Отвязка от Ростелеком камеры DH-IPC-K42LB

Эта камера, судя по всему, по железу аналогична камере Dahua DH-IPC-K42AP, а называется так по принципу “Операции “Ы” – “Чтоб никто не догадался!” Если кто не знает о чём речь, то загуглите, а лучше посмотрите! Ну так вот, загрузчик у этой модели уже не оригинальный и так просто отвязать не получится, но если покопаться, то результат будет.

Камера

Инструменты

• Адаптер CH340G
• Коннектор JST 1,25 4p

Утилиты

• TFTP-сервер Tftpd64 — TFTP-сервер для передачи файлов.
• Putty — программа для работы через UART.
• ConfigTool — поисковая утилита для камер Dahua.

Материалы

• DH_IPC-Consumer-Web-Mao-Molec_Eng_P_V2.800.0000000.15.R.210630 – оригинальная прошивка с моего Яндекс.Диска
• DH-IPC-K42LB – распакованная прошивка.

Исходные данные

U-Boot 2015.01 (Mar 05 2021 - 14:39:35)
Version: I6g#######
I2C:   ready
DRAM:
WARNING: Caches not enabled
SPINAND_I:  SPINAND: _MDrv_SPINAND_GET_INFO: Found spinand INFO
(0xA1), (0xE4), (0x7F),
SPINAND: board_nand_init: CIS contains part info
128 MiB
MMC:   MStar SD/MMC: 0
In:    serial
Out:   serial
Err:   serial
Net:   MAC Address 00:30:1B:BA:02:DB
Auto-Negotiation...
Link Status Speed:100 Full-duplex:1
sstar_emac
gpio debug MHal_GPIO_Pad_Set:599
gpio[12] is 0
gpio debug MHal_GPIO_Pad_Set:599
gpio[13] is 0
gpio debug MHal_GPIO_Pad_Set:599
gpio[63] is 1
gpio - Config gpio port
Usage:
gpio (for 2nd parameter, you must type at least 3 characters)
gpio output  <1/0>  : ex: gpio output 69 1
gpio input/get      : ex: gpio input 10  (gpio 10 set as input)
gpio toggle         : ex: gpio tog 49 (toggle)
gpio state          : ex: gpio sta 49 (get i/o status(direction) & pin status)
gpio list [num_of_pins]    : ex: gpio list 10 (list GPIO1~GPIO10 status)

?       - alias for 'help'
aes     - Control Mstar AES engine
base    - print or set address offset
bootm   - boot application image from memory
bootp   - boot image via network using BOOTP/TFTP protocol
chpart  - change active partition
cmp     - memory compare
cp      - memory copy
crc32   - checksum calculation
dbg     - set debug message level. Default level is INFO
dcache  - enable or disable data cache
debug   - Disable uart rx via PAD_DDCA to use debug tool
dhcp    - boot image via network using DHCP/TFTP protocol
dstar   - script via SD/MMC
eeprom  - EEPROM sub-system
env     - environment handling commands
estar   - script via network
estart  - EMAC start
fatinfo - print information about filesystem
fatload - load binary file from a dos filesystem
fatls   - list files in a directory (default /)
fatread - FAT fatread with FSTART
fatsize - determine a file's size
fwupdate- fwupdate command allows to flash vc camera firmware from file on mmc or from memory.
go      - start application at address 'addr'
gpio    - Config gpio port
help    - print command description/usage
i2c     - I2C sub-system
icache  - enable or disable instruction cache
initDbgLevel- Initial varaible 'dbgLevel'
loop    - infinite loop on address range
macaddr - setup EMAC MAC addr
md      - memory display
mm      - memory modify (auto-incrementing address)
mmc     - MMC sub system
mmcinfo - display MMC info
mssdmmc - Mstar SD/MMC IP Verification System
mstar   - script via TFTP
mtdparts- define flash/nand partitions
mw      - memory write (fill)
mxp     - MXP function for Mstar MXP partition
nand    - NAND sub-system
nboot   - boot from NAND device
nm      - memory modify (constant address)
ping    - send ICMP ECHO_REQUEST to network host
printenv- print environment variables
readcis - Read cis block content
reset   - Perform RESET of the CPU
riu     - riu  - riu command

run     - run commands in an environment variable
saveenv - save environment variables to persistent storage
secauth - Control Sstar security authenticate sequence
setenv  - set environment variables
sf      - SPI flash sub-system
sfbin   - for uploading sf image to a server(via network using TFTP protocol)
sigauth - Only verify digital signature without aes
srcfg   - sensor pin and mclk configuration.
tftpboot- boot image via network using TFTP protocol
ubi     - ubi commands
usb     - USB sub-system
usbboot - boot from USB device
ustar   - script via USB
version - print monitor, compiler and linker version
writecis- Search CIS in dram then write to spinand.

baudrate=115200
bootargs=mem=130840K console=ttyS0,115200 LX_MEM=0x7fc6000 mma_heap=mma_heap_name0,miu=0,sz=0x4000000 rootfstype=ramfs mtdparts=nand0:1536K(boot),512K(tech),5120K(kernel),16384K(app),-(config) hw_type=2007
bootcmd=nand read 0x22000000 0x200000 0x500000; bootm 0x22000000; setenv bootargs $(bootargs) bkp=1; nand read 0x22000000 0x700000 0x500000; bootm 0x22000000
bootdelay=0
ethact=sstar_emac
ethaddr=00:30:1b:ba:02:db
ipaddr=192.168.1.10
nand_erasesize=20000
nand_oobsize=40
nand_writesize=800
preboot=gpio output 12 0;gpio output 13 0;gpio output 63 1;gpio output 6 0gpio output 52 0
serverip=192.168.1.128
stderr=serial
stdin=serial
stdout=serial
usb_folder=images

Environment size: 718/131068 bytes

Подключение

Подключаемся к плате камеры через UART, запускаем Putty на нужном порту и подаём питание. Ростелекомовский загрузчик останавливается по комбинации Ctrl-Enter. Если с контактами всё в порядке и нажали комбинацию вовремя, то попадаем в бут и можем действовать.

Резервная копия прошивки

На всякий случай нужно сделать бэкап. Через tftp не выйдет, т.к. он работает только на приём, поэтому единственный вариант – через карту памяти. Нужно вставить карточку и выполнить следующие команды:

mw.b 0x22000000 0xff 0x1000000;nand read 0x22000000 0x0 0x1000000;mmc write 0x22000000 0x10 0x8000
mw.b 0x22000000 0xff 0x1000000;nand read 0x22000000 0x1000000 0x1000000;mmc write 0x22000000 0x8010 0x8000
mw.b 0x22000000 0xff 0x1000000;nand read 0x22000000 0x2000000 0x1000000;mmc write 0x22000000 0x10010 0x8000
mw.b 0x22000000 0xff 0x1000000;nand read 0x22000000 0x3000000 0x1000000;mmc write 0x22000000 0x18010 0x8000
mw.b 0x22000000 0xff 0x1000000;nand read 0x22000000 0x4000000 0x1000000;mmc write 0x22000000 0x20010 0x8000
mw.b 0x22000000 0xff 0x1000000;nand read 0x22000000 0x5000000 0x1000000;mmc write 0x22000000 0x28010 0x8000
mw.b 0x22000000 0xff 0x1000000;nand read 0x22000000 0x6000000 0x1000000;mmc write 0x22000000 0x30010 0x8000
mw.b 0x22000000 0xff 0x1000000;nand read 0x22000000 0x7000000 0x1000000;mmc write 0x22000000 0x38010 0x8000

Не уверен, что всё прошло как надо, но надеюсь бэкап не пригодится 🙂 Вытащить с карточки его можно только в Linux.

Прошивка загрузчика

Распаковываем бинарный файл прошивки с помощью архиватора 7Zip, либо берём уже готовые файлы.

У Dahua загрузчик состоит из двух частей и в скачанной прошивке есть они обе, поэтому восстановление оригинального загрузчика особого труда не представляет. Нас интересуют файлы dhboot-min.bin.img и dhboot.bin.img. Алгоритм действий подробно разобран в статье Восстановление камер Dahua, а здесь просто упомяну, что нужно отрезать от каждого из файлов 64 байта заголовка и сохранить полученный результат в файл с другим именем, например, dhboot-min.bin и dhboot.bin.

Далее запускаем tftp-сервер, кладём в его рабочий каталог подредактированные файлы, а заодно и все остальные файлы распакованной прошивки.

setenv serverip 192.168.1.128
setenv ipaddr 192.168.1.10

mw.b 0x22000000 ff 0x1000000
tftp 0x22000000 dhboot-min.bin
nand erase 0x0 0x1000000
nand write 0x22000000 0x0 0x1000000

mw.b 0x22000000 ff 0x1000000
tftp 0x22000000 dhboot.bin
nand erase 0x340000 0x1000000
nand write 0x22000000 0x340000 0x1000000

reset

Команды nand erase, nand write и reset даём только в том случае, если выполнение предыдущей команды прошло успешно. Если что-то пошло не так, например, бинарник не скачался, а память уже затёрта, то после reset с вероятностью 100% получим кирпич.

После перезапуска, для попадания в оригинальный даховский бут, надо жать уже другую клавишу: *. Если успели, то снова задаём адрес сервера и прошиваем остальные части системы.

setenv serverip 192.168.1.128

run dp
run dk
run dr
run pd
run dw
run da

Или одной строкой:

setenv serverip 192.168.1.128;run dp;run dk;run dr;run pd;run dw;run da

Последняя команда не обязательна, т.к. прошивает загрузчик, который уже прошит, но можно и ещё раз прошить, чтобы уж совсем всё по фен-шую.

Далее, задаём критически важные переменные окружения.

setenv HWID IPC-K42A-HD:01:02:07:89:3C:00:01:10:01:01:04:320:03:00:00:00:00:00:00:00:80

setenv devalias DH-IPC-K42LB
setenv ethaddr 6c:1c:71:00:00:00         // MAC-адрес с наклейки камеры
setenv ID 7G05B7AB091000000              // QR-код с наклейки на ИК-фильтре

save

HWID определяет аппаратную платформу, devalias – то, как камера будет видеться в ConfigTool, а может и не только в нём, ethaddr – MAC-адрес, который берётся с наклейки камеры, а ID – серийный номер из QR-кода с наклейки на ИК-фильтре.

Насчёт серийного номера возможны варианты. На наклейке есть цифровой серийник РТ, который можно использовать в качестве ID. С ним облако Dahua тоже вроде бы работает, но продолжительное время не тестировал – может и отвалиться. На корпусе ИК-фильтра есть наклейка с QR-кодом, который больше похож на Даховский серийник и думаю, что в качестве ID лучше использовать именно его.