Я бы на вашем месте гордился ,далеко не каждая прога заслуживает того ,что бы ее ломали.

_Pasha

Думаю достаточно просто перед самим SPM повторно проверить наличие команды типа WRITE_EN .
У меня за год еще не разу бутлоадер не снес страницу ,а вот фузы - было один раз такое дело,нарерное из за того ,что там выполняемый код гораздо короче.

WRITE_EN - это что за зверь? Код который в SPMCR пишется? Так "запись в младшие пять разрядов регистра SPMCR значений, отличных от 10001, 01001, 00101, 00011, 00001 не вызывает никакого эффекта". Т.е. команда spm и так не запустится. А если это код конкретной операции, и на каждую у вас своя команда spm - это не лучший вариант. ИМХО желательно, чтоб во всей FLASH всего 1 команда spm была - кол-во аварийно опасных при случайном изменении PC команд меньше будет.


Да. Там меньше 45ns нет. Но может и потом появиться - просто атмел приятный сюрприз сделать хочет. А если xmega с периферией на половинной работать будет - кому тогда она нужна? Неужто атмел это не понимает.

Нет ,допустим WRITE_EN - это команда принятая бутом например с компа ,и дает возможность перейти на подпрограмму загрузки и записи страницы флеш ,если ее опять профиксить перед самой SPMSR дающей команду на запись страницы в результате даже если мы случайно туда попадем - записи не будет.


Это Вы мне ?

А как ее пофиксить за 4 такта ?
Если мы просто сравним один байт - этой защите грош цена, т.к. вероятность попадалова практически не изменяется. Если не трудно, проиллюстрируйте.

Дык, по теории - это уже конвеер..


Это фигня и в реальной жизни не спасет на самом деле.
Представьте, что в слуйчайный момент времени, в R16 находится случайное значение
и происходит случайный прыжек на sequence
OUT SPMCR, R16
SPM
и страница флеш отъехала.

Вывод - по настоящему защититься от слета флеш памяти можно:
1. удалив из кода все SPM команды.
2. проверять целостность программы и восстанавливать ее.

Часть темы вынес сюда:
http://electronix.ru/forum/index.php?showtopic=43447&hl=

Дык я поэтому такой оптимистичный, что R16 перед этим колбасили так, что правильной команды spmcr не дождется



Нет,понятно, что лучшее средство от седины - это лысина. Вопрос только о снижении вероятности налета на разрешенный spm. Т.е. юзать 4-х тактовый зазор.

Вот теперь понимаю свой просчет. Наверное, аукнется. Надо было, к примеру так:


Короче, жаль, что 1 такт съелся переходом
А еще можно привязаться, например, к тикающему таймеру. И пытаться код команды в SPMCR считать оттуда.

2 bodja74: Спасибо, мне все ясно.

2 all: Вот я считаю, что при соблюдении вышеозначенного порядка действий и достаточной сложности (вопрос открытый) инициализации вероятность налета на грабли можно снизить. Конкретнее скажу после инъекций забытой теории вероятности.

P.S. Насчет безопасного формата данных cpi Rd,K - отдельное спасибо. Вот в пиках, например, такая фича архитектурой задана.

Сообщение отредактировал _Pasha - Feb 16 2008, 07:22

[
А Вы что ? Когда пишите программу не утруждаете себя детальнейшим изучением архитектуры MCU, одной из составляющей которой является система команд процессора..А?

Я например не напишу ни строчки кода пока не буду уверен, что досконально понимаю архитектуру MCU


А я случайные джампы ловил.. Достаточно потрыкать пьезозажигалкойс присоединённым в её "жалу" проводом


Писал же уже выше...Но Вы видно не читатель..Повторю для Вас:

OUT R17 , SPMCR
;---------------
SBRS R16 , 7 ; Проверяем флаг запроса на запись
RJMP CRASH
;-----------------
SPM

Дык Вы тоже не читатель, получается. BTW, интересно Ваше мнение по поводу написанного мной чуть выше.

когда девайс слетает, и стоишь перед фактом ехать в командировку в мухосранск , оптимизм быстро пропадает...
На удачу в таких случаях лучше не надеяться, шанс получить "правильное" значение для spmcr ничуть не меньше шанса "неправильного" значения.

1. А если мы попадем уже после этой самой проверки?
2. Команду на запись страницы во FLASH не запись в регистр SPMSR даёт, а команда spm. Запись в регистр SPMSR влияет только на то, что по spm делаться будет.

Вот:

Пример кода там-же.
Конечно если вы вероятность срабатывания защиты в 99.9999523% и в грош не ставите - тогда я пас.

А если подумать головой?

RJMP CRASH
;--------------
Input_in_Code_Writing :
OUT R17 , SPMCR
;---------------
SBRS R16 , 7 ; Проверяем флаг запроса на запись
RJMP CRASH
;-----------------
SPM


Т.е. чтобы записать страницу мало того нужно войти в процедуру в строго определённой точке... Да плюс к тому ещё нужно чтоб флаг разрешения записи (не аппаратный, а программный) был выставлен.

А его выставляет совсем другой поток. И он(этот флаг) автоматом сбрасывается по тайм-ауту..

Так что....Ещё раз повторю: думать надо прежде чем писать программу


В корне не согласен. Чтоб вероятность того, что одновременно в некотором байте будет записано строго определённое число (которое к тому же записывается туда на короткое время) и то что проц прыгнет точно в точку входа в процедуру записи мизерна (конечно если программу правильно спроектировать)

Вот именно, думайте, думайте и еще раз думайте. Ваш код тоже не дает 100% гарантии защиты от перетирания флеша.
При случайном прыжке расклад регистров тоже случайный! Вы почему-то это упускаете из виду.

вероятность того что программный флаг при случайном прыжке взведен - 50%.

В принципе согласен. Только я бы переписал это так:
RJMP CRASH
;--------------
Input_in_Code_Writing :
OUT R17 , SPMCR
;---------------
CPI R16 , 1<<7 ; Проверяем флаг запроса на запись
BRNE CRASH
;-----------------
SPM
В этом случае вероятность срабатывания защиты в 128 раз повышается. См. мой предыдущий пост. А тактов - столько-же.

А если проверять перед записью не один регистр, а два, то вероятность случайной записи можно уменьшить в 65536 раз

Пример код

RJMP CRASH
;----------------
OUT SPMCR , R16
;----------------------
; Проверяем, а допустима ли запись
CP R17, R18 ; 2 контрольных регистра разрешения записи
BREQ PC+0x02
RJMP CRASH
;-----------------
SPM

Вот и посчитаёте: какова вероятность, что в обоих регистрах R17 и R18 будет записано одно и тоже число


Т.е. из-за 99,99% Вы и напрягаться не будете , чтоб подумать?


Это как написать программу, можно вообще сделать 100%. А у меня это вероятность менее 1%


Вот вот... И я про тоже.... Как замаячит такая перспектива я лучше "сломаю голову" над программой сидя дома за письменным столом, чем потом кайфовать где-нибудь на Таймыре или Чукотсуом полуострове срочно исправляя глючащее устройство


Потому что заказчику не объянишь, что это мол я не сделал ни каких программных защит-ловушек из -за того, что это: "слижком сложно", что "СИ-компилятор не поддерживает такие конструкции"

Но зато "счастливого" владельца глючящего девайса можете утешить тем, что программа написана на языке высокого уровня СИ (во крута ) и что она переносима и не привязана к конкретным архитектурным особенностям данного процессора