• Hola Invitado, nos gustaría recordarte que mantener este sitio en línea conlleva unos gastos mensuales y anuales.

    Sin vuestra ayuda mensual no es posible seguir en pie, no hay mucho más que contar.

    Si quieres colaborar para que sea posible por lo menos seguir en pie como comunidad, puedes hacerlo mediante alguno de los métodos disponibles en esta página: https://www.lonasdigital.com/donaciones/

    Recuerda que si necesitas invitación para acceder al foro, puedes solicitarla en nuestro Grupo de Telegram


Estudio de extracción RSA Y BOXKEY en Iplus en propiedad.

Interesante.. ahora necesito hacer el dump de la nand para poder luego aplicarlo...

Nos va a tocar trastear un poco...
Voy a ver si doy con un modo de acceder a algun modo de servicio o similar...
 
Hola,Yo no dispongo de aparato, pero si poneis los modelos que teneis y la informacion de CPU podria ir buscando algo de documentacion sobre datasheets.Saludos.
 
Gracias a San Google



Código:
describ full to 016c blok Nagra décryptage....
 
 
nécessaire key universelle IDEA = XX1924314051647990A9XXXX
IRD CAS ID hexadécimal du bloc 016c = IRDIRDIR
 
This créerte unique IDEA STB Recepteur for IDEA algorithme  IRDIRDIRXX1924314051647990A9XXXX
 
Key to the idea of block used notion Crypter ECB mode. 
block necessary 
encrypt each block STB ideakey 
 
 
bloc01= 0000000000000000 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc02= 0000000000000001 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc03= 0000000000000002 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc04= 0000000000000003 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc05= 0000000000000004 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc06= 0000000000000005 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc07= 0000000000000006 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc08= 0000000000000007 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc09= 0000000000000008 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc10= 0000000000000009 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc11= 000000000000000A idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc12= 000000000000000B idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc13= 000000000000000C idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc14= 000000000000000D idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc15= 000000000000000E idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc16= 000000000000000F idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc17= 0000000000000010 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc18= 0000000000000011 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc19= 0000000000000012 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc20= 0000000000000013 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc21= 0000000000000014 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc22= 0000000000000015 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc23= 0000000000000016 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc24= 0000000000000017 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc25= 0000000000000018 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc26= 0000000000000019 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc27= 000000000000001A idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc28= 000000000000001B idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc29= 000000000000001C idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc30= 000000000000001D idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc31= 000000000000001E idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc32= 000000000000001F idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc33= 0000000000000020 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc34= 0000000000000021 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc35= 0000000000000022 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc36= 0000000000000023 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc37= 0000000000000024 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc38= 0000000000000025 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc39= 0000000000000026 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc40= 0000000000000027 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc41= 0000000000000028 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc42= 0000000000000029 idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc43= 000000000000002A idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc44= 000000000000002B idea crypter with IRDIRDIRXX1924314051647990A9XXXX
bloc45= 000000000000002C idea crypter with IRDIRDIRXX1924314051647990A9XXXX
 
 
résultat crypted
 
bloc01crypt+bloc02crypt+bloc03crypt+bloc04crypt+bloc05crypt+bloc06crypt+bloc07crypt+bloc08crypt+bloc09crypt+bloc0Acrypt+bloc0Bcrypt+bloc0Ccrypt+bloc0Dcrypt+bloc0Ecrypt+bloc0Fcrypt
 
+bloc10crypt+bloc11crypt+bloc12crypt+bloc13crypt+bloc14crypt+bloc15crypt+bloc16crypt+bloc17crypt+bloc18crypt+bloc19crypt+bloc1Acrypt+bloc1Bcrypt+bloc1Ccrypt+bloc1Dcrypt+bloc1Ecrypt
 
+bloc1Fcrypt+bloc20crypt+bloc21crypt+bloc22crypt+bloc23crypt+bloc24crypt+bloc25crypt+bloc26crypt+bloc27crypt+bloc28crypt+bloc29crypt+bloc2Acrypt+bloc2Bcrypt+bloc2Ccrypt
 
 
after result crypt need get crypt block 016c and XOR width résultat crypted
016c
IRDIRDIR
0303
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
 
 
 
bloc01crypt+bloc02crypt+bloc03crypt+bloc04crypt+bloc05crypt+bloc06crypt+bloc07crypt+bloc08crypt+bloc09crypt+bloc0Acrypt+bloc0Bcrypt+bloc0Ccrypt+bloc0Dcrypt+bloc0Ecrypt+bloc0Fcrypt
 
+bloc10crypt+bloc11crypt+bloc12crypt+bloc13crypt+bloc14crypt+bloc15crypt+bloc16crypt+bloc17crypt+bloc18crypt+bloc19crypt+bloc1Acrypt+bloc1Bcrypt+bloc1Ccrypt+bloc1Dcrypt+bloc1Ecrypt
 
+bloc1Fcrypt+bloc20crypt+bloc21crypt+bloc22crypt+bloc23crypt+bloc24crypt+bloc25crypt+bloc26crypt+bloc27crypt+bloc28crypt+bloc29crypt+bloc2Acrypt+bloc2Bcrypt+bloc2Ccrypt
 
XOR
 
XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXX+XXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXX+XXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXX+XXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX+XXXXXXXXXXXXXXXX
 
 
résultat
 
2008 CCCCCCCCCCCCCCCC 3008 EEEEEEEEEEEEEEEE 3140 AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA 3310 BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB 3460 DDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD 3588 FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF D008 IIIIIIIIIIIIIIII E0020001xxxxxxxx
 
 
3140 = AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA RSA
 
 
3008 = EEEEEEEEEEEEEEEE XOR D008 IIIIIIIIIIIIIIII = Boxkey résultat

Saludos


Eso mas esto igual sirve de algo:

Código:
Kudelski N3 bits and pieces, plus thoughts on key / rsa extraction from flash.
N3 Notes mostly from forum posts by TheCoder


These are notes for future reference more than anything else, so please no excited emails about how its wrong, or right, or can I h*ck your box.


–
There are three different pairing methods used N3 boxes presently. These are DT06, DT08 and Secondary key.


The DT06 method transfers a compressed form of an rsa pq keyset from which the CAM public/private rsa keyset and its associated modulus can be derived.


The DT08 method transfers the cam modulus along with the IRD number of the married box. The public rsa key is not transferred but it is implied that the box already knows this value.


The Secondary key method does not involve a transfer. It imples that the box already knows the cards matching CAM modulus and rsa public key value.


Various boxes, depending on make/model, may use any of the above pre-pair key transfer methods but it could be useful to know which box uses which method.


Instructions:
1 Stick your N2/N3 card in your card reader
2 Run NagraEdit – DO NOT ATTEMPT TO READ YOUR CARD !!!
3 Select the Comm Tab. This should give you an upper and lower text pane
4 Cut/Paste the scriptt below into the top pane
5 Press the “Send D2C” button/icon
6 Results should appear in bottom pane
7 Interpret your results based on info below.
Script – Read DT06/DT08
Code:


rs
tx 21 C1 01 FE 1F
rx
tx 21 00 08 A0 CA 00 00 02 12 00 06 55
dl 02 00
rx
dl 02 00
tx 21 00 09 A0 CA 00 00 03 22 01 00 1C 7E
dl 02 00
rx
dl 02 00
mg *
mg *** DT06 info ***
tx 21 00 09 A0 CA 00 00 03 22 01 06 13 **
dl 02 00
rx
mg DT06 response1
dl 02 00
tx 21 40 09 A0 CA 00 00 03 22 01 86 13 **
dl 02 00
rx
dl 02 00
mg DT06 response2
mg *** End DT06 info ***
mg *
mg *** DT08 info ***
tx 21 40 09 A0 CA 00 00 03 22 01 08 13 **
dl 02 00
rx
mg DT08 response1
dl 02 00
tx 21 00 09 A0 CA 00 00 03 22 01 C8 55 **
dl 02 00
rx
dl 02 00
mg DT08 response2
tx 21 40 09 A0 CA 00 00 03 22 01 88 55 **
dl 02 00
rx
mg DT08 response3
dl 02 00
mg *** End DT08 info ***
*******
Just to clarify :
The important bits your looking at are the DT06/DT08 responses (the bits that start with Rx: )
ie RX: 12 00 15 A2 11 08 E0 00 00 00 5E 01 20 00 00 00
00 00 00 00 00 00 90 00 B3
RX: 12 40 15 A2 11 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 90 00 64
RX: 12 00 15 A2 11 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 90 00 24
and
RX: 12 40 57 A2 53 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 90 00 64


If the responses vary significantly from the above, with the 00′s replaced with some varying data, then its likely your card had the specified tier and is probably using the corresponding pairing method.


If the DT06 response contains lots of 00′s then its NOT DT06 pairing
If the DT08 response contains lots of 00′s then its NOT DT08 pairing
If its not DT06 or DT08 then its probably secondary key.


For non DT08 cards (mostly the newer boxes) each box has a unique cam_n already built into its firmware – this can only be extracted from the actual box itself.


About the Algorithm,


N2 encrytion was based on the following algorithm ->
decrypted message = ( (IDEA( ( (EncryptedMsg ^ 3)Mod N1) ,IdeaKey) ) ^3) Mod N1
Thats 2 distinct algorithms. An RSA algorithm (performed twice) and an IDEA algorithm.
The key for the RSA algorithm is something like -
RSA EMM-G=15A811B2065DF39CD48C9C958E7B406345295B09D0E9A18A 9B92C5FD7761CAAFAB830880F1F06B4E4477F157EA10D0AFC3 FDDB1ED2E7E83E89F03FF81237047DB76F79D6A2CFD75A7255 D72E52E7F47B96C2DFBDEBFC80CE927F6AD351FDF0BF8DA13F F62295BFBAF29035A230136D0B4AA99D38DD8B0465F2C709FC 8818173C
Which, as you can see, is a 128 byte (1024 bit) number. This is the main encryption key for EMM decryption.
The IDEA algorithm, which acts as an inner layer to the RSA has a standard 16 byte (128 bit) IDEA key.
There is no algorithm in N2 (or N3) that only uses an 8 byte (64 bit) key although some providers have opted to use 3DES rather than IDEA as an inner layer. This uses three separate 8 bye (64 bit – only 56 bits used) keys to form an amalgam 168 bit DES algorithm.


If Using DT08 (0a) on the card :
The Dt08 (0a datatype on card) is created by the provider and sent to the card at sub time.
The dt08 contains the Cam N public rsa key along with ird/boxkey.
The dt08 is IDEA encrypted with the Idea Key made from ird/boxkey/inverted ird.
The dt08 is RSA encrypted using Ird N (public rsa key) and Ird D (private key and uknown by anyone but provider).
Ird N = N1 xored N2
Ird N1= A4E9B585932F90282FD70C908176E8605E6B2CE629335A0FC1 5B31DAB0BFC6FEEB88CFC69649994CD3FE039C9965C620C4D5 828E9153998EE4AE0E8C25644DF3 xor
Ird N1= 237280AAB36BE4B21FC71FBF08218E532A545E744D7B007FF8 69BA426831C4AC653F3825ADE9358FCD1F0239EC447CBC2765 CC0AEBE437AF2270FC461C2FA042
Ird N = 879B352F2044749A3010132F89576633743F729264485A7039 328B98D88E02528EB7F7E33BA0ACC31EE101A57521BA9CE3B0 4E847AB7AE21C6DEF2CA394BEDB1
The Ird N1,N2,Ideakey exist in the tsop.
Ird E = 3
Ird D = UKNOWN, this is the reason you can’t create your own dt08 without changing the N1/N2 on the tsop, you must know Ird D.


DT08 (0A) = IdeaEncrypt(CamN/Ird#/Boxkey/Idea Signature,Ird_Ideakey) ^ D mod Ird N.


Ird requests DT08.
Card sends back the dt08 (0a)
Ird decrypts the dt08.
Decrypted dt08 = IdeaDecrypt(DT08,Ird_IdeaKey) ^ 3 mod Ird N.
It checks the ird # and boxkeys in the Decrypted 08 if they match what is on ird,
it stores the Cam N in the decrypted 08 in ird memmory.


If Using Secondary Key (SK) on the Ird.
Ird checks for SK exists on the ird, if it does, the dt08 will never be requested/ignored from the card.
Ird validates the SK with idea signature in the SK (using IIIIIIII01924314051647990A9C4E1 where I = irdnumber).
Ird takes the Cam N in the SK and puts it in ird memmory
Note : Cam N is not even encrypted in the sk, very weak method compared to dt08.


Later, establish session key (0C datatype on the card):
Ird requests 2a data from card.
Random 2a is sent from card to ird.
Ird performs some Idea signing (leave it to you to look up 2a/2b routines)
Ird comes up with session key from the 2a message sent from Cam.
Ird encrypts the session key with rsa.
Encrypted 2B = (2B data with 16 byte session idea key) ^ 3 mod Cam N.
Sends encrypted data back to card in 2b message.
Cam decrypts 2B with Cam N, Cam D. Decrypted 2B = (Encrypted 2B) ^ Cam D mod Cam N.
If valid, store session key in ram and on card for later use.


This all happens as ird boots.
When you select a channel.
Ird sends Cmd 07 ECM message with control words encrypted.
Cam decrypts the control words rencrypts them with Idea encryption using the session key established above.
The ird then requests the control words.
The Cam sends them back in the 1C response.
The ird decrypts the control words with with Idea encryption using the session key established above.
Sends the control words to the mpeg decoder.
8 seconds of video.
Repeat 07/1C process over and over.


——–


and pay special attention on CMD$2A ??


it should reply the CAMID serial number + 64 bytes random key generated and then shortly after encrypted with the CAM(AKA Conditional Access Module or SmartCard) RSA primary 96 bytes from the card… the so famous RSA modulus keys 96bytes at eeprom $8xxx on the ROM110 days.. From the card (this cmd is also the first step of the SessionKey negotiation)


shortly after the receiver receives this card reply.. and will decrypt it using the Secondary Key which is also 96bytes, this key is build up by using the following information stored in the receivers flash..


IR IR IR IR ZZ ZZ ZZ ZZ ZZ ZZ ZZ ZZ 00 03 F1 F1
F1 F1 F1 F1 F1 F1 SK SK SK SK SK SK SK SK SK SK
SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK
SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK
SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK
SK SK SK SK SK SK F2 F2 F2 F2 F2 F2 F2 F2 CR CR


total 96 bytes..


IR = Receiver serial number
XX = Unimportant
EE = RSA public exponent for STB
F1 = SK signature 1 used to calculate the box key
F2 = SK signature 2 used to calculate the box key
SK = RSA public modulus N
CR = CRC Checksum
BB = BoxKey result from xoring F1 with F2 keys stored in the flash firmware from the receiver


once we decrypt the cmd2A we extract from inside the original 64byte random key generated in the card, then we will apply the IDEA encryption algo on the first 32bytes from the 64 byte random key to hash out the session key.


So this first 32 bytes are extracted from the 64byte random key and will be encryted using the IDEA SIGNATURE key… this key will be generated by the following information


IdeaKey generation
BB BB BB BB BB BB BB BB + CC CC CC CC + CA MI DC AM


BBBBBBBBBBBBBBBB = Boxkey result from F1 xor F2
CCCCCCCC = IRD number from receiver stored in Flash firmware
CA MI DC AM = CAM ID or Smart Card serial number converted in HEX, which can also be extracted by simply sending INS CMD$12 to the card..


so the IDEA signature key for encrypting the first 32bytes extracted from the 64 random seek key is


BBBBBBBBBBBBBBBBCCCCCAMIDCAM


once applied the IDEA encryption we will have the result 16 byte sessionkey.. which will be stored in the receiver flash for a few hours… to be more precise around 5 hours..


Now going back to the calculation done before, the receiver decrypted the cmd$2Aencrypted by the card with the RSA primary 96 stored in the card.
once decrypted it simply just extracted the first 32bytes of the 64 byte seed key generated by the card. this 32 bytes were used for calculation of the 16byte sessionkey..


but, before the 32byte keys was taken for the idea signature encryption.. the receiver.. re-encrypted the 64byte random key using the SECONDARY KEY RSA 96 stored in the receiver flash, which i just stated above how to get this key…
and will send it back to the card on cmd$2B


the card will receive the cmd$2b and will decrypt it using the PRIMARY RSA modulus key 96.
and will extract just the first 32bytes.. and by using the BOXKEY+IRD+CAMID stored in the card, the card will also calculate the same 16 byte session key.


in orde to make the card pairing , u need to know the RSA_N+BOXKEY+IRD NUMBER+CARD SERIAL number or CAMID…


then with them all together we can start comunication between the card.. and on the CMD$2A and $2B we will have the SessionKey negotiation which i just explained previously.


if for example on one side or the other we have different BKand RSA… we will a session key failure.. and without this Sessionkey we will not be able to decrypt the CM$1C or $9C related stuff


this means that if negotiation of session key succeds, then the receiver will send the ECM$07 to the card, which will then be decrypted by simply just using the ECM RSA modulus key and the ECM IdeaKey to decrypt the Control Words / CWs.


once they are decrypted the card will send them to the RECEIVER.. this is normally done via CMD$1C obviously this CMD is encrypted with the Sessionkey 16 BYTES described above.. once it arrives at the Receiver end, you will use the same Sessionkey 16byte to decrypt that CMD$1C and extract the REAL DCWs Decrypted Control Words to open up the Video and Audio stream related for that XX amount of seconds…


Now this Session key is refreshed every 5 hours.. this means that every 5 hours a new session key is produced.. so every 5 hours the card generates another 64byte random seed key using other RSA algo inside the card.., and will then send this 64 byte seed key to the receiver again.


Shortly followed by all the procedure described above to extract the new session key again.


—————-


Given that ==================================================
SK 96 BYTES
==================================================
11111111<----------------------------FIRST 4 BYTES---- IRD
XXXXXXXXXXXXXXXXXXXX<--NEXT 10 BYTES---- unknown
1111111111111111<--------8 BYTES---- Y1---WRITE DOWN
==================================================
11111111111111111111111111111111-_
11111111111111111111111111111111-_-_"N" 64 Bytes
11111111111111111111111111111111-_-
11111111111111111111111111111111-
==================================================
1111111111111111<-------8 BYTES--- Y2-----WRITE DOWN
XXXX<-------------------2 BYTES--- CHECKSUM
==================================================
Y2 Xor Y1 = BOXKEY
==================================================


006e convert from hex gives you 110 bytes block cipher


ird 4 bytes
bk 8 bytes
sk 96 bytes


leaving us with 02bytes used to encrypt, decrypt above.


eg:


00 00 00 6e 34 0d 20 1c 03 03 70 80 5a 8e dd 24
ac cc a4 a6 e2 da 86 91 29 18 0b a6 23 6d fa c4
05 7f 1b 20 97 eb 0c 19 b3 39 2f 1e cb 9b 67 4d
ed 10 f5 65 ec 0d c7 35 ac f0 b8 89 b0 51 59 22
69 85 d5 f1 93 48 7a 84 6e 1f b4 24 83 79 db 02
4d b0 9c 5e 8b df 89 57 9c 5a 7f 9a cc 87 51 3b
15 6b 15 cc c4 2f 66 e7 e6 75 4f 24 f2 07 85 0d
db b0 3d e2 64 dd e9 54 ad 77 60 e7 8f a6 cd a6
46 c3 b8 fa e4 e7 51 2d 6a 2f 95 68 56 b5 78 34
17 6b b8 48 38 87 c4 95 e5 b0 41 2c 95 e1 24 aa
4b 2a 6f 8c 90 53 29 a9 6b 3d 0a b5 92 1c 95 ec
72 b9 54 a9 99 f5 f3 dd f4 0f 60 c3 25 5b 5b 81
22 e8 79 c5 be 8f 3c 89 2b 8a ad ba 27 b0 c2 f7
b1 4f 08 d5 37 2a 97 c5 f0 07 9d 99 be c7 8a a9
cf 5a c5 45 ce 1e 25 43 81 95 7a 22 33 ed 93 74


Gives:


00 00 00 63 (length)


0d 20 1c 03 03 70 80 5a 8e dd (unknown)


24 ac cc a4 a6 e2 da 86 (y1)


91 29 18 0b a6 23 6d fa c4
05 7f 1b 20 97 eb 0c 19 b3 39 2f 1e cb 9b 67 4d
ed 10 f5 65 ec 0d c7 35 ac f0 b8 89 b0 51 59 22
69 85 d5 f1 93 48 7a 84 6e 1f b4 24 83 79 db 02
4d b0 9c 5e 8b df 89 (64 bytes)


57 9c 5a 7f 9a cc 87 51 (y2)


Y2 XOR Y1 = 0x579c5a7f9acc8751 xor 0x24accca4a6e2da86 = 42 12 8C F2 39 39 55 FA


So, a flash dump would be helpful..


Possible Scenario's -
BGA, TSOP, TLGA etc.. desoldering for Flash.
Put in a socket. eg from
http://shop37051047.taobao.com/ or http://shop34694309.taobao.com/?search=y


Pop flash back onto something else, read, dump. eg
http://item.taobao.com/item.htm?id=7422440993


Get box key, rsa key (if req. based on a check of DT type from the actual subbed card)
Pop flash back in socket.


Been there, done that for data recovery on faulty flash drives, plus most of the places I know down at QJlu have SMD / BGA desoldering capability or better.


Bunnies blog is fairly good at explaining the basics (albeit for xbox) – http://www.xenatera.com/bunnie/proj/anatak/xboxmod.html


Most boxes use ARM based SoC’s for things. Also possible to just throw up a dev board, and interface to that.


Although most boxes also have some form of OS running, so just as feasible to dump flash that way also assuming serial or jtag access and a bootloader is available.


Amusing that people like http://www.flashbackdata.com/blog/?p=195 claim this is hard – there are plenty of tools for this already out there eg softcenter, pc3000, plus all the local chinese stuff. Semi ok forum here talking about flash recovery, although not as technical as I’d like.


http://forum.hddguru.com/hard-disk-d...forum-f12.html


Once key(s) are had, then I can use my own decoder rather than the crappy one the broadcaster uses.


Yay.

Info extraida de san google también.
 
luciano creo que esto es lo mismo que tienes tu pero pasado por un traductor y que lo encontre en san google aunque creo que es del compañero [FONT=&quot]TheCoder
(a cada cual lo que le pertenece)[/FONT]

Hay tres métodos diferentes de emparejamiento se utilizan cajas de N3 en la actualidad. Estos son DT06, DT08 y la clave secundaria.

El método DT06 transfiere una forma comprimida de un conjunto de claves RSA pq desde el que la CAM pública / privada RSA de conjunto de claves y sus asociados módulo se pueden derivar.

El método DT08 transfiere el módulo de leva junto con el número de IRD del cuadro de casado. La clave pública RSA no se transfiere, pero se da a entender que la caja ya conoce este valor.

El método clave secundaria no implica una transferencia. Se imples que la caja ya sabe las cartas del mismo módulo CAM y el valor de RSA de clave pública.

Varias cajas, dependiendo de la marca / modelo, puede utilizar cualquiera de los anteriores par de pre-métodos clave de transferencia, pero podría ser útil para conocer qué caja utiliza el método.

Instrucciones:
1 Pegue su tarjeta de N2/N3 en su lector de tarjetas
2 Ejecutar NagraEdit - NO INTENTE leer su tarjeta!
3 Seleccione la ficha Comm. Esto debe darle un panel de texto superior e inferior
4 Cortar / Pegar el scriptt abajo en el panel superior
5 Pulse el botón "Enviar D2C" botón / icono
6 Los resultados deben aparecer en el panel inferior
7 Interpretar los resultados sobre la base de información a continuación.
Guión - Leer DT06/DT08

************************************************** ***************************************
************************************************** ***************************************
rs
tx 21 C1 01 FE 1F
rx
tx 21 00 08 A0 CA 00 00 02 12 00 06 55
dl 02 00
rx
dl 02 00
tx 21 00 09 A0 CA 00 00 03 22 01 00 7E 1C
dl 02 00
rx
dl 02 00
mg *
mg *** DT06 info ***
tx 21 00 09 A0 CA 00 00 03 22 01 06 13 **
dl 02 00
rx
mg DT06 Respuesta1
dl 02 00
TX 21 40 09 A0 CA 00 00 03 22 01 86 13 **
dl 02 00
rx
dl 02 00
mg DT06 Respuesta2
mg *** Fin DT06 info ***
mg *
mg *** DT08 info ***
TX 21 40 09 A0 CA 00 00 03 22 01 08 13 **
dl 02 00
rx
mg DT08 Respuesta1
dl 02 00
tx 21 00 09 A0 CA 00 00 03 22 01 C8 55 **
dl 02 00
rx
dl 02 00
mg DT08 Respuesta2
TX 21 40 09 A0 CA 00 00 03 22 01 88 55 **
dl 02 00
rx
mg DT08 response3
dl 02 00
mg *** Fin DT08 info ***
*******
Solo para aclarar:
Las partes importantes de su mirar son los DT06/DT08 respuestas (los bits que comienzan con Rx:)
es decir, RX: 12 00 15 A2 11 08 E0 00 00 00 5E 01 20 00 00 00
00 00 00 00 00 00 90 00 B3
RX: 12 40 15 A2 11 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 90 00 64
RX: 12 00 15 A2 11 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 90 00 24
y
RX: 12 40 57 A2 53 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 90 00 64

Si las respuestas varían considerablemente de lo anterior, con la 00 se sustituye con algunos datos variables, entonces su probable es que su tarjeta tenía el nivel especificado y es, probablemente, utilizando el método de emparejamiento correspondiente.

Si la respuesta contiene una gran cantidad DT06 de 00, entonces no su DT06 emparejamiento
Si la respuesta contiene una gran cantidad DT08 de 00 es entonces su emparejamiento no DT08
Si no es DT06 y DT08 a continuación su clave probablemente secundaria.

Para los que no DT08 tarjetas (sobre todo los cuadros más recientes), cada caja tiene un cam_n única ya está integrado en el firmware - esto sólo se puede extraer de la caja en sí.

Sobre el algoritmo,

Encrytion N2 se basa en el siguiente algoritmo ->
mensaje descifrado = ((IDEA (((EncryptedMsg ^ 3) mod N1), IdeaKey)) ^ 3) Mod N1
Eso es 2 algoritmos distintos. Un algoritmo RSA (realiza dos veces) y un algoritmo IDEA.
La clave para el algoritmo RSA es algo así como -
RSA EMM-G = 15A811B2065DF39CD48C9C958E7B406345295B09D0E9A18A 9B92C5FD7761CAAFAB830880F1F06B4E4477F157EA10D0AFC3 FDDB1ED2E7E83E89F03FF81237047DB76F79D6A2CFD75A7255 D72E52E7F47B96C2DFBDEBFC80CE927F6AD351FDF0BF8DA13F F62295BFBAF29035A230136D0B4AA99D38DD8B0465F2C709FC 8818173C
Lo cual, como se puede ver, es un byte 128 (1024 bits) número. Esta es la clave de cifrado principal para el descifrado EMM.
El algoritmo IDEA, que actúa como una capa interna de la RSA tiene un estándar de 16 bytes (128 bits) llave de IDEA.
No existe un algoritmo en N2 (o N3), que sólo utiliza una clave de 8 bytes (64 bits), aunque algunos proveedores han optado por utilizar 3DES en lugar de IDEA como una capa interna. Este sistema utiliza tres separado 8 bye (64 bits - 56 bits solamente se utiliza) claves para formar una amalgama 168 bits algoritmo DES.

Si Usando DT08 (0A) en la tarjeta:
El Dt08 (0a tipo de datos en la tarjeta) es creado por el proveedor y se envía a la tarjeta en el momento de sub.
El dt08 contiene el Cam N clave pública RSA, junto con IRD / boxkey.
El IDEA dt08 es cifrada con la clave a partir de la idea IRD / boxkey / IRD invertida.
El dt08 es RSA cifrada mediante Ird N (público de claves RSA) y el IRD D (clave privada y uknown por nadie más que el proveedor).
Ird N = N1 N2 XORed
Ird N1 = A4E9B585932F90282FD70C908176E8605E6B2CE629335A0FC1 5B31DAB0BFC6FEEB88CFC69649994CD3FE039C9965C620C4D5 828E9153998EE4AE0E8C25644DF3 xor
Ird N1 = 237280AAB36BE4B21FC71FBF08218E532A545E744D7B007FF8 69BA426831C4AC653F3825ADE9358FCD1F0239EC447CBC2765 CC0AEBE437AF2270FC461C2FA042
Ird N = 879B352F2044749A3010132F89576633743F729264485A7039 328B98D88E02528EB7F7E33BA0ACC31EE101A57521BA9CE3B0 4E847AB7AE21C6DEF2CA394BEDB1
El N1 IRD, N2, Ideakey existen en el TSOP.
Ird E = 3
Ird D = uknown, esta es la razón por la que no puede crear su propia dt08 sin cambiar la N1/N2 en el TSOP, usted debe saber Ird D.

DT08 (0A) = IdeaEncrypt (Camn / IRD # / Boxkey / Firma del Idea, Ird_Ideakey) ^ D mod Ird N.

IRD peticiones DT08.
Tarjeta devuelve el dt08 (0A)
Ird descifra el dt08.
Descifrado dt08 = IdeaDecrypt (DT08, Ird_IdeaKey) ^ 3 mod Ird N.
Se comprueba el ird # y boxkeys en el descifrado 08 si coinciden con lo que está en el IRD,
almacena la N Cam en el descifrado 08 en ird memmory.

Si Uso de llave secundaria (SK) en el IRD.
Cheques del IRD para SK existe en el IRD, si lo hace, el dt08 nunca será solicitada / hace caso omiso de la tarjeta.
Ird valida la idea de SK con la firma en el SK (con IIIIIIII01924314051647990A9C4E1 donde I = irdnumber).
Ird toma la N Cam en el SK y lo pone en ird memmory
Nota: Cam N ni siquiera se cifra en el SK, método muy débil en comparación con dt08.

Más tarde, establecer la clave de sesión (0C tipo de datos en la tarjeta):
IRD solicitudes de datos de la tarjeta de 2a.
2a aleatorio se envía desde la tarjeta al IRD.
Ird realiza alguna firma Idea (dejar a usted para buscar rutinas 2A/2B)
Ird viene con clave de sesión en el mensaje enviado desde la leva 2a.
Ird cifra la clave de sesión con RSA.
2B cifrado = (2B de datos con clave de 16 bytes idea de la sesión) ^ 3 mod Cam N.
Envía los datos cifrados de nuevo a la tarjeta en el mensaje 2b.
Cam descifra 2B N con Cam, Cam D. Descifrado 2B = (2B cifrado) ^ D mod Cam Cam N.
Si la clave válida, almacenamiento de sesiones en la RAM y la tarjeta para su uso posterior.

Todo esto ocurre en las botas del IRD.
Cuando se selecciona un canal.
Ird Comando envía 07 mensajes ECM con las palabras de control encriptados.
Cam descifra las palabras de control rencrypts con encriptación de IDEA con la clave de sesión se ha explicado.
El IRD continuación, pide a las palabras de control.
La Cámara los envía de vuelta en la respuesta 1C.
El IRD descifra las palabras de control con la idea con el cifrado usando la clave de sesión se ha explicado.
Envía las palabras de control para el decodificador MPEG.
8 segundos de vídeo.
Repita el proceso 07/1C y otra vez.

---

y prestar especial atención en el CMD $ 2A?

que debe responder el número de serie de CAMID + 64 bytes de clave aleatoria que se genera y luego poco después de cifrado con la CAM (Módulo de Acceso Condicional AKA o SmartCard) RSA primaria 96 bytes de la tarjeta ... los tan famosos claves RSA módulo 96bytes en eeprom $ 8xxx en el ROM110 día .. Desde la tarjeta (este cmd es también el primer paso de la negociación SessionKey)

poco después de que el receptor recibe la tarjeta de respuesta .. y descifrar usando la clave secundaria que también es 96bytes, esta clave se acumulan con la siguiente información almacenada en la memoria flash receptores ..

IR IR IR IR ZZ ZZ ZZ ZZ ZZ ZZ ZZ ZZ 00 03 F1 F1
F1 F1 F1 F1 F1 F1 SK SK SK SK SK SK SK SK SK SK
SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK
SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK
SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK
SK SK SK SK SK SK F2 F2 F2 F2 F2 F2 F2 F2 CR CR

total de 96 bytes ..

Receptor de infrarrojos = número de serie
XX = sin importancia
EE = pública RSA exponente para STB
F1 = 1 SK firma utiliza para calcular la clave de cuadro
F2 = SK firma 2 utilizado para calcular la clave de cuadro
SK = pública RSA módulo n
CR = CRC Checksum
BB = Boxkey resultado de la operación XOR F1 con F2 almacenados en la actualización del firmware del receptor

una vez que descifrar el cmd2A se extrae del interior de la llave original 64BYTE aleatorio generado en la tarjeta, entonces vamos a aplicar el algoritmo de cifrado IDEA en los primeros 32bytes de la clave de 64 bytes aleatorios a discutir a fondo la clave de sesión.

Así esta primeros 32 bytes se extraen de la clave aleatoria 64BYTE y se encryted utilizando la clave de firma IDEA ... esta clave será generada por la siguiente información

IdeaKey generación
BB BB BB BB BB BB BB BB + CC CC CC CC CC + CA MI AM

BBBBBBBBBBBBBBBB = Boxkey resultado de la F1 F2 xor
Cccccccc = IRD número de receptor almacenado en Flash firmware
CA MI DC AM = CAM ID o número de tarjeta inteligente serie convertida en HEX, que también se puede extraer simplemente enviando SIN CMD $ 12 a la tarjeta ..

por lo que la clave de firma IDEA para el cifrado de los primeros 32bytes extraídos de la búsqueda aleatoria 64 clave es

BBBBBBBBBBBBBBBBCCCCCAMIDCAM

una vez aplicado el cifrado IDEA que tendrá el resultado de 16 bytes SessionKey .. que se almacena en el flash receptor durante unas pocas horas ... para ser más precisos en torno a 5 horas ..

Ahora volviendo al cálculo hecho antes, el receptor descifra el cmd $ 2Aencrypted por la tarjeta con la primaria 96 RSA almacenados en la tarjeta.
una vez que se descifra simplemente extrae los 32bytes primeros bytes de la clave de las semillas de 64 generada por la tarjeta. estos 32 bytes se utilizan para el cálculo de la SessionKey 16byte ..

pero, antes de las teclas 32byte fue tomada para el cifrado de la firma idea .. el receptor .. vuelve a cifrar la clave 64BYTE aleatoria usando la llave secundaria RSA 96 almacenada en la memoria flash del receptor, lo que acabo de decir sobre cómo obtener esta clave ...
y lo enviará de vuelta a la tarjeta de cmd $ 2B

la tarjeta recibirá el cmd $ 2b y descifrar utilizando el módulo de clave RSA PRIMARIA 96.
y extraer sólo los primeros 32bytes .. y mediante el uso de la boxkey + IRD + CAMID almacenada en la tarjeta, la tarjeta también calcular la misma clave de sesión de 16 bytes.

en orde para hacer el emparejamiento de tarjetas, u necesidad de saber el número RSA_N + + IRD boxkey + número de tarjeta serie o CAMID ...

luego, con todos juntos podemos empezar comunicación entre la tarjeta .. y en la 2B CMD $ $ 2A y tendremos la negociación SessionKey que acabo de explicar anteriormente.

si, por ejemplo en un lado o el otro tenemos diferentes RSA BKand ... vamos a un fallo clave de la sesión .. y sin este SessionKey no vamos a ser capaces de descifrar el CM $ o $ 1C cosas relacionadas 9C

esto significa que si la negociación de succeds clave de sesión, el receptor enviará el ECM 07 dólares a la tarjeta, que luego se descifra simplemente utilizando el módulo RSA ECM clave y el IdeaKey ECM para descifrar el control de Palabras / CWS.

una vez que se descifra la tarjeta va a enviar al receptor .. esto se hace normalmente a través de CMD $ 1C obviamente esto CMD se cifra con los 16 bytes SessionKey descritas anteriormente .. una vez que llegue al final del receptor, que va a utilizar el mismo 16byte SessionKey para descifrar que el CMD $ 1C y extraer los DCWs REAL descifrado las palabras de control para abrir el flujo de vídeo y audio relacionado para esa XX cantidad de segundos ...

Ahora bien, esta la clave de sesión que se actualiza cada 5 horas .. esto significa que cada 5 horas una nueva clave de sesión se produce .. así que cada 5 horas de la tarjeta genera otra clave 64BYTE semilla aleatoria con otros algoritmos RSA dentro de la tarjeta .., y luego enviar esta clave byte de semillas de 64 a de nuevo el receptor.

Poco seguido por todo el procedimiento descrito anteriormente para extraer la nueva clave de sesión de nuevo.

------

Dado que ================================================ ==
SK 96 bytes
==================================================
11111111 menores ---------------------------- primeros 4 bytes ---- IRD
XXXXXXXXXXXXXXXXXXXX <- SIGUIENTE 10 BYTES---- desconocida
1111111111111111 <-------- 8 BYTES Y1 ---- --- ANOTAR
==================================================
11111111111111111111111111111111-_
11111111111111111111111111111111-_-_ "Bytes" N 64
11111111111111111111111111111111-_-
11111111111111111111111111111111 -
==================================================
1111111111111111 <------- 8 --- BYTES Y2 ----- ANOTAR
XXXX <------------------- 2 BYTES --- CHECKSUM
==================================================
Xor Y2 Y1 = boxkey
==================================================

006e convertir de hexadecimal que ofrece cifrado de bloques 110 bytes

IRD 4 bytes
bk 8 bytes
sk 96 bytes

dejándonos con 02bytes utilizadas para cifrar, descifrar arriba.

por ejemplo:

00 00 00 6e 34 0d 20 1c 03 03 70 80 8e 5a dd 24
ca cc a4 a6 e2 da 86 91 29 18 0b a6 23 6d FA c4
05 7f 1b 20 97 EB 0C 19 b3 39 2f 1e cb 9b 67 4d
ed 10 f5 65 CE 0d c7 35 ac f0 b8 89 b0 51 59 22
69 85 93 48 d5 f1 7a 84 6e 1f b4 24 83 79 02 db
4d 5e b0 8b 9c df 89 57 7f 5a 9c cc 9a 87 51 3b
15 6b 15 cc c4 e6 e7 66 2f 75 4f 24 f2 07 85 0d
db b0 3d e2 64 dd e9 54 ad 77 60 e7 8f a6 a6 cd
46 c3 b8 FA e4 e7 51 2d 6a 2f 95 68 56 b5 78 34
6b 17 b8 48 38 87 95 c4 e5 b0 41 2c 95 e1 24 bis
4b 8c 2a 6f 90 53 29 a9 6b 3d b5 0a 92 1c 95 del Tratado CE
72 b9 54 a9 99 f5 f3 f4 dd 0f 60 c3 25 5b 5b 81
22 E8 79 c5 ser 8f 89 3c 2b 8a ad ba 27 b0 c2 f7
4f b1 08 d5 37 2a 97 c5 f0 07 9d 99 c7 ser 8a a9
5a cf c5 45 ce 1e 25 43 81 95 7a 22 33 93 74 ed

Da:

00 00 00 63 (longitud)

0d 20 1c 03 03 70 80 5a 8e dd (desconocido)

24 ac cc a4 a6 e2 da 86 (y1)

91 29 18 0b a6 23 6d FA c4
05 7f 1b 20 97 EB 0C 19 b3 39 2f 1e cb 9b 67 4d
ed 10 f5 65 CE 0d c7 35 ac f0 b8 89 b0 51 59 22
69 85 93 48 d5 f1 7a 84 6e 1f b4 24 83 79 02 db
4d 5e b0 8b 9c df 89 (64 bytes)

7f 57 5a 9c 9a cc 87 51 (y2)

Y2 Y1 = XOR XOR 0x579c5a7f9acc8751 0x24accca4a6e2da86 = 42 12 8C 39 39 55 F2 FA

Por lo tanto, un volcado de flash sería de gran ayuda ..

Escenario posible es -
BGA, TSOP, TLGA etc. desoldar para Flash.
Poner en una toma de corriente. por ejemplo, desde
http://shop37051047.taobao.com/ o BGA / DIP

Pop producir un retroceso a otra cosa, leer, volcar. por ejemplo,
Obtener clave caja, de claves RSA (si req. Basado en un control de tipo DT de la tarjeta de subbed real)
Flash Pop vuelta en el zócalo.

¿Has estado allí, hecho que para la recuperación de datos en unidades flash defectuosos, además de la mayoría de los lugares que conozco abajo en QJlu tienen SMD / BGA desoldar la capacidad o mejor.

Blog de conejos es bastante bueno para explicar los conceptos básicos (aunque para Xbox) - aventuras bunnie de hacking de la Xbox

La mayoría de las cajas de usar basado en ARM SoC para las cosas. También se puede lanzar la pelota con un tablero dev, y la interfaz para eso.

Aunque la mayoría de las cajas también tienen algún tipo de sistema operativo en ejecución, por lo que sólo lo posible para volcar flash de esa manera también el supuesto acceso serial o JTAG y gestor de arranque uno está disponible.

Divertido que la gente como la recuperación de datos y la informática forense Blog ť controlador independiente de Recuperación de Flash afirman que esto es difícil - hay un montón de herramientas para esto ya por ahí, por ejemplo, softcenter, PC3000, además de todo lo chino local. Foro de bien semi aquí hablando de recuperación flash, aunque no tan técnico como me gustaría.

Una vez clave (s) se tenía, entonces puedo usar mi propio decodificador en lugar de la mierda de un organismo de radiodifusión utiliza[FONT=&quot][/FONT]
 
Todo esta en la flash, y para leerla creo que hay otras formas que desoldar leer y soldar, tras mucho leer podría asegurar que desde hace mucho no desueldan nada...pero claro, la cuestión es como acceder a ella y leer su contenido.
 
Todo esta en la flash, y para leerla creo que hay otras formas que desoldar leer y soldar, tras mucho leer podría asegurar que desde hace mucho no desueldan nada...pero claro, la cuestión es como acceder a ella y leer su contenido.

Pues eso parece, despues de unos cuantos dias leyendo parace ser que hace tiempo que lo hacen leyendo directamente, sin ni siquiera abrir el deco... ahora lo que falta saber es a través de que puerto y con que software...aquí tenemos el dilema...

Saludos,
 
Jtag? Algún puerto.....
 
En mi humilde opinión, si no se ha abierto, es difícil que se pueda acceder a las conexiones del jtag.
Creo más en el puerto serie ó usb.
Y creo que por lógica y costes deben haber dejado una conexión para temas de mantenimiento.

Si el deco hubiera sido abierto se podrian utilizar útiles del tipo "sombrero" que utilizabamos para sacar los datos de los antiguos decos echostar del *ia *igital.

Un saludo.
 
Concuerdo con algunos que sino se ha abierto el deco, no puede ser jtag. Desconozco si el ipl* s tiene puerto serial aparte del usb. En el deco de mi proveedor no hay puerto serial, solo el usb para leer archivos. Si se pudiera tener alguna forma de comprobar si el deco, hace una lectura del puerto usb durante el primer arranque, podriamos partir por alli. Deberia ser como cuando uno actualiza los decos usando una usb y un archivo en especifico que se cargara en el deco una vez encendemos por el switch de power. Podria pensar tambien que los expertos si usaron este modo, han sabido leyendo el firmware como funciona el boot y aplicaron alguna forma, (que se yo un exploit) de cargar algun programa que hace enlace de comunicacion o algun comando para bajar el firmware usando el mismo bootloader del deco (como cuando usamos uart). ideas locas mias :)
 
Última edición:
Concuerdo con algunos que sino se ha abierto el deco, no puede ser jtag. Desconozco si el ipl* s tiene puerto serial aparte del usb. En el deco de mi proveedor no hay puerto serial, solo el usb para leer archivos. Si se pudiera tener alguna forma de comprobar si el deco, hace una lectura del puerto usb durante el primer arranque, podriamos partir por alli. Deberia ser como cuando uno actualiza los decos usando una usb y un archivo en especifico que se cargara en el deco una vez encendemos por el switch de power. Podria pensar tambien que los expertos si usaron este modo, han sabido leyendo el firmware como funciona el boot y aplicaron alguna forma, (que se yo un exploit) de cargar algun programa que hace enlace de comunicacion o algun comando para bajar el firmware usando el mismo bootloader del deco (como cuando usamos uart). ideas locas mias :)

por eso decia, jtag con adaptador a alguno de esos puertos estando el equipo en modo debug.
 
En el aparato en el que estoy liado (un T20) esto es lo que tenemos a mano:

cache.php


Nada de puerto serie, asi que o bien a través del USB, euroconector o bien el HDMI.. aunque tambien nos quedan los conectores RJ11 (telefono) y RJ45 (ethernet)... vamos que me puedo entretener a ver si escupe algo por algun lado...
 
Exacto ya lo tienes.....con usbttl o un max232 puedes ver el boot de arranque.......no lo he probado en un t20 pero en un t10 y t11 son los mismos y comparten procesador,rxd deberia ser el 12.

Saludos.
Que bien!

Podeis colgar la salida de arranque?

Saludos.
 
Puedes probar tu mismo a sacarlo no es nada,segun como arranques el deko varia,lo bueno seria saber como le ponen en modo debug.......

Saludos.
Agusto lo haria, pero no tengo el iplus.

Estoy con la gris a la espera poder sacar los datos.

Un saludo.
 
Buenas noches, al fin he encontrado un rato y ya ha empezado a soltar valores... como comentan hay que ver como entrar en modo debug/service mode...

Código:
Booting
boot - Copyrights THOMSON R&D France - Version 1.90
TMM start t=2016
DLI Version: 04.12
Chip secure cut1.0
STTKDMA Revision : STTKDMA-REL_3.1.6 NOT_BOOTED-st40r2-4.3.1-4-m1
PublicId : XX XX XX XX 00 00 00 00 00 00 00 00 00 00 00 00 
STTKDMA Customer Mode : 1
Sec I.ûSerial Init(0): Done.
Modem Init(0): Done.
I2C Init(0): Done.
FLASH ADR=0xA0000000 : S29GL256P
Flash1 Init(0): Done.
Flash2 Init(0): Done.
IT timer at startup on FP NEC => PB
NEC SW Actual 11 -> 11
[FP_MICRO] Product Identifier  = 0x04
           Bootloader Revision = 0x05
           Software Revision   = 0x0b
LDB FP: Wake up cause (1): USER SOFTWARE RESET
FP Init(0): Done.
FA Init(0): Done.
SC Init(0): Done.
STPTI4-REL_8.1.0
STMERGE-REL_3.1.3
Backend Init(0): Done.
AUDIOVIDEO : STVOUT_Start...
AUDIOVIDEO : av_HdmiStateNotify : STVOUT_RECEIVER_CONNECTED
AUDIOVIDEO :  av_HdmiVoutConfig : HDMI takes RGB
AUDIOVIDEO : av_HdmiStateNotify : End of callback
AUDIOVIDEO : STVOUT_Start + sleep
AV output Init(0): Done.
FAN START UP SEQUENCE
HDD Init(0): Done.

#TRACE BEGIN:DST805SOG;DXI805;1110;S29GL256P90FFSS8;05020975771042;342639393142;36739250;123456789101112;;;;ST3500312CS;6VVHNJ42;SC13;04.12;;01.90;01.80;;;;04.05.0b;3d43e041;XXXXXXXX;;8c1ceb6a9a000000;;;28be9b0460c4;;;;0f;;;;;26#TRACE END
Factory Init(0): Done.
fe_TDA10048_init_nim (0) succeed(1).
fe_TDA10048_init_nim (1) succeed(1).
FALCON_Initialize returns 1
TDA10074 loopthrough ON 1 
FE TER-SAT Init(0): Done.
TTX Init(0): Done.
GLI Init(0): Done.
POWER FAIL ISR INSTALLED .. 
Device Init(0): Done.
Device Manager Init(0): Done.
WD Init(0): Done.
MOD_DPW: mg_power_device_entry:: cold start - running mw config - user wuc
CURRENT_ID 0x0d
USAGE_ID 0x05
********** NB THREAD CREATED 1 
********** NB THREAD CREATED 2 
********** NB THREAD CREATED 3 
********** NB THREAD CREATED 4 
********** NB THREAD CREATED 5 
Start MediaHighway in MHOK mode... 
********** NB THREAD CREATED 6 
********** NB THREAD CREATED 7 
Mvm scheduler with context switching and mutation system 
LDB FA: Set RTC time 1/1/99 at 0:0:0
The maximum number of socket is set to :32The maximum number of network interfaces is set to:8 
********** NB THREAD CREATED 8 
********** NB THREAD CREATED 9 
********** NB THREAD CREATED 10 
********** NB THREAD CREATED 11 
attach_ethernet_interface2 : mbuf count:0 / rx queue size:1024 / tx queue size:512 
ETH MAC ADDRESS :0x28 0xbe 0x9b 0x04 0x60 0xc4 
********** NB THREAD CREATED 12 
Reserved Flash id=0: nbPages=2 fisrt=9 last=10 
Reserved Flash id=1: nbPages=1 fisrt=11 last=11 
FLASH reservation: 3 pages (total page for MVM=8) 
Init Storage Library - CHUNK MODE - type = 1 - conn_type = 3 
MhwFsInit isHDFunctionAvailable=0 
--> CkMhwSfs hda1 <-- 
MHSFS partition was not cleany unmounted, check forced! 
Pass 1: Checking inodes, blocks, and sizes 
Pass 2: Checking directory structure 
Pass 3: Checking directory connectivity 
Pass 4: Checking reference counts 
inode 2 ref count is 57, should be 5.  FIXED. 
Pass 5: Checking group summary information 
MHSFS partition: 13/100096 files (0.0% non-contiguous), 3151/131072 blocks 
      13 inodes used (0%) 
       0 non-contiguous inodes (0.0%) 
         # of inodes with ind/dind/tind blocks: 0/0/0 
    3151 blocks used (2%) 
       0 bad blocks 
       0 regular files 
       4 directories 
       0 character device files 
       0 block device files 
       0 fifos 
       0 links 
       0 symbolic links (0 fast symbolic links) 
       0 sockets 
--------       4 files 
********** NB THREAD CREATED 13 
********** NB THREAD CREATED 14 
********** NB THREAD CREATED 15 
********** NB THREAD CREATED 16 
********** NB THREAD CREATED 17 
******************************* MhwEvtPipeInit 
 
 
********** NB THREAD CREATED 18 
********** NB THREAD CREATED 19 
********** NB THREAD CREATED 20 
********** NB THREAD CREATED 21 
********** NB THREAD CREATED 22 
********** NB THREAD CREATED 23 
********** NB THREAD CREATED 24 
********** NB THREAD CREATED 25 
looksetClass = class mhwax.look.XLookSet
 
Exiting thread system_dvbEvtExecThread
 
security properties not found. using defaults.
 
STBProfile: I+ - isPVRBox? true - isHDDEnabled? true - isDTTBox? true - isLowPowerSupported? false - isCacheEnabled? true
 
code de touche fa inconnu 0x27a 
code de touche fa inconnu 0x279 
code de touche fa inconnu 0x278 
code de touche fa inconnu 0x277 
SW Version #### SGC_PVR_7.0.21_4.12
 
---> SIDatabase.createDbs() ADD NI 0 To LIST[TYPE=0]
 
---> SIDatabase.createDbs() ADD NI 1 To LIST[TYPE=0]
 
---> SIDatabase.createDbs() ADD NI 2 To LIST[TYPE=2]
 
---> SIDatabase.createDbs() ADD NI 3 To LIST[TYPE=2]
 
MOD_DSE: mg_audio_device_call:: AUDIO_DIGITAL_OUTPUT_INFO
--> CkMhwSfs hda2 <-- 
--> CkMhwSfs hda2 <-- 
--> CkMhwSfs hda2 <-- 
MHSFS partition was not cleany unmounted, check forced! 
Pass 1: Checking inodes, blocks, and sizes 
Pass 2: Checking directory structure 
Pass 3: Checking directory connectivity 
Pass 4: Checking reference counts 
Pass 5: Checking group summary information 
MHSFS partition: 722/101120 files (0.0% non-contiguous), 6160/1310720 blocks 
     722 inodes used (0%) 
       0 non-contiguous inodes (0.0%) 
         # of inodes with ind/dind/tind blocks: 8/0/0 
    6160 blocks used (0%) 
       0 bad blocks 
     594 regular files 
     119 directories 
       0 character device files 
       0 block device files 
       0 fifos 
       0 links 
       0 symbolic links (0 fast symbolic links) 
       0 sockets 
--------     713 files 
MhwSbfsCk 1.0.24  partition MHSBFS was not cleanly unmounted, check forced.MHSBFS partition: 70/8192 files , 2531333/120635397 blocks 
      70 inodes used (0%) 
 2531333 blocks used (2%) 
SbfsCk_show_stats : exit 
MhwSbfsCk 1.0.24  partition MHSBFS was not cleanly unmounted, check forced.: Inode 1, i_blocks is 0, should be 4096.   
 
 
 
 
 
 
 
MHSBFS partition: 70/8192 files , 2527237/120635397 blocks 
      70 inodes used (0%) 
 2527237 blocks used (2%) 
SbfsCk_show_stats : exit 
 
TDA10074 loopthrough ON 1 
Tuner source : default value = 0
 
********** NB THREAD CREATED 26 
 --- REF TEMP : HDD=29 °C     MB=32 °C --- 
[Lorg.davic.net.tuning.NetworkInterface;@-6de09580
 
mhw.net.tuning.SatelliteNetworkInterface@-6deb2b78 id 0 tuner 16
 
mhw.net.tuning.SatelliteNetworkInterface@-6deb2720 id 1 tuner 65552
 
********** NB THREAD CREATED 27 
set_public_buffers : type_zda correct  
: WARNING grl_getGraphicInfo: Grand Ecran (W=1280,H=720) => OSD centre sur l'axe des X 
: WARNING grl_getGraphicInfo: Grand Ecran (Decalage_x=0) 
Scart Manager HDCP ***** TvScartHdmiEvent.PLUGGED_HDCP_OK *****
 
Scart Manager HDCP is activatedtrue
 
Scart Manager setting the param TV_HDCP -> activate HDCP.....
 
AUDIOVIDEO :  av_HdmiVoutConfig : HDMI takes RGB
AUDIOVIDEO :  av_HdmiVoutConfig : HDMI takes RGB
AUDIOVIDEO : av_HdmiVoutEnable
AUDIOVIDEO : av_HdmiStateNotify : STVOUT_NO_ENCRYPTION
AUDIOVIDEO : av_HdmiStateNotify : End of callback
MOD_DSE: mg_service_device_call:: SERVICE_ANTI_COPY_SET
AUDIOVIDEO : av_HdmiVoutDisable
AUDIOVIDEO : av_HdmiStateNotify : STVOUT_RECEIVER_CONNECTED
AUDIOVIDEO : av_HdmiStateNotify : End of callback
PluggUnpluggEthernetCableEvtDispatcher_init : fake channel device is opened correctly 
 
# TOT MANAGEMENT : tune on SAT RefTS
 
TUNER_DEV[0]: Tuning set
HW LNB(0) 22KHz OFF
HW LNB(0) EXTERNAL POWER
DefaultThreadedAwtEventRouter finalizing: ending all threads and releasing references...
 
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
# TOT MANAGEMENT : tune on FirstChannel on the SAT
 
TUNER_DEV[0]: Tuning set
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 2003 MHz
# TOT MANAGEMENT : Force the TOT Monitoring on Frequency 1288000000 Convolution 3 Analog false Audio mode 0, Symbol Rate Code=255, Symbol Rate Value=22000, IQ inverse=false, Trellis used=false, RF switch=0, TS mode=0, Polarity=0, Aux command=false, PowerLNB=true, DvbPskType=0, Roll-off factor= 2, CodingType=0, FEC frame= 1
 
TUNER_DEV[0]: Tuning set
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
BootManager.monitorTot() manage => STB_SPLUS and STB_SPLUS_FAKE
 
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
pid over is : -1
 
pid from bat is : 346
 
CMT _PID is : 346
 
>>FileSectionCache.getStoredTransportStreams()  tss_ni[0]=dvb:///1/1.422
 
SWITCH POWER ACTIVE_STBY_MODE
 
//////////  BOOT: STB ACTIVE STANDBY AT : Fri Jan 01 01:00:51 CET 1999
 
RBM :: LAST PROCESSED BOOKING TIME = Thu Jan 01 01:00:00 CET 1970
 
########## MEMORY DUMP ##########
 
########## Dump Memory every 15mn
 
########## Fri Jan 01 01:00:51 CET 1999
 
########## Java Runtime gives 35500952 bytes
 
########## MVM dump (will not be printed in release mode)
 
--> ASK FOR TABLE : 1
 
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
SWITCH POWER ACTIVE_STBY_MODE
 
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
 --- REF TEMP : HDD=29 °C     MB=33 °C --- 
LDB FA: 1/1/99 0:1:0
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
--> ASK FOR TABLE : 3
 
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
 --- REF TEMP : HDD=29 °C     MB=34 °C --- 
relance tuning(FE 0)
--> ASK FOR TABLE : 2
 
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
pid over is : -1
 
pid from bat is : 346
 
CMT _PID is : 346
 
pid over is : -1
 
pid from bat is : 346
 
CMT _PID is : 346
 
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
 --- REF TEMP : HDD=30 °C     MB=34 °C --- 
LDB FA: 1/1/99 0:2:0
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
>>PTVRescheduling.automaticRescheduling
 
<<PTVRescheduling.automaticRescheduling
 
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
 --- REF TEMP : HDD=30 °C     MB=35 °C --- 
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz

Seguiremos con ello...
Saludos,
 
Última edición:
Buenas noches, al fin he encontrado un rato y ya ha empezado a soltar valores... como comentan hay que ver como entrar en modo debug/service mode...

Código:
Booting
boot - Copyrights THOMSON R&D France - Version 1.90
TMM start t=2016
DLI Version: 04.12
Chip secure cut1.0
STTKDMA Revision : STTKDMA-REL_3.1.6 NOT_BOOTED-st40r2-4.3.1-4-m1
PublicId : XX XX XX XX 00 00 00 00 00 00 00 00 00 00 00 00 
STTKDMA Customer Mode : 1
Sec I.ûSerial Init(0): Done.
Modem Init(0): Done.
I2C Init(0): Done.
FLASH ADR=0xA0000000 : S29GL256P
Flash1 Init(0): Done.
Flash2 Init(0): Done.
IT timer at startup on FP NEC => PB
NEC SW Actual 11 -> 11
[FP_MICRO] Product Identifier  = 0x04
           Bootloader Revision = 0x05
           Software Revision   = 0x0b
LDB FP: Wake up cause (1): USER SOFTWARE RESET
FP Init(0): Done.
FA Init(0): Done.
SC Init(0): Done.
STPTI4-REL_8.1.0
STMERGE-REL_3.1.3
Backend Init(0): Done.
AUDIOVIDEO : STVOUT_Start...
AUDIOVIDEO : av_HdmiStateNotify : STVOUT_RECEIVER_CONNECTED
AUDIOVIDEO :  av_HdmiVoutConfig : HDMI takes RGB
AUDIOVIDEO : av_HdmiStateNotify : End of callback
AUDIOVIDEO : STVOUT_Start + sleep
AV output Init(0): Done.
FAN START UP SEQUENCE
HDD Init(0): Done.

#TRACE BEGIN:DST805SOG;DXI805;1110;S29GL256P90FFSS8;05020975771042;342639393142;36739250;123456789101112;;;;ST3500312CS;6VVHNJ42;SC13;04.12;;01.90;01.80;;;;04.05.0b;3d43e041;XXXXXXXX;;8c1ceb6a9a000000;;;28be9b0460c4;;;;0f;;;;;26#TRACE END
Factory Init(0): Done.
fe_TDA10048_init_nim (0) succeed(1).
fe_TDA10048_init_nim (1) succeed(1).
FALCON_Initialize returns 1
TDA10074 loopthrough ON 1 
FE TER-SAT Init(0): Done.
TTX Init(0): Done.
GLI Init(0): Done.
POWER FAIL ISR INSTALLED .. 
Device Init(0): Done.
Device Manager Init(0): Done.
WD Init(0): Done.
MOD_DPW: mg_power_device_entry:: cold start - running mw config - user wuc
CURRENT_ID 0x0d
USAGE_ID 0x05
********** NB THREAD CREATED 1 
********** NB THREAD CREATED 2 
********** NB THREAD CREATED 3 
********** NB THREAD CREATED 4 
********** NB THREAD CREATED 5 
Start MediaHighway in MHOK mode... 
********** NB THREAD CREATED 6 
********** NB THREAD CREATED 7 
Mvm scheduler with context switching and mutation system 
LDB FA: Set RTC time 1/1/99 at 0:0:0
The maximum number of socket is set to :32The maximum number of network interfaces is set to:8 
********** NB THREAD CREATED 8 
********** NB THREAD CREATED 9 
********** NB THREAD CREATED 10 
********** NB THREAD CREATED 11 
attach_ethernet_interface2 : mbuf count:0 / rx queue size:1024 / tx queue size:512 
ETH MAC ADDRESS :0x28 0xbe 0x9b 0x04 0x60 0xc4 
********** NB THREAD CREATED 12 
Reserved Flash id=0: nbPages=2 fisrt=9 last=10 
Reserved Flash id=1: nbPages=1 fisrt=11 last=11 
FLASH reservation: 3 pages (total page for MVM=8) 
Init Storage Library - CHUNK MODE - type = 1 - conn_type = 3 
MhwFsInit isHDFunctionAvailable=0 
--> CkMhwSfs hda1 <-- 
MHSFS partition was not cleany unmounted, check forced! 
Pass 1: Checking inodes, blocks, and sizes 
Pass 2: Checking directory structure 
Pass 3: Checking directory connectivity 
Pass 4: Checking reference counts 
inode 2 ref count is 57, should be 5.  FIXED. 
Pass 5: Checking group summary information 
MHSFS partition: 13/100096 files (0.0% non-contiguous), 3151/131072 blocks 
      13 inodes used (0%) 
       0 non-contiguous inodes (0.0%) 
         # of inodes with ind/dind/tind blocks: 0/0/0 
    3151 blocks used (2%) 
       0 bad blocks 
       0 regular files 
       4 directories 
       0 character device files 
       0 block device files 
       0 fifos 
       0 links 
       0 symbolic links (0 fast symbolic links) 
       0 sockets 
--------       4 files 
********** NB THREAD CREATED 13 
********** NB THREAD CREATED 14 
********** NB THREAD CREATED 15 
********** NB THREAD CREATED 16 
********** NB THREAD CREATED 17 
******************************* MhwEvtPipeInit 
 
 
********** NB THREAD CREATED 18 
********** NB THREAD CREATED 19 
********** NB THREAD CREATED 20 
********** NB THREAD CREATED 21 
********** NB THREAD CREATED 22 
********** NB THREAD CREATED 23 
********** NB THREAD CREATED 24 
********** NB THREAD CREATED 25 
looksetClass = class mhwax.look.XLookSet
 
Exiting thread system_dvbEvtExecThread
 
security properties not found. using defaults.
 
STBProfile: I+ - isPVRBox? true - isHDDEnabled? true - isDTTBox? true - isLowPowerSupported? false - isCacheEnabled? true
 
code de touche fa inconnu 0x27a 
code de touche fa inconnu 0x279 
code de touche fa inconnu 0x278 
code de touche fa inconnu 0x277 
SW Version #### SGC_PVR_7.0.21_4.12
 
---> SIDatabase.createDbs() ADD NI 0 To LIST[TYPE=0]
 
---> SIDatabase.createDbs() ADD NI 1 To LIST[TYPE=0]
 
---> SIDatabase.createDbs() ADD NI 2 To LIST[TYPE=2]
 
---> SIDatabase.createDbs() ADD NI 3 To LIST[TYPE=2]
 
MOD_DSE: mg_audio_device_call:: AUDIO_DIGITAL_OUTPUT_INFO
--> CkMhwSfs hda2 <-- 
--> CkMhwSfs hda2 <-- 
--> CkMhwSfs hda2 <-- 
MHSFS partition was not cleany unmounted, check forced! 
Pass 1: Checking inodes, blocks, and sizes 
Pass 2: Checking directory structure 
Pass 3: Checking directory connectivity 
Pass 4: Checking reference counts 
Pass 5: Checking group summary information 
MHSFS partition: 722/101120 files (0.0% non-contiguous), 6160/1310720 blocks 
     722 inodes used (0%) 
       0 non-contiguous inodes (0.0%) 
         # of inodes with ind/dind/tind blocks: 8/0/0 
    6160 blocks used (0%) 
       0 bad blocks 
     594 regular files 
     119 directories 
       0 character device files 
       0 block device files 
       0 fifos 
       0 links 
       0 symbolic links (0 fast symbolic links) 
       0 sockets 
--------     713 files 
MhwSbfsCk 1.0.24  partition MHSBFS was not cleanly unmounted, check forced.MHSBFS partition: 70/8192 files , 2531333/120635397 blocks 
      70 inodes used (0%) 
 2531333 blocks used (2%) 
SbfsCk_show_stats : exit 
MhwSbfsCk 1.0.24  partition MHSBFS was not cleanly unmounted, check forced.: Inode 1, i_blocks is 0, should be 4096.   
 
 
 
 
 
 
 
MHSBFS partition: 70/8192 files , 2527237/120635397 blocks 
      70 inodes used (0%) 
 2527237 blocks used (2%) 
SbfsCk_show_stats : exit 
 
TDA10074 loopthrough ON 1 
Tuner source : default value = 0
 
********** NB THREAD CREATED 26 
 --- REF TEMP : HDD=29 °C     MB=32 °C --- 
[Lorg.davic.net.tuning.NetworkInterface;@-6de09580
 
mhw.net.tuning.SatelliteNetworkInterface@-6deb2b78 id 0 tuner 16
 
mhw.net.tuning.SatelliteNetworkInterface@-6deb2720 id 1 tuner 65552
 
********** NB THREAD CREATED 27 
set_public_buffers : type_zda correct  
: WARNING grl_getGraphicInfo: Grand Ecran (W=1280,H=720) => OSD centre sur l'axe des X 
: WARNING grl_getGraphicInfo: Grand Ecran (Decalage_x=0) 
Scart Manager HDCP ***** TvScartHdmiEvent.PLUGGED_HDCP_OK *****
 
Scart Manager HDCP is activatedtrue
 
Scart Manager setting the param TV_HDCP -> activate HDCP.....
 
AUDIOVIDEO :  av_HdmiVoutConfig : HDMI takes RGB
AUDIOVIDEO :  av_HdmiVoutConfig : HDMI takes RGB
AUDIOVIDEO : av_HdmiVoutEnable
AUDIOVIDEO : av_HdmiStateNotify : STVOUT_NO_ENCRYPTION
AUDIOVIDEO : av_HdmiStateNotify : End of callback
MOD_DSE: mg_service_device_call:: SERVICE_ANTI_COPY_SET
AUDIOVIDEO : av_HdmiVoutDisable
AUDIOVIDEO : av_HdmiStateNotify : STVOUT_RECEIVER_CONNECTED
AUDIOVIDEO : av_HdmiStateNotify : End of callback
PluggUnpluggEthernetCableEvtDispatcher_init : fake channel device is opened correctly 
 
# TOT MANAGEMENT : tune on SAT RefTS
 
TUNER_DEV[0]: Tuning set
HW LNB(0) 22KHz OFF
HW LNB(0) EXTERNAL POWER
DefaultThreadedAwtEventRouter finalizing: ending all threads and releasing references...
 
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
# TOT MANAGEMENT : tune on FirstChannel on the SAT
 
TUNER_DEV[0]: Tuning set
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 2003 MHz
# TOT MANAGEMENT : Force the TOT Monitoring on Frequency 1288000000 Convolution 3 Analog false Audio mode 0, Symbol Rate Code=255, Symbol Rate Value=22000, IQ inverse=false, Trellis used=false, RF switch=0, TS mode=0, Polarity=0, Aux command=false, PowerLNB=true, DvbPskType=0, Roll-off factor= 2, CodingType=0, FEC frame= 1
 
TUNER_DEV[0]: Tuning set
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
BootManager.monitorTot() manage => STB_SPLUS and STB_SPLUS_FAKE
 
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
pid over is : -1
 
pid from bat is : 346
 
CMT _PID is : 346
 
>>FileSectionCache.getStoredTransportStreams()  tss_ni[0]=dvb:///1/1.422
 
SWITCH POWER ACTIVE_STBY_MODE
 
//////////  BOOT: STB ACTIVE STANDBY AT : Fri Jan 01 01:00:51 CET 1999
 
RBM :: LAST PROCESSED BOOKING TIME = Thu Jan 01 01:00:00 CET 1970
 
########## MEMORY DUMP ##########
 
########## Dump Memory every 15mn
 
########## Fri Jan 01 01:00:51 CET 1999
 
########## Java Runtime gives 35500952 bytes
 
########## MVM dump (will not be printed in release mode)
 
--> ASK FOR TABLE : 1
 
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
SWITCH POWER ACTIVE_STBY_MODE
 
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
 --- REF TEMP : HDD=29 °C     MB=33 °C --- 
LDB FA: 1/1/99 0:1:0
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
--> ASK FOR TABLE : 3
 
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
 --- REF TEMP : HDD=29 °C     MB=34 °C --- 
relance tuning(FE 0)
--> ASK FOR TABLE : 2
 
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
pid over is : -1
 
pid from bat is : 346
 
CMT _PID is : 346
 
pid over is : -1
 
pid from bat is : 346
 
CMT _PID is : 346
 
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
 --- REF TEMP : HDD=30 °C     MB=34 °C --- 
LDB FA: 1/1/99 0:2:0
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
>>PTVRescheduling.automaticRescheduling
 
<<PTVRescheduling.automaticRescheduling
 
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz
relance tuning(FE 0)
 --- REF TEMP : HDD=30 °C     MB=35 °C --- 
FESat(0) AGC_Fact 255 BG_NDS 97 InputLevel: -79 dBm
FE SAT(0) : unlock on 1288 MHz

Seguiremos con ello...
Saludos,

Wowww :66::66::66::66:
 
Esos datos los ha escupido por la comunicación serie del euro conector? Esto es una buena noticia. Podrías decirnos bien como lo has conseguido para que podamos hacer pruebas a ver si alguien da con la manera de entrar en debug
 
Esos datos los ha escupido por la comunicación serie del euro conector? Esto es una buena noticia. Podrías decirnos bien como lo has conseguido para que podamos hacer pruebas a ver si alguien da con la manera de entrar en debug

Está todo expuesto en el hilo, dime que duda concreta tienes y te lo explico.. Una vez realizadas las conexiones no he hecho mas que conectarme al portatil (tengo uno que todavia lleva puerto serie) y loguear lo que va soltando el puerto serie. Esto lo puedes hacer con multiples programitas (Hyperterminal, Teraterm, Putty, etc...)

Añado un croquis que no se si aclara algo o todavia la liaré mas:
cache.php

b1uAuwz.jpg


Saludos,
 
Última edición:
Nada de liarla esta pero que muy bien el croquis, al decir lo conecto al portatil y logeas lo que va soltando, entiendo que logeas el arranque o inicio del deco tarjeta y pregunto, no habrá alguna serie de comando que se le pueda enviar a la flash con el putty, al igual que se le enviaba a la card con el NagraEdit, etc...

saludos
 

Temas similares

Atrás
Arriba