Нужна помощь с восстановлением Hiseeu FHD-FHY Чип GM8135S

[dede]

Покажите дамп текущий и покажите как восстанавливали работу камеры (команды или логи)

[yaroslaf]

Покажите дамп текущий и покажите как восстанавливали работу камеры (команды или логи)

дамп "восстановленного" состояния по ссылке https://drive.google.com/open?id=1gi4r1 ... w_-0rIuSol" onclick="window.open(this.href);return false;
делал его как вы и советовали через "cat /dev/mtdblock0 > /sd/dump/mtd0" и тд
при восстановлении снес на камере директорию /npc, потом скопировал из развернутой бинвалком прошивки
cp -r /mnt/SD/fs_1 /npc ну или примерно так. Смысл в том, что сейчас на камере в директории /npc лежит копия содержимого папки прошивки /fs_1

Ссылка на прошивки: https://drive.google.com/open?id=1nzt0_ ... eJQmCnuPMT" onclick="window.open(this.href);return false;
там бинарники и уже распакованные

[dede]

Посмотрел ваш дамп, все выглядит отлично, есть и раздел с конфигами, там виден мак адрес, в /npc вроде бы никакого криминала нету... разве что у вас до этого, была не такая версия прошивки, получается /npc подсунули не той версии, как вся остальная прошивка...

[yaroslaf]

Посмотрел ваш дамп, все выглядит отлично, есть и раздел с конфигами, там виден мак адрес, в /npc вроде бы никакого криминала нету... разве что у вас до этого, была не такая версия прошивки, получается /npc подсунули не той версии, как вся остальная прошивка...

Спасибо.
А вы npc реверсировали? Поделитесь что да как.
Может попробовать собрать свою прошивку? SDK от grainmedia есть, правда староватый.
И где по вашему мнению может прятаться ID камеры, который уходит в р2р облако?
Предложением китайца решил воспользоваться. Так что ближе к НГ думаю будет с чем сравнить.

[yaroslaf]

Китайцы стремительным домкратом прислали вторую камеру.
Слил с нее дамп.
Ощущение, что mtdblock3 отличается.
Как наиболее удобно примонтировать дампы с старой и новой камер для сравнения? Jffs2

[dede]

Ну проще распаковать, наверное ж... если монтировать. то в линуксе только

[yaroslaf]

Ну проще распаковать, наверное ж... если монтировать. то в линуксе только

Что-то при распаковке какая-то странная структура получается с кучей повторяющихся папок с возрастающими цифрами в конце имени.
Монтировать в линуксе, да. Поставил на виртуальной машине.

[Zidky]

Здравствуйте! Аналогичны случай был с Camnoopy cn100 и какая то хрень в конце. После прошивки по воздуху новой версии слетел id и она определяется по крайним числам ip. Работает она так же через свою cms и с мобильного (работала) который совсем неудобный. Китайцы молчат и сайт сменили даже, ребрендинг у них. Но выследил ее через варешарк что она так же на rtsp://ip/onvif1" onclick="window.open(this.href);return false; и она таки подключилась, правда только через iSpy она видна, другие rtsp клиенты ее не подключают. После слета id естественно не определяется из их мега-p2p клиента. Этот id можно таки ей заменить? И еще она, гадость такая, постоянно меняет свой ip по лану. 5 минут на одном, потом 5 мин на следующем. Прикрутил ее по mac на один адрес, так она создает новое соединение и дает дубль в сеть на новом ip помимо жестко назначенного. Пока выжимаю из нее все соки через iSpy как крутящуюся смотрелку.

[yaroslaf]

Этот id можно таки ей заменить?

Добрый день. Для меня этот вопрос пока остается насущным. Я решения еще не нашел.

Ну проще распаковать, наверное ж... если монтировать. то в линуксе только

С вашего позволения процитирую еще раз для привлечения внимания.
В общем докладываю:
разнообразные махинации с подсовыванием файлов из новой камеры в старую пока результата не дают.
Снял два лога. С новой и старой камер соответственно для их сравнения. Вот что обнаружилось:
после

Код: Выделить всё

=============
 Start startup!
startup 0 0
no key detect 

происходит запуск бинарника npc. Зверь жирный и похоже что на все руки от скуки.
на новой камере лог начала его выполнения выглядит так:

Код: Выделить всё

vStarNpc:
=========================================================================
/ # WDT base virtual address = 848ac000
ftwdt010dog_ioctl, watchdog is enabled! timeout: 5s
start!shell_debug
while!
Certificate: rom file error, eeprom ok

На старой вместо "Certificate: rom file error, eeprom ok" вываливаются два сообщения "eeprom cer crc error" и "No Certificate".

Если я правильно рассуждаю, - у камеры предусмотрено два уровня "авторизации?" - один через файл, второй через проверку каких-то данных, вшитых в eeprom. Судя по всему обе камеры не находят файл, но при этом новая проходит какую-то проверку на "подписанность", а старая проваливает и ее тоже.

Далее идет одинаковый вывод в лог:

Код: Выделить всё

dwCurMDThreadhold =15 dwNewThreadhold =3
>>>>>>> in 100w or 200w MD param <<<<<<<<<
capture motion not initial
MD_Test: capture_motion_info_init error at mdt_idx(0)
info:  RTC has been used before, no need to init it 
info:  <<fgFirstRunningAfterReset =0  fgResetInit=1>>
<1>Sun Jan  1 01:01:01 2010
<3>Fri Jan  1 01:01:01 2010
>>>>>>>>>>>>SetRtspNewPasswordType(1)
vMesgQBufInit
vDevLogQThreadStart star!
iClientSocketFd = 5
p2p with init mesg
p2plib Compile Date: Oct 10 2018 18:17:58
============fgP2PInit=============

После чего новая камера вываливает еще несколько интересных строк

Код: Выделить всё

sChipInfo.dwR1=44078799, sChipInfo.dwR2=143747340
P2P: ID=16073896, R1=0x2a096cf, R2=0x891690c id=0x247a33359c1f43

bDevType=7, bDevSubType=22, 0-0-0 

fgGetCertificateInfo end... 

p2pc_comm_init end...
_convert_init_parm_cfg, devID=16073896, pcfg->devR1=44078799, pcfg->devR2=143747340, devType=7 devSubType=22
_convert_init_parm_cfg, devID=16073896, pcfg->devR1=44078799, pcfg->devR2=143747340, devType=7, devSubType=22, pcfg->maxChnNum=3
_convert_init_parm_cfg pcfg->devHelperDisable=0
_convert_init_parm_cfg authManageMsgID=0 config=0
CH0: p2pc_chnnel_init success...
p2pc_unit_init end...
_convert_init_parm_cb &pPrm->fgNoticeVAS=0x7ecfbc18 pPrm->fgNoticeVAS=0x4d1ac &cbfunc->fgNoticeVAS=0x35205c 
DeviceCfgInfoLen=16 bToUploaDevcfgInfoActive=0 dwSoftwareVersion=352387167 bDeviceCfgSendToServerOk=1
fgP2PInit success!
[msg] Nameserver 8.8.8.8:53 has failed: Network is unreachable
[msg] Nameserver 114.114.114.114:53 has failed: Network is unreachable
[msg] All nameservers have failed

а старая заявляет скромное "fgP2PInit CertificateFileName is null!!!"

Ну и соответсвенно в дальнейшем одна работает и коннектится, а вторая уходит в режим настройки через AP, но при этом на внешние воздействия не реагирует от слова совсем.

Низвергнув с просторов интернетов на комп IDA засунул в неё тот самый бинарник npc и основательно приуныл. Знаний ассемблера можно сказать что нет, сишный код в том виде, как его восстанавливает IDA ввергает в уныние - знаний прочесть не хватает.
В недрах npc внутри функций, рядом с вхождениями типа "printf("rom file crc error %d \r\n", v3);" ""Certificate: rom file error, eeprom ok\r"" нашел отсылки к некоему файлу "/mnt/ramdisk/Certificate.bin". Файл такой действительно есть по указанному адресу на новой камере, но его копирование в лоб на старую камеру эффекта не дает.
Файлик маленький, соотнести его с ID камеры 16073896 не смог.

Код: Выделить всё

root@kali:/media/sf_Kali/dump# hexdump /media/sf_Kali/new/rom/Certificate.bin 
0000000 0458 0035 1a8a 4785 1b0a 57a8 87b3 110e
0000010 e4d3 7ca6 6800 304c bd24 befc 0c43 b83c
0000020

ну и псевдокод функции, как его видит IDA, которsq занимается этими проверками: (я так понял)

Код: Выделить всё

FILE *sub_1801A0()
{
  FILE *v0; // r0
  FILE *v1; // r4
  signed int v2; // r8
  size_t v3; // r6
  signed int v4; // r0
  int v5; // r7
  signed int v6; // r6
  int v7; // r4
  unsigned __int8 v8; // r0
  signed int v9; // r0
  FILE *result; // r0
  signed int v11; // r3
  int v12; // r1
  int v13; // r2
  FILE *v14; // r4
  FILE *v15; // r6
  unsigned __int8 v16; // [sp+0h] [bp-58h]
  int v17; // [sp+1Ch] [bp-3Ch]
  char ptr[28]; // [sp+20h] [bp-38h]
  int v19; // [sp+3Ch] [bp-1Ch]

  v0 = (FILE *)sub_C414("/mnt/ramdisk/Certificate.bin", "rb", "vCheckCertificate", 964);
  v1 = v0;
  if ( v0 )
  {
    v3 = fread(ptr, 1u, 0x20u, v0);
    sub_C47C(v1, "vCheckCertificate", 973);
    v4 = sub_1861A4((int)ptr, 28);
    if ( v4 == v19 )
    {
      v2 = 1;
    }
    else
    {
      printf("rom file crc error %d \r\n", v3);
      v2 = 0;
    }
  }
  else
  {
    v2 = (signed int)v0;
  }
  v5 = 0;
  v6 = 64;
  v7 = 0;
  do
  {
    v8 = sub_1855E8(v6, 0);
    ++v7;
    v6 = (unsigned __int8)(v6 + 1);
    *(&v16 + v5) = v8;
    v5 = v7;
  }
  while ( v7 != 32 );
  v9 = sub_1861A4((int)&v16, 28);
  if ( v9 == v17 )
  {
    if ( v2 )
    {
      if ( !(v2 & 1) )
        goto LABEL_10;
      puts("Certificate: rom file ok, eeprom ok\r");
      result = (FILE *)ptr;
      if ( (unsigned __int8)ptr[0] == v16 )
      {
        v11 = 1;
        while ( 1 )
        {
          v12 = (unsigned __int8)ptr[v11];
          v13 = *(&v16 + v11++);
          if ( v12 != v13 )
            break;
          if ( v11 == 32 )
            goto LABEL_20;
        }
      }
      puts("Certificate: rom file != eeprom \r");
      result = (FILE *)sub_C414("/mnt/ramdisk/Certificate.bin", "wb+", "vCheckCertificate", 1035);
      v14 = result;
      if ( result )
      {
        fwrite(&v16, 1u, 0x20u, result);
        result = (FILE *)sub_C47C(v14, "vCheckCertificate", 1039);
      }
LABEL_20:
      dword_30FE54 = 1;
    }
    else
    {
      v15 = (FILE *)sub_C414("/mnt/ramdisk/Certificate.bin", "wb+", "vCheckCertificate", 1011);
      if ( v15 )
      {
        fwrite(&v16, 1u, 0x20u, v15);
        sub_C47C(v15, "vCheckCertificate", 1015);
      }
      dword_30FE54 = 1;
      result = (FILE *)puts("Certificate: rom file error, eeprom ok\r");
    }
  }
  else
  {
    puts("eeprom cer crc error \r");
    if ( !(v2 & 1) )
    {
LABEL_10:
      dword_30FE54 = 0;
      return (FILE *)puts("No Certificate\r");
    }
    sub_1800C4(ptr);
    dword_30FE54 = 1;
    result = (FILE *)puts("Certificate: rom file OK, eeprom error\r");
  }
  return result;
}

Есть еще одна функция, которая выводит сообщения типа "P2P: ID=16073896, R1=0x2a096cf, R2=0x891690c id=0x247a33359c1f43"
Там совсем черт ногу сломит.

Срочно ищется товарищеский пинок под пятую точку для направления на путь истинный.

[dede]

На плате есть отдельная еепром?

[yaroslaf]

На плате есть отдельная еепром?

похоже что есть.
Если я правильно смог разглядеть на новой камере, маркировка 24C08A
На старой маркировка затерта, да и видно очень плохо.
Судя по тырнетам - оно.

[dede]

Судя по всему, повреждено ее содержимое... нужно ооооооочччччччень аккуратно считать ее на прогере с живой камеры, забэкапить дохлую, влить в дохлую, получить клона