2020年买了个小米云台相机pro,后来搬家没怎么用,放家里吃灰一年多,前两天突然翻到想着拿来用一用,结果开机后提示要升级,我就点了升级,结果升级好重启后就一直没反应了,一直黄灯常亮。升级期间也没断电干啥的,结果就不能开机了。然后网上找方法说可以下载固件放到sd卡里重启就能恢复,结果试了下,几个小时过去了,也没能修好,于是打电话给小米客服,说可以寄过去帮忙修。东西寄过去两天后,售后来电话说试了不能用tf卡自动升级,要换主板,这个机器过了一年保修了,换主板要收80。然后我说这个主板硬件是好的,你能不能拆开来刷个固件修下,他说不行。听到这瞬间就来气了,主板肯定是好的,升级失败肯定是软件问题并不是硬件问题,我以我做软硬件工程师的经验来看,这绝对是软件的BootLoader有个bug,升级时写flash数据错误导致的。软件工程师的责任,出了问题居然要消费者来买单,这点责任都担不起,售后维修连个最基础的刷固件的方案都给不出,真的时失望至极,果断拒绝维修。不知道这个售后是真不会刷固件还是假的不会刷固件,还是说要以换主板的名义来收费,实际换主板的操作只是刷了个固件。收到相机后各种爬网找资料,找方法,看见遇到我这个问题的人不在少数,所以把我总结的方法分享给大家。
下图所示的xh25l12833f是flash芯片,相机固件就存这里。
这里的主要思路是,将原相机损坏部分的数据通过其他能用的相机的完好的数据来替换,并且保留原相机数据。其实如果有其他相机的整个固件直接刷进去应该也能用,但是我估计会导致你的相机的序列号和别人的冲突。下面我也把修补好的固件分享给大家,供大家使用
sudo apt update
sudo apt install flashrom
sudo flashrom -p ch341a_spi -r backup.bin -c MX25L12805D
$ binwalk backup.bin
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
80649 0x13B09 xz compressed data
81388 0x13DEC CRC32 polynomial table, little endian
327744 0x50040 xz compressed data
2424832 0x250000 Squashfs filesystem, little endian, version 4.0, compression:xz, size: 7370730 bytes, 2104 inodes, blocksize: 131072 bytes, created: 2020-09-15 08:29:51
10158080 0x9B0000 JFFS2 filesystem, little endian
11804260 0xB41E64 JFFS2 filesystem, little endian
15387028 0xEAC994 JFFS2 filesystem, little endian
16646255 0xFE006F Unix path: /usr/share/zoneinfo/Asia/Shanghai
$ binwalk tf_update.img
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
64 0x40 xz compressed data
2097152 0x200000 Squashfs filesystem, little endian, version 4.0, compression:xz, size: 7370730 bytes, 2104 inodes, blocksize: 131072 bytes, created: 2020-09-15 08:29:51
9830400 0x960000 JFFS2 filesystem, little endian
说明:
这里的DECIMAL,代表十进制的起始地址,如要提取tf_update.img 中Squashfs filesystem文件系统,就在终端输入
dd if=tf_update.img of=rootfs.bin bs=1 count=7733248 skip=2097152
这里的skip代表起始地址,count代表读取内容的大小,bs代表块的大小设为1计算简单点一个块一个字节,通过下一个数据的起始地址减当前数据起始地址得到9830400-2097152 = 7733248
最后一个分区的count 使用文件大小的size来减去这个分区起始地址来计算
#!/bin/bash
mkdir files
mkdir out
dd if=tf_update.img of=files/kernel.bin bs=1 count=2097152 skip=0 #从文件tf_update.img,读取从地址0开始,大小为2097152字节的数据
dd if=tf_update.img of=files/rootfs.bin bs=1 count=7733248 skip=2097152 #读取从地址2097152开始,大小为7733248字节的数据
dd if=tf_update.img of=files/data.bin bs=1 count=6488144 skip=9830400
dd if=dumped_firmware.bin of=files/vendor1.bin bs=1 count=131072 skip=16646144
dd if=backup.bin of=files/vendor2.bin bs=1 count=65536 skip=16711680
cp dumped_firmware.bin -f out/flash.bin
dd if=files/kernel.bin of=out/flash.bin bs=1 count=2097152 seek=327680 # 把数据kernel.bin从地址327680覆盖2097152个数据到flash.bin
dd if=files/rootfs.bin of=out/flash.bin bs=1 count=7733248 seek=2424832
dd if=files/data.bin of=out/flash.bin bs=1 count=6488144 seek=10158080
dd if=files/vendor1.bin of=out/flash.bin bs=1 count=131072 seek=16646144 #这里的seek由上面data的地址加数据大小得到10158080 + 6488144 = 16646144
dd if=files/vendor2.bin of=out/flash.bin bs=1 count=65536 seek=16711680
注意:型号是如果是MJSXJ06CM的相机这个脚本可以直接使用,如果是其他型号,需要对照着修改以上参数,flash.bin的数据大小必须保证为16,777,216字节。
直接在终端执行
$ sudo flashrom -p ch341a_spi -w out/flash.bin -c MX25L12805D
如果嫌麻烦,并且和我的相机型号一样,同为MJSXJ06CM的也可以直接刷我修补好的固件,放心没有添加任何后门程序的哈。
上一步操作执行完后装机,不出意外相机应该能正常启动了。
破解相机,登录相机后台,参考连接
A firmware hack is possible, but requires some tools:
CH341A flash programmer
SOIC8 clip and some dupont wires
Complete device teardown
Basic steps are:
Create a flash backup:
flashrom -p ch341a_spi -r backup.bin
Download the firmware and put it into the same folder.
Run this script to patch the backup:
#!/bin/bash
# extract firmware
mkdir -p files
dd if=tf_recovery.img of=files/kernel.bin bs=1 count=2097152
dd if=tf_recovery.img of=files/rootfs.bin bs=1 count=7733248 skip=2097152
dd if=tf_recovery.img of=files/data.bin bs=1 count=6488064 skip=9830400
dd if=backup.bin of=files/vendor.bin bs=1 count=131072 skip=16646144
# patch jffs2 partition
sudo modprobe mtdblock
sudo modprobe mtdram total_size=6336
sudo dd if=files/data.bin of=/dev/mtdblock0 bs=1
mkdir mount
sudo mount -t jffs2 /dev/mtdblock0 mount
echo '#!/bin/sh' | sudo tee -a mount/bin/log_diag_platform.sh
echo '/mnt/sdcard/override.sh' | sudo tee -a mount/bin/log_diag_platform.sh
sudo chmod 755 mount/bin/log_diag_platform.sh
sudo umount mount
rmdir mount
sudo dd if=/dev/mtdblock0 of=files/data.bin bs=1
# update flash backup
mkdir -p out
cp backup.bin -f out/flash.bin
dd if=files/kernel.bin of=out/flash.bin bs=1 count=2097152 seek=327680
dd if=files/rootfs.bin of=out/flash.bin bs=1 count=7733248 seek=2424832
dd if=files/data.bin of=out/flash.bin bs=1 count=6488064 seek=10158080
dd if=files/vendor.bin of=out/flash.bin bs=1 count=131072 seek=16646144
Re-flash the modified backup:
flashrom -p ch341a_spi -w out/flash.bin
Prepare the sdcard script:
/sdcard/override.sh
#!/bin/sh
main() {
# start telnet
/mnt/sdcard/busybox telnetd
}
if [ ! -f /tmp/.override ]; then
touch /tmp/.override
main
fi
Press the reset button (briefly) on the camera to launch the override script.