Firmware-Dump Chassis 610, 611 oder 612
Firmware-Dump Chassis 610, 611 oder 612
Guten Abend,
hat schon mal jemand sich die Mühe gemacht, die Firmware vom internen Speicher auszulesen? Die Update-Dateien sind ja leider verschlüsselt. Es wäre schön, wenn man einen Weg finden würde, kleine Änderungen an der Firmware vorzunehmen, zumal ich vom Hersteller in Zukunft nicht mehr viele Updates erwarte. Leider hat mein TV kein Ethernet, so dass die Angriffsfläche relativ klein ist, und Hardwarebasteleien sind nicht so mein Ding. Vielleicht ginge aber was über USB. Nur müsste man dazu erst mal den Inhalt des Dateisystems analysieren, wenn man nicht blind herumprobieren möchte.
Stimmt es eigentlich, dass in den Fernsehern ein embedded Linux werkelt? Falls ja, hat schon mal jemand nach Zugang zum Quellcode der GPL-Lizensierten Teile gefragt und eine Antwort bekommen? Gibt es für solche Fragen bei Metz einen bestimmten Ansprechpartner?
Liebe Grüße
meetzee
hat schon mal jemand sich die Mühe gemacht, die Firmware vom internen Speicher auszulesen? Die Update-Dateien sind ja leider verschlüsselt. Es wäre schön, wenn man einen Weg finden würde, kleine Änderungen an der Firmware vorzunehmen, zumal ich vom Hersteller in Zukunft nicht mehr viele Updates erwarte. Leider hat mein TV kein Ethernet, so dass die Angriffsfläche relativ klein ist, und Hardwarebasteleien sind nicht so mein Ding. Vielleicht ginge aber was über USB. Nur müsste man dazu erst mal den Inhalt des Dateisystems analysieren, wenn man nicht blind herumprobieren möchte.
Stimmt es eigentlich, dass in den Fernsehern ein embedded Linux werkelt? Falls ja, hat schon mal jemand nach Zugang zum Quellcode der GPL-Lizensierten Teile gefragt und eine Antwort bekommen? Gibt es für solche Fragen bei Metz einen bestimmten Ansprechpartner?
Liebe Grüße
meetzee
-
- Routinier
- Beiträge: 459
- Registriert: So 29. Jun 2014, 00:19
Ja, ich fürchte auch, daß die Geräte mit den o.g. Chassis am Ende ihrer Entwicklung angelangt sind.meetzee hat geschrieben:hat schon mal jemand sich die Mühe gemacht, die Firmware vom internen Speicher auszulesen? Die Update-Dateien sind ja leider verschlüsselt. Es wäre schön, wenn man einen Weg finden würde, kleine Änderungen an der Firmware vorzunehmen, zumal ich vom Hersteller in Zukunft nicht mehr viele Updates erwarte.
Die Hardware, fürchte ich, dürfte sogar noch das geringste Problem sein. Die Software zu decompilieren (illegal!) schon eher; die wird ja wohl kaum im Quellcode vorliegen. Die Architektur ist natürlich unbekannt. Also das dürfte ein dicker Brocken werden, da etwas zu erweitern.meetzee hat geschrieben:Leider hat mein TV kein Ethernet, so dass die Angriffsfläche relativ klein ist, und Hardwarebasteleien sind nicht so mein Ding.
Ja, das dürfte bei allen Fernsehern so sein, auch bei den anderen Herstellern. Ich denke, wenn Du unbedingt spielen willst, nimm irgendeinen Raspberry PI und schließ den an den Fernseher an. Das dürfte weitaus weniger Arbeit sein, als die TV-Firmware zu patchen.meetzee hat geschrieben: Vielleicht ginge aber was über USB. Nur müsste man dazu erst mal den Inhalt des Dateisystems analysieren, wenn man nicht blind herumprobieren möchte.
Stimmt es eigentlich, dass in den Fernsehern ein embedded Linux werkelt?
Daniel
Hallo Daniel,
ich benutze den Fernseher sowieso nur in Verbindung mit einer Dreambox. Insofern hab ich schon das passende Gerät für Spielereien. Nur hat der Fernseher einige Macken, die ich gerne abstellen würde. Zum Beispiel nervt er nach jedem Einschalten mit der Meldung, dass "Datum und Uhrzeit nicht verfügbar" seien. Und er schaltet sich nach einiger Zeit von alleine ab, da ich zum Fernsehen nur die Bedienung meiner Dreambox nutze.
Früher war der Fernseher (ein Erbstück) mal in einem Modus, in dem zumindest die Meldung mit dem Datum nicht kam. In diesem Modus konnte man den internen Sat-Tuner aber nicht verwenden. Vermutlich hat der Installateur das damals so konfiguriert. Da ich den internen Tuner und die Funktionen des Fernsehers mal ausprobieren wollte, habe ich dummerweise einen Werksreset durchgeführt. Das hat zwar zum Erfolg geführt, aber das o.g. Problem mitgebracht.
Um solche einfachen Dinge geht's mir primär.
Das Disassemblieren von Software für private Zwecke ist höchstens in Diktaturen verboten. Jedenfalls nicht dort, wo ich lebe.
Sofern Linux werksseitig auf den Fernsehern läuft, dann wird auch ein Linux-Dateisystem benutzt und eine von Linux unterstützte Architektur. So viele Überraschungen kann es da nicht geben. Vermutlich sieht man es sofort, wenn man mal den TV aufschaubt und schaut, was auf der CPU steht. Außerdem wäre Metz ja dann verpflichtet, zumindest den Quellcode des Kernels Kunden zu liefern. Eine passende Toolchain ist dann schnell gebaut.
Liebe Grüße
meetzee
ich benutze den Fernseher sowieso nur in Verbindung mit einer Dreambox. Insofern hab ich schon das passende Gerät für Spielereien. Nur hat der Fernseher einige Macken, die ich gerne abstellen würde. Zum Beispiel nervt er nach jedem Einschalten mit der Meldung, dass "Datum und Uhrzeit nicht verfügbar" seien. Und er schaltet sich nach einiger Zeit von alleine ab, da ich zum Fernsehen nur die Bedienung meiner Dreambox nutze.
Früher war der Fernseher (ein Erbstück) mal in einem Modus, in dem zumindest die Meldung mit dem Datum nicht kam. In diesem Modus konnte man den internen Sat-Tuner aber nicht verwenden. Vermutlich hat der Installateur das damals so konfiguriert. Da ich den internen Tuner und die Funktionen des Fernsehers mal ausprobieren wollte, habe ich dummerweise einen Werksreset durchgeführt. Das hat zwar zum Erfolg geführt, aber das o.g. Problem mitgebracht.
Um solche einfachen Dinge geht's mir primär.
Das Disassemblieren von Software für private Zwecke ist höchstens in Diktaturen verboten. Jedenfalls nicht dort, wo ich lebe.
Sofern Linux werksseitig auf den Fernsehern läuft, dann wird auch ein Linux-Dateisystem benutzt und eine von Linux unterstützte Architektur. So viele Überraschungen kann es da nicht geben. Vermutlich sieht man es sofort, wenn man mal den TV aufschaubt und schaut, was auf der CPU steht. Außerdem wäre Metz ja dann verpflichtet, zumindest den Quellcode des Kernels Kunden zu liefern. Eine passende Toolchain ist dann schnell gebaut.
Liebe Grüße
meetzee
Was aber nicht heißt, daß es schreibbar ist. Stichwort: squashfs. Man könnte das natürlich auspacken, modifizieren, wieder einpacken und neu flashen, aber das ist natürlich nicht so ganz trivial...meetzee hat geschrieben:Sofern Linux werksseitig auf den Fernsehern läuft, dann wird auch ein Linux-Dateisystem benutzt
Keine Ahnung was Metz da verwendet. Bei Loewe sieht das so aus:meetzee hat geschrieben:eine von Linux unterstützte Architektur
MB180: MIPS R3000
SL1xx,SL2xx: Renesas SuperH
SL3xx: ARMv7 (hardfloat, NEON)
Ja. Wird aber nicht allzuviel helfen, da sie neben den ursprünglich verwendeten Kernel-Quellen nur eventuell dort vorgenommen Änderungen veröffentlichen müssen. Das umfaßt nicht die Treiber für die im Geräte verbaute Hardware. So wenn denn keine weiteren GPL-Komponenten verwendet werden, gibt es für einen Hersteller auch keinen Grund in der Richtung irgendetwas zu unternehmen. Auch hier kann ich nicht sagen was Metz da tut. Zumindest Loewe scheint aber konsequent sonstigen GPL-Code zu vermeiden. Zumindest habe ich bisher nur LGPL-Teile und Software, für die es neben GPL auch noch kommerzielle Lizensierungsmodelle gibt, entdecken können.meetzee hat geschrieben:Außerdem wäre Metz ja dann verpflichtet, zumindest den Quellcode des Kernels Kunden zu liefern.
Loewe Connect 40 3D DR+ (8.46.0), UniCAM V2 (Sparta 5.45), Yamaha Aventage RX-A810 / BD-1010, Canton GLE490.2, GLE455.2 und GLE430.2, Nubert AW-441, Fritzbox 7330SL+3370, iPad1, iPhone6, GeeXBoX auf PandaBoard, CubieBoard, CuBox, CuBox-i, RaspberryPi 1-3
Hallo Rudi16,
ein Squashfs zu verändern ist kein Hexenwerk.
Ich würde gerne die Struktur der Software-Updates analysieren. Es kann sich ja bei der Verschlüsselung nicht um etwas besonders kompliziertes handeln. Irgendein Block-Chiffre mit 128 Bits Blockgröße (AES?) im ECB-Modus. Vermutlich ein Algorithmus, der vom Chip unterstützt wird. Und es würde mich nicht wundern, wenn der Schlüssel im Klartext im Gerätespeicher steht. Daher meine ursprüngliche Frage, ob schon mal jemand den Speicher des Fernsehers ausgelesen hat.
Mit dem Kernel-Quellcode kann man schon eine Menge anfangen, z.B. passende USB-WLAN-Treiber bauen. Vermutlich geht's auch mit einem ausreichend ähnlichen, aber eine Hilfe wäre es schon. Treiber von Metz muss man ja nicht verändern. Ich sehe jedenfalls keinen Bedarf für meine Zwecke. Und ein Binary an ein paar Stellen patchen, damit eine Meldung nicht mehr erscheint oder ein Timeout verkürzt oder verlängert wird, wird schon nicht so schwer sein. Es sei denn natürlich, der Fernseher führt nur signierte Binaries aus. Aber das würde mich schon irgendwie wundern, alleine schon wegen des verwendeten Chiffre-Modus beim Update.
Liebe Grüße
meetzee
ein Squashfs zu verändern ist kein Hexenwerk.
Ich würde gerne die Struktur der Software-Updates analysieren. Es kann sich ja bei der Verschlüsselung nicht um etwas besonders kompliziertes handeln. Irgendein Block-Chiffre mit 128 Bits Blockgröße (AES?) im ECB-Modus. Vermutlich ein Algorithmus, der vom Chip unterstützt wird. Und es würde mich nicht wundern, wenn der Schlüssel im Klartext im Gerätespeicher steht. Daher meine ursprüngliche Frage, ob schon mal jemand den Speicher des Fernsehers ausgelesen hat.
Mit dem Kernel-Quellcode kann man schon eine Menge anfangen, z.B. passende USB-WLAN-Treiber bauen. Vermutlich geht's auch mit einem ausreichend ähnlichen, aber eine Hilfe wäre es schon. Treiber von Metz muss man ja nicht verändern. Ich sehe jedenfalls keinen Bedarf für meine Zwecke. Und ein Binary an ein paar Stellen patchen, damit eine Meldung nicht mehr erscheint oder ein Timeout verkürzt oder verlängert wird, wird schon nicht so schwer sein. Es sei denn natürlich, der Fernseher führt nur signierte Binaries aus. Aber das würde mich schon irgendwie wundern, alleine schon wegen des verwendeten Chiffre-Modus beim Update.
Liebe Grüße
meetzee
Ja, Basis sollte ein Linux System sein.
Hatte auch schon mal drüber nachgedacht wie man den Schlüssel "knacken" kann. Verschlüsselt sollten Blöcke zu je 16 Byte sein. Das ergibt ein Vergleich der 608 Software. Die 608 Software liegt einmal unverschlüssel vor (Update per RS232) und einmal verschlüsselt (Update per USB). Bereiche die nur 0xFF enthalten wiederholen sich in der verschlüsselten Variante alle 16 Byte, daher meine Vermutung das der Schlüssel jeweils über 16 Byte geht.
Mit dem Programm "Metz-Remote" kann man auch auf die Shell zugreifen. Ist aber schon etwas älter:
http://www.giambrone.de/board38-support ... tz-remote/" onclick="window.open(this.href);return false;
Ausgabe von dem Programm beim 605 CRT Chassis z.b:
Hatte auch schon mal drüber nachgedacht wie man den Schlüssel "knacken" kann. Verschlüsselt sollten Blöcke zu je 16 Byte sein. Das ergibt ein Vergleich der 608 Software. Die 608 Software liegt einmal unverschlüssel vor (Update per RS232) und einmal verschlüsselt (Update per USB). Bereiche die nur 0xFF enthalten wiederholen sich in der verschlüsselten Variante alle 16 Byte, daher meine Vermutung das der Schlüssel jeweils über 16 Byte geht.
Mit dem Programm "Metz-Remote" kann man auch auf die Shell zugreifen. Ist aber schon etwas älter:
http://www.giambrone.de/board38-support ... tz-remote/" onclick="window.open(this.href);return false;
Ausgabe von dem Programm beim 605 CRT Chassis z.b:
Code: Alles auswählen
MDEB
MDED
VGCA
Shell for %s loaded
Type 'help' for more information
......run.flash
help
Shell program.......
=== Shell Commands ===
help - show this help
port <num> - set debug port (0/1 - debug/modem)
copy <num> - set or reset copy parametar (0/1)
debug <num> - set or reset debug printf (0/1)
mf <addr> <size> <data> - fill size bytes with data from addr
mc <addr1> <addr2> <size> - compare memory at addr1 and addr2 of size size
mr <addr> <size> - read n bytes from memory
mw <addr> <data> - write byte at memory
cbr <addr> - read value from cbus register
cbw <addr> <data> - write value at cbus register
run <addr> - execute code from memory
prg <size> - receive, unpack and copy unpacked program to memory
prg2 <size> - receive packed program to memory (remain packed)
mrb <addr> <size> - read n bytes from memory and print it binary
finit - init flash driver and print info
fw <off> <data> - write byte at flash memory
fmw <off> <data> - write byte at flash memory
=== Flash Commands ===
del_nvm - erase NVM part of flash memory (last 64K sector of 8M)
erase - erase flash memory content
burn - unpack memory image file and save to flash memory
Code: Alles auswählen
[32mAPPL [37;1;40m----------------------------------
[37;1;40m[32mAPPL [37;1;40mTVC_DvbTuning_Tune(FE1) called [prog=2,TV,DVB-S]
[37;1;40m[32mAPPL [37;1;40m----------------------------------
[37;1;40m[32mAVM [37;1;40mAVM_Play(1fff,1fff,1fff)
[37;1;40m[32mDND [37;1;40mDND_Stop called
[37;1;40m[32mDND [37;1;40mdndStop called
[37;1;40m[32mDND [37;1;40mPTSQueue flushed
[37;1;40m[32mDND [37;1;40mDND New State: [37;1;40mIdle
[37;1;40m[32mADP [37;1;40mForce sync mode [37;1;40m[33m'no sync'
[37;1;40m[32mAVM [37;1;40mACT_Stop Start
[37;1;40m[32mACT [37;1;40mACT_Stop()
[37;1;40m[32mADP [37;1;40mADP_Stop
[37;1;40m[32mAVM [37;1;40mACT_Stop Done
[37;1;40m[32mAPPL [37;1;40mFE_connect(FE1) to 11953500-H-27500 after 402 ms successful
[37;1;40m[32mAPPL [37;1;40mDVBAVC_Play(FE1): AVM_SecondaryAudioStream(8191) successful (disable AC3)
[37;1;40m[32mAVM [37;1;40mAVM_Play(6e,78,6e)
[37;1;40m[32mDND [37;1;40mDND_Play 1 called
[37;1;40m[32mDND [37;1;40mdndStart(1) called
[37;1;40m[32mDND [37;1;40mVideo 1 0x101c3e00 0x10229200
[37;1;40m[32mDND [37;1;40mVideo 2 0x1025bc00 0x102c1000
[37;1;40m[32mDND [37;1;40mVideo 3 0x102f3a00 0x10358e00
[37;1;40m[32mDND [37;1;40mDND New State: [37;1;40mWait for sync
[37;1;40m[32mACT [37;1;40mACT_Stop()
[37;1;40m[32mADP [37;1;40mADP_Stop
[37;1;40m[32mACT [37;1;40mACT_Play(2)
[37;1;40m[32mADP [37;1;40mADP_Play()
[37;1;40m[32mADP [37;1;40mADP_MemBufAlloc(336)
[37;1;40m[32mADP [37;1;40mADP_MemBufAlloc(1536)
[37;1;40m[32mADP [37;1;40mADP_MemBufAlloc(1536)
[37;1;40m[32mAPPL [37;1;40mDVBAVC_Play(FE1): AVM_Play(110,120,110) successful (enable MPEG)
[37;1;40m[32mDND [37;1;40mSEQUENCE (720 x 576) FrmRate: 3
[37;1;40m[32mDND [37;1;40mNFM_EVENT_VIDEO_PARA: Size=720x576 AR=3 AFD=0 FR=3
[37;1;40m[32mDND [37;1;40mDND New State: [37;1;40mPlayback
[37;1;40m[32mDND [37;1;40mVideo Underrun!
[37;1;40m[32mDND [37;1;40mVideo Underrun!
[37;1;40m[32mDND [37;1;40mVideo Underrun!
[37;1;40m[32mDND [37;1;40mVideo Underrun!
[37;1;40m[32mDND [37;1;40mVideo Underrun!
[37;1;40m[32mADP [37;1;40m ======= Appl status is 0 (0)
Linus 42 LED 200 CTS2 Z (Chassis 610) + 500GB PVR + twin Tuner
Taros 32 LED Media twin Z (Chassi 612) + 500GB PVR
Taros 32 LED Media twin Z (Chassi 612) + 500GB PVR
Hallo Verax,
kannst Du mir die beiden Versionen für 608 zur Verfügung stellen? Habe bisher leider nur das USB-Update gefunden.
Bei meinem 611 gibt es leider keine RS232-Schnittstelle. Eventuell könnte man eine nachrüsten.
Ein unverschlüsseltes Update für 606 habe ich übrigens gerade gefunden. Darin enthalten sind schon mal Linux und Busybox. Dateisystem: Ext2. Architektur: ARM.
Liebe Grüße
meetzee
kannst Du mir die beiden Versionen für 608 zur Verfügung stellen? Habe bisher leider nur das USB-Update gefunden.
Bei meinem 611 gibt es leider keine RS232-Schnittstelle. Eventuell könnte man eine nachrüsten.
Ein unverschlüsseltes Update für 606 habe ich übrigens gerade gefunden. Darin enthalten sind schon mal Linux und Busybox. Dateisystem: Ext2. Architektur: ARM.
Liebe Grüße
meetzee
Wenn ich heute Abend zu Hause bin, kann ich das machen.meetzee hat geschrieben:kannst Du mir die beiden Versionen für 608 zur Verfügung stellen? Habe bisher leider nur das USB-Update gefunden.
Leider hab ich ab Chassis 610 keine Pläne mehr, sonst könnte ich dazu vielleicht noch was sagen.meetzee hat geschrieben:Bei meinem 611 gibt es leider keine RS232-Schnittstelle. Eventuell könnte man eine nachrüsten.
Darf man fragen woran du das fest machstmeetzee hat geschrieben:Ein unverschlüsseltes Update für 606 habe ich übrigens gerade gefunden. Darin enthalten sind schon mal Linux und Busybox. Dateisystem: Ext2. Architektur: ARM.
Linus 42 LED 200 CTS2 Z (Chassis 610) + 500GB PVR + twin Tuner
Taros 32 LED Media twin Z (Chassi 612) + 500GB PVR
Taros 32 LED Media twin Z (Chassi 612) + 500GB PVR
Hier sieht man einige interessante Offsets innerhalb der Update-Datei:
An 0x8A1549 findet man das Update-Programm ("metz_fwupd"), 0x8A5C9D ist der Kernel ("Linux version 2.6.18.5"), 0xA2B859 ist eine RAM-Disk im ext2-Format. Die lässt sich unter Linux mounten ("sudo mount -o loop,ro A2B859 /mnt").
Code: Alles auswählen
$ binwalk -e MHD606_7_V4_53_D_MH_V3_13_K_394.pUSB
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
8991305 0x893249 Copyright string: "Copyright Conexant Systems, all rights reserved."
9049417 0x8A1549 ELF, 32-bit LSB executable, ARM, version 1 (SYSV)
9062960 0x8A4A30 Unix path: /mnt/usb1/sda1/test.pTFT
9067677 0x8A5C9D Zlib compressed data, default compression
10664025 0xA2B859 Zlib compressed data, default compression
Hallo zusammen
User-Agent: Mozilla/5.0 (DirectFB; U; Linux armv6l; c) AppleWebKit/531.2+ (KHTML, like Gecko) Safari/531.2+ HbbTV/1.1.1 (;Metz;MMS;;;)\r\n
Accept: application/xml,application/xhtml+xml,text/html,application/ce-html+xml,application/vnd.hbbtv.xhtml+xml;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5\r\n
Daraus lässt sich ggf. etwas zur Hard- und Software ableiten.
Außerdem habe ich mal eine externe HDD per USB angeschlossen und diese zuvor mit EXT2 formatiert. Die HDD konnte der Metz lesen und beschreiben, was ja mit NTFS und FAT32 nur eingeschränkt möglich ist. Daher vermute ich, dass es sich um ein Linux-System handelt.
Grüße metz12
Ich habe vor längerer Zeit mal den Traffic bei HbbTv mitgeschnitten (Metz Carat 37 mit Chassis 612). Da ist mir aufgefallen, dass der integrierte "HbbTv-Browser" folgende Kennung an den Server übermittelt:Verax hat geschrieben:Darf man fragen woran du das fest machstmeetzee hat geschrieben:Ein unverschlüsseltes Update für 606 habe ich übrigens gerade gefunden. Darin enthalten sind schon mal Linux und Busybox. Dateisystem: Ext2. Architektur: ARM.
User-Agent: Mozilla/5.0 (DirectFB; U; Linux armv6l; c) AppleWebKit/531.2+ (KHTML, like Gecko) Safari/531.2+ HbbTV/1.1.1 (;Metz;MMS;;;)\r\n
Accept: application/xml,application/xhtml+xml,text/html,application/ce-html+xml,application/vnd.hbbtv.xhtml+xml;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5\r\n
Daraus lässt sich ggf. etwas zur Hard- und Software ableiten.
Außerdem habe ich mal eine externe HDD per USB angeschlossen und diese zuvor mit EXT2 formatiert. Die HDD konnte der Metz lesen und beschreiben, was ja mit NTFS und FAT32 nur eingeschränkt möglich ist. Daher vermute ich, dass es sich um ein Linux-System handelt.
Grüße metz12
Metz Carat 37 LED 200 Media twin R - Chassis 612 - Software 6.25K
Zwischenstand
Die Updates für 606 (und vermutlich alle anderen Reihen) gliedern sich in zwei Teile:
1.) MDE FS
Firmware für Micronas MDE9500 (Architektur: MIPS, 32-Bit, Big-Endian), komprimiert mit LZ77.
Enthält zwei Flash-Tools und ein nochmal mit LZ77 komprimiertes Firmware-Image. Das wiederum enthält ein Unix-artiges embedded OS namens "MICTOS", aus dem der Großteil der Peripherie und die Benutzerschnittstelle gesteuert wird.
2.) MH
Firmware für Conexant CX2417X (Architektur: ARM, 32-Bit, Little-Endian), auf dem Linux läuft und der u.a. für USB und JPEG-Dekodierung genutzt wird. Darüber laufen auch die Firmware-Updates per USB.
Das macht Änderungen etwas komplizierter als ich dachte.
Dass im Chassis 612 WebKit und DirectFB enthalten sind, lässt erst mal hoffen, dass weitere Aufgaben an Linux abgegeben wurden.
Mein 611er enthält analog dazu:
Trident HiDTV-PRO QX 88 (MIPS)
Trident CX24505 (ARM)
Trident hatte die jeweiligen Sparten von Micronas und Conexant gekauft und ist seit 2012 pleite. Nachfolger im STB-Geschäft ist eine Firma namens Entropic Communications (Edit: wurde von MaxLinear aufgekauft).
Liebe Grüße
meetzee
1.) MDE FS
Firmware für Micronas MDE9500 (Architektur: MIPS, 32-Bit, Big-Endian), komprimiert mit LZ77.
Enthält zwei Flash-Tools und ein nochmal mit LZ77 komprimiertes Firmware-Image. Das wiederum enthält ein Unix-artiges embedded OS namens "MICTOS", aus dem der Großteil der Peripherie und die Benutzerschnittstelle gesteuert wird.
2.) MH
Firmware für Conexant CX2417X (Architektur: ARM, 32-Bit, Little-Endian), auf dem Linux läuft und der u.a. für USB und JPEG-Dekodierung genutzt wird. Darüber laufen auch die Firmware-Updates per USB.
Das macht Änderungen etwas komplizierter als ich dachte.
Dass im Chassis 612 WebKit und DirectFB enthalten sind, lässt erst mal hoffen, dass weitere Aufgaben an Linux abgegeben wurden.
Mein 611er enthält analog dazu:
Trident HiDTV-PRO QX 88 (MIPS)
Trident CX24505 (ARM)
Trident hatte die jeweiligen Sparten von Micronas und Conexant gekauft und ist seit 2012 pleite. Nachfolger im STB-Geschäft ist eine Firma namens Entropic Communications (Edit: wurde von MaxLinear aufgekauft).
Liebe Grüße
meetzee
Zuletzt geändert von meetzee am Fr 19. Jun 2015, 16:49, insgesamt 1-mal geändert.
Mir ist aufgefallen, dass man an einem USB-Port (mit "meca Link" beschriftet) einen USB-RS232-Adapter anschließen kann und der TV dann periodisch Daten sendet. Bin mir nicht sicher, ob ich die Baudrate richtig gewählt habe (115200, 8n1).
So sehen die Daten aus, die ich nach dem Einschalten empfange:
Ist das Protokoll, das "Metz Remote" verwendet, irgendwo dokumentiert? Ist es evtl. das Gleiche?
Liebe Grüße
meetzee
So sehen die Daten aus, die ich nach dem Einschalten empfange:
Code: Alles auswählen
00000000 02 02 a2 00 a6 02 02 a2 00 a6 02 02 a2 00 a6 07 |................|
00000010 02 eb 41 35 07 02 eb 41 35 07 02 eb 41 35 01 02 |..A5...A5...A5..|
00000020 a2 00 a5 01 02 a2 00 a5 01 02 a2 00 a5 |.............|
Liebe Grüße
meetzee
-
- Routinier
- Beiträge: 459
- Registriert: So 29. Jun 2014, 00:19
Welchen Chipsatz hat dein USB Adapter? FTDI?meetzee hat geschrieben:Mir ist aufgefallen, dass man an einem USB-Port (mit "meca Link" beschriftet) einen USB-RS232-Adapter anschließen kann und der TV dann periodisch Daten sendet.
Muss ich mir nachher mal ansehen...meetzee hat geschrieben:Ist das Protokoll, das "Metz Remote" verwendet, irgendwo dokumentiert? Ist es evtl. das Gleiche?
Linus 42 LED 200 CTS2 Z (Chassis 610) + 500GB PVR + twin Tuner
Taros 32 LED Media twin Z (Chassi 612) + 500GB PVR
Taros 32 LED Media twin Z (Chassi 612) + 500GB PVR
Ja, ist das Protokoll.meetzee hat geschrieben:ist es evtl. das Gleiche?
Code: Alles auswählen
02 02 a2 00 a6
02 02 a2 00 a6
02 02 a2 00 a6
07 02 eb 41 35
07 02 eb 41 35
07 02 eb 41 35
01 02 a2 00 a5
01 02 a2 00 a5
01 02 a2 00 a5
Die Daten kann ich aber nicht wirklich "entschlüsseln", meine Liste ist schon ur-alt. Da steht 0xEB nicht drin, 0xA2 nur als "Dummy" und Adresse 0x07 ist auch nicht bekannt.
Adresse 1 ist T+A Adapter, 2 ist PC, 4 ist TV
Aber vermutlich sendet der TV einfach "Pings" über die Schnittstelle und schaut ob was zurück kommt. Aber die Chancen das Metz-Remote damit Kommandos an den TV senden kann sind wohl recht groß.
Linus 42 LED 200 CTS2 Z (Chassis 610) + 500GB PVR + twin Tuner
Taros 32 LED Media twin Z (Chassi 612) + 500GB PVR
Taros 32 LED Media twin Z (Chassi 612) + 500GB PVR
Hi.
>Zum Beispiel nervt er nach jedem Einschalten mit der Meldung, dass "Datum und Uhrzeit nicht verfügbar" seien.
Macht er das auch wenn als Startprogrammplatz HDMI gewählt wird?
>Und er schaltet sich nach einiger Zeit von alleine ab, da ich zum Fernsehen nur die Bedienung meiner Dreambox nutze.
Kann im Servicemodus abgeschaltet werden.
Gruß
Wolfgang
>Zum Beispiel nervt er nach jedem Einschalten mit der Meldung, dass "Datum und Uhrzeit nicht verfügbar" seien.
Macht er das auch wenn als Startprogrammplatz HDMI gewählt wird?
>Und er schaltet sich nach einiger Zeit von alleine ab, da ich zum Fernsehen nur die Bedienung meiner Dreambox nutze.
Kann im Servicemodus abgeschaltet werden.
Gruß
Wolfgang
Hallo Wolfgang,
Was mich auch noch interessieren würde: Wie kann man die internen Tuner aus dem Menü ausblenden? Sie waren bis zum Werksreset verborgen.
Danke und liebe Grüße
meetzee
Ja, das habe ich so eingestellt.ws163 hat geschrieben:Macht er das auch wenn als Startprogrammplatz HDMI gewählt wird?
Wie lautet denn die Option ungefähr?ws163 hat geschrieben:>Und er schaltet sich nach einiger Zeit von alleine ab, da ich zum Fernsehen nur die Bedienung meiner Dreambox nutze.
Kann im Servicemodus abgeschaltet werden.
Was mich auch noch interessieren würde: Wie kann man die internen Tuner aus dem Menü ausblenden? Sie waren bis zum Werksreset verborgen.
Danke und liebe Grüße
meetzee
Hi.
>Wie lautet denn die Option ungefähr?
Im Servicemode: Konfiguration -> Bedienung -> Einschaltverhalten -> DauerEin wählen.
Dann sollte er an bleiben.
>Was mich auch noch interessieren würde: Wie kann man die internen Tuner aus dem Menü ausblenden?
Probier mal folgendes: Im Servicemenü das Gerät auf Auslieferungszustand zurücksetzen
Gerät neu starten und die Neuinstallation abbrechen.
Dann sind ev. die Tuner nicht mehr vorhanden.
Dann aber obigen Punkt mit DauerEin nochmals machen
Gruß
Wolfgang
>Wie lautet denn die Option ungefähr?
Im Servicemode: Konfiguration -> Bedienung -> Einschaltverhalten -> DauerEin wählen.
Dann sollte er an bleiben.
>Was mich auch noch interessieren würde: Wie kann man die internen Tuner aus dem Menü ausblenden?
Probier mal folgendes: Im Servicemenü das Gerät auf Auslieferungszustand zurücksetzen
Gerät neu starten und die Neuinstallation abbrechen.
Dann sind ev. die Tuner nicht mehr vorhanden.
Dann aber obigen Punkt mit DauerEin nochmals machen
Gruß
Wolfgang
Hallo Wolfgang,
Aber das Beste ist, dass er nun nicht mehr wegen dem nicht eingestellten Datum nervt.
Dankeschön!
das hat leider nichts gebracht. Ich denke, dass das lediglich das Einschaltverhalten nach Stromverlust regelt.ws163 hat geschrieben:Im Servicemode: Konfiguration -> Bedienung -> Einschaltverhalten -> DauerEin wählen.
Dann sollte er an bleiben.
Das hat aber funktioniert. Merkwürdig, dass ich das nicht selbst schon ausprobiert hatte... ;-) Ganz weg sind die Menüpunkte zwar nicht, aber man bekommt sie so quasi nie mehr zu Gesicht. D.h. mit der Radio-Taste kommt man noch in den Interne-Tuner-Modus, aber sonst mit keiner mir bekannten Taste. Ich denke das entspricht dem Zustand, den ich kannte.ws163 hat geschrieben:Probier mal folgendes: Im Servicemenü das Gerät auf Auslieferungszustand zurücksetzen
Gerät neu starten und die Neuinstallation abbrechen.
Dann sind ev. die Tuner nicht mehr vorhanden.
Aber das Beste ist, dass er nun nicht mehr wegen dem nicht eingestellten Datum nervt.
Dankeschön!
In der Tat sind das Pings. A2 zum erkennen von PC Software, EB zum erkennen von Canton Hardware. Weiß jemand, welche Geräte von Canton das sein könnten? Was ist eigentlich ein T+A-Adapter?Verax hat geschrieben:Erstes Byte ist die Adresse, zweites Byte die Anzahl der Datenbytes, das dritte und vierte das Datenbyte und das letzte die Checksumme (Summe aller Bytes davor).Code: Alles auswählen
02 02 a2 00 a6 02 02 a2 00 a6 02 02 a2 00 a6 07 02 eb 41 35 07 02 eb 41 35 07 02 eb 41 35 01 02 a2 00 a5 01 02 a2 00 a5 01 02 a2 00 a5
Die Daten kann ich aber nicht wirklich "entschlüsseln", meine Liste ist schon ur-alt. Da steht 0xEB nicht drin, 0xA2 nur als "Dummy" und Adresse 0x07 ist auch nicht bekannt.
Adresse 1 ist T+A Adapter, 2 ist PC, 4 ist TV
Aber vermutlich sendet der TV einfach "Pings" über die Schnittstelle und schaut ob was zurück kommt. Aber die Chancen das Metz-Remote damit Kommandos an den TV senden kann sind wohl recht groß.
Re: Firmware-Dump Chassis 610, 611 oder 612
Bei den Canton Geräten handelt es sich um die Soundsysteme 80 und 100 von Metz. Das sind Soundbars, die von Canton gebaut wurden und mit Metz eigener Software ausgestattet wurden.
Der T+A Adapter ist das MT-Interface von T+A (deutscher High-End HiFi Hersteller). Hiermit können T+A Geräte und Metz Geräte verbunden und über eine Fernbedienung bedient werden. Wird von den aktuellen Geräten NICHT mehr unterstützt.
Der T+A Adapter ist das MT-Interface von T+A (deutscher High-End HiFi Hersteller). Hiermit können T+A Geräte und Metz Geräte verbunden und über eine Fernbedienung bedient werden. Wird von den aktuellen Geräten NICHT mehr unterstützt.
Loewe Connect 55 UHD SL420 @ Kathrein CAS 90 - UAS 481 (Astra 19,2°)
Loewe Connect 40 UHD SL320 @ Kathrein CAS 90 - UAS 485 (Astra 19,2°)
Loewe Connect 40 UHD SL320 @ Kathrein CAS 90 - UAS 485 (Astra 19,2°)
mecaHome+ gab es dann ja auch noch. Wird vmtl. von den aktuellen Geräten auch nicht mehr Unterstützt...
http://www.video-magazin.de/news/ifa-20 ... 98367.html" onclick="window.open(this.href);return false;
http://www.video-magazin.de/news/ifa-20 ... 98367.html" onclick="window.open(this.href);return false;
Linus 42 LED 200 CTS2 Z (Chassis 610) + 500GB PVR + twin Tuner
Taros 32 LED Media twin Z (Chassi 612) + 500GB PVR
Taros 32 LED Media twin Z (Chassi 612) + 500GB PVR
Ich habe in der Zwischenzeit die Firmware sowohl für den QX88 (MIPS) als auch für den Nevis (ARM) vollständig ausgelesen. Habe auch die pUSB-Datei entschlüsselt.
Da mein Fernseher von Haus aus keinen Netzwerkanschluss hat, würde ich gerne das MMS zum laufen bekommen, das zwar in der Firmware-Datei vorhanden ist aber mangels Speicher bei meinem Fernseher nicht installiert wird. Darin sind nämlich auch WLAN-Treiber enthalten. Haben Fernseher mit MMS noch einen weiteren Speicher? Z.B. einen internen USB-Stick? Falls ja, hat zufällig jemand ein Foto von einer Hauptplatine mit diesem USB-Steckplatz?
Liebe Grüße
meetzee
Da mein Fernseher von Haus aus keinen Netzwerkanschluss hat, würde ich gerne das MMS zum laufen bekommen, das zwar in der Firmware-Datei vorhanden ist aber mangels Speicher bei meinem Fernseher nicht installiert wird. Darin sind nämlich auch WLAN-Treiber enthalten. Haben Fernseher mit MMS noch einen weiteren Speicher? Z.B. einen internen USB-Stick? Falls ja, hat zufällig jemand ein Foto von einer Hauptplatine mit diesem USB-Steckplatz?
Liebe Grüße
meetzee
-
- Routinier
- Beiträge: 459
- Registriert: So 29. Jun 2014, 00:19
Es gibt in der Firmware ein Programm, das das tut. Keine Kryptographiekenntnisse erforderlich. ;-)Metz-o-Mix hat geschrieben:WIe entschlüsselt man sowas?
Mein Versuch, WLAN zu aktivieren, ist bislang nicht sonderlich erfolgreich. Mein WLAN-Stick wird zwar vom Betriebssystem erkannt, aber das war es dann schon mehr oder weniger. Gibt es überhaupt Modelle mit CH610 bis CH612, die WLAN-Einstellungen im Menü anzeigen? Ich habe den Eindruck, als wäre der Code dazu zwar vorhanden aber ungenutzt. Den gleichen Eindruck habe ich vom Hotel-Modus. Lässt der sich irgendwie aktivieren?
Den Media-Player konnte ich starten, habe aber noch nicht versucht, etwas abzuspielen.
Übrigens, mit einem USB-Serial-Adapter mit FTDI-Chipsatz gibt es auch irgendeine (Debug-)Schnittstelle zur Software auf dem ARM (d.h. an dem "normalen" USB-Port). Konnte ich aber mangels Adapter nicht ausprobieren.
Liebe Grüße
meetzee
In der gedruckten BDA, die meinem Metz Carat 37 LED beilag (damals noch Software V 5.x), ist auf diversen Seiten im Menü der Eintrag "Funknetzwerk (WLAN)" abgebildet.meetzee hat geschrieben: Mein Versuch, WLAN zu aktivieren, ist bislang nicht sonderlich erfolgreich. Mein WLAN-Stick wird zwar vom Betriebssystem erkannt, aber das war es dann schon mehr oder weniger. Gibt es überhaupt Modelle mit CH610 bis CH612, die WLAN-Einstellungen im Menü anzeigen? Ich habe den Eindruck, als wäre der Code dazu zwar vorhanden aber ungenutzt. Den gleichen Eindruck habe ich vom Hotel-Modus. Lässt der sich irgendwie aktivieren?
Auf E-Mail-Nachfrage bei Metz (im Juli 2012) erhielt ich die Antwort:
"Wir beschäftigen uns momentan in der Entwicklung mit WLAN-Sticks, um auch eine Anbindung per Funk anbieten zu können. Allerdings stehen hier die Entwicklungsarbeiten noch im Anfangsstadium, so dass wir hierfür kurzfristig keine Lösung anbieten können. Leider können wir Ihnen zurzeit nicht zusichern, ob bzw. wann das Projekt abgeschlossen wird."
Bei Metz gibt es ja mittlerweile tatsächlich WLAN-Sticks für den Pureo (Ch. 613) und Merio. Quelle:
http://www.metz-ce.de/de/fernseher/tv-p ... ehoer.html" onclick="window.open(this.href);return false;
Ob der auch bei Geräten auf Ch610-612 läuft, ist fraglich bzw. müsste man mal nachfragen.
Grüße metz12
Metz Carat 37 LED 200 Media twin R - Chassis 612 - Software 6.25K
Ich habe es inzwischen geschafft, das WLAN ohne Menü zu konfigurieren und kann mich nun auch per Telnet mit dem Fernseher verbinden. Aber eine Integration ins Menü wäre schon schöner... ;-) Komischerweise kann ich nun endlich im Menü "Kabelnetzwerk (LAN)" und "Metz Media System" auswählen. Sogar Updates über das Internet bekomme ich angeboten. :-)
Was die Wahl der Sticks betrifft: Im CH610-612 sind die Treiber 8712u (Realtek) und rt3572sta (Ralink) enthalten, die zusammen 150 verschiedene USB-IDs von WLAN-Sticks kennen.
Im CH613/614 gibt es folgende USB-Treiber:
Was die Wahl der Sticks betrifft: Im CH610-612 sind die Treiber 8712u (Realtek) und rt3572sta (Ralink) enthalten, die zusammen 150 verschiedene USB-IDs von WLAN-Sticks kennen.
Im CH613/614 gibt es folgende USB-Treiber:
- 8192du (Realtek)
asix
cdc_ether
mcs7830
net1080
pegasus
rt5572sta (Ralink)
rtl8150
smsc95xx
snd-usb-audio
usbhid
uvcvideo
-
- Routinier
- Beiträge: 459
- Registriert: So 29. Jun 2014, 00:19
-
- Routinier
- Beiträge: 459
- Registriert: So 29. Jun 2014, 00:19
Mann, Dir muß man aber auch die Würmer einzeln aus der Nase ziehen...meetzee hat geschrieben:Ich habe den Telnet-Server auf dem Fernseher vorher manuell gestartet. Daher bekomme ich darüber eine Shell. Werksseitig ist Telnet nicht aktiviert.
Und wie genau hast Du den Telnetd manuell gestartet? *lechz*, *gier*, *sabber*
Daniel
Ich habe einen Programmierfehler ausgenutzt, um eigenen Code ausführen zu können. Wenn ich die Lücke veröffentliche, wird sie bestimmt relativ schnell dicht gemacht. Damit möchte ich mir jedenfalls noch etwas Zeit lassen. Vielleicht findet sich auch noch ein besserer Weg.
Bei Fernsehern mit MMS auf internem USB-Stick kann man eventuell einfach das darauf enthaltene Startskript ändern. Es gibt zwar eine Signaturprüfung, aber ich weiß nicht, ob die den Start verhindert oder nur z.B. CI+ deaktiviert. Müsste man mal ausprobieren. So einen habe ich leider nicht.
Bei Fernsehern mit MMS auf internem USB-Stick kann man eventuell einfach das darauf enthaltene Startskript ändern. Es gibt zwar eine Signaturprüfung, aber ich weiß nicht, ob die den Start verhindert oder nur z.B. CI+ deaktiviert. Müsste man mal ausprobieren. So einen habe ich leider nicht.
-
- Routinier
- Beiträge: 459
- Registriert: So 29. Jun 2014, 00:19