Firmware-Dump Chassis 610, 611 oder 612

Antworten
meetzee
Neues Mitglied
Beiträge: 19
Registriert: Mi 11. Feb 2015, 22:28

Firmware-Dump Chassis 610, 611 oder 612

#1

Beitrag von meetzee »

Guten Abend,

hat schon mal jemand sich die Mühe gemacht, die Firmware vom internen Speicher auszulesen? Die Update-Dateien sind ja leider verschlüsselt. Es wäre schön, wenn man einen Weg finden würde, kleine Änderungen an der Firmware vorzunehmen, zumal ich vom Hersteller in Zukunft nicht mehr viele Updates erwarte. Leider hat mein TV kein Ethernet, so dass die Angriffsfläche relativ klein ist, und Hardwarebasteleien sind nicht so mein Ding. Vielleicht ginge aber was über USB. Nur müsste man dazu erst mal den Inhalt des Dateisystems analysieren, wenn man nicht blind herumprobieren möchte.

Stimmt es eigentlich, dass in den Fernsehern ein embedded Linux werkelt? Falls ja, hat schon mal jemand nach Zugang zum Quellcode der GPL-Lizensierten Teile gefragt und eine Antwort bekommen? Gibt es für solche Fragen bei Metz einen bestimmten Ansprechpartner?

Liebe Grüße
meetzee
Metz-o-Mix
Routinier
Beiträge: 459
Registriert: So 29. Jun 2014, 00:19

#2

Beitrag von Metz-o-Mix »

meetzee hat geschrieben:hat schon mal jemand sich die Mühe gemacht, die Firmware vom internen Speicher auszulesen? Die Update-Dateien sind ja leider verschlüsselt. Es wäre schön, wenn man einen Weg finden würde, kleine Änderungen an der Firmware vorzunehmen, zumal ich vom Hersteller in Zukunft nicht mehr viele Updates erwarte.
Ja, ich fürchte auch, daß die Geräte mit den o.g. Chassis am Ende ihrer Entwicklung angelangt sind.
meetzee hat geschrieben:Leider hat mein TV kein Ethernet, so dass die Angriffsfläche relativ klein ist, und Hardwarebasteleien sind nicht so mein Ding.
Die Hardware, fürchte ich, dürfte sogar noch das geringste Problem sein. Die Software zu decompilieren (illegal!) schon eher; die wird ja wohl kaum im Quellcode vorliegen. Die Architektur ist natürlich unbekannt. Also das dürfte ein dicker Brocken werden, da etwas zu erweitern.
meetzee hat geschrieben: Vielleicht ginge aber was über USB. Nur müsste man dazu erst mal den Inhalt des Dateisystems analysieren, wenn man nicht blind herumprobieren möchte.

Stimmt es eigentlich, dass in den Fernsehern ein embedded Linux werkelt?
Ja, das dürfte bei allen Fernsehern so sein, auch bei den anderen Herstellern. Ich denke, wenn Du unbedingt spielen willst, nimm irgendeinen Raspberry PI und schließ den an den Fernseher an. Das dürfte weitaus weniger Arbeit sein, als die TV-Firmware zu patchen.


Daniel
meetzee
Neues Mitglied
Beiträge: 19
Registriert: Mi 11. Feb 2015, 22:28

#3

Beitrag von meetzee »

Hallo Daniel,

ich benutze den Fernseher sowieso nur in Verbindung mit einer Dreambox. Insofern hab ich schon das passende Gerät für Spielereien. Nur hat der Fernseher einige Macken, die ich gerne abstellen würde. Zum Beispiel nervt er nach jedem Einschalten mit der Meldung, dass "Datum und Uhrzeit nicht verfügbar" seien. Und er schaltet sich nach einiger Zeit von alleine ab, da ich zum Fernsehen nur die Bedienung meiner Dreambox nutze.

Früher war der Fernseher (ein Erbstück) mal in einem Modus, in dem zumindest die Meldung mit dem Datum nicht kam. In diesem Modus konnte man den internen Sat-Tuner aber nicht verwenden. Vermutlich hat der Installateur das damals so konfiguriert. Da ich den internen Tuner und die Funktionen des Fernsehers mal ausprobieren wollte, habe ich dummerweise einen Werksreset durchgeführt. Das hat zwar zum Erfolg geführt, aber das o.g. Problem mitgebracht.

Um solche einfachen Dinge geht's mir primär.

Das Disassemblieren von Software für private Zwecke ist höchstens in Diktaturen verboten. Jedenfalls nicht dort, wo ich lebe.

Sofern Linux werksseitig auf den Fernsehern läuft, dann wird auch ein Linux-Dateisystem benutzt und eine von Linux unterstützte Architektur. So viele Überraschungen kann es da nicht geben. Vermutlich sieht man es sofort, wenn man mal den TV aufschaubt und schaut, was auf der CPU steht. Außerdem wäre Metz ja dann verpflichtet, zumindest den Quellcode des Kernels Kunden zu liefern. Eine passende Toolchain ist dann schnell gebaut.

Liebe Grüße
meetzee
Benutzeravatar
Rudi16
Mitglied
Beiträge: 110
Registriert: Di 21. Feb 2012, 13:41
Wohnort: Ilmenau

#4

Beitrag von Rudi16 »

meetzee hat geschrieben:Sofern Linux werksseitig auf den Fernsehern läuft, dann wird auch ein Linux-Dateisystem benutzt
Was aber nicht heißt, daß es schreibbar ist. Stichwort: squashfs. Man könnte das natürlich auspacken, modifizieren, wieder einpacken und neu flashen, aber das ist natürlich nicht so ganz trivial...
meetzee hat geschrieben:eine von Linux unterstützte Architektur
Keine Ahnung was Metz da verwendet. Bei Loewe sieht das so aus:

MB180: MIPS R3000
SL1xx,SL2xx: Renesas SuperH
SL3xx: ARMv7 (hardfloat, NEON)
meetzee hat geschrieben:Außerdem wäre Metz ja dann verpflichtet, zumindest den Quellcode des Kernels Kunden zu liefern.
Ja. Wird aber nicht allzuviel helfen, da sie neben den ursprünglich verwendeten Kernel-Quellen nur eventuell dort vorgenommen Änderungen veröffentlichen müssen. Das umfaßt nicht die Treiber für die im Geräte verbaute Hardware. So wenn denn keine weiteren GPL-Komponenten verwendet werden, gibt es für einen Hersteller auch keinen Grund in der Richtung irgendetwas zu unternehmen. Auch hier kann ich nicht sagen was Metz da tut. Zumindest Loewe scheint aber konsequent sonstigen GPL-Code zu vermeiden. Zumindest habe ich bisher nur LGPL-Teile und Software, für die es neben GPL auch noch kommerzielle Lizensierungsmodelle gibt, entdecken können.
Loewe Connect 40 3D DR+ (8.46.0), UniCAM V2 (Sparta 5.45), Yamaha Aventage RX-A810 / BD-1010, Canton GLE490.2, GLE455.2 und GLE430.2, Nubert AW-441, Fritzbox 7330SL+3370, iPad1, iPhone6, GeeXBoX auf PandaBoard, CubieBoard, CuBox, CuBox-i, RaspberryPi 1-3
meetzee
Neues Mitglied
Beiträge: 19
Registriert: Mi 11. Feb 2015, 22:28

#5

Beitrag von meetzee »

Hallo Rudi16,

ein Squashfs zu verändern ist kein Hexenwerk.

Ich würde gerne die Struktur der Software-Updates analysieren. Es kann sich ja bei der Verschlüsselung nicht um etwas besonders kompliziertes handeln. Irgendein Block-Chiffre mit 128 Bits Blockgröße (AES?) im ECB-Modus. Vermutlich ein Algorithmus, der vom Chip unterstützt wird. Und es würde mich nicht wundern, wenn der Schlüssel im Klartext im Gerätespeicher steht. Daher meine ursprüngliche Frage, ob schon mal jemand den Speicher des Fernsehers ausgelesen hat.

Mit dem Kernel-Quellcode kann man schon eine Menge anfangen, z.B. passende USB-WLAN-Treiber bauen. Vermutlich geht's auch mit einem ausreichend ähnlichen, aber eine Hilfe wäre es schon. Treiber von Metz muss man ja nicht verändern. Ich sehe jedenfalls keinen Bedarf für meine Zwecke. Und ein Binary an ein paar Stellen patchen, damit eine Meldung nicht mehr erscheint oder ein Timeout verkürzt oder verlängert wird, wird schon nicht so schwer sein. Es sei denn natürlich, der Fernseher führt nur signierte Binaries aus. Aber das würde mich schon irgendwie wundern, alleine schon wegen des verwendeten Chiffre-Modus beim Update.

Liebe Grüße
meetzee
Verax
Routinier
Beiträge: 471
Registriert: Mi 5. Feb 2014, 09:51

#6

Beitrag von Verax »

Ja, Basis sollte ein Linux System sein.

Hatte auch schon mal drüber nachgedacht wie man den Schlüssel "knacken" kann. Verschlüsselt sollten Blöcke zu je 16 Byte sein. Das ergibt ein Vergleich der 608 Software. Die 608 Software liegt einmal unverschlüssel vor (Update per RS232) und einmal verschlüsselt (Update per USB). Bereiche die nur 0xFF enthalten wiederholen sich in der verschlüsselten Variante alle 16 Byte, daher meine Vermutung das der Schlüssel jeweils über 16 Byte geht.

Mit dem Programm "Metz-Remote" kann man auch auf die Shell zugreifen. Ist aber schon etwas älter:
http://www.giambrone.de/board38-support ... tz-remote/" onclick="window.open(this.href);return false;

Ausgabe von dem Programm beim 605 CRT Chassis z.b:

Code: Alles auswählen

MDEB
MDED
VGCA
Shell for %s loaded
Type 'help' for more information
......run.flash
help
Shell program.......

=== Shell Commands ===
help              - show this help
port <num>        - set debug port (0/1 - debug/modem)
copy <num>        - set or reset copy parametar (0/1)
debug <num>       - set or reset debug printf (0/1)
mf <addr> <size> <data> - fill size bytes with data from addr
mc <addr1> <addr2> <size> - compare memory at addr1 and addr2 of size size
mr <addr> <size>  - read n bytes from memory
mw <addr> <data>  - write byte at memory
cbr <addr>        - read value from cbus register
cbw <addr> <data> - write value at cbus register
run <addr>        - execute code from memory
prg <size>        - receive, unpack and copy unpacked program to memory
prg2 <size>       - receive packed program to memory (remain packed)
mrb <addr> <size> - read n bytes from memory and print it binary
finit             - init flash driver and print info
fw <off> <data>   - write byte at flash memory
fmw <off> <data>  - write byte at flash memory

=== Flash Commands ===
del_nvm           - erase NVM part of flash memory (last 64K sector of 8M)
erase             - erase flash memory content
burn              - unpack memory image file and save to flash memory

Code: Alles auswählen

[32mAPPL       [37;1;40m---------------------------------- 

[37;1;40m[32mAPPL       [37;1;40mTVC_DvbTuning_Tune(FE1) called [prog=2,TV,DVB-S] 

[37;1;40m[32mAPPL       [37;1;40m---------------------------------- 

[37;1;40m[32mAVM        [37;1;40mAVM_Play(1fff,1fff,1fff)

[37;1;40m[32mDND        [37;1;40mDND_Stop called

[37;1;40m[32mDND        [37;1;40mdndStop called

[37;1;40m[32mDND        [37;1;40mPTSQueue flushed

[37;1;40m[32mDND        [37;1;40mDND New State: [37;1;40mIdle

[37;1;40m[32mADP        [37;1;40mForce sync mode [37;1;40m[33m'no sync'

[37;1;40m[32mAVM        [37;1;40mACT_Stop Start

[37;1;40m[32mACT        [37;1;40mACT_Stop()

[37;1;40m[32mADP        [37;1;40mADP_Stop

[37;1;40m[32mAVM        [37;1;40mACT_Stop Done

[37;1;40m[32mAPPL       [37;1;40mFE_connect(FE1) to 11953500-H-27500 after 402 ms successful 

[37;1;40m[32mAPPL       [37;1;40mDVBAVC_Play(FE1): AVM_SecondaryAudioStream(8191) successful (disable AC3)

[37;1;40m[32mAVM        [37;1;40mAVM_Play(6e,78,6e)

[37;1;40m[32mDND        [37;1;40mDND_Play 1 called

[37;1;40m[32mDND        [37;1;40mdndStart(1) called

[37;1;40m[32mDND        [37;1;40mVideo 1 0x101c3e00 0x10229200

[37;1;40m[32mDND        [37;1;40mVideo 2 0x1025bc00 0x102c1000

[37;1;40m[32mDND        [37;1;40mVideo 3 0x102f3a00 0x10358e00

[37;1;40m[32mDND        [37;1;40mDND New State: [37;1;40mWait for sync

[37;1;40m[32mACT        [37;1;40mACT_Stop()

[37;1;40m[32mADP        [37;1;40mADP_Stop

[37;1;40m[32mACT        [37;1;40mACT_Play(2) 

[37;1;40m[32mADP        [37;1;40mADP_Play()

[37;1;40m[32mADP        [37;1;40mADP_MemBufAlloc(336)

[37;1;40m[32mADP        [37;1;40mADP_MemBufAlloc(1536)

[37;1;40m[32mADP        [37;1;40mADP_MemBufAlloc(1536)

[37;1;40m[32mAPPL       [37;1;40mDVBAVC_Play(FE1): AVM_Play(110,120,110) successful (enable MPEG)

[37;1;40m[32mDND        [37;1;40mSEQUENCE (720 x 576) FrmRate: 3

[37;1;40m[32mDND        [37;1;40mNFM_EVENT_VIDEO_PARA: Size=720x576 AR=3 AFD=0 FR=3

[37;1;40m[32mDND        [37;1;40mDND New State: [37;1;40mPlayback

[37;1;40m[32mDND        [37;1;40mVideo Underrun!

[37;1;40m[32mDND        [37;1;40mVideo Underrun!

[37;1;40m[32mDND        [37;1;40mVideo Underrun!

[37;1;40m[32mDND        [37;1;40mVideo Underrun!

[37;1;40m[32mDND        [37;1;40mVideo Underrun!

[37;1;40m[32mADP        [37;1;40m ======= Appl status is 0 (0)
Linus 42 LED 200 CTS2 Z (Chassis 610) + 500GB PVR + twin Tuner
Taros 32 LED Media twin Z (Chassi 612) + 500GB PVR
meetzee
Neues Mitglied
Beiträge: 19
Registriert: Mi 11. Feb 2015, 22:28

#7

Beitrag von meetzee »

Hallo Verax,

kannst Du mir die beiden Versionen für 608 zur Verfügung stellen? Habe bisher leider nur das USB-Update gefunden.

Bei meinem 611 gibt es leider keine RS232-Schnittstelle. Eventuell könnte man eine nachrüsten.

Ein unverschlüsseltes Update für 606 habe ich übrigens gerade gefunden. Darin enthalten sind schon mal Linux und Busybox. Dateisystem: Ext2. Architektur: ARM.

Liebe Grüße
meetzee
Verax
Routinier
Beiträge: 471
Registriert: Mi 5. Feb 2014, 09:51

#8

Beitrag von Verax »

meetzee hat geschrieben:kannst Du mir die beiden Versionen für 608 zur Verfügung stellen? Habe bisher leider nur das USB-Update gefunden.
Wenn ich heute Abend zu Hause bin, kann ich das machen.

meetzee hat geschrieben:Bei meinem 611 gibt es leider keine RS232-Schnittstelle. Eventuell könnte man eine nachrüsten.
Leider hab ich ab Chassis 610 keine Pläne mehr, sonst könnte ich dazu vielleicht noch was sagen.

meetzee hat geschrieben:Ein unverschlüsseltes Update für 606 habe ich übrigens gerade gefunden. Darin enthalten sind schon mal Linux und Busybox. Dateisystem: Ext2. Architektur: ARM.
Darf man fragen woran du das fest machst :)
Linus 42 LED 200 CTS2 Z (Chassis 610) + 500GB PVR + twin Tuner
Taros 32 LED Media twin Z (Chassi 612) + 500GB PVR
meetzee
Neues Mitglied
Beiträge: 19
Registriert: Mi 11. Feb 2015, 22:28

#9

Beitrag von meetzee »

Hier sieht man einige interessante Offsets innerhalb der Update-Datei:

Code: Alles auswählen

$ binwalk -e MHD606_7_V4_53_D_MH_V3_13_K_394.pUSB 

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
8991305       0x893249        Copyright string: "Copyright Conexant Systems, all rights reserved."
9049417       0x8A1549        ELF, 32-bit LSB executable, ARM, version 1 (SYSV)
9062960       0x8A4A30        Unix path: /mnt/usb1/sda1/test.pTFT
9067677       0x8A5C9D        Zlib compressed data, default compression
10664025      0xA2B859        Zlib compressed data, default compression
An 0x8A1549 findet man das Update-Programm ("metz_fwupd"), 0x8A5C9D ist der Kernel ("Linux version 2.6.18.5"), 0xA2B859 ist eine RAM-Disk im ext2-Format. Die lässt sich unter Linux mounten ("sudo mount -o loop,ro A2B859 /mnt").
metz12
Neues Mitglied
Beiträge: 9
Registriert: Fr 21. Jun 2013, 13:48

#10

Beitrag von metz12 »

Hallo zusammen
Verax hat geschrieben:
meetzee hat geschrieben:Ein unverschlüsseltes Update für 606 habe ich übrigens gerade gefunden. Darin enthalten sind schon mal Linux und Busybox. Dateisystem: Ext2. Architektur: ARM.
Darf man fragen woran du das fest machst :)
Ich habe vor längerer Zeit mal den Traffic bei HbbTv mitgeschnitten (Metz Carat 37 mit Chassis 612). Da ist mir aufgefallen, dass der integrierte "HbbTv-Browser" folgende Kennung an den Server übermittelt:

User-Agent: Mozilla/5.0 (DirectFB; U; Linux armv6l; c) AppleWebKit/531.2+ (KHTML, like Gecko) Safari/531.2+ HbbTV/1.1.1 (;Metz;MMS;;;)\r\n
Accept: application/xml,application/xhtml+xml,text/html,application/ce-html+xml,application/vnd.hbbtv.xhtml+xml;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5\r\n

Daraus lässt sich ggf. etwas zur Hard- und Software ableiten.

Außerdem habe ich mal eine externe HDD per USB angeschlossen und diese zuvor mit EXT2 formatiert. Die HDD konnte der Metz lesen und beschreiben, was ja mit NTFS und FAT32 nur eingeschränkt möglich ist. Daher vermute ich, dass es sich um ein Linux-System handelt.

Grüße metz12
Metz Carat 37 LED 200 Media twin R - Chassis 612 - Software 6.25K
meetzee
Neues Mitglied
Beiträge: 19
Registriert: Mi 11. Feb 2015, 22:28

Zwischenstand

#11

Beitrag von meetzee »

Die Updates für 606 (und vermutlich alle anderen Reihen) gliedern sich in zwei Teile:

1.) MDE FS

Firmware für Micronas MDE9500 (Architektur: MIPS, 32-Bit, Big-Endian), komprimiert mit LZ77.
Enthält zwei Flash-Tools und ein nochmal mit LZ77 komprimiertes Firmware-Image. Das wiederum enthält ein Unix-artiges embedded OS namens "MICTOS", aus dem der Großteil der Peripherie und die Benutzerschnittstelle gesteuert wird.

2.) MH

Firmware für Conexant CX2417X (Architektur: ARM, 32-Bit, Little-Endian), auf dem Linux läuft und der u.a. für USB und JPEG-Dekodierung genutzt wird. Darüber laufen auch die Firmware-Updates per USB.

Das macht Änderungen etwas komplizierter als ich dachte.

Dass im Chassis 612 WebKit und DirectFB enthalten sind, lässt erst mal hoffen, dass weitere Aufgaben an Linux abgegeben wurden.

Mein 611er enthält analog dazu:
Trident HiDTV-PRO QX 88 (MIPS)
Trident CX24505 (ARM)

Trident hatte die jeweiligen Sparten von Micronas und Conexant gekauft und ist seit 2012 pleite. Nachfolger im STB-Geschäft ist eine Firma namens Entropic Communications (Edit: wurde von MaxLinear aufgekauft).

Liebe Grüße
meetzee
Zuletzt geändert von meetzee am Fr 19. Jun 2015, 16:49, insgesamt 1-mal geändert.
meetzee
Neues Mitglied
Beiträge: 19
Registriert: Mi 11. Feb 2015, 22:28

#12

Beitrag von meetzee »

Eine Frage noch hinterher: Sehe ich es richtig, dass es mal eine Zeit lang OTA-Updates über Astra 19.2E für Metz-Fernseher gab, diese aber in der Zwischenzeit eingestellt wurden? Oder sind die OTA-Updates noch aktiv? Sind dazu Transponderdaten bekannt?
meetzee
Neues Mitglied
Beiträge: 19
Registriert: Mi 11. Feb 2015, 22:28

#13

Beitrag von meetzee »

Mir ist aufgefallen, dass man an einem USB-Port (mit "meca Link" beschriftet) einen USB-RS232-Adapter anschließen kann und der TV dann periodisch Daten sendet. Bin mir nicht sicher, ob ich die Baudrate richtig gewählt habe (115200, 8n1).

So sehen die Daten aus, die ich nach dem Einschalten empfange:

Code: Alles auswählen

00000000  02 02 a2 00 a6 02 02 a2  00 a6 02 02 a2 00 a6 07  |................|
00000010  02 eb 41 35 07 02 eb 41  35 07 02 eb 41 35 01 02  |..A5...A5...A5..|
00000020  a2 00 a5 01 02 a2 00 a5  01 02 a2 00 a5           |.............|
Ist das Protokoll, das "Metz Remote" verwendet, irgendwo dokumentiert? Ist es evtl. das Gleiche?

Liebe Grüße
meetzee
Metz-o-Mix
Routinier
Beiträge: 459
Registriert: So 29. Jun 2014, 00:19

#14

Beitrag von Metz-o-Mix »

Keine Ahnung. Ich habe früher ja auch gerne mal gebastelt (nicht am TV), aber Du bist ja hier der absolute Nerd. :thumbsup:
Chapeau!

Daniel
Verax
Routinier
Beiträge: 471
Registriert: Mi 5. Feb 2014, 09:51

#15

Beitrag von Verax »

meetzee hat geschrieben:Mir ist aufgefallen, dass man an einem USB-Port (mit "meca Link" beschriftet) einen USB-RS232-Adapter anschließen kann und der TV dann periodisch Daten sendet.
Welchen Chipsatz hat dein USB Adapter? FTDI?
meetzee hat geschrieben:Ist das Protokoll, das "Metz Remote" verwendet, irgendwo dokumentiert? Ist es evtl. das Gleiche?
Muss ich mir nachher mal ansehen...
Linus 42 LED 200 CTS2 Z (Chassis 610) + 500GB PVR + twin Tuner
Taros 32 LED Media twin Z (Chassi 612) + 500GB PVR
meetzee
Neues Mitglied
Beiträge: 19
Registriert: Mi 11. Feb 2015, 22:28

#16

Beitrag von meetzee »

Verax hat geschrieben:Welchen Chipsatz hat dein USB Adapter? FTDI?
PL2303, aber FTDI könnte auch gehen.
Verax
Routinier
Beiträge: 471
Registriert: Mi 5. Feb 2014, 09:51

#17

Beitrag von Verax »

meetzee hat geschrieben:ist es evtl. das Gleiche?
Ja, ist das Protokoll.

Code: Alles auswählen

02 02 a2 00 a6
02 02 a2 00 a6
02 02 a2 00 a6

07 02 eb 41 35
07 02 eb 41 35
07 02 eb 41 35

01 02 a2 00 a5
01 02 a2 00 a5
01 02 a2 00 a5
Erstes Byte ist die Adresse, zweites Byte die Anzahl der Datenbytes, das dritte und vierte das Datenbyte und das letzte die Checksumme (Summe aller Bytes davor).
Die Daten kann ich aber nicht wirklich "entschlüsseln", meine Liste ist schon ur-alt. Da steht 0xEB nicht drin, 0xA2 nur als "Dummy" und Adresse 0x07 ist auch nicht bekannt.
Adresse 1 ist T+A Adapter, 2 ist PC, 4 ist TV

Aber vermutlich sendet der TV einfach "Pings" über die Schnittstelle und schaut ob was zurück kommt. Aber die Chancen das Metz-Remote damit Kommandos an den TV senden kann sind wohl recht groß.
Linus 42 LED 200 CTS2 Z (Chassis 610) + 500GB PVR + twin Tuner
Taros 32 LED Media twin Z (Chassi 612) + 500GB PVR
ws163
Mitglied
Beiträge: 123
Registriert: Mo 21. Nov 2011, 21:37
Händler/Techniker: ja

#18

Beitrag von ws163 »

Hi.
>Zum Beispiel nervt er nach jedem Einschalten mit der Meldung, dass "Datum und Uhrzeit nicht verfügbar" seien.
Macht er das auch wenn als Startprogrammplatz HDMI gewählt wird?

>Und er schaltet sich nach einiger Zeit von alleine ab, da ich zum Fernsehen nur die Bedienung meiner Dreambox nutze.
Kann im Servicemodus abgeschaltet werden.

Gruß
Wolfgang
meetzee
Neues Mitglied
Beiträge: 19
Registriert: Mi 11. Feb 2015, 22:28

#19

Beitrag von meetzee »

Hallo Wolfgang,
ws163 hat geschrieben:Macht er das auch wenn als Startprogrammplatz HDMI gewählt wird?
Ja, das habe ich so eingestellt.
ws163 hat geschrieben:>Und er schaltet sich nach einiger Zeit von alleine ab, da ich zum Fernsehen nur die Bedienung meiner Dreambox nutze.
Kann im Servicemodus abgeschaltet werden.
Wie lautet denn die Option ungefähr?

Was mich auch noch interessieren würde: Wie kann man die internen Tuner aus dem Menü ausblenden? Sie waren bis zum Werksreset verborgen.

Danke und liebe Grüße
meetzee
ws163
Mitglied
Beiträge: 123
Registriert: Mo 21. Nov 2011, 21:37
Händler/Techniker: ja

#20

Beitrag von ws163 »

Hi.
>Wie lautet denn die Option ungefähr?
Im Servicemode: Konfiguration -> Bedienung -> Einschaltverhalten -> DauerEin wählen.
Dann sollte er an bleiben.

>Was mich auch noch interessieren würde: Wie kann man die internen Tuner aus dem Menü ausblenden?
Probier mal folgendes: Im Servicemenü das Gerät auf Auslieferungszustand zurücksetzen
Gerät neu starten und die Neuinstallation abbrechen.
Dann sind ev. die Tuner nicht mehr vorhanden.
Dann aber obigen Punkt mit DauerEin nochmals machen

Gruß
Wolfgang
meetzee
Neues Mitglied
Beiträge: 19
Registriert: Mi 11. Feb 2015, 22:28

#21

Beitrag von meetzee »

Hallo Wolfgang,
ws163 hat geschrieben:Im Servicemode: Konfiguration -> Bedienung -> Einschaltverhalten -> DauerEin wählen.
Dann sollte er an bleiben.
das hat leider nichts gebracht. Ich denke, dass das lediglich das Einschaltverhalten nach Stromverlust regelt.
ws163 hat geschrieben:Probier mal folgendes: Im Servicemenü das Gerät auf Auslieferungszustand zurücksetzen
Gerät neu starten und die Neuinstallation abbrechen.
Dann sind ev. die Tuner nicht mehr vorhanden.
Das hat aber funktioniert. Merkwürdig, dass ich das nicht selbst schon ausprobiert hatte... ;-) Ganz weg sind die Menüpunkte zwar nicht, aber man bekommt sie so quasi nie mehr zu Gesicht. D.h. mit der Radio-Taste kommt man noch in den Interne-Tuner-Modus, aber sonst mit keiner mir bekannten Taste. Ich denke das entspricht dem Zustand, den ich kannte.

Aber das Beste ist, dass er nun nicht mehr wegen dem nicht eingestellten Datum nervt.

Dankeschön!
ws163
Mitglied
Beiträge: 123
Registriert: Mo 21. Nov 2011, 21:37
Händler/Techniker: ja

#22

Beitrag von ws163 »

Hi,

weiterer Versuch :D

Steht dein TV unter Bildeinstellungen/Energieoptionen auf ÖKO?
Stelle mal statt Öko auf Bildqualität um. Da "sollten" die 4h abgeschaltet sein.
Falls nicht dann auf Präsentation, da sind sie definitiv abgeschaltet.

Gruß
Wolfgang
Verax
Routinier
Beiträge: 471
Registriert: Mi 5. Feb 2014, 09:51

#23

Beitrag von Verax »

Vielleicht sollte man die Diskussion darüber mal auslagern, hat ja nichts mehr mit dem Ursprungsthema zu tun...
Linus 42 LED 200 CTS2 Z (Chassis 610) + 500GB PVR + twin Tuner
Taros 32 LED Media twin Z (Chassi 612) + 500GB PVR
meetzee
Neues Mitglied
Beiträge: 19
Registriert: Mi 11. Feb 2015, 22:28

#24

Beitrag von meetzee »

Verax hat geschrieben:

Code: Alles auswählen

02 02 a2 00 a6
02 02 a2 00 a6
02 02 a2 00 a6

07 02 eb 41 35
07 02 eb 41 35
07 02 eb 41 35

01 02 a2 00 a5
01 02 a2 00 a5
01 02 a2 00 a5
Erstes Byte ist die Adresse, zweites Byte die Anzahl der Datenbytes, das dritte und vierte das Datenbyte und das letzte die Checksumme (Summe aller Bytes davor).
Die Daten kann ich aber nicht wirklich "entschlüsseln", meine Liste ist schon ur-alt. Da steht 0xEB nicht drin, 0xA2 nur als "Dummy" und Adresse 0x07 ist auch nicht bekannt.
Adresse 1 ist T+A Adapter, 2 ist PC, 4 ist TV

Aber vermutlich sendet der TV einfach "Pings" über die Schnittstelle und schaut ob was zurück kommt. Aber die Chancen das Metz-Remote damit Kommandos an den TV senden kann sind wohl recht groß.
In der Tat sind das Pings. A2 zum erkennen von PC Software, EB zum erkennen von Canton Hardware. Weiß jemand, welche Geräte von Canton das sein könnten? Was ist eigentlich ein T+A-Adapter?
Benutzeravatar
Primus
Freak
Beiträge: 753
Registriert: Fr 15. Apr 2011, 23:28
Händler/Techniker: ja
Kontaktdaten:

Re: Firmware-Dump Chassis 610, 611 oder 612

#25

Beitrag von Primus »

Bei den Canton Geräten handelt es sich um die Soundsysteme 80 und 100 von Metz. Das sind Soundbars, die von Canton gebaut wurden und mit Metz eigener Software ausgestattet wurden.
Der T+A Adapter ist das MT-Interface von T+A (deutscher High-End HiFi Hersteller). Hiermit können T+A Geräte und Metz Geräte verbunden und über eine Fernbedienung bedient werden. Wird von den aktuellen Geräten NICHT mehr unterstützt.
Loewe Connect 55 UHD SL420 @ Kathrein CAS 90 - UAS 481 (Astra 19,2°)
Loewe Connect 40 UHD SL320 @ Kathrein CAS 90 - UAS 485 (Astra 19,2°)
Verax
Routinier
Beiträge: 471
Registriert: Mi 5. Feb 2014, 09:51

#26

Beitrag von Verax »

mecaHome+ gab es dann ja auch noch. Wird vmtl. von den aktuellen Geräten auch nicht mehr Unterstützt...
http://www.video-magazin.de/news/ifa-20 ... 98367.html" onclick="window.open(this.href);return false;
Linus 42 LED 200 CTS2 Z (Chassis 610) + 500GB PVR + twin Tuner
Taros 32 LED Media twin Z (Chassi 612) + 500GB PVR
meetzee
Neues Mitglied
Beiträge: 19
Registriert: Mi 11. Feb 2015, 22:28

#27

Beitrag von meetzee »

Ich habe in der Zwischenzeit die Firmware sowohl für den QX88 (MIPS) als auch für den Nevis (ARM) vollständig ausgelesen. Habe auch die pUSB-Datei entschlüsselt.

Da mein Fernseher von Haus aus keinen Netzwerkanschluss hat, würde ich gerne das MMS zum laufen bekommen, das zwar in der Firmware-Datei vorhanden ist aber mangels Speicher bei meinem Fernseher nicht installiert wird. Darin sind nämlich auch WLAN-Treiber enthalten. Haben Fernseher mit MMS noch einen weiteren Speicher? Z.B. einen internen USB-Stick? Falls ja, hat zufällig jemand ein Foto von einer Hauptplatine mit diesem USB-Steckplatz?

Liebe Grüße
meetzee
Metz-o-Mix
Routinier
Beiträge: 459
Registriert: So 29. Jun 2014, 00:19

#28

Beitrag von Metz-o-Mix »

meetzee hat geschrieben:Habe auch die pUSB-Datei entschlüsselt.
WIe entschlüsselt man sowas? Die werden ja wohl kaum ROT13 dafür genommen haben. :???:

Daniel
meetzee
Neues Mitglied
Beiträge: 19
Registriert: Mi 11. Feb 2015, 22:28

#29

Beitrag von meetzee »

Metz-o-Mix hat geschrieben:WIe entschlüsselt man sowas?
Es gibt in der Firmware ein Programm, das das tut. Keine Kryptographiekenntnisse erforderlich. ;-)

Mein Versuch, WLAN zu aktivieren, ist bislang nicht sonderlich erfolgreich. Mein WLAN-Stick wird zwar vom Betriebssystem erkannt, aber das war es dann schon mehr oder weniger. Gibt es überhaupt Modelle mit CH610 bis CH612, die WLAN-Einstellungen im Menü anzeigen? Ich habe den Eindruck, als wäre der Code dazu zwar vorhanden aber ungenutzt. Den gleichen Eindruck habe ich vom Hotel-Modus. Lässt der sich irgendwie aktivieren?

Den Media-Player konnte ich starten, habe aber noch nicht versucht, etwas abzuspielen.

Übrigens, mit einem USB-Serial-Adapter mit FTDI-Chipsatz gibt es auch irgendeine (Debug-)Schnittstelle zur Software auf dem ARM (d.h. an dem "normalen" USB-Port). Konnte ich aber mangels Adapter nicht ausprobieren.

Liebe Grüße
meetzee
metz12
Neues Mitglied
Beiträge: 9
Registriert: Fr 21. Jun 2013, 13:48

#30

Beitrag von metz12 »

meetzee hat geschrieben: Mein Versuch, WLAN zu aktivieren, ist bislang nicht sonderlich erfolgreich. Mein WLAN-Stick wird zwar vom Betriebssystem erkannt, aber das war es dann schon mehr oder weniger. Gibt es überhaupt Modelle mit CH610 bis CH612, die WLAN-Einstellungen im Menü anzeigen? Ich habe den Eindruck, als wäre der Code dazu zwar vorhanden aber ungenutzt. Den gleichen Eindruck habe ich vom Hotel-Modus. Lässt der sich irgendwie aktivieren?
In der gedruckten BDA, die meinem Metz Carat 37 LED beilag (damals noch Software V 5.x), ist auf diversen Seiten im Menü der Eintrag "Funknetzwerk (WLAN)" abgebildet.

Auf E-Mail-Nachfrage bei Metz (im Juli 2012) erhielt ich die Antwort:
"Wir beschäftigen uns momentan in der Entwicklung mit WLAN-Sticks, um auch eine Anbindung per Funk anbieten zu können. Allerdings stehen hier die Entwicklungsarbeiten noch im Anfangsstadium, so dass wir hierfür kurzfristig keine Lösung anbieten können. Leider können wir Ihnen zurzeit nicht zusichern, ob bzw. wann das Projekt abgeschlossen wird."

Bei Metz gibt es ja mittlerweile tatsächlich WLAN-Sticks für den Pureo (Ch. 613) und Merio. Quelle:
http://www.metz-ce.de/de/fernseher/tv-p ... ehoer.html" onclick="window.open(this.href);return false;
Ob der auch bei Geräten auf Ch610-612 läuft, ist fraglich bzw. müsste man mal nachfragen.

Grüße metz12
Metz Carat 37 LED 200 Media twin R - Chassis 612 - Software 6.25K
meetzee
Neues Mitglied
Beiträge: 19
Registriert: Mi 11. Feb 2015, 22:28

#31

Beitrag von meetzee »

Ich habe es inzwischen geschafft, das WLAN ohne Menü zu konfigurieren und kann mich nun auch per Telnet mit dem Fernseher verbinden. Aber eine Integration ins Menü wäre schon schöner... ;-) Komischerweise kann ich nun endlich im Menü "Kabelnetzwerk (LAN)" und "Metz Media System" auswählen. Sogar Updates über das Internet bekomme ich angeboten. :-)

Was die Wahl der Sticks betrifft: Im CH610-612 sind die Treiber 8712u (Realtek) und rt3572sta (Ralink) enthalten, die zusammen 150 verschiedene USB-IDs von WLAN-Sticks kennen.

Im CH613/614 gibt es folgende USB-Treiber:
  • 8192du (Realtek)
    asix
    cdc_ether
    mcs7830
    net1080
    pegasus
    rt5572sta (Ralink)
    rtl8150
    smsc95xx
    snd-usb-audio
    usbhid
    uvcvideo
Metz-o-Mix
Routinier
Beiträge: 459
Registriert: So 29. Jun 2014, 00:19

#32

Beitrag von Metz-o-Mix »

meetzee hat geschrieben:Ich habe es inzwischen geschafft, das WLAN ohne Menü zu konfigurieren und kann mich nun auch per Telnet mit dem Fernseher verbinden.
Da kommt aber kein Login, oder?


Daniel
meetzee
Neues Mitglied
Beiträge: 19
Registriert: Mi 11. Feb 2015, 22:28

#33

Beitrag von meetzee »

Ich habe den Telnet-Server auf dem Fernseher vorher manuell gestartet. Daher bekomme ich darüber eine Shell. Werksseitig ist Telnet nicht aktiviert.

HbbTV funktioniert übrigens nun auch. :-)
Metz-o-Mix
Routinier
Beiträge: 459
Registriert: So 29. Jun 2014, 00:19

#34

Beitrag von Metz-o-Mix »

meetzee hat geschrieben:Ich habe den Telnet-Server auf dem Fernseher vorher manuell gestartet. Daher bekomme ich darüber eine Shell. Werksseitig ist Telnet nicht aktiviert.
Mann, Dir muß man aber auch die Würmer einzeln aus der Nase ziehen...

Und wie genau hast Du den Telnetd manuell gestartet? *lechz*, *gier*, *sabber*

Daniel
meetzee
Neues Mitglied
Beiträge: 19
Registriert: Mi 11. Feb 2015, 22:28

#35

Beitrag von meetzee »

Ich habe einen Programmierfehler ausgenutzt, um eigenen Code ausführen zu können. Wenn ich die Lücke veröffentliche, wird sie bestimmt relativ schnell dicht gemacht. Damit möchte ich mir jedenfalls noch etwas Zeit lassen. Vielleicht findet sich auch noch ein besserer Weg.

Bei Fernsehern mit MMS auf internem USB-Stick kann man eventuell einfach das darauf enthaltene Startskript ändern. Es gibt zwar eine Signaturprüfung, aber ich weiß nicht, ob die den Start verhindert oder nur z.B. CI+ deaktiviert. Müsste man mal ausprobieren. So einen habe ich leider nicht.
Metz-o-Mix
Routinier
Beiträge: 459
Registriert: So 29. Jun 2014, 00:19

#36

Beitrag von Metz-o-Mix »

meetzee hat geschrieben:Ich habe einen Programmierfehler ausgenutzt, um eigenen Code ausführen zu können.
Aha! Also ein Hacker. :D :D :D

Na, unter diesen Umständen... ;)

Daniel
Antworten