さて、ぼちぼち各方面からのハックも佳境となり、
液晶単体での使用や、内蔵リソース書き換えの技術も整ってきました。

そんな中で、どうしてもやらないと気が済まなかったネタが

「内蔵赤外線LEDを使ってリモコン操作をする」ということです。

マジョカアイリス、マジョカランタンとの連携のために赤外線LEDが内蔵されています。

せっかくなので、マジョカアイリスを振って何かを操作出来るようにしてみましょう。

 必殺技の発動などの時に赤外線信号が出ますが、あくまでもランタンと連動させるための単純な信号しか出ていません。

マジョカアイリスの発射する赤外線信号は、シチュエーション問わず一定で、38kHz変調のいわゆるリモコンコードとは関係ない信号。
元々のIR LEDの信号はここから出てるが、電流モードで見るしかないのでとりあえず抵抗で確認した。これをフォトカプラに置き換えていったんマイコンで受ける。 pic.twitter.com/qKrGxZ5O6K

— ひろみつ(honeylab) (@bakueikozo) 2021年1月15日

この信号だけでは外部機器を制御できませんので、マジョカアイリス基板に外付けした小型のマイコンにリモコンの赤外線信号を学習させておいて、この信号をトリガにリモコン信号を出力させるようにします。

これなら、必殺技などのモーションはそのまま残し、リモコンとして使用できます。

先駆者として、中身を引っこ抜いて別マイコンに置き換えてエアコンのリモコンにした方はいたようですが、ちょっと中身を引っこ抜くのは私の美学じゃないのですよ…

まず、内蔵赤外線LEDの配線を確認してみます。

すると、内蔵LEDは＋側ではなく、－側を制御して点灯させているということがわかりました。この信号はあくまでもLEDを点灯させるための制御のため、外付けマイコンのトリガとするのには少し面倒です。

 そのため、そのLED信号を制御信号をいったんフォトMOSリレーに入力し、外付けマイコンに入力することにします。
フォトMOSリレーは内部的にLEDが入っているために、元の基板の回路に与える影響が少ない、という利点もあります。

 内蔵赤外LED自体は一般的なリモコンのLEDと互換性のあるものですので、この部分はそのまま利用することにします。

最終的な回路構成はこんな感じです。

Arduinoのリモコン送出ライブラリでは＋制御のLEDしか使用できませんので、

－制御の基板のまま赤外LEDを制御するために、赤外LEDの手前に2SC1815を使用した反転ドライブ回路を追加しています。

このようにすることで、最小の改造でマジョカアイリスをリモコンにすることができます。
さて、なんのリモコンにするか…派手なアクションをしてくれたほうがいいよな…照明…

ん！！！　うちの照明　「アイリスオーヤマ」の

リモコン付き照明じゃん！！！！

（しかもAlexa連携とかもついてて便利）

https://www.amazon.co.jp/dp/B07J5VTMS2

【Amazon Alexa認定 LEDシーリングライト 】アイリスオーヤマ Alexa対応 LED シーリングライト 調光 調色 6畳 CL6DL-6.0UAIT 【Amazon Echo/Google Home対応】

• 発売日: 2018/12/06
• メディア: ホーム&キッチン

 

まさかのアイリス被り！！！これやこれ！！！

ところで、我が家の照明は偶然にも「アイリス」オーヤマ製である

腹減った pic.twitter.com/JTqcxCo6h4

— ひろみつ(honeylab) (@bakueikozo) 2021年1月15日

というわけで、

リモコン受信モジュールとArduinoを接続してリモコンコードを取得します。
受信モジュールは、マジョカランタンに入っていたものを毟り取りました。

リモコンコードをデコードする pic.twitter.com/uuuuvQTnwE

— ひろみつ(honeylab) (@bakueikozo) 2021年1月15日

 スケッチは、サンプルにあるIRRecvDumpV2を使っています。
ネットで探せばたくさん例が出てきます。

www.shibuya24.info

この信号を、マジョカアイリスの赤外線信号をトリガにし、アクション映像が流れた分の時間を待ってリモコン信号として送出するようにArduinoのスケッチを作成します。

gist.github.com

こんな感じで適当に配線して突っ込みます。

幸い内部には十分なスペースがありました。

ついでに、起動画面をちょっと書き換えてみました。

アイリスオーヤマのロゴ、ハートが入ってて意外と親和性が高いのでは…？！

リソース書き換えの方法はこちら

honeylab.hatenablog.jp

さて、実際にやってみましょう！！！

www.youtube.com

魔法少女 部屋の電気をつけられるおっさん誕生！！！

…あぁぁぁあ！　
ちょっと楽しいぞこれ！！

そういう風に作ったんだから動くのは当たり前なんだけど、
なんだろうこのワクワク感ｗｗｗｗ

さて、本体魔改造系はこんなもんかなぁ…

内蔵レバー・ボタン イベント情報

root@z7213-astro-pp:/mnt/UDISK# ./evtest.bin
No device specified, trying to scan all of /dev/input/event*
Available devices:
/dev/input/event0: axp22-supplyer
/dev/input/event1: gpio-keys-polled
/dev/input/event2: sunxi-keyboard
/dev/input/event3: headset
/dev/input/event4: 6B controller
/dev/input/event5: 6B controller
/dev/input/event16: sunxi-ths
Select the device event number [0-16]: 1
Input driver version is 1.0.1
Input device ID: bus 0x19 vendor 0x1 product 0x1 version 0x100
Input device name: "gpio-keys-polled"
Supported events:
Event type 0 (EV_SYN)
Event type 1 (EV_KEY)
Event code 21 (KEY_Y)
Event code 30 (KEY_A)
Event code 44 (KEY_Z)
Event code 45 (KEY_X)
Event code 46 (KEY_C)
Event code 48 (KEY_B)
Event code 59 (KEY_F1)
Event code 60 (KEY_F2)
Event code 103 (KEY_UP)
Event code 105 (KEY_LEFT)
Event code 106 (KEY_RIGHT)
Event code 108 (KEY_DOWN)
Event code 116 (KEY_POWER)
Properties:
Testing ... (interrupt to exit)

------

^C
root@z7213-astro-pp:/mnt/UDISK# hexdump -C /dev/input/event1
00000000 03 2b 05 00 a8 a2 0c 00 01 00 69 00 01 00 00 00 |.+........i.....|
00000010 03 2b 05 00 bd a2 0c 00 00 00 00 00 00 00 00 00 |.+..............|
00000020 04 2b 05 00 d4 de 05 00 01 00 69 00 00 00 00 00 |.+........i.....|
00000030 04 2b 05 00 e1 de 05 00 00 00 00 00 00 00 00 00 |.+..............|
00000040 05 2b 05 00 40 01 02 00 01 00 6a 00 01 00 00 00 |.+..@.....j.....|
00000050 05 2b 05 00 4d 01 02 00 00 00 00 00 00 00 00 00 |.+..M...........|
00000060 06 2b 05 00 2b 91 0b 00 01 00 6a 00 00 00 00 00 |.+..+.....j.....|
00000070 06 2b 05 00 38 91 0b 00 00 00 00 00 00 00 00 00 |.+..8...........|
00000080 07 2b 05 00 bf 8c 0a 00 01 00 6c 00 01 00 00 00 |.+........l.....|
00000090 07 2b 05 00 ce 8c 0a 00 00 00 00 00 00 00 00 00 |.+..............|
000000a0 09 2b 05 00 73 83 02 00 01 00 6c 00 00 00 00 00 |.+..s.....l.....|
000000b0 09 2b 05 00 80 83 02 00 00 00 00 00 00 00 00 00 |.+..............|
000000c0 0a 2b 05 00 4d 28 02 00 01 00 67 00 01 00 00 00 |.+..M(....g.....|
000000d0 0a 2b 05 00 5a 28 02 00 00 00 00 00 00 00 00 00 |.+..Z(..........|
000000e0 0b 2b 05 00 54 35 02 00 01 00 67 00 00 00 00 00 |.+..T5....g.....|
000000f0 0b 2b 05 00 61 35 02 00 00 00 00 00 00 00 00 00 |.+..a5..........|
00000100 0d 2b 05 00 39 3a 09 00 01 00 1e 00 01 00 00 00 |.+..9:..........|
00000110 0d 2b 05 00 47 3a 09 00 00 00 00 00 00 00 00 00 |.+..G:..........|
00000120 0d 2b 05 00 f7 8c 0d 00 01 00 1e 00 00 00 00 00 |.+..............|
00000130 0d 2b 05 00 04 8d 0d 00 00 00 00 00 00 00 00 00 |.+..............|
00000140 0e 2b 05 00 d8 09 01 00 01 00 30 00 01 00 00 00 |.+........0.....|
00000150 0e 2b 05 00 e5 09 01 00 00 00 00 00 00 00 00 00 |.+..............|
00000160 0e 2b 05 00 16 0a 04 00 01 00 30 00 00 00 00 00 |.+........0.....|
00000170 0e 2b 05 00 23 0a 04 00 00 00 00 00 00 00 00 00 |.+..#...........|
00000180 0e 2b 05 00 0e 6e 06 00 01 00 2e 00 01 00 00 00 |.+...n..........|
00000190 0e 2b 05 00 1a 6e 06 00 00 00 00 00 00 00 00 00 |.+...n..........|
000001a0 0e 2b 05 00 6b bc 09 00 01 00 2e 00 00 00 00 00 |.+..k...........|
000001b0 0e 2b 05 00 77 bc 09 00 00 00 00 00 00 00 00 00 |.+..w...........|
000001c0 0e 2b 05 00 de 4b 0d 00 01 00 2d 00 01 00 00 00 |.+...K....-.....|
000001d0 0e 2b 05 00 eb 4b 0d 00 00 00 00 00 00 00 00 00 |.+...K..........|
000001e0 0f 2b 05 00 e8 30 01 00 01 00 2d 00 00 00 00 00 |.+...0....-.....|
000001f0 0f 2b 05 00 f5 30 01 00 00 00 00 00 00 00 00 00 |.+...0..........|
00000200 0f 2b 05 00 d3 6d 03 00 01 00 15 00 01 00 00 00 |.+...m..........|
00000210 0f 2b 05 00 e0 6d 03 00 00 00 00 00 00 00 00 00 |.+...m..........|
00000220 0f 2b 05 00 db eb 05 00 01 00 15 00 00 00 00 00 |.+..............|
00000230 0f 2b 05 00 e8 eb 05 00 00 00 00 00 00 00 00 00 |.+..............|
00000240 0f 2b 05 00 80 f0 09 00 01 00 2c 00 01 00 00 00 |.+........,.....|
00000250 0f 2b 05 00 8e f0 09 00 00 00 00 00 00 00 00 00 |.+..............|
00000260 0f 2b 05 00 53 6a 0e 00 01 00 2c 00 00 00 00 00 |.+..Sj....,.....|
00000270 0f 2b 05 00 60 6a 0e 00 00 00 00 00 00 00 00 00 |.+..`j..........|
00000280 10 2b 05 00 a8 bc 0c 00 01 00 3c 00 01 00 00 00 |.+........<.....|
00000290 10 2b 05 00 b5 bc 0c 00 00 00 00 00 00 00 00 00 |.+..............|
000002a0 11 2b 05 00 d4 fc 00 00 01 00 3c 00 00 00 00 00 |.+........<.....|
000002b0 11 2b 05 00 e0 fc 00 00 00 00 00 00 00 00 00 00 |.+..............|
000002c0 11 2b 05 00 7d c5 0e 00 01 00 3b 00 01 00 00 00 |.+..}.....;.....|
000002d0 11 2b 05 00 8b c5 0e 00 00 00 00 00 00 00 00 00 |.+..............|
000002e0 12 2b 05 00 53 a6 04 00 01 00 3b 00 00 00 00 00 |.+..S.....;.....|
000002f0 12 2b 05 00 60 a6 04 00 00 00 00 00 00 00 00 00 |.+..`...........|

Select the device event number [0-16]: 4
Input driver version is 1.0.1
Input device ID: bus 0x3 vendor 0xca3 product 0x24 version 0x111
Input device name: "6B controller"
Supported events:
Event type 0 (EV_SYN)
Event type 1 (EV_KEY)
Event code 288 (BTN_TRIGGER)
Event code 289 (BTN_THUMB)
Event code 290 (BTN_THUMB2)
Event code 291 (BTN_TOP)
Event code 292 (BTN_TOP2)
Event code 293 (BTN_PINKIE)
Event code 294 (BTN_BASE)
Event code 295 (BTN_BASE2)
Event code 296 (BTN_BASE3)
Event code 297 (BTN_BASE4)
Event type 3 (EV_ABS)
Event code 0 (ABS_X)
Value 127
Min 0
Max 255
Flat 15
Event code 1 (ABS_Y)
Value 127
Min 0
Max 255
Flat 15
Event type 4 (EV_MSC)
Event code 4 (MSC_SCAN)
Properties:
Testing ... (interrupt to exit)

astro コマンドラインオプション

getopt_long(in_stack_00000038,in_stack_0000003c,"hb:w:e:o:a:s:d:z:v",in_stack_00000030)

バーチャ１

293 root 274m R astro -b SGM01X-01 -o lcd -d 20 -e none

コラムス

398 root 248m S astro -b SGSC2X-05 -o lcd -d 20 -e none

dに20以外を設定したら単体起動できた　なぜ

astroの入力ルーチン

honeylab.hatenablog.jp

↑前回に引き続き、より詳しいことが分かったのと、
意外とこのブログが（ゲームギアミクロの時より圧倒的に）読まれていることが分かったのでもう少し詳しく書いてみます。

まず、基板詳細図のアップデートです。
UART端子が見つかりました。
これにより、シリアルポート経由でシステムのより深い部分まで解析できました。

基板上にあった４ピンの並び、一般的な組み込み機器だと　電源-GND-TXD-RXDみたいな配置出てていることがあるんですが、今回ここに出ていたのは　RXD-GND,そしてI2Cの信号モニタ用の端子でした。
どうも、IC7がセキュリティ用のチップであり、そのチップに対するアクセスのデバッグ・観測などのためにこのピンを設けていたのではないかと思います。

さて、シリアル端子を使ったシステム解析の方法をせっかくなので書いてみます。

実際に手を動かして試すこともできない方も多いと思いますので、これを見ながらなんとなくイメージしてみてください。

本体裏から基板にアクセスし、USB-シリアルケーブルなどでPCと接続します。

今回、シリアル通信ソフトはRloginというものを使っています。

接続がうまくいくと、電源投入時にこのような出力が見えてきます。

ログインプロンプトが表れます。

ここで、ユーザ名はroot、ですが、パスワードはわかりません。

これではここから進めません。
いったん電源を切り、ターミナルから's'（小文字のs）を押しながら電源を入れなおします。

すると、さっきより詳しい起動メッセージが表れます。

さらに、Linuxが起動する前のブートローダである、u-bootのモニタモードで起動できます。

この時のログをこちらに置いておきます。

gist.github.com

u-bootのモニタモードでは、ブートローダの環境変数やLinuxの起動オプションなどを確認、変更することができます。

「help」コマンドで使用可能なコマンド一覧が表示されます。

さて、ではここからどうするか。

Linuxを起動した際、パスワードを求められたのはログインシェルが起動したからです。
これを起動せず、コマンドラインを使用できるようにする方法があります。
一般的なLinuxディストリビューションでは、起動後に/sbin/initを呼び出し、自動実行スクリプトやログインシェルの起動を行います。これをストップし、最小限であるbusyboxのシェルだけが起動するようにLinuxのコマンドラインを書き換えてしまいます。

（※詳しく書くとアレなのでここは割愛します）

このモードで起動すると、パスワード入力など関係なく、rootファイルシステムがマウントされ、busyboxのシェルが起動した状態にすることができます。

いきなり /　# というコマンドライン入力待ちになりました。
しかし、この状態ではいつものアストロシティのゲームは動いていませんし、ファイルシステムのマウントも不十分な状態です。緊急レスキューモードみたいな感じです。

この状態で触れる範囲でこねくり回してやり、改めて通常のLinux起動状態にした際に、パスワードを入れなくてもログインできるようにしてしまいます。

幸い、この状態でrootfsはinitramfsではなくNAND完全にマウントされていて、しかもrwの状態でした。
ここで、/etc/passwd ファイルを見てみます。

すると、rootの行、赤丸で囲った部分に"x"と書かれています。
これは、rootのパスワードは別途 /etc/shadow　に記載されている、という意味です。

では、/etc/shadowは、と見てみると

rootの行に$6から始まる長々とした文字列が書かれています。
これは、rootのパスワードはSHA512で暗号化されて保存されている、ということです。
実は、メガドラミニ→PCEミニ→アストロシティミニは同じ開発会社によるLinuxディストリビューションが採用されています。
メガドラミニではSoCの名前を含む短めの文字列だったのですが、その後、暗号化強度が増している気がします…気のせいかもしれませんが…
本当に必要ならば、このハッシュを結果にもつ文字列を総当たりで探すこともできるのですが、それは今回時間の無駄です。もともとの/etc/passwordの中の'x'を削除してしまうだけで、/etc/shadowは参照されなくなります。また、パスワードは空になります。

今回はこのファイルを含むファイルシステムがマウントされていたためこの手法がうまくいきました。

では、パスワードを削除した状態で改めてLinuxを通常起動に戻します。

ユーザ名にrootを入力するだけで通常のLinuxとしてログインできるようになりました。

ここから、システム内部を詳しく調べていきます。

まず、SoCはAllwinner A33互換のZ7213とわかってはいますが、Linuxからどのように見えているかをコマンドで確認します。

スペック通り、Quad CoreのARM7プロセッサだということがわかります。

/usrに移動すると、astroディレクトリが見えます。
中を見てみると、75MBの容量を持つ一つの実行ファイル'astro'が見えます。
サイズからして、この中にROMイメージも埋め込まれているのでは、と考えられます。

さて、このようなシリアルコンソールからだけでもある程度の観察は可能ですが、ファイル自体が手元にないと逆アセンブルやリソース吸出しなどは困難です。
内蔵されているLinuxはゲーム専用にシュリンクされていますから、USBメモリなどを使用することができません。
しかし、カーネルオプションとして、Android Gagetと呼ばれる仕組みが偶然なのか残されていて、所定のオプションを設定してPCと接続するとデータ通信が可能になります。

まず、システム上のNANDがどのような構成になっているかを確認します。

先ほどのu-bootの起動メッセージ中にはこのような表示がありました。 

Linuxからはこのように見えているようです。

root@z7213-astro-pp:/usr/astro# cat /proc/cmdline
boot_type=0 disp_para=100 fb_base=0x0 config_size=48128 boot.serialno=28078a547088ffffd979 boot.hardware=sun8i console=ttyS0,115200 noinitrd root=/dev/nandd rootfstype=ext4 rootwait init=/sbin/init ion_cma_512m=64m ion_cma_1g=176m ion_carveout_512m=96m ion_carveout_1g=150m coherent_pool=4m loglevel=0 partitions=boot-res@nanda:env@nandb:boot@nandc:rootfs@nandd:savedata@nande:misc@nandf:UDISK@nandg

cmdlineとも合わせて確認すると、例えばこのrootfsを含むパーティションはnanddであると考えられます。

このパーティションを、USB経由でPCに認識させます。

echo 0 > /sys/class/android_usb/android0/enable
echo mass_storage > /sys/class/android_usb/android0/functions
echo /dev/nandd > /sys/class/android_usb/android0/f_mass_storage/lun/file
echo 1 > /sys/class/android_usb/android0/enable

そう、アストロシティミニの背面電源USB端子は、電源だけでなく、データ配線もきちんと有効になっています。
それを利用するため、USBケーブルでPCと接続します。
データの取り扱いのためにはLinuxのPCが一番便利ですが、簡単にやるにはVMWareなどのUSBパススルーの使えるVMでもいいでしょう（私はそうしています）

PCと接続した状態で上のコマンドラインを打つと、USBメモリが接続されたように見えます。

注意点としては、Windowsマシンの場合、このコマンドラインでは「このディスクはフォーマットされていません」などのメッセージが表示されます。
このパーティションは、Linuxの標準であるext4パーティションであり、Windowsからは全く認識できません。
うっかりフォーマットしてしまうと、アストロシティミニが見事にお陀仏になりますので気を付けましょう。この場合、VMに接続し、VMのLinuxから認識させます。

このように、/dev/sdbとしてNANDのrootfsパーティションが認識されました。

あとは、ddコマンドでパーティションをまるごとファイル化します。

このようにして、解析に必要なパーティションを回収します。

回収したファイル、ここではnandcをファイルシステムとしてマウントしてみます。

すると、

linuxのカーネルイメージ、uImageファイルが置かれたfat32ファイルシステムだった、ということがわかりました。
今後、新しく作ったuImageファイルはこのパーティションにおいてやれば読み込んでくれます。

rootfsも同様にマウントします。

PC側でファイルにアクセスできることが確認できました。
ここまで来てしまえばあとはなんでも調べ放題です。
ファイルを一通り調べて、動きを確認したければシリアルから動作を確認する、それを繰り返してシステムの全体を把握していきます。

とはいえ、もうこのZ7213のシステムはハードも大体固定なので、これまでに作られた各種バイナリを持ってくれば大体動いちゃうんですよね…

解析はこの後もまだまだ続きます。

「GAME & WATCH スーパーマリオブラザーズ」、例のごとく分解・魔改造していきます。

基板の詳細な画像などは、例えばこちらとか

mazu-bunkai.com

もっときれいに分解しているほかの方のサイトがありますので、
そちらのほうを是非参照してください…

ゲーム&ウォッチ分解した

うええええええ！！！！STM32!!??!!!?まじか！！ pic.twitter.com/3hhfWqPacW

— ひろみつ(honeylab) (@bakueikozo) 2020年11月13日

 はい、我々甘ちゃんなので、このハード、いつものようにLinux+エミュで構成されているものと思い込んでNintendoのOSSサイトをリロードしまくっていたのですが、その期待を全力で裏切って、STM32という極めて効率的なハードを選定してきました。

改めてゲーム＆ウォッチのスペック
CPU：STM32H7B0 最大280MHz,Flash128kB内蔵。たぶんここにメインのプログラムも書かれてる（と思う）
最近のミニのLinux SoCじゃなくて、「マイコン」寄りのチップ。
いわゆるOSは入っていなくて、普通にマイコンのプログラム。https://t.co/Z7uHmWtxZ3 pic.twitter.com/nqZ6Qfz7fk

— ひろみつ(honeylab) (@bakueikozo) 2020年11月13日

 基板をよく見るとわかるのですが、メインクロックの水晶振動子は実装されず、代わりに32.768の時計 RTC用の水晶が実装されています。

メインクロック端子が未接続で、時計用のだけ繋がってる。ほんとにスリープ時に時計動作に切り替えてるみたいだな。メインクロック内部なのかな？ pic.twitter.com/qiVR2Ijaek

— ひろみつ(honeylab) (@bakueikozo) 2020年11月14日

このため、スペック表にきちんと月差を記載することができたんですね。

任天堂さすがすぎる。

液晶はINNOLUX製おそらく320x240と思われました。

なか開いたところ pic.twitter.com/hXn0tOKQGq

— ひろみつ(honeylab) (@bakueikozo) 2020年11月13日

この形のフレキ/コネクタ　なんて名前で探せばいいんだろう pic.twitter.com/1skhkwNKLL

— ひろみつ(honeylab) (@bakueikozo) 2020年11月15日

 この型番でググっても何の情報も出てきません。カスタムだと思われます。

基板上にはゲームのROMや動画像データが収録されていると思われるFlashが実装されていました。

ROM:MXIC MX25U8035F (8MBit = 1メガバイト)
吸い出しはできたけど、中身はデコードできてない。
CPUにアタッチしたハッカーによればこの中に暗号化されたROMが入ってるのは確定っぽい。https://t.co/Yz89UkPaeS pic.twitter.com/XHVeJhZSKn

— ひろみつ(honeylab) (@bakueikozo) 2020年11月13日

 中身を読みだしてみましたが、完全にランダムであり、圧縮か暗号化が全体にかけられているものと推測されました。この時点で私は割とスキル不足で完全解析をあきらめましたｗ

FLASH読んでみた。とりあえずなんかしらの暗号化かな。キーはMCUの中、多分リードビットは落ちてるんだろう。
わかんない他人向けに書くと、さっと他のROMを突っ込むのは今は出来ないです。

というわけで、I/Fを生かしてSTMでなんか描くことのできる良い評価ボードにはなり得る、かなw pic.twitter.com/fx5wxeRRn3

— ひろみつ(honeylab) (@bakueikozo) 2020年11月13日

仮に内蔵されているROMイメージを既存の別のROMイメージに書き換えたとしても、内蔵エミュレータはおそらくマリオブラザーズほぼ専用になっていて、それ以降に発売された、標準マッパー以外のROMイメージなどに対応させるのは困難だと思われます。
そのため、そういった改造を行うには汎用のNESエミュレータをポーティングすることが一番の近道になります。

この評価基板（言い切った）、CPU内蔵Flashへの書き込みやデバッグのためのSWDポートがきちんと残されています。

SWDポートにSTLink繋いで適当にビルドして突っ込んだら動くよ。
ああその前にRDPv1をunlockしないとだけど。その時に内蔵ファーム飛ぶけど。 pic.twitter.com/rndpsNFzJ3

— ひろみつ(honeylab) (@bakueikozo) 2020年11月19日

ST謹製の開発ツールでCPUを指定し、C言語でプログラムを書き込むことで自由にプログラムを動作させることができます。
また、通常の開発環境であれば、書き込まれたプログラムの読出しやデバッグが可能ですが、さすがにこの辺はプロテクトがかかっていて、単純に読み出すことは不可能でした。加えて、私の持っているツールでは高度なデバッグ操作ができないようで、その辺はもうあきらめることにしました。

 ということで、この基板をSTM32H7の評価基板として使い倒すための調査を行いました。

 
ボタン配線などは割と簡単にパターンをたどることでわかります。
LCDの配線もデータ、クロックなどはSTM32内蔵のLCDドライバのピンアサインをもとに推測、およびトレースで判別させました。

STM32とLCDフレキの根元当たって、LTDCのデータピンマップがあってることは確認できたけど、肝心のENが見つからないなぁと考えてたが、どうやらSPIでの初期化っぽい。ここまでわかればLCDONにできるやろ pic.twitter.com/Ckk3b2oAMh

— ひろみつ(honeylab) (@bakueikozo) 2020年11月24日

しかし、どうやらLCDの初期化にはSPIでコマンドを投げてやる必要があるらしいということがわかり、ロジックアナライザでの解析を行いました。

うーんうーん… pic.twitter.com/kn31szlNse

— ひろみつ(honeylab) (@bakueikozo) 2020年11月24日

どうにか初期化シーケンスが判明し、LCDにフレームバッファの内容を表示させるところまでは到達しました。
後はボタン、音声周りですが、ここはまぁそんなに難しくないと思います

STM32評価ボード、LCD初期化コードに辿り着くまで時間がかかったのでようやくここです

FramebufferをARGB8888で取ってフル転送なので、これで10fpsぐらいしか出てないね
565にすれば事実上倍は出るはず pic.twitter.com/b5SnIvFKwN

— ひろみつ(honeylab) (@bakueikozo) 2020年11月25日

が、まぁここから先はぶっちゃけ誰でもできるので…ｗ

なんか面白いネタ無いかなぁ…ｗ

海外のハッカーの人がFlash内の解読、再Packに成功したようで、ROMイメージの書き換えなどには成功しているようです。

おそらくこちらの方が最速で突っ走っているかと

twitter.com

ところで、みんなが期待している簡単にROMを差し替えるツール的なもの、
今回のハードに関してはそもそも、USBコネクタの配線がSoCまで届いていないこと、
プログラムの書き換えには専用のハードがいることから、

特定の電子工作マニア以外にはおそらくできないものになると思います。

例えばCPU内蔵のプログラムの書き換えには 

 こういうのが必要

Hobbyant st リンク/v2 の st リンク v2 (CN) STLINK デバッガエミュレータダウンローダマネージャ STM8 STM32

• メディア: エレクトロニクス

 

とか

FlashROMの書き換えには

 こういうのとか

zmart ROMライター USB BIOS 書き換え 復旧 マザーボード EEPROM フラッシュ SPI Windows

• メディア: エレクトロニクス

 

 
ここはハードの制限なので、ソフトではどうにもならんですねぇ。