Отвязка от Ростелеком камеры IPC-C22E-S2

Если с камерой от ДОМ.РУ всё обстоит довольно просто – нужно только штатными средствами прошить оригинальную прошивку, то Ростелеком постарался на славу! Прошивка совсем другая и надо менять её полностью.

Инструменты

• Адаптер CH340G
• Коннектор JST 1,25 4p

Материалы

• IPC-C22E-S2.zip – подготовленные файлы прошивки.
• General_IPC_Consumer_Mao_Molec_Eng_P_V2_800_0000000_17_R_211129.zip – прошивка.
• c22ep_s2_rt-boot.zip – загрузчик РТ для восстановления через snander

Утилиты

• Putty — программа для работы через UART.
• ConfigTool — поисковая утилита для камер Dahua.

Исходные данные

IPL geaba80f
D-0a
128MB
BIST0_0001-OK
Load IPL_CUST from SPINAND
u16Pba: 0006
crc OK

IPL_CUST geaba80f
u16Pba: 0009
Load UBOOT from SPINAND
  decomp_size=0x00074400


U-Boot 2015.01 (May 17 2021 - 15:28:41)

Version: I6g#######
I2C:   ready
DRAM:
WARNING: Caches not enabled
SPINAND_I:  SPINAND: _MDrv_SPINAND_GET_INFO: Found spinand INFO
(0xA1), (0xE4), (0x7F),
SPINAND: board_nand_init: CIS contains part info
128 MiB
MMC:   MStar SD/MMC: 0
*** Warning - bad CRC, using default environment

In:    serial
Out:   serial
Err:   serial
Net:   MAC Address 00:30:1B:BA:02:DB
Auto-Negotiation...
AN failLink Status Speed:10 Full-duplex:0
Status Error!
sstar_emac
Warning: sstar_emac using MAC address from net device

gpio debug MHal_GPIO_Pad_Set:599
gpio[12] is 1
gpio debug MHal_GPIO_Pad_Set:599
gpio[13] is 1
gpio debug MHal_GPIO_Pad_Set:599
gpio[63] is 0
gpio debug MHal_GPIO_Pad_Set:599
gpio[62] is 0
gpio debug MHal_GPIO_Pad_Set:599
gpio[52] is 0
gpio debug MHal_GPIO_Pad_Set:599
gpio[6] is 1
gpio debug MHal_GPIO_Pad_Set:599
gpio[7] is 1
gpio debug MHal_GPIO_Pad_Set:599
gpio[6] is 0
_[sdmmc_0] Err: #Cmd_8 (0x000001AA)=>(E: 0x0008)(S: 0x00000000)__(L:913)
_[sdmmc_0] Err: #Cmd_55 (0x00000000)=>(E: 0x0008)(S: 0x00000000)__(L:913)
_[sdmmc_0] Err: #Cmd_1 (0x00000000)=>(E: 0x0008)(S: 0x00000000)__(L:913)
Card did not respond to voltage select!
Invalid device index:part 0:1
SigmaStar #

?       - alias for 'help'
aes     - Control Mstar AES engine
base    - print or set address offset
bootm   - boot application image from memory
bootp   - boot image via network using BOOTP/TFTP protocol
chpart  - change active partition
cmp     - memory compare
cp      - memory copy
crc32   - checksum calculation
dbg     - set debug message level. Default level is INFO
dcache  - enable or disable data cache
debug   - Disable uart rx via PAD_DDCA to use debug tool
dhcp    - boot image via network using DHCP/TFTP protocol
dstar   - script via SD/MMC
eeprom  - EEPROM sub-system
env     - environment handling commands
estar   - script via network
estart  - EMAC start
fatinfo - print information about filesystem
fatload - load binary file from a dos filesystem
fatls   - list files in a directory (default /)
fatread - FAT fatread with FSTART
fatsize - determine a file's size
fwupdate- fwupdate command allows to flash vc camera firmware from file on mmc or from memory.
go      - start application at address 'addr'
gpio    - Config gpio port
help    - print command description/usage
i2c     - I2C sub-system
icache  - enable or disable instruction cache
initDbgLevel- Initial varaible 'dbgLevel'
loop    - infinite loop on address range
macaddr - setup EMAC MAC addr
md      - memory display
mm      - memory modify (auto-incrementing address)
mmc     - MMC sub system
mmcinfo - display MMC info
mssdmmc - Mstar SD/MMC IP Verification System
mstar   - script via TFTP
mtdparts- define flash/nand partitions
mw      - memory write (fill)
mxp     - MXP function for Mstar MXP partition
nand    - NAND sub-system
nboot   - boot from NAND device
nm      - memory modify (constant address)
ping    - send ICMP ECHO_REQUEST to network host
printenv- print environment variables
readcis - Read cis block content
reset   - Perform RESET of the CPU
riu     - riu  - riu command

run     - run commands in an environment variable
saveenv - save environment variables to persistent storage
secauth - Control Sstar security authenticate sequence
setenv  - set environment variables
sf      - SPI flash sub-system
sfbin   - for uploading sf image to a server(via network using TFTP protocol)
sigauth - Only verify digital signature without aes
srcfg   - sensor pin and mclk configuration.
tftpboot- boot image via network using TFTP protocol
ubi     - ubi commands
usb     - USB sub-system
usbboot - boot from USB device
ustar   - script via USB
version - print monitor, compiler and linker version
writecis- Search CIS in dram then write to spinand.

baudrate=115200
bootargs=mem=130840K console=ttyS0,115200 LX_MEM=0x7fc6000 mma_heap=mma_heap_name0,miu=0,sz=0x4000000 rootfstype=ramfs mtdparts=nand0:1536K(boot),512K(tech),5120K(kernel),16384K(app),-(config) hw_type=2010
bootcmd=nand read 0x22000000 0x200000 0x500000; bootm 0x22000000; setenv bootargs $(bootargs) bkp=1; nand read 0x22000000 0x700000 0x500000; bootm 0x22000000
bootdelay=0
ethact=sstar_emac
ethaddr=00:30:1b:ba:02:db
preboot=gpio output 12 1;gpio output 13 1;gpio output 63 0;gpio output 62 1;gpio output 52 0;gpio output 6 1;gpio output 7 1;gpio output 6 0; ; fwupdate mmc 0:1 firmware.bin --enable-legacy-fw --with-props
stderr=serial
stdin=serial
stdout=serial
usb_folder=images

Environment size: 724/131068 bytes

Подготовка

• Разархивировать подготовленные файлы прошивки, скопировать их на карту памяти и вставить карту в камеру. Я использовал карту объёмом 16Gb, отформатированную в FAT32.
• Подключить UART-адаптер к камере и компьютеру. Установить драйверы, если ещё не установлены.
• Открыть Putty, выбрать COM-порт, на котором висит адаптер и задать параметры порта.
• Подать питание на камеру.
• Остановить загрузку нажатием клавиши Enter.

Бэкап

Если планов возвращаться на ростелекомовскую прошивку нет, то этот пункт можно пропустить. Тем более, что камера на процессоре SigmaStar, а методика раскирпичивания таких камер уже освоена и описана: Восстановление камер на процессорах SigmaStar.

На всякий случай уточню – дамп пишется непосредственно на карту памяти, уничтожая её файловую систему, и считать его можно потом тоже только определённым способом. Соответственно, если делать бэкап, то нужна вторая карта памяти, либо сделать бэкап, затем скинуть дамп на комп, затем отформатировать карту, положить на неё файлы прошивки и вставить в камеру.

mw.b 0x22000000 0xff 0x1000000;nand read 0x22000000 0x0 0x1000000;mmc write 0x22000000 0x0 0x8000
mw.b 0x22000000 0xff 0x1000000;nand read 0x22000000 0x1000000 0x1000000;mmc write 0x22000000 0x8000 0x8000
mw.b 0x22000000 0xff 0x1000000;nand read 0x22000000 0x2000000 0x1000000;mmc write 0x22000000 0x10000 0x8000
mw.b 0x22000000 0xff 0x1000000;nand read 0x22000000 0x3000000 0x1000000;mmc write 0x22000000 0x18000 0x8000
mw.b 0x22000000 0xff 0x1000000;nand read 0x22000000 0x4000000 0x1000000;mmc write 0x22000000 0x20000 0x8000
mw.b 0x22000000 0xff 0x1000000;nand read 0x22000000 0x5000000 0x1000000;mmc write 0x22000000 0x28000 0x8000
mw.b 0x22000000 0xff 0x1000000;nand read 0x22000000 0x6000000 0x1000000;mmc write 0x22000000 0x30000 0x8000
mw.b 0x22000000 0xff 0x1000000;nand read 0x22000000 0x7000000 0x1000000;mmc write 0x22000000 0x38000 0x8000

После записи дампа нужно в Linux проделать следующие операции, чтобы получить файлы, пригодные для дальнейшего использования в случае необходимости.

sudo dd bs=512 count=32768 if=/dev/sdd of=./c22ep_s2_dump0.bin
sudo dd bs=512 skip=32768 count=32768 if=/dev/sdd of=./c22ep_s2_dump1.bin
sudo dd bs=512 skip=65536 count=32768 if=/dev/sdd of=./c22ep_s2_dump2.bin
sudo dd bs=512 skip=98304 count=32768 if=/dev/sdd of=./c22ep_s2_dump3.bin
sudo dd bs=512 skip=131072 count=32768 if=/dev/sdd of=./c22ep_s2_dump4.bin
sudo dd bs=512 skip=163840 count=32768 if=/dev/sdd of=./c22ep_s2_dump5.bin
sudo dd bs=512 skip=196608 count=32768 if=/dev/sdd of=./c22ep_s2_dump6.bin
sudo dd bs=512 skip=229376 count=32768 if=/dev/sdd of=./c22ep_s2_dump7.bin

Прошивка

Общая метода уже описана в статье Восстановление камер Dahua, поэтому здесь повторяться не буду и приведу только конкретные шаги. Тем более, что ничего резать и высчитывать не надо – вся информация предоставлена. В двух словах: нужно залить на флешку заранее подготовленные части прошивки, а затем, после перезагрузки и входа в оригинальный загрузчик, подправить переменные окружения.

mw.b 0x22000000 0xff 0x1000000
fatload mmc 0 0x22000000 dhboot-min.bin
nand erase 0x0 0x200000
nand write 0x22000000 0x0 0x200000

mw.b 0x22000000 0xff 0x1000000
fatload mmc 0 0x22000000 dhboot.bin
nand erase 0x340000 0x100000
nand write 0x22000000 0x340000 0x100000

mw.b 0x22000000 0xff 0x1000000
fatload mmc 0 0x22000000 partition-x.cramfs.bin
nand erase 0x1C00000 0x100000
nand write 0x22000000 0x1C00000 0x100000

mw.b 0x22000000 0xff 0x1000000
fatload mmc 0 0x22000000 pd-x.squashfs.bin
nand erase 0x1D00000 0x100000
nand write 0x22000000 0x1D00000 0x100000

mw.b 0x22000000 0xff 0x1000000
fatload mmc 0 0x22000000 kernel.bin
nand erase 0x2200000 0x300000
nand write 0x22000000 0x2200000 0x300000

mw.b 0x22000000 0xff 0x1000000
fatload mmc 0 0x22000000 web-x.squashfs.bin
nand erase 0x2900000 0x100000
nand write 0x22000000 0x2900000 0x100000

mw.b 0x22000000 0xff 0x1000000
fatload mmc 0 0x22000000 romfs-x.squashfs_0.bin
nand erase 0x3300000 0x1000000
nand write 0x22000000 0x3300000 0x1000000

mw.b 0x22000000 0xff 0x1000000
fatload mmc 0 0x22000000 romfs-x.squashfs_1.bin
nand erase 0x4300000 0x100000
nand write 0x22000000 0x4300000 0x100000

Переменные окружения

После прошивки нужно перезагрузить камеру командой reset и снова войти в загрузчик. Теперь это уже родной загрузчик Dahua, поэтому останавливаем загрузку звёздочкой: *. Войдя в загрузчик задаём переменные. Значение ID берётся из QR-кода на корпусе ИК-фильтра (точки убрать), а MAC-адрес, он же wifiaddr – с наклейки. Теоретически ID тоже можно взять с наклейки. С ростелекомовским ID облако тоже вроде бы работает, но могут ведь и забанить такие идентификаторы, а ID из QR-кода хотя бы похож на родной, хоть и цифр в нём чуть больше. SC – это Security Code использующийся в качестве пароля администратора и пароля точки доступа Wi-Fi, которую запускает камера для того, чтобы можно было к ней подключиться. Можно задать своё значение, но не меньше 8 символов.

setenv HWID IPC-C22E-S2:01:02:0F:77:3B:00:01:10:01:01:04:400:00:02:00:00:04:01:00:01:80
setenv hwidEx 00:03:00:00:00:00:00:00:00:00:00:00:00:00:00:00
setenv devalias IPC-C22E-S2

setenv SC MXTR2023
setenv ID 7F0638DB0000000
setenv wifiaddr 6C:1C:71:00:00:00

save

Подключение

Подключение камеры к Wi-Fi и к облаку производится с помощью приложения IMOU или DMSS. Проще всего сделать это отсканировав QR-код, но ростелекомовский не подойдёт, т.к. содержит только ID, да и тот теперь неправильный. Правильный QR-код нужно сгенерировать каким-нибудь сервисом, например qrcoder.ru. Кодируемая строка должна иметь вид:

{SN:7F0638DB0000000,DT:IPC-C22EP-S2,SC:MXTR2023,NC:008}

где SN – ваш серийный номер, а SC – ваш Security Code. Остальное менять не нужно. Для этой строки QR-код выглядит так:

Полученный QR-код сканируется приложением и, после запроса параметров местной Wi-Fi сети, камера подключается к ней и добавляется в аккаунт. Подробнее тут: Подключение.

Web-морды у камеры нет, но понастраивать её можно через ConfigTool.