硬改 TP-LINK WR742N v5.1 8M Flash + 64M 内存 + 提取 ART 数据

hackpascal

学校的宽带使用标准的 802.1X EAP-MD5 认证。学校只有一款路由器可以支持 802.1X 拨号，是 TP-LINK WR541G+。但是这个是 802.11g 的路由，最大速率才 54M，不能达到校园宽带的带宽。

因此我买了 WR742N。但是要让这款路由能够进行 802.1X 认证，就必须刷入修改过的 DD-WRT 或 OpenWrt。而这个 WR742N v5.1 配置不高，达不到刷 DD 或 OP 的要求，因此必须硬改。。

原机配置如下：
芯片：Atheros AR9331-AL3A
FLASH: cFeon F80-100HCR，容量 1MB
内存：Winbond W9464GJH-5，DDR400 8M，16bit

修改前的图片就不发了，直接发一张修改后的照片：



修改后内存换为了 现代 Hynix HY5DU121622CTP-D43， 64M
FLASH 换为了 cFeon Q64-104HIP，8M
给 FLASH 连上一个 DIP 插座，方便取下 FLASH 芯片，用编程器进行编程

然后给内存的 A12 地址线连上一个 22Ω 的电阻（R59），以保证能够使用全部 64M 内存





然后在 PCB 背面的 TP17 TP18 焊上两根线作为 TTL 的 TX 和 RX（哪个是TX哪个是RX我记不清了），随便找一个地方作为 GND。由于没有地方可以焊排针，所以就直接把这三根线接在了杜邦线上。



具体改造就完成了。经测试 TTL 直接可用，不会出现乱码（在 Ubuntu 12.04 amd64 下测试）。

===================================华丽的分割线===================================

下面说一下怎么提取 ART 数据以及制作编程器固件

这个路由器使用的是 VxWorks 系统，其 ART 数据位置自然和 Linux 系统下的不同。

首先用编程器备份固件（可以在 https://www.right.com.cn/forum/forum.php?mod=viewthread&tid=123996 下载）

然后用 WinHex 之类的 16进制编辑器打开。

这个固件的 FLASH 布局如下：

Bootloader	VxWorks	NVRAM	Board_Config
64KB	912KB	32KB	16KB

用 WinHex 定位到最后 16KB 处（000FC000），这里应该是以 rong 开头的


向下到 000FE000，这里开始的6字节数据和从000FE008开始的6字节数据是路由器两个以太网卡(eth0/WAN eth1/LAN)的MAC地址
000FE010 开始的8个字节的字符串是路由器的PIN



然后向下到 000FF010，从这里开始是 ART 数据，以 0x0202 开头，共 0x440 字节（1088 字节）。P.S. ART 数据从第3个字节开始的6个字节是这个无线网卡的MAC地址



将数据写入新 FLASH 中

由于新 Flash 刷 DD-WRT 或 OpenWrt，因此 Bootloader 是 U-Boot。

用 WinHex 新建 8M 的空白文件，全部填充为 FF。

U-Boot 占用 Flash 开头的前 0x20000 字节。

将 第一个 MAC 地址写入 0x1FC00 处，将第二个 MAC 地址写入 0X1FC06处（可选）。
将 PIN 写入 0x1FE00 处。

Linux 下的无线驱动是 ath9k，它要求 ART 数据位于 Flash 的最后 64KB 中。
但是不能直接将 ART 数据写在最后 64KB 的起始位置。ART 数据位于 最后 64KB 起始向下 0x1000 处。

4M Flash 应写在 0x3F1000 处；
8M Flash 应写在 0x7F1000 处；
16M Flash 应写在 0xFF1000处。

写入 DD-WRT 固件

随便找一个 AR9331 芯片的固件写入就行，例如 WR740N v4 的固件。
下载固件后注意如果固件开头数据为"HDR0"，则需将文件头部的前 0x1C 的数据去掉 (主要是 DD-WRT 的 webflash 固件)。
OpenWrt 的 factory 固件和 DD-WRT 的 factory 固件可以直接刷。
真正写入 Flash 的固件是以 01 00 00 00 开头的.
固件写入 Flash 的 0x20000 处。

写入 U-Boot

这个嘛，在论坛里随便找一个 WR703 的 U-Boot 写入即可，但注意不要覆盖掉 MAC 和 PIN。

===================================华丽的分割线===================================

以上步骤都完成后，就可以用编程器将数据写入 Flash 芯片了。

然后开机测试。。。
由于 U-Boot 和固件对应的机型不同，因此路由器的灯都不会亮，但这并不影响使用。

经测试功能全部正常。

唯一个问题是路由器的 WAN 口变成了 LAN1 口，而 LAN1 口变为了 WAN 口。

测试发现是 ag71xx 以太网卡驱动造成的。换成 ag7240_mod 驱动则顺序正常，但无法使用 VLAN 功能。

hackpascal

怎么我刚发表就断网了。。想改两个地方都不行。。

ZHIZAI100

提取ART教程很实用，学习了

星-云

不知这货稳定不？

hackpascal

星-云 发表于 2013-7-10 15:00
不知这货稳定不？

已正常使用一个月

lgb180

这个要的 好技术 顶

wdmcxkjy

楼主，谢谢您的指导~~


我也是WR742N v5.1 ，但改的是32+4.现在刷了不死UBOOT和4M的743V2，OPENWRT。运行正常，但是无线无法开启是什么原因啊？我试了用您的ART刷入了，还是不行！

请指导一下，谢谢啦

hackpascal

wdmcxkjy 发表于 2013-8-26 23:53
楼主，谢谢您的指导~~

这个可以先看一下无线驱动是否正常
方法就是在控制台运行 ifconfig wlan0，看看输出的是不是正常的网络信息，如IP、MAC等
如果有，就表明ART数据是正常的，仍然无法开启无线，则可能是系统的问题。
没有就可能是ART数据位置不对。

另外，我最初使用的是WR741N v4的固件，这个可以正常使用。
现在我已经修改了 OpenWrt 的代码，重新编译出了针对WR742N v5的固件，所有功能都是正常的，除了网线接口 LAN1 和 WAN 对调了。
如果你需要，我可以发一份给你。

你可以把你现在的编程器固件发给我一份，我看看。
我的邮箱是hackpascal@vip.qq.com

wdmcxkjy

hackpascal 发表于 2013-8-30 11:59
这个可以先看一下无线驱动是否正常
方法就是在控制台运行 ifconfig wlan0，看看输出的是不是正常的网络 ...

谢谢您的解答了，我的邮箱是wdmcxkjy@gmail.com，我的是4M的flash。
今天我刷进去官方系统了，能用官方的743NDV2了。有了这个也就能中继了，不一定非得要OPENWRT了呵，但是同样谢谢您的帮忙！

我那个编程器固件是自己乱拼的，应该是问题不少，就放弃它了，但是需的UBOOT部分是那个中文不死版，用它可以随便刷别的，能用上，挺方便的

hackpascal

wdmcxkjy 发表于 2013-8-30 14:06
谢谢您的解答了，我的邮箱是，我的是4M的flash。
今天我刷进去官方系统了，能用官方的743NDV2了。有了这 ...

刷官方固件无线能用就说明ART位置是正确的。

U-Boot居然是中文的。。。我自己用 TP-Link GPL 开源代码编译过 U-Boot，只是是英文版的，我看得懂英文，就没去搞汉化之类的。。
其实U-Boot是不是不死的对我来说都没太大的意义了，因为我的路由的FLASH是可以去下来的，可以直接用编程器修改。

ric2233

wdmcxkjy 发表于 2013-8-26 23:53
楼主，谢谢您的指导~~

请试一试把无线的频道由auto改为其他指定的任意频道

onlyu

谢谢lz，路过留个爪印，方便以后查阅

pla132jw

好贴，记号

六卖神剑

马克一下啊，，

smokman

学习了 这个正需要呢 感谢楼主