Мне всегда хотелось заполучить экран на электронных чернилах для своих будущих проектов. Я купил небольшой экранчик с платой расширения Raspberry Pi, однако потом понял, что можно просто воспользоваться старой «читалкой» Amazon Kindle.
Когда-то давно я уже экспериментировал с Kindle: портировал на него интерпретатор Infocom и приложение для чтения манги. Мне удалось заставить ПО Amazon загружать их как Kindlet и отображать их интегрированными в «читалку». Однако сейчас мне нужна была просто дешёвая и удобная платформа разработки под Linux с eink.
Дешёвый Kindle с Ebay (и причина его дешевизны)
Итак, я отправился на ebay! Нашёл там множество очень дешёвых лотов, помеченных как «Заблокирован Amazon». Я решил, что не стоит их брать, потому что, теоретически, они могут быть краденными. В конечном итоге я выбрал Kindle 4 без сенсорного экрана за 7 фунтов.
Спустя несколько дней он приехал. Тогда я и понял, почему он был таким дешёвым: на экране постоянно отображался некий демо-режим, из которого невозможно выйти:
Я загуглил, и хотя оказалось, что более новые версии Kindle можно было вывести из демо-режима, с этой версией ничего не сработало. Впрочем, это меня не волновало, мне всё равно не надо запускать на устройстве оригинальное ПО Kindle.
Итак, следующий шаг — получение доступа. Изучив форумы mobileread, я обнаружил отладочный последовательный порт: настало время вскрывать корпус!
Физический доступ получен!
Всё оказалось довольно непросто! По периметру есть множество защёлок, а сам корпус приклеен к аккумуляторному отсеку, поэтому потребовалось вмешательство большого ножа. От клея устройство я отчистил ацетоном.
- Красное: надоедливые защёлки
- Фиолетовое: очень надоедливый клей.
- Жёлтое: последовательный порт!
Как обычно и бывает в таких случаях, у последовательного порта нет разъёма, поэтому нужно припаять к плате крошечные контакты. Для подобной работы я люблю использовать провод для скрутки диаметром примерно 0,2 мм и жало для поверхностного монтажа:
Не хочу оставлять болтающиеся провода, но в то же время понимаю, что рано или поздно что-нибудь напутаю и мне понадобится доступ к консоли последовательного порта, поэтому придумал следующее решение:
Я приклеил суперклеем к печатной плате Kindle кусок макетной платы, а затем припаял с одного конца проводники от крошечных контактов на печатной плате. Потом я припаял с другого конца более крупный и удобный разъём Dupont, чтобы можно легко было подключаться к нему. Верхний кабель на плате Kindle — это 0v/GND, а остальные — это TX и RX (я забыл, какой из них где).
Последняя проблема: последовательный порт Kindle работает от 1,8 В, поэтому мне нужен адаптер последовательного порта с поддержкой такого напряжения:
Купленный мной адаптер поддерживает 5 В, 3,3 В, 2,5 В и 1,8 В — очень удобно!
Root-доступ получен!
Далее я подключил адаптер последовательного порта к ноутбуку, запустил ПО последовательного порта minicom и перезапустил Kindle. Затем, поменяв местами провода TX и RX (это всегда неизбежно), я увидел следующую информацию!
U-Boot 2009.08-lab126 (Aug 29 2012 - 12:55:24)
CPU: Freescale i.MX50 family 1.1V at 800 MHz
mx50 pll1: 800MHz
mx50 pll2: 400MHz
mx50 pll3: 216MHz
ipg clock : 50000000Hz
ipg per clock : 50000000Hz
uart clock : 24000000Hz
ahb clock : 100000000Hz
axi_a clock : 400000000Hz
axi_b clock : 200000000Hz
weim_clock : 100000000Hz
ddr clock : 800000000Hz
esdhc1 clock : 80000000Hz
esdhc2 clock : 80000000Hz
esdhc3 clock : 80000000Hz
esdhc4 clock : 80000000Hz
MMC: FSL_ESDHC: 0, FSL_ESDHC: 1
Board: Tequila
Boot Reason: [POR]
Boot Device: MMC
Board Id: 0031701123730Z56
S/N: B02317022392005M
Initing MDDR memory
ZQ calibration complete: 0x128=0xfffe0010 0x12C=0xffffffff
DRAM: 256 MB
Using default environment
In: serial
Out: logbuff
Err: logbuff
Quick Memory Test 0x70000000, 0x10000000
POST done in 13 ms
Hit any key to stop autoboot: 0
## Booting kernel from Legacy Image at 70800000 ...
Image Name: Linux-2.6.31-rt11-lab126
Image Type: ARM Linux Kernel Image (uncompressed)
Data Size: 4777568 Bytes = 4.6 MB
Load Address: 70008000
Entry Point: 70008000
Verifying Checksum ... OK
Loading Kernel Image ... OK
OK
Starting kernel ...
[snip]
Welcome to Kindle!
kindle login:
Отлично, это загрузка при помощи uboot-загрузчика, после чего происходит загрузка Linux и запрос логина.
Если попытаться войти как root, система запросит пароль, хм-м-м… Однако из предыдущего опыта работы с Kindle я знал, что пароль можно сгенерировать из серийного номера. Я нашёл этот веб-сайт, генерирующий несколько возможных паролей для конкретного устройства: мой пароль оказался третьим в списке.
На случай смерти сайта вот самый важный фрагмент кода на Javascript:
var md5 = hex_md5(serial);
document.getElementById("rootpw").innerHTML = "fiona" + md5.substring(7,11);
document.getElementById("rootpw2").innerHTML = "fiona" + md5.substring(7,10);
document.getElementById("rootpw3").innerHTML = "fiona" + md5.substr(13,3);
А, я забыл сказать, как извлёк серийный номер устройства. Подключение по USB не «срабатывает» — такие демо-устройства нельзя монтировать как диски. Однако под Linux оно всё равно выводит серийный номер в вывод dmesg Linux (также его можно получить при помощи printenv в uboot, если нажать на Enter при отображении сообщения «Hit any key to stop autoboot»):
[128033.676587] usb 1-2: new high-speed USB device number 51 using xhci_hcd
[128033.829631] usb 1-2: New USB device found, idVendor=1949, idProduct=0004, bcdDevice= 1.00
[128033.829638] usb 1-2: New USB device strings: Mfr=1, Product=2, SerialNumber=3
[128033.829642] usb 1-2: Product: Amazon Kindle
[128033.829645] usb 1-2: Manufacturer: Amazon
[128033.829648] usb 1-2: SerialNumber: XXXXXXXXXXXXXXXX
Отлично! У нас есть root и мы можем выполнить вход! Теперь разберёмся, как чуть упростить себе работу.
Выполняем дамп системы
Первым делом обычно делают дамп дисков для анализа на другом компьютере.
Проверив
/proc/mounts
, мы увидим множество разделов основного диска на /dev/mmcblk0
.Выполнив
fdisk /dev/mmcblk0
, получим следующее:Units = cylinders of 64 * 512 = 32768 bytes
Device Boot Start End Blocks Id System
/dev/mmcblk0p1 * 1025 12224 358400 83 Linux
/dev/mmcblk0p2 12225 14272 65536 83 Linux
/dev/mmcblk0p3 14273 15296 32768 83 Linux
/dev/mmcblk0p4 15297 59776 1423360 b Win95 FAT32
- Итак, есть четыре раздела — три Linux, один FAT32.
- Первый диск начинается довольно далеко: оказалось, что в этой «отсутствующей» области хранится ядро.
- После изучения становится ясно, что раздел 1 — это обычная система, 2 — что-то вроде раздела для инструментов диагностики, 3 — для хранения внутреннего приватного состояния Kindle (например, паролей WiFi). 4 — это тот раздел, который вы видите при подключении Kindle по USB: на нём хранятся все книги.
- Раздел 4 смонтирован на /mnt/us.
С помощью dd я сдампил начало диска и разделы 1-3 на /mnt/us (мне нравится делать полный сырой образ, чтобы можно было его восстановить на случай, если что-то пойдёт не так):
dd if=/dev/mmcblk0 of=/mnt/us/kindle.img bs=32768 count=15297
Хотя этот Kindle не отображает диск по USB, поскольку у меня есть root, я могу просто заставить отобразить его:
rmmod g_file_storage
modprobe g_file_storage file=/dev/mmcblk0p4
После этого я скопировал всё на ноутбук.
Анализ системы
Далее я смонтировал разделы из kindle.img на свой ноутбук:
kpartx -v kindle.img
После чего я смог монтировать отдельные разделы на ноутбук. Я извлёк все файлы в папку, чтобы можно было их просматривать и исследовать grep. Выяснилось следующее:
- В качестве системы инициализации используется
rc.d
, поэтому там много скриптов, написанных обычным текстом. - Уровень инициализации 5 — это «обычная» система, запускающая ПО электронной книги
- ПО электронной книги находится в
/opt/amazon
, оно написано на Java (я вроде бы уже знал это, но мне понадобилось освежить память). - Там есть целая куча интересных скриптов diag для тестирования, написанных обычным текстом.
- Есть довольно удобный демон
wifid
для управления wifi-соединением: из скриптов diag я выяснил, как с ним общаться. - Можно выполнять запись на экран eink из командной строки с помощью команды
/usr/sbin/eips
(документация находится здесь). - Я не смог найти очевидного переключателя «отключить демо-режим»: похоже, он встроен в ПО электронной книги на Java.
- Следующие системные сервисы связаны с неподдерживаемыми функциями, ПО электронной книги или общением с Amazon:
S50wan S70wand S75phd S81usbnetd S93webreaderd S94browserd S95framework S96boot_finished
.
Общение с Wifid
Можно использовать встроенный wifid для подключения к wifi и управления профилями wifi. О, и надо помнить о том, что многие Kindle поддерживают WiFi только на 2,4 ГГц, имейте это в виду, если что-то не будет работать.
Перечисление количества профилей WIFI:
lipc-get-prop com.lab126.wifid profileCount
Показ содержимого профиля WIFI:
echo "{index=(0)}" | lipc-hash-prop com.lab126.wifid profileData
Удаление профиля WIFI:
lipc-set-prop com.lab126.wifid deleteProfile WIFIESSID
Создание профиля WIFI:
echo '{essid="WIFIESSID", smethod="wpa2", secured="yes", psk="WIFIPSK"}' | lipc-hash-prop com.lab126.wifid createProfile
Возможные варианты smethod: open,wep,wpa,wpa2 (если вы выберете open, то задайте для secured значение «no»).
WIFIPSK — это WIFI PSK, сгенерированный утилитой
wpa_passphrase
(которая есть в Kindle): обычная «wifi passphrase» не сработает.Подключение профиля WIFI:
lipc-set-prop com.lab126.wifid cmConnect WIFIESSID
Отображение состояния подключения WIFI:
echo "{index = (0)}" | lipc-hash-prop -n com.lab126.wifid currentEssid
Внесение изменений в Root
Во многих из представленных ниже инструкций требуется изменение root-диска в kindle. Однако по умолчанию он монтируется в режиме read only. Чтобы решить эту проблему, запустим на kindle следующую команду:
mntroot rw
После завершения верните диск в режим read only, чтобы избежать нежелательных изменений:
mntroot ro
Установка Dropbear SSH
Я хотел иметь возможность подключения к kindle по ssh, поэтому решил установить ssh-демон dropbear. Разумеется, это устройство на ARM, поэтому мне нужно было или скомпилировать его самостоятельно, или где-то найти. К счастью, существует поддерживаемый разработчиками хак USBNET для kindle: я решил не использовать этот хак у себя, потому что хотел полностью контролировать своё устройство, но всё равно смог позаимствовать из него двоичный файл dropbear.
К сожалению, USBNET поставляется в собственном странном формате обновления Kindle, поэтому нужно извлечь из него двоичный файл:
На компьютере:
- Скачать этот репозиторий git и скомпилировать его — это позволит нам декодировать обновления kindle.
- Скачать kindle-usbnetwork-0.57.N-k4.zip отсюда и скопировать его в
KindleTool/Release/
. cd KindleTool/Release/
Распаковать kindle-usbnetwork-0.57.N-k4.zip
./kindletool extract Update_usbnetwork_0.57.N_k4_install.bin usbnet
cd usbnet
tar Jxf usbnet.tar.xz
- Скопировать
src/usbnet/bin/dropbearmulti
на Kindle (я перемонтировал его как USB-устройство и скопировал файлы).
В Kindle:
cd /
mv /mnt/us/dropbearmulti /
chmod a+x /dropbearmulti
ln -sf /dropbear /dropbearmulti
ln -sf /dropbearkey /dropbearmulti
ln -sf /bin/scp /dropbearmulti
/dropbearkey -t rsa /dropbear_rsa_host_key
Преобразуем всё под мои проекты
Я переименовал все ненужные системные сервисы:
cd /etc/rc5.d; mv S95framework DISABLED.S95framework
Добавил собственный скрипт инициализации в
/etc/rc5.d/S99adq
, чтобы вносить свои изменения:#!/bin/sh
NAME="adq"
case "$1" in
start)
# display some stuff!
/usr/sbin/eips -c 20 20 "HELLO ADQ"
IP=`ifconfig wlan0 | awk '/t addr:/{gsub(/.*:/,"",$2);print$2}'`
/usr/sbin/eips 1 1 "IP Address: $IP"
/usr/sbin/eips 1 2 "Root Password: <MY ROOT PASSWORD>"
/usr/sbin/eips ""
# connect to wifi and allow ssh in
lipc-set-prop com.lab126.wifid cmConnect MYWIFISSID
iptables -A INPUT -i wlan0 -p tcp --dport 22 -j ACCEPT
/dropbear -r /dropbear_rsa_host_key
mkdir -p /mnt/us/usbnet/etc
echo "<MY SSH PUBKEY>" > /mnt/us/usbnet/etc/authorized_keys
# expose shell over usb
modprobe -r g_file_storage
modprobe g_serial
/sbin/getty -L 115200 ttyGS0 -l /bin/login &
;;
stop)
;;
*)
msg "Usage: /etc/init.d/$NAME {start|stop}" W >&2
exit 1
;;
esac
exit 0
Теперь устройство может:
- При загрузке отображать на экране полезную информацию
- Подключаться к wifi.
- Использовать SSH через файрвол.
- Запускать ssh-демон dropbear.
- Добавлять мой публичный ключ ssh в нужное для dropbear место.
- Удалять USB-функцию «притворяемся диском»
- Заставлять его «притворяться последовательным устройством» через USB и отображать запрос логина: если подключить его через USB и использовать minicom, я получу запрос логина на случай, если что-то пойдёт не так.
Теперь при загрузке мой kindle выглядит так и я могу подключаться как root по ssh.
Всё практически готово: теперь я могу подключаться по ssh к kindle и у меня есть несколько уровней последовательной консоли на случай, если что-то пойдёт не так. Это довольно удобная система разработки под Linux с e-ink, подключением по wifi и с работой от аккумулятора.
Последнее улучшение — я убрал некоторые защёлки с задней крышки и установил её на место.
Дальнейшее развитие
Похоже, что эта библиотека (FBInk) сможет заменить ПО Amazon eips; вероятно, оно будет удобнее, если я захочу интегрировать дисплей с моим собственным ПО.
На правах рекламы
Эпичные серверы — это надёжные серверы на Linux или Windows с мощными процессорами семейства AMD EPYC и очень быстрой файловой системой, используем исключительно NVMe диски от Intel. Попробуйте как можно быстрее!