Mac Pro 5.1 Rom / Firmware Backup Beschreibung und technischer Hintergrund

[Macschrauber]

Guten Tag,

bislang war ich stiller Mitleser, und habe den ROMDumper aus Neugier ausprobiert und wurde hellhörig: Der Mac ist ein Single von 2012 und hat bislang seinen Dienst komplett störungsfrei gemacht.
Anhang anzeigen 397553
Das war gestern spätabends und trotz mehrfachem Reset plus Netzstecker ziehen, dabei habe ich nie Windows auf dem Mac installiert?!?

Grüße,
Peter

Es genügt einmal einen USB Stick mit einem Windows Installer drauf zu starten um Zertifikate zu bekommen.

Eventuell sogar eine Platte mit einer Windows ESP. Müsste ich fast mal testen...

auf deutsch: Ein Datenträger der mal in einem PC steckte wo ein Windows drauf war und dessen Bootlader (E.fi S.ystem P.artition) gestartet wurde.

Könnte nach einem NVRAM Reset passieren wenn zufällig dieser ESP der erste war der gefunden wurde.

In Tweaks/ESP Tools ist ein Script "Check ESPs for MS Certificates". Dieses mal starten, vielleicht steckt (oder steckte) mal eine Platte/SSD im Mac wo Uefi Windows installiert war.



Hast ne Unterhaltung.

 

[P_Heidenegger]

So sieht die Ausgabe aus: no ESP mounted.

Das scheint mir schonmal im grünen Bereich zu sein.

 

[Macschrauber]

Neue Version vom Dumper (9-5-2023)

Änderung gegenüber letzter hier gemeldeter Version (14-4-2023)


-> die Version von EnableGop erscheint im Filenamen

-> Darstellung des MTC Counter. Ist ein Zähler der bei jedem Boot oder Firmware Systemstart (für full sleep, hibernatemode 25) hochgezählt wird. Indirekt kann man den als Counter für booten der Firmware sehen. Direkt ist das ein Sicherheitsfeature was testen soll ob das Bootlaufwerk ausgebaut wurde und fremdgestartet wird. In unseren gängigen Betriebssystemen wird das so nicht benutzt. Habe Firmwares mit MTC counters in den Tausendern. Wird mit dem NVRAM Reset zurückgesetzt.
Durch diesen Counter kann man indirekt feststellen wie oft der Rechner seit dem letzten löschen der löschbaren NVRAM Variablen gebootet hat und ob der freie Platz in etwa korrekt ist oder nicht.

-> Viele Erweiterungen des CLI Tools welches die Auswertung im Hintergrund macht. Beschreibung ist im Readme. Zum Beispiel kann das CLI Tool Firmware Dumps sinnvoll umbenennen in zum Beispiel: MP51_144.0.0.0.0_H0xxxxxxGWR_rebuilt.bin was bei Dumps mit nichtssagenden Filenamen hilft.

-> Und viele Erweiterungen des CLI Tools im Zusammenhang mit Auswerten von -nicht-Mac-Pros-


Nachwievor wären nicht-Mac Pro-Dumps und die Logfiles vom Dumper und Flashrom hilfreich um den Dumper kompatibel mit mehr Maschinen zu machen. Ein Anfang ist gemacht aber ich brauche noch mehr Material zum Testen und Auswerten.


Link wie immer:
https://www.dropbox.com/s/jh4unzd7gd4n5me/Macschrauber%27s%20CMP%20Rom%20Dump.dmg?dl=0

 

[T_Lang]

Moin moin,
ich bin seit einiger Zeit stiller Mitleser, insbesondere hier und bei anderen den cMP betreffenden Threads. Ich habe seit einiger Zeit einen echten 2012er MacPro hier stehen, den ich vom Vorbesitzer mit der aktuellsten Firmware erhalten habe.

Die Maschine hat 'ne ganze Weile gestanden, da genau ab dem Zeitpunkt, wo ich das Gerät bekommen hatte, die Preise für die RX580 Karten durch die Decke gegangen und vor allem auch keine Karten verfügbar waren...

Mittlerweile habe ich eine unterstützte Karte und habe angefangen, mich mit dem Gerät etwas mehr zu beschäftigen.

Was ich mittlerweile über die Struktur des NVRAMs gelesen habe gibt mir natürlich zu denken. Ich habe daher mal einen Dump gemacht und mir die Inhalte angeschaut. Auffällig war, dass da Microsoft Zertifikate im Flash waren und der zweite VSS gefehlt hatte.

Mit dem guten Gefühl, wenigstens ein Backup zu haben, habe ich dann mal einen Triple-Reset gemacht und siehe da, die Zertifikate waren weg und der zweite VSS da. Trotzdem frage ich mich, ob nicht eine Rekonstruktion des NVRAMs Sinn macht. Diese Frage geht natürlich insbesondere an Hardwareschrauber...

Ich habe es mittlerweile auch riskiert, EnableGOP zu installieren, was anscheinend einwandfrei funktioniert hat.

Viele Grüße,
Torsten

 

[Macschrauber]

… habe daher mal einen Dump gemacht und mir die Inhalte angeschaut. Auffällig war, dass da Microsoft Zertifikate im Flash waren und der zweite VSS gefehlt hatte.

Mit dem guten Gefühl, wenigstens ein Backup zu haben, habe ich dann mal einen Triple-Reset gemacht und siehe da, die Zertifikate waren weg und der zweite VSS da. Trotzdem frage ich mich, ob nicht eine Rekonstruktion des NVRAMs Sinn macht. Diese Frage geht natürlich insbesondere an Hardwareschrauber...

Da hast du aber Glück gehabt. Wenn der zweite Stream leer ist dann kann beim tiefen NVRAM Reset ein Zertifikat raus gehen. VSS2 wird eigentlich nur als Sicherheitskopie genutzt falls beim normalen NVRAM Reset der Rechner abschmiert oder der Strom weg ist. *

Das Zertifikat ist erst mal im ersten Stream, bis bei vollem NVRAM die Garbage Collection läuft und das Zertifikat mit in den zweiten Stream kopiert wird.

* Kann bei einer Unterspannung passieren, bei Netzbelastung während dem Kaltstart, speziell beim oft maroden Stromnetz in den U.S.A.. Denke das ist gelegentlich passiert beim 4.1 der keinen zweiten Stream benutzt und das wurde beim 5.1 hinzugefügt.

Wenn das NVRAM bzw die Firmware schon mal so angeknackst war ist ein Neuaufbau nie verkehrt. Hast ne Unterhaltung.

 

[T_Lang]

Nach allem, was ich hier so gelesen hatte, hatte ich schon ein etwas mulmiges Gefühl, als ich mir den Dump angeschaut hatte. Naja, ich hol' mir jetzt erstmal 'ne Mütze Schlaf...

 

[Macschrauber]

Nach allem, was ich hier so gelesen hatte, hatte ich schon ein etwas mulmiges Gefühl, als ich mir den Dump angeschaut hatte.

Das Wichtigste ist generell ein Backup zu haben. In der Firmware steckt an mehreren Stellen verschiedene IDs die man nicht alle nachvollziehen kann.

Wenn man alle IDs hat dann kann man auch eine völlig verhunzte Firmware mittels chip Tausch oder Matt Card retten.

Die SSN (System Serial Number) ist klar, die LBSN (Logic Board Serial Number) kann man ablesen wenn man den CPU Käfig rausnimmt, aber die SON (Sales Order Number) und das BD (Build Date) muss man erraten bzw aus ähnlichen Chargen Mac Pros nehmen.

Manche refurbished oder reparierte Geräte haben eine previous system serial number drin und dadurch oft einen anderen Hardware Code. Hier ist es ohne Zugriff auf die Apple Server die das verwalten unmöglich den Mac Pro wieder völlig stimmig herzustellen.

Diese Codes sind für die Validierung der Apple Dienste wichtig und werden nach nicht bekannten Mustern ab und an überprüft. Das ist auch der Grund warum man keine Seriennummern veröffentlichen sollte.

 

[Macschrauber]

Microsoft Zertifikate im Flash waren und der zweite VSS gefehlt hatte.

Hab den Dump von @T-Lang bekommen:
So wie erwartet, der Zweite Stream war da, wurde aber durch den beschädigten Header nicht benutzt.

Das war der Grund warum er das Zertifikat löschen könnte. Kein zweiter Stream - kein Lesen des zweiten Streams - also kein zurückschreiben des Selbigen.
Das wurde hier schon mehrmals erwähnt, aber in diesem Zusammenhang ist es interessant. Ein nicht funktionsfähiger zweiter Stream ist selbstredend nicht gut. Durch die forcierte Garbage Collection wird der neu aufgebaut. Ich vermute dass das NVRAM im ersten Stream durch das Zertifikat mal übergelaufen ist und den Header des zweiten Streams überschrieben hat.

Das ist die Zeile im Dumper: Length of 2nd VSS Store is wrong (FF FF FF FF)

Wie schon bis zur Erschöpfung thematisiert: wegen des für diese Firmware völlig unbekannten Zertifikats im NVRAM.

so wäre es in Ordnung mit beiden Streams:

 

[Retroniks]

Link wie immer:
https://www.dropbox.com/s/jh4unzd7gd4n5me/Macschrauber's CMP Rom Dump.dmg?dl=0

Vielen Dank für deine Bemühungen und Erläuterungen. Ich habe nun den gesamten Thread durchgearbeitet und konnte aber keinen der Dropbox-Links dazu bewegen zu funktionieren. Weder unterschiedliche Browser noch einloggen bei Dropbox schafften Abhilfe. Sind die Links nur für eine begrenzte Zeit/Anzahl Downloads gültig? Danke für die Aufklärung

 

[Freeez]

DropBox kommt im Moment nur eine Fehler Meldung -

Das hat aus irgendeinem Grund nicht funktioniert​

 

[Retroniks]

Generell funktioniert Dropbox aber momentan ganz normal. Habe einen kurzen Test-Upload als auch einen Test-Download gemacht, keine Probleme dabei. Deshalb irritierte mich das auch ein wenig...

 

[Macschrauber]

---

 

[thon]

 

[Macschrauber]

Habs mal parallel in die GMX cloud getan

https://c.gmx.net/@899644307915413392/4rwXxVf-S6eqaLKd6hHakw

 

[MacFangio]

Das Problem liegt mit Sicherheit bei Dropbox. Hatte die gleiche Idee und hab die aktuelle Version vom 09-05-23 mal bei Mega raufgeladen, da funzt der Download einwandfrei.

https://mega.nz/file/PVEzyDaQ#VxoiKHHfi7aojZ8pGesWIFcenvVVmyQ590QfJHU2TJw

 

[Retroniks]

Habs mal parallel in die GMX cloud getan

https://c.gmx.net/@899644307915413392/4rwXxVf-S6eqaLKd6hHakw

Besten Dank dafür!

 

[Macschrauber]

Neue Version vom Dumper (17-5-2023)

was ist neu:

-> Mac Pro 6.1 auslesen (dank an @Tzunami)
-> MacBookPro 11,3 (dank an @superart)

-> Verbesserungen beim Erkennen von OpenCore's LauncherOption
-> Verbesserungen beim Überprüfen der VSS Headers

und wieder vieles unter der Haube im Shell Script.

Nachwievor brauch ich Tester die nicht Mac Pros auslesen.



Der Link ist diesmal nicht der alte, die GMX Cloud macht das nicht so wie sie soll beim Überschreiben - und was mit DropBox gerade los ist weiß ich auch nicht :-/ https://c.gmx.net/@899644307915413392/MHRX7WoqSwyaQdudb-fxRw

 

[T_Lang]

Ich habe die neue Version gerade mal auf meinen 2008er MacBook Pro losgelassen. Der wurde als unbekanntes System erkannt. Ist durchaus nicht unplausibel, da es verschiedene Besonderheiten gibt:

• Wirtssystem
  Ich weiß nicht, ob das ggf. eine Rolle spielt: Ich habe das Tool von MacOS 10.6.8 aus laufen lassen, wegen SIP. Auf dem Notebook ist neben 10.6.8 und 10.11.6 noch Windows 7 installiert, mit Boardmitteln war da keine Recovery-Partition für 10.11.6 drin. Wie man die Hybrid-Partitionierung auch mit mehr als vier GPT-Partitionen hinbekommt hatte ich damals nicht gefunden.
• Zustand des MacBook Pro
  Der Rechner ist eine Chimäre, da das erste Mainboard der NVidia Grafikcontroller Krankheit zum Opfer gefallen war und nicht repariert werden konnte. Es ist also ein neues Mainboard drin. Das WLAN-Modul hatte ich mal gegen ein etwas moderneres ersetzt, das auch von neueren MacOS Versionen unterstützt wird.

Der Dump scheint aber trotzdem funktioniert zu haben. Ich muss nochmal drüber schauen.

 

[Macschrauber]

Ich habe die neue Version gerade mal auf meinen 2008er MacBook Pro losgelassen. Der wurde als unbekanntes System erkannt.

Alles was der Dumper nicht eingepflegt hat (der Hardwarecode, die letzten drei oder vier Stellen der Seriennummer) ist ein unbekanntes System. Das ist richtig so.

Wenn ich die Daten bekomme dann kommt dieser Hardwarecode in eine Positivliste sodass keine Meldung über generisches Auslesen und unbekanntes System kommt.

Einen falschen Dump hatte ich noch nie, wenn Flashrom den Firmwarechip erkennt und in seinen Logs die Meldung abgibt dass es korrekt gelesen hat dann war das auch immer in Ordnung.

Genauer kann man unter einem aktuelleren System den Dump überprüfen damit die Prüfsummen auch ausgewertet werden.

 

[Atad]

Nachwievor brauch ich Tester die nicht Mac Pros auslesen.

Hallo @Macschrauber , verstehe ich das richtig, daß der Dumper grundsätzlich auch mit anderen Macs mit Intel als den Mac Pros funktionieren sollte? Ich frage, da ich nicht so tief in der Materie stehe wie Du. Gerne würde ich für dich einen Test mit dem Dumper auf meinem iMac machen, wenn das Sinn macht. Bevor ich da aber etwas falsch mache, und mein iMac danach nicht mehr zu gebrauchen ist, frage ich lieber erst einmal.

Die Daten zu meinem iMac siehst du im Foto. Big Sur mit OCLP. Mit einer externen HDD könnte ich den Test auch mit El Capitan machen, dem letzten System, das den iMac offiziell unterstützt.