千家信息网

硬件学习之通过树莓派操控 jtag

发表于:2025-01-21 作者:千家信息网编辑
千家信息网最后更新 2025年01月21日,作者:Hcamael@知道创宇404实验室时间:2019年10月21日原文链接: https://paper.seebug.org/1060/最近在搞路由器的时候,不小心把CFE给刷挂了,然后发现能通
千家信息网最后更新 2025年01月21日硬件学习之通过树莓派操控 jtag
作者:Hcamael@知道创宇404实验室
时间:2019年10月21日
原文链接: https://paper.seebug.org/1060/

最近在搞路由器的时候,不小心把CFE给刷挂了,然后发现能通过jtag进行救砖,所以就对jtag进行了一波研究。

最开始只是想救砖,并没有想深入研究的想法。

救砖尝试

变砖的路由器型号为:LinkSys wrt54g v8

CPU 型号为:BCM5354

Flash型号为:K8D6316UBM

首先通过jtagulator得到了设备上jtag接口的顺序。

正好公司有一个jlink,但是参试了一波失败,识别不了设备。

随后通过Google搜到发现了一个工具叫: tjtag-pi

可以通树莓派来控制jtag,随后学习了一波树莓派的操作。

树莓派Pins

我使用的是rpi3,其接口编号图如下:

或者在树莓派3中可以使用 gpio readall查看各个接口的状态:

rpi3中的Python有一个 RPi.GPIO模块,可以控制这些接口。

举个例子:

>>> from RPi import GPIO>>> GPIO.setmode(GPIO.BCM)>>> GPIO.setup(2, GPIO.OUT)>>> GPIO.setup(3, GPIO.IN)

首先是需要进行初始化GPIO的模式,BCM模式对应的针脚排序是上面图中橙色的部门。

然后可以对各个针脚进行单独设置,比如上图中,把2号针脚设置为输出,3号针脚设置为输入。

>>> GPIO.output(2, 1)>>> GPIO.output(2, 0)

使用output函数进行二进制输出

>>> GPIO.input(3)1

使用input函数获取针脚的输入。

我们可以用线把两个针脚连起来测试上面的代码。

将树莓派对应针脚和路由器的连起来以后,可以运行tjtag-pi程序。但是在运行的过程中却遇到了问题,经常会卡在写flash的时候。通过调整配置,有时是可以写成功的,但是CFE并没有被救回来,备份flash的数据,发现并没有成功写入数据。

因为使用轮子失败,所以我只能自己尝试研究和造轮子了。

jtag

首先是针脚,我见过的设备给jtag一般是提供了5 * 2以上的引脚。其中有一般都是接地引脚,另一半只要知道4个最重要的引脚。

这四个引脚一般情况下的排序是:

TDITDOTMSTCK

TDI表示输入,TDO表示输出,TMS控制位,TCK时钟输入。

jtag大致架构如上图所示,其中TAP-Controller的架构如下图所示:

根据上面这两个架构,对jtag的原理进行讲解。

jtag的核心是TAP-Controller,通过解析TMS数据,来决定输入和输出的关系。所以我们先来看看TAP-Controller的架构。

从上面的图中我们可以发现,在任何状态下,输出5次1,都会回到 TEST LOGIC RESET状态下。所以在使用jtag前,我们先通过TMS端口,发送5次为1的数据,jtag的状态机将会进入到RESET的复原状态。

当TAP进入到 SHIFT-IR的状态时, Instruction Register将会开始接收TDI传入的数据,当输入结束后,进入到 UPDATE-IR状态时将会解析指令寄存器的值,随后决定输出什么数据。

SHIFT-DR则是控制数据寄存器,一般是在读写数据的时候需要使用。

讲到这里,就出现一个问题了,TMS就一个端口,jtag如何知道TMS每次输入的值是多少呢?这个时候就需要用到TCK端口了,该端口可以称为时钟指令。当TCK从低频变到高频时,获取一比特TMS/TDI输入,TDO输出1比特。

比如我们让TAP进行一次复位操作:

for x in range(5):    TCK 0    TMS 1    TCK 1

再比如,我们需要给指令寄存器传入0b10:

1.复位

2.进入RUN-TEST/IDLE状态

TCK 0TMS 0TCK 1

3.进入SELECT-DR-SCAN状态

TCK 0TMS 1TCK 1

4.进入SELECT-IR-SCAN状态

TCK 0TMS 1TCK 1

5.进入CAPTURE-IR状态

TCK 0TMS 0TCK 1

6.进入SHIFT-IR状态

TCK 0TMS 0 TCK 1

7.输入0b10

TCK 0TMS 0TDI 0TCK 1TCK 0TMS 1TDI 1TCK 0

随后就是进入 EXIT-IR -> UPDATE-IR

根据上面的理论我们就可以通过写一个设置IR的函数:

def clock(tms, tdi):    tms = 1 if tms else 0    tdi = 1 if tdi else 0    GPIO.output(TCK, 0)    GPIO.output(TMS, tms)    GPIO.output(TDI, tdi)    GPIO.output(TCK, 1)    return GPIO.input(TDO)def reset():    clock(1, 0)    clock(1, 0)    clock(1, 0)    clock(1, 0)    clock(1, 0)    clock(0, 0)def set_instr(instr):    clock(1, 0)      clock(1, 0)    clock(0, 0)    clock(0, 0)    for i in range(INSTR_LENGTH):        clock(i==(INSTR_LENGTH - 1), (instr>>i)&1)    clock(1, 0)    clock(0, 0)

把上面的代码理解清楚后,基本就理解了TAP的逻辑。接下来就是指令的问题了,指令寄存器的长度是多少?指令寄存器的值为多少时是有意义的?

不同的CPU对于上面的答案都不一样,通过我在网上搜索的结果,每个CPU应该都有一个bsd(boundary scan description)文件。本篇文章研究的CPU型号是 BCM5354,但是我并没有在网上找到该型号CPU的bsd文件。我只能找了一个相同厂商不同型号的CPU的bsd文件进行参考。

bcm53101m.bsd

在该文件中我们能看到jtag端口在cpu端口的位置:

"tck              : B46  , " &"tdi              : A57  , " &"tdo              : B47  , " &"tms              : A58  , " &"trst_b           : A59  , " &attribute TAP_SCAN_RESET of trst_b                   : signal is true;attribute TAP_SCAN_IN    of tdi                      : signal is true;attribute TAP_SCAN_MODE  of tms                      : signal is true;attribute TAP_SCAN_OUT   of tdo                      : signal is true;attribute TAP_SCAN_CLOCK of tck                      : signal is (2.5000000000000000000e+07, BOTH);

能找到指令长度的定义:

attribute INSTRUCTION_LENGTH of top: entity is 32;

能找到指令寄存器的有效值:

attribute INSTRUCTION_OPCODE of top: entity is  "IDCODE       (11111111111111111111111111111110)," &  "BYPASS       (00000000000000000000000000000000, 11111111111111111111111111111111)," &  "EXTEST       (11111111111111111111111111101000)," &  "SAMPLE       (11111111111111111111111111111000)," &  "PRELOAD      (11111111111111111111111111111000)," &  "HIGHZ        (11111111111111111111111111001111)," &  "CLAMP        (11111111111111111111111111101111) " ;

当指令寄存器的值为 IDCODE的时候,IDCODE寄存器的输出通道开启,我们来看看IDCODE寄存器:

attribute IDCODE_REGISTER of top: entity is  "0000"             & -- version  "0000000011011111" & -- part number  "00101111111"      & -- manufacturer's identity  "1";                   -- required by 1149.1

从这里我们能看出IDCODE寄存器的固定输出为: 0b00000000000011011111001011111111

那我们怎么获取TDO的输出呢?这个时候数据寄存器DR就发挥作用了。

  1. TAP状态机切换到SHIFT-IR
  2. 输出IDCODE到IR中
  3. 切换到SHIFT-DR
  4. 获取INSTRUCTION_LENGTH长度的TDO输出值
  5. 退出

用代码形式的表示如下:

def ReadWriteData(data):    out_data = 0    clock(1, 0)    clock(0, 0)    clock(0, 0)    for i in range(32):                    out_bit  = clock((i == 31), ((data >> i) & 1))        out_data = out_data | (out_bit << i)    clock(1,0)    clock(0,0)    return out_datadef ReadData():    return ReadWriteData(0)def WriteData(data):    ReadWriteData(data)def idcode():    set_instr(INSTR_IDCODE)    print(hex(self.ReadData()))

因为我也是个初学者,边界扫描描述文件中的内容并不是都能看得懂,比如在边界扫描文件中并不能看出BYPASS指令是做什么的。但是在其他文档中,得知BYPASS寄存器一般是用来做测试的,在该寄存器中,输入和输出是直连,可以通过比较输入和输出的值,来判断端口是否连接正确。

另外还有边界扫描寄存器一大堆数据,也没完全研究透,相关的资料少的可怜。而且也找不到对应CPU的文档。

当研究到这里的时候,我只了解了jtag的基本原理,只会使用两个基本的指令(IDCODE, BYPASS)。但是对我修砖没任何帮助。

没办法,我又回头来看tjtag的源码,在tjtag中定义了几个指令寄存器的OPCODE:

INSTR_ADDRESS = 0x08INSTR_DATA    = 0x09INSTR_CONTROL = 0x0A

照抄着tjtag中flash AMD的操作,可以成功对flash进行擦除,写入操作读取操作。但是却不知其原理。

这里分享下我的脚本: jtag.py

flash 文档: https://www.dataman.com/media/datasheet/Samsung/K8D6x16UTM_K8D6x16UBM_rev16.pdf

接下来将会对该flash 文档进行研究,并在之后的文章中分享我后续的研究成果。

寄存器 输出 状态 指令 输入 数据 针脚 研究 时候 端口 文件 树莓 型号 面的 接口 文档 架构 控制 两个 代码 数据库的安全要保护哪些东西 数据库安全各自的含义是什么 生产安全数据库录入 数据库的安全性及管理 数据库安全策略包含哪些 海淀数据库安全审计系统 建立农村房屋安全信息数据库 易用的数据库客户端支持安全管理 连接数据库失败ssl安全错误 数据库的锁怎样保障安全 口碑好的网络技术供应 跨境电商物流系统软件开发 pop3的服务器地址 品管部怎么建立数据库 服务器域名被攻击 英雄联盟服务器断开链接怎么回事 软件开发的悖论 崇明区品质数据库活动简介 it行业软件开发好吗 二级access数据库程序设 放弃大专去学软件开发值吗 sql代码创建hsc数据库 重庆网络安全专业可以升本吗 火影不同的服务器可以组队吗 淘宝用什么服务器 郑州新维度网络技术有限公司 大华监控存储服务器安装教程 浙江美讯网络技术公司 大学生个人简历软件开发模板 盛京银行网络安全规划设计知网 方舟创建的服务器搜不出来 java电影存入数据库 广州服务器报废哪家服务好 安卓app 和服务器的搭建 网络技术三级成绩什么时候出来 凡人修真一键端数据库密码 江苏数据库防护箱推荐厂家 数据库中实体完整性如何实现 华为网络安全考试报名 河北省网络安全技术协会
0