Phantom 1331G – odczyt pamięci eMMC, metody ADB, ISP, chip-off, Android, backup

Pytanie

Jak odczytać zawartość pamięci wewnętrznej stacji multimedialnej Phantom 1331G

Odpowiedź Sztucznej Inteligencji

Bezpośrednia odpowiedź na pytanie

• Najmniej inwazyjnie spróbuj odczytać dane przez Android Debug Bridge (ADB); jeśli brak roota – skopiujesz jedynie przestrzeń użytkownika, po zrootowaniu zrobisz pełny obraz eMMC poleceniem dd.
• Gdy urządzenie jest „uceglone” albo zablokowane, pozostają metody sprzętowe: ISP (In-System Programming) po liniach eMMC lub chip-off z użyciem programatora eMMC.
• Przed każdą operacją wykonaj bit-w-bit kopię zapasową i oceń konsekwencje prawne.

Szczegółowa analiza problemu

1. Architektura i lokalizacja pamięci
   • Phantom DVM-1331G i6 pracuje pod Androidem 4/5 na SoC klasy Rockchip/Allwinner.
   • Pamięć systemowa to wlutowany układ eMMC BGA (typowo 8 GB–16 GB, pinout eMMC 5.0).
   • Oprogramowanie dzieli eMMC na partycje: boot, recovery, system, userdata, misc, cache + blok wirtualnego zmieniacza CD (ISO).

2. Metody programowe
   a) ADB bez roota
   – Włącz „Opcje programisty” → „Debugowanie USB”.
   – Sprawdź połączenie: adb devices.
   – Skopiuj dane użytkownika: adb pull /sdcard ….
   Ograniczenie: brak dostępu do partycji systemowych.

   b) ADB z uprawnieniami root
   – Znajdź sprawdzony exploit/obraz root (fora XDA-Developers, 4PDA).
   – Po su zidentyfikuj urządzenie blokowe: ls -l /dev/block | grep mmcblk0.
   – Utwórz pełny dump na kartę SD/pendrive:

       dd if=/dev/block/mmcblk0 of=/storage/external_sd/phantom_full.img bs=4M
       sync

   – Zweryfikuj hash MD5/SHA-256 obrazu.

   c) Menu serwisowe / aktualizacja OTA
   – Niektóre egzemplarze pozwalają zapisać plik FW na kartę SD / USB i wykonać „backup Nand”.
   – Dostęp przez kod w menu (np. 126 → „Factory Settings”) – zależne od wersji.

3. Metody sprzętowe
   a) ISP (eMMC pinout)
   Narzędzia: Easy-JTAG Plus / UFI Box, mikrolutownica, lupa 10×.
   • Na PCB odnajdź test-pointy: CLK, CMD, DAT0, VCC, VCCQ, GND.
   • Podłącz przewody 0,1 mm do programatora (tryb 1-bit DAT0, takt 15 MHz).
   • Odczytaj EXT-CSD, następnie pełny dump (typowo 8 GiB ≈ 20 min).
   Zaletą jest brak demontażu układu, wadą – trudne lutowanie i ryzyko zwarć.

   b) Chip-off
   • Gorące powietrze 330 °C, dysza Ø 6 mm, czas ≈ 60 s.
   • Po wylutowaniu oczyść kulki, włóż w adapter BGA153.
   • Programator -> „Identify” → „Read Full (User + Boot1/2 + RPMB)”.
   Metoda pewna, ale najbardziej ryzykowna (możliwe termiczne uszkodzenie eMMC lub PCB).

4. Analiza obrazu
   • Binwalk/Scalpel do detekcji plików ISO (wirtualny zmieniacz CD), plików APK i partycji ext4.
   • Mount obrazu:

    losetup -Pf phantom_full.img  
    mount /dev/loop0p5 /mnt/rootfs

   • Wirtualne płyty CD znajdują się zwykle w /mnt/rootfs/vendor/virtual_cd/track*.iso.

5. Teoretyczne aspekty bezpieczeństwa
   • Bootloader może mieć włączony eMMC Secure Boot; w starszych i6 zwykle wyłączony.
   • Partycja RPMB (Replay Protected Memory Block) jest kryptograficznie chroniona – niedostępna do odczytu bez klucza.

Aktualne informacje i trendy

• W nowych jednostkach 2023+ producenci przechodzą z eMMC na UFS; interfejs ISP wymaga innych adapterów (UFS BGA254).
• Coraz częściej stosowane jest pełne szyfrowanie dm-crypt/LUKS; w Phantom i6 zazwyczaj go brak.
• Narzędzia forensic: Magnet GrayKey, Cellebrite Premium obsługują dziś tryb ISP dla eMMC 5.1.

Wspierające wyjaśnienia i detale

• Analogią do eMMC ISP jest „test-clip” używany w BIOS-ach SPI – tu jednak linie danych są wiele razy szybsze i wrażliwsze.
• dd kopiuje bit-po-bicie; zmiana bs powyżej 4 MiB może zakończyć się „Input/output error” na słabszym SoC.

Aspekty etyczne i prawne

• Odczyt firmware’u może naruszać licencję map lub kodeków Dolby.
• W UE reverse-engineering na użytek własny i celach interoperacyjności jest dopuszczalny (Dyrektywa 2009/24/WE), lecz dystrybucja plików – nie.
• Jeśli urządzenie jest na gwarancji, otwarcie obudowy = jej utrata.

Praktyczne wskazówki

• Zanim zaczniesz, sfotografuj płytę główną w rozdz. >12 Mpx – ułatwi późniejsze lutowanie.
• Ustaw zasilanie laboratoryjne 12 V / 2 A z soft-startem; skoki napięcia podczas włączenia programatora mogą uszkodzić eMMC.
• Dla metod sprzętowych stosuj topnik no-clean o temperaturze pracy ≥ 300 °C (np. AM-Tech RMA-223).

Ewentualne zastrzeżenia lub uwagi dodatkowe

• Brak publicznej dokumentacji Phantom; pinouty publikowane w sieci mogą dotyczyć innych rewizji PCB.
• Jeśli urządzenie wykorzystuje szyfrowanie dm-verity, sam dump nie wystarczy do uruchomienia zmodyfikowanego systemu.
• Wersje i6 z końca 2018 posiadają w menu „MCU Update” – nie myl z aktualizacją Androida; plik MCU BIN nadpisuje tylko mikrokontroler CAN.

Sugestie dalszych badań

• Zweryfikuj, czy Twój egzemplarz ma port USB-OTG ukryty na płycie (wczesne serie miały wyprowadzone piny ID, DM, DP).
• Sprawdź możliwość wgrania recovery TWRP; wtedy nandroid-backup zrobi pełny obraz bez roota.
• Przygotuj skrypt Python do automatycznej ekstrakcji plików ISO z dumpu (libarchive + magic-numbers).

Krótkie podsumowanie

Odczyt pamięci Phantom 1331G zaczynaj od soft-metod (ADB, menu serwisowe). Gdy konieczny jest pełny obraz systemu lub urządzenie się nie uruchamia – przejdź do ISP lub chip-off, korzystając z programatora eMMC. Zawsze kopiuj dane 1:1 na zewnętrzny nośnik, weryfikuj sumy kontrolne i respektuj ograniczenia prawne.