 Jefferson,  02 de agosto de 2016,  ADSL, PorDentro, WifiMais fotos e informações virão mais tarde. Estou agilizando a publicação de material acumulado.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 02 de agosto de 2016, ADSL, PorDentro, WifiMais fotos e informações virão mais tarde. Estou agilizando a publicação de material acumulado.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 02 de agosto de 2016, ADSL, PorDentro, WifiMais fotos e informações virão mais tarde. Estou agilizando a publicação de material acumulado.
Componentes principais
- Trendchip TC3162U – CPU
- Trendchip TC2205F
- Trendchip TC3086 –
- MC34063 – Conversor DC-DC
- MP1482DS – Conversor DC-DC
- Winbond W25Q64 – Flash SPI de 8MB
- Winbond W9825G6JH – SDRAM de 16M x 16 bits (32MB)
- Ralink RT3390L -WiFi
Como se pode ver o W300 tem 4x a memória RAM e a flash que o W300S.
O outro lado da placa não tem nada de importante, exceto o botão de reset.
A porta serial
Parâmetros: 115200, 8N1
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 01 de agosto de 2016, ADSL, PorDentro, WifiNão confunda o W300S com o W300. Este último em alguns mercados parece idêntico mas tem 4 portas LAN em vez de uma. O W300 brasileiro é bem diferente.
Escrito na placa: AZR82 V1.0
Componentes principais
- Winbond W9864G6JH – SDRAM 4M x 16bits (8MB)
- Trendchip TC3162UE – CPU
- Trendchip TC3086 –
- Ralink RT3390L – WiFi 802.11n
- Winbond 25Q16VBS – Memória flash SPI de 2MB
- AX6613 – Regulador Linear de 1A, low dropout
- UTC MC34063 – 1.5 A, Step-Up/Down/Inverting Switching Regulators
- MP1482DS – Conversor DC-DC
Detalhe da antena
No fundo da placa ficam apenas os LEDs
A porta serial
Parâmetros: 115200, 8N1
Bootlog:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 |
Bootbase Version: VTC_SPI1.12 | 2010/09/09 13:41:30 RAM: Size = 8192 Kbytes DRAM POST: Testing: 8192K OK Found SPI Flash 2MiB Winbond W25Q16 at 0xbfc00000 SPI Flash Quad Enable Turn off Quad Mode RAS Version: W300SV2.0.0a_ZR8_BR1 System ID: $2.12.44.0(SREZ.E3)3.12.8.201 20110714_v001 | 2011/07/14 Press any key to enter debug mode within 3 seconds. ............................................................ Flash data is the same!! [2J[H[HCopyright (c) 2001 - 2006 ZTE CORPORATION. initialize ch = 0, TC2101ME, ethernet address: b4:b3:62:52:02:04 initialize ch = 1, PhyMode=9, DesiredPhyMode=9 ethernet address: b4:b3:62:52:02:04 Wan Channel init ........ done Initializing ADSL F/W ........ done ==>natTableMemoryInit <==natTableMemoryInitANNEXAL SAR TX priority switch Off! new administrator name is: TMAR#ZTV5.5.0a. Testlab 8 largeD flag=2 (0:maxD=64, 1:maxD=128, 2:maxD=511) set try multimode number to 3 (dropmode try num 3) SRAOFF Valid Loss of power OFF! Dyingasp OFF! debug vendorclass input line: ipCurrent Stdio Timeout = 30 minutes Syncookie switch On! Press ENTER to continue... |
O bootlog desse modem é o menor que já vi.
Note que lá no início você tem a oportunidade de pressionar qualquer tecla para entrar no “debug mode”. Mas chutando eu não consegui descobrir nenhum comando. Mais sobre isso adiante.
Mais adiante veja que o firmware diz qual o nome de administrador:
TMAR#ZTV5.5.0a
No fim ele pede para pressionar ENTER quando então é pedida uma senha, que é a senha do administrador configurada no modem. Após digitar a senha os seguintes comandos ficam disponíveis:
|
|
sys exit ether wan etherdbg tcephydbg ip bridge dot1q pktqos show set lan |
Pelas mensagens do boot pude apurar que o TP-Link TD-W8961NB e o TP-Link TD-8901N usam firmwares parecidos. E graças a isso pude descobrir que o comando para obter o help do debug mode é “ATHE”. Aqui está a lista completa fornecida pelo modem:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 |
======= Debug Command Listing ======= AT just answer OK ATHE print help ATBAx change baudrate. 1:38.4k, 2:19.2k, 3:9.6k 4:57.6k 5:115.2k ATENx,(y) set BootExtension Debug Flag (y=password) ATSE show the seed of password generator ATTI(h,m,s) change system time to hour:min:sec or show current time ATDA(y,m,d) change system date to year/month/day or show current date ATDS dump RAS stack ATDT dump Boot Module Common Area ATDUx,y dump memory contents from address x for length y ATRBx display the 8-bit value of address x ATRWx display the 16-bit value of address x ATRLx display the 32-bit value of address x ATGO(x) run program at addr x or boot router ATGR boot router ATGT run Hardware Test Program ATRTw,x,y(,z) RAM test level w, from address x to y (z iterations) ATSH dump manufacturer related data in ROM ATDOx,y download from address x for length y to PC via XMODEM ATTD download router configuration to PC via XMODEM ATUR upload router firmware to flash ROM ATLC upload router configuration file to flash ROM ATXSx xmodem select: x=0: CRC mode(default); x=1: checksum mode ATLD Upload Configuration File and Default ROM File to Flash ATCD Convert Running ROM File to Default ROM File into Flash |
Quando você tem a senha do “GOD Mode” tem acesso a mais comandos. A senha, que é baseada no endereço MAC do seu modem, pode ser obtida usando o ATEN Password Generation Script do hacker PiotrBania. A lista de comandos estendida é esta:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 |
======= Debug Command Listing ======= AT just answer OK ATHE print help ATBAx change baudrate. 1:38.4k, 2:19.2k, 3:9.6k 4:57.6k 5:115.2k ATENx,(y) set BootExtension Debug Flag (y=password) ATSE show the seed of password generator ATTI(h,m,s) change system time to hour:min:sec or show current time ATDA(y,m,d) change system date to year/month/day or show current date ATDS dump RAS stack ATDT dump Boot Module Common Area ATDUx,y dump memory contents from address x for length y ATWBx,y write address x with 8-bit value y ATWWx,y write address x with 16-bit value y ATWLx,y write address x with 32-bit value y ATRBx display the 8-bit value of address x ATRWx display the 16-bit value of address x ATRLx display the 32-bit value of address x ATGO(x) run program at addr x or boot router ATGR boot router ATGT run Hardware Test Program AT%Tx Enable Hardware Test Program at boot up ATBTx block0 write enable (1=enable, other=disable) ATRTw,x,y(,z) RAM test level w, from address x to y (z iterations) ATWEa(,b,c,d) write MAC addr, Country code, EngDbgFlag, FeatureBit to flash ROM ATCUx write Country code to flash ROM ATCB copy from FLASH ROM to working buffer ATCL clear working buffer ATSB save working buffer to FLASH ROM ATBU dump manufacturer related data in working buffer ATSH dump manufacturer related data in ROM ATWMx set low 6 digits MAC address in working buffer ATMHx set hight 6 digits MAC address in working buffer ATBS show the bootbase seed of password generator ATLBx xmodem upload bootbase,x is password ATSMx set 6 digits MAC address in working buffer ATCOx set country code in working buffer ATFLx set EngDebugFlag in working buffer ATSTx set ROMRAS address in working buffer ATSYx set system type in working buffer ATVDx set vendor name in working buffer ATPNx set product name in working buffer ATFEx,y,... set feature bits in working buffer ATMP check & dump memMapTab ATDOx,y download from address x for length y to PC via XMODEM ATTD download router configuration to PC via XMODEM ATUPx,y upload to RAM address x for length y from PC via XMODEM ATUR upload router firmware to flash ROM ATDC hardware version check disable during uploading firmware ATLC upload router configuration file to flash ROM ATUXx(,y) xmodem upload from flash block x to y ATERx,y erase flash rom from block x to y ATWFx,y,z copy data from addr x to flash addr y, length z ATXSx xmodem select: x=0: CRC mode(default); x=1: checksum mode ATLD Upload Configuration File and Default ROM File to Flash ATBR Reset to default Romfile ATCD Convert Running ROM File to Default ROM File into Flash |
Mesmo sem estar no “GOD Mode” é possível usar o protocolo XMODEM (uma gambiarra útil que existe desde 1977), disponível em programas como o Teraterm, para transferir arquivos entre a memória do modem e o PC usando apenas a porta serial.
Para fazer o dump do conteúdo inteiro da flash use o comando: ATDO bfc00000, 200000
|
|
ATDO bfc00000, 20000 Starting XMODEM download... |
Note que os dois números acima são hexadecimais. ‘200000’ (200KB em decimal) corresponde a 2MB em hexa.
O endereço inicial bfc00000 depende do modem e é obtido lá no bootlog, na linha que diz:
|
|
Found SPI Flash 2MiB Winbond W25Q16 at 0xbfc00000 |
Leva cerca de 3min30s para fazer o download de 2MB por esse processo. Se você não está familiarizado com XMODEM, tenha em mente que após iniciar o download no modem você tem que dizer ao programa que você está usando que quer receber um arquivo. No Teraterm isso fica em File -> Transfer ->XMODEM -> Receive.
Tenha em mente que um dump de flash inteira contém também o bootloader e arquivos de firmware para update “normal” não contém bootloader. Então esse dump não pode ser usado para instalação normal sem ser editado antes.
Dump disponível para download aqui.
Infelizmente alcancei uma barreira. Eu preciso pelo menos de uma amostra do firmware para poder aprender como instalar o firmware via porta serial. E para deduzir como transformar um dump em arquivo de firmware usável eu também preciso de uma amostra. Mas o único link para esse firmware que consigo encontrar na web é o endereço http://www.zte-xdsl.com/300s/Firmware.rar que não funciona mais. Se alguém tiver esse firmware, por favor contribua.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 01 de agosto de 2016, ADSL, PorDentro, WifiNão tenho nada de interessante a dizer sobre esse aparelho ainda. Só estou documentando.
Componentes principais
- CG3211QIR – HPNA
- CG3213QIR – HPNA
- Broadcom BCM6302 – WiFi
- 32260-FM1 – Interface telefônica
- TISP61521 (2x) – Dual Forward Conducting P-Gate Thyristors
- MP201 – Não identificado
- MPDD8725- Não identificado – Possivelmente conversor DC-DC
- TC4431 – Mosfet drivers
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 01 de agosto de 2016, ADSL, PorDentro, WifiEsse modem costumava ser distribuído pela GVT
Componentes principais
- Ralink RT5390RL – WiFi
- Ralink RT63087N –
- Ralink RT63365E – CPU
- W9825G6JH – Memória SDRAM de 16M x 16bits (32MB)
- MXIC 25L640 – Memória flash SPI de 64Mbit (8MB)
- IT7672M (2x) – Conversor DC-DC step-down
O fundo da placa não tem nenhum componente
A porta serial
Parâmetros: 115200, 8N1
Cuidado ao fazer soldagem nos pontos TX e RX. As trilhas que saem delas são finíssimas e no meu primeiro modem eu demorei demais a fazer a soldagem em RX e a trilha se rompeu. Eu tive que usar outro modem porque não tenho a habilidade para reparar uma trilha tão fina ainda.
Neste modem você precisa usar a porta serial para o procedimento de recuperação do firmware.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 01 de agosto de 2016, ADSL, PorDentro, WifiEsse modem costuma (ou costumava) ser distribuído pelas operadoras ADSl Oi e GVT/Vivo.
Componentes principais:
- LV1482S (2x) – Conversor DC-DC step-down
- EM639165TS – Memória SDRAM de 8Mx16bit
- PSB 5061 – SoC
- PSB 6970V
- MXIC 25L1606 – Memória SPI Flash de 16Mbit (2MB)
- Atheros AR9271 – WiFi
 |
 |
| O fundo da placa não tem nada importante |
Detalhe da antena WiFi embutida |
Recuperação de firmware
Se você ligar o modem com o botão reset pressionado o bootloader do modem carregará um mini servidor web disponível no endereço 192.168.1.1, com o objetivo de fazer o upload de firmware. Você pode encontrar firmwares para Oi e GVT no site oficial do fabricante.
A porta serial
Parâmetros: 115200, 8N1
A não ser que o bootloader seja apagado você sempre poderá instalar firmware facilmente, então a porta serial não é tão importante quanto em outros modems. Eu vou mostrar o que aparece somente para fins de documentação.
O modem oferece um menu de opções se você pressionar a barra de espaço três vezes no momento correto:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 |
ROM VER: 1.2.0 CFG 04 EEPROM Data OK =========================================================================== Wireless ADSL Gateway AMAZON_SE Loader 0.06 build Jul 23 2010 13:08:09 Arcadyan Technology Corporation =========================================================================== SPI FLASH RDID: c22015 Copying boot params.....DONE 20|200| Press Space Bar 3 times to enter command mode ...123 Yes, Enter command mode ... [AMAZON_SE Boot]: ====================== [U] Upload to Flash [E] Erase Flash [G] Run Runtime Code [A] Set MAC Address [#] Set Serial Number [V] Set Board Version [H] Set Options [P] Print Boot Params [I] Load ART [1] Set SKU Number [2] Set PIN Number [3] Set CountryRegion ====================== |
Note que o firmware é produzido pela Arcadyan, que é conhecida por complicar as coisas para quem quer fuçar com o firmware.
Se você teclar um ponto de exclamação entra no modo administrador e novas opções serão exibidas.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
[AMAZON_SE Boot]:! Enter Administrator Mode ! ====================== [U] Upload to Flash [E] Erase Flash [G] Run Runtime Code [M] Upload to Memory [R] Read from Memory [W] Write to Memory [T] Memory Test [Y] Go to Memory [A] Set MAC Address [#] Set Serial Number [V] Set Board Version [H] Set Options [P] Print Boot Params [I] Load ART [1] Set SKU Number [2] Set PIN Number [3] Set CountryRegion ====================== [AMAZON_SE Boot]: |
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 30 de julho de 2016, Como alguns devem saber o login via Google parou de funcionar muitos meses atrás porque a Google obsoletou de novo uma API e a extensão que eu usava, Social Connect, com isso deixou de funcionar. Nas vezes anteriores em que procurei não havia solução ainda, mas ontem eu procurei de novo e na própria página do Social Connect o autor já sugeria o uso da extensão WordPress Social Login.
A extensão está ativa com possibilidade de login por contas Facebook, Google e twitter. Pelo menos até a Google exercitar novamente seu hábito de abandonar projetos e deixar usuários na mão.
Por um momento eu confundi com a extensão “Social Login“. Como ela tinha sido atualizada mais recentemente eu até a testei, mas desisti no momento em que ela exigiu que eu abrisse uma conte no site do desenvolvedor para poder usá-la.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 26 de julho de 2016, CFTV, onvifEste módulo é praticamente uma câmera IP inteira com firmware compatível com o padrão ONVIF. Ele pode ser comprado separadamente na China mas muitas câmeras prontas são construídas em torno dele, incluindo algumas que tenho em casa e que aos poucos vou apresentar aqui no blog. Para não escrever posts variados com informação redundante, vou tratar do módulo nesta página e os posts sobre as câmeras equipadas com ele farão links para cá.
| Lado da CPU |
Lado do Sensor |
 |
 |
Componentes principais
Lado da CPU
- IP101GR – Interface Ethernet.
- HiSilicon Hi3518E – SoC
- Magnetics
- Componente não identificado marcado ‘CICC’ (2x) –
- Componente não identificado marcado ‘C16aJ’
- Componente não identificado (parece diodo) marcado ‘1N21D’
Conectores, da esquerda para a direita no sentido horário
- (sem pinos – apenas furos) – Possivelmente a porta serial do Hi3518
- IR-CUT
- Ethernet
- Ligação com a placa IR. Provavelmente com sensor LDR.
- Alimentação
Lado do sensor
- FM24C08B – EEPROM serial de 8kb
- Winbond 25Q64FVSIG – Memória Flash SPI de 64Mbit (8MB) e 3V
- BA6208L – Driver reversível de motor – Ainda estou incerto do propósito, mas fica perto do conector do IR-CUT.
- MP1470 – (identificado como IADJE, próximo ao indutor ‘4R7’) – Conversor Step-Down de 2A
- Componente não identificado marcado ‘LD4GJ’ (2x) – Possivelmente outro conversor DC-DC, já que cada um está próximo a um indutor.
Não há chip visível de RAM porque o Hi3518E tem uma RAM DDR2 embutida de 64MB
Notas
- Aparentemente as câmeras baseadas em Hi3518 tem um bootloader com suporte a TFTP, permitindo a recuperação em caso de firmware corrompido. Também pode ser possível fazer o backup do firmware. Veja isso e outras coisas aqui;
- Essa câmera apesar de estar configurada como “discoverable” não aparecia na lista do ODM. Isso foi resolvido adicionando manualmente a URI: http://<endereco_IP>:8899/onvif/device_service
Portas abertas
- 23 – Telnet – Credenciais: root / xmhdipc
- 80 – www
- 554 – RTSP
- 8899 – ONVIF
- 34567 – Media Port
Informação obtida ao acessar o módulo via telnet:
|
|
cat /proc/cpuinfo Processor : ARM926EJ-S rev 5 (v5l) BogoMIPS : 218.72 Features : swp half thumb fastmult edsp java CPU implementer : 0x41 CPU architecture: 5TEJ CPU variant : 0x0 CPU part : 0x926 CPU revision : 5 Hardware : hi3518 Revision : 0000 Serial : 0000000000000000 # |
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 26 de julho de 2016, CFTV, hardware, onvif, PorDentro
A minha câmera já está toda suja e arranhada, por isso a foto do vendedor vai ter que servir por enquanto
A câmera é muito fácil de desmontar. Tanto a base quanto o domo abrem com um leve giro.
A parte frontal estabelece uma clara separação entre o iluminador IR e a lente. Isso é necessário porque de muito perto o IR cega a câmera e sem a separação o iluminador reflete no plástico. Câmeras realmente vagabundas não tem essa separação e ficam cegas ou exibem uma imagem muito ruim à noite.
A câmera é constituída internamente por iluminador IR + IR-CUT + Placa principal.
 Iluminador IR. O pequeno círculo verde é o sensor LDR (luz). Eu suponho (não medi) que o fio extra seja do LDR para sinalizar à placa CPU as mudanças de iluminação.
O conjunto de lente + IR-CUT é destacável. Para ver bem durante o dia, com as cores corretas, uma câmera precisa bloquear o infravermelho do sol. Entretanto esse mesmo bloqueio deixa a câmera cega à noite, mesmo que você ilumine o ambiente com infravermelho. Esse dispositivo elétrico coloca o filtro IR atrás da lente durante o dia e o remove à noite. Você pode ouvir claramente o funcionamento do IR-CUT se estiver no mesmo ambiente. É um barulho de plástico batendo em plástico.
Placa principal
Inscrições: BLK18E-OH22_33x32_S V1.01 / 0138145357 / A20140515V
| Lado da CPU |
Lado do Sensor |
|
|
Como praticamente tudo sobre a câmera depende desse módulo, para mais informações consulte meu post sobre o módulo BLK18E-OH22
(Prefira clicar em "Responder" se estiver comentando um comentário)
|
|
W300 serve?
http://www.ztemodem.net/zte-modem-firmware/
São muito diferentes.
Se você dumpar o firmware pela interface do roteador não servirá?
Não sei de qual “interface” (são duas) você está falando mas parece que você não entendeu. Eu tenho o dump do firmware. O que eu quero é ao menos uma amostra do firmware “instalável” pela GUI. São duas coisas diferentes.
Gostaria de saber se tem como desmontá-lo sem danificar a carcaça deste aparelho.
Eu não lembro exatamente como fiz e não tenho um destes na minha mesa agora, mas se me recordo bem basta soltar os parafusos e, com muita paciência, forçar a abertura com um cartão de crédito.