基于H2-2光猫对ZXIC ZX279128S芯片的研究

winnt5

最近搞到了这个光猫，拆开后非常奇怪，这个国产SoC找不到任何资料，连官网都没有(?)
于是焊上了UART开始折腾
结果？悲剧啊 UART根本登不上，还是看教程开启telnet进入了终端
总结一下初步破解步骤
1,恢复出厂
2,登录网页  用户名：CMCCAdmin  密码：aDm8H%MdA
3,http://192.168.1.1/getpage.gch?p ... e_sec_tserver_t.gch
4,登录telnet  用户名：CMCCAdmin  密码：aDm8H%MdA
5,输入su  密码：aDm8H%MdA


因为光猫上没玩出什么花样，就打算在固件上做文章了。我看了一下CPU info结果发现了device tree字样？？！！
我从来没见过OEM设备官方固件用DT的啊？不过这可以帮助我了解硬件信息，或者还可能倒推出内核使用的各种驱动进而还原出内核源码（只要没有中兴自己出品的设备，毕竟科技以换壳为本），于是从内核里分离出了DTB反编译。发现一堆ARM标准设备，这或许会让移植工作更简单。但是往下翻，发现了ZX279127-topcrm这个奇葩，于是404搜索伺候。结果拉出来一条大鱼，发现了受linux内核主线支持的另一颗ZXIC芯片（ZX296702）有类似设备。仔细一对比ZX296702与ZX279128的DTS节点，发现几乎都是雷同之处，连地址都一样。这我可就不客气了，赶紧拉下内核开始研究。但是看到下面我的心就不淡定了，linux内核对ZX296702的支持怎么像个残废一样，连网络设备节点都没有。查了一下这个芯片，结果不妙，是个机顶盒芯片，PCIE和网络支持都没有。估计又是个只能启动啥都干不了的东西。得了，把资料和固件放这有兴趣自己研究去吧。

链接：https://pan.baidu.com/s/1Ya79qp-hbOAoFl_kmuf0Bw
提取码：lzsb


再顺手放些资料
dev:    size   erasesize  name
mtd0: 10000000 00020000 "whole flash"
mtd1: 00200000 00020000 "u-boot"
mtd2: 00400000 00020000 "parameter tags"
mtd3: 02000000 00020000 "kernel0"
mtd4: 00400000 00020000 "middleware"
mtd5: 00800000 00020000 "usercfg"
mtd6: 02000000 00020000 "kernel1"
mtd7: 00600000 00020000 "others"
mtd8: 00400000 00020000 "wlan"
mtd9: 00200000 00020000 "phoneapp"
mtd10: 01e00000 00020000 "osgi"
mtd11: 06000000 00020000 "plugin_data"
mtd12: 01e00000 00020000 "osgi1"
mtd13: 00200000 00020000 "phoneapp1"
mtd14: 000a0000 00020000 "GN25L95_datas"


processor       : 0
model name      : ARMv7 Processor rev 1 (v7l)
BogoMIPS        : 1987.37
Features        : half thumb fastmult edsp tls
CPU implementer : 0x41
CPU architecture: 7
CPU variant     : 0x4
CPU part        : 0xc09
CPU revision    : 1

processor       : 1
model name      : ARMv7 Processor rev 1 (v7l)
BogoMIPS        : 1993.93
Features        : half thumb fastmult edsp tls
CPU implementer : 0x41
CPU architecture: 7
CPU variant     : 0x4
CPU part        : 0xc09
CPU revision    : 1

Hardware        : ZTE ZX279128S (Device Tree)
Revision        : 0000
Serial          : 0000000000000000


拜拜了您嘞，ZXIC闭源司马

qiner_1984

支持一下楼主，共享了两个文件给你天翼网关2.0/3.0内虚拟运行的openwrt版本cc，内含各厂家编译用配置文件，然后有个想法，是不是可以去掉光猫原内核，直接编译openwrt加上pon驱动和各种内核模块后加上他们原厂的rootfs是不是可以节省资源，至少烽火就是这么干了
链接:https://pan.baidu.com/s/1afakeBBxKj72TuPskuNh1A 
提取码:8899

709508002

楼主留个微信号吧，加个好友

winnt5

709508002 发表于 2021-7-14 12:21
楼主留个微信号吧，加个好友

我的微信不用作这种用途，所以只加Q

winnt5

以下内容摘自linux内核移除zxic支持的一个commit的简介。经过机翻

中兴通讯 ZX 机顶盒 SoC 平台由聂俊于 2015 年添加，在添加 64 位变体后，谢宝友和郭肖恩随后成为维护者。但是，上游支持的唯一机器是参考设计，而不是将从这种支持中受益的实际机顶盒设备。过去几年中兴通讯的所有机顶盒似乎都是基于第三方 SoC。虽然网络上关于 zx296702 和 zx296718 的信息很少，但我发现了一些对同一家族其他芯片的引用，例如 zx296716 和 zx296719，它们从未提交过上游支持。最后，它们都不支持 GPU，因为在 zx 平台上的工作停止后添加了 lima 和 panfrost 设备驱动程序。肖恩证实，他在过去四年中没有看到对该平台的任何兴趣，并且可以将其删除。感谢 Jun 和 Shawn 在过去五年中维护这个平台。抄送：Jun Nie <jun.nie@linaro.org> 抄送：Shawn Guo <shawnguo@kernel.org> 签字人：Arnd Bergmann <arnd@arndb.de>

709508002

那不探讨就是了，谁也没拿谁什么

winnt5

709508002 发表于 2021-7-15 12:34
那不探讨就是了，谁也没拿谁什么

你莫得qq号？我微信使用的是真名，不加陌生人的。

qq10003

楼主能帮忙改下h2-2的sn吗？

winnt5

qq10003 发表于 2021-7-15 17:38
楼主能帮忙改下h2-2的sn吗？

没研究过这个呢

qq10003

winnt5 发表于 2021-7-15 19:11
没研究过这个呢

谢谢....................................

qq10003

winnt5 发表于 2021-7-15 19:11
没研究过这个呢

方便加下qq吗？