验证了一下JLINK9读固件成功 但是还有疑问

huangqi412

刚才抽空细读了一下 thxlp的帖子人人都能拿到jlink v9的bootloader，重理了一下情况，然后做了个测试。  
0：手头有V8  2个   V9  1个    电脑装了 VC2012 和 BUSHOUND       JLINK不管他什么协议，最终都会变成USB控制器上的HEX字节串。
1：V8和V9的PID不同，一个是0101 一个是0105 另外V9因为结合了虚拟串口，所以是复合设备，从描述符里可看到接口号是2，前面两个接口是VCOM,要注意一下。  
2：BUSHOUND先抓JLINK正常使用的数据，确实看到有01命令过程 还有一大堆的神马F0之类的命令不知道意义。  01命令最典型。
3：先BUSHOUND进行手工测试验证抓到的命令01，经过几次练习发现V8可能手速跟不上，发出01后根本来不及去收就失败了。V9经过5次尝试后可以熟练的手动测试成功。 具体观察到的情况就是从BULKOUT写一个字节01，然后迅速从BULKIN读数据，可以读回2字节表示长度，但是来不及再读内容。从现象分析应该是发出一个命令后必须在多少时间内去读结果，如果超时不去读就不能再读回了，会出现重新枚举，难道这时候它自己重启了？手动时候要先点击发送，然后去点击接收，这中间间隔大概会2S. 如果用按键精灵估计可以手动测试V8.
4：在手工验证命令成功情况下，噼里啪啦敲代码自动吧。   在这里掉了坑SB了好久，无意中才爬出来。情况是介样滴，敲完01命令的测试代码，在V9测试成功后，随手换了个V8测试，电脑果然比人爪好用，顺利的读到数据了，一看内容就是正确的。然后去试试神奇的FE命令吧，尼玛失败？发完09命令后读不到东西，LINK似乎也挂掉了。不死心反复折腾，怎么也读不到东西，楼主不会是骗我吧。。。最后无奈的换上V9看看，卧槽，我草草草，居然第一下就读到东西了。这是神马情况，难道V8不支持这个命令或者说支持的格式不同？这个地方想请教楼主以及T大神测试或解惑一下。

见图，我是读08000000开始的32字节，第一个32位是20开头应该是堆栈吧，第二个32位是08开头应该是复位向量吧。然后又读了下APP部分起头。应该是能证明已经OK了，我不做盗版，也就没必须全片读出了，帮你们验证了楼主是正确的，有心的自己去读全片吧。
那个修改BIN的读BOOT方法就懒得去验证了。

感叹一下，S公司居然留了一条这么粗暴的命令。。。直接指定地址和长度读取ROM，总归会被人分析出来的。不过一般人没谁有闲有技术去发现这个粗暴的后门。
另外感叹下S公司的固件居然没加密，被大家直接从DLL里提取BIN，还能把BIN修改后再倒进DLL去下载。
如果S公司不留这么粗暴的命令，把固件做上两层加密，下载时候丢给BOOT去解密。是不是大家就没得破解了？固件加密别说解密，先得猜出到底是什么加密算法吧，而解密代码在BOOT里没这条粗暴命令拿不出。


请thxlp和T大神解惑V8为什么用这条神奇的FE命令失败。

huangqi412

再上一张手动测试速度跟不上  重新枚举的图片

surken

V8 FE是可以的

huangqi412

surken 发表于 2016-7-15 16:29
V8 FE是可以的

同样命令  我发给V8没反应

huangqi412

哪位大神能出一份整理的命令格式表就好了     能写软件用JLINK自由的实现各种调试想法。

huangqi412

我想我明白了。。。 V8和V9不是一个CPU,  ROM地址根本就不一样。。。喷出一口老血。

huangqi412

下了个AT91的手册看了FLASH地址  改了下果然有回应。瞬间被自己蠢哭了。

boboo

huangqi412 发表于 2016-7-15 16:33
哪位大神能出一份整理的命令格式表就好了     能写软件用JLINK自由的实现各种调试想法。 ...

命令表官网有  百度RM08001-JLinkUSBProtocol

那帖子里也有CMD_XXXX那一堆。DLL也有部分，猜想证明即可

我对哪位的直接读取方式倒是感兴趣，可惜对USB实在不懂，卡在建立工程。
通过DLL读取倒是搞定了很多

dreambox

boboo 发表于 2016-7-15 17:11
命令表官网有  百度RM08001-JLinkUSBProtocol

那帖子里也有CMD_XXXX那一堆。DLL也有部分，猜想证明即可

DLL用哪条API,之前调用DLL一直不成功
没办法，自己写了个程序，直接操作USB,才把固件弄出来

sblpp

读出来的也没卵用，这个boot只能用于自个的jlink v9上，烧写到别的上面不识别的。还有一大段代码是和唯一ID做校验处理的。。我曾经读出了三个jlink v9的boot，分析了半天没弄明白是什么加密原理。。。

taoist

呵呵，当年我公布CMD_READ_EMU_MEM时用的是周立功的usb调试助手1.2，根本不需要写代码，自己试吧，只能用在winxp下。
另外，Se99er公司留这条命令是用于查看J-1ink的RAM的，方便调试。
话说当年发现这条命令后，用usb调试助手1.2一次成功读出firmware的兴奋，估计你们是体会不到了。 。 。

taoist

命令表：

01  1       CMD_VERSION
02  2       CMD_RESET_TRST
03  3       CMD_RESET_TARGET
04  4       CMD_GET_INFO
05  5       CMD_SET_SPEED
06  6       CMD_UPDATE_FIRMWARE
07  7       CMD_GET_STATE
08  8       CMD_SET_KS_POWER
09  9       CMD_REGISTER
0A  10      CMD_INDICATORS
0B  11      CMD_PERMIT
0C  12      CMD_PCODE
0D  13      CMD_PROT_VERSION
0E  14      CMD_SET_EMU_OPTION
0F  15      CMD_HANDLE_BMI
10  16      CMD_HANDLE_GPIO
11  17      CMD_MERGE_COMMANDS
12  18      CMD_WRITE_CONFIG_EX
13  19      CMD_WRITE_OTS_EX
14  20      CMD_UPDATE_FIRMWARE_EX
15  21      CMD_SPI
16  22      CMD_HANDLE_OTSX_CONFIGX
17  23      CMD_HANDLE_C2
18  24      CMD_0x18
19  25      CMD_0x19
1A  26
1B  27
1C  28
1D  29
1E  30      CMD_FILE_IO


64  100     CMD_TRACE_START
65  101     CMD_TRACE_STOP
66  102     CMD_TRACE_READ

BA  186     CMD_HW_SWD_SET_DIR_OUT
BB  187     CMD_HW_SWD_SET_DIR_IN
BC  188     CMD_HW_SWD_ENABLE_SWCLK
BD  189     CMD_HW_SWD_DISABLE_SWCLK
BE  190     CMD_SEND_CONFIG_DATA
BF  191     CMD_GET_CONFIG_DATA_CRC
C0  192     CMD_GET_SPEEDS
C1  193     CMD_GET_HW_INFO
C2  194     CMD_GET_COUNTERS
C3  195     CMD_TEST_NET_SPEED
C4  196     CMD_CPU2_SET_CONFIG
C5  197     CMD_CPU2_EXEC_CMD
C6  198     CMD_GET_CPU2_CAPS
C7  199     CMD_HW_SELECT_IF
C8  200     CMD_HW_CLOCK
C9  201     CMD_HW_TMS0
CA  202     CMD_HW_TMS1
CB  203     CMD_HW_DATA0
CC  204     CMD_HW_DATA1
CD  205     CMD_HW_JTAG
CE  206     CMD_HW_JTAG2
CF  207     CMD_HW_JTAG3
D0  208     CMD_HW_RELEASE_RESET_STOP_EX
D1  209     CMD_HW_RELEASE_RESET_STOP_TIMED
D2  210     CMD_ECODE_DOWNLOAD
D3  211     CMD_ECODE_EXEC
D4  212     CMD_GET_MAX_MEM_BLOCK
D5  213     CMD_HW_JTAG_WRITE
D6  214     CMD_HW_JTAG_GET_RESULT
D7  215     CMD_POWERTRACE
D8  216     CMD_HW_JTAG_ENABLE_IF
D9  217     CMD_HW_JTAG_DISABLE_IF
DA  218     CMD_HW_TCK0
DB  219     CMD_HW_TCK1
DC  220     CMD_HW_RESET0
DD  221     CMD_HW_RESET1
DE  222     CMD_HW_TRST0
DF  223     CMD_HW_TRST1
E0  224     CMD_HW_FINE_WRITE_READ
E1  225     CMD_CDC_EXEC
E2  226     CMD_CDC_SET_HOOK_FUNCS
E3  227
E4  228     CMD_WRITE_CLONE_INFO
E5  229     CMD_GET_CPU2_CAPS_DLL_VERSION
E6  230     CMD_READ_OTS
E7  231     CMD_WRITE_OTS
E8  232     CMD_GET_CAPS
E9  233     CMD_GET_CPU_CAPS
EA  234     CMD_EXEC_CPU_CMD
EB  235     CMD_SWO
EC  236     CMD_RAWTRACE
ED  237     CMD_GET_CAPS_EX
EE  238     CMD_EMUCOM
EF  239     CMD_TEST_NET
F0  240     CMD_GET_HW_VERSION
F1  241     CMD_WRITE_DCC
F2  242     CMD_WRITE_CONFIG
F3  243     CMD_READ_CONFIG
F4  244     CMD_WRITE_MEM
F5  245     CMD_READ_MEM
F6  246     CMD_MEASURE_RTCK_REACT
F7  247     CMD_WRITE_MEM_ARM79
F8  248     CMD_READ_MEM_ARM79
F9  249     CMD_RUN_STOP
FA  250     CMD_READ_DCC
FB  251     CMD_WRITE_DCC_EX
FC  252     CMD_USER
FD  253     CMD_SHORTEN_LIFE
FE  254     CMD_READ_EMU_MEM
FF  255     CMD_USBTEST

霸气侧漏

taoist 发表于 2016-7-15 21:00
呵呵，当年我公布CMD_READ_EMU_MEM时用的是周立功的usb调试助手1.2，根本不需要写代码，自己试吧，只能用在 ...

能感受到你的心情

taoist

sblpp 发表于 2016-7-15 20:57
读出来的也没卵用，这个boot只能用于自个的jlink v9上，烧写到别的上面不识别的。还有一大段代码是和唯一ID ...

动动脑嘛。 。 。

sblpp

taoist 发表于 2016-7-15 21:07
动动脑嘛。 。 。

脑筋一动，求助大神

huangqi412

taoist 发表于 2016-7-15 21:00
呵呵，当年我公布CMD_READ_EMU_MEM时用的是周立功的usb调试助手1.2，根本不需要写代码，自己试吧，只能用在 ...

t大神来了   弱弱问 那个周立功助手能跟串口一样预先准备多条数据帧发送？   我用bushound只能手工一步步弄 手速不够快发出命令没来得及读结果它就重枚举了

taoist

huangqi412 发表于 2016-7-15 21:13
t大神来了   弱弱问 那个周立功助手能跟串口一样预先准备多条数据帧发送？   我用bushound只能手工一步步 ...

一条一条发呀，有接收缓存的呀

huangqi412

taoist 发表于 2016-7-15 21:14
一条一条发呀，有接收缓存的呀

发完01.   还没去read端点就已经重枚举了  这是bushound      v9经过几次练习勉强可以读
周立功那个估计是有端点读线程一直在跑

chenchaoting

楼主能把你的测试工程传上来么，也来测试一下V9

tsb0574

V8 要的flash地址不同！

huangqi412

sblpp 发表于 2016-7-15 20:57
读出来的也没卵用，这个boot只能用于自个的jlink v9上，烧写到别的上面不识别的。还有一大段代码是和唯一ID ...

我又不做盗版 只是心血来潮验证这么粗暴的后门 瞻仰下t大神  管他怎么加密   只建议你分析代码前先抓到读uid的地方  也许运气好可以很简单骗过

boboo

taoist 发表于 2016-7-15 21:37
呀，竟然找到了当年写的一份文档。 。 。
拿去玩吧 。 。 。

电脑里应该有以前专门写的udt转bin文件，一时间找不到了

taoist

boboo 发表于 2016-7-15 21:40
电脑里应该有以前专门写的udt转bin文件，一时间找不到了

您胃口真好。 。 。

boboo

sblpp 发表于 2016-7-15 20:57
读出来的也没卵用，这个boot只能用于自个的jlink v9上，烧写到别的上面不识别的。还有一大段代码是和唯一ID ...

人脑猜想，电脑验证。
哪怕是穷举，也可能是最简单的方式

boboo

taoist 发表于 2016-7-15 21:43
您胃口真好。 。 。

懒得装那个UE软件。。。。

相比之下，写个读写文件的小软件更简单

taoist

boboo 发表于 2016-7-15 21:46
懒得装那个UE软件。。。。

相比之下，写个读写文件的小软件更简单

话说，mac版的UE的破解方法挺有意思，呵呵
UE居然有一个函数叫IsRegisted，呵呵，返回值一改，破解了，真没劲。 。  。

wwt3100_fvck

为什么我在VS2013 win7环境下测试代码writefile会报异常呢...

huangqi412

chenchaoting 发表于 2016-7-15 21:22
楼主能把你的测试工程传上来么，也来测试一下V9

BUSHOUND帧数据都给出来了，建个工程照着发数据就行。

chenweihx

这么多人都开始研究了

32MCU

标记下。备用。

amlt_shifu

这位大神，请教一下，boot  跳转到 jlink 的APP ，boot还会做什么验证码？ 还有jink 升级的时候  还会验证 DLL 文件中的有效性吗？

huangqi412

amlt_shifu 发表于 2017-1-21 18:53
这位大神，请教一下，boot  跳转到 jlink 的APP ，boot还会做什么验证码？ 还有jink 升级的时候  还会验证  ...

不是大神，  只是验证一下大神的帖子，别的一概不知，也不关心。

iot1991

请教一下大神，C:\Users\Administrator\Pictures\1, 发 01 命令 没有响应

iot1991

这是两张错误的提示，第一个是运行程序时，报的错误，第二个是抓取数据时的设备没响应，求大神给看一下

huangqi412

iot1991 发表于 2017-2-12 18:16
这是两张错误的提示，第一个是运行程序时，报的错误，第二个是抓取数据时的设备没响应，求大神给看一下  ...

你都没有out包……  jlink是一问一答的 你都没问它那有神马反应
估计你都没打开usb句柄……   先不要写软件  直接用bushound手动收发调试……

huangqi412

看错了  看到第一条就是out包了  应该是没有马上读in包超时了  你是手动还是软件读写的  手动可能跟不上  软件的话确认下读程序有没bug

huangqi412

in包按我图上来 先读两字节

huangqi412

你可以用按键精灵这类软件录制动作代替手按 可以加速操作

iot1991

huangqi412 发表于 2017-2-12 19:27
看错了  看到第一条就是out包了  应该是没有马上读in包超时了  你是手动还是软件读写的  手动可能跟不上   ...

按照你说的试了， 发现返回时 over run 是数据溢出， 是我手速太慢了吗

huangqi412

iot1991 发表于 2017-2-12 19:39
按照你说的试了， 发现返回时 over run 是数据溢出， 是我手速太慢了吗

估计是跟不上 你用录制吧

32MCU

标记。看下命令。

iot1991

huangqi412 发表于 2017-2-13 08:46
估计是跟不上 你用录制吧

我换了一下思路， 我用vc的代码发送命令01，BUSHOUND 只用来读，可以读回2个字节的数据    70 00， 后面的数据就读不到了， 我就开始测试代码了， 但是代码死在了 WriteFile() 函数， 发现总线 抓取到了01 这个命令，没有回复
错误提示如下：

huangqi412

iot1991 发表于 2017-2-13 21:41
我换了一下思路， 我用vc的代码发送命令01，BUSHOUND 只用来读，可以读回2个字节的数据    70 00， 后面 ...

的，这个，你的目标是读固件研究还是测试下JLINK命令玩玩，  如果是读固件研究，还可以用木马方式。   也许你可以上传代码或工程让其他人帮你看看问题。  

huangqi412

两次READ之间应该也是有超时机制的。

iot1991

huangqi412 发表于 2017-2-13 23:14
两次READ之间应该也是有超时机制的。

手里有好几个jlink v9,有出问题的，想着研究一下，能不能解决挽救一下手里固件的jlink，我上传一下我写的工程， 大神给看一下哪里有问题。
我用vc2010 写的，看哪里有问题，

iot1991

iot1991 发表于 2017-2-14 10:11
手里有好几个jlink v9,有出问题的，想着研究一下，能不能解决挽救一下手里固件的jlink，我上传一下我写的 ...

另外我也用了木马的形式， 有一个问题，就是jlink 有固件完整性验证，是有验证，我试了一次，固件升级失败，结果把你一个好的jlink 给弄成砖头了。
内部验证机制不知道如何入手了。

boboo

iot1991 发表于 2017-2-14 10:11
手里有好几个jlink v9,有出问题的，想着研究一下，能不能解决挽救一下手里固件的jlink，我上传一下我写的 ...

首先确定01命令能否读出正确版本信息？

iot1991

boboo 发表于 2017-2-14 19:35
首先确定01命令能否读出正确版本信息？

因为手速问题， 我只能都回来 70 00 这两个数据， 就是后面的数据一直没读回来，如果能返回70 00 也算是正确了，后面的数据我用bus hound 怎么抓也抓不到了， 试了按键精灵， 没试出来。

boboo

iot1991 发表于 2017-2-14 20:37
因为手速问题， 我只能都回来 70 00 这两个数据， 就是后面的数据一直没读回来，如果能返回70 00 也算是 ...

间隔时间太长就会这种问题。

你不是有软件写吗?
直接软件读01看能不能正确   

stevenh

谢谢分享！

huangqi412

iot1991 发表于 2017-2-14 10:13
另外我也用了木马的形式， 有一个问题，就是jlink 有固件完整性验证，是有验证，我试了一次，固件升级失 ...

01命令需要分两次读取，比较麻烦，你能读到第一段应该问题不大了。你试试直接测试FE命令，FE加地址+长度 然后READ长度。这个只要读一次数据。如果成功了，可以读回来FLASH。
按我参考的那贴说法，应该没验证机制的。   你把RST向量重新映射到一块空白FLASH,在空白FLASH里写自己的代码吐固件，并且决定是否再次跳回原本的RST向量指向位置。
你是V9么，坛里有人发过一个不可自动升级的固件以及固件提取工具。可以从对应SEGGER软件提取固件手工烧入。

huangqi412

iot1991 发表于 2017-2-14 10:11
手里有好几个jlink v9,有出问题的，想着研究一下，能不能解决挽救一下手里固件的jlink，我上传一下我写的 ...

上个完整工程试试

iot1991

huangqi412 发表于 2017-2-15 09:26
上个完整工程试试

按照你给我的思路，可以了，最后提取成功，烧写到的砖头的v9 成功救活，测试了一下，可以自动升级， 谢谢了。  ， 感激无以言谢

huangqi412

iot1991 发表于 2017-2-15 12:26
按照你给我的思路，可以了，最后提取成功，烧写到的砖头的v9 成功救活，测试了一下，可以自动升级， 谢谢 ...

救回来砖头了就好

ersha4877

iot1991 发表于 2017-2-15 12:26
按照你给我的思路，可以了，最后提取成功，烧写到的砖头的v9 成功救活，测试了一下，可以自动升级， 谢谢 ...

兄弟把具体的思路也说说啊,给后面的兄弟提示下啊

iot1991

ersha4877 发表于 2017-2-15 16:32
兄弟把具体的思路也说说啊,给后面的兄弟提示下啊

思路 huangqi412 大神已经说的很清楚了， 代码我也上传上去了， 总是要些独立思考的啊

philip_0620

taoist 发表于 2016-7-15 21:05
命令表：

01  1       CMD_VERSION

大神，V10还能用FE读取不？

taoist

philip_0620 发表于 2017-2-27 14:50
大神，V10还能用FE读取不？

可以......填充长度

dso_2012

segger 的这个DLL 是如何写的？他用的什么驱动啊

taoist

dso_2012 发表于 2017-3-1 17:03
segger 的这个DLL 是如何写的？他用的什么驱动啊

Se99er自己写的，以前PowerPAC USB stack中有部分上位机源代码，推测emusb也是提供源代码的

myxiaonia

Seeger也是太不走心了，升级用的文件竟然没加密也没有校验，导致阿猫阿狗都能下载进去，结果被下个木马把底都给掏出来了

ersha4877

这个方法好象不能用了，最新的软件返回都是0

SUPER_CRJ

错误        1        error LNK2019: 无法解析的外部符号 __imp__SetupDiEnumDeviceInterfaces@20，该符号在函数 _wmain 中被引用        C:\Users\admin\Desktop\设计文件\1：JlinkV9自动升级破解\2：C++程序\JlinkV9Test\ConsoleApplication1\ConsoleApplication1\ConsoleApplication1.obj        ConsoleApplication1

这是怎么回事，你让只会C#的人情何以堪？？？？

SUPER_CRJ

SUPER_CRJ 发表于 2017-8-9 18:10
错误        1        error LNK2019: 无法解析的外部符号 __imp__SetupDiEnumDeviceInterfaces@20，该符号在函数 _wmain  ...

我特意网上找上找资料建立了一个C++工程，最后定位为：链接库的问题，我把JLinkARM.dll都放到工程文件下，网上资料说是：没有lib文件，我想说：我怎么会有lib文件，这个要怎么做？？？

taoist

ersha4877 发表于 2017-7-3 08:36
这个方法好象不能用了，最新的软件返回都是0

是呀，谁让你们这么高调呢……

某公司自以为聪明，从V6.16加了一个开关，要先用CMD_SET_EMU_OPTION(0x0E)命令打开此功能，同时输入一个加密的seed。这样CMD_READ_EMU_MEM(0xFE)才能使用，而且吐出的数据还加了密。

然并卵～，使用官方公布的降版本命令，退回到V6.16以前，照吐不误……超蠢的加密

ersha4877

taoist 发表于 2017-8-10 06:52
是呀，谁让你们这么高调呢……

某公司自以为聪明，从V6.16加了一个开关，要先用CMD_SET_EMU_OPTION(0x0E ...

哈哈,也是,不过到时买个V10的EDU支持下公司

huxiaoping

taoist 发表于 2017-8-10 06:52
是呀，谁让你们这么高调呢……

某公司自以为聪明，从V6.16加了一个开关，要先用CMD_SET_EMU_OPTION(0x0E ...

大师降版本怎么搞，我这买了个V10，偶尔反复要求升级，估计哪里有问题，请问能解决么，

想试试来降级看看能不能搞好

taoist

huxiaoping 发表于 2020-10-21 22:21
大师降版本怎么搞，我这买了个V10，偶尔反复要求升级，估计哪里有问题，请问能解决么，

想试试来降级看 ...

User manual里讲如何降级FW

在Jl1nk commander里使用exec invalidatefw命令即可

huxiaoping

taoist 发表于 2020-10-26 13:04
User manual里讲如何降级FW

在Jl1nk commander里使用exec invalidatefw命令即可

非常感谢，在V9上试了下确实可以