M7s75ba zc01 01 прошивка через usb
Техническое описание и состав телевизора JVC LT-32M540, тип панели и применяемые модули. Состав модулей.
Диагональ экрана: | 32" (81 см) |
Формат экрана: | 16:9 |
Разрешение: | 1366x768 |
Частота обновления: | 50 Гц |
LED подсветка: | есть, Edge LED |
Smart: | есть. Поддержка Wi-Fi - есть |
Операционная система: | Android |
Поддержка HD: | 720p HD |
Угол обзора: | 160° |
Прогрессивная развёртка: | есть |
Стандарты TV: | PAL, SECAM, NTSC |
Цифровой тюнер: | DVB-T MPEG4, DVB-T2, DVB-C |
Количество каналов: | 300 |
Телетекст: | есть |
Форматы DTV: | 480i, 480p, 576i, 576p, 720p, 1080i, 1080p |
Мультимедиа: | MP3, WMA, MPEG4, Xvid, MKV, JPEG |
Звук стерео: | есть |
Мощность звука: | 10 Вт (2x5 Вт) |
Акустика: | два динамика |
Интерфейс: | AV, аудио x2, компонентный, VGA, HDMI x2, USB, Ethernet (RJ-45), Wi-Fi |
Разъём наушников: | есть |
JVC LED
Model: LT-32M540
Chassis/Version: MSA6285-ZC01-01
Panel: V320BJ7-PE1 // LC320WXE (SB)(V2) // LSC320AN02
LED driver (backlight): integrated into MainBoard
PWM LED driver: AP3064 // OB3350
MOSFET LED driver: B15N10D
Power Supply (PSU): integrated into MainBoard
MOSFET Power: SMK0870F
MainBoard: MSA6285-ZC01-01 // MSDV3225-ZC01-01
IC MainBoard: CPU: MSD6A628VX, SPI Flash: MX25L4006E, DC-DC: MSH6000A, RT7240
Модель LT-32M540 встречалась в ремонте в двух вариантах.
Вариант 1:
Mainboard MSDV3225-ZC01-01 и LCD-панель LSC320AN02.
Вариант 2:
Mainboard MSA6285-ZC01-01 и LCD-панель LC320WXE (SB)(V2).
Общие рекомендации по ремонту TV LCD LED
Возможные неисправности
- Телевизор JVC LT-32M540 не включается, не реагирует на пульт и кнопки панели управления, индикаторы не горят и не мигают.
Неисправность в подобных случаях следует искать в элементах источника питания - преобразователя сетевого напряжения (AC/DC), который находится на основной плате MainBoard MSA6285-ZC01-01. Необходимо убедиться в наличии его выходных напряжений и, в случае их полного отсутствия, проверить силовые ключи и выпрямительные диоды на предмет вероятного КЗ.
При пробоях полупроводников во вторичных цепях любого преобразователя, как правило, он может работать в аварийном режиме короткого замыкания без выходных напряжений, а при КЗ в элементах первичной цепи чаще всего сразу обрывается сетевой предохранитель и реже токовый датчик в истоке ключа.
Пробой силовых ключей (MosFet) в импульсных источниках, иногда бывает вызван неисправностями других элементов схемы, например, в цепях, питающих ШИМ-контроллер, частотозадающих или демпферных, а так же в цепях Отрицательной Обратной Связи (ООС) стабилизации. ШИМ-регуляторы (PWM) , если не имеют видимых повреждений корпуса и откровенного КЗ между выводами, обычно проверяются заменой.
- Отсутствует изображение, но есть звук и реакция на команды с пульта ДУ. Либо изображение появляется сразу после включения и пропадает.
Нередко в таких случаях отсутствует подсветка LED-панели. Причиной тому может быть обрыв в цепи светодиодов, либо проблема в стабилизации их питания.
При попытке выявления обрыва в линейках светодиодов следует учитывать, что сделать это без разборки панели затруднительно. Необходим, например, источник тока, чтобы открыть PN-переходы, соединённые последовательно.
- Телевизор не включается, на пульт не реагирует. Индикатор моргает либо сигнализирует дежурный режим.
Ремонт или диагностику материнской платы MSA6285-ZC01-01 следует начать с проверки стабилизаторов и преобразователей питания, необходимых для питания микросхем и матрицы. При необходимости, следует обновить или заменить ПО (программное обеспечение). В случаях попыток ремонта платы MB (SSB), необходимо проверить исправность её элементов - SPI Flash: MX25L4006E, DC-DC: MSH6000A, RT7240 которым может требоваться замена на новые. Если установлен процессор BGA, есть вероятность нарушения пайки контактов его выводов с платой (даигностируется прогревом).
Прежде чем менять тюнер HD, если отсутствует возможность настройки на телевизионные каналы, следует убедиться в наличии питающих напряжений, которые необходимо измерить на соответствующих выводах тюнера и проверить ПО на корректность. Импульсы обмена данными тюнера с процессором можно проконтролировать осциллографом
Внимание! Пользователям и владельцам телевизоров LT-32M540, не имеющим соответствующей квалификации, знаний и опыта, категорически не рекомендуем попытки самостоятельного ремонта во избежаниe негативных последствий, которые могут привести к полной неремонтопригодности устройства.
Внимание! Если в драйвере стоит микросхема OB3363QP, не торопитесь верить, скорее всего это неправильно маркированная AP3064. Схема прилагается. Сравните документацию на обе микросхемы.
Может быть установлена панель LSC320AN02 и моношасси MSDV3225-ZC01-01 с двумя микросхемами LED-драйвера AP3608EM-G1.
Тогда уменьшить ток подсветки с 400 mA до 200 mA - увеличил общее сопротивление резисторов до 18 kOhm по выводу 14 ISET AP3608EM-G1, а именно R828 и R829 для одного канала, R841 и R842 для другого на плате MSDV3225-ZC01-01.
Ограничить ток драйвера. MSA6285-ZC01-01 и AP3064. Общая информация
В драйвере может использоваться микросхема OB3350. Тогда уменьшить ток драйвера можно низкоомными резисторами в цепи светодиодов от контактов LED- разъёмов.
Подробнее можно почитать на странице ток подсветки TV.
Чтобы уменьшить ток подсветки в LED-драйверах с контроллером AP3064, следует увеличить общее сопротивление резисторов Rset, подключенных к выводу 2 ISET AP3064 относительно корпуса. Расчетное значение тока согласно документации I[mA] = 1200/Rset[kOm].
Если микросхем LED-драйвера имеет маркировку OB3363QP - это чья-то ошибка. В реальности и по схеме должна стоять AP3064.
Документ PDF на драйвер AP3064 и схема на плату Chassis MSA6285-ZC01-01 прилагается.
Дополнительно по ремонту MainBoard
Внешний вид MainBoard MSA6285-ZC01-01 показан на рисунке ниже:
Основные особенности устройства JVC LT-32M540:
Установлена матрица (LED-панель) V320BJ7-PE1 или LC320WXE (SB)(V2) или LSC320AN02.
Для питания светодиодов подсветки используется преобразователь, совмещённый с основной платой MSA6285-ZC01-01, управляется ШИМ-контроллером AP3064 // OB3350. В качестве силовых элементов LED-драйвера применяются ключи типа B15N10D.
Модуль питания совмещён с MainBoard и выполнен по схеме обратноходового преобразователя напряжения AC/DC c использованием микросхем PWM SOT23-6 и силовых ключей типа SMK0870F.
MainBoard - основная плата (материнская плата) представляет собой модуль MSA6285-ZC01-01, с применением микросхем CPU: MSD6A628VX, SPI Flash: MX25L4006E, DC-DC: MSH6000A, RT7240 и других.
Тюнер HD обеспечивает приём телевизионных программ и настройку на каналы.
Внимание мастерам!
Информация на этом сайте накапливается из записей ремонтников и участников форумов.
Будьте внимательны! Возможны опечатки или ошибки!
Ближайшие в таблице модели:
JVC LT-32M545W
Chassis(Version) V1N07
Panel: LSC320AN02 // V320BJ7-PE1
LED driver (backlight): integrated into PSU
PWM LED driver: AP3608EM-G1, AP3039AM-G1
Power Supply (PSU): integrated into MainBoard
PWM Power: PWM SOT23-6
MainBoard: MSDV3225-ZC01-01
Тuner: F33WT-3DDR-E
IC Main: SPI FLASH: 25Q64, DRAM: K4B1GT646G-BCK0
Control: IR: TV3210-zc25-04A
JVC LT-32M385
Chassis(Version) MS36631-ZC01-01
Panel: LSC320AN09-H, либо LSC320AN10-H
LED driver (backlight): integrated into MainBoard
PWM LED driver: OB3350CP
Power Supply (PSU): integrated into MainBoard
PWM Power: OB2273
MOSFET Power: OSG70R350K TO-263 12A 700V
MainBoard: MS36631-ZC01-01 303C3663174
IC Main: SPI Flash: GD25Q64, Audio: RDA3118E28
Прошивка приставки – это обновление или замена операционной системы. Данная процедура помогает повысить функциональность, гибкость устройства, а также избавиться от программных проблем. Некоторые приставки по умолчанию имеют очень ограниченную, а порой и заблокированную систему, прошитую под определенного оператора. Если прошить ТВ приставку, можно обойти много ограничений, получить возможность глубоко персонализировать устройство, убрать различные баги и многое другое. Сама процедура хоть и сравнительно простая, но связана с определенными рисками. Если нарушить технологию, приставка больше может не включиться.
Важно! ТВ приставка – очень обширное понятие. Так называют и DVB-T2 приставки для цифрового телевидения, и спутниковые ресиверы DVB-S/S2, и Smart TV box на Android, который делает простой телевизор «умным». Любая из них может потребовать перепрошивку, поэтому для удобства мы не будет делить статью на части. Внутри данного материала есть инструкции по прошивке всех типов приставок.
Можно ли прошить ТВ приставку?
Практически любую ТВ приставку Android можно прошить, вряд ли даже есть исключения. Однако некоторые ТВ приставки и спутниковые ресиверы зашиты под конкретного оператора. Да, их тоже реально перепрошить, но это весьма сложно и требует наличие специального оборудования. В общем и целом, прошить можно практически все.
Что нужно знать о прошивке?
Устанавливать альтернативное программное обеспечение имеет смысл в ситуациях, когда приставка подтормаживает, выдает ошибки, неправильно работает, не удается воспользоваться некоторыми функциями или подключить к другому провайдеру. Однако новая операционная система полезна и тем, что может вносить какие-то изменения, например, улучшать интерфейс, изменять тип управления, добавлять новые функции, вроде поиска фильмов по всем приложениям. Не будем гадать, зачем еще вам может пригодиться другая версия прошивки, но причин действительно много.
Нюансы, которые стоит учесть при прошивке:
- Обновление часто называют прошивкой. В некоторой степени так и есть, но мы рассматривать обновление не будем, там все более-менее понятно.
- В результате перепрошивки будут удалены все пользовательские настройки ресивера или приставки. Заблаговременно нужно сохранить все необходимое на съемный накопитель, чтобы была возможность восстановить данные.
- После установки прошивки от стороннего разработчика многие производители отменяют гарантию. В случае обращения в гарантийный ремонт, придется оплачивать работы самостоятельно.
- Во время выполнения процедуры нельзя отключать приставку от питания. Это может лишить возможности запустить приставку в целом.
Как прошить приставки Билайн ТВ, МТС ТВ, Триколор ТВ и другие?
Для просмотра цифрового и спутникового телевидения нужны приставки. Так как у нас в стране самые популярные операторы Билайн ТВ, МТС ТВ, Триколор ТВ, мы рассмотрим замену операционной системы на их примере. Большинство других ресиверов тоже поддаются перепрошивке по аналогии с перечисленными ниже.
Билайн ТВ
Большинство приставок для Билайн ТВ шьются стандартным образом – через USB Burning Tool. Это и RASSE-001, и SWG2001B-A. Однако приставки ZTE ZXV10 B860H нельзя шить в UBT, в противном случае она работать не будет. В этом случае следует использовать Pulpstone Amlogic Update USB Tool как наиболее простой и корректный софт для обновления.
Универсальная инструкция по прошивке спутниковой приставки Билайн ТВ:
- Качаем Amlogic USB Burning Tool актуальной версии с 4pda или любого другого сайта.
- Скачиваем прошивку для своей приставки. Большое количество разных прошивок на быстродействие, доп. функции и т. п. можно найти в тематической ветке 4pda. Раздел прошивки.
- Разархивируем прошивку, если она идет в архиве (обычно так и есть).
- Запускаем приложение USB Burning Tool, нажимаем на вкладку «Файл» и щелкаем по выпадающему элементу «Выбрать прошивку».
- Указываем путь к файлу образа.
- Подключаем приставку по USB к компьютеру. Обычно для этого используется разъем OTG, но может и другой. Также следует проверить, что блок питания подключен. Берем зубочистку и нажимаем ею кнопку в AV отверстии. Некоторые модели требуют, чтобы сначала была нажата кнопка, а потом подключен USB.
- Сейчас в программе должна отобразиться приставка. Если ее нет, стоит задержать кнопку AV на пару секунд. После обнаружения можно отпускать.
- Как только прошивка завершится, нажимаем на кнопку «Стоп», отключаем приставку и проверяем результат.
МТС ТВ
Прошивка приставки МТС ТВ обычно производится через флешку. Способ довольно прост и работает для большинства разновидностей устройств
Как прошить приставку МТС ТВ:
- Скачиваем архивы с ПО для DUNE TV 251-S MTS и Huawei DS300a.
- Распаковываем полученные архивы и извлекаем файл 251-S 1601.082114062424_rel.fw для Dune или папку upgrade для Huawei.
- Копируем полученные файлы в корень на флешке, которая обязательно должна иметь файловую систему FAT32.
- Отключаем приставку от питания, подключаем к ней флешку и запускаем снова.
- Установка должна начаться автоматически, после завершения процедуры все должно заработать правильно.
Триколор ТВ
Удобнее всего обновлять ресивер Триколор ТВ через компьютер. Делается это немного по-другому, в отличие от Билайн ТВ, поэтому рассмотрим процедуру отдельно. Для этой задачи нам потребуется нульмодемный кабель. Он продается практически везде. Также на ПК должен быть COM-разъем или переходник COM-USB.
Инструкция по прошивке Триколор ТВ:
- Отключаем приставку от питания и антенны.
- Подключает нульмодемный кабель между компьютером и приставкой при помощи разъема RS232.
- Загружаем программу DRE Burner. Чаще всего ее можно скачать в том же месте, где и прошивку.
- Запускаем установленную программу и находим файл прошивки. Его можем взять как на официальном сайте, так и в других местах.
- Жмем по кнопке «Open File», указываем путь к файлу прошивки (скорее всего, ее заранее нужно будет извлечь из архива).
- Жмем по кнопке «Upload» и запускаем ресивер. Должна автоматически начаться процедура установки.
- Как только процесс дойдет до 100%, можно разъединять устройства.
Некоторые версии сторонних прошивок даже позволяют разблокировать недоступные вам платные каналы, соответственно, без оплаты. Делать это или нет, решать вам, но риски лежат так же само полностью на владельце приставки.
Как прошить ТВ бокс на Android?
Smart TV приставки прошивают очень часто, таким образом увеличивая их быстродействие, стабильность работы, улучшая интерфейс, добавляя новые функции и т. п. В частности популярно перепрошивать приставку с Android на Android TV (ATV). Процедура прошивки может разнится в зависимости от устройств, поэтому мы разберемся с несколькими наиболее популярными моделями. Для других девайсов все можно сделать по аналогии, по крайней мере в большинстве случаев.
Ugoos x4
В нашем предыдущем обзоре серии Смарт приставок мы уже рассматривали прошивку Ugoos x4, а также обсудили многое другое. По нашему мнению, это один из самых интересных TV box на рынке из соотношения цены-качества. К тому же, процедура перепрошивки очень похожа на ту, что мы описывали в блоке о Билайн ТВ.
Прошить Смарт приставку х96 можно точно таким же образом. Опишем кратко саму процедуру, акцентируя внимание только на особенностях.
- Устанавливаем приложение для перепрошивки, чаще используют USB Burning Tool.
- Берем шнур USB с выходами с двух сторон, в народе – папа-папа.
- Зажимаем спичкой или зубочисткой кнопку Reset в разъеме AV и сразу подключаем кабель USB.
- Отпускаем кнопку после того, как произошло подключение, и приставка отобразилась в программе.
- Через меню выбираем прошивку, запускаем процедуру. Минут через 5 прошивка будет загружена.
Xiaomi Mi Box S
Многим интересно, как прошить TV box от Xiaomi, но на практике процедура мало чем отличается от стандартной. Единственное, на что следует обратить внимание – для определения приставки в программе прошивки нужно на пульте дистанционного управления зажать кнопку назад и Ок. Их следует держать до момента обнаружения. Однако это только половина дела, также еще нужен файл обновления приставки, который загружаем на флешку объемом до 32 Гб с Fat32 форматирование, подключаем к приставке и с помощью той же комбинации кнопок запускаем автообновление. По сути, это что-то среднее между обновлением через ПК и флешку. Более наглядно все описано в ролике ниже.
Mecool KM9 Pro
Прошивка приставок Mecool в своем начале осуществляется таким же образом, как и все остальные, но далее есть отличия.
Краткая инструкция по прошивке Mecool KM9 Pro:
- Прошиваем приставку через USB Burning Tool стандартным образом. Только важно, чтобы все содержимое прошивки находилось в корне, также должна присутствовать папка C:/soft.
- После завершения установки образа не отключаем ТВ бокс, но запускаем командную строку через меню Пуск или поиск (cmd).
- Дважды вводим команды cd .. – после каждого раза нажимаем Enter, а затем sd soft и тоже жмем клавишу Ввода.
- Вводим следующую серию команд: update bulkcmd fastboot, fastboot flashing unlock, fastboot flashing unlock_critical, fastboot oem reset.
- Отключаем приставку и проверяем результат.
С помощью перечисленных способов можно прошить практически любую ТВ приставку: от спутникового ресивера до Smart TV бокса. Бывают исключения, но все описать в рамках одной статьи невозможно. Для большинства случаев описанных инструкций должно быть достаточно. А мы, как обычно, ждем от вас комментарии.
К прошивке Т2 приставки нужно подходить очень осторожно, так как любые не верные действия могут навредить вашей Т2 приставки и восстановить её будет не дёшево. Первым делом давайте разберёмся что нужно знать перед прошивкой Т2 приставки.
Файл прошивки должен чётко соответствовать вашей модели приставки, и не какой другой, иначе ваш ресивер может больше не включиться. Во время процесса прошивки Т2 приставки не в коем случае не останавливайте этот процесс, не вынимайте USB флешку из приставки пока ваша приставка полностью не прошьётся. Затем дождитесь полной её перезагрузки и только тогда вынимайте USB флешку из Т2 приставки. Ну и не отключайте Т2 приставку от сети пока процесс прошивки полностью не закончится.
Подробнее прочитать о том, что нужно знать перед прошивкой Т2 приставки можете здесь. Не пренебрегайте условиями прошивки Т2 приставки, в противном случае ваша Т2 приставочка может заглючить, а восстановить её не легко. Вот в этой статье описано, что необходимо для восстановления Т2 или спутникового тюнера после не удачной прошивки. Советую прочесть.
А теперь перейдём к самой прошивки Т2 приставки:
Скачиваете прошивку (строго под свою модель Т2 приставки) из интернета, (можете посмотреть здесь, возможно под вашу модель Т2 приставки найдёте прошивку). И закачиваете её на USB флешку. Файловая система флешки желательно в FAT 32, так как если USB флешка будет в другой файловой системе, то не каждая приставка может увидеть такую USB флешку.
Вставляете USB флешку с (файлом прошивки) в USB разъём Т2 приставки.
Заходим в меню Т2 приставки.
Переходим в раздел «Система».
Опускаемся на пункт «Обновление ПО».
Заходим в него и попадаем на пункт «Обновление по USB». Заходим и в этот пункт.
Перед нами открылись настойки прошивки ПО (Программного обеспечения). Здесь выбираете «Тип обновления» — Обновление по USB.
Переходите на пункт «Путь к файлу», и заходите в него.
Открывается ещё одно окно, в нём выбираете вашу USB флешку, и заходите в неё.
Находите на USB флешке ваш файл прошивки (программное обеспечение для Т2 приставки). В моём случае файл имеет формат .bin, возможно у вас будет такой-же формат файла. Становитесь на этот файл прошивки и выбираете его нажатием кнопки ОК на пульту.
В пункте «Путь к файлу» отображается последовательный путь и название прошивки.
Переходите на пункт «Обновить (Начать)» и жмёте кнопку «OK» на пульту.
Начинается процесс прошивки Т2 приставки. Дождитесь полного завершения этого действия. Ещё раз напоминаю, в этот момент не вытягивайте USB флешку из Т2 тюнера и не отключайте тюнер от сети питания. Во избежание каких либо проблем в будущем с вашей Т2 приставкой. Сам процесс прошивки идёт довольно быстро, всего 1-2 минутки.
По завершению прошивки Т2 приставки, она автоматически перезагрузится.
После чего появится окно предустановок. И только сейчас после перезагрузки ресивера извлекаете USB флешку из Т2 приставки.
Затем опускаетесь на пункт «Авто поиск» и жмёте кнопку «OK» на пульту. На некоторых приставках автопоиск начнётся сам, через небольшое время.
И вот пошёл процесс сканирования каналов, дожидаетесь полного завершения поиска каналов, после чего произойдёт авто сохранение найденных каналов.
Теперь на вашей Т2 приставки появятся каналы и можно сказать процесс обновления программного обеспечения полностью завершён.
Есть у меня знакомый, который занимается ремонтом автомобильного железа. Он как-то принес мне микроконтроллер, выпаянный из блока управления автономного отопителя. Сказал, что его программатор это не берет, а ему хотелось бы иметь возможность переливать прошивки туда-сюда, т.к. блоков много, в железе они часто одинаковые, а вот агрегаты, которыми они управляют отличаются. И вроде и блок есть взамен неисправного, но ПО разное и заменить просто так нельзя. Так как задачка была интересной, решил покопаться. Если тема интересна и вам, прошу под кат.
Подопытным оказался M306N5FCTFP. Это микроконтроллер группы M16C/6N5. Ядро M16C/60 разработано Mitsubishi, а т.к. преемником этой компании по части МК с 2003 года является Renesas, то сейчас эти микроконтроллеры известны именно под этим брендом.
Немного о самом микроконтроллере
Камешек представляет собой 16-разрядный микроконтроллер в 100-выводном QFP корпусе. Ядро имеет 1 МБайт адресного пространства, тактовая частота 20МГц для автомобильного исполнения. Набор периферии так же весьма обширный: два 16-разрядных таймера и возможность генерации 3-фазного ШИМ для управления моторами, всякие UART, SPI, I2C естественно, 2 канала DMA, имеется встроенный CAN2.0B контроллер, а также PLL. На мой взгляд очень неплохо для старичка. Вот обзорная схемка из документации:
Так как моя задача выдрать ПО, то так же весьма интересует память. Данный МК выпускался в двух вариантах: масочном и Flash. Ко мне попал, как выше уже упоминалось, M306N5FCTFP. Про него в описании сказано следующее:
- Flash memory version
- 128 KBytes + 4K (дополнительные 4K — так называемый блок А в подарок пользователю для хранения данных, но может хранить и программу)
- V-ver. (автомобильное исполнение с диапазоном +125°C)
Как вытащить из устройства то, что разработчики втащили
Вполне естественно, что начинать попытки достать что-то из микроконтроллера нужно с изучения механизмов, которые встроены разработчиком чипа для задач программирования памяти. В мануале указано, что производитель любезно разместил в памяти загрузчик, для нужд внутрисхемного программирования устройства.
Как видно из картинки выше, память разбита на 2 части: пользовательская область, и область загрузчика. Во второй как раз с завода залит загрузчик по умолчанию, который умеет писать, читать, стирать пользовательскую память и общается через асинхронный, синхронный, либо CAN-интерфейс. Указано, что он может быть переписан на свой, а может быть и не переписан. В конце концов это легко проверяется попыткой постучаться к стандартному загрузчику хотя-бы через UART… Забегая вперед: производитель отопителя не стал заморачиваться своим загрузчиком, поэтом копать дальше можно в этом направлении. Сразу оговорюсь, что есть еще способ параллельного программирования, но т.к. программатора для этого у меня не было, я не рассматривал этот вариант.
О защите от считывания
Все бы было совсем просто, если бы в загрузчике не была предусмотрена защита от несанкционированного доступа. Я просто приведу очень вольный перевод из мануала.
Функция проверки идентификатора
Используется в последовательном и CAN режимах обмена. Идентификатор, переданный программатором, сравнивается с идентификатором, записанным во flash памяти. Если идентификаторы не совпадают, команды, отправляемые программатором, не принимаются. Однако, если 4 байта вектора сброса равны FFFFFFFFh, идентификаторы не сравниваются, позволяя всем командам выполняться. Идентификатор — это 7 байт, сохраненных последовательно, начиная с первого байта, по адресам 0FFFDFh, 0FFFE3h, 0FFFEBh, 0FFFEFh, 0FFFF3h, 0FFFF7h, и 0FFFFBh.
Таким образом, чтобы получить доступ к программе, нужно знать заветные 7 байт. Опять же, забегая вперед, я подключился к МК, используя тот же «M16C Flash Starter» и убедился, что комбинации из нулей и FF не проходят и этот вопрос придется как то решать. Здесь сразу же всплыла мысль с атакой по сторонним каналам. Уже начал прикидывать в голове платку, позволяющую измерять ток в цепи питания, но решил, что интернет большой и большинство велосипедов уже изобретено. Вбив несколько поисковых запросов, довольно быстро нашел на hackaday.io проект Serge 'q3k' Bazanski, с названием «Reverse engineering Toshiba R100 BIOS». И в рамках этого проекта автор решал по сути точно такую же задачу: добыча встроенного ПО из МК M306K9FCLR. Более того — на тот момент задача им была уже успешно решена. С одной стороны я немного расстроился — интересная загадка разгадана не мной. С другой — задача превратилась из поиска уязвимости, в ее эксплуатацию, что обещало гораздо более скорое решение.
В двух словах, q3k точно по такой же логике начал изучение с анализа потребляемого тока, в этом плане он был в гораздо более выгодных условиях, т.к. у него был ChipWhisperer, этой штукой я до сих пор не обзавелся. Но т.к. его первый зонд для снятия тока потребления оказался неподходящим и вычленить из шумов что-то полезное у него не получилось, он решил попробовать простенькую атаку на время отклика. Дело в том, что загрузчик во время выполнения команды дергает вывод BUSY, чтобы проинформировать хост о том, занят он, или готов выполнять следующую команду. Вот, по предположению q3k, замер времени от передачи последнего бита идентификатора до снятия флага занятости мог послужить источником информации при переборе. При проверке этого предположения перебором первого байта ключа действительно было обнаружено отклонение по времени только в одном случае — когда первый байт был равен FFh. Для удобства измерения времени автор даже замедлил МК, отключив кварцевый резонатор и подав на тактовый вход меандр 666кГц, для упрощения процедуры измерений. После чего идентификатор был успешно подобран и ПО было извлечено.
Первый блин — граблями
Ха! Подумал я… Сейчас я быстренько наклепаю программку к имевшейся у меня STM32VLDiscovery c STM32F100 на борту, которая будет отправлять код и измерять время отклика, а в терминал выплевывать результаты измерений. Т.к. макетная плата с целевым контроллером до этого подключалась к ПК через переходник USB-UART, то, дабы ничего не менять на макетке, работать будем в асинхронном режиме.
Когда при старте загрузчика вход CLK1 притянут к земле, он понимает, что от него хотят асинхронного общения. Собственно потому я его и использовал — подтяжка была уже припаяна и я просто соединил проводами две платы: Discovery и макетку с целевым M306.
Заметка по согласованию уровней:
Т.к. M16 имеет TTL-уровни на выводах, а STM32 — LVTTL (упрощенно, в даташите подробнее), то необходимо согласование уровней. Т.к. это не устройство, которое, как известная батарейка, должно работать, работать и работать, а по сути подключается разок на столе, то с трансляторами уровней я не заморачивался: выходные уровни от STM32 пятивольтовый МК переварил, в смысле 3 вольта как «1» воспринимает, выходы от М16 подаем на 5V tolerant входы STM32 дабы ему не поплохело, а ногу, которая дергает RESET M16 не забываем перевести в режим выхода с открытым стоком. Я вот забыл, и это еще +2ч в копилку упущенного времени.
Этого минимума достаточно, чтобы железки друг друга поняли.
Логика атакующего ПО следующая:
- Устанавливаем соединение с контроллером. Для этого необходимо дождаться, пока завершится сброс, затем передать 16 нулевых символов с интервалом более, чем 20 мс. Это для того, чтобы отработал алгоритм автоопределения скорости обмена, т.к. интерфейс асинхронный, а МК о своей частоте ничего не знает. Стартовая скорость передатчика должна быть 9600 бод, именно на эту скорость рассчитывает загрузчик. После этого при желании можно запросить другую скорость обмена из пяти доступных в диапазоне 9600-115200 (правда в моем случае на 115200 загрузчик работать отказался). Мне скорость менять не нужно, поэтому я для контроля синхронизации просто запрашивал версию загрузчика. Передаем FBh, загрузчик отвечает строкой вроде «VER.1.01».
- Отправляем команду «unlock», которая содержит текущую итерацию ключа, и замеряем время до снятия флага занятости.
Команда состоит из кода F5h, трех байт адреса, где начинается область идентификатора (в моем случае, для ядра M16C, это 0FFFDFh), длина (07h), и сам идентификатор. - Измеряем время между передачей последнего бита идентификатора и снятием флага занятости.
- Увеличиваем перебираемый байт ключа (KEY1 на начальном этапе), возвращаемся к шагу 2 до тех пор, пока не переберем все 255 значений текущего байта.
- Сбрасываем статистику на терминал (ну или выполняем анализ «на борту»).
В итоге, для всех значений результаты были идентичны. Полностью идентичны. Тактовая частота таймера у меня была 24Мгц, соответственно разрешение по времени — 41,6 нс. Ну ок, попробовал замедлить целевой МК. Ничего не поменялось. Здесь в голове родился вопрос: что я делаю не так, как это делал q3k? После сравнения разница нашлась: он использует синхронный интерфейс обмена (SPI), а я асинхронный (UART). И где-то вот здесь я обратил внимание на тот момент, который упустил вначале. Даже на схемах подключения для синхронного и асинхронного режимов загрузчика вывод готовности назван по-разному:
В синхронном это «BUSY», в асинхронном это «Monitor». Смотрим в таблицу «Функции выводов в режиме Standart Serial I/O»:
«Семён Семёныч…»
Упущенная вначале мелочь завела не туда. Собственно, если в синхронном режиме это именно флаг занятости загрузчика, то в асинхронном (тот, который serial I/O mode 2) — просто «мигалка» для индикации работы. Возможно вообще аппаратный сигнал готовности приемопередатчика, оттого и удивительная точность его поднятия.
В общем перепаиваем резистор на выводе SCLK с земли на VCC, припаиваем туда провод, цепляем все это к SPI и начинаем сначала…
Успех!
В синхронном режиме все почти так же, только не требуется никакой предварительной процедуры установки соединения, упрощается синхронизация и захват времени можно выполнить точнее. Если бы сразу выбрал этот режим сохранил бы время… Я снова не стал усложнять и измерять время именно от последнего бита, а запускал таймер перед началом передачи последнего байта ключа, т.е. включаем таймер и отправляем в передатчик KEY7 (на скриншоте выше, из логического анализатора, видно расстояние между курсорами. Это и есть отсчитываемый отрезок времени).
Этого оказалось более чем достаточно для успешной идентификации. Вот так выглядит перебор одного байта:
По оси абсцисс у нас количество дискрет счетчика, по оси ординат, соответственно, передаваемое значение ключа. Отношение сигнал/шум такое, что даже никаких фильтров не требуется, прямо как в школе на уроке информатики: находим максимум в массиве и переходим в подбору следующего байта. Первые 6 байт подбираются легко и быстро, чуть сложнее с последним: там просто наглый перебор не проходит, нужен сброс «жертвы» перед каждой попыткой. В итоге на каждую попытку уходит что-то около 400 мс, и перебор идет в худшем случае в районе полутора минут. Но это в худшем. После каждой попытки запрашиваем статус и, как только угадали, останавливаемся. Я вначале вообще просто быстренько ручками перебрал идентификатор, вставляя в excel вывод консоли и строя график, тем более, что это была разовая задача, но уже для статьи решил дописать автоматический перебор, ради красивой консольки…
Конечно, если бы разработчик затер загрузчик (заменил своим), так просто выкрутиться не получилось бы, но в автомобильной электронике частенько МК вообще не закрыты. В частности в блоке управления с другого отопителя, в котором был установлен V850 того же Renesas все решилось подпайкой пары проводов и копированием прошивки штатной утилитой. Это в мире ЭБУ двигателем целые криптовойны. Видимо не нравится производителям явление чип-тюнинга и других видов вмешательства… Хотя это как гонка брони и снаряда — железки круче, дороже, но победителя нет…
Техническое описание и состав телевизора MYSTERY MTV-3230LT2, тип панели и применяемые модули. Состав модулей.
Диагональ экрана: | 32" (81 см) |
Формат экрана: | 16:9 |
Разрешение: | 1366x768 |
Частота обновления: | 50 Гц |
LED подсветка: | есть, Edge LED |
Поддержка HD: | 720p HD |
Яркость: | 300 кд/м2 |
Контрастность: | 2000:1 |
Угол обзора: | 160° |
Время отклика пикселя: | 6.5 мс |
Прогрессивная развёртка: | есть |
Стандарты TV: | PAL, SECAM, NTSC |
Цифровой тюнер: | DVB-T MPEG4, DVB-T2, DVB-C |
Количество каналов: | 300 |
Телетекст: | есть |
Форматы DTV: | 480i, 480p, 576i, 576p, 720p, 1080i |
Звук стерео: | есть |
Мощность звука: | 16 Вт (2x8 Вт) |
Акустика: | два динамика |
Интерфейс: | AV, аудио x2, компонентный, VGA, HDMI x2, USB |
Разъём наушников: | есть |
Вес телевизора: | 5 кг |
MYSTERY LED
Model: MTV-3230LT2
Chassis/Version: MS308C1-ZC01-01 V2P04
Panel: V320BJ7-PE1
LED backlight: LED315D10-07(B) (30331510219)
LED driver (backlight): integrated into MainBoard
PWM LED driver: AP3064 // OB3350
MOSFET LED driver: MDD1951
Power Supply (PSU): integrated into MainBoard
PWM Power: OB2273 (PWM SOT23-6)
MOSFET Power: SMK0870F
MainBoard: MS308C1-ZC01-01
IC MainBoard: CPU: MSD308BEM, SPI Flash: GD25Q64, SOUND: NC/TPA1517
Тuner: TDA18275
Общие рекомендации по ремонту TV LCD LED
Ремонт телевизоров, как и других устройств, целесообразно начинать с внешнего осмотра. Часто по определённым внешним признакам может появиться возможность сделать определённые выводы о причинах выхода из строя тех или иных элементов схемы ещё до проведения необходимых измерений, что позволит определить дальнейший алгоритм поиска неисправности и локализации дефекта. Если обнаружились обуглившиеся резисторы, вспухшие электролитические или металлокерамические конденсаторы, кольцевые трещины в пайках выводов трансформаторов или греющихся элементов, целесообразно установить причины и последствия возникшей неисправности, а так же произвести проверку связанных элементов и узлов.
Если MYSTERY MTV-3230LT2 не включается, никакие контрольные лампочки на передней панели не горят и не моргают, следовательно, есть очень большая вероятность неисправности модуля питания . В некоторых случаях может быть неисправен только лишь стабилизатор питания процессора. При отсутствии вспухших конденсаторов фильтра вторичных выпрямителей, диагностику блока питания следует начинать с проверки предохранителя и, при его обрыве, необходимо в первую очередь проверить все силовые полупроводниковые элементы первичной цепи - диоды и транзисторы на вероятность лавинного или теплового пробоя.
Силовые ключи в импульсных источниках питания (ИИП) выходят из строя без причин крайне редко и, при их пробое, необходимо искать неисправность в цепях стабилизации, проверяя электролитические конденсаторы, полупроводниковые приборы и резисторы в первичной цепи. Причиной может быть неисправность микросхемы ШИМ-регулятора , которую проверить можно лишь заменой на новую или заведомо исправную.
Если у телевизора MYSTERY MTV-3230LT2 нет изображения, а звук есть, вероятна неисправность в цепях подсветки LED панели V320BJ7-PE1.
Для проверки исправности светодиодов, а так же контактных соединений в цепи линеек необходима разборка панели.
При попытке выявления обрыва в линейках светодиодов следует учитывать, что сделать это без разборки панели затруднительно. Необходим, например, источник тока, чтобы открыть PN-переходы, соединённые последовательно.
Если неисправна материнская плата MS308C1-ZC01-01, в первую очередь необходимо проверить все линейные стабилизаторы и преобразователи питания её чипов, а так же, при необходимости, обновить программное обеспечение (ПО). Иногда проверить исправность MB можно только заменой.
В случаях сложных ремонтов MB (SSB) и при наличии необходимых навыков и оборудования иногда может возникнуть необходимость замены её чипов SPI Flash: GD25Q64 и других возможных неисправных компонентов. Неисправности, связанные с применением технологий пайки BGA обычно легко диагностируются методом прогрева.
Владельцам телевизора MTV-3230LT2 рекомендуем для ремонта обращаться только к квалифицированным специалистам с опытом работы! Попытки самостоятельного ремонта без соответствующих знаний и навыков могут привести к серьёзным негативным последствиям!
Ограничить ток драйвера. MS308C1-ZC01-01. Общая информация
В драйвере может использоваться микросхема OB3350. Тогда убавить ток подсветки можно низкоомными резисторами PR55, PR56 в цепи светодиодов от контактов LED- разъёмов, например, удалив один из них, либо увеличив номинал.
Чтобы уменьшить ток подсветки в LED-драйверах с контроллером AP3064, следует увеличить общее сопротивление резисторов PR65, PR67, подключенных к выводу 2 ISET микросхемы AP3064 относительно корпуса. Расчетное значение тока согласно документации I[mA] = 1200/Rset[kOm].
Если микросхема LED-драйвера имеет маркировку OB3363QP - это неверная маркировка или чья-то ошибка. В реальности и по схеме должна стоять AP3064.
Документ PDF на драйвер AP3064 и схема на плату MS308C1-ZC01-01 прилагается.
Дополнительно по ремонту MainBoard
Внешний вид MainBoard MS308C1-ZC01-01 показан на рисунке ниже:
MS308C1-ZC01-01 может применяться в телевизорах:
Haier LE32B8000T (Panel LSC320AN02-S01), JVC LT-32M340 (Panel LK315T3HB87 ), MYSTERY MTV-3230LT2 (Panel V320BJ7-PE1), MYSTERY MTV-2426LT2 (Panel V236BJ1-P03), MYSTERY MTV-2231LT2 (Panel LC215DT4A).
Основные особенности устройства MYSTERY MTV-3230LT2:
Установлена матрица (LED-панель) V320BJ7-PE1.
Для питания светодиодов подсветки используется преобразователь, совмещённый с основной платой MS308C1-ZC01-01, управляется ШИМ-контроллером AP3064 // OB3350. В качестве силовых элементов LED-драйвера применяются ключи типа MDD1951.
Модуль питания совмещён с MainBoard и выполнен по схеме обратноходового преобразователя напряжения AC/DC c использованием микросхем OB2273 (PWM SOT23-6) и силовых ключей типа SMK0870F.
MainBoard - основная плата (материнская плата) представляет собой модуль MS308C1-ZC01-01, с применением микросхем CPU: MSD308BEM, SPI Flash: GD25Q64, SOUND: NC/TPA1517 и других.
Тюнер TDA18275 обеспечивает приём телевизионных программ и настройку на каналы.
Внимание мастерам!
Информация на этом сайте накапливается из записей ремонтников и участников форумов.
Будьте внимательны! Возможны опечатки или ошибки!
Ближайшие в таблице модели:
MYSTERY MTV-3230LW
Chassis(Version) V1R03 // V1P01
Panel: LK315T3HB87 // V320BJ7-PE1
T-CON: CPWBX5409TP (ILF80060)
LED driver (backlight): integrated into MainBoard
PWM LED driver: AP3064 // OB3350 // BIT33680
MOSFET LED driver: TO-252
Power Supply (PSU): integrated into MainBoard
MOSFET Power: TO-220
MainBoard: MS0V591-ZC01-01
IC Main: CPU: TSUMV59XUS, SPI Flash: 25Q32
MYSTERY MTV-3229LTA2
Chassis(Version) V5P06 MS63083-ZC01-01
Panel: V320BJ7-PE1
LED driver (backlight): integrated into PSU
PWM LED driver: AP3064M-G1
Power Supply (PSU): integrated into MainBoard
PWM Power: PWM SOT23-6
MainBoard: MS63083-ZC01-01 & IP4000-ZC01-01(A)
Тuner: LHD
IC Main: CPU: AML8726-MX, NAND Flash: MX30LF1G08AA-TI, SPI Flash: 25Q32
Читайте также: