Pruebas desbloqueando consola, comn video

[dabyd64]

Pues eso, he estado tonteando con algunos thomson, un tcm 315 y otro tcm325 y en ambos pude desbloquear la consola, actualizar el firmware mediante dload y despues poner un bootloader accesible con softjtag.

Pongo esto con intencion de que los que tengan alguno de los famosos TCM420/425 capados hagan pruebas haber si puede ser una solucion al problema, espero que os enrolleis y lo probeis , yo he estado horas haciendo pruebas, y como no poseo un TCM425 he probado con los dos que tenia (tcm315 y tm325) y funciono, poned los comentarios a ver que tal las experiencias : )

**EDIT**
*******
Un TCM425 me funciono, y en otros no lo consegui, comentando con MentalDominance de SBHacker llegamos a la conclusion de que quizas sea cosa de la version del firmware
*******

La forma en la que lo hice fue asi:
Con el cable serie conectado y el soft abierto (putty o hyperterminal o lo que sea), enchufamos el modem.
Vemos que aparece el bootloader, que no nos deja hacer nada con 1, 2, p.
Entonces carga la imagen del firmware, y se ven esos puntitos avanzando que es cuando descomprime el firmware en la ram.
Ahora ya sabemos que esta todo bien conectado, apagamos el modem.
Buscamos algun objeto metalico fino, y probamos a puentear las dos primeras patitas de la flash.
Cuales son esas 2 patitas? las dos primeras que empiezan desde la esquina en la que esta el puntito agujereado en la esquina de la flash.




El procedimiento es el siguiente:

NO HACER EN NINGUN CASO EL PUENTE CON EL MODEM APAGADO Y ENCENDIENDOLO QUE NO VAIS A CONSEGUIR NADA, FIJAROS BIEN EN LOS PASOS

Encendemos el modem con ese objeto metalico preparado para hacer el puente (es decir sin hacer el puente dicho, solo lo sujetamos cerca para poder hacerlo rapidamente cuando llegue el momento)en esas dos patillas, pero no se debe hacer nada aun.
Justo cuando vemos los puntos avanzando en el bootloader, puenteamos esas dos patitas, manteniendo todo el rato.Si todo va bien el modem no podra leer la non-vol y entrara en modo error, con las luces flasheando a modo de emergencia . Y en el terminal veremos nuestra preciada consola!
Se debe hacer JUSTO Y UNICAMENTE cuando estan esos puntos moviendose.Si se hace mas tarde el modem leera la non-vol y arrancara de forma normal, y si se hace antes el firmware se leera erroneamente y dara error de CRC y no se podra hacer nada tampoco.

ESTA ES LA MANERA CORRECTA




ESTO ES LO QUE PASA SI SE HACE DEMASIADO PRONTO




Ahora podemos activar la consola haciendo:

cd thomson
console on
no hay que hacer write

reiniciamos el modem y veremos la consola activada.
-importante-
en algunos modems al activar la consola hace que no inicie el escaneo de frecuencias.
Se soluciona desactivando de nuevo la consola poniendole

cd thomson
console off
reiniciamos el modem

o iniciando manualmente el escaneo cada vez que encendamos el modem, de esta manera:

cd docsis
goto_ds frecuencia (en mhz, por ejemplo goto_ds 723)
Y ya iniciara solo el proceso de conexion.

ahora solo hay que hacer lo tipico:
poner ip en windows 10.10.10.11, mascara de subred se pone sola, y puerta de enlace 10.10.10.10.
Abrimos el servidor tftp.
En la consola ponemos
cd docsis
ip_init
dload -f -i1 10.10.10.11 NUESTRO_FIRM.BIN
despues lo mismo pero con la imagen 2, asi:
dload -f -i2 10.10.10.11 NUESTRO_FIRM.BIN

Aqui dejo un video del desbloqueo de la consola, espero que os sea util :P

Necesitas estar Registrado y Logueado para ver el contenido...

**EDIT** añado patillaje de la flash


Los puentes deben ser entre las lineas Axx y masa o entre ellas, en las DQxx dara problemas ya que siempre leera datos erroneos en todas las posiciones de memoria, cuando solo lo debe hacer en algunas
JAMAS se deben puentear las patillas VCC y VSS entre ellas u otras, se corre el riesgo de dañar la flash o los reguladores de tension del modem.
Por seguridad tampoco se debe tocar la patilla WE#, pues se podrian borrar o modificar los datos en la flash.

Si no funciona a la primera, habra que buscar otra manera, con otras patillas de direccion (Axx), ya que este metodo depende mucho de la estructura firmware.
Si veis que conseguis entrar en la consola pero no se guardan los cambios, es que el puente se ha hecho en un sitio que impide que se detecte la flash, de ahi ese problema, asi que hay que probar en otro punto.
Paciencia y quizas encontreis la manera .


Saludos.

[serpor]

Muy bueno,chinchetazo
Moviendolo a la seccion correspondiente 325/315

[jmphlosa]

Buenas.

Yo tengo un 425 con la consola bloqueada, probaré en cuanto tenga un ratillo.

Pero todo apunta que has encontrado el Punto Test Point.

Luego Posteo resultados


SALUDOS.

[jmphlosa]

Buenas.

Acabo de probar en un TCM 425 y nada, cuando le pongo el puente y conecto la alimentación me sale esto todo el tiempo:



Si quieres te envío el Cablemodem, porque mira las pruebas y el montón de horas que me pasé con el tema este:

Necesitas estar Registrado y Logueado para ver el contenido...

Cuando desconecto sigue el proceso de arranque y se queda como siempre sin poder escribir, te lo pongo en tres partes ya que el proceso no entra en una captura:








Y ahí se queda sin poder hacer nada.



SALUDOS.

[dabyd64]

Lo has leido mal, fijate, eso del CRC da error porque lo haces muy pronto, enciendelo y prueba el puente cuando veas que la linea de puntos esta finalizando, manteniendolo unos segundos hasta que veas algo en la consola.



Lo del envio pues mira, si te fias de mi a pesar de los pocos post pues por mi perfecto que me encanta cacharrear jejej, tengo 6 webstar epc 2100r2 asi que realmente el tuyo no lo quiero para nada, te lo enviaria de vuelta cuando consiguiera algo o desistiera (es decir, te lo mandaria antes de hacerle un "reset" desde un 5º piso D)
Si eso me envias un MP y acordamos,
un saludo

[dabyd64]

Necesitas estar Registrado y Logueado para ver el contenido...

No es un test point, estamos jodiendo el asunto juntado las direcciones de la flash generando una lectura corrupta de la non-vol para que no lea la cfg y asi no cargue ese parametro que dice "bloquear la consola,joder al personal" D

[jmphlosa]

Buenas.

Ya he probado unas cuantas veces, con distintos resultados, pero sigue sin dejarme escribir.

Cuando le hago el puente mas o menos en el momento, (lo he hecho un montón de veces), vuelve a empezar, hasta que, después de varias veces pone esto:



Y se quedan permanentemente encendidos los leds Message, Cable Activity y Cable Link

Esto si le hago el puente entre la 1 y 2 que estan junto al puntito de la flash.

Cuando le hago el puente, (depués de varios intentos, justo en el lado contrario de la flash, y "a OJO", sin tener muy bien localizado el sitio, me sale esto:



Sigue sin dejarme escribir, pero parpadean todos los leds como se ve en el Video.

Pues si se te ocurre algo más lo pruebo, y si no te lo envío sin problema



SALUDOS.

[dabyd64]

joder, que mala pata. estoy empezando a pensar que estan protegidos de alguna manera en el firm porque sino..psss tienes el patillaje de la flash ahi arriba, ve haciendo pruebas en distintos sitios, donde se supone que interesa hacer los puentes es en las patas de tipo DQx y Ax ...
Tambien son interesantes las patillas de OE y CE, son las que habilitan la salida de datos y la activacion de la flash.
Habria que probar llevando alguna a masa o a 3.3V en distintos momentos, pienso que igualmente durante esos puntitos moviendose.

Y la verdad quitar la flash y resoldarla es un trabajo que parece complicado pero es bastane facil.
Yo probe por curiosidad con mi TCM325, y con un soldador JBC de 25w algo de estaño y "flux" se hizo bastante rapido.
para quitarlo se pone un pegote gigante en cada lado de la flash de manera que se juntan todas las patillas, y calentando rapidamente un laod y otro al final sale facilmente.
Luego se le echa flux a las pistas y el estaño automaticamente se limpia solo al darle con el soldador, quedando la soldadura unicamente sobre los contactos. Con la flash es lo mismo. y para soldarla de nuevo simplemente es colocarla y con el soldador, sin añadir estaño, soldar las patas de los extremos y despues ir repasando las patillas, da un poco de chollo, pero en 15 minutos lo tienes.
Si haces algo y consigues algo nuevo o distinto avisame, saludos

[jmphlosa]

Buenas.

Seguí probando y salió otra cosa nueva, pero igual, sin poder escribir, te pongo la serie de capturas:









Fue haciendo un puente de un lado a otro de la flash, (no sabría decir exactamente donde :ops), la flash que tiene este CM es una MX MX29LV160BBTC-906, lo comento por si no corresponde con el esquema que pusiste.

Se quedó el led internet fijo y... pues nada, sin dejarme escribir.

***Otra cosa que hace tiempo comenté, es que si bajo el Baud Rate a 4800 o menos y escribo algo, empiezan a salir símbolos raros, rápidamente pongo el Baud Rate en el valor correcto 115200 y veo el escaneo de frecuencia, cuando termina, me sale lo de siempre y se queda ahí.

A que será debido esto?

Te envié un MP



SALUDOS.

[dabyd64]

Eso del escaneo de frecuencias, ni idea, me ha pasado alguna vez de pura casualidad y siempre se reiniciaba a los pocos segundos :S :S D
Eso se ve que es lo que seria esa consola de emergencia, pero psss esta bloqueada parece, si no lee el non-vol directamente bloquea la consola =.
buenom buscare mas info sobre el chip mx, quizas tenga alguna variacion.
Yo lo he probado con el chip intel y funcionaba,
saludos

[jmphlosa]

Buenas.

OK pues si encuentras alguna otra cosa la pruebo, pero ya sabes que si quieres te lo envío en cualquier momento.


SALUDOS.

[xk3r]

Necesitas estar Registrado y Logueado para ver el contenido...

Mira has el puente cuando este el puntito debajo de la ultima "s" de la palabra address, y entraras en modo de Emergencia todas las luces parpadeando, A mi me reulto asi pronto pondre el manual aka.
Espero que te ayude.

[atmegasoporte]

Quisiera saber como usar el Jtag serial max232 para los DCM425, necesito saber de una guia porque tengo unos que el firmware es diferente a los que he hecho haciendo el puente a las patas 1 y 2. Alguien que me ayude por favor.