出荷直後にアレな感じのATOM Cam2ですが、赤外線関係以外は普通に使えるようですので、基板周りの解析をしていきたいと思います。

前回ATOM Camを解析した時は、FlashROMを引っぺがしてダンプしてしまう、という力技を使用しましたが、今回はその際に発見されていたテストモードを使用し、フラッシュメモリをダンプするというお手柔らかな方法でファイルシステムをダンプします。

テストモードの使用方法はこの辺を

qiita.com

実際に使用したダンプスクリプトはこんな感じ

gist.github.com

これをTest.rarに突っ込み、microSDカードに入れて起動させるとフラッシュのダンプが取得できます。

取得したファイルをwslに持っていき、binwalk -eM で展開します.

rootfsはこんな感じ

app領域

スタートアップスクリプトを見てみると

どうやら、/configs/.debug_flag　というファイルを置いておくと起動時にカメラアプリを起動しないようです。

あと、Unknown , Don't change! が不気味ですがｗ

/etc/shadow　を見てみると、rootパスワードは初代と同じようです。
このパスワードを使用すると、シェルにログインできました。

さて、ハードウェア的に気になるのは背面USBのデータ端子が接続されているか、と
USBモードがホストか、デバイスのどちらで動作しているか、ということです。

OTG電源供給ケーブルを接続し、試してみると…

なんとUSBメモリやUSB-LANなどが認識できました。
どうやらホストモードで動作しているようです。これは素晴らしい！
（公式には当然サポートされませんが）いろいろな機器をつないで遊ぶことができそうです。

お、atomcam2のUSBポート、HOSTで動いてるわ。
USBメモリ、ether、CH430とか普通に動く。
appにdongleのハンドラ残ってるからハード的には普通にドングルも使えるんじゃないの？ pic.twitter.com/fMhRUVhFSO

— ひろみつ(honeylab) (@bakueikozo) 2021年5月21日

 ところで、公式スペックではCPUは1.5GHzになってますが、起動時にLinuxからとれる値としては1.39GHz、って感じですね。これは初代と同じです。

[ 0.000000] CCLK:1392MHz L2CLK:696Mhz H0CLK:200MHz H2CLK:200Mhz PCLK:100Mhz

どっかでガバナ加速してるのか、実はこの値なのかはわかりません（性能にはあまり関係ないと思います）

サポートしているUSB関係のドライバは

[ 0.502930] usbcore: registered new interface driver zd1201
[ 0.508720] usbcore: registered new interface driver r8152
[ 0.514419] usbcore: registered new interface driver asix
[ 0.520084] usbcore: registered new interface driver usb-storage
[ 0.526388] usbcore: registered new interface driver usbserial
[ 0.532448] usbcore: registered new interface driver usb_ch34x
[ 0.538493] ch34x: USB to serial driver for USB to serial chip ch340, ch341, etc.
[ 0.546217] ch34x: V1.16 On 2020.12.23
[ 0.550108] usbcore: registered new interface driver ch37x
[ 0.555804] usbcore: registered new interface driver pl2303
[ 0.561574] usbserial: USB Serial support registered for pl2303
[ 0.596532] usbcore: registered new interface driver usbhid
[ 0.602278] usbhid: USB HID core driver

zd1201はとあるUSB無線LAN、r8152,asixはUSB-有線LAN、
あとはUSBストレージとUSBシリアルであるch340,ch341、

ch37xはどうもSPI、パラレル対応のUSB I/Oっぽいです。
あとpl2303とUSB HID。

これだけあれば、ちょっとした工作なら困らなそうです。

/usr/bin 以下にncなども含んだbusyboxへのアプレット・シンボリックリンクがありますが、実際に入っているbusyboxは結構シュリンクされてるようですで、もう少し込み入った操作をしたいときにはbusyboxを改めて持ってきたほうがよさそうです。

BusyBox v1.22.1 (2017-11-13 08:56:53 CST) multi-call binary.
BusyBox is copyrighted by many authors between 1998-2012.
Licensed under GPLv2. See source distribution for detailed
copyright notices.

Usage: busybox [function [arguments]...]
or: busybox --list[-full]
or: busybox --install [-s] [DIR]
or: function [arguments]...

BusyBox is a multi-call binary that combines many common Unix
utilities into a single executable. Most people will create a
link to busybox for each function they wish to use and BusyBox
will act like whatever it was invoked as.

Currently defined functions:
arping, ash, awk, blkid, cat, chmod, chown, cp, cut, date, dd, depmod,
devmem, df, dhcprelay, diff, dirname, dmesg, dnsd, dnsdomainname, du,
dumpleases, echo, egrep, env, false, fdflush, fdformat, fdisk, fgrep,
find, flash_eraseall, flashcp, flock, free, freeramdisk, fsync, getopt,
getty, grep, groups, gunzip, gzip, halt, head, hostid, hostname, hush,
hwclock, id, ifconfig, init, insmod, kill, killall, killall5, klogd,
linux32, linux64, linuxrc, ln, logger, login, logread, ls, lsmod, lsof,
lsusb, makedevs, md5sum, mdev, mkdir, mkdosfs, mkfs.vfat, mknod,
mkswap, mktemp, modinfo, modprobe, mount, mountpoint, mv, netstat,
nslookup, pgrep, pidof, ping, pkill, pmap, poweroff, printf, ps,
pstree, pwd, readahead, readlink, reboot, rev, rm, rmdir, rmmod, route,
sed, seq, setarch, sh, sleep, sort, sum, swapoff, swapon, switch_root,
sync, sysctl, syslogd, tail, tar, telnetd, time, timeout, top, touch,
tr, true, tty, ttysize, udhcpc, udhcpd, umount, usleep, vi, vlock,
watch, watchdog, wc, wget, whois, xargs, zcat

さて、中身はこんな感じかな。

１と２の差はやっぱりイメージセンサの強化によるものがほとんどですので、ファームウェア自体はまぁだいたいATOM Cam初代と一緒ですｗ

なんか面白いものつながらないかなぁw

hobby.watch.impress.co.jp

ゲーセンでおなじみのお菓子取る奴、namcoのSWEET LAND 4をミニチュア化した奴が発売されたとのこと。

ガチャの品数としては、中のターンテーブルが単色塗りつぶしか、景品が入った柄に入っているか、ｘ筐体色３色で６種類らしいです。

この商品のポイント、なんと外側のギアを手で回すとターンテーブルが回る！

Twitterで見かけて、これは改造しなければ←とその辺を見たものの見当たらず、
もうおっさんは疲れたのでメルでカリっとして送ってもらいました。

到着し、嫁に発見され、さっさと組みあげられてしまった（シール貼っちゃうと改造がめんどいんだってば…）ものがこちら

（３色のうち２つ。この記事を書いた時にはすでに分解済みｗ）

うーん、いい出来。これを飾っておくだけなんてもったいない！！！

改造のネタ…まぁ当然ターンテーブルは回すよね。
クレーンのギミックは無理か…

あとは照明はいるかな

あと、あの謎のBGM、これが流せればミニチュアゲーセンオブジェクトとしては合格だろ、ということで早速魔改造していきます。

まずは手持ちの部品だけで作ることを目標にしたのでだいぶ無理がありますｗ

ターンテーブルを回すには当然モーターが要ります。
しかし、普通のモータでは当然入らず、かなり小さいものを探す必要があります。
また、モータが小さくても、十分減速させてやらないとターンテーブルの回転には使えません。

いろいろ探してみたところ、部品箱の奥からサーボモータを発見しました。

しかし、普通のサーボモータは回転範囲が決まっていて連続回転はできません。
調べてみるとこのサーボモータ、内部のストッパーを殺してしまえば３６０度回転のできる減速ギアボックスになりそうだということがわかりました。

fukuno.jig.jp

というわけで、サーボモータを開封してバチバチと改造していきます。
上の記事の内容に加えて、ポテンショメータのストッパーも破壊します。

（…今気づいたけど、＋８０円で連続回転型が売ってるのね…）

サーボ本体の外装もゴリゴリと削っていきます。

が、入らん…

うーん、とりあえず試作一号を作ることを目標にして、ちょっとぐらいはみ出てもいいか！

ということにして、底もぶち抜き、内部にエポキシ接着剤で固定します。

これでうまくいったら、もうちょっと小さいサーボでも探そう。

ターンテーブルに、適当にデザインして印刷したお菓子の柄を貼ります。

ねじでサーボモータに取り付けます。

うん、いい感じ。

しかし、1.5Vの電池で動かしてもちょっと早いな。
使い古した1Vぐらいの電池でちょうどいいぐらい。
適当にPWMしてもいいけど、なんか適当な抵抗で落としてもいい気がする。

続いてBGM再生機能。

内蔵MP3プレイヤーとかでもいいけど、それではちょっとつまらないので
Bluetoothモジュールを内蔵してみます。
これで、iPhoneなんかから好きな音楽を鳴らすことができます。

電池→5V昇圧DC/DC→BTモジュール→アンプ基板→スピーカと配線し、中に押し込みます。

スピーカーは、超小型のやつを使ったためちょっと音圧が低いかな…
もうちょっと最適化できそう。

ターンテーブルを回転させてしまうため、クレーンギミックが自立しなくなるため、
ドームから吊る必要があります（簡単のため両面テープでくっつけています）

さて、ミュージックスタート

youtu.be

できたｗ

さてさて、あとは照明とか、電池をちゃんと内蔵するとか、をやりたいな。

改造用にはあと２台あるしなｗ

honeylab.hatenablog.jp

図らずも上記の記事の続きとなってしまいました。

前回の記事で、Androidベースの小型通訳機に興味を持ってしまったので、
似たようなソースネクストの「ポケトーク」を入手しました。

いろいろいじってみたところ、なんとこれは上記のVT300Lと同じSoCであるMT6850を使用していることがわかり、SP Flash Toolを使ってあっさりとAndroid化することができました。

(パーティションサイズが若干違うため、後述するscatterファイルが必要です)

ソースネクストのポケトーク
ヒートシンクが半田付けで、シリアルもありそうだけど念のためやってみっかと思ったらやはりMTK Preloaderが出てきた

吸ってみてるんだけど、これ、まさかのMT6850っぽいんだけどww pic.twitter.com/brNcwoDtUJ

— ひろみつ(honeylab) (@bakueikozo) 2021年4月13日

と言うわけで、ソースネクストの翻訳機ポケトーク初代、偶然にもこの間の翻訳機と同じMT6850だったこともありとりあえずadb shellゲット pic.twitter.com/5Oa9RGgMg5

— ひろみつ(honeylab) (@bakueikozo) 2021年4月15日

しかし、この機種はタッチパネルではないため、一つのAndroid端末として常用するには少々厳しい気がします。ディスプレイも丸型ですし。
カバーで隠れているだけで、中身は普通の液晶なので、小型ゲーム筐体に突っ込んでみたり、キオスク端末的に使用するならアリなのではないでしょうか。

Bluetoothが使えますので、キーボード、マウスを使用できるようにしておいたほうが便利だと思います。

今のところ、メルカリで３０００円程度はしていますが、下がってきたら遊んでみるのもいいかと思います。

ハックの細かーいところまでは書きませんが、上記の記事の一部を本機のパラメータに変更するだけで可能ですので、その部分を記録しておきます。

ものによってはネットワークに接続後、最新ファームが降ってくる場合があります。

更新をかけてしまった場合は、systemパーティションが更新されてるっぽいので、下記改変を再度やる必要があります。

書き込みに必要なscatterファイル

pocketalk_scatter.txt · GitHub

上記に書いてありますが、system.binの吸い出し領域

linear_start_addr: 0xa800000
partition_size: 0xA0000000

改変するファイル：build.prop

改変する内容：以下の３行を追加

persist.service.adb.enable=1
persist.service.debuggable=1
persist.sys.usb.config=mtp,adb

この内容で書き換えると、電源投入＋USBでadbが利用できるようになります。

（adb rootはダメでした。bootも書き換えれば行けると思いますが。）

尚、今のところSIMカード、通信機能の有効活用化はできていません。
もうちょっといじってみたいと思います。

電話の発信、データ通信ができましたｗ

うまくいかなかったのはどうやらdocomo SIMロックorバンドの問題だったっぽいです

ポケトークで電話できたwww pic.twitter.com/ZwNOaz5Wvb

— ひろみつ(honeylab) (@bakueikozo) 2021年4月17日

 電話、なぜか発信しかできない…（かけると通話中になってしまう）

akiba-pc.watch.impress.co.jp

こんなものを見つけました。

機能などを考えると、LinuxないしAndroidが入っているような気がしましたので
早速、調べてみることにしました。

どうやら、国内代理店が輸入していて、技適があるようです。

総務省の技適検索から型番を検索すると、内部の写真を見つけることができました。

技適検索で中身見れた
Mediatek MT6580AなのでARMだね
USBもシリアルもあるから一通り遊べそう。
アプリの開発考えたら泥まで入ってるかな？
まだ誰もやってないの？ https://t.co/4TaS6950fS pic.twitter.com/daozMR30ys

— ひろみつ(honeylab) (@bakueikozo) 2021年3月12日

 どうやら、結構遊べそうです。
イオシスの通販サイトを見てみましたが、この時点で見つけられませんでした。

そのため、メルカリを見てみていると、この機種の前の機種である「TW30A SpeakMe」というものを見つけました。どうやら同じ会社が関係しているようです。

…というか、どうやらTW30AとこのVT300L、基板が同じようです…

どうやらこのメーカから出てる２つの機種「TW30A」とこいつ、ガワが違うだけで基板は一緒に見える
っていうか、写真同じか…？
…と思ったが、ガワに関係する明確に違うとこだけ写真を変えてて、基板のアップ写真とかは流用してるな pic.twitter.com/wsk48G6gK9

— ひろみつ(honeylab) (@bakueikozo) 2021年3月13日

とりあえず、こいつを調達して、中身を解析してみることにしました。

というか、どうもこいつは去年、ツクモで大量入荷・特価販売されていたもののようです。

akiba-pc.watch.impress.co.jp

到着して早速分解します。基板のシルクに親切にもTX、RXが書いてあるためUSBシリアル変換でPCに接続して起動します。

すると、想定通りLinux→Androidが起動していることがわかりました。

speak me「TW30A」のシリアル起動ログ。
suでroot操作は可能。https://t.co/sSpaBpFGOJ

— ひろみつ(honeylab) (@bakueikozo) 2021年3月16日

 Androidが起動しているなら、adbでshellなどの操作ができることを期待してしまいます。
USBで接続すると、確かにADBインターフェイスが現れましたが…
接続しようとすると"closed"というメッセージが出て切断されてしまいます。
どういうこっちゃ。

ADBインターフェイスを使えるように

とりあえず、シリアルコンソールから最低限の操作ができます。

この端末は「翻訳機」として売られていますので（というか、翻訳機としての性能はなかなかいい感じです。このまま使ったほうがいいいと思うんですが…）

Androidのホーム画面や設定画面を表示することができません。
しかし、シリアルコンソールからコマンドを入力することで、Androidの設定画面を表示することができました。

設定画面の中、ホームアプリの設定を出してみると、どうやら翻訳アプリがホームアプリとして設定されていましたが、なんと通常のホームアプリとして使用できる「Launcher3」が残されていました。

 これに切り替えると、普通のAndroidとしてのホーム画面が現れました！

あら、中にLauncher3が入ってたの見えたから、いったん設定画面開いてホームアプリ切り替えしたら普通にホーム画面出せたわ
野良apk入れられるようにしたはずなのにインストールコケるのなんでだろう.. pic.twitter.com/6vHThuJMPb

— ひろみつ(honeylab) (@bakueikozo) 2021年3月17日

まずはここまで、順調に来ているようです。

しかし、シリアルコンソールからの操作しかできないのでは本体のふたが閉められません。

なんとかadbで接続できるようにしてみたいです。

この翻訳機のCPUはMediaTekです。MediaTekのスマートフォンでは、「SP FlashTool」というアプリを使用して、ファームウェアの書き換えなどができる環境があります。

このアプリを使用してシステムイメージを吸い出し、原因を探ってみることにしました。

過去にSP FlashToolを使ったことがあった（この時は使えなかった）のでなんとなく挙動を知ってたのでサクッと読み込みができている模様 https://t.co/SR755iOl3h pic.twitter.com/dFQo0W6PRM

— ひろみつ(honeylab) (@bakueikozo) 2021年3月18日

 吸い出したシステムイメージを、起動中に表れていたパーティション情報と比較し、ファイルシステムとしてマウントしてみます。

さて、無事どうやらeMMC全ダンプができて、アドレスも正確に合ってるっぽいのでファイル取り出しも書き換えもできるんじゃないかな。どっかへんなロックかかってなければ。 pic.twitter.com/2FY0IldeS9

— ひろみつ(honeylab) (@bakueikozo) 2021年3月18日

 adbでPCから接続する際、Android側ではadbdというデーモンが動作しています。
このデーモンが何か特殊な操作をしていて、特定の手順でないと動作しないのではないか、と推測し、adbdを解析してみます。

SpeakMe、adb認識はするけど接続できない問題、adbdに手が入ってるんだと思って吸い出したイメージを確認する。
似たプラットフォームのZuun UNIQとかいうやつのファームから引っこ抜いた/sbin以下を見ると、adbdだけサイズが違う。これは手が入ってそう。
stringsかけるとリソースも違う。これだ。 pic.twitter.com/f74X1LNUHb

— ひろみつ(honeylab) (@bakueikozo) 2021年3月19日

 どうやら、ここに違いがあるようです。

この端末に内蔵されたadbdは、Android環境の環境変数の値によって挙動が切り替わるようになっていました。本来、この値はシステムに組み込まれていて変更しにくいものですが、本機はシリアルコンソールが有効になっているため、そこから書き換えてみました。

すると、見事にadbが接続でき、shellが利用できるようになりました。

しかし、この環境変数の書き換えは起動中の一時的なものなので、恒久的にするには起動ファイルシステムを書き換える必要がありそうです。

怪しげな文字列を見つけたので逆汗してみると、どうやら特定のpropがあると特殊モードに入れるようだ。yuntian がベンダ名っぽい。
探してみるとここかなぁとは思うけど確定ではない。https://t.co/EZ7tLDjtLY
で、シリアルコンソールからこのプロパティを設定するとadb接続が確立された！！ pic.twitter.com/SUoq2Gz02P

— ひろみつ(honeylab) (@bakueikozo) 2021年3月19日

 さて、adbも動作するようになったら、あとは自由にAPKをインストールできれば普通のAndroid端末として使えるようになります。

しかし、…　adb pm install を行っても、INSTALL_FAILED_INVALID_APK のエラーでインストールができません。
INVALID_APKというので、APKの中身をいろいろ確認してみますが問題なさそうです…

あれー？？？

いったい何が起きているのか詳細なログを探してみると、logcatの出力内にヒントがありました。

あ、logcatに出てたわ
やっぱりホワイトリスト形式か。どうにかなんないかな。 pic.twitter.com/WHYzbMQTYk

— ひろみつ(honeylab) (@bakueikozo) 2021年3月19日

 isWhiteListApplicationかどうか、というチェックを行っているようです。
やはり専用端末、このように勝手にアプリをインストールされては困ります。
そのため、ホワイトリスト方式でAPKのインストールを撥ねているようです。

このメッセージでググってみましたが、他に実装されている例は見つかりません。
つまり、このベンダが独自にホワイトリストを実装していると思われました。

さて、ではこの部分をどうしようか。ホワイトリストを編集するのはブラックリストの編集より大変です。
これはハッカーの勘ですが、先ほどのadbdのように、何らかのフラグがシステム内に存在すると期待し、APKをインストールする部分を解析してみることにしました。

Androidのパッケージマネージャ「pm」を解析する

Androidのシステム解析はあまりやったことがありませんが、どうにかなるだろう、とソースコードやファイルシステムを漁っていくと、どうやらpmコマンドは /frameworkディレクトリの下にjarファイルとしてインストールされていることがわかりました。
しかし、このjarファイルはほぼ空で、実態はその下、にodexファイル、として存在しているようでした。

odexファイルはELFフォーマットのバイナリです。

…しかし、pmコマンドは実際にはAndroidコアのAPIを呼び出しているだけで、その実装はPackageManagerServiceというクラスに実装されていることがわかりました。

その部分はどこにあるかを調べてみると、実態は /framework/arm/boot.oat というバイナリに実装されているようです。
さて、これを解析することができるでしょうか。

boot.oatを解析する

forum.xda-developers.com

調べていくと、このページのやり方でoatファイルをデコンパイルできる、と書いてありました。
（「java -jar baksmali.jar -x -c boot.oat -d framework NAME.odex -o out」の部分ですが、この部分間違いがあり、-xではなく x が正解です）

その通りにやってみると…

おお！smaliファイルとやらがたくさん生成されました。

まさに、今回求めているPackegeManagerServiceの逆コンパイル結果です。

検索していると、この部分でAPKのチェックを行っているようです。

あったここか pic.twitter.com/xeNJA1h7Sg

— ひろみつ(honeylab) (@bakueikozo) 2021年3月19日

 このjavaアセンブリコード、正確に読むのはめんどくさそうですが、明らかに怪しい「const-string/jumbo v4, "ro.yuntian.kyt"」という部分が見えます。

どうやら、このプロパティが怪しい、ということでシリアルコンソールからこの値を適当に、１　と設定してみました。

すると…

これまで絶対に成功しなかったAPKファイルのインストールが成功しました！！！

うわーいapkインストール成功したけど一個入った後入らんな..なんでこいつだけ入ったんや... pic.twitter.com/3pDZiA5vB0

— ひろみつ(honeylab) (@bakueikozo) 2021年3月19日

 しかし、そのあと二つ目がインストールできずに悩みます…
とりあえず再起動して、改めてプロパティを設定したら続けてインストールできました。

やはり、ファイルシステムを改変してプロパティを恒久化するのがよさそうです。

ここまで、VT300Lが届くまで、このTW30Aで解析していましたが、おそらくこれと同じ手法でVT300Lが解析できると思っています。

再起動して再設定したら入った。
その辺の挙動がよく分からんからシステムイメージ書き換えてカスタム化するのが確実だけどめんどくさいんだよなぁ。
と言うわけでhttps://t.co/KsUDGIu0Rm

こいつにいろいろapk入るようになった。(シリアルコンソール半田付けが今のところ必要) pic.twitter.com/xomprL8eg5

— ひろみつ(honeylab) (@bakueikozo) 2021年3月19日

うまくいくかな？

それは次の記事で。