Телефоны Siemens в наших краях получили статус культовых. Если сейчас отмотать время на 2005 год и подойти к случайному школьнику или студенту, то с высоким шансом в его руках окажется какой-нибудь M65 или C65. И отнюдь неспроста: «Сименсы» славились инновациями, неплохими мультимедийными возможностями и невысокой ценой. Однако особо смышленым, но не шибко богатым ребятам всё равно хотелось большего — и толпой они накинулись изучать прошивку в дизассемблере...

В практической части мы с вами узнаем: что у C65 было внутри, изготовим кабель, пропатчим и добавим желанную поддержку MP3-мелодий.

❯ Не сначала...

История мобильного моддинга начинается в далёком 2001 году. Компания Sony, которая пока ещё была не Sony Ericsson, выпускает свой новый телефон — CMD-J70 с достаточно обширным по меркам тех лет функционалом и характерным колесиком JogDial. Как и другие устройства из линейки CMD, модель стала достаточно популярной и нередко в выборе между финским и японским качеством, побеждал именно японец!

Телефоны от Sony базировались на свежей, недорогой и очень удачной аппаратной платформе Texas Instruments Hercules (HERCROM), которая состояла из центрального процессора на ядре ARM7TDMI, работающего на частоте ~50МГц и аналоговой RF-части. Фишка новой платформы была в возможности прошивки без использования программатора, с помощью дата-кабеля, а в скором времени в сеть был слит сервис-мануал на устройство и программа для прошивки. И вот тут то всё началось!

Сначала для J70 делали простые патчи: на графику с Джеймсом Бондом, на мелкие твики системы и конечно же русификаторы. Но затем некий энтузиаст под ником NiMar раскопал функции прошивки и написал самый крутой патч — PRGLoader, который позволял писать новые программы для телефона с нуля на ассемблере или C! Загрузчик разделял и без того небольшую флэш-память телефона на десять слотов для кастомных программ: сначала необходимо было портировать «эльфы» для каждой версии прошивки отдельно, но затем появилась универсальная библиотека функций и программы стали портируемыми.

Это был первый известный случай хакинга телефона и запуска на нём кастомных программ. NiMar раскопал даже функции таймера, так что у телефона появлялась многозадачность... и после такого моддинга, бюджетная модель превращалась почти что в смартфон!

Но конечно одним CMD J-70 дело не ограничилось. В СНГ были очень популярны телефоны Siemens и момент, когда их хакнут, был вопросом времени!

❯ Infineon E-Gold

В отличии от Sony, телефоны Siemens почти всегда базировались на «родной» аппаратной платформе от Infineon (Infineon — дочка Siemens, выделенная в 1998 году в отдельную компанию в рамках реструктуризации). Первой такой платформой была HiGold — серия чипсетов Infineon PMB2800, которая использовалась в телефонах конца 90-х годов: C10, SL10, C25 и других моделях. Поскольку ARM в те годы ещё не настолько доминировал, Siemens решила использовать проверенное процессорное ядро собственной разработки — C166s, которое до сих пор можно найти в ЭБУ автомобилей ВАЗ!

Главной преградой на пути к моддингу устройств с C166s — относительно сложная сегментная модель памяти, напоминающая оную в x86. Сам набор инструкций хоть и простой, и в некоторой степени напоминает ARM, реверс-инжиниринг программ для этой архитектуры не так уж и прост.

Насколько мне известно, HiGold'ы практически никто не патчил, однако следующее поколение — E-Gold, которое использовалось в телефонах начала 2000-х годов, очень быстро хакнули и начали делать самые разные полезные патчи. Самым популярным телефоном на этой платформе был культовый SL45, который не только имел поддержку MP3, но и был первым телефоном с поддержкой Java-приложений. После SL45, Siemens выпустила следующую линейку устройств — S55, M55 и C55, которая также стала популярной за счёт появления подключаемой камеры и неплохих цветных дисплеев... но для них так и не появилось нормального загрузчика кастомных программ.

В те годы студент по имени Илья ( @ILYA_ZX) поспорил с однокурсником на то, что сможет написать «Змейку» для своего A60. Месяц ковыряния в дизассемблере и изучения архитектуры C166s — и вот, Илья представил рабочую игру и бинлоадер своему приятелю. Спор был выигран, исходники опубликованы, но этот проект так и не получил развития, и по сути, «эльфятник» был в зачаточном виде лишь на SL45.

❯ S-Gold

Всё изменилось с выходом новой аппаратной платформы Infineon S-Gold в 2003 году, где инженеры решили использовать новейшее ядро ARM926EJ-S с набором инструкций ARMv5 и частотой аж в 104МГц с возможностью разгона до 208МГц. По сути, S-Gold был флагманским мобильным чипсетом не только для Сименсов, но и в мобильном мире вообще — OMAP'ы для коммуникаторов на Windows Mobile работали на тех же самых ядрах и с той же самой частотой. Первыми телефонами на этом чипсете была легендарная 65'ая линейка Siemens'ов: флагманский S65, «бронированный» M65 и культовая бюджетная «стрекоза» — C65, которые сразу стали бестселлерами на рынке СНГ. Беспорядочному патчингу и моддингу на этот раз мешал новый загрузчик BOOTCore, не позволявший записывать неподписанные прошивки без специального ключа разблокировки — BKey.

Однако руководствуясь опытом с E-Gold'ами, энтузиасты быстро нашли тест-поинт (сажали одну из сигнальных линий флэш-памяти на массу), и смогли вычитать SKey и ESN, необходимые для расчета буткея. Чуточку позже обнаружили уязвимость в Java-машине и написали мидлет для расчета ключа вообще без необходимости что-то разбирать и замыкать. Как удалось угадать алгоритм расчета ключа — доподлинно неизвестно, но есть одна интересная теория.

По информации из дебаг-билдов симулятора, UI-часть прошивки писала некая компания-подрядчик из Польши, которая наверняка имела доступ ко всей внутренней документации для процессора. У некоторых доверенных лиц по слухам даже оказались axf-файлы (промежуточный выходной формат компилятора ARMCC), с отладочной информацией о прошивках и та самая NDA-документация, часть из которой затем слили в сеть. По словам Ильи, один из таких доверенных людей помог разобраться в аудиотракте устройства и сделать то, о чём мечтали тысячи пользователей телефонов Siemens — поддержку MP3-треков. Не исключено, что именно благодаря этому человеку в 2006 году написали первый ELFLoader и дали новую жизнь устройствам от Siemens — уже после закрытия мобильного подразделения.

Однако даже до появления ELFLoader'а, энтузиасты подвергали устройства на S-Gold серьезному моддингу. Например при модификации проверки HWID, прошивку от C72 или SL65 можно было установить на C65 — и это давало очень крутые фишки по типу поддержки 3D или возможности записи видеороликов. А M65 можно было переделать в CX70!

Сегодняшним нашим героем станет именно C65, специально подготовленный мной для коллаборации с @Ilya_ZX и блогером MaddyMURK, который не верил, что в эту модель можно добавить поддержку MP3. Мне пришлось потратить несколько дней, чтобы добиться стабильной работы телефона, но спустя 3 месяца после отправки устройства, MaddyMURK слился под предлогом мол «чёта потыкал и мне больше не интересно... Коллабы не будет, отправлю тебе гаджет обратно». Ну и ладно!

❯ Что внутри?

По славной традиции рубрики, сначала мы с вами разберем телефон и узнаем что у него под капотом. Одна из главных фишек телефонов тех лет была в высокой ремонтопригодности даже неподготовленными людьми. Устройства полностью разбирались буквально за несколько минут при наличии пластиковой карты и отвёртки, а заменить основные элементы — дисплей, клавиатуру и динамик с микрофоном, мог даже школьник!

При этом была возможность всегда освежить внешний вид устройства путём переодевания в новый корпус. Во многих городах на рынках можно было купить корпуса с самым разным дизайном и качеством по 100-150 рублей, а поскольку в те годы телефоны берегли гораздо меньше чем сейчас, корпуса были расходниками. И тем не менее, даже сильно исцарапанный гаджет можно было превратить практически в новый всего за пару сотен рублей!

Внутри телефон представлял из себя модульный бутерброд, который состоял из металлической рамки, клавиатуры, дисплея и платы. И вот здесь, инжиниринг Siemens сыграл злую шутку: даже если пользоваться телефоном максимально аккуратно, постоянные изгибы платы в местах нажатия на джойстик со временем обрывало дорожки или срывало слабые пятаки на процессоре, отправляя телефон на очередную замену материнской платы.

После снятия рамки, нас встречает защитный экран, а под ним тот самый чипсет Infineon PMB8875 S-Goldlite. Внутри довольно большого по современным меркам процессора скрывается всего одно ядро ARM926EJ-S, способное работать на пиковой частоте от 104 до 208МГц, контроллер SDRAM-памяти и NOR-флэш накопителей, контроллер периферийных шин I2C/SPI/I2S, а также Watchdog и MMC. В целом, уровень интеграции не очень высокий, у Texas Instruments был выше, но всё равно вполне на уровне. Помимо Siemens'ов, S-Gold использовался в телефонах Panasonic и в качестве модема iPhone 2G (!!!).

Правее расположилась микросхема NOR-флэш памяти производства Intel объёмом в 32МБ. Из них 10МБ отводилось пользователю, а остальной объём был под прошивку и системные диски с кэшем. Несмотря на наличие контроллера MMC, Siemens всё равно решила не распаивать SD-слот, дабы не создавать внутреннюю конкуренцию более дорогому M65 и CX65. Ещё чуть выше распаяна микросхема SDRAM-памяти производства Hynix, объёмом в 4МБ. На первый взгляд кажется немного... Но не всё так просто!

С обратной стороны платы нас встречает RF-тракт с усилителем и фронтэндом, а также микросхема Dialog, выполняющая роль контроллера питания. В её задачи входит обработка кнопки включения, WatchDog для сброса питания с процессора в случае зависания, усилитель звука, DC-DC понижающие преобразователи для формирования необходимых питаний на остальные чипы устройства и контроллер зарядки литий-ионных аккумуляторов. К слову, нередко ремонт нерабочих Siemens'ов решался заменой Dialog'ов или перекаткой процессора. Телефоны Siemens были хлебом для мастеров тех лет!

Чуть выше расположилась микросхема производства Epson. Её задачи разнятся от телефона к телефону, но в основном она выполняет роль контроллера камеры или дисплея. В некоторых других моделях, был дополнительный чип, который аппаратно декодировал MP3.

С нижней части платы расположился разъём под названием Lumberg, который служил как для зарядки, так и для подключения аксессуаров. В 65'ой серии, у телефонов появилась аппаратная поддержка USB, поэтому чип выше выполняет роль свича между UART и USB в зависимости от режима. Кроме того, RX и TX уходят к фильтру-стекляшке, так что если ваш Siemens не видит компьютер - смотрите в сторону этого чипа!

И это по сути всё. Простейший конструктив, не без недостатков, но зато позволивший сделать цену на устройство конкурентной с другими телефонами в том же классе - Motorola C650 и Samsung уровня C100. И при всём этом, C65 был значительно мощнее их обоих благодаря использованию новейшего чипсета!

❯ Прошиваем

Для прошивки «Сименсов» сначала необходимо купить или собрать кабель. На Авито иногда попадаются дата-кабели, но далеко не все из них подходят для прошивки: из-за кривого драйвера и неправильной разводки, шнурки на чипах Prolific покупать не стоит. У меня в наличии был как раз именно такой кабель, поэтому я решил переделать его на классический PL2303.

Схема кабеля до безобразия проста: достаточно лишь подключить RX/TX/GND к соответствующим пинам на преобразователе, а между пином CTS и GND установить резистор номиналом 10кОм. На фото не видно, но я впаял обычный SMD-резистор для компактности. Если есть 3D-принтер — можно напечатать дополнительный корпус, чтобы повысить надежность такого кабеля.

Далее выключаем телефон, вставляем дата-кабель и в x65PapuaUtils пытаемся загрузится в сервис-мод. Программа попросит кратковременно нажать на красную кнопку и если всё сделано правильно — телефон загрузится в сервисный режим. Из этого режима можно даже починить «пикающий» телефон путём форматирования раздела с пользовательскими данными и кэшем.

Теперь необходимо разблокировать загрузчик. Для этого устанавливаем специальный мидлет px65v1 и ждём около 15-20 минут, пока он найдет SKey и ESN. Такое длительное время работы обусловлено тем, что мидлет с помощью уязвимости в Java-машине сканирует всё адресное пространство телефона и ищет нужные значения по паттернам. Далее мидлет передаст эти данные в x65PapuaUtils, а он каким-то неведомым алгоритмом рассчитает действительный ключ и сохранит его в ini-файле. Далее необходимо экспортировать лоадер в формат, пригодный для V_Klay, чтобы в дальнейшем можно было устанавливать патчи. Такая вот нехитрая, но долгая манипуляция!

После этого, я установил прошивку от C72 и применил специальный патч на обход проверки HWID, дабы телефон не пикал при включении. Даже без «эльфлоадера» мы уже значительно расширили функционал телефона относительно стока, но совершенству нет предела! Эльфлоадер, библиотека функций и аудиохук ставятся точно также: необходимо выбрать vkp-файл в V_Klay, нажать «Flash», подключить телефон и ждать завершения.

В V_Klay встроен механизм валидации патчей: если паттерн по заданному адресу отличается от прописанного в патче, программа выдаст ошибку. В случае аудиохука это норма — можно смело прошивать патч!

Для завершения установки эльфлоадера, необходимо создать папку ZBin в внутренней памяти телефона и закинуть туда файлы конфигурации и ассоциации расширений в проводнике с желаемыми программами. После этого, в системе появится диспетчер задач и возможность запуска программ прямо из проводника. Круто!

❯ Знакомимся поближе

После включения нас сразу встречает надпись о том, что xTaskMan запущен. Теперь при зажатии центральной кнопки на джойстике, будет запускаться полноценный диспетчер задач — ведь каждая системная и кастомная программа создаёт окно, между которыми теперь можно легко переключаться без потери данных!

Поскольку мы превратили наш С65 в куда более свежий C72, телефон обзавелся новыми фишками! Например, теперь можно записывать видеоролики и даже играть в 3D-игры. Помимо этого, с C65 на C72'ой прошивке даже в 2025 году можно выйти в полноценный интернет с помощью Opera Mini 6.5...

И конечно же куда без самой желанной фишки Siemens'ов в 2004-2005 году: поддержки MP3-мелодий! Запустив из проводника программу-плеер, мы попадаем в весьма забавный ретро-интерфейс, где энтузиасты реализовали плейлисты, скины, настройки и другие фишки, которых вообще не было в стандартном примитивном плеере. Нажимаем Play — и вуаля! Телефон полноценно воспроизводит мелодию без предварительной конвертации!

О деталях реализации хака рассказал сам автор плеера и патча — @Ilya_ZX. В прошивке телефона есть функция PlayWAVInMemory, которая на входе принимает описание wav-файла и PCM-поток. Путём нехитрых манипуляций, он пропатчил эту функцию так, чтобы на входе она принимала указатель на кольцевой буфер, а когда он опустошался — патч вызывал специальный коллбэк. Затем программа, которая хочет дальше проигрывать звук, заполняла буфер следующим отрывком PCM-звука и таким образом, мы получали возможность декодировать на лету и проигрывать любой формат — хоть OGG, хоть FLAC! При этом несмотря на заблуждение о том, что Siemens'ы банально не тянули декодирование mp3 в реальном времени — телефон мог спокойно проигрывать мелодии с битрейтом до 192кб/с в фоновом режиме с полноценной многозадачностью!

Единственный момент — стандартная прошивка не умеет воспроизводить звук с частотой дискретизации выше 11050Гц, Илья для решения и этой проблемы написал специальный патч, который, правда, не работает именно на C65. Ну что ж, нам и этого хватит!

Учитывая то, что студент из СНГ смог написать такой патч и частично сам плеер, решения инженеров Siemens в последующих моделях выглядили как минимум странно. Например, в CX75 поддержка MP3 была прикручена с помощью внешнего аппаратного аудио-декодера, у которого качество звука было крайне посредственным и на практике нормальный программный декодер MP3 реализовали только в E71 и EL71!

В остальном, C65 превращался практически в полноценный смартфон. Энтузиасты написали самые разные программы: клиент ICQ, E-Mail, погоду, виджеты на рабочий стол по типу загрузки процессора, объёма свободной оперативной памяти, был даже патч на эмуляцию E-Sim за 15 лет до первого телефона с этой технологией и навигация (A-GPS) по вышкам сотовой связи!!! При этом авторы активно делились исходным кодом и эти программы работали почти на любых S-Gold «Сименсах»... Это был венец моддинга мобильных телефонов!

❯ Заключение

Вот такой была история моддинга кнопочных телефонов. Когда у молодых ребят нет денег на топовый гаджет, в ход идут навыки реверс-инжиниринга и моддинга. А ещё это просто невероятно интересно и захватывающе — и в своей статье про хакинг более свежего кнопочника я постарался показать это на практике!

Даже спустя 22 года после релиза C65 коммьюнити моддинга Siemens всё ещё живо и собирается в уютном Telegram-чатике. Ребята просили не публиковать прямую ссылку из-за Хабраэффекта, но если вы олдовый участник клуба Siemens'оводов и действительно хотите в него попасть — найти ссылку можно по запросу «patches kibab».

А если вам интересна тематика ремонта, моддинга и программирования для гаджетов прошлых лет — подписывайтесь на мой Telegram-канал ‭«Клуб фанатов балдежа‭», куда я выкладываю бэкстейджи статей, ссылки на новые статьи и видео, а также иногда выкладываю полезные посты и щитпостю. А ролики (не всегда дублирующие статьи) можно найти на моём YouTube канале.

Очень важно! Разыскиваются девайсы для будущих статей!

Друзья! Для подготовки статей с разработкой самопальных игрушек под необычные устройства, объявляется розыск телефонов и консолей! В 2000-х годах, китайцы часто делали дешевые телефоны с игровым уклоном — обычно у них было подобие геймпада (джойстика) или хотя бы две кнопки с верхней части устройства, выполняющие функцию A/B, а также предустановлены эмуляторы NES/Sega. Фишка в том, что на таких телефонах можно выполнять нативный код и портировать на них новые эмуляторы, чем я и хочу заняться и написать об этом подробную статью и записать видео! Если у вас есть телефон подобного формата и вы готовы его задонатить или продать, пожалуйста напишите мне в Telegram (@monobogdan) или в комментарии. Также интересуют смартфоны-консоли на Android (на рынке РФ точно была Func Much-01), там будет контент чуточку другого формата :)

Кроме того, я ищу подделки на брендовые смартфоны 2009-2015 года выпуска. Многие из них работают на весьма интересном железе и об их моддинге я бы мог сделать интересный контент. Особо разыскиваются подделки Apple iPhone и HTC (по типу HD2 и Touch Diamond 2) на Windows Mobile и Android, а также Samsung Galaxy. Также представляют моддерский интерес первые смартфоны Xiaomi из серии Mi, Meizu (ещё на Exynos) и телефоны Motorola на Linux (например, EM30, RAZR V8, ROKR Z6, ROKR E2, ROKR E5, ZINE ZN5, о которых я хотел бы подготовить отдельные статью и видео, поскольку они работали на очень мощных для своих лет процессорах, поддавались серьезному моддингу и были способны запустить даже Quake.

Большое спасибо читателям и зрителям за подгоны, без вас контент бы не выходил!

А ещё я держу все свои мобилы в одной корзине при себе (в смысле, все проекты у одного облачного провайдера) — Timeweb. Потому нагло рекомендую то, чем пользуюсь сам — вэлкам.