desktop

TV Debugging Tool

La primera diferencia se muestra en el OFFSET 0x1B8
Y la última en 0x423E
D@rkbytes dijo:
Si el programa que usas para eso, graba datos de cabecera, entonces sería normal.
Puede ser la fecha o cualquier otra cosa la que agrega.
Hacer clic para expandir...
Estoy grabando con Mstar Dump Extractor v4.1
Pero sucede lo mismo con cualquier software que use.
 
Pues no debería de pasar, de hecho a mí eso no me sucede, de notar eso ya hubiera buscado el motivo, ya que los datos de cabecera son importantes, porque ahí se encuentra la información del MBR.
Comprueba que tu memoria USB no tenga sectores dañados, y de cualquier forma realiza una reparación.
 
D@rkbytes dijo:
los datos de cabecera son importantes, porque ahí se encuentra la información del MBR.
Hacer clic para expandir...
Así mismo es, pero esto me pasa hace tiempo como comentaba en post anterior, que yo tenía un dump del cual había leído el MBR y lo había guardado, y después copiaba el dump completo en un pendrive y cuando leía el MBR tenía diferencias en el comienzo, y esto me ponía escéptico
para usar ese dato con diferencias al original, en ese entonces la escritura y lectura la hacía mayormente con eFixerTool y también con imageUSB v1.5.
Y los pendrive he usado varios con el mismo resultado, y este que ahora tengo es nuevo.
Nota: Esto siempre lo he notado con Realtek.
 
Otro detalle no menos importante es que cuando la memoria ya tiene copiado el dump de Realtek como imagen RAW, cuando quiero formatear el pendrive, con windows no me lo permite, con la aplicación Mstar Dump Extractor, aunque dice que está formateada cuándo vas a mi PC la memoria no tiene formato todavía.
Y cuando reviso con DiskGenius todavía están las particiones del dump de Realtek.
Yo como hace tiempo que lidio con estos problemas, siempre tengo un backup del máster boot récord MBR de el pendrive y se lo copio, de esa forma recupero el formato del pendrive.
He querido subir fotos de los procesos que te comento pero mi internet es frustrante, y no me suben las imágenes. :mad:
 
Estas son imágenes resumidas del intento fallido de dar formato en FAT32.
D@rkbytes dijo:
Para esos casos yo siempre uso DiskPart, ya hasta me sé el proceso de memoria. 😄
Hacer clic para expandir...
Yo tengo menos práctica :LOL:

Mantuve el pendrive en formato FAT32 y copié el dump en ella, y la comparación sigue mostrando diferencias.
 

Adjuntos

  • 20241207_153014.jpg
    20241207_153014.jpg
    290 KB · Visitas: 8
  • 20241207_153231.jpg
    20241207_153231.jpg
    200.8 KB · Visitas: 8
  • 20241207_153456.jpg
    20241207_153456.jpg
    171 KB · Visitas: 8
Ya hice la prueba y los primeros 512 bytes siempre se mantienen intactos.
Insertando, copiando, moviendo y eliminando archivos, nunca cambió la cabecera en ningún formato.
Hice la misma prueba con un volcado RealTek de 8 GB y tampoco se modifican los primeros 512 bytes.
En las pruebas expulsaba y volvía a insertar la memoria, ya que mi sospecha era que fuese Windows el que modificaba la cabecera tratando de leer la unidad, pero no.
Y es que el MBR en RealTek es EFI, pero como el sistema de archivos es EXT4 por eso Windows no puede leer las particiones.
¿No será que tu PC tiene un virus?
 

Adjuntos

  • MBR.jpg
    MBR.jpg
    73.8 KB · Visitas: 3
Te recomiendo que primero realices un análisis exhaustivo de los sectores de inicio UEFI de todos los discos del sistema y de las unidades que has insertado.
Posteriormente uno general dependiendo de los resultados.
 

Adjuntos

  • UEFI_Scan.jpg
    UEFI_Scan.jpg
    89 KB · Visitas: 9
Aquí adjunto dos fragmentos del encabezado del dump, el que está en el escritorio de la pc, y el que grabé en el pendrive, es hasta ese punto donde generalmente se muestran las diferencias .
El que dice original es el del escritorio.
 

Adjuntos

  • Comparacion.7z
    848 bytes · Visitas: 6
OK. Con esos archivos que enviaste ya tengo una idea más clara de lo que puede estar pasando, pero hay que comprobarlo.
Para esto debes realizar los siguientes pasos usando DiskPart.

1.- Ejecutar CMD en modo administrador.
2.- escribir: "diskpart" y presionar Enter/Intro.
3.- Cuando se inicie DiskPart, escribir: "list disk" y presionar Enter/Intro
4.- Aparecerán las unidades/discos enumerados, selecciona el que corresponda con la capacidad de la memoria USB/Pendrive.
Ejemplo: "select disk 3" y presionas Enter/Intro, se mostrará "El disco 3 es ahora el disco seleccionado."
5.- Escribir "clean" y presionar Enter. Aparecerá "DiskPart ha limpiado el disco satisfactoriamente."
6.- Ahora escribir "create partition primary" y presionar Enter. Debe aparecer: "DiskPart ha creado satisfactoriamente la partición especificada."
7.- Ahora escribes "format fs=fat32" o "format fs=ntfs", o el formato que requieras y presionas Enter.
En esta parte yo suelo usar el comando "quick" que es el de formato rápido, pero esto solo borra la tabla de particiones y no el contenido.
Así que tendrás que esperar porque en bajo nivel es más tardado, pero de lo que se trata es dejar limpia la unidad.
Después de esto ya debe quedar lista la unidad y se podría considerar que limpia.
Si no aparece la unidad en el explorador de dispositivos, escribe "assign" y presionas Enter.
Para salir de DiskPart se escribe "exit" o simplemente cerrar la consola.

Bueno, esto es a nivel básico, yo haría otra cosa...
Con un editor hexadecimal como el HXD y en modo administrador, abrir la unidad en modo escritura.
Si quieres puedes copiar el MBR, que es hasta el sector 13 (0x19FF) o 6655 bytes, donde termina con el segundo 0x55AA
Tú ya lo has hecho pero no es importante copiarlo porque un formateo lo recupera.
Lo ideal es seleccionar todo un bloque de por ejemplo: 1 GB (0x40000000) desde 0x00 y escribirlo con ceros.
Guardas los cambios, extrae la unidad, y cuando la insertes Windows te pedirá que la debes formatear.
Procede a formatear la unidad, vuelve a abrirla con el editor hexadecimal y verás que esos datos ya no deben estar.
Si vuelven a aparecer, me parece que sí tendrás que preocuparte, porque posiblemente tu PC tiene un virus de MBR.
 
D@rkbytes dijo:
Si vuelven a aparecer, me parece que sí tendrás que preocuparte, porque posiblemente tu PC tiene un virus de MBR
Hacer clic para expandir...
Si fuera el caso tengo que ver como eliminar ese supuesto virus, pues nunca lo he hecho en el sector de arranque, por lo menos no de forma consciente, pues yo solo le doy escanear y el antivirus hace lo suyo.
Luego eso de que es virus y que no es, ya es un poco complicado, aquí mismo tengo una supuesta cuarentena de dos virus en aplicaciones, una es el G:LOL:ownloader III V2.117 y la otra es el Mtk Boot Extractor, la que desarrollaste :LOL::LOL::ROFLMAO: ahora dime tu si no es increíble?
Y en la cadena de herramientas del Rt809h también te marca la aplicación de extraer el bootloader del firmware Mstar, yo le tengo puesto exclusiones al antivirus, empezando por el Rt809h.
Mira el mes pasado lo que me puso en cuarentena, y como vi que los accesos directos se habían quedado inactivos, tuve que volver a activar los ejecutables en sus respectivas carpetas.
Si te fijaste en la comparación de los archivos, el archivo que se copia en la memoria, lo que le ocurre es que repite datos en otra dirección.
Por ejemplo el original, tiene un dato X, en una dirección y el que está en el pendrive tiene el dato en esa misma dirección, y lo duplica en otra, que en el original está probablemente en 0.
Que locura. 😵‍💫
 

Adjuntos

  • 20241208_000517.jpg
    20241208_000517.jpg
    257.5 KB · Visitas: 4
  • 20241208_000456.jpg
    20241208_000456.jpg
    217.6 KB · Visitas: 4
Última edición:
Bueno, pero es que es diferente un virus de sistema a uno de MBR, aunque primero se aloja en el disco, ya en el MBR el mismo programa del virus lo puede eliminar para no dejar rastro.
Y lo que algunos malos AV muestran como virus en aplicaciones que no lo son, son tan solo las protecciones que suelen usarse para que un programa no pueda ser descompilado, o al menos hacerlo más complicado.
Y es que como los programadores de virus las han usado, los AV meten a su base de datos la firma y el algoritmo de detección que los usuarios envían.
Por ejemplo, el compresor de ejecutables UPX, que es muy bueno en este aspecto, ya no se puede usar para proteger una aplicación, porque de inmediato se detecta, aparte de que su descompresor viene incluido por defecto.
Por eso dejé el NOD32 y me pasé al ESET Smart Security Premium, que aunque es de la misma empresa, es mucho más avanzado y tiene una detección más confiable de firmas, si no, todos mis programas los confundiría con un virus después de protegerlos.
Aparte, tendría que realizar una gran exclusión tras un formateo.
 
D@rkbytes dijo:
Bueno, pero es que es diferente un virus de sistema a uno de MBR, aunque primero se aloja en el disco, ya en el MBR el mismo programa del virus lo puede eliminar para no dejar rastro.
Y lo que algunos malos AV muestran como virus en aplicaciones que no lo son, son tan solo las protecciones que suelen usarse para que un programa no pueda ser descompilado, o al menos hacerlo más complicado.
Y es que como los programadores de virus las han usado, los AV meten a su base de datos la firma y el algoritmo de detección que los usuarios envían.
Por ejemplo, el compresor de ejecutables UPX, que es muy bueno en este aspecto, ya no se puede usar para proteger una aplicación, porque de inmediato se detecta, aparte de que su descompresor viene incluido por defecto.
Por eso dejé el NOD32 y me pasé al ESET Smart Security Premium, que aunque es de la misma empresa, es mucho más avanzado y tiene una detección más confiable de firmas, si no, todos mis programas los confundiría con un virus.
Hacer clic para expandir...
Antes solo tenía el windows defender, pero después que el informático le dio formato nuevamente al windows, dejó instalado el nod32.
Yo tengo un instalador de un antivirus 360TS que no se que tal será.
 
Todos los AV tienen sus pros y sus contras, pero Avast y McAffe son pésimos, de ese 360TS he oído pero tampoco lo he usado ni visto instalado.
Suponiendo que hagan buen trabajo, te dejan sin RAM y con un uso excesivo de disco, y si a esto le sumas usar Chrome, la cosa empeora.
Los de ESET tienen un sistema bastante bueno y transparente, no se nota que tienes un AV instalado, y si lo configuras para no molestar, pues qué mejor.
Lo que no me gusta mucho es el marco verde alrededor del navegador, pero en las películas se ve curioso.
Lo que sí es que realiza un buen trabajo en tiempo real y bloquea cualquier acceso sospechoso o reconocido.
Yo no le pongo AV a las Laptop o PC de los clientes, eso lo dejo a su elección por asuntos de licencia, pero sí les digo que Windows ya viene con el Defender y que funciona aceptablemente, siendo también transparente.
 
D@rkbytes dijo:
Lo ideal es seleccionar todo un bloque de por ejemplo: 1 GB (0x40000000) desde 0x00 y escribirlo con ceros.
Guardas los cambios, extrae la unidad, y cuando la insertes Windows te pedirá que la debes formatear.
Procede a formatear la unidad, vuelve a abrirla con el editor hexadecimal y verás que esos datos ya no deben estar.
Si vuelven a aparecer, me parece que sí tendrás que preocuparte, porque posiblemente tu PC tiene un virus de MBR
Hacer clic para expandir...
Buenos días estimado D@rkbyte.
Una pregunta, un pendrive ya formateado solo debe tener datos en el sector "0"?
Este pendrive que es de marca philips tiene 61.439.999 sectores según el PROGRAMA HXD, y en una copia del MBR que le realicé siendo este nuevo con el programa eFixerTool, esta copia tomó todo 1GB, por lo que si reviso encuentro que hay datos distribuidos por toda esa zona, ¿es correcto tener datos en una zona tan amplia, con tantos sectores?
Ahora después de dar formato con DikPart solo debo tener datos en el sector "0"?
Todos los demás sectores deben estar en "0"?
 
omar fernandez dijo:
Una pregunta, un pendrive ya formateado solo debe tener datos en el sector "0"?
Hacer clic para expandir...
Eso depende mucho del tipo de formato, por ejemplo, en unidades de memoria USB de baja capacidad, digamos que hasta 8 GB, solo el sector 0 o los primeros 512 bytes contienen datos, que son del MBR, y en unidades de mayor capacidad el formateo puede crear una copia sectores más adelante.
omar fernandez dijo:
Este pendrive que es de marca philips tiene 61.439.999 sectores según el PROGRAMA HXD, y en una copia del MBR que le realicé siendo este nuevo con el programa eFixerTool, esta copia tomó todo 1GB
Hacer clic para expandir...
Los datos del MBR no ocupan tanto espacio, como te he dicho, son solo 512 bytes, 1 GB es sumamente excesivo para una copia del MBR.
omar fernandez dijo:
¿Es correcto tener datos en una zona tan amplia, con tantos sectores?
Hacer clic para expandir...
Sí, claro, y en otros sectores más, aunque el dispositivo sea nuevo.
Se supone que de fábrica deben estar formateados en bajo nivel, pero las pruebas de calidad finales pueden dejar datos que no afectan.
omar fernandez dijo:
Ahora después de dar formato con DiskPart solo debo tener datos en el sector "0"?
Hacer clic para expandir...
Eso ya lo preguntaste y ya lo respondí.
omar fernandez dijo:
¿Todos los demás sectores deben estar en "0"?
Hacer clic para expandir...
Cuando el formateo es a bajo nivel, sí, cuando se realiza un formateo rápido, no.
En los discos es inverso a las memorias, las memorias nuevas suelen venir con 0xFF, pero en los discos nuevos, con 0x00
Los sectores marcados como dañados suelen escribirse con 0xFF, mientras que los sectores nuevos o con formato reciente en bajo nivel suelen contener 0x00
Pero no es una regla, ya que esto depende de la aplicación de formateo y del estado del disco.
 
D@rkbytes dijo:
Eso depende mucho del tipo de formato, por ejemplo, en unidades de memoria USB de baja capacidad, digamos que hasta 8 GB, solo el sector 0 o los primeros 512 bytes contienen datos, que son del MBR, y en unidades de mayor capacidad el formateo puede crear una copia sectores más adelante.

Los datos del MBR no ocupan tanto espacio, como te he dicho, son solo 512 bytes, 1 GB es sumamente excesivo para una copia del MBR.

Sí, claro, y en otros sectores más, aunque el dispositivo sea nuevo.
Se supone que de fábrica deben estar formateados en bajo nivel, pero las pruebas de calidad finales pueden dejar datos que no afectan.

Eso ya lo preguntaste y ya lo respondí.

Cuando el formateo es a bajo nivel, sí, cuando se realiza un formateo rápido, no.
En los discos es inverso a las memorias, las memorias nuevas suelen venir con 0xFF, pero en los discos nuevos, con 0x00
Los sectores marcados como dañados suelen escribirse con 0xFF, mientras que los sectores nuevos o con formato reciente en bajo nivel suelen contener 0x00
Pero no es una regla, ya que esto depende de la aplicación de formateo y del estado del disco.
Hacer clic para expandir...
Esto es el resultado después de dar formato con Diskpart como explicaste que debía hacer.
Esto es una muestra de datos que aparecen dentro de un bloque de 1GB.
EL sector "0" tiene sus datos, pero hay algunos datos en otros sectores también.
En los archivos, .bin que adjunto en el comprimido le pongo la dirección en donde aparecen datos, todo lo demás excepto el sector "0" y los archivos que copié en otras zonas dentro del bloque de 1GB están en 0 sus datos.
 

Adjuntos

  • Formato con DiskPart.7z
    967 bytes · Visitas: 6
Pues sí, todo se ve normal, como dije, no es una regla que todos los sectores después del MBR queden en 0x00 porque eso depende del estado del disco.
Si quieres realiza un análisis de la unidad con CheckDisk.
Igualmente, ejecuta CMD en modo administrador y escribe lo siguiente: chkdsk X:/f/r
Donde X es la letra asignada a la unidad a analizar.
Con esos comandos se analiza la unidad para recuperar datos en sectores dañados y tratar de repararlos.
 

Temas similares

D@rkbytes
Mediatek TV Boot Extractor
Respuestas
4
Visitas
3K
D@rkbytes
D@rkbytes
D@rkbytes
Paquete de aplicaciones para la reparación de SMART TV
2
Respuestas
22
Visitas
5K
omar fernandez
O
D@rkbytes
MStar ISP Utility como alternativa a RT809F/H
2
Respuestas
30
Visitas
6K
D@rkbytes
D@rkbytes
D@rkbytes
Reparador de Dumps (TV Chinos no Smart)
2 3 4
Respuestas
72
Visitas
17K
osmelfb5
O
D@rkbytes
Cómo cambiar el Logotipo, tipo de Panel LCD y Control Remoto en TV Smart (SoC Mstar)
2
Respuestas
23
Visitas
8K
D@rkbytes
D@rkbytes
Atrás
Arriba