Está en la página 1de 13

1

MANUAL de flasheo SAGEM ITD4430


con AMD por quebus.



Informacin previa:


Este manual del programa GSP2 est hecho con mis pruebas en un deco SAGEM
ITD4430.

Leer detenidamente y comprender lo que se est haciendo para evitar confusiones.

Los resultados no estn garantizados.

De este deco existen varias versiones de hardware y software, versiones de Bong,
cargador, del Hardware ID (5301, 5801, etc) aunque tengan dos flash AMD. Lo
importarte en este trabajo es el cargador L4xx.
En el caso de tener cargador L405 se tiene que modificar un dato y regrabarlo en la
segunda flash. Para el cargador L458, ser necesario que este dato se modifique y
grabe en la eeprom 24C64. Comprobar antes de usar que vuestras versiones puedan
ser compatibles y utilizar a vuestro propio riesgo, por supuesto.


Las pruebas se han hecho con un ITD4430 de QuieroTV, con dos flash iguales
AM29DL323CT, con estas versiones al inicio

Arranque: BONG4002
Cargador: L405 01 NT40OD11
Aplicacion: G4 6.24@
Opentv: EN10033
Nagravision: 5.3.29 2.0.8
Hardware ID: 53
N Serie: 341201249800
Version: 01

El manual sigue mis pasos con cargador L405 y contiene las notas necesarias para
cargador L458.

He flasheado con xito las versiones de apply encontradas, la v5.12 y la v5.13 ms
conocidas como intel-libre o amd-libre, reponer la v6.24 que tena el deco
inicialmente, todas estas de quieroTV y grabar finalmente la v6.02 de un ITD4410
para boxerTV.

2


Resumen del trabajo:

Se trata de borrar y escribir en dos flash AMD, la primera es totalmente accesible
para borrar y escribir y la segunda tiene sus ltimos bloques protegidos por hardware
(sector 61 al final). Estos bloques protegidos son el boot que contienen el Bong y el
cargador de arranque. Vamos a escribir la apply sin modificar nuestro boot, salvo
unos datos necesarios para el arranque.

Como ejemplo flasheamos la apply v6.02 del ITD4410.


Material necesario:


- El Pc y el deco
- Interface Patel JTAG,
- Programa GSP2,
- Firmware sagem v602

La calidad del interface jtag es muy importante, el mejor es el que lleva chip y
alimentacin regulada, despus el de leds y el peor el de slo resistencias. He
probado los tres interfaces y con todos he tenido buenos resultados.

El interface JTAG para sagem tiene las conexiones:
TDO, TDI, TCK, TMS y GND.
Para conectar al deco, tomando el pin 1 el de la derecha visto desde el frontal:
1- TDO
2- TDI
3- No Conectado
4- TCK
5- TMS
Extremo- (GND) masa del deco.

Ver detalles en \extras\ fabricar jtag

El ms sencillo

3


Procedimiento:

Paso previo para XP/Vista, cargar driver mac_mot.drv en momoria con drvload.exe
Lo tenemos en \ instalar mac_mot



Install y Start







1) Conectamos, con deco desenchufado, el interface jtag al deco y al pc.



2) Ahora abrimos el programa GSP2, metemos el cdigo y cargamos el archivo de
configuracion file > open > amd.ocd

4
> amd.ocd



Ahora lo tendremos as:



En Configuration > Communications tenemos:

-Comm Method..... Winggler/Paralel
-Comm Port....... El LPT del pc (en general LPT1)
-Debug Port...... Es la velocidad de comunicacin, empezar con
/1 (la ms rpida) pero si salen errores ir aumentando
(ir ms lento)



Ver en la direccin de trabajo de la RAM: 0x00000000
y en la direccin de la flash eeprom 0xFF800000. Este es el valor para la primera
flash.

5




En la pestaa CPU tenemos slo una, la IBM STB






Y en la de flash, la AM29DL323 seleccionada.





6
3) Nos ponemos en la pestaa de trabajo Program. Enchufamos el deco y probamos
la buena comunicacin con Target Memory que nos debe leer los primeros datos






4) Si todo va bien hacemos un volcado de seguridad de nuestros datos. Esto es
importante para tenerlo de respaldo para recuperaciones ante problemas, no nos va a
llevar ms que unos minutos y nos puede ser muy til.

Upload flash > Browse > damos un nombre original-1flash.s19 (el programa tiene
un bug y la ventana pone abrir cuando debera ser guardar pero no importa)
Y pulsamos Upload, en unos 10 minutos lo tenemos.






7
5) Ya podemos borrar esta flash.
Pulsamos Erase > Erase entire chip y > Erase
Borrado en un par de minutos, en el 95 % se para medio minuto y despus contina
hasta el 100 % final, y cerramos con Close.







6) Grabamos la primera flash.

Pulsamos Program > Browse y escogemos v602-1.s19
Pulsamos Program de esta ventana y en unos 20 minutos est grabada.




Podemos comprobar, como antes, con Target Memory que se han grabado bien los
datos.

7) Pasamos a la segunda flash. Para esto vamos a la pestaa Flash y cambiamos el
valor de la direccin de 0xFF800000 a 0xFFC00000, vamos el 8 cambiarlo por C, y
picamos en cualquier parte de la zona gris de abajo para que el cambio se complete

8


8) Hacemos el volcado de seguridad de esta segunda flash,
Upload flash > Browse > damos un nombre original2-1flash.s19 y pulsamos Upload.
El archivo contendr todos los datos incluidos los del boot.

Si la ventana de Upload flash llega al 100% pero no parece completarse ya que se ve
el botn Upload apagado, esperar un poco y pulsar Close. Los datos de la flash estn
volcados.

Ver notas finales sobre el tamao de este volcado de la segunda flash.



9)Tambin hacemos un upload separado de un sector del boot que debemos modificar
y reponer. Este sector es el 68 el nico desprotegido para el software.

Volvemos a pulsar Upload flash > Browse > damos un nombre sector68.s19
En el cajetn de direcciones ponemos Start 0xFFFF8000 y End 0xFFFF9FFF
Se hace en un momento porque son pocos datos.


9



10) Y ya podemos borrar esta segunda flash.
Pulsamos Erase > Erase entire chip y > Erase
Borrado igual que antes en un par de minutos, en el 95 % se para medio minuto y
despus contina hasta el 100 % final, y cerramos con Close.
Los sectores protegidos no se borran, excepto el sector 68.




11) Y ahora a grabarla.
Pulsamos como antes Program > Browse y escogemos v602-2.s19 y pulsamos
Program de la ventana.
Esta parte es ms pequea y en 2 minutos est escrita.









12) Modificacin del dato de arranque.

Abrimos el archivo volcado de antes sector68.s19 con el bloc de notas de windows,
es un archivo muy pequeo.


En el caso de tener cargador L458, grabar el volcado individual de este sector
realizado anteriormente, sin modificar nada > Program > Browse y escogemos
sector68.s19 (ver Atencin en punto 12) y pasar a la nota final sobre grabacin en
la eeprom 24C64.
10


Le cambiamos el dato de final de apply y su checksum que para este ejemplo lo
tenemos en \v602\ checksum.jpg


Datos iniciales sector68.s19


Ver aqu que he sealado los valores FF800000 FFCA8DCB 66B5655F que
correspondan al inicio, final y checksum de la apply inicial.



Dejamos FF800000 y cambiamos los siguientes a FFC1CEA7966912D7


No hace falta cambiar nada ms, GSP2 acepta el cambio sin hacer comprobaciones.
Guardamos con otro nombre, s68modificado.s19


Nota: Estos datos se pueden obtener con el programa SQfirmware.exe (est en
\extras) abriendo un archivo formato bin de un volcado completo de 8 megas.



11


12) Y ltimo paso programar este fundamental cambio.
De nuevo Program > Browse y escogemos s68modificado.s19

Atencin, cambiar el valor del tercer cajetn a 0xFFFF8000 y pulsar Program,
en un momento est grabada.




Y trabajo finalizado, desenchufamos deco, cerramos GSP2, desconectar y a probar.

Si conectais al tv por cable coaxial, en la versin 6.24 de Quiero el canal sala por el
38, con esta versin v6.02 sale por el 43.





Veis que se mantienen el arranque bong, cargador, hardware-id, n serie y versin.
Cambian la Aplicacin y el encriptado antes nagravision y ahora viaccess.
12




Notas para el cargador L458. Grabacin en la eeprom 24C64:


El cambio a efectuar en la eeprom 24c68 se hace sobre un volcado propio de la
vuestra, modificando los datos de la apply inicial que tena el deco por los de la nueva
apply que estamos programando.

Los datos a modificar son el final de la apply y su checksum especfico que est en la
lnea :101F2000.. Est en la parte final del hex volcado.



Por ejemplo en vuestra eeprom tena los datos en la lnea: FFBEFD53945A7EF1

:101EF000FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF2
:101F0000534147454D202020202020202020202004
:101F1000363130313334313130313139373638368A
:101F200040365F31FF800000FFBEFD53945A7EF1C2
:101F30000001FFFE04F8954000FFFFFF01000201D1
:101F4000010300FFFFFFFFFFFFFFFFFFFFFFFFFF9A


y modificado por FFC1CEA7966912D7

:101EF000FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF2
:101F0000534147454D202020202020202020202004
:101F1000363130313334313130313139373638368A
:101F200040365F31FF800000FFC1CEA7966912D70F
:101F3000FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFB1




Si hacemos esta sustitucin a mano, al abrirlo en el Icprog nos dir el checksum hex
(de la lnea) que se ha modificado, pero si hacemos el cambio dentro del Icprog no
ser necesario hacer nada, solamente grabarlo en la eeprom.





13


Notas finales:

- Si las versiones no son exactamente las de este ejemplo es mejor por seguridad que
para la segunda flash no borremos el chip entero sino borrar por partes. Borramos
(erase) metiendo en from sector el inicio (por ejemplo 1) y despus en To sector el
final (por ejemplo 10), pulsamos erase, esperamos a que termine y cerramos la
ventana. La volvemos a abrir para los siguientes bloques (por ejemplo del 11 al 21,
despues del 22 al 32 para acabar en el bloque 60 incluido).

- Si no puedes borrar todo el chip porque da errores. Solucion, borrar por partes.

- Si aparecen errores varios intentar superarlos cerrando la ventana que lo ha dado y
volviendo a ejecutar, volver a cargar el .ocd de la flash, cerrar del todo el programa
GSP2 y volverlo a lanzar, o volver de reconectar el deco.

- El volcado de la segunda flash tiene un tamao muy grande: En los
volcados y al convertir de bin a s19 hay un fallo en los programas y es que equivocan
el final total FFFFFFFF (el valor mximo posible) y continan trabajando, tenemos
que recortarle la parte final que vuelca en exceso, dejando esta lnea
S325FFFFFFE0FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF4BFFC00C03
seleccionar desde la siguiente al final y borrarlo.

- Como saber que cargador tengo a partir de un volcado s19:
Los archivos s19 se pueden abrir con el wordpad de windows.
Para saber el cargador leyndolo del volcado de la segunda flash (que son datos hex),
para L405 el dato es 4C343035 que puedes buscar en el archivo y slo aparece una
vez aqu, al final en esta lnea
S325FFFF7FE0FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF1AF81484FFFF3A13FFFC00004C343035B8
Para el L458 el dato es 4C343538 y en el volcado esta en la lnea, tambien al final
S325FFFF9FE0FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFB41CDF1FFFFF934BFFFC00004C343538DB
buscndolo se encuentra dos veces.

- Acerca del diferente tamao de los archivos S19:
Tomando como ejemplo un archivo de flash o una parte, el tamao va a variar si es
un volcado directo con GSP2 o de si es una conversin desde bin.
El programa GSP2 no escribe los datos de bloques agrupados que estn vacios (a
FFFFFFFFF si probis a hacer upload de una flash borrada no os dar archivo porque
est vacio) y una conversion produce todos los datos. As que un archivo convertido
tiene un tamao en Kb mayor que esa misma parte leda con GSP2.



Saludos y suerte compaeros. Ver. 2 -Junio 2008
Quebus.