Forum: Mikrocontroller und Digitale Elektronik NAND Flash aus MicroSD Karte auslesen

Hallo,

nachdem mir schon zum wiederholten Mal die MicroSD Karte in meinem Handy 
kaputt gegangen ist, möchte ich nun zu Lernzwecken den NAND Flash aus 
einer baugleichen Karte auslesen und im Erfolgsfall dasselbe mit meiner 
defekten Karte versuchen.
Zu diesem Zweck habe ich mir einige funktionierende baugleiche MikroSD 
Karten als Testobjekte besorgt.

Die übliche Vorgehensweise eines Datenrettungs-Labors für die 
Datenrekonstruktion aus dem NAND Flash einer SD Karte ist folgende:

1) Karte aufschleifen
2) Leiterbahnen/Vias kontaktieren
3) funktionierende Karte während des Betriebes mit Logic Analyzer 
analysieren
4) CE, WE, RE, RB, ALE, CLE und D7..D0 identifizieren
5) NAND Flash aus defekter aber baugleicher Karte entsprechend manuell 
auslesen
6) Spezielle NAND Recovery Software (z.B. flash-extractor.com) verwenden 
um Dateisystem-Inhalt von NAND-Dump zu rekonstruieren
7) FAT Dateisystem-Analyse und Datei-Extraktion

Zu den jeweiligen Prozessen gibt es sogar ein kurzes Video eines 
deutschen Datenrettungs-Labors hier: 
http://www.youtube.com/watch?v=y-jrzsaT6ls


Ich habe mittlerweile sowohl eine baugleiche wie auch eine ähnliche 
MikroSD Karte vom selben Hersteller aufgeschliffen und kontaktiert.
Über meine eigene Software-Implementation auf einem XMEGA Board kann ich 
über das SPI Interface mit den SD Karten kommunizieren und ebenso 
erfolgreich auf das FAT Filesysytem zugreifen.
Während ich das tue, habe ich mir entsprechend Schritt 4) die 
herauskontaktieren Signale mit dem Logik-Analyzer angeschaut und konnte 
bereits CE, WE, RE, RB, ALE, CLE und D7..D0 identifizieren.
Derzeit kenne ich allerdings von dem Datenbus die Reihenfolge noch 
nicht.
Ich nehme also an, dass die Reihenfolge der Bits auf dem Datenbus, so 
wie ich sie am Logik-Analyzer sehe, vertauscht ist.

Nun orientieren sich heutige NAND Flash Speicherchips an der ONFI (Open 
NAND Flash Interface) Spezifikation, insbesondere was das unterstützte 
Command-Set betrifft.
Darauf bauen ebenso die käuflichen Flash-Extraktionstools für 
Datenrettungs-Labors auf (z.B. flash-extractor.com oder 
acelaboratory.com).
Mein Ansatz war somit, dass ich die Kommunikation zwischen dem SD 
Kartencontroller und dem NAND Flash analysiere und darin, etwa beim 
initialisieren, verschiedene ONFI Kommandos sehen müsste.
Beispielsweise ist der NAND Flash nach ONFI nach dem Powerup zu 
initialisieren, was mit dem RESET (0xff) Kommando funktioniert.
Ich müsste also am Logic-Analyzer das Kommando erkennen können (alle 
Bits am Datenbus high).
Anschliessend liest der Controller vom NAND Flash 
Konfigurationsparameter aus. Dies funktioniert etwa über das Read-ID 
(0x90) Kommando bzw. später dann durch das Lesen der 
Konfigurations-Page.
Aufgrund der Daten in der Antwort auf die jeweiligen Kommandos ist es 
somit sehr einfach möglich die richtige Anordnung des Datenbus zu 
bestimmen.
Im weiteren ist es dann möglich z.B. über einen Mikrocontroller die 
jeweiligen ONFI Kommandos direkt an den NAND Flash zu schicken und somit 
den Speichereinhalt auszulesen.

Nun zum Haken an der Geschichte: Im Gegensatz zu den Ausführungen und 
Beschreibungen auf den Seiten der Flash-Recovery-Tool Hersteller handelt 
es sich in dem auf meiner MikroSD Karte vebauten NAND Flash wohl nicht 
um einen nach ONFI standardisierten NAND Flash Speicher.
Ich kann nirgends in der Kommunikation Kommandos erkennen, die auf ONFI 
hindeuten. Auch das RESET (0xff, also alle Pins des Datenbus auf high) 
kann ich nicht erkennen.
Ich kann jedoch mittels einer weiteren Implementation auf einem 
Mikrocontroller-Board die observierten Kommandos bereits direkt an den 
NAND Flash schicken und bekomme dann auch dieselbe Antwort, wie wenn das 
der karteninterne Controller machen würde. Die Kommunikation mit dem 
NAND Flash haut also hin, nur weiss ich halt noch nicht was ich da 
eigentlich kommuniziere weil ich die Kommandos nicht identifizieren kann 
;)

Nun können NAND Flash Hersteller auch ihre eigenen Kommandos verwenden, 
unterstützen aber üblicherweise trotzdem das ONFI Command-Set.
Es könnte also sein, dass ich niemals ONFI Kommandos sehe, obwohl der 
NAND Flash diese unterstützen würde.
Um dies festzustellen, habe ich beschlossen einfach mal ONFI Kommandos 
an den NAND Flash zu schicken um zu sehen was passiert.
Im Speziellen hätte ich versucht eine Antwort auf das ONFI Read-ID 
(0x90) Kommando zu erhalten.
Binär ist 0x90 ==> 10010000, es sind also 2 bits gesetzt.
Nachdem ich die Reihenfolge der Bits am Datenbus noch nicht kenne, habe 
ich mir eine Bruteforce-Loop gebaut die in jeder Iteration folgendes 
macht:

1. Reset Kommando senden (0xff) - also alle Bits am Datenbus auf high
2. Kommando mit Kombination aus 2 gesetzten Bits am Datenbus senden
3. Adressinfo senden (0x00) - also alle Bits am Datenbus auf low
4. 4 Bytes vom Datenbus lesen

Das ganze mache ich aufgrund der Mikrocontroller-Geschwindkeit etwas 
langsamer wie das der karteninterne Controller machen würde.
Entsprechend ONFI müsste das Reset Kommando immer funktionieren. Und 
nachdem ja sowieso alle Bits am Datenbus gesetzt sind, macht es auch 
nichts wenn die Reihenfolge der Bits am Datenbus nicht stimmt.
Im nächsten Schritt sende ich dann jeweils eine Byte-Kombination in der 
genau 2 Bits gesetzt sind. Unabhängig von der Bit-Reihenfolge am 
Datenbus müsste ich somit in genau einem Versuch das 0x90 Kommando 
richtig hinbekommen. Im nächsten Schritt wird die Adresse (0x00) 
geschickt. Nachdem hier alle Bits des Datenbus auf 0 gesetzt sind, ist 
auch hier die Reihenfolge egal.
Schliesslich lese ich dann 4 bytes vom Datenbus.

Wenn der verbaute NAND Flash also die ONFI Kommandos unterstützt, so 
müsste ich zumindest in einem Durchlauf der Schleife ein Ergebnis 
bekommen, das sich von dem Rest untescheidet.
Dadurch wüsste ich nun die Reihenfolge der Bits am Datenbus und könnte 
mit dem NAND Flash über die ONFI Kommandos beliebig kommunizieren.
Leider hat jedoch auch das nicht funktioniert, weshalb ich annehme, dass 
die Karte die ONFI Kommandos nicht unterstützt.


* Sind NAND Flash Bausteine, die ONFI nicht unterstützen, verbreitet ?
 (Die Karte ist eine aktuelle 16GB Karte, die definitiv lang nach
 Erstellen der ONFI Spec hergestellt wurde.)

* Kennt jemand noch andere Command-Sets die ich versuchen könnte ?
  (Die Karte ist eine SanDisk Speicherkarte, was jedoch in Bezug auf die
  Internas der Karte nicht viel heissen muss).

* Hat hier jemand Ideen/Erfahrungen/Tipps ?


Falls ich mit meinen Versuchen nicht weiterkomme, hätte ich mir auch 
schon überlegt eine baugleiche Karte aufzuätzen und am Chip nach einer 
NAND-Flash Identifikation und dem Chip-Hersteller zu suchen.
Die Infrastruktur dafür ist vorhanden, jedoch ist das ganze natürlich 
auch mit etwas Arbeit verbunden.
Mit diesen Informationen könnte ich mich dann auf Suche nach 
Datenblättern für denselben bzw. ähnliche NAND Flash-Chips machen und 
könnte dadurch herausfinden, wie mit dem internen NAND Flash zu 
kommunizieren ist.



lg,
Stef