Désassemblage du boot2 - Page 16

Si j'ai bien compris, ils utilise un framework (ou autre chose ?) déjà existant... Ti ne s'est pas emmerdé à tout recoder de zéro, donc forcément, il y a de l'inutile.

Les fonctions nn_ correspondent au protocole USB spécifique à TI (cf Hackspire), donc ils ont bien codé ça à la main.
En l'occurence le boot 2 donne accès par combinaison de touche à un "maintenance menu", supportant entre autre entièrement les transferts USB et ce protocole TI.

Bon, je me casse les dents sur cet émulateur qui n'émule pas encore parfaitement les i/o, je perds beaucoup de temps à recompiler, réinstaller, retester à l'aveugle, surtout sans kernel.
Sans JTAG je crois que je vais implémenter un GDB stub via RS232 (puis à terme USB) pour du remote debug.

Mon post ./446 t'aide t-il a afficher une chaîne de caractères ?

J'avais sauté ton message, je regarde dès que je peux.

geogeo (./446) :
EDIT: La fonction 'display_msg_to_screen' trouvait dans le boot2 n'est pas valide ?

Non ça n'a pas l'air de marcher, que ce soit celle-ci ou celle de l'OS. Cependant de mémoire, par traçage au débuggeur de l'émulateur, elle est bien liée de près ou de loin aux tables de font que tu indiquais.
Mais comme le shellcode est exécuté assez tôt dans la séquence de l'OS le problème est peut être lié. Je n'ai pas encore eu l'occasion de poursuivre le boot de l'OS et d'installer un hook plus loin.

Une petite question. Le shellcode ne pourrait-il pas être copié dans la zone mémoire nommée 'FactoryImage' dans le boot2 ? Le fait de passer la machine en mode 'Developer Unit' force le chargement et la lecture de cette zone mémoire ?

./450 mais non, on n'a pas besoin de compiler le boot des nspires (Justement, on fait l'inverse )
(cross page)

Folco (./449) :
Ce que je comprends pas... Pourquoi 10 000 entrées dans un "boot", il est censé booter juste non, donc initialiser le hard, la mémoire, le filesystem et l'OS à démarrer, non ? Il a besoin de tout ce que vous postez depuis des pages ? oO

Interesse toi a un bootloader riche (genre uBoot ou RedBoot) tu verras ^^

Ben j'ai lu une bonne partie de GRUB 2, j'ai pas trouvé ça aussi riche par exemple. Mais si vous le dites, je vous crois sur parole hein.

Folco (./459) :
j'ai lu une bonne partie de GRUB 2

Paraît que ça ne vaut pas le Da Vinci Code...

une idée de nom pour un langage incompréhensible

geogeo (./456) :
Une petite question. Le shellcode ne pourrait-il pas être copié dans la zone mémoire nommée 'FactoryImage' dans le boot2 ? Le fait de passer la machine en mode 'Developer Unit' force le chargement et la lecture de cette zone mémoire ?

Je n'ai pas regardé ce mécanisme. C'est stocké dans le système de fichier ? Tu sais s'il y a une signature validée ? Tu as réussi à passer en Developer Unit ?

Alors j'ai testé sur l'émulateur de Goplat. J'ai juste changé dans le boot2 la valeur du registre r0 au passage de :

0x1180120C CMP R0, #0
0x11801210 BNE is_dev_unit

Voici ce que l'on obtient :


Lorsque aucun OS n'est installé on obtient ce log:

Boot Loader Stage 2 (1.4.1571)
Build: 2008/2/19, 23:19:10
Copyright (c) 2006, 2007, 2008 Texas Instruments Incorporated
Using production keys

Clocks:  CPU = 90MHz   AHB = 45MHz   APB = 22MHz
Checking for NAND: NAND Flash ID: ST Micro NAND256R3A


Initializing graphics subsystem.
Boot option: Normal


Initializing filesystem.
Datalight Reliance v2.10.1150
Copyright (c) 2003-2006 Datalight, Inc.
Datalight FlashFX Pro v3.00 Build 1358
Nucleus Edition for ARM9
Copyright (c) 1993-2006 Datalight, Inc.
Patents: US#5860082, US#6260156.
FFX: BBM Format found 0 bad blocks (IOError=0 Factory=0 Marked=0 Leg
FlashFX: Formatting... One moment please
100%
FlashFX: Format complete, Status=0x00000000
relFs_Format v2.10.1150
Copyright (c) 2003-2006 Datalight, Inc.
Writing file system...100
Block size: 512
Total blocks: 57088
Used blocks: 63
Free blocks: 57025
Filesystem ready.
Purging temporary files...
Configuring as a developer unit.

Loading Operating System...

Error loading OS image. Removing OS remnants.
Deleting file [/phoenix/manuf.dat]
Removing directory [/phoenix/install/]

Waiting for OS download.
Starting Connectivity services.
Initializing USB subsystem...Warning at PC=1184C4F8: Null pointer ac
0000008)
Done.
Setting Console Log Level = 0
NavNet Ready.
USB Download is enabled.
Press <Enter> to download through the serial port.
Checking battery level.
Battery level is OK.
Begin XMODEM file transfer.
Loading OS from CAS1.7.tnc
File transfer complete. Saving pre-load file.
File saved. Installing new Operating System...
TI_OS_INSTALL_PRECHECK (5)
TI_OS_INSTALL_VERIFYING_IMAGE (10)
IMAGE: verifying file "/tmp/TI-Nspire.tnc"
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (11)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (13)
TI_OS_INSTALL_INSTALLING_RESOURCES (15)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (17)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (19)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (21)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (23)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (25)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (27)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (29)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (31)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (33)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (35)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (37)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (39)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (41)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (43)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (45)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (47)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (49)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (51)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (53)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (55)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (57)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (59)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (61)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (63)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (65)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (67)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (69)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (71)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (73)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (75)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (77)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (79)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (81)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (83)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (85)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (87)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (89)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (91)
TI_OS_INSTALL_VERIFYING_IMAGE incremental update (93)
IMAGE: isImageBodyValid = false
TI_OS_INSTALL_VERIFYING_RESOURCE (95)
Deleting file [/tmp/TI-Nspire.tnc]
TI_OS_INSTALL_FAILED
  TI_OS_INSTALL_IMAGE_INVALID

Lorsqu'un OS est déjà installé :

Boot Loader Stage 2 (1.4.1571)
Build: 2008/2/19, 23:19:10
Copyright (c) 2006, 2007, 2008 Texas Instruments Incorporated
Using production keys

Clocks:  CPU = 90MHz   AHB = 45MHz   APB = 22MHz
Checking for NAND: NAND Flash ID: ST Micro NAND256R3A


Initializing graphics subsystem.
Boot option: Normal


Initializing filesystem.
Datalight Reliance v2.10.1150
Copyright (c) 2003-2006 Datalight, Inc.
Datalight FlashFX Pro v3.00 Build 1358
Nucleus Edition for ARM9
Copyright (c) 1993-2006 Datalight, Inc.
Patents: US#5860082, US#6260156.
Filesystem ready.
Purging temporary files...

Configuring as a developer unit.

Loading Operating System...

98%Error loading OS image. Removing OS remnants.
Deleting file [/phoenix/install/TI-Nspire.tnc]
Deleting file [/phoenix/components]
Deleting file [/phoenix/manuf.dat]
Removing directory [/phoenix/install/]
Deleting file [/phoenix/ques/locales/en/icons.res]
Deleting file [/phoenix/ques/locales/en/strings.res]
...

Pour l'histoire de l'image pre-installée:
Encore une fois la bidouille est faite sur emulateur en faisant passer le registre r0 à la valeur 1 avant l'appel de 'factoryImageFound'.


Voici le log en question:

Boot Loader Stage 2 (1.4.1571)
Build: 2008/2/19, 23:19:10
Copyright (c) 2006, 2007, 2008 Texas Instruments Incorporated
Using production keys

Clocks:  CPU = 90MHz   AHB = 45MHz   APB = 22MHz
Checking for NAND: NAND Flash ID: ST Micro NAND256R3A


Initializing graphics subsystem.
Boot option: Normal

Found a pre-installed Phoenix image.
Waiting for load instructions.
Copying pre-installed image into RAM.
Erasing pre-installed image from filesystem area.


Initializing filesystem.
Datalight Reliance v2.10.1150
Copyright (c) 2003-2006 Datalight, Inc.
Datalight FlashFX Pro v3.00 Build 1358
Nucleus Edition for ARM9
Copyright (c) 1993-2006 Datalight, Inc.
Patents: US#5860082, US#6260156.
FFX: BBM Format found 0 bad blocks (IOError=0 Factory=0 Marked=0 Legacy=0)
FlashFX: Formatting... One moment please
100%
FlashFX: Format complete, Status=0x00000000
relFs_Format v2.10.1150
Copyright (c) 2003-2006 Datalight, Inc.
Writing file system...100
Block size: 512
Total blocks: 57088
Used blocks: 63
Free blocks: 57025
Copying pre-installed image from RAM into filesystem.
Filesystem ready.
Purging temporary files...

Loading Operating System...

Error loading OS image. Removing OS remnants.
Deleting file [/phoenix/manuf.dat]
Removing directory [/phoenix/install/]

Waiting for OS download.
Starting Connectivity services.
Initializing USB subsystem...
Done.
Setting Console Log Level = 0
NavNet Ready.
USB Download is enabled.
Press <Enter> to download through the serial port.

EDIT 1: Juste après l'appel à 'Preparing File System' il y a gestion d'une combinaison clavier (0x04, 0x06, 0xFF) or je ne sais pas à quelles touches elle correspond !
Concernant la combinaison Home+Ctrl+X (test image) il s'agit de la suite : 0x06, 0x03, 0x00.

Je compléterais ce post pour répondre à ta question...

wow

je suis sérieusement trouducuté de tout ce que vous arrivez à faire.

chapo les gars!

Ce que j'ai du mal, c'est comment il a fait son emu a partir d'aucune info sur le hard ???

Reverse-engineering, il à l'oeil, il est très bon. Je suppose qu'il a déjà fait ça pour d'autres engins.

si y'a un framebuffer mappé dans l'espace mémoire, suffit de catcher les bons accès mémoire.

Extended: je sais pas si c'est possible, mais pourrait on avoir des infos système sur le CPU, comme les coprocesseurs ARM et toussa, qui informeraient sur la présence de MMU, FPU, etc

le code de haret doit être assez lisible pour retrouver les bouts qui servent à détecter le CPU. Doit y avoir un genre CPUID.

Quelques nouveaux points d'entrées pour le boot2 :

 	MakeName	(0X11800534,	"keypadRequestUnknown");
 	MakeName	(0X1180056C,	"keypadRequestTestImage");
 	MakeName	(0X118005A4,	"keypadRequestMaintenanceMenu");
 	MakeName	(0X118006BC,	"unknown_forcingShutdown");
 	MakeName	(0X1180072C,	"checkingCriticalVoltage");
 	MakeName	(0X118007D4,	"printError_");
 	MakeName	(0X11800884,	"checkingBatteryLevel");
 	MakeName	(0X118009E8,	"XmodemFileTransfer");
 	MakeName	(0X11800C74,	"printErrorCallback2");
 	MakeName	(0X11800CA8,	"printErrorCallback");
 	MakeName	(0X11801350,	"maintenanceMenu");
 	MakeName	(0X1180156C,	"printError");
 	MakeName	(0X11801B94,	"unknown_clearScreen");
 	MakeName	(0X1180F680,	"unknown_screeenSet_");
 	MakeName	(0X1192633C,	"unknown_keypadRequest");
 	MakeName	(0X11926414,	"keypadRequestMaintenanceMenu_");
 	MakeName	(0X11926428,	"unknown_keypadRequestMaintenanceMenu");
 	MakeName	(0X11926748,	"unknown_printNANDIDAndSledInfos");
 	MakeName	(0X1192A098,	"unknown_reboot");
 	MakeName	(0X1192B0BC,	"TI_OS_INSTALL_ERRORS");
 	MakeName	(0X1192B204,	"TI_OS_INSTALL_");
 	MakeName	(0X1192B75C,	"unknown_TI_checkInstallImage");
 	MakeNameEx(0X11800D94, "actionFormatOS", SN_LOCAL);
 	MakeNameEx(0X11800DC4, "actionDeleteFiles", SN_LOCAL);
 	MakeNameEx(0X11800DF4, "actionEraseAll", SN_LOCAL);
 	MakeNameEx(0X11802C60, "maintenanceMenuPage2", SN_LOCAL);
 	MakeNameEx(0X1180300C, "pageReplaceBatteries", SN_LOCAL);
 	MakeNameEx(0X118030C0, "pageRestartCalculator", SN_LOCAL);

J'ai un doute pour le keypadRequestUnknown. Peut-être s'agit-il de la combinaison CTRL+ON ?

./466 : pire que ça, il m'indique qu'il n'a même pas de Nspire

... on prétend même qu'il n'a pas d'ordinateur !!

pourquoi utiliser un ordinateur ou internet

Je confirme. La Nspire a bien un shell :

REL:A:\documents\>dir

Contents of A:\documents\
1980-01-01 00:00:00     <Dir> .

Files:                      0
Dirs:                       1
Bytes Per Block:          512
Total Blocks:           57088
Free Blocks:            50009

REL:A:\documents\>cd ..

REL:A:\>ir

Command 'ir' not found!
REL:A:\>dir

Contents of A:\
1980-01-01 00:00:00     <Dir> dev
1980-01-01 00:00:00     <Dir> tmp
1980-01-01 00:00:00     <Dir> phoenix
1980-01-01 00:00:00     <Dir> documents
1980-01-01 00:00:00     <Dir> testingsandbox
1980-01-01 00:00:00     <Dir> logs
1980-01-01 00:00:00     <Dir> widgets

Files:                      0
Dirs:                       7
Bytes Per Block:          512
Total Blocks:           57088
Free Blocks:            50009

REL:A:\>cd logs

REL:A:\logs\>dir

Contents of A:\logs\
1980-01-01 00:00:00     <Dir> .

Files:                      0
Dirs:                       1
Bytes Per Block:          512
Total Blocks:           57088
Free Blocks:            50009

REL:A:\logs\>?

?                    - Display help
APPEND               - Appends data from the console to a file
CD                   - Change the current directory
Check                - Check a Reliance disk
COMPARE              - Compare the contents of two files
CompTest             - Run the Reliance for Nucleus compatibility test
COPY                 - Copy a file
CREATE               - Create a file
DCLTEST              - Execute the DCL unit tests
DEL                  - Delete a file
DIR                  - Display a directory listing
EXIT                 - Exit the shell
FlashFXCheck         - Check the spare unit on disk
FlashFXDiskInfo      - Display FlashFX information
FlashFXDump          - Dump a FlashFX disk image
FlashFXImage         - Read or write a FlashFX disk
FlashFXRemount       - Remount a disk
FlashFXStressMT      - Execute the Multi-threaded VBF unit test
FlashFXTestFMSL      - Execute the FMSL unit test
FlashFXTestVBF       - Execute the VBF unit test
Format               - Format a disk
FSIOTEST             - Execute the File System I/O tests
GetTrans             - Display the transaction mode
HELP                 - Display help
MD                   - Make a directory
RD                   - Remove a directory
REN                  - Rename a file
SetTrans             - Set the transaction mode
Show                 - Display information of a Reliance disk
Test                 - Run the Reliance test suite
TIME                 - Display the current time
TYPE                 - Display the contents of a file on the console
WRITE                - Write to a file using console input
REL:A:\logs\>

Depuis le temps que je le cherchais celui là ^^

Comme c'est mignon d'avoir laissé un truc comme ça dans une release publique

carrément

accessible par port série?

Utilisable en RS232 ouai.
Mais pour être plus précis c'est du code mort. Il n'y a aucun appel direct vers ce shell.

Je m'en vais chercher le deuxième shell. ^^ (que je soupçonne d'exister)

Quelques infos sur la configuration de la machine. Elles ne semblent pas accessible par le shell:

System Compile-Time Configuration Options:
  Product       FlashFX v3.00 Build 1358 (Prod#=2)
  SubProduct         DCL v2.10 Build 466 (Prod#=3)
  CPU Number                                  2900
  ToolSet Number                              8300
  Byte-Order                         Little-Endian
  Native 64-bit Support                        Yes
  Native Alignment Boundary                      4
  Target OS                          Nucleus FILE3
    Supports Unicode                            No
    Supports Threads                           Yes
  Debug Settings:
    Debug Level                                  0
    DCL Trace Mask                      0x00000000
    Trace Auto-Enable                          Yes
    Profiler Included                           No
    Profiler Auto-Enable                        No
    Memory Tracking                       Disabled
    Semaphore Tracking                    Disabled

FlashFX Compile-Time Configuration Options:
  FFX_MAX_DEVICES:                               1
  FFX_MAX_DISKS:                                 8
  Byte order:                        Little-Endian
  FAT Support:                            Excluded
    Internal FAT format function:         Excluded
    FAT Monitor functionality:            Excluded
  Reliance Support:                       Included
  Default File System:                    Reliance
  Force Aligned I/O:                      Included
  Device driver auto-format logic:        Included

Disks information (toujours non accessible par le shell)

FlashFX Disk Information
Datalight FlashFX Pro v3.00 Build 1358
Nucleus Edition for ARM9
Copyright (c) 1993-2006 Datalight, Inc.
Patents: US#5860082, US#6260156.

System Compile-Time Configuration Options:
  Product       FlashFX v3.00 Build 1358 (Prod#=2)
  SubProduct         DCL v2.10 Build 466 (Prod#=3)
  CPU Number                                  2900
  ToolSet Number                              8300
  Byte-Order                         Little-Endian
  Native 64-bit Support                        Yes
  Native Alignment Boundary                      4
  Target OS                          Nucleus FILE3
    Supports Unicode                            No
    Supports Threads                           Yes
  Debug Settings:
    Debug Level                                  0
    DCL Trace Mask                      0x00000000
    Trace Auto-Enable                          Yes
    Profiler Included                           No
    Profiler Auto-Enable                        No
    Memory Tracking                       Disabled
    Semaphore Tracking                    Disabled

FlashFX Compile-Time Configuration Options:
  FFX_MAX_DEVICES:                               1
  FFX_MAX_DISKS:                                 8
  Byte order:                        Little-Endian
  FAT Support:                            Excluded
    Internal FAT format function:         Excluded
    FAT Monitor functionality:            Included
  Reliance Support:                       Included
  Default File System:                    Reliance
  Force Aligned I/O:                      Included
  Device driver auto-format logic:        Included

DEV0 Information
  Device Flags                              0x8400
  Media Type                                  NAND
  Current DISKn Mappings                         1
  Raw Size (includes BBM)                    30720 KB
  DevMgr Usable Size (excludes BBM)          30000 KB
  Block Size                                    16 KB
  Page Size                                    512 B
  Spare Size                                    16 B
  Meta Size                                      0 B
  Tag Size                                       2 B
  FFXFIMDEVHANDLE                       0x10879874

DISK0 Information
  Disk Flags                                0x0000
  Access Mode                               NORMAL
  Media Type                                  NAND
  Start Offset within DEVn                       0 KB
  Disk Size                                  30000 KB
  Block Size                                    16 KB
  Page Size                                    512 B
  Spare Size                                    16 B
  Tag Size                                       2 B
  FFXDISKHANDLE                         0x10879768

VBF Information
  Serial Number                         0x0000000B
  Allocation Page Size                         512 B
  Unformatted Disk Size                      29984 KB
  Formatted Disk Size                        28548 KB
  Region Size                                  488 KB
  Region Cache Entries                           3
  Erase Unit Information
    Unit Size                                   32 KB
    Total Units                                937
    Spare Units                                  1
    Data pages per Unit                         63
  VBF Overhead                                1436 KB
    Spare Unit(s)                               32 KB
    Allocation Map                             468 KB
    Cushion                                    936 KB (~3.1%)

Gathering media information, one moment...

Media Usage Information
  Erases Per Unit (Max, Avg, Min)        (4, 0, 0)
  Data Used                                   3534 KB
  Free Space                                 25695 KB
  Recoverable Space                            254 KB

REL:A:\documents\>

EDIT: Les infos sur les médias de stockage sont disponibles via le shell contrairement à ce que j'avais écrit.