淘到一块二手FPGA矿卡,如何用JLink和TopJTAG边界扫描快速搞定引脚定义?
二手FPGA矿卡逆向实战:用JLink+TopJTAG破解引脚定义全流程
最近在二手市场淘到一块Xilinx XC7K325T矿卡,卖家坦言这是当年矿机拆机的算力板,除了基本接口描述外没有任何技术资料。面对这块没有原理图的"黑盒"板卡,最头疼的问题就是如何确定FPGA引脚定义——总不能真用热风枪拆芯片吧?好在JTAG边界扫描技术给了我们非破坏性解决方案。下面就以这块矿卡为例,手把手演示如何用JLink调试器和TopJTAG软件完成逆向工程。
1. 硬件准备与环境搭建
这块XC7K325T矿卡的JTAG接口是标准的2.54mm 14Pin排针,但引脚排列并非常见顺序。用万用表蜂鸣档先确认了VCC、GND后,根据JLink接口定义完成了如下连接:
| JLink引脚 | 矿卡JTAG引脚 | 信号类型 |
|---|---|---|
| 1 (VTref) | 1 | 参考电压 |
| 3 (TMS) | 7 | 模式选择 |
| 5 (TDI) | 9 | 数据输入 |
| 7 (TDO) | 11 | 数据输出 |
| 9 (TCK) | 5 | 时钟信号 |
| 4 (GND) | 2 | 地线 |
注意:不同板卡的JTAG引脚可能完全不同,建议先用万用表确认VCC和GND,再通过边界扫描功能反向验证TMS、TCK等信号线
安装TopJTAG Probe软件时有个小技巧:如果直接使用官方安装包可能会遇到驱动签名问题。更稳妥的做法是:
- 先安装Segger官方JLink驱动
- 手动解压TopJTAG绿色版
- 以管理员权限运行DriverSetup.exe安装兼容驱动
连接完成后,在TopJTAG中扫描到的BSDL文件显示这颗FFG676封装的芯片共有400个可用IO,但实际板卡只引出了不到50个引脚。这说明我们需要重点关注已连接外设的引脚。
2. LED引脚扫描实战
板卡上有四颗贴片LED,通过以下步骤定位其对应引脚:
- 在TopJTAG中执行"Boundary Scan"→"Pin Mapping"
- 选择所有IO端口进行连续采样(采样频率设为1kHz)
- 用镊子依次短接LED两端,观察信号变化
很快发现四个引脚在短接时呈现明确的高低电平跳变:
- LED1: BANK13_IO25 (持续高电平,短接变低)
- LED2: BANK13_IO24 (持续高电平,短接变低)
- LED3: BANK13_IO23 (持续低电平,短接变高)
- LED4: BANK13_IO22 (持续低电平,短接变高)
有趣的是,同组LED的驱动电平居然不同。后续用示波器确认这是设计者故意为之——LED1/2串联了1K电阻到3.3V,LED3/4串联电阻到地。
3. 按键与串口引脚识别技巧
三颗轻触按键的扫描需要更精细的操作:
# TopJTAG脚本示例:自动检测按键引脚 for pin in all_io_pins: set_sample_rate(pin, 10kHz) # 提高采样率捕捉按键抖动 enable_interrupt(pin) # 启用边沿触发检测 while True: changed_pins = get_triggered_pins() for pin in changed_pins: print(f"按键动作检测到引脚{pin}状态变化")按住不同按键时,三个引脚呈现明显特征:
- KEY1: BANK14_IO12 (按下时低电平)
- KEY2: BANK14_IO11 (按下时低电平)
- CONFIG: BANK14_IO10 (按下时高电平)
串口引脚识别则利用了CP2102芯片的特性:在未通信时TX保持高电平,RX浮动。通过以下方法确认:
- 断开USB转串口连接
- 扫描所有引脚找到唯一持续高电平的BANK15_IO33(UART_TX)
- 连接USB后,该引脚出现数据波形时,相邻BANK15_IO34出现同步变化(UART_RX)
4. 生成XDC约束文件
将扫描结果转换为Xilinx约束文件时,有几个易错点需要注意:
# 正确写法:包含Bank电压标准 set_property PACKAGE_PIN G20 [get_ports led1] set_property IOSTANDARD LVCMOS25 [get_ports led1] # BANK13电压为2.5V # 错误示范:遗漏电压标准会导致Implementation错误 set_property PACKAGE_PIN H19 [get_ports led2]时钟引脚的处理更为特殊,因为板载200MHz差分时钟需要特殊约束:
set_property PACKAGE_PIN AA10 [get_ports clk_p] set_property PACKAGE_PIN AB10 [get_ports clk_n] set_property IOSTANDARD DIFF_SSTL12 [get_ports clk_p] set_property IOSTANDARD DIFF_SSTL12 [get_ports clk_n] create_clock -period 5.000 -name sys_clk [get_ports clk_p]最终完成的约束文件包含42个有效引脚定义,覆盖所有外设接口。实测烧录测试程序后,LED、按键、串口等功能全部正常,验证了边界扫描结果的准确性。
5. 高级技巧与异常处理
在扫描过程中遇到过几个典型问题及解决方案:
问题1:采样结果不稳定
- 现象:引脚状态随机跳变
- 排查:检查JTAG连接线长度(应<15cm)
- 解决:在TopJTAG中启用信号滤波功能
问题2:部分引脚无法识别
- 现象:某些外设对应的引脚始终无变化
- 排查:确认外设是否被FPGA配置禁用
- 解决:先烧录空bitstream确保所有IO处于高阻态
问题3:电源干扰导致扫描失败
- 现象:边界扫描时FPGA意外复位
- 排查:示波器检查12V电源纹波(矿卡电源设计较简陋)
- 解决:在12V输入并联470μF电解电容
对于更复杂的BGA封装芯片,可以结合Xilinx文档中的"Pinout Tables"进行交叉验证。例如XC7K325T的Bank14大部分引脚支持HR(High Range)IO标准,而Bank13只能支持HP(High Performance)标准,这个特性可以帮助我们确认引脚分配是否合理。
经过两周的反复测试,这块150元的矿卡已经成功运行起MicroBlaze软核,并通过自定义IP核实现了算力测试功能。边界扫描技术不仅节省了逆向时间,更避免了硬改风险——现在想来,如果当初贸然拆焊FPGA芯片,这块板子恐怕早就报废了。