Материнская плата QIYIDA X79 RUNING (или RUN X79-R4S6) LGA 2011: Обзор, часть первая
Показувати елементи керування програвачем
КОМЕНТАРІ • 100
спасибо, за подробную информацию:)
Тоже купил..проблема с 1 черным слотом или я хз что ето. не всегда хочет стартовать с 4 планками по 8гб
@ЗеМиАн на выходных попробую.. отпишусь
@ЗеМиАн ещё хочу попробовать вынуть проц и посмотреть что там с ногами..так как заботливый китаец его вставил и я его не снимал..говорят загнутые ножки могут быть. но ето не точно😂
Советую попробовать с другой памятью.
Дорогой друг не нашел ли ты нормальный Биос для этой платы а то с родным сплошные траблы
Ну, не знаю. Могу посоветовать отключить диск M.2, если он есть, и попробовать без него. И в БИОС вроде как есть настройки PCI-E.
Нет, не нашёл. Но, скажу честно, не сильно и искал.
А что за проблемы?
Так для чего там нужны джамперы рядом с вторым слотом M.2? Его можно переключить на NVMe?
Ох уж этот разъем питания проца на v2.72a. Мозги он мне попарил. Пришлось доработать радиатор напильником.
Очень подробный обзор. Все доходчиво.
Благодарю за оценку 😉
дружище)) пора уже отпускать x79)) только х99 ))
@ЗеМиАн с последним согласен..
но в тоже время считаю что не стоит уже на 2011 что то собирать новое. я за прошлый год комплектов 10 собрал на 2011 (с v1 и v2) процами.. а после нг пришел машинист с 2640в3 и 2011 сокет я послал подальше. распродал остатки комплектующих и теперь только на 2011-3 сижу и собираю при необходимости.
@ЗеМиАн ну хз. Самый топ дешман на 2011-3 проц 2620в3. Мать два канала. Память 2 по 8 гигов. За 9 тыщ рублей можно взять. С купоном еще дешевле. И кулер самый простой можно. А производительность раза в полтора два выше особенно в играх.
Нет, рано ещё 😉 2011 ещё поживёт 😉 Молодёжи безденежной пока нравится.
Здравия тебе. Нашел тебя в отзывах на ALI.))) Подписался. Просьба, сними видос про память Pumeitou. Ты такую покупал. aliexpress.ru/item/4000968038424.html?spm=a2g0v.12010612.8148356.4.6823537feovW7e&_ga=2.257919883.1662519651.1603735883-1754467376.1597946850 твой отзыв от 11 сентября на али. Ждемс.))
@Konstantin Pavlov В отзывах же всё есть: рабочая, новая (указана дата выпуска), не шитая, тайминги короткие, чипы Микрон. Да всё есть, что надо. А по поводу того, что ставят серверную: просто серверная почти вдвое дешевле 😉
Ну а про разгон ещё короче: всё, что не Самсунг, гонится хуже или не гонится вообще. Вот и всё.
@ЗеМиАн Интересует. она действительно новая? И шитая или нет? Разгон и температуры тоже. Просто все на китайцы ставят серверную память, хотелось бы обзор посмотреть как на китайцах гонится простая десктопная DDR3.
И забыл написать, уж извини: спасибо за общение и маленькую «войнушку» 😉
Правильно, сборки с Али.
Правильно, пытаемся экономить.
Именно поэтому, вместо 2 PS/2 нам нужны 2 USB.
Вытаскиваем ПО из запароленного микроконтроллера Renesas M16C
Есть у меня знакомый, который занимается ремонтом автомобильного железа. Он как-то принес мне микроконтроллер, выпаянный из блока управления автономного отопителя. Сказал, что его программатор это не берет, а ему хотелось бы иметь возможность переливать прошивки туда-сюда, т.к. блоков много, в железе они часто одинаковые, а вот агрегаты, которыми они управляют отличаются. И вроде и блок есть взамен неисправного, но ПО разное и заменить просто так нельзя. Так как задачка была интересной, решил покопаться. Если тема интересна и вам, прошу под кат.
Подопытным оказался M306N5FCTFP. Это микроконтроллер группы M16C/6N5. Ядро M16C/60 разработано Mitsubishi, а т.к. преемником этой компании по части МК с 2003 года является Renesas, то сейчас эти микроконтроллеры известны именно под этим брендом.
Немного о самом микроконтроллере
Камешек представляет собой 16-разрядный микроконтроллер в 100-выводном QFP корпусе. Ядро имеет 1 МБайт адресного пространства, тактовая частота 20МГц для автомобильного исполнения. Набор периферии так же весьма обширный: два 16-разрядных таймера и возможность генерации 3-фазного ШИМ для управления моторами, всякие UART, SPI, I2C естественно, 2 канала DMA, имеется встроенный CAN2.0B контроллер, а также PLL. На мой взгляд очень неплохо для старичка. Вот обзорная схемка из документации:
Так как моя задача выдрать ПО, то так же весьма интересует память. Данный МК выпускался в двух вариантах: масочном и Flash. Ко мне попал, как выше уже упоминалось, M306N5FCTFP. Про него в описании сказано следующее:
Как вытащить из устройства то, что разработчики втащили
Вполне естественно, что начинать попытки достать что-то из микроконтроллера нужно с изучения механизмов, которые встроены разработчиком чипа для задач программирования памяти. В мануале указано, что производитель любезно разместил в памяти загрузчик, для нужд внутрисхемного программирования устройства.
Как видно из картинки выше, память разбита на 2 части: пользовательская область, и область загрузчика. Во второй как раз с завода залит загрузчик по умолчанию, который умеет писать, читать, стирать пользовательскую память и общается через асинхронный, синхронный, либо CAN-интерфейс. Указано, что он может быть переписан на свой, а может быть и не переписан. В конце концов это легко проверяется попыткой постучаться к стандартному загрузчику хотя-бы через UART… Забегая вперед: производитель отопителя не стал заморачиваться своим загрузчиком, поэтом копать дальше можно в этом направлении. Сразу оговорюсь, что есть еще способ параллельного программирования, но т.к. программатора для этого у меня не было, я не рассматривал этот вариант.
Вход в режим работы загрузчика обеспечивается определенной комбинацией на входах CNVSS, P5_0, P5_5 во время аппаратного сброса. Дальше либо написать свою утилиту для копирования содержимого памяти, либо использовать готовую. Renesas предоставляет свою утилиту, которая называется «M16C Flash Starter», но функция чтения у нее урезана. Она не сохраняет прочитанное на диск, а сравнивает его с файлом с диска. Т.е. по сути это не чтение, а верификация. Однако есть немецкая свободная утилитка с названием M16C-Flasher, которая вычитывать прошивку умеет. В общем начальный инструментарий подобрался.
О защите от считывания
Все бы было совсем просто, если бы в загрузчике не была предусмотрена защита от несанкционированного доступа. Я просто приведу очень вольный перевод из мануала.
Функция проверки идентификатора
Используется в последовательном и CAN режимах обмена. Идентификатор, переданный программатором, сравнивается с идентификатором, записанным во flash памяти. Если идентификаторы не совпадают, команды, отправляемые программатором, не принимаются. Однако, если 4 байта вектора сброса равны FFFFFFFFh, идентификаторы не сравниваются, позволяя всем командам выполняться. Идентификатор — это 7 байт, сохраненных последовательно, начиная с первого байта, по адресам 0FFFDFh, 0FFFE3h, 0FFFEBh, 0FFFEFh, 0FFFF3h, 0FFFF7h, и 0FFFFBh.
Таким образом, чтобы получить доступ к программе, нужно знать заветные 7 байт. Опять же, забегая вперед, я подключился к МК, используя тот же «M16C Flash Starter» и убедился, что комбинации из нулей и FF не проходят и этот вопрос придется как то решать. Здесь сразу же всплыла мысль с атакой по сторонним каналам. Уже начал прикидывать в голове платку, позволяющую измерять ток в цепи питания, но решил, что интернет большой и большинство велосипедов уже изобретено. Вбив несколько поисковых запросов, довольно быстро нашел на hackaday.io проект Serge ‘q3k’ Bazanski, с названием «Reverse engineering Toshiba R100 BIOS». И в рамках этого проекта автор решал по сути точно такую же задачу: добыча встроенного ПО из МК M306K9FCLR. Более того — на тот момент задача им была уже успешно решена. С одной стороны я немного расстроился — интересная загадка разгадана не мной. С другой — задача превратилась из поиска уязвимости, в ее эксплуатацию, что обещало гораздо более скорое решение.
В двух словах, q3k точно по такой же логике начал изучение с анализа потребляемого тока, в этом плане он был в гораздо более выгодных условиях, т.к. у него был ChipWhisperer, этой штукой я до сих пор не обзавелся. Но т.к. его первый зонд для снятия тока потребления оказался неподходящим и вычленить из шумов что-то полезное у него не получилось, он решил попробовать простенькую атаку на время отклика. Дело в том, что загрузчик во время выполнения команды дергает вывод BUSY, чтобы проинформировать хост о том, занят он, или готов выполнять следующую команду. Вот, по предположению q3k, замер времени от передачи последнего бита идентификатора до снятия флага занятости мог послужить источником информации при переборе. При проверке этого предположения перебором первого байта ключа действительно было обнаружено отклонение по времени только в одном случае — когда первый байт был равен FFh. Для удобства измерения времени автор даже замедлил МК, отключив кварцевый резонатор и подав на тактовый вход меандр 666кГц, для упрощения процедуры измерений. После чего идентификатор был успешно подобран и ПО было извлечено.
Первый блин — граблями
Ха! Подумал я… Сейчас я быстренько наклепаю программку к имевшейся у меня STM32VLDiscovery c STM32F100 на борту, которая будет отправлять код и измерять время отклика, а в терминал выплевывать результаты измерений. Т.к. макетная плата с целевым контроллером до этого подключалась к ПК через переходник USB-UART, то, дабы ничего не менять на макетке, работать будем в асинхронном режиме.
Когда при старте загрузчика вход CLK1 притянут к земле, он понимает, что от него хотят асинхронного общения. Собственно потому я его и использовал — подтяжка была уже припаяна и я просто соединил проводами две платы: Discovery и макетку с целевым M306.
Заметка по согласованию уровней:
Т.к. M16 имеет TTL-уровни на выводах, а STM32 — LVTTL (упрощенно, в даташите подробнее), то необходимо согласование уровней. Т.к. это не устройство, которое, как известная батарейка, должно работать, работать и работать, а по сути подключается разок на столе, то с трансляторами уровней я не заморачивался: выходные уровни от STM32 пятивольтовый МК переварил, в смысле 3 вольта как «1» воспринимает, выходы от М16 подаем на 5V tolerant входы STM32 дабы ему не поплохело, а ногу, которая дергает RESET M16 не забываем перевести в режим выхода с открытым стоком. Я вот забыл, и это еще +2ч в копилку упущенного времени.
Этого минимума достаточно, чтобы железки друг друга поняли.
Логика атакующего ПО следующая:
В итоге, для всех значений результаты были идентичны. Полностью идентичны. Тактовая частота таймера у меня была 24Мгц, соответственно разрешение по времени — 41,6 нс. Ну ок, попробовал замедлить целевой МК. Ничего не поменялось. Здесь в голове родился вопрос: что я делаю не так, как это делал q3k? После сравнения разница нашлась: он использует синхронный интерфейс обмена (SPI), а я асинхронный (UART). И где-то вот здесь я обратил внимание на тот момент, который упустил вначале. Даже на схемах подключения для синхронного и асинхронного режимов загрузчика вывод готовности назван по-разному:
В синхронном это «BUSY», в асинхронном это «Monitor». Смотрим в таблицу «Функции выводов в режиме Standart Serial I/O»:
«Семён Семёныч…»
Упущенная вначале мелочь завела не туда. Собственно, если в синхронном режиме это именно флаг занятости загрузчика, то в асинхронном (тот, который serial I/O mode 2) — просто «мигалка» для индикации работы. Возможно вообще аппаратный сигнал готовности приемопередатчика, оттого и удивительная точность его поднятия.
В общем перепаиваем резистор на выводе SCLK с земли на VCC, припаиваем туда провод, цепляем все это к SPI и начинаем сначала…
Успех!
В синхронном режиме все почти так же, только не требуется никакой предварительной процедуры установки соединения, упрощается синхронизация и захват времени можно выполнить точнее. Если бы сразу выбрал этот режим сохранил бы время… Я снова не стал усложнять и измерять время именно от последнего бита, а запускал таймер перед началом передачи последнего байта ключа, т.е. включаем таймер и отправляем в передатчик KEY7 (на скриншоте выше, из логического анализатора, видно расстояние между курсорами. Это и есть отсчитываемый отрезок времени).
Этого оказалось более чем достаточно для успешной идентификации. Вот так выглядит перебор одного байта:
По оси абсцисс у нас количество дискрет счетчика, по оси ординат, соответственно, передаваемое значение ключа. Отношение сигнал/шум такое, что даже никаких фильтров не требуется, прямо как в школе на уроке информатики: находим максимум в массиве и переходим в подбору следующего байта. Первые 6 байт подбираются легко и быстро, чуть сложнее с последним: там просто наглый перебор не проходит, нужен сброс «жертвы» перед каждой попыткой. В итоге на каждую попытку уходит что-то около 400 мс, и перебор идет в худшем случае в районе полутора минут. Но это в худшем. После каждой попытки запрашиваем статус и, как только угадали, останавливаемся. Я вначале вообще просто быстренько ручками перебрал идентификатор, вставляя в excel вывод консоли и строя график, тем более, что это была разовая задача, но уже для статьи решил дописать автоматический перебор, ради красивой консольки…
Конечно, если бы разработчик затер загрузчик (заменил своим), так просто выкрутиться не получилось бы, но в автомобильной электронике частенько МК вообще не закрыты. В частности в блоке управления с другого отопителя, в котором был установлен V850 того же Renesas все решилось подпайкой пары проводов и копированием прошивки штатной утилитой. Это в мире ЭБУ двигателем целые криптовойны. Видимо не нравится производителям явление чип-тюнинга и других видов вмешательства… Хотя это как гонка брони и снаряда — железки круче, дороже, но победителя нет…
Хак турбобуста на китайских платах LGA2011-3
С помощью этой статьи вы сможете быстро модифицировать биос и применить хак турбо-буста для китайских плат на сокете 2011-3. Не смотря на объём информации, весь процесс занимает 15-20 минут, если следовать инструкции. Если Вы лучше воспринимаете информацию в видео-формате, то в самом низу страницы находятся видео-инструкции.
Блокировка позволяет зафиксировать максимальную частоту турбо-буста, но не на 1-2 ядра, как это было задумано Intel, а на все ядра. В зависимости от модели процессора, прирост может быть вполне внушительным.
Как обычно, все действия выполняются исключительно на свой страх и риск.
Подготовка
Модифицируем биос
Если вы скачали уже модифицированный биос — пропустите этот пункт.
Весь процесс модификации заключается в удалении из биоса микрокодов для процессоров Haswell, а именно 306F2. Для этого мы будем использовать заранее подготовленную утилиту MMtool, скачать которую можно внизу страницы.
Предложенный ранее способ удаления микрокода через UBU всё так же актуален, но менее удобен, поэтому перенесен под спойлер.
Прошиваем мод-биос
Выполняем прошивку с помощью софта, которым снимали дамп. Если всё прошло удачно, сбрасываем биос на стандартные настройки.
Как правило, большинство китайских плат можно прошить одним из следующих способов:
Предотвращаем зависания и синие экраны
До установки EFI-драйвера (или в случае изменения конфигурации) система может вести себя нестабильно, зависать или выпадать в синий экран.
Чтобы этого избежать идём в биос по пути IntelRCSetup > Advanced Power Management Configuration и параметр Power Technology переводим в положение Disable. После успешной установки драйвера EFI и драйверов Vmware следует перевести данный пункт в положение Custom или Energy Efficient.
В некоторых случаях чтобы предотвратить зависания может потребоваться еще одна настройка. Всё в том же меню Advanced Power Management Configuration находим подменю CPU C State Control, а в нем параметр CPU C6 Report и переводим его в положение Disable.
Подготавливаем флешку
Подойдет любая usb-флешка, большой размер не нужен. Рекомендуется подключать её в порт USB 2.0.
Очищаем и форматируем флешку:
Скачиваем Rufus. Запускаем, форматируем флешку с такими параметрами:
На флешку копируем содержимое архива EFI (качаем тоже внизу данной страницы).
Устанавливаем драйвер V3.EFI
В случае изменения конфигурации системы или прошивки другой версии bios, драйвер может слететь. В таком случае придется установить его заново.
После загрузки Windows
Для Windows 7 и 8.1 (включая серверные варианты) обязательно требуется удалить обновление KB3064209.
Для Windows 10 требуется удалить (или переименовать расширение) файла mcupdate_GenuineIntel.dll в папке System32.
Устанавливаем драйверы VMWARE
Внизу этой страницы скачиваем архив cpumcupdate, распаковываем и запускаем install.bat от имени администратора. Драйверы установлены, перезагружаемся.
Проверяем
Для проверки можно использовать программу HwInfo, которая показывает частоты для каждого ядра. Параллельно можно запустить какой-либо бенчмарк или стресс-тест (например cpu-z), чтобы нагрузить процессор.
Если всё прошло удачно — частота каждого ядра будет равна максимальному значению турбо-буста процессора.
Почему может сбрасываться частота в нагрузке и как этого избежать
При сильной нагрузке процессор может понижать частоту ядер. Происходит это для того, чтобы уложиться в лимит TDP. На практике это значит, что получить максимальную частоту по всем ядрам в рендере, стресс-тестах и других аналогичных задачах для некоторых процессоров не получится. В менее ресурсоёмких приложениях (в том числе играх) частота, как правило, не сбрасывается.
Есть несколько вариантов решения данной проблемы.
Отключение гипер-трединга или нескольких ядер
Простой, но не самый эффективный способ. Конечно, уменьшив количество ядер или отключив потоки, процессор начнет потреблять меньше энергии и сможет уложиться в лимит, но и производительность заметно снизится.
Разрешаем процессору на некоторое время превышать лимит TDP
Возможность небольшого выхода за пределы лимита заложена самой Intel. Для её активации идём в биос по пути IntelRCSetup > Advanced Power Management Configuration > Socket RAPL Config и выставляем настройки как на скриншоте.
Здесь нас наиболее интересуют параметры Long Dur Pwr Limit — значение, до которого будет расширен лимит TDP (макс — 255) и Long Dur Time Window — время в секундах, на которое он будет расширен (макс — 56).
Не во всех биосах китайских плат открыто меню с данными настройками. Открыть его можно с помощью программы AmiBCP. Пошаговые действия (на примере биоса от платы Huananzhi x99-tf):
Использование EFI драйвера с пониженным напряжением
Остановимся подробнее на этом пункте. Помимо стандартного драйвера, существуют и немного модифицированные версии, в которых понижено напряжение, что позволит процессору удерживать в нагрузке более высокую частоту. Скачать архив с драйверами можно внизу страницы.
Кстати, MOF — это никнейм пользователя с форума Anandtech, который и является автором данных драйверов (респект ему!).
Существуют и версии от других разработчиков. Любители экспериментов могут попробовать драйвера от freecableguy.
UPD: добавлены архивы с модифицированными версиями драйверов от MOF и драйверами от Freecableguy и Christian Peine.
Подбирать драйвер для каждой конкретной системы придется вручную, проверяя систему на стабильность. Не стоит сразу пробовать версии с наиболее низкими параметрами.
Проверить работу каждой версии можно, не добавляя её сразу в автозагрузку:
Необходимые файлы
UBU_v1_76_0_1UBU_v1_76_0_1
Размер файла: 51 MB Кол-во скачиваний: 2781
cpumcupdateДрайверы VMWARE
Размер файла: 271 KB Кол-во скачиваний: 3469
EFIEFI
Размер файла: 849 KB Кол-во скачиваний: 3446
mmtool_a5MMtool
Размер файла: 5 MB Кол-во скачиваний: 3968
V3_MOFДрайверы с пониженным напряжением от MOF (EFI и FFS)
Размер файла: 12 KB Кол-во скачиваний: 2351
Modified_V3_MOFМодифицированные версии драйверов с пониженным напряжением от MOF ( только EFI). Как правило показывают более высокую производительность. 1.7V / 1.8V vccin, Powercut + ucode39
Размер файла: 1 MB Кол-во скачиваний: 2638
V3_freecableguy_rc9Драйверы с пониженным напряжением от Freecableguy (только EFI).
Размер файла: 122 KB Кол-во скачиваний: 1472
V3_PayneДрайверы от Christian Peine (EFI и FFS). Для односокетных и двухсокетных систем. С пониженным напряжением и без. Как правило медленнее версий от MOF и Freecableguy.
Размер файла: 61 KB Кол-во скачиваний: 1320
V3x2CPUEFI-драйвер для двухпроцессорных систем.
Размер файла: 1 KB Кол-во скачиваний: 1687
Видео-инструкции
Поделиться «Хак турбобуста на китайских платах LGA2011-3»
