Skip to main content

檢調單位,或是一般資料救援公司.在手持行動裝置做物理層數位鑑識跟資料恢復.
有時要做IC拆解 (Chip off).這技術其實非常簡單.簡單說就是將EMMC ,EMCP吹焊下在貼上SD  轉卡上

 

真正難度高的是怎樣不破壞手機找出 eMMC PCB上的腳位?來做物理提取.

可以利用ATF 設備來做這個eMCC pin腳掃描.
必須要了解一個狀況 如果只要讀取EMMC 必要腳位為
VDD 正極供電
VSS 接地
上面簡單. 所以重點在於下面三個腳位
CLK (Clock)
CMD  (Command) 
DO  (SPI Serial Data Out )[MISO]

可能支援的手機 Qualcomm, Exynos, Marvell, Broadcom  based Phone
以下翻譯自 http://www.gsmlover.com/advance-box/196815-atf-emmc-test-pin-finder-tutorial.html

ATF 設備接口為  RJ 45口.先準備與探針連接, 8號線為測點棒.

 ㄝㄚ

TP Cable for ATF Nitro / Lightning for Spreadtrum Based Phones

簡單 Spreadtrum TP 尋找線纜 for ATF Nitro and Lightning

怎麼找 CLK and CMD

*請拿起筆記並遵守上面的項目步驟嘗試尋找CLK/CMD

1.請確認有確實且正確接上正極與負極

2.確保電源按鈕始終按壓
3.請勿將USB連接到手機
3.在PCB上每個可能的位置至少2次嘗試
4.不要在電阻上施加太大的力量!
5.並非所有手機都在PCB上都有暴露EMMC EMCP CLK或CMD腳位。
  因此也不是所有的手機都支援這種腳位尋找方法。

 

步驟一

先將手機電源掛載後之後使用橡皮筋或其他方法長按電源按鈕

 

第二步

為方便起見,設置ATF軟體,如REPEAT和INTERVAL
REPEAT <—TP Finder將自動循環次數
INTERVAL <—TP Finder延遲秒數

第三步

將測試點PIN連接到eMMC區域周圍電話PCB上的電阻/ 或焊盤。

等待消息「請檢查其他位置…」顯示時候,然後再嘗試其他TP位置

在ATF BIG Chrome Box上,當綠色LED熄滅時,更改TP位置

在ATF Nitro / Lightning Box上,當藍色LED熄滅時,更改TP位置

在本例中,嘗試了所有標有RED的位置

不要嘗試EMMC旁的電容,他永遠不會連接CLK和CMD

電容器顏色為棕色

電阻器顏色為黑色

僅適用於eMMC區域周圍的電阻和測試點

 

當找到正確的測試點時,您將在下面看到類似的消息。

該消息還會顯示ATF RJ-45 Socket的PINOUT,用於正確連接發現的測試點。

如果在eMMC區域周圍找不到測試點,可以嘗試在CPU區域周圍尋找。

第四步:如何找到VccQ

在嘗試找VccQ之前,請注意以下訊息:

1.您必須首先使用第二步找到CMD引腳

找到CMD引腳分配時,VccQ始終位於CMD電阻測試點的另一側。

如果您想為VccQ找到更好的位置,以方便焊接,那麼您可以在連續性上使用Multitester。測試並檢查eMMC周圍的哪些電容器會在「VEEQ測試點」測試時「BEEP」

CMD電阻的對面。

以下是使用針對CMD電阻器上的VccQ測試點的連續性測試發現的其他VccQ位置的範例。

對於VccQ的電壓值,可以使用1.80V或2.80V。

如果您想知道要使用的精度電壓,則可以使用多功能直流電壓測試來檢查

是當USB電纜連接到PCB時,VccQ獲得的實際電壓。 有時電壓

出現不到5秒鐘,所以一定要抓住它,請別人連接USB

將紅色和黑色插腳定位在電話PCB上。

 

第五步:

如何找到Vcc

<<<對於基於高通的手機,您不需要VccQ和VCC >>>

<<<只需要將USB電纜連接到電話PCB >>>

<<<如何查找數據測試點>>>進入步驟5

不要使用步驟中的TP電纜來查找VCC。

尋找VCC需要您可以使用另一個TP電纜

eMMC接外接電源

您需要使用3.30v上的TEST POINT PIN來準備外接電源像這樣:

逆向JTAG 腳位

翻譯轉載自 http://www.100randomtasks.com/jtag-pin-finder

維多利亞警察局 -數位鑑識部聯繫詢作者,是否知道一種方法來逆向分析手機上的JTAG 協議腳位.
這樣就跳過系統密碼與保護取得完整手機內部的資料.

 

image

image

硬件非常簡單 作者使用了一個Parallax Propeller微控制器連接到一個FT232 USB 。
選擇了Propeller,因為它很容易通過USB編程和調試,以及它有28個空閒引腳用於接口。與手機的接口是為了電流限制目的,與被測試的引腳串聯的不超過100歐姆的電阻器。此外,一個10K電阻從每個通道引腳連接到一個自由IO引腳。這允許獨立地將未使用的通道引腳拉高或拉低。由於嗅探器有12個通道,24個IO引腳連同2個用於UART,2個用於32K EEPROM,共有28個使用引腳和4個空閒引腳。

用其他微處理器也很容易達成這樣架構。

軟件是單元的核心。其核心是用於測試的組合陣列。我花了一些時間研究組合,看不成功的算法生成可能的組合。我發現很多網站描述了可能的組合的總數,在我的情況下,我需要可能12行的4行組合的數量,順序很重要。這總共是11880可能的組合。我找到一個網站(鏈接到這裡)列出了所有的組合為我,並有一個方便的選項,將其保存為一個文件。所有剩下要做的就是寫一個小的VisualBasic.NET程序來解析文件,並以Propeller可用的二進制格式保存數據。由於我有12個通道,每個組合項將適合一個半字節。因此,每個組合消耗2字節的存儲器,並且由於存在11880個組合,需要總共23,760個字節來存儲在Propeller上的所有可能的組合。因此對於第一組合(0,1,2,3) – 字節0 = 0x01,字節1 = 0x23。這就是為什麼我選擇12行,而不是更多。當您添加更多行時,可能的組合呈指數增長。例如:13行 – 17160,14行 – 24024,15行 – 32760,16行 – 43680.由於螺旋槳有32K RAM在船上,12行的存儲器是它可以直接保存的最多。

    固件的基本操作如下:

     – 從內存加載第一個組合
     – 將輸出的TCK,TMS,TDI通道引腳和TDO引腳設置為加載組合指定的輸入。
     – 將所有通道10K電阻設置為上拉,以防止浮動引腳。
     – 重置設備TAP。
     – 掃描可能的設備。如果未檢測到設備,請加載下一個組合。
     – 如果ID命令已知,請將ID命令發送到設備並讀回ID代碼。
     – 如果ID命令未知,請重置設備,並直接移至Shift-DR狀態並讀取ID代碼。
     – 如果ID代碼等於0xFFFFFFFF或0x00000000,則丟棄該組合併加載下一個組合。
     – 如果發現可能有效的代碼並且已知ID命令,則在重置後直接重新讀取ID代碼
        確認代碼匹配。如果它們不匹配,則丟棄組合併加載下一個組合。
        如果它們匹配,請保存組合和ID代碼。
     – 如果發現可能有效的代碼並且ID命令未知,請保存要在其後列出的組合和ID代碼
        所有組合都已嘗試。
     – 一旦嘗試了所有組合,列出所有可能的組合。

    移動到和離開各種TAP狀態的細節可以非常容易地在線找到,因此我不在這裡討論TAP控製或基本JTAG操作的細節。

    添加到固件的一個附加功能是輸入要使用的未知通道的數量。通過這樣做,固件將跳過包括未使用的任何通道的任何組合。這將根據使用的通道數加快搜索過程。

image

JTAG Pin Finder連接到三星手機之一

   

JTAG部分集中在設備中包含的ID字。根據IEEE 1149.1規範,ID命令是可選的,但大多數(如果不是所有)製造商實現該命令。在復位TAP之後,ID代碼自動加載到數據寄存器中。如果將TAP移動到Shift-DR狀態,則可以輸出ID代碼。
    這是固件在不使用指令寄存器的情況下搜索可能的組合的方式。這種方法的缺點是,它可能導致找到多個組合。但是,通過檢查找到的組合,您可以推斷要聚焦的引腳。如果你看看右邊的圖像,你會看到固件找到6種可能的組合。這是在上面顯示的手機上。您可以看到TCK和TDO引腳在所有組合上是相同的,並且TMS對於6個組合中的3個是相同的,這將是一個好的猜測,它是正確的引腳。最後,TDI引腳是通道0,4或6.因此,從完全在黑暗中與未知標頭,固件已經將選項減少到只有3。

    這是未知設備的搜索選項,向下滾動到下一部分以查看固件如何解析

找到未知引腳的最好方法是使用ID命令。為了以這種方式進行搜索,需要知道兩件事:指令寄存器的長度和ID命令值。這兩個都可以在邊界掃描描述語言文件或BSDL文件中找到。除了這兩個要求之外,BSDL文件還將包含ID代碼值。這是偉大的,因為當固件找到有效的組合時,它增加了另一個級別的置信度。
    在右邊的示例中,三星SCH-i910手機使用PXA312處理器。在線搜索後,BSDL文件指定了11位的指令寄存器寬度,ID命令為0x04,ID代碼為0x2E649013。
    將兩個要求插入軟件並開始搜索,得到的組合如右所示。正如你可以看到的ID代碼是確切的,只有一個有效的組合找到,這也是正確的。

延伸參考
http://hackaday.com/2016/12/15/the-many-faces-of-jtag/

3 Comments

Leave a Reply