Сообщений в теме: 64

[Crash-100]

проц. думаю как и по аналогии с Audi закрыт.

[paquete]

Привет, у меня есть радио 6512 CI 9 239 212 01, 325I 2010, он умер, пытаясь обновить.

Возможно ли перезаписать запись еще одной вспышки? Может кто-нибудь отправить мне вспышку, чтобы попробовать?

здесь, в моей стране, нет информации или радиостанций для замены.

очень благодарен

[paquete]

это радио  5f1574c2-752d-4885-a051-5e1837ad0dd5.jpg   85,37К   103 Количество загрузок:

[remont89]

 

NEC in CIC = Locked...

 

I can send you a programmed MCU,just for what you need?

 

E or F series?

hi ,  where is your location ?    how much is nec for E series ?

 

скажите действительно есть готовые процы nec cic?

[wasja2]

Читается -пишется через UART , вот даташит на япончиском... ставь шрифты , переводчик и огонь...

А почему на японском? Разве нельзя найти на английском?  

[wasja2]

 

Читается -пишется через UART , вот даташит на япончиском... ставь шрифты , переводчик и огонь...

Это издивательство конечно))

 

@jama m5   @Lehrling

Вот тот же Application Notes но на инглиш

 REN_r01an0930ej0200_v850essx3_APN_20120110.pdf   1,6МБ   161 Количество загрузок:

Я его пока не читал но думаю там буду описаны действия как считать V850...

Также нашёл на сайте производителя чипа Flash Protection and Security Setting Guide попробую разузнать на сколько серьёзная защита. Возможно можно снять защиту Ренезовским софтом и программером. Они тогда ещё сильно не заморачивались с защитой...

 

Jama M5; чем завершилось востановление V850 D70F3366? Вы смогли его прочитать или он всётаки заблокирован как и писали тут ранее?

Я в роцессе анализа старичка CIC, хотелось бы прочитать V850...

Прикрепленные файлы

•  REN_r01an0930ej0200_v850essx3_APN_20120110.pdf   1,6МБ   161 Количество загрузок:

[wasja2]

Всем привет, Товарищи я убил второй день и ночь на попытки чтения v850 через UART и изучения датащитов Renesas / NEC. Думал сделаю доброе дело считаю дамп и на форум загружу. Не отвечает он хоть ты тресни. Вот думаю я что-то я не так делаю или мой чип убитый (на нём есть пятно как-будто перегревался).

 

Но всё же кто его по UART уже читал? Отзовитесь пожалуйста!   Что я делаю не правильно?

 

Использую Renesas E1 Emulator и оффициальную программу Flash Programmer V2.05

Подсоединил сигналы: Vdd, FLMD0, FLMD1, Rx, Tx, RESET, GND

Пробывал считывать элементарные параметры / конфигурацию чипа на разных скоростях:

• Signature Read (Information about the microcontroller.)
• Get Flash options (General term for MCU operations such as security settings.)

В инструкции написано что если стоит защита Disable Read то чип читаться не будет, но GUNhead писал что у него возможно имеются дампы... значит как-то возможно... вопрос КАК? ))

 

По поводу защиты теоретически если стереть весь чип  (при условии что команда ERASE_CHIP не заблокирована) то все защитные настройки слетят но тогда и программа сотрётся.

 

заранее благодарен!

[wasja2]

     

AAAAA!!!!  Получилось! Просто без Эмуляторы напрямую с помощью USB/UART адаптера. Без Е1.

 

Официально заявляю что в CIC включены следующие защиты:

  Disable Chip Erase :                                               Invalid  => защита Стирания Чипа выключена значит можно стереть весь чип и будет пустышка без защиты но и без программы

  Disable Block Erase :                                              Invalid  => защита Стирания Блока выключена ! Это интересно!    Значит можно стерать и блок за блоком, думаю и Защиту чтения можно будет стереть выборочно! ))

  Disable Program :                                                   Invalid => защита Програмирования выключена значит можно програмировать дампы

  Disable Read :                                                        Valid    => защита Чтения включена! поэтаму новерное мучался с чтением через RFP через Е1 Эмулятор!

  Disable Boot block cluster reprogramming :           Invalid => защита Програмирования Boot Loader-а выключена значит можно и там ковырять кому надо. ))

  End of Boot block number :                                    003

  

 

------ Start(Signature Read) ------

Device name: UPD70F3366

Device data:  10 7F 04 EC 7F

Device end addr: 0009FFFF

Security Flag: 00F7

Boot Block Number: 003

Firmware Version: 1.11

Signature Read PASS

------ End(Signature Read) ------

 

Пойду спать думаю завтра будет дамп!    А нет завтра санта придёт!

[wasja2]

Всем привет, пока не было время, у нас 24,25 и 26го всё по гостям каждый день езжу. Из-за стола к столу... рождество. Кстати и Вас с наступающим! 

 

Вообще сложность заключается в том, что считывание памяти с чипа заблокировано настройками.

И для того чтобы считать программу нужно сначала снять этот блок... У меня есть пару идей, например записать "поправленный" блок памяти отвечающий за защиту, но это риск ибо если затру / перепишу не тот блок то без дампа потом не оживить этот чип. Думаю на днях попробую. Но для начало документацию нужно "прошерстить".

 

Уже проанализировал протокол общения по UART с чипом, (он кстати описан в документации) там есть пару интересных команд.

 

Хороших Вам праздников!

[Busyman]

Могу подарить на опыты плату
Пересылка за ваш счет ...

[wasja2]

Это было бы здорово, так как я хочу сделать кое какой эксперимент и немного боюсь что будет первый блин комом и я закосячу свой чип.

К тамуже на доннорской плате я смогу смело стереть весь чип сбросив настройки защиты чтения и потом когда он мне откроется опытным путём вычислить точный адрес Блока с Security настройками, кода доступа для Debug мода и тд. Я напишу Вам в личку. )

[jockyw2001]

Hi wasja2 cool that you managed to figure this out. I wanted to do exactly the same and my goal is to reflash the v850 of a bmw f-series with the contents of an e-series. At this moment I have 4 bmw cis units on my bench
I am willing to sacrifice 2 units for this purpose and I can connect wires to do a test. I will post a photo of the pins that I found when I am back at my computer.

I have decoded some gateway firmware modules of bmw e-series so we may be able to flash this. It consists at least of a bolo (64kb) and I think the app part is also available.

Regards,
JockyW

[jockyw2001]

Извините, здесь снова на русском:

 

Привет wasja2 круто, что тебе удалось в этом разобраться. Я хотел сделать то же самое и моя цель - перепрошить v850 bmw f-серии содержимым e-серии. На данный момент у меня на скамейке 4 бмв цис

Я готов пожертвовать для этого 2 модуля и могу подключить провода, чтобы провести тест. Я опубликую фотографию контактов, которые я нашел, когда вернусь к своему компьютеру.

 

Я декодировал некоторые модули прошивки шлюза BMW e-series, так что мы сможем прошить их. Он состоит как минимум из боло (64 КБ), и я думаю, что часть приложения также доступна.

 

С Уважением,

JockyW

[jockyw2001]

привет wasja2, это распиновка правильная для bmw cic? Вы можете подтвердить Vdd 3.30V?

Прикрепленные файлы

•  bmw-cic-v850-uart-pinout.jpg   128,17К   189 Количество загрузок:

[jockyw2001]

I think the v850 mcu can easily be read by using the debugger ("jtag"). This is what is written in the manual:

 

31.6 ROM Security Function
31.6.1 Security ID
The flash memory versions of the V850ES/SJ3 perform authentication using a 10-byte ID code to prevent the
contents of the flash memory from being read by an unauthorized person during on-chip debugging by the on-chip
debug emulator.
Set the ID code in the 10-byte on-chip flash memory area from 0000070H to 0000079H to allow the debugger
perform ID authentication.
If the IDs match, the security is released and reading flash memory and using the on-chip debug emulator are
enabled.
• Set the 10-byte ID code to 0000070H to 0000079H.
• Bit 7 of 0000079H is the on-chip debug emulator enable flag (0: Disable, 1: Enable).
• When the on-chip debug emulator is started, the debugger requests ID input. When the ID code input on the
debugger and the ID code set in 0000070H to 0000079H match, the debugger starts.
• Debugging cannot be performed if the on-chip debug emulator enable flag is 0, even if the ID codes match.

 

From one of the v850 bolo dumps (for audi !) the password is:

42 65 63 6B 65 72 45 53 2D D0

=>  BeckerES-?

[jockyw2001]

Привет, ребята,

 

 

 

Я добавил точки подключения jtag

 

Завтра выложу расшифрованный бинарник psdaten для E-серии

 

 

 

С Уважением,

 

JockyW

Прикрепленные файлы

•  bmw-cic-v850-jtag-pinout.jpg   107,12К   155 Количество загрузок:

[jockyw2001]

Привет, я изо всех сил пытаюсь найти правильную распиновку uart на плате bmw cic. В настоящее время я подключил vdd (только вывод 9), gnd, tx, rx, reset, flmd0, flmd1. Я подаю vdd 3.30V от внешнего источника питания и не подключаю 12В к cic. Программатор flash v2.05 не может подключиться

Вы подаете на ЦИК 12В?

С уважением, JockyW

Hi, I am struggling to find the correct uart pinout on the bmw cic board. I currently connected vdd (only pin 9), gnd, tx, rx, reset, flmd0, flmd1. I am providing vdd 3.30V from an external power supply and do not connect 12V power to the cic. The flash programmer v2.05 can't connect

Do you provide 12V to the cic?

Best, JockyW

[GUNhed]

UART GND - A16
UART RXD - B09
UART TXD - B10

I did not connect the power supply 3,3, I only connected 12 V to cic, then I can save the cpu but not read

китайское предупреждение за английский язык, и за цитаты с других форумов.

[jockyw2001]

Подал на блок 12В и успел пару раз прочитать подпись устройства

Однако мне не удается сохранить соединение после одной команды. Вероятно, это связано с синхронизацией сигнала сброса, который я сейчас переключаю вручную.

I supplied 12V to the unit and managed a couple of times to read the device signature

However I don't manage to keep the connection after one command. It is probably related to the timing of the reset signal which I currently switch manually

[jockyw2001]

UART GND - A16
UART RXD - B09
UART TXD - B10
 

Спасибо GUNhed,

 

Я не могу найти контакты A16, B09, B10 на моем CIC. Я стар и, наверное, слепну

 

Где я могу найти эти булавки? Благодаря!

 

С Уважением,

JockyW