Pace V5471 – Teardown

Oct 18, 2013   #hardware  #pace  #teardown  #v5471 

Teardown do PACE V5471.

Para não ficar muito trabalhoso e consumir muito tempo (tempo?!), vou passar a colocar as fotos deste teardown e dos seguintes no Picasa. Aqui, deixarei poucas fotos com a descrição dos componentes. Veja toda as fotos passo-a-passo:

Este dev_ _é fabricado pela inglesa PACE sob encomenda para a GVT. Uma análise preliminar do software mostra que o V5471 utiliza tecnologia da antiga BeWAN, companhia francesa que foi adquirida pela PACE em 2010 (press release).

Alimentação/power supply – conversores buck para diversas tensões necessárias pelo modem;

CopperGate CG3211QIR – HomePNA 3.1 Digital MAC & PHY;

CopperGate CG3213QIR – HomePNA 3.1 Analog Front-End (AFE);

– Ponte HPNA ↔ Ethernet;

2 x Combo Le89116 (SLAC) + Le89810 (SLIC), um para cada interface FSX;

BCM53124 – Broadcom 7-Port Integrated GbE Energy-Efficient Ethernet Switch + conectores RJ45 e transformadores, formando o switch ethernet;

BCM6302 – Broadcom VDSL Line Driver

TC58NVG0S3ETA10 – Toshiba 3.3V 1Gbit (128 MB x 8 bit) NAND Flash

Interface JTAG MIPS EJTAG 2.6 (aparentemente desativada ou com pinagem não padrão, pois não consegui utilizá-la ainda);

Interface serial. Pinagem:

Debaixo das blindagens metálicas e do dissipador de calor:

NT5CB64M16DP-CF – Nanya 1 Gbit DDR3 SDRAM (64 MB x 16 bit)

SiGe 2605L – Skyworks 2.4 GHz High Power Wireless LAN Power Amplifier

BCM63168VFKEBG – Broadcom BCM63168 single-chip multi-mode ADSL2+/VDSL2 Integrated Access Device (IAD) SoC – 400 MHz Dual-core MIPS CPU:

E na parte de trás da placa principal, temos apenas:

  •  MXIC 25L2006E – Macronix 2 Mbit SPI Flash

Apesar da cor dos conectores USB, eles não são 3.0!

Boot log extraída da porta serial:

  <td>
    <div class="text codecolorer">
      HELO<br /> CPUI<br /> L1CI<br /> HELO<br /> CPUI<br /> L1CI<br /> DRAM<br /> ----<br /> PHYS<br /> STRF<br /> 400H<br /> PHYE<br /> DDR3<br /> SIZ4<br /> SIZ3<br /> SIZ2<br /> DINT<br /> USYN<br /> LSYN<br /> MFAS<br /> LMBE<br /> RACE<br /> PASS<br /> ----<br /> ZBSS<br /> CODE<br /> DATA<br /> L12F<br /> M<br /> CPU speed = 400 MHz<br /> Detected NAND Flash : Toshiba TC58NVG0S3ETA00 , size=128MB, block=128KB, page=2048B, spare=64, bad block offsets = (0,1)<br /> Found bad block table in Flash...<br /> External switch id = 53125<br /> <br /> _<br /> | |__   _____      ____ _ _ __<br /> | '_ \ / _ \ \ /\ / / _` | '_ \<br /> | |_) |  __/\ V  V / (_| | | | |<br /> |_.__/ \___| \_/\_/ \__,_|_| |_|<br /> <br /> Portions Copyright (c) 2005-2009 bewan systems<br /> www.bewan.com<br /> <br /> Parameters:<br /> Product         : B14103<br /> Product family  : B14100<br /> Flash size      : 8000000<br /> DRAM size       : 8000000<br /> LAN MAC address : 00:0c:c3:xx:xx:xx<br /> WAN MAC address : 00:0c:c3:xx:xx:xx<br /> Dual bank boot  : yes<br /> Reset           : no<br /> Pairing         : no<br /> Serial number   : xxxxxxxxxxxxxx<br /> Manufacturing ID: xxxxxxxxxxxxxxxx<br /> Agile PCA       :<br /> WEP key         : xxxxxxxxxxxxx<br /> WPA key         : xxxxxxxxxx<br /> Loader version  : 79623<br /> Capabilities    : 80000000<br /> <br /> Found valid bootable partition 0:<br /> Copyright (c) 2006-2010 BeWAN Systems<br /> V5471 iBoxNG Testing<br /> B14100<br /> 2012-11-16-09:52:25<br /> B14100-5471-Testing-77902-test.img<br /> Root FS in RAM<br /> <br /> Found valid bootable partition 1:<br /> Copyright (c) 2006-2010 BeWAN Systems<br /> V5471 iBoxNG GVT<br /> B14103<br /> 2012-12-05-17:26:00<br /> B14103-GVT-RC-79623.img<br /> Root FS in RAM<br /> <br /> Booting from partition 1 in flash.<br /> <br /> Saving linux command line before uncompression<br /> <br /> Loading linux kernel image<br /> <br /> Load address = 80010000<br /> Uncompressing Linux.............................................<br /> Flushing cache...<br /> done, booting the kernel.<br /> start addr = 80483f30
    </div>
  </td>
</tr>

O boot acontece na ordem: Broadcom Bootloader > BeWAN Bootloader > Linux.

Infelizmente, este modem é bem “fechado”. Depois da descompressão do kernel na memória, a porta serial é suprimida e nenhum log é emitido. Não há comandos para interromper o bootloader ou algo assim, este log é o máximo que pode ser extraído até agora. A interface JTAG ou está desativada ou com pinagem não padrão, e tentativas iniciais foram sem sucesso.

Ligá-lo com o botão de reset pressionado (método conhecido para recuperação no Sagemcom 2764GV), coloca o bootloader em um modo “multicast” por um tempo. Não consegui identificar nenhuma atividade suspeita na interface de rede que poderia sugerir um método de enviar uma imagem de firmware.

Caso não consiga nada de novo, farei um dump da NAND em um leitor externo.