Nook JTAG, Serial: Дебрикинг

[gvinpin]

Итак, думаю, уже пора открывать отдельную ветку посвященную проблеме поиска вышеуказанного разъема, на устройствах новой версии, да и не только.

Что мы имеем?
- Впаянная карточка SanDisk iNAND SD или eMMC интерфейса(скорее всего SD)
- 10 пиновый разъем ниже слота для внешней карточки, не обозначенный никак кроме "#A", таинственно уходящий дорожками под карту.


На джитаг это не очень похоже, да и судя по мануалам sandiska микроконтроллер памяти с интерфейсом джитаг не дружит вообще.

Ну а если просто подумать, зачем же тогда размещать непонятный разъем в пределах доступа к нему при неснятой крышке? Очевидно, что через этот разьем очень легко и быстро можно добраться до чипа(судя опять же по тем же дорожкам), и сделать с ним всё, что нужно, если знать как =( (с точки зрения реализации это может быть, к примеру, болванка размером с микросд с контактными площадками под этот разъем и внешним программатором, которая вставляется в слот для внешней памяти, подключаясь тем самым к этому разъему - по-моему, очень быстро и удобно и ненужно полностью разбирать нук)

Причем, вполне возможно, что для нуков <1003 и для и старших моделей этот разъем абсолютно такой же (ну кому охота переделывать под новую карточку, имеющую такой же интерфейс, но впаянную, разъем? да и при прошивке старых и новых можно запутаться)

Поэтому, теоретически, если протрассировать связь этого разъема с слотом для внутренней карточки <1003, мы можем выйти на распиновку этого разъема и при счастливом стечении обстоятельств получить доступ к 1003 старших моделей =)

Если эта затея не удастся, то нужно найти опытного в пайке человека с доступом к паяльной станции, для временного извлечения чипа и дальше уже прозванивать разъем и по мануалам искать пины, на которые он приходится в чипе.

Прошу народ подтягиваться к этой теме, может у кого-то есть мысли по этому поводу, может кто-то уже занимался этим вопросом и у него есть уже какая-то полезная инфа. Групповыми усилиями мы сможем добиться успеха.

Оффтоп: Огромное спасибо Nomad1 за огромнейшую проделанную работу по оптимизации нука! Я в шоке!

[igorsk]

Если есть какая-нибудь платка с микроконтроллером и несколько GPIO, можно заюзать мой поисковик распиновки JTAG. Код более-менее портабельный, надо только переписать setpin/getpin/makeoutput/makeinput под ваше железо.

[Nomad1]

Вот сохраненная версия статьи, где коллега с Nookdevs пытался изучить эти пины. К сожалению, после нахождения эксплоита cdump он это дело забросил..
_________________
Twitter: @NomadRunserver

[ajv]

[gvinpin]

Вот, как оно выглядит


Может я что не так сказал - извиняйте, как припаиваются-отпаиваются такие элементы, не знаю. Но будем надеяться, что оно нам и не понадобится.

Товарищи с nookdev.com ничего путного не добились в этом направлении, кроме того уже то что они намеряли оказалось неправильным. Мои измерения показали другое.

План такой:
1) Нужен обладатель нука <1003, который может его разобрать и прозвонить дорожки от разъема до слота карты внутренней памяти (какой контакт разъема какому контакту слота соответствует).

2) Нужны две фотки высокого качества области, включающей разъем(защелка для микроСД должна быть поднята) и область слота внутренней памяти(первая фотка)/чипа внутренней памяти (вторая)

3) Расскажите мне, как разобрать нук? Крышку снял, винтики выкрутил, аккум достал, что дальше? Передняя панель не поддается, как будто приклеена (защелки все снял).

[Nomad1]

хотел было запостить ссылку на mynook, но увидел, что тов. gvinpin уже там отписался. из мыслей вслух - постер технически мог найти только TX, потому на его действия uboot мог не реагировать.
мой нук как раз серии <1003, но открывать пока не готов - недавно треснул корпус и лелею мечту его отремонтировать в B&N.. хотя если они как-то проассоциируют мой девайс с одним из хакеров их детища - может ничего и не выйти )
_________________
Twitter: @NomadRunserver

[Losta]

[gvinpin]

Я как раз-таки думаю, что контакты к нанд имеют непосредственное отношение, и это скорее всего и есть последовательный порт, который нужно расшифровать. джитаг может быть и не выведен в виде разъема на плате - это уже как производитель соизволит. Вполне возможно, чтобы докопаться до джитага нужно подпаиваться непосредственно к процессору, предварительно изучив даташит на него и найдя необходимые контакты и тогда уже через него прошить память (вроде читал, что такое возможно). Кстати товарищ из nookdev.com писал, что есть еще какие-то порты с обратной стороны платы. Но пока вернемся к этому порту. Вот распиновки микросд карточки для SD и SPI режимов:


соответственно, в слоте в обратном порядке.

Вот, то что намерил я, если пронумеровать порт следующим образом(как на картинке выше):
1 2 3 4 5
6 7 8 9 10.

1-3,29В
2- GND
3- не понятно
4- 3,19В
5*- 3,26В
6- 0,05В
7- 3,26В
8- 3,26В
9- 3,26В
10- не понятно

*при замере этой точки нук сначала выходит из сна, потом перезапускается или просто выключается.

Мои предположения: 7,8,9 - линия 0,1,2(в каком-то порядке); 1 - питание(уверен); 2 - GND; 4- синхроимпульсы(это нужно проверить осцилографом, которого у меня нет =( ); 6 - CMD; 5- линия 3, которая card detect. Естественно, могу ошибаться.

Отсюда получаем SD режим.

[Losta]

gvinpin
Сделал замеры, оформил в виде таблицы в Ворде. Куда выложить(выслать)?
_________________
Explay TXT Book V3 + Explay TXT Book B63 + Sony PRS-505 + Sony PRS-600 + Barnes&Noble Nook

[darkker]

[igorsk]

Повторюсь, распиновка JTAG находится элементарным перебором.

[gvinpin]

Losta Спасибо большое Вам за проделанные измерения, как Вы сами видите, Вы оказались правы - этот порт с карточкой никак не связан, но есть и хорошие новости: напряжения и распиновка совпадают!


darkker Значит будем рассматривать вариант jtag. Только нужно 8 линий (+1 vddsys на питание для джитага 3.3В). А вот про 3 линии по 3.3 вольта я в даташите ничего не нашел, может плохо искал? где про это было написано? Расположение контактов на камне я нашели насколько я предволагаю установив сигнал XjDBGSEL в 1-цу можно получить доступ к периферии (в частности к карточке), да только линии нужно найти, причем без выпаивания камня..


igorsk Можете ли Вы подробней рассказать, как это делается? алгоритм? может у Вас есть ссылки, где про это можно прочитать? любая инфа, начиная от железа.

[igorsk]

См. второй пост темы. Ещё похожиепроекты.

[Nomad1]

[gvinpin]

В общем пока новости такие: что это за разъем - непонятно, вполне возможно, что это просто совокупность тестпоинтов, коих сотни на обратной стороне стороне платы (эх, поделился бы Б&Н сервис мануалом на свою книжку, жалко им что ли... =( ). Проследить, куда уходят дорожки от проца с обратной стороны тоже не удалось, уж больно там все запутано и усеяно тестпоинтами. Зато(!!) обнаружился еще один менее таинственный разъем con6 (если предположить, что con это connect, тогда очень даже может быть), уходящий 8-ю своими контактами прямиком под процессор.

На днях попробую разобраться в этих проектах по поиску джитага перебором.

Ну, а в крайнем случае, набравшись смелости и советов от опытных паяльщиков, попробую отпаять процессор, если это не слишком рискованно (просто паяльный фен ни разу в руках не держал), и уже прозванивать джитаг непосредственно от места посадки камня.

[Mike Sinkovsky]

А вот этот 20-пиновый разъем подозрительно похож на аналогичный разъем у pandigital novel, у которого распиновку нашли вроде:
http://www.slatedroid.com/index.php?topic=11474

[Losta]

[ajv]

[Losta]

[gvinpin]

Mike Sinkovsky Спасибо за ссылку, будем ковыряться. Надо для начала сверить напряжения, схожи ли они.

Losta
Значит, отпаивать точно не буду, во всяком случае сам, если найду какого-нить специалиста в этом, то может быть... А может и не пригодится отпаивать. Кирпичи не могу найти: народ, видно, тешит себя надеждами, что они сами оживут, ну или кто-нибудь найдет способ их оживить =)