Jefferson, 02 de agosto de 2016, ADSL, PorDentro, Wifi Mais fotos e informações virão mais tarde. Estou agilizando a publicação de material acumulado.
Note que essa placa parece idêntica à do TD5130v2. Tão parecidas que eu achei que tinha colocado a mesma foto nos dois posts. Mas localizei duas diferenças: na outra existe um conector para antena WiFi externa (canto inferior esquerdo da placa) e está ausente o conector da porta serial. São detalhes tão discretos que parece o jogo dos sete erros.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 02 de agosto de 2016, ADSL, PorDentro, Wifi Mais fotos e informações virão mais tarde. Estou agilizando a publicação de material acumulado.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 02 de agosto de 2016, ADSL, PorDentro, Wifi Mais fotos e informações virão mais tarde. Estou agilizando a publicação de material acumulado.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 02 de agosto de 2016, ADSL, PorDentro, Wifi Mais fotos e informações virão mais tarde. Estou agilizando a publicação de material acumulado.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 02 de agosto de 2016, ADSL, PorDentro, Wifi Mais fotos e informações virão mais tarde. Estou agilizando a publicação de material acumulado.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 02 de agosto de 2016, ADSL, PorDentro, Wifi Mais fotos e informações virão mais tarde. Estou agilizando a publicação de material acumulado.
Componentes principais
- Trendchip TC3162U – CPU
- Trendchip TC2205F
- Trendchip TC3086 –
- MC34063 – Conversor DC-DC
- MP1482DS – Conversor DC-DC
- Winbond W25Q64 – Flash SPI de 8MB
- Winbond W9825G6JH – SDRAM de 16M x 16 bits (32MB)
- Ralink RT3390L -WiFi
Como se pode ver o W300 tem 4x a memória RAM e a flash que o W300S.
O outro lado da placa não tem nada de importante, exceto o botão de reset.
A porta serial
Parâmetros: 115200, 8N1
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 01 de agosto de 2016, ADSL, PorDentro, Wifi Não confunda o W300S com o W300. Este último em alguns mercados parece idêntico mas tem 4 portas LAN em vez de uma. O W300 brasileiro é bem diferente.
Escrito na placa: AZR82 V1.0
Componentes principais
- Winbond W9864G6JH – SDRAM 4M x 16bits (8MB)
- Trendchip TC3162UE – CPU
- Trendchip TC3086 –
- Ralink RT3390L – WiFi 802.11n
- Winbond 25Q16VBS – Memória flash SPI de 2MB
- AX6613 – Regulador Linear de 1A, low dropout
- UTC MC34063 – 1.5 A, Step-Up/Down/Inverting Switching Regulators
- MP1482DS – Conversor DC-DC
Detalhe da antena
No fundo da placa ficam apenas os LEDs
A porta serial
Parâmetros: 115200, 8N1
Bootlog:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35
|
Bootbase Version: VTC_SPI1.12 | 2010/09/09 13:41:30 RAM: Size = 8192 Kbytes DRAM POST: Testing: 8192K OK Found SPI Flash 2MiB Winbond W25Q16 at 0xbfc00000 SPI Flash Quad Enable Turn off Quad Mode RAS Version: W300SV2.0.0a_ZR8_BR1 System ID: $2.12.44.0(SREZ.E3)3.12.8.201 20110714_v001 | 2011/07/14 Press any key to enter debug mode within 3 seconds. ............................................................ Flash data is the same!! [2J[H[HCopyright (c) 2001 - 2006 ZTE CORPORATION. initialize ch = 0, TC2101ME, ethernet address: b4:b3:62:52:02:04 initialize ch = 1, PhyMode=9, DesiredPhyMode=9 ethernet address: b4:b3:62:52:02:04 Wan Channel init ........ done Initializing ADSL F/W ........ done ==>natTableMemoryInit <==natTableMemoryInitANNEXAL SAR TX priority switch Off! new administrator name is: TMAR#ZTV5.5.0a. Testlab 8 largeD flag=2 (0:maxD=64, 1:maxD=128, 2:maxD=511) set try multimode number to 3 (dropmode try num 3) SRAOFF Valid Loss of power OFF! Dyingasp OFF! debug vendorclass input line: ipCurrent Stdio Timeout = 30 minutes Syncookie switch On! Press ENTER to continue... |
O bootlog desse modem é o menor que já vi.
Note que lá no início você tem a oportunidade de pressionar qualquer tecla para entrar no “debug mode”. Mas chutando eu não consegui descobrir nenhum comando. Mais sobre isso adiante.
Mais adiante veja que o firmware diz qual o nome de administrador:
TMAR#ZTV5.5.0a
No fim ele pede para pressionar ENTER quando então é pedida uma senha, que é a senha do administrador configurada no modem. Após digitar a senha os seguintes comandos ficam disponíveis:
|
sys exit ether wan etherdbg tcephydbg ip bridge dot1q pktqos show set lan |
Pelas mensagens do boot pude apurar que o TP-Link TD-W8961NB e o TP-Link TD-8901N usam firmwares parecidos. E graças a isso pude descobrir que o comando para obter o help do debug mode é “ATHE”. Aqui está a lista completa fornecida pelo modem:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
|
======= Debug Command Listing ======= AT just answer OK ATHE print help ATBAx change baudrate. 1:38.4k, 2:19.2k, 3:9.6k 4:57.6k 5:115.2k ATENx,(y) set BootExtension Debug Flag (y=password) ATSE show the seed of password generator ATTI(h,m,s) change system time to hour:min:sec or show current time ATDA(y,m,d) change system date to year/month/day or show current date ATDS dump RAS stack ATDT dump Boot Module Common Area ATDUx,y dump memory contents from address x for length y ATRBx display the 8-bit value of address x ATRWx display the 16-bit value of address x ATRLx display the 32-bit value of address x ATGO(x) run program at addr x or boot router ATGR boot router ATGT run Hardware Test Program ATRTw,x,y(,z) RAM test level w, from address x to y (z iterations) ATSH dump manufacturer related data in ROM ATDOx,y download from address x for length y to PC via XMODEM ATTD download router configuration to PC via XMODEM ATUR upload router firmware to flash ROM ATLC upload router configuration file to flash ROM ATXSx xmodem select: x=0: CRC mode(default); x=1: checksum mode ATLD Upload Configuration File and Default ROM File to Flash ATCD Convert Running ROM File to Default ROM File into Flash |
Quando você tem a senha do “GOD Mode” tem acesso a mais comandos. A senha, que é baseada no endereço MAC do seu modem, pode ser obtida usando o ATEN Password Generation Script do hacker PiotrBania. A lista de comandos estendida é esta:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56
|
======= Debug Command Listing ======= AT just answer OK ATHE print help ATBAx change baudrate. 1:38.4k, 2:19.2k, 3:9.6k 4:57.6k 5:115.2k ATENx,(y) set BootExtension Debug Flag (y=password) ATSE show the seed of password generator ATTI(h,m,s) change system time to hour:min:sec or show current time ATDA(y,m,d) change system date to year/month/day or show current date ATDS dump RAS stack ATDT dump Boot Module Common Area ATDUx,y dump memory contents from address x for length y ATWBx,y write address x with 8-bit value y ATWWx,y write address x with 16-bit value y ATWLx,y write address x with 32-bit value y ATRBx display the 8-bit value of address x ATRWx display the 16-bit value of address x ATRLx display the 32-bit value of address x ATGO(x) run program at addr x or boot router ATGR boot router ATGT run Hardware Test Program AT%Tx Enable Hardware Test Program at boot up ATBTx block0 write enable (1=enable, other=disable) ATRTw,x,y(,z) RAM test level w, from address x to y (z iterations) ATWEa(,b,c,d) write MAC addr, Country code, EngDbgFlag, FeatureBit to flash ROM ATCUx write Country code to flash ROM ATCB copy from FLASH ROM to working buffer ATCL clear working buffer ATSB save working buffer to FLASH ROM ATBU dump manufacturer related data in working buffer ATSH dump manufacturer related data in ROM ATWMx set low 6 digits MAC address in working buffer ATMHx set hight 6 digits MAC address in working buffer ATBS show the bootbase seed of password generator ATLBx xmodem upload bootbase,x is password ATSMx set 6 digits MAC address in working buffer ATCOx set country code in working buffer ATFLx set EngDebugFlag in working buffer ATSTx set ROMRAS address in working buffer ATSYx set system type in working buffer ATVDx set vendor name in working buffer ATPNx set product name in working buffer ATFEx,y,... set feature bits in working buffer ATMP check & dump memMapTab ATDOx,y download from address x for length y to PC via XMODEM ATTD download router configuration to PC via XMODEM ATUPx,y upload to RAM address x for length y from PC via XMODEM ATUR upload router firmware to flash ROM ATDC hardware version check disable during uploading firmware ATLC upload router configuration file to flash ROM ATUXx(,y) xmodem upload from flash block x to y ATERx,y erase flash rom from block x to y ATWFx,y,z copy data from addr x to flash addr y, length z ATXSx xmodem select: x=0: CRC mode(default); x=1: checksum mode ATLD Upload Configuration File and Default ROM File to Flash ATBR Reset to default Romfile ATCD Convert Running ROM File to Default ROM File into Flash |
Mesmo sem estar no “GOD Mode” é possível usar o protocolo XMODEM (uma gambiarra útil que existe desde 1977), disponível em programas como o Teraterm, para transferir arquivos entre a memória do modem e o PC usando apenas a porta serial.
Para fazer o dump do conteúdo inteiro da flash use o comando: ATDO bfc00000, 200000
|
ATDO bfc00000, 20000 Starting XMODEM download... |
Note que os dois números acima são hexadecimais. ‘200000’ (200KB em decimal) corresponde a 2MB em hexa.
O endereço inicial bfc00000 depende do modem e é obtido lá no bootlog, na linha que diz:
|
Found SPI Flash 2MiB Winbond W25Q16 at 0xbfc00000 |
Leva cerca de 3min30s para fazer o download de 2MB por esse processo. Se você não está familiarizado com XMODEM, tenha em mente que após iniciar o download no modem você tem que dizer ao programa que você está usando que quer receber um arquivo. No Teraterm isso fica em File -> Transfer ->XMODEM -> Receive.
Tenha em mente que um dump de flash inteira contém também o bootloader e arquivos de firmware para update “normal” não contém bootloader. Então esse dump não pode ser usado para instalação normal sem ser editado antes.
Dump disponível para download aqui.
Infelizmente alcancei uma barreira. Eu preciso pelo menos de uma amostra do firmware para poder aprender como instalar o firmware via porta serial. E para deduzir como transformar um dump em arquivo de firmware usável eu também preciso de uma amostra. Mas o único link para esse firmware que consigo encontrar na web é o endereço http://www.zte-xdsl.com/300s/Firmware.rar que não funciona mais. Se alguém tiver esse firmware, por favor contribua.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 01 de agosto de 2016, ADSL, PorDentro, Wifi Não tenho nada de interessante a dizer sobre esse aparelho ainda. Só estou documentando.
Componentes principais
- CG3211QIR – HPNA
- CG3213QIR – HPNA
- Broadcom BCM6302 – WiFi
- 32260-FM1 – Interface telefônica
- TISP61521 (2x) – Dual Forward Conducting P-Gate Thyristors
- MP201 – Não identificado
- MPDD8725- Não identificado – Possivelmente conversor DC-DC
- TC4431 – Mosfet drivers
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 01 de agosto de 2016, ADSL, PorDentro, Wifi Esse modem costumava ser distribuído pela GVT
Componentes principais
- Ralink RT5390RL – WiFi
- Ralink RT63087N –
- Ralink RT63365E – CPU
- W9825G6JH – Memória SDRAM de 16M x 16bits (32MB)
- MXIC 25L640 – Memória flash SPI de 64Mbit (8MB)
- IT7672M (2x) – Conversor DC-DC step-down
O fundo da placa não tem nenhum componente
A porta serial
Parâmetros: 115200, 8N1
Cuidado ao fazer soldagem nos pontos TX e RX. As trilhas que saem delas são finíssimas e no meu primeiro modem eu demorei demais a fazer a soldagem em RX e a trilha se rompeu. Eu tive que usar outro modem porque não tenho a habilidade para reparar uma trilha tão fina ainda.
Neste modem você precisa usar a porta serial para o procedimento de recuperação do firmware.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 01 de agosto de 2016, ADSL, PorDentro, Wifi Esse modem costuma (ou costumava) ser distribuído pelas operadoras ADSl Oi e GVT/Vivo.
Componentes principais:
- LV1482S (2x) – Conversor DC-DC step-down
- EM639165TS – Memória SDRAM de 8Mx16bit
- PSB 5061 – SoC
- PSB 6970V
- MXIC 25L1606 – Memória SPI Flash de 16Mbit (2MB)
- Atheros AR9271 – WiFi
|
|
O fundo da placa não tem nada importante |
Detalhe da antena WiFi embutida |
Recuperação de firmware
Se você ligar o modem com o botão reset pressionado o bootloader do modem carregará um mini servidor web disponível no endereço 192.168.1.1, com o objetivo de fazer o upload de firmware. Você pode encontrar firmwares para Oi e GVT no site oficial do fabricante.
A porta serial
Parâmetros: 115200, 8N1
A não ser que o bootloader seja apagado você sempre poderá instalar firmware facilmente, então a porta serial não é tão importante quanto em outros modems. Eu vou mostrar o que aparece somente para fins de documentação.
O modem oferece um menu de opções se você pressionar a barra de espaço três vezes no momento correto:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36
|
ROM VER: 1.2.0 CFG 04 EEPROM Data OK =========================================================================== Wireless ADSL Gateway AMAZON_SE Loader 0.06 build Jul 23 2010 13:08:09 Arcadyan Technology Corporation =========================================================================== SPI FLASH RDID: c22015 Copying boot params.....DONE 20|200| Press Space Bar 3 times to enter command mode ...123 Yes, Enter command mode ... [AMAZON_SE Boot]: ====================== [U] Upload to Flash [E] Erase Flash [G] Run Runtime Code [A] Set MAC Address [#] Set Serial Number [V] Set Board Version [H] Set Options [P] Print Boot Params [I] Load ART [1] Set SKU Number [2] Set PIN Number [3] Set CountryRegion ====================== |
Note que o firmware é produzido pela Arcadyan, que é conhecida por complicar as coisas para quem quer fuçar com o firmware.
Se você teclar um ponto de exclamação entra no modo administrador e novas opções serão exibidas.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
|
[AMAZON_SE Boot]:! Enter Administrator Mode ! ====================== [U] Upload to Flash [E] Erase Flash [G] Run Runtime Code [M] Upload to Memory [R] Read from Memory [W] Write to Memory [T] Memory Test [Y] Go to Memory [A] Set MAC Address [#] Set Serial Number [V] Set Board Version [H] Set Options [P] Print Boot Params [I] Load ART [1] Set SKU Number [2] Set PIN Number [3] Set CountryRegion ====================== [AMAZON_SE Boot]: |
(Prefira clicar em "Responder" se estiver comentando um comentário)
|
|
Bom dia Ryan. Para soldar uma antena, posso usar o WANT1 ou WANT2 normalmente ou você recomenda comprar um pigtail e encaixar naquele soquete de 2mm? Tentei soldar uma antena de um TP-Link cuja placa queimou, mas não deu ganho. Soldei no GND nos dois polos laterais e o “positivo” naquele ponto central. Tentei tanto em WANT1 e WANT2 sem sucesso.
Alguma sugestão?
Obrigado
Serial = JP1
1 – 3.3
2 – Ground
3 – TX
4 – RX
Oi, como voce consegue identificar as pinagens? tentei aprender mas nao consegui…Tem alguma documentação pra isso?
Assumindo que se você se refira a identificar a pinagem de uma porta serial, o procedimento é mais ou menos assim:
A porta serial tem tipicamente 4 conexões, sendo elas, em qualquer ordem:
GND
TX
RX
VCC
Com um multímetro meça a resistência das quatro conexões a um ponto GND conhecido, como alguma blindagem existente na placa. O que der resistência perto de zero é o GND.
Resta identificar VCC, TX e RX
Com o aparelho ligado meça a tensão das outras três conexões. Se apenas uma delas medir de forma estável 3.3V ou 5V é o VCC. Se mais de uma medir, você vai precisar de outra maneira.
Geralmente é possível identificar o VCC porque este é conectado ao pino VCC de outros componentes e medindo a continuidade você pode chegar rapidamente a esta conclusão, mas se você não souber onde medir esse teste pode ser difícil.
Tendo acesso a um osciloscópio, analisador lógico ou outro tipo de sonda: a conexão que gerar pulsos é o TX. A que ficar estável em +3.3V ou 5V é o VCC e a que sobra é o RX.
Sem acesso aos instrumentos acima mas tendo um adaptador serial TTL disponível: faça a conexão de GND e ligue um dos três pinos de cada vez ao RX do adaptador serial, com o computador adequadamente configurado para receber uma transmissão. O pino que provocar uma recepção qualquer no computador, mesmo que seja de “lixo”, é o TX.
Dos dois que sobram, um é VCC e o outro é RX. Se você medir ambos e apenas um tiver 3.3V ou 5V, esse é o VCC. Se ambos acusarem a mesma medida, você poderá precisar novamente usar o método de tentativa e erro, ligando um deles ao TX da port serial e tentando transmitir comandos até obter uma reação, quando então você terá identificado o RX. Mas é aconselhável que você tente identificar o VCC por outros meios, porque ligar o TX do seu adaptador ao VCC pode ou não ser prejudicial ao mesmo. Colocar um resistor de uns 470ohms no caminho pode ser aconselhável.