Re: Tajemniczy flash drive w drukarce HP 3800 - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Grupy › pl.misc.elektronika › Tajemniczy flash drive w drukarce HP 3800 › Re: Tajemniczy flash drive w drukarce HP 3800

Data: 2018-09-20 11:17:34
Temat: Re: Tajemniczy flash drive w drukarce HP 3800
Od: q...@t...no1 (Queequeg) szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]
Sebastian Biały <h...@p...onet.pl> wrote:

>> A zgraj i wystaw
>
> Proszę:
>
> https://drive.google.com/open?id=1iovnyaXIo5ddu4yyzg
9qf4WoUZja4A8L

Na pendrive jest tablica partycji z jedną partycją typu 40 (Venix 80286),
zaczynającą się 32 sektory od początku (czyli od offsetu 0x4000). Później
między 0x200 a wspomnianym 0x4000 jest powielony jakiś wypełniacz (blank,
blank, blank, ...).

Próba podmontowania filesystemu zaczynającego się od 0x4000 z opcją -t
sysv się nie udaje (wziąłem to stąd:
https://www.linuxquestions.org/questions/linux-gener
al-1/venix-80286-a-4175426032/),
więć przeglądamy surowy obraz dalej.

Widać coś, co przypomina grafikę (dałoby się napisać program, który
przekonwertowałby to na piksele i pokombinować z szerokością, żeby
zobaczyć, co tam jest), później w stringach widać obrazki, prawdopodobnie
serwowane przez webowy interfejs drukarki -- wpisując w Google nazwę
jednego z nich (curveTransition1.png) pojawia się m.in.:

http://ms.mcmaster.ca/~moylek/pub/temp/hh303lj4345/C
onfigurationPage.20070303_files/

I dalej:

http://ms.mcmaster.ca/~moylek/pub/temp/hh303lj4345/C
onfigurationPage.20070303.html

Są również jakieś javascripty.

Co do compact flash. Znacznik końca tablicy partycji jest pod offsetem
0x1085, ale raczej nie jest to tablica partycji.

Po stringach widać, że jest tam coś do zarządzania wear levelingiem NAND
Flash i coś niskopoziomowego. Są też stringi wskazujące na kompresję, np.
"oversubscribed dynamic bit lengths tree" (wpisz w Google, to błąd
jakiegoś dekompresora) ale CF skompresowało się gzipem do 18 MB, więc nie
ma tam dużych skompresowanych danych.

Spakowane gzipem dane zaczynają się od offsetów:

0x01404800 1f 8b 08 00 00 00 00 00 00 03 cc bd 0f 78 5c d7
0x016d3200 1f 8b 08 00 00 00 00 00 00 03 b5 5a 5d 6c 1c d7
0x01864800 1f 8b 08 00 00 00 00 00 00 03 cc bd 0d 74 5c d7
0x01958e00 1f 8b 08 00 00 00 00 00 00 03 b5 5a 6f 6c 1c c7

Po rozpakowaniu są to ELFy dla MIPSa:

file1: ELF 32-bit LSB relocatable, MIPS, MIPS-III version 1 (SYSV), not stripped
file2: ELF 32-bit LSB shared object, MIPS, MIPS-IV version 1 (SYSV), dynamically
linked, stripped
file3: ELF 32-bit LSB relocatable, MIPS, MIPS-III version 1 (SYSV), not stripped
file4: ELF 32-bit LSB shared object, MIPS, MIPS-IV version 1 (SYSV), dynamically
linked, stripped

Plik nr 1 i nr 3 są duże (8.2 MB, 2.7 MB), pliki nr 2 i 4 mają po 9716
bajtów.

Plik nr 1 prawdopodobnie jest głównym programem drukarki, zawiera symbole
dotyczące sieci oraz interakcji z użytkownikiem.

Plik nr 2 zawiera symbole związane z kernelem i wątkami, ale też np.
uruchamiania czegoś (procesów / wątków?):

ElftweakKeep_JdStartup: Spawning ejdStartup...
ElftweakKeep_JdStartup: Calling jdiKernelMemMap...
ElftweakKeep_JdStartup: Spawning kifAppManager...

Plik nr 3 zawiera mieszaninę różnych symboli, tak samo jak plik 1.

Plik nr 4 bardzo przypomina plik nr 2, ale różni się od niego w kilku
miejscach (binarnie).

--
https://www.youtube.com/watch?v=9lSzL1DqQn0