tripleoxygen/blog.md

Teardown do PACE V5471.

Para não ficar muito trabalhoso e consumir muito tempo (tempo?!), vou passar a colocar as fotos deste teardown e dos seguintes no Picasa. Aqui, deixarei poucas fotos com a descrição dos componentes. Veja toda as fotos passo-a-passo:

Este dev_ _é fabricado pela inglesa PACE sob encomenda para a GVT. Uma análise preliminar do software mostra que o V5471 utiliza tecnologia da antiga BeWAN, companhia francesa que foi adquirida pela PACE em 2010 (press release).

• Alimentação/power supply – conversores buck para diversas tensões necessárias pelo modem
• CopperGate CG3211QIR – HomePNA 3.1 Digital MAC & PHY
• CopperGate CG3213QIR – HomePNA 3.1 Analog Front-End (AFE)
• Ponte HPNA - Ethernet
• 2 x Combo Le89116 (SLAC) + Le89810 (SLIC), um para cada interface FSX;
• BCM53124 – Broadcom 7-Port Integrated GbE Energy-Efficient Ethernet Switch + conectores RJ45 e transformadores, formando o switch ethernet;
• BCM6302 – Broadcom VDSL Line Driver
• TC58NVG0S3ETA10 – Toshiba 3.3V 1Gbit (128 MB x 8 bit) NAND Flash
• Interface JTAG MIPS EJTAG 2.6 (aparentemente desativada ou com pinagem não padrão, pois não consegui utilizá-la ainda);

E na parte de trás da placa principal, temos apenas:

• MXIC 25L2006E – Macronix 2 Mbit SPI Flash

Apesar da cor dos conectores USB, eles não são 3.0!

Boot log extraída da porta serial:

• Interface serial. Pinagem: Debaixo das blindagens metálicas e do dissipador de calor:
• NT5CB64M16DP-CF – Nanya 1 Gbit DDR3 SDRAM (64 MB x 16 bit)
• SiGe 2605L – Skyworks 2.4 GHz High Power Wireless LAN Power Amplifier
• BCM63168VFKEBG – Broadcom BCM63168 single-chip multi-mode ADSL2+/VDSL2 Integrated Access Device (IAD) SoC – 400 MHz Dual-core MIPS CPU:

HELO
CPUI
L1CI
HELO
CPUI
L1CI
DRAM
----
PHYS
STRF
400H
PHYE
DDR3
SIZ4
SIZ3
SIZ2
DINT
USYN
LSYN
MFAS
LMBE
RACE
PASS
----
ZBSS
CODE
DATA
L12F
M
CPU speed = 400 MHz
Detected NAND Flash : Toshiba TC58NVG0S3ETA00 , size=128MB, block=128KB, page=2048B, spare=64, bad block offsets = (0,1)
Found bad block table in Flash...
External switch id = 53125

_
| |__ _____ ____ _ _ __
| '_ \ / _ \ \ /\ / / _` | '_ \
| |_) | __/\ V V / (_| | | | |
|_.__/ \___| \_/\_/ \__,_|_| |_|

Portions Copyright (c) 2005-2009 bewan systems
www.bewan.com

Parameters:
Product : B14103
Product family : B14100
Flash size : 8000000
DRAM size : 8000000
LAN MAC address : 00:0c:c3:xx:xx:xx
WAN MAC address : 00:0c:c3:xx:xx:xx
Dual bank boot : yes
Reset : no
Pairing : no
Serial number : xxxxxxxxxxxxxx
Manufacturing ID: xxxxxxxxxxxxxxxx
Agile PCA :
WEP key : xxxxxxxxxxxxx
WPA key : xxxxxxxxxx
Loader version : 79623
Capabilities : 80000000

Found valid bootable partition 0:
Copyright (c) 2006-2010 BeWAN Systems
V5471 iBoxNG Testing
B14100
2012-11-16-09:52:25
B14100-5471-Testing-77902-test.img
Root FS in RAM

Found valid bootable partition 1:
Copyright (c) 2006-2010 BeWAN Systems
V5471 iBoxNG GVT
B14103
2012-12-05-17:26:00
B14103-GVT-RC-79623.img
Root FS in RAM

Booting from partition 1 in flash.

Saving linux command line before uncompression

Loading linux kernel image

Load address = 80010000
Uncompressing Linux.............................................
Flushing cache...
done, booting the kernel.
start addr = 80483f30

O boot acontece na ordem: Broadcom Bootloader > BeWAN Bootloader > Linux.

Infelizmente, este modem é bem “fechado”. Depois da descompressão do kernel na memória, a porta serial é suprimida e nenhum log é emitido. Não há comandos para interromper o bootloader ou algo assim, este log é o máximo que pode ser extraído até agora. A interface JTAG ou está desativada ou com pinagem não padrão, e tentativas iniciais foram sem sucesso.

Ligá-lo com o botão de reset pressionado (método conhecido para recuperação no Sagemcom 2764GV), coloca o bootloader em um modo “multicast” por um tempo. Não consegui identificar nenhuma atividade suspeita na interface de rede que poderia sugerir um método de enviar uma imagem de firmware.

Caso não consiga nada de novo, farei um dump da NAND em um leitor externo.