zum auslesen so ein MAX-Converter-Kabel braucht (welches ich ja nicht habe)
Öhm die Firmware ist scheinbar im gegensatz zum W700 und W501 irgendwie anders gepackt .. ist nur schnuckelige grob ~2MB gross.
Zur Firmware gibts nix interessanteres zu sagen außer das am ende der Firmware ein BRNDW502V steht ... (firmware branding ...)
so for ... dorty
Wenn Du das Ding schon auseinander hast dann greif doch mal zur Digicam oder lege es auf den Flach-Scanner und mach ein Bild, möglichst High-Res Auflösung
Hier wie gewünscht ... (hab leider kein scanner)
edited:
Boot-Flash: http://www.eonsdi.com/pdf/EN29LV320.pdf
Wlan-Chip : http://www.atheros.com/pt/bulletins/AR5007GBulletin.pdf
DC/DC-Converter : http://www.chipcatalog.com/Infineon/PEF-4268-F.htm
HYB....SDRAM : http://www.datasheets.org.uk/pdf/1671999.pdf
ISDN-DING : http://www.umec-web.com/products/pdf/mag_pdf/UT21643S.pdf
edited:
Boot-Flash: http://www.eonsdi.com/pdf/EN29LV320.pdf
Wlan-Chip : http://www.atheros.com/pt/bulletins/AR5007GBulletin.pdf
DC/DC-Converter : http://www.chipcatalog.com/Infineon/PEF-4268-F.htm
HYB....SDRAM : http://www.datasheets.org.uk/pdf/1671999.pdf
ISDN-DING : http://www.umec-web.com/products/pdf/mag_pdf/UT21643S.pdf
Anhänge
Zuletzt bearbeitet:
Beim 10-poligem Pfostenstecker handelt es sich wahrscheinlich um einen JTAG-Port.
(http://www.mikrocontroller.net/articles/JTAG)
Darüber kann man den Flash-Speicher des Microcontrollers (vermutlich mit ARM-9 oder MIPS Kern?) programmieren und remote debuggen. Auf dem Microcontroller sitzt ja leider ein Kühlkörper, sodaß man keinen Hersteller erkennt.
Jedenfalls hat man wohl die komplette Kontrolle über diesen Controller -inklusive auch dessen Bootstrapper über diesen JTAG-Header
(http://www.mikrocontroller.net/articles/JTAG)
Darüber kann man den Flash-Speicher des Microcontrollers (vermutlich mit ARM-9 oder MIPS Kern?) programmieren und remote debuggen. Auf dem Microcontroller sitzt ja leider ein Kühlkörper, sodaß man keinen Hersteller erkennt.
Jedenfalls hat man wohl die komplette Kontrolle über diesen Controller -inklusive auch dessen Bootstrapper über diesen JTAG-Header
Hab mir grade noch die config.bin angesehen ... so super hoch ist die beim w502v nicht verschlüsselt *g* ..
if i mod 2 = 0 then c:=$ff xor c;
if i mod 2 = 1 then c:=c xor $ff;
(so in etwa ... irgendwas) .. man sieht da schon recht viel ...
speedp®t.ip????
???login.shtm¡~/www/doc¾>/ww
w/doc¡`<@SsysOp_NameÒ_Basic°~/www/cgi-bin
/÷`<@SsysOp_NameÒ_Basic°~/www/cpe/~`<@T
???????DigestKDSsLÆþF®sum CPE sMana
gementO¾=
n//www/cgi-bin/È/cpe/ê/www/cpe/¥Èroot
.....
ntp1.t-?line.de?ptbtime1
.ptb.de?
.....
www.tel
e%kom.deê/dtag/downloads/¤versiÙ154dsl.s
htm~--.--.----,--:--<ó¡.
.....
shttps://acs.t-Ùli
ne.de/acs
....
wlan daten und DS_Tail_`*X`*X3_T zeugs ...
mhm .... die verz. entsprechen dem
linksys AM300 ..
http://forums.whirlpool.net.au/forum-replies-archive.cfm/589040.html
mal gucken ob die firmware ähnlich kryptisch ist .
if i mod 2 = 0 then c:=$ff xor c;
if i mod 2 = 1 then c:=c xor $ff;
(so in etwa ... irgendwas) .. man sieht da schon recht viel ...
speedp®t.ip????
???login.shtm¡~/www/doc¾>/ww
w/doc¡`<@SsysOp_NameÒ_Basic°~/www/cgi-bin
/÷`<@SsysOp_NameÒ_Basic°~/www/cpe/~`<@T
???????DigestKDSsLÆþF®sum CPE sMana
gementO¾=
n//www/cgi-bin/È/cpe/ê/www/cpe/¥Èroot
.....
ntp1.t-?line.de?ptbtime1
.ptb.de?
.....
www.tel
e%kom.deê/dtag/downloads/¤versiÙ154dsl.s
htm~--.--.----,--:--<ó¡.
.....
shttps://acs.t-Ùli
ne.de/acs
....
wlan daten und DS_Tail_`*X`*X3_T zeugs ...
mhm .... die verz. entsprechen dem
linksys AM300 ..
http://forums.whirlpool.net.au/forum-replies-archive.cfm/589040.html
mal gucken ob die firmware ähnlich kryptisch ist .
kleines update ... die config.bin ist einfach nur ganz schräg LZW
B & 0x80 != 0 ----> Compressed (Lexi am Anfang)
ansonsten uncompressed und einfach ausgeben ...
B & 0x80 != 0 ----> Compressed (Lexi am Anfang)
ansonsten uncompressed und einfach ausgeben ...
Übrigens laut UPnP-CPE-TR-64 Protokoll-Info:
<deviceType>urn:dslforum-org:device:InternetGatewayDevice:1</deviceType>
<friendlyName>TR064</friendlyName>
<manufacturer>T-Com Corporation</manufacturer>
<manufacturerURL>http://www.t-com.de</manufacturerURL>
<modelDescription>Speedport W 502V with TR064 support</modelDescription>
...
<modelName>VGV4508BW</modelName>
...
<modelNumber>Speedport W502V</modelNumber>
<deviceType>urn:dslforum-org:device:InternetGatewayDevice:1</deviceType>
<friendlyName>TR064</friendlyName>
<manufacturer>T-Com Corporation</manufacturer>
<manufacturerURL>http://www.t-com.de</manufacturerURL>
<modelDescription>Speedport W 502V with TR064 support</modelDescription>
...
<modelName>VGV4508BW</modelName>
...
<modelNumber>Speedport W502V</modelNumber>
Der W502V ähnelt in vielen Dingen dem W700V recht stark. Ich vermute daher, dass die Pfostenleiste ähnlich belegt ist wie beim W700V, nämlich u.a. 3 bzw. 4 Pins mit einem seriellen Port, so wie hier: serieller Port im Speedport W700V.
Die Firmware des W502V kann man mit dem W700V Tool SP700EX in Einzelteile "splitten", aber nicht entpacken, da beim W502V für die ersten zwei Firmware-Teile offenbar ein modifiziertes lzma-Packverfahren bzw. eine Verwürfelung der gepackten Daten stattfindet, so dass nach aktuellen Erkenntnissen nur die ersten 20 Bytes entpackt werden können. Der dritte Teil ist interessanterweise normales lzma. Dazu gibt es z.B. hier bei linux-community.de einen Thread mit paar Vermutungen und auch beim "Hersteller" von lzma im 7-zip Forum, siehe auch die angehängten Screenshots der Hex-Ansicht, wo die vermutete Verwürfelung dargestellt ist. Etwas Mitdenken ist allerdings erforderlich...
Edit: Inzwischen steht eine Version von SP700EX zur Verfügung, die die Verwürfelung "entwürfeln" kann, siehe unten im Thread...
Habe leider selbst kein W502V Gerät, falls jemand eins übrig hat, nehme ich gern zur weiteren Analyse...
Die Firmware des W502V kann man mit dem W700V Tool SP700EX in Einzelteile "splitten", aber nicht entpacken, da beim W502V für die ersten zwei Firmware-Teile offenbar ein modifiziertes lzma-Packverfahren bzw. eine Verwürfelung der gepackten Daten stattfindet, so dass nach aktuellen Erkenntnissen nur die ersten 20 Bytes entpackt werden können. Der dritte Teil ist interessanterweise normales lzma. Dazu gibt es z.B. hier bei linux-community.de einen Thread mit paar Vermutungen und auch beim "Hersteller" von lzma im 7-zip Forum, siehe auch die angehängten Screenshots der Hex-Ansicht, wo die vermutete Verwürfelung dargestellt ist. Etwas Mitdenken ist allerdings erforderlich...
Edit: Inzwischen steht eine Version von SP700EX zur Verfügung, die die Verwürfelung "entwürfeln" kann, siehe unten im Thread...
Habe leider selbst kein W502V Gerät, falls jemand eins übrig hat, nehme ich gern zur weiteren Analyse...
Anhänge
Zuletzt bearbeitet:
Eins steht jetzt wenigstens mal hoch offizel fest das teil ist von Arcadyan
=======================================================================
Wireless ADSL Gateway DANUBE Loader V0.01.01 build Jun 15 2007 11:43:19
Arcadyan Technology Corporation
=======================================================================
EON EN29LV320B bottom boot 16-bit mode found
Copying boot params.....DONE
Press Space Bar 3 times to enter command mode ...
Flash Checking Passed.
=======================================================================
Wireless ADSL Gateway DANUBE Loader V0.01.01 build Jun 15 2007 11:43:19
Arcadyan Technology Corporation
=======================================================================
EON EN29LV320B bottom boot 16-bit mode found
Copying boot params.....DONE
Press Space Bar 3 times to enter command mode ...
Flash Checking Passed.
ja die pinbelegung ist identisch
und auch sonst ist es eigentlich ziemlich wie das w700 und die siemens dinger mit dem RTOS misst.
und auch sonst ist es eigentlich ziemlich wie das w700 und die siemens dinger mit dem RTOS misst.
*wiederhervorkram*
Neue Erkenntnisse.
Wenn man 32 Bytes ab Dateioffset 0x68 (wo der gelb markierte zerwürfelte LZMA-Header beginnt) mit den 32 Bytes ab Dateioffset 4 (beginnend hinter der grün markierten Signatur) vertauscht, die 32 Bytes mit dem LZMA-Header "entwürfelt", dann noch die (grüne) Signatur entfernt, geht das Entpacken mit lzma.exe komplett.
G., -#####o:
Neue Erkenntnisse.
Vgl. Screenshots der W502V-Firmware:oerx schrieb:
Wenn man 32 Bytes ab Dateioffset 0x68 (wo der gelb markierte zerwürfelte LZMA-Header beginnt) mit den 32 Bytes ab Dateioffset 4 (beginnend hinter der grün markierten Signatur) vertauscht, die 32 Bytes mit dem LZMA-Header "entwürfelt", dann noch die (grüne) Signatur entfernt, geht das Entpacken mit lzma.exe komplett.
G., -#####o:
Hoffentlich nicht nur ansehen, sondern dann das SP700EX auch entsprechend "aufbohren" :mrgreen:.oerx schrieb:
G., -#####o:
SP700EX aktualisiert
Habe das W700V Tool SP700EX (0.7.2) jetzt so aufgebohrt, dass es auch Images für Arcadyan-Geräte wie W502V, Arcor A300 usw. "entwürfeln" und entpacken kann.
Firmware-Images aufteilen und div. PFS-Formate entpacken kann es ja schon länger auch für andere Router. Zusammensetzen geht aber nach wie vor nur für den W700V.
scolopender: Für die o.g. Erkenntnisse: :groesste:
Habe das W700V Tool SP700EX (0.7.2) jetzt so aufgebohrt, dass es auch Images für Arcadyan-Geräte wie W502V, Arcor A300 usw. "entwürfeln" und entpacken kann.
Firmware-Images aufteilen und div. PFS-Formate entpacken kann es ja schon länger auch für andere Router. Zusammensetzen geht aber nach wie vor nur für den W700V.
scolopender: Für die o.g. Erkenntnisse: :groesste:
Zuletzt bearbeitet:
Das enttäuscht mich jetzt (ein wenig) - "verwürfeln" und wenigstens mit einer Dummy-Signatur versehen wäre nämlich ganz nützlich (um z.B. die VoIP-tauglichen Esayboxen von der Preselection-Vorwahl 01070 von ARCOR zu befreien). Da ist dann zwar immer noch Nacharbeit nötig (Komponenten-Kennung, Prüfsummen), aber ein Gerüst wäre schon da...oerx schrieb:
Dankeschön.oerx schrieb:
Als Gegenleistung - so mancher fragt sich: Wie kommt man da drauf?
Nunja - wenn man (ich) die Firmware eine Arcor / Vodafone Easybox A600 auf dem W700V (erfolgreich - funktionierend) zum Laufen bringt, dann kommt der Spieltrieb oder es reitet einen der Teufel und man (ich) probiert - u.a. weil gleicher Prozessor - auch mal die FW der Easybox A300. Die läuft dann auch irgendwie (Bootcode version, Serial number und Hardware version sind allerdings "Hausnummern", die WLAN-MAC-Adresse auch, die Hardware ist ja auch nicht die von der FW erwartete). Erst auf den zweiten Blick fallen Unterschiede im Boot-Log auf:
Code:
Unzipping firmware [0(2)] at 0x80002000 ... [COLOR="Red"][ZIP 3][/COLOR] [ZIP 1] done
Code:
Unzipping firmware [0(2)] at 0x80002000 ... [ZIP 1] done
Code:
----------------------------------------------------------
Address 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F
----------------------------------------------------------
0xB3070000 [COLOR="Red"]01 00 00 80[/COLOR] 1F 6A 5A B5 BC 96 C3 51 BF FD 3C 14
0xB3070010 61 27 CC 45 05 93 AC 10 BE 17 73 7F 77 31 A0 5A
0xB3070020 36 ED 76 2F 7C 0E 3D FE 58 77 AC A8 DE 2A 63 67
0xB3070030 6B F3 B1 92 26 A9 A8 98 A7 2A 0D 93 AA 1F 2B 28
0xB3070040 B6 B2 01 BB E4 57 79 89 D1 E4 3F 1B A6 4D 52 EC
0xB3070050 CD 34 19 C1 F0 30 0D E9 93 2C 4E B2 8F 3D 01 23
0xB3070060 0F AA 2F F2 4E 3C A0 0E [COLOR="Red"]00 D5 08 00[/COLOR] 47 00 F2 A8
0xB3070070 00 00 00 00 00 00 00 02 16 88 CF 90 D1 00 E6 5F
0xB3070080 0F E7 CB 1A 1E A2 90 D8 4C 33 80 83 35 F4 AC B6
0xB3070090 C6 0F 31 F0 3A A3 B2 EF CD 97 E7 98 91 E8 EB F4
0xB30700A0 0A 82 96 AA 23 05 6C 5E FF 11 21 67 B7 23 D1 8CDen Bootloader kriegt man in der Original-W700V-FW mitgeliefert (als dritten Teil beim Zerlegen mit dem SP700EX). Den habe ich dann "auseinandergenommen" (dieser entsetzliche MIPS-Code) und (für mich) ein wenig kommentiert:
Code:
...
lw r4,0(r20) /* erstes DWord mit Kennung */
...
lui r2,#0x04030000
ori r2,r2,#0x4b50 /* r2 = 0x04034b50; "PK.." */
bne r4,r2,L806d44f8 /* r4 != r2 ? L806d44f8 : ; */
addiu r16,r0,#0x0004 /* r6 = 0x0004, */
lui r4,#0x806e0000
jal L806d6848 /* puts([r4]); */
addiu r4,r4,#0xffff898c /* r4 = "[ZIP] "; */
jal L806d4278 /* r2 = pkunzip([r4],[r5]); */
or r4,r29,r0 /* r4 = r29; */
beq r0,r0,L806d4600 /* goto L806d4600; */
or r16,r2,r0 /* r16 = r2; */
L806d44f8:
lui r2,#0x80000000
ori r2,r2,#0x005d /* r2 = 0x8000005d; LZMA */
bne r4,r2,L806d4524 /* r4 != r2 ? L806d4524 : ; */
sll r0,r0,#0
lui r4,#0x806e0000
jal L806d6848 /* puts([r4]); */
addiu r4,r4,#0xffff8994 /* r4 = "[ZIP 1] " */
jal L806d4fc4 /* r2 = lzma_d([r4],[r5]); */
or r4,r29,r0 /* r4 = r29; */
beq r0,r0,L806d4600 /* goto L806d4600; */
or r16,r2,r0 /* r16 = r2; */
L806d4524:
lui r2,#0x80000000
ori r2,r2,#0x0001 /* r2 = 0x80000001; Std. "Wuerfel" */
bne r4,r2,L806d4600 /* r4 != r2 ? L806d4600 : ; */
lui r4,#0x806e0000
jal L806d6848 /* puts([r4]); */
addiu r4,r4,#0xffff89a0 /* r4 = "[ZIP 3] " */
...Soso, der W700V-Bootloader "frisst" auch "PKZIP" ...
Die "Entwürfelung" kommt dann weiter unten.
G., -#####o:
Sagt ja keiner, dass keine Verwürfelung in Arbeit wäre
bin nur am Überlegen, ob man das eher als externes neues Tool lösen sollte oder ob ich SP700EX grundlegend umbaue, denn ist ja direkt auf das 5-teilige Erstellen von Firmware für den W700V ausgelegt. Mal sehn.Interessant in Bezug auf den Bootloader wäre, ob er auch ein wieder anders verwürfeltes Format wie im W303V (W303Va_FW_v1.06.000.bin) auseinanderpflücken kann bzw. obs Hinweise auf so ein Format gibt.
Auch interessant wäre, ob der ID 01000080 bei A300, BC9A5713 beim W502V irgendwie/-wo benutzt wird. Der Bootloader beim W502V müsste ja dann auf BC9A5713 prüfen, oder?
Welchen DisAsm benutzt Du?
Ja, in 1.06.000 und 1.07.001 war der 4. Teil auch als .ZIP gepackt.
Zuletzt bearbeitet:
Neueste Beiträge
-
[Gelöst] Lizenzierung Openscape Business
- Letzte: lordsboards
-
FB 5590: USB-Platte im NAS wird nicht erkannt (weder NVME noch SSD)- Letzte: PeterPawn
-
[Problem] Box für instabile Supervectoring Leitung- Letzte: UsAs
-
FRITZ!Repeater 3000 ax / FRITZ!OS 7.56/7.57/ 7.58 vom 16.05.2024
- Letzte: VielUnterwegs
-
[Frage] WLAN Mesh mit FB 7590AX- Letzte: Insti
-
FRITZ!Mesh Set 4200 / FRITZ!OS 8.xx
- Letzte: Santa2021
-
FB7390 hinter Huawei HG8145V5
- Letzte: soundworx