Как прошить модем мтс huawei 829f под всех операторов
Перейти к содержимому

Как прошить модем мтс huawei 829f под всех операторов

  • автор:

Прошивка для модема 829F МТС — разлочка под всех операторов

Прошивка модема МТС 829f под всех операторов требуется пользователям, в районе проживания которых сеть МТС имеет слабый сигнал. Выполнить разблокировку можно при помощи специального софта.

Характеристики модема 829F от МТС

Устройство поддерживает множество стандартов связи, характерных для 2–4 поколений мобильных сетей. В корпусе есть два разъёма для установки антенн, слот для SD-карты до 32 Гб. Поддерживаемая скорость интернета до 10 Мб в секунду.

прошивка модема mts 829f

Программы для прошивки

MTS 829 F настроен по алгоритму четвёртой версии, поэтому его сложнее разблокировать, чем тот же 827F. Чтобы сгенерировать код, потребуется воспользоваться Huawei Code Reader. Чтобы получить код для снятия блокировки, потребуется узнать IMEI и Encrypted Block модема.

Если разлочка не удалась, потребуется дополнительно установить PC UI interface. При помощи программы пользователь увеличивает шанс удачной разблокировки МТС 829F.

Разлочить модем МТС 829F под все симки

Чтобы снять блокировку, необходимо:

  1. Скачать и установить программу.
  2. Вставить устройство в USB слот компьютера, предварительно отключив программу.
  3. Установить драйвер для модема, содержащийся в комплекте.
  4. Отключить программное обеспечение модема, не извлекая его, и запустить Code Reader. Если не получается, отключите антивирус и установите NET Framework версии 4.5 или выше. Если программа не видит модема, проверьте версию программного обеспечения последнего.
  5. Запустите считывание данных.
  6. В списке портов большинство слотов заполнится различной информацией. Если этого не произошло, удостоверьтесь, что на компьютере установлены драйвера. В логах программы появляется информация:
    • модель модема: E 3372;
    • номер IMEI из 15 знаков;
    • версия программного обеспечения, например, CL2 E3372 HM;
    • серийный номер устройства из 16 знаков;
    • версии прошивки, dashboard;
    • дата установки ПО;
    • заблокирована ли SIM-карта и количество попыток ввода кода.

Корректное отображение последнего пункта зависит от симки, установленной в устройство. Программа правильно распознаёт блокировку только со сторонними SIM-картами. Чтобы попытаться снять блокировку, в последнем пункте количество попыток должно быть больше нуля.

модем мтс 829f прошить на все операторы

Получив информацию об устройстве, можно перейти к разблокировке:

  1. Проверьте, заполнились ли блоки Hash информацией. Если да, запустите расчёт Encrypted блока. Программа может считать до 15 минут, скорость обработки информации зависит от производительности ПК. По окончании процесса Encrypted блок окажется заполненным символами.
  2. Полученный код используется для заказа кода разблокировки. Это можно сделать на нескольких сервисах, но в большинстве случаев программа платная.
  3. После оплаты система переведёт пользователя на страницу ввода информации. Необходимо ввести модель и IMEI, полученный в Code Reader.
  4. Отправьте данные на сервер. После непродолжительной обработки система вернёт код, который используется для снятия блокировки.
  5. Запустите программу модема со вставленной сим-картой не МТС. Приложение запросит ввести код. Скопируйте и вставьте полученный ранее код в программу и отправьте его на проверку.

По окончании процесса разлочка завершится. Теперь модем может работать с любыми SIM-картами.

модем mts 829f прошить

Как восстановить модем МТС 829F после неудачной прошивки

Прошивка модема может завершиться неудачно, если пользователь исчерпает попытки ввода кода. Восстановить устройство можно иголкой: этот метод представляет собой перепрошивку модема через компьютер. При помощи PC UI interface пользователь создаёт новый порт, что увеличивает максимальное количество попыток ввода.

3Ginfo

rash_b
21 дек : 18:06
sadik5572, все архивы без паролей

sadik5572
20 дек : 20:03
загрузка не идет пароль спрашивает

sadik5572
20 дек : 20:02
Прошивка Huawei E3372s-153 21.286.03.01.209 Megafon

sadik5572
20 дек : 20:02
подскажите пароль от архива дашборад

sadik5572
20 дек : 20:01
Добрый вечер

antenna161
16 ноя : 19:00
Добрый вечер! Не подскажите как дружить модем zte mf192 с андроидом

rash_b
09 ноя : 06:25
Sergavens, ввести тот же код.

Sergavens
07 ноя : 22:17
8810ft обновляется прошивка, слетает разлочка. Есть решение?

Katsu
26 окт : 09:46
Можете помочь разлочить под все симки роутер huawei e5576-320?

vugart72
26 окт : 07:50
8810ft

В сети

Гостей: 26, Пользователей: 0 .

рекорд он-лайн: 522
(Пользователей: 0, Гостей: 522) в 07 апр : 07:58

Поиск 3Ginfo
Поддержи проект

МТС 829F (Huawei E3372h) разблокировка от оператора МТС

Некоторое время назад в салонах связи МТС появился новый 4G модем — МТС 829F. Недолго думая, мы нашли именно эту модель и представляем вам на суд способ, с помощью которого вы сможете использовать любые симкарты независимо от оператора. Купив данную модель, выяснилось следующее: производитель модема huawei, в классификации производителя это Huawei E3372h, т.е. фактически все тот же модем МТС 827F, отличие только в версии прошивки.

Данные, которые показывает DC-unlocker client:

Found modem : E3372
Model : Huawei E3372 / MTC 827F
IMEI : 868757020*****5
Serial NR. : G4PDW15916*****9
Firmware : 21.180.09.00.143
Compile date / time : Dec 18 2014 16:47:31
Hardware ver. : CL2E3372HM
Dashboard version : UTPS23.015.05.07.143_MAC23.015.05.07.143
SIM Lock status : Locked (Card Lock)
Wrong codes entered : 0 (unlock attempts left : 10)

Обратим внимание на: версию прошивки 21.180.09.00.143, серийный номер: G4PDW15916*****9 и имей: 868757020*****5. Сделаем выводы, в полку модемов AlGO v4 прибыло, т.е. МТС 829F с серийным номером на G4P можно разблокировать, используя Huawei 2015 Code Reader.

1. До покупки кода разблокировки, необходимо проверить имеется ли запрос кода для разблокировки сети, когда вы вставляете в модем симкарту «чужого» опертора.

2. Скачиваем программу Huawei 2015 Code Reader и распаковываем удобную для вас папку.

3. Закрываем софт от модема и запускаем Huawei 2015 Code Reader.

4. В программе нажимаем на кнопку «1. Detect», должны появиться COM-порты доступные в системе.

5. Необходимо выбрать COM порт от модема МТС 829F и нажимаем кнопку «2. Connect», после это у вас должны заполниться поля Hash 1 и Hash 2, а также высветится информация о модеме.

6. Теперь нажимаем на кнопку «3. Process» и дожидаемся завершения процесса получения Encrypted Block.

Результат должен получиться в таком виде:

IMEI: 868757020*****5
— [ Begin Encrypted Block ] —
47056175631D4330561C7775395A3C4C78607665694745
—- [ End Encrypted Block ] —-

Запишите эти данные, они вам понадобятся для покупки кода разблокировки.

7. Приобретаем товар: Разблокировка модемов и роутеров Huawei (2015 г.) Код.
7.1. Сразу после оплаты, вам будет доступна форма для заполнения, в которой необходимо указать:
— Адрес электронной почты (email);
— IMEI;
— Encrypted Block;

7.2. Если же форма не появилась, к примеру, вы не нажали на ссылку «Вернуться к продавцу», то у вас на почте должно быть письмо с темой: «Oplata.Info: покупка на площадке Плати.Ру«, в этом письме ссылка на купленный товар. Перейдя по этой ссылке вы увидите форму для заполнения.

7.3. Заполняете форму внимательно и без ошибок. Нажимаете кнопку «Отправить».

7.4. В тот же самый момент код разблокировки высветится в разделе «Оплаченный товар»

8. Теперь вам необходимо вставить в модем симку «чужого» оператора и подключить его к ПК. В появившемся окне для ввода кода разблокировки ввести полученный NCK код.

На этом разблокировка модема МТС 829F (Huawei E3372h) завершена.

Как прошить модем МТС 829F (E3372H) под всех операторов и пошагово инструкция по восстановлению

У вас перестал работать модем от МТС ? Связи нет и устройство не определяется? Случаи их выхода из строя не такая уж и редкость… Как поступать в этом случае? А если есть исправный модем 829F, но еще одну сим-карту для него покупать нет желания?

Наши сотовые операторы «затачивают» свои модемы только под свои СИМ-карты. Продаются и универсальные устройства- под любую симку. Но их цена заметно выше. Хотя марка модема и фирма — производитель зачастую одни и те же.

Просто на них стоят разные программы и сделаны настройки — на универсальном от фирмы производителя, а на 829 настройки, заточенные под конкретного сотового оператора. Можно ли восстановить работоспособность 829F бесплатно, самому? Да, попробовать можно. Сегодня расскажу, как восстановить работоспособность в случае сбоя загрузчика и заодно — о способе попутно разблокировать модем от МТС 829F под всех операторов.

Производит их фирма HUAWEI в двух модификациях. В одной нужно ставить софт на компьютер, а другая имеет встроенный и запускается в браузере компьютера:

Никаких программ на компьютер сегодня ставить уже не нужно, чтобы выйти в интернет. Такой модем вставляешь в порт и через пять секунд уже в сети. Еще модификация H умеет работать как маршрутизатор, скорость и стабильность работы у него на порядок выше.

В случае сбоя загрузчика обновить модем стандартным способом (скачав прошивку на сайте МТС) не получается -устройство, порт не найден. И тогда выручит другой универсальный способ, которым я пользуюсь постоянно. Комплект программ и прошивок примененных мною качаем отсюда.

Прошивка модема huawei E3372h методом иголки, пошаговая инструкция по восстановлению работоспособности

Сегодня ко мне в руки попал очередной отказавший модем 829F от МТС. Если устройство не сгорело, то можно попробовать восстановить работу модема, переведя его сначала в аварийный режим, а затем загрузить в него нужный софт.

Преимущества данного способа — можно залить в модем сразу ЛЮБУЮ нужную прошивку, если вам не удалось найти под ваш IMEI. Не нужно использовать IMEI калькулятор в процессе.

Шаг 1. Нам потребуется предварительная подготовка — компьютер с Windows 7, набор часовых отверток, паяльник с тонким жалом, тонкий изолированный медный проводок (сантиметров 10 длинной) и острый глаз. Разбираем корпус модема, вытаскиваем плату.

Около разъема симки, с краю платы ищем четыре круглые контактные площадки. Подпаиваем к нужной к площадке наш проводок. Нужная площадка на фото крайняя справа.

Паять нужно аккуратно не торопясь, температура паяльника должна быть не выше 290 градусов; и повторюсь — тонкое жало. Не снесите мелочевку сверху, ставить ее обратно невесело!

Шаг 2. Отключаем антивирус. Если установлено ПО от модема МТС — удаляем его полностью. Устанавливаем драйвера от модемов Huawei. Пакет драйверов для Hi-Link качаем тут. Плату модема с припаянным проводком держим наготове.

Шаг 3. Прижимаем другой луженый конец провода к металлическому корпусу USB разъема или металлическому экрану (массе) и не отпуская вставляем плату модема в порт компьютера. Если все было сделано правильно, должно появится окно об установке интерфейса на ваш компьютер и номер порта.

Провод можно выпустить из рук. Модем не вытаскиваем!

Далее, нам понадобится программа загрузчик Balong, специально созданная для работы с устройствами Huawei и файл внешнего загрузчика, которые нужно будет в него прогрузить.

Запускаем программу Balong сначала пробуем обнаружить наш модем, нажав на кнопку Detect:

Выбираем файл внешнего загрузчика ( у меня их два потому как помогают разные в разное время):

Теперь прогружаем загрузчик в модем, нажав на кнопку «Load»:

Мы видим как процесс загрузки начался. Ничего не трогаем. В случае успеха мы попутно увидим установку дополнительных драйверов на компьютер. Ждем окончания их установки! Когда на модеме ярко замигает белая или зеленоватая лампочка — модем теперь готов принимать нужную прошивку.

Если лампочка не загорелась — проверьте не запущен ли на компьютере софт модема, если так, то он блокирует порт. Или перезапустите Balong и выберите другой внешний загрузчик для модема E3372h. Как прошивать модем методом иголки теперь узнали.

Скачиваем прошивки, нажимаем «Пуск» и всё — модем восстановлен. Но какую прошивку нужно скачивать?

Разблокировка модема мтс 829f под всех операторов бесплатно

Хорошо, когда вашему модему уже год или два. На самых новых модемах новая прошивка и разблокировка ее процесс платный. Нам же нужно найти прошивку нужной версии, которая умеет принимать AT команды, прошить ею модем. Ввести через консоль нужную команду разлочки модема, а потом снова поставить прошивку HI-LINK. Прошивать нужно будет методом иголки.

Сейчас нужно проверить, какая у сейчас версия прошивки, если она ниже 22.200.ххх.ххх или 21.200.ххх.ххх тогда для разблокировки вводим только код c помощью AT команды. А перепрошивка тогда необязательна. Смотрим далее, что у меня.

Как узнать версию прошивки модема huawei e3372h

Чтобы узнать версию софта вставляем модем в порт компьютера и запускаем программу DC-unlocker и автоматически определяем наличие модема, нажав на «лупу»:

У меня версия 323. Нужно скачать прошивку версии 22.180.ххх.ххх перевести модем снова в аварийный режим дождавшись лампочки, прошить модем , запустив скаченный файл.

После окончания процесса убеждаемся, что версия прошивки у нас поменялась. Снова запускаем DC-UNLOCKER и определяем это:

Теперь нужно ввести AT команду в модем для изменения настроек блокировки. Копируем команду, которая разлочит наш E3372H под всех операторов:

at^nvwrex=8268,0,12,1,0,0,0,2,0,0,0,a,0,0,0 сюда же в эту программу …

… и жмем клавишу ВВОД. Если так как на фото ниже — модем 829F разблокирован. Дальнейшие действия — опять методом иголки переводим модем в аварийный режим, ждем лампочку и шьем его прошивкой HI-LINK 22.ххх.ххх.ххх

Прошивка эта состоит из двух частей. Сначала ставим основную (firmware), потом Web интерфейс. Модем не вытаскиваем!

Собираем модем, проволочку не отпаиваем. Ее можно заизолировать, свернуть и спрятать в корпус — пригодится. Вставляем симку, проверяем работоспособность. Сначала МТС, потом можно другие. Я проверял на сбермобайле и мегафоне — работало, хотя софт от МТС �� . Прикольно.

Как я уже упоминал — преимущество способа иголки в том, что не нужно искать прошивки, подходящие под конкретные номера IMEI модема, что экономит время. Я даже заливал прошивки для huawei mini 2011 года и они работали, лучше чем из магазина. Они умели автоматом восстанавливать связь при обрыве ее. Что у меня бы не получилось, если прошивать стандартным способом. Удачи!

Как прошить модем мтс huawei 829f под всех операторов

Прикрепленное изображение Прикрепленное изображение Прикрепленное изображениеПрикрепленное изображение

Прикрепленное изображение

Прикрепленное изображение

Прикрепленное изображение

Прикрепленное изображение

Поддерживаемые диапазоны:
GSM/EDGE/EVDO/LTE/FDD/TDD/UMTS
Скорость приёма данных модемом до 150 Мбит/с,
Скорость передачи данных — до 50 Мбит/с

Поддерживаемые частоты
GSM / GPRS / EDGE 850 / 900 / 1800 / 1900
UMTS / DC-HSPA+ /WCDMA 900 / 2100
LTE 800/900/1800/2100/2600 MHz

Дополнительно
Поддержка карт MicroSD до 32 ГБ

Внешняя антенна
Тип разъема внешней антенны — CRC9, он же, по терминологии huawei — TS-5.
Модем имеет 2 антенных разъема (под MIMO-антенны), одиночная антенна подключается к разъему, ближайшему к USB

Операционные системы:
Поддержка OC Windows XP SP3, Windows Vista SP1/SP2, Windows 7, Windows 8, Mac OS X 10.5, 10.6, 10.7, 10.8, Linux

    — самый основной драйвер

    — не рекомендуется к использованию

    — Не рекомендуется к применению, убивает гаджеты с новыми прошивками.

  • HiLink Tray — Программа для отображения информации о состоянии модема в трее
    — Утилита для аварийной USB-загрузки модемов на чипсете Balong V7R2 и V7R11

  • Модифицированные прошивки для E3372h

    (последняя версия)

  • Модифицированные прошивки для E3372s
    (последняя версия)


    (в посте прошивка + морда, проша только для E3372h, морда ставится и на E3372s, и на E3372h)
    (в посте прошивка + морда, проша только для E3372h, морда ставится и на E3372s, и на E3372h)
    (в посте прошивка + морда, проша только для E3372s, морда ставится и на E3372s, и на E3372h)

    (в посте прошивка + дашборд, проша только для E3372h, дашборд ставится и на E3372s, и на E3372h)

    , Часть 2

    , не срабатывает на новых прошивках, в таком случае помогает «Прошивка» для вывода из режима загрузки.

    ( одним скриптом — без применения командной строки )

    , Часть 2

    — для тех, у кого модем работает нестабильно, переопределяется и т. д.

Прикрепленное изображение

Прикрепленное изображение

Прикрепленное изображение

Прикрепленное изображение

Модем не программируют для совместимости с роутерами, наоборот, это делают производители роутеров. Поэтому ищите список совместимых моделей с вашим роутером. Если вы ищите роутер для работы с этим модемом, то создайте тему в Выбор и сравнение. Здесь все просьбы о помощи с выбором удаляются.
Далее, если вам нужна помощь для того, чтобы подружить модем с роутером, то вам нужно спрашивать помощи в теме роутера. Почему? Потому что роутеры очень разные, люди в этой теме понятия не имеют, что нужно сделать, чтобы модем с ним заработал. Модемы же, напротив, определяются все лишь несколькими разными способами, что-то нестандартное бывает редко. У этого модема есть несколько разных способа для определения: RAS, NDIS в Stick-прошивке и RNDIS, CDC в HiLink-прошивке (RNDIS для винды, CDC для линукса, включая роутеры. И NDIS — не RNDIS, это разные вещи). Иными словами, вам необходимо дружить роутер с модемом, а не модем с роутером, поскольку драйвера должны быть заложены в нем. А что можно сделать с модем? А ничего, нужно ковырять роутер, в него производитель не заложил драйвер.
В случае, если вас гонят из темы роутера сюда, не нужно писать об этом, исключений нет и пост все равно будет удален. Лучше скиньте ссылку на этот текст в тему роутера, чтобы они поняли, что они неправы. А если не помогло — ну что, значит не судьба.

PS: самая беспроблемная схема с роутером: прошивка HiLink на модеме с автопереключением в CDC + Zyxel Keenetic 4G III rev.A с прошивкой Padavan

Сообщение отредактировал ferhad.necef — 26.05.23, 14:57

после чего шеллом станет busybox и появится нормальный редактор командной строки.
VxWorks также имеет в своем составе 2 шелла — C-shell (установленный по умолчанию) и CMD (устанавливаемый командой cmd). Какой из них удобнее — дело вкуса. В обоих шеллах имеется команда help, а более подробную информацию о работе с командной строкой VxWorks можно получить вот из этого документа — http://read.pudn.com/d…ls_users_guide_6.2.pdf
Доступ к консолям ОС модема открывает широчайшие перспективы по глубокому исследованию кода модема и скрытых его возможностях. Для любителей ковыряться в коде это просто золотое дно. Всех других хочу предупредить — бездумный ввод команд в консолях может привести к негативным последствиям — от зависания модема до разрушения важных структур данных на флеше и полной потери работоспособности. Будьте осторожны!

Сообщение отредактировал <<Abbat>> — 09.07.20, 20:51

Сообщение отредактировал ctich21 — 03.09.14, 11:13

Модифицированный веб-интерфейс для E3372 s на основе WebUI 16.100.05.00.03

Прикрепленное изображение

Прикрепленное изображение

Прикрепленное изображение

Прикрепленное изображение

Прикрепленное изображение

Прикрепленное изображение

Ориентирован на работу с прошивкой 22.286.03.00.00.
Работает также и с модифицированными прошивками 22.286.53.01.161_S_*.
Несовместим с оригинальной билайновской прошивкой 22.286.53.01.161 в части SMS.

После прошивки веб-интерфейса следует делать сброс настроек (Настройки->Система->Настр. по умолч.).

Обновляемый пост

Сообщение отредактировал Abbat1985 — 09.07.20, 20:52

Предлагаю своё решение для ситуации, когда нужно перевести HiLink-модем в режим с портами, но http://192.168.8.1/html/switchProjectMode.html (switchDebugMode.html) не работает.

Для этих портов необходим драйвер FcSerial.

Сообщение отредактировал Abbat1985 — 09.07.20, 20:53

После некоторого периода тестирования выпускаю новый релиз калькулятора nlock-кодов для модемов Huawei. В прошлом
калькуляторе, calc201, обнаружилась ошибка в расчетной ветке 7, что иногда могло привести к неправильной генерации кодов.
Теперь калькулятор умеет вычилсять 4 варианта кода — flash-код, код алгоритмов версии 1 (old algo), 2 (new_algo) и 201 (201_algo).
Также, учитывая, что многие здешние обитатели вообще не понимают, что такое командная строка, я приделал графическую морду к калькулятору. Морда написана на кроссплатформенном Qt, и имеется и в linux, и в windows-версиях калькулятора. морда выглядит так:

Прикрепленное изображение

Надеюсь, что тут все понятно. Единственное необходимое пояснение: кнопка reverse переворачивает IMEI задом наперед. Это нужно для вычисления кодов в команде at^spword модема 3372.

Linux-вресия калькулятора, кроме графической морды, имеет также режим командной строки. Если ее запустить без параметров — открывается графическая морда. Если указать парамтром IMEI — в консоль будут выданы все 4 кода. Можно также указывать ключи:

-r — перевернуть IMEI
-f — вычислить только flash-код
-1 — вычислить только код v1 (old algo)
-2 — вычислить только код v2 (new algo)
-3 вычислить только код v201 (201 algo)

Это может быть полезно при написании скриптов. Windows-версия калькулятора не имеет в себе такой функциональности — программировать под windows я не умею, да и не нужно это виндузятникам.
Во вложении 4 файла — раздельно версии под windows, linux 32 bit, linux 64 bit, и исходные тексты. Linux-версии требуют установленной в системе библиотеки Qt, windows-версия собрана статически и не требует никаких библиотек (зато имеет размер почти 4М).

В принципе, данный калькулятор процентов на 90 заменяет ветку под названием » Здесь можно получить коды разблокировки устройств БЕСПЛАТНО». И правильнее было бы повесить его в шапку этой темы. Но вряд ли барыги это допустят.

В заключении, хочу выразить благодарность пользователям rust3028 и Chujoi13 за неоценимую помощь в подготовке и тестировании этого релиза.

Сообщение отредактировал Abbat1985 — 09.07.20, 20:53

нет, нельзя. Мы же с тобой уже недавно обсуждали. Единственный способ попасть в debug снаружи — через запрос POST.
rust3028 написал скрипты для этого — Huawei E3372 (МТС 827F, Мегафон М150-2) — Обсуждение (Пост #35133017) , а ты их, насколько я помню, адаптировал под лиункс.

Еще можно сделать переключение внутри самого модема. Для этого надо написать простенькую программку:

#include <sys/types.h>
#include <sys/stat.h>
#include <sys/ioctl.h>
#include <fcntl.h>

void main() <
int nfd=open(«/dev/ndisapp»,2);
ioctl(nfd,1,0);
>

Собрать ее с помощью android ndk и запускать внутри модема. Именно таким способом производит переключение сам вебсервер.

Но тут есть подводный камень. В момент переключения SD-карта исчезает из USB-композиции и потом появляется заново. Если openwrt уже успел ее примонтировать — получишь ошибку. Поэтому использовать эту карту как extroot в openwrt сходу не получается.

Сейчас я как раз разбираю, как работает с картой AT-процессор — команду at^sd. Возможно, она поможет в этой ситуации.

Сообщение отредактировал forth32 — 30.11.14, 05:30

Кстати, у rust3028 уже имеется готовая программа переключения с произвольной задержкой, готовая для включения в autostart.

rust3028, может быть выложишь ее сюда, чтобы людям не мучаться с освоением ndk?

Автоматическое переключение модема в Debug Mode и Project Mode
Подходит для обоих модемов, на любой прошивке HiLink.

Сообщение отредактировал Abbat1985 — 09.07.20, 20:54

В качестве новогоднего подарка, пока есть свободное время, хочу опубликовать небольшой цикл из 2 статей, посвященный методам исследования одной из операционных систем модема — VxWorks. Меня давно об этом здесь просили, но как-то времени не было собраться. Информация предназначена для любителей поковыряться в потрохах модема, разобрать скрытые его возможности, понять, как он работает. Для тех кому модем нужен «воткнуть и забыть», эта информация бесполезна — просто проходите мимо, все равно ничего не поймете.

Итак, часть 1 — загрузка и разбор образа VxWorks в дизассемблере IDA.

VxWorks, как и все другие компоненты модема, хранится в одном из разделов флеш-памяти модема — разделе mtd11. Для начала нам надо получить образ этого раздела. Его можно получить обычной командой dd. Заходим в консоль линукса (телнетом, через adb, или через a-shell — все это описано в шапке). И вводим такую команду:

затем зайти по ftp на адрес 192.168.8.1 и забрать файл.

Полученный файл mtd11.bin содержит в себе упакованный образ vxworks, к которому добавлен заголовок раздела. Следующим этапом нам надо распаковать этот образ, отрезав предварительно заголовок. Это можно сделать так:

— Долго жмем ентер, пока таблица не закончится
— Закрываем лог в терминальной программе.

Полученный лог-файл содержит в себе таблицу символов. Каждая строка этой таблицы состоит из 3 полей: имени символа, его адреса, и типа (text — программный код, data — данные). Таблица имеет достаточно неприятный вид, кроме того, регулярно загажена строками «Type <CR> to continue, Q<CR> to stop: «. Наша цель — cделать из этой таблицы IDC-скрипт для импорта всех символов в базу IDA, Для этого я написал простенькую программу на С, прилагаемую к этому посту — vxsym.c. Вначале лог-файл следует открыть в текстовом редакторе, и отрезать от него в начале и в конце все строки, не относящиеся к таблице символов. Промежуточные строки «Type <CR> to continue. » уберет сама программа. Затем запускаем программу:

terminal.log в данном примере — это имя лог-файла, сохраненного из терминальной программы. В результате будет создан IDA-скрипт vxsym.idc, а на stdout будет выведена та же самая таблица символов, но приведенная к человеческому виду.
Теперь нам осталось загрузить в IDA полученный скрипт (нажать alt-f7 и выбрать файл vxsym.idc). При этом в IDA-базу будут внесены все имена из таблицы символов, а участки кода, отмеченные в таблице как TEXT, будут автоматически дизассемблированы.
На этом первый этап закончен — у нас есть готовая IDA-база, которую можно начинать разбирать и исследовать. Для тех, кто плохо знаком с ситемой команд ARM, прилагаю pdf-файл c описанием архитектуры и системы команд ARMv7.

Во второй части я расскажу о встроенном в VxWorks отладчике, жизненно необходимом для исследования кода. В качестве пример мы заставим сам модем посчитать nlock-код по алгоритму v201.

Сообщение отредактировал Abbat1985 — 09.07.20, 20:54

Часть 2 — пример исследования кода в отладчике VxWorks. Первая часть статьи здесь.

Исследовать код чисто умозрительно, разбирая последовательность инструкций в дизассемблере — конечно, можно, но достаточно тяжело. Регулярно возникает вопрос — а что в данный момент лежит в этом регистре? Перейдет ли управление по этой условной инструкции или нет? И так далее. Всегда хочется посмотреть регистры и память на живом модеме в интересующих нас точках. Фирма huawei сделала нам необычайно щедрый подарок — встроенный в VxWorks шелл с отладчиком. В качестве примера разберем такую задачу. Одной из подсистем VxWorks является процедура расчета кода разблокировки (знаменитый алгоритм v201). Когда пользователь вводит команду at^cardlock, модем рассчитывает nlock-код от своего IMEI, и сравнивает с введенным в команде. Если совпали — модем разблокируется. Не совпали — выводится сообщение ERROR. Анализом и обработкой AT-команд занимается Linux-часть модема. После приема команды через специальную подсистему обмена сообщениями (ICC) в VxWorks передается специальный запрос. По этому запросу VxWorks вычисляет и проверяет nlock-код, и возвращает в Linux через ICC ответ — совпало/не совпало. Мы попробуем заставить модем вычислить и показать нам 201-код от своего IMEI.
Команда ^cardlock — одноразовая. После того, как модем разблокировался, команда работать перестает. Но, к счастью, nlock-код требуется еще одной команде — at^datalock. Она используется для снятия блокировки с ряда служебных команд (типа ^nvrd/nvwr), и ее можно вводить сколько угодно раз. Вот с этой командой мы и будем работать.
Итак, у нас уже есть готовая IDA-база с образом VxWorks. Быстрый поиск по таблице символов дает нам процедуру с именем DRVAGENT_RcvDrvAgentDeviceDatalockSet. Именно эта процедура вызывается после приема сообщения от команды at^datalock. Но так ли это? Давайте проверим. Заходим в шелл VxWorks (C-shell) и вводим такую команду:

Break at 0x50d818c0: VerifySL Task: 0x53e964b8 (I0_TAF_FID)

NAME ENTRY TID PRI STATUS PC SP ERRNO DELAY
———- ———— ——— — ———- ——— ——— ——- ——
I0_TAF_FID vos_FidTask 53e964b8 144 STOP 50d818c0 5414ef38 0 0

task stack: base 0x5414f000 end 0x54147000 size 32768 high 896 margin 31872
exc. stack: base 0x54151ffc end 0x54151000 start 0x54152000
exc. stack: size 4092 high 624 margin 3468

proc id: 0x5245028c ((null))
options: 0x9005
VX_SUPERVISOR_MODE VX_DEALLOC_STACK VX_DEALLOC_TCB VX_DEALLOC_EXC_STACK

VxWorks Events
—————
Events Pended on : Not Pended
Received Events : 0x0
Options : N/A

r0 = 0x5372759c r1 = 0x5414ef3c r2 = 0x00000000
r3 = 0x00000000 r4 = 0x5414ef3c r5 = 0x5372759c
r6 = 0x53727580 r7 = 0x00000000 r8 = 0x5369fb60
r9 = 0x00000010 r10 = 0x0000000f r11/fp = 0x5414ef60
r12/ip = 0x32303634 r13/sp = 0x5414ef38 r14/lr = 0x51463690
pc = 0x50d818c0 cpsr = 0x600c0113 ttbase = 0x53f74000
value = 0 = 0x0

[C]->b 0x50D819C0
value = 0 = 0x0
[C]->c
Break at 0x50d819c0: VerifySL +0x100 Task: 0x53e964b8 (I0_TAF_FID)

NAME ENTRY TID PRI STATUS PC SP ERRNO DELAY
———- ———— ——— — ———- ——— ——— ——- ——
I0_TAF_FID vos_FidTask 53e964b8 144 STOP 50d819c0 5414ef0c 0 0

task stack: base 0x5414f000 end 0x54147000 size 32768 high 896 margin 31872
exc. stack: base 0x54151ffc end 0x54151000 start 0x54152000
exc. stack: size 4092 high 624 margin 3468

proc id: 0x5245028c ((null))
options: 0x9005
VX_SUPERVISOR_MODE VX_DEALLOC_STACK VX_DEALLOC_TCB VX_DEALLOC_EXC_STACK

VxWorks Events
—————
Events Pended on : Not Pended
Received Events : 0x0
Options : N/A

r0 = 0x537273ec r1 = 0x5414ef0c r2 = 0x00000006
r3 = 0x51bfe9c8 r4 = 0x5414ef0c r5 = 0x5414ef3c
r6 = 0x0000000f r7 = 0x537273ec r8 = 0x5369fb60
r9 = 0x00000010 r10 = 0x0000000f r11/fp = 0x5414ef34
r12/ip = 0x00000006 r13/sp = 0x5414ef0c r14/lr = 0x5414ef14
pc = 0x50d819c0 cpsr = 0x200c0113 ttbase = 0x53f74000
value = 0 = 0x0
[C]->d 0x5414ef0c,8,1
NOTE: memory values are displayed in hexadecimal.
0x5414ef00: 36 34 33 31 * 6341*
0x5414ef10: 35 30 38 39 *5084. *
value = 0 = 0x0

Вот так мы вычислили nlock-код c помощью модема. Этот код является абсолютно точным, образцовым. Можно при входе в процедуру VerifySL c помощью команды m вписать в память другой IMEI, и вычислить nlock-код от него. Я использовал эту возможность для отладки своего калькулятора кодов.

Возможности отладчика VxWorks очень обширны. Вот крайткий список полезных команд:

Предусмотрена там и справочная система — команда help и ее производные. Прилагаю к этому посту pdf с фирменным описанием шеллов VxWorks. Есть и другие доки от WindRiver, легко находящиеся на просторах интернета.

Надеюсь, моя статья подвигднет кого-нибдуь на изучение кода модема. Поверьте, это крайне увлекательное и полезное занятие!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *