Защита ПО процессора S805-B (secured boot)

[x893]

А не пробовали запустить образ какой-нибудь для
www.hardkernel.com/shop/odroid-c1
?

[John_Red]

Этот не пробовал. Но OpenELEC собраный с нуля включая свежее ядро запускался и работал прекрасно. DeviceTree был перенят из оригинального ядра.

[x893]

Интересно, надо прикупить такой.

[3ap]

А можешь поподробнее рассказать?
— Где-то есть форк репозитория для сборки OpenELEC под Comigo Quattro?
— Какие репозитории для ядра и юбута брать?
— Где и как вытащить Device Tree? Образа оригинальной eMMC и ядра ведь нет нигде в общем доступе?

[John_Red]

Вот образ оригинального emmc. Монтируй согласно таблице разделов из лога выше. Например mount -o loop,offset=142606336,sizelimit=838860800 comigo_quattro_emmc.img /mnt/system
Не исключаю, что если залить на mSD, то будет грузить как c родного emmc. Сделай себе root. Ну а дальше сам.

[S-trace]

У меня есть смутное ощущение, что стоковый U-Boot может начать реагировать на нажатия клавиш кроме ENTER если получит некую последовательность байтов по UART (возможно, не все из них будут printable).
Не пробовали покопать его на эту тему?

Также, может быть там есть какая-то проверка например на нажатость какой-нибудь физической кнопки на устройстве (кнопка нажата при включении — реагируем на всё, не нажата — не реагируем).

[John_Red]

Да, я бегло пробежал по сурсам, но на первый взгляд ничего подобного не нашёл. Физических кнопок на девайсе нет. Много времени тратить не стал и просто активировал в U-Boot'e Hush Interpreter.
Даже если б такой пароль был, то стоковый U-Boot грузил бы всё равно только оригинальное ядро (он тоже проверяет его сигнатуру). Можно конечно его пропатчить прям в памяти… Как вариант.

[S-trace]

Вполне может быть, что в девайсе зашито не то, исходники чего выложены на сайте (некоторые ведь практикуют security through obscurity).
По опыту реверсинга aboot'ов могу сказать, что там порой можно найти интересные нестандартные команды (к примеру, unlock для работы fastboot flash/fastboot boot или возможность вычитки разделов и областей RAM из девайса на комп).

[John_Red]

Не думаю. Я брал зашифрованый U-Boot из стоковой прошивки (т.е. ту, чем был прошит девайс). Анализ проводился не по сурсам (их конечно никто не выкладывал), а прям в ассемблере. Но, конечно, может там и есть backdoor. Я на этом не фокусировался.

[3ap]

Поразительно, что только вчера целый день провели с товарищем за тем, чтобы расковырять именно эту железку. Правда у нас на руках была инструкция с 4pda, там уже была схема распайки разъёма под SD-карточку, местонахождение UART и готовый образ.

Другое дело, что после подключения карточки загрузка всё равно шла с eMMC. Для того, чтобы это обойти, мой товарищ замкнул пин данных eMMC на землю, тем самым заставив SoC загрузиться с SD (тоже через 30-40 секунд после холодного старта). После загрузки у меня уже не было доступа к eMMC (видимо, SoC как-то инициализирует eMMC, а Linux уже не может переинициализировать, что очень странно), но работала сеть.

Из смешного: на самом деле оригинальный юбут как минимум принимает команды, потому что внезапно работают хоткеи (^C, ^U, ^J) и автодополнение (TAB), но не даёт их исполнять.

А как удалось стянуть образ eMMC?

[John_Red]

Да, там были образы и с LibreElec даже по моему. Если грузил всё равно с emmc, то не была изменена бут сиквенция. А уверен, что там UBoot оригинальный? Там только мой spl стоит, остальное ребята сами собирали.
Я пробовал снять дамп с emmc, подключив его с спец usb устройству, на загрузка на 40% заканчивалась. И да, после загрузки с mSD, emmc не виден.