Hanshow Stellar-M ESL Proprietary 2.4G Protocol Analysis Part 2

在做出任何分析之前,我先提供下本文章所用到的原始文件:

描述下载
Periodic Beaconhb.csv
ESL Initinit.csv
Download (AT 0.0s)dl-0.csv
Download (AT 7.17128s)dl-1.csv
Download (AT 21.7058s)dl-2.csv
Download (AT 28.6028s)dl-3.csv
Download (AT 38.8901s)dl-4.csv

上一篇文章提及了,ESL 的唤醒包长度为 2 bytes,从观测官方基站通信行为来看,基站会不停的发射唤醒包(数据不停的变化),大约持续发射 12s 左右。下图对比了两次唤醒包。

两次唤醒包对比(SPI 抓取)

从上图看出,两次唤醒包的数据分别为 0xA5A8 和 0xA81D 。然后唤醒包后紧跟的正式唤醒时间分别是 7.17128s 和 10.2873s 。由此看出,唤醒包数据很有可能是计数器或者是时间。

假设忽略开头的 A ,0x5A8 就是 1448 , 0x81D 就是 2077 。都除以 200 得出 7.24 和 10.385 。接收到唤醒包到正式唤醒的时间差是 7.17128 和 10.2873 。仅从这两个包的情况来看,误差很小,很有可能是正确的,当然还需要更多样本进行确认。


根据新的资料, Beacon 包的格式可能可以多解析一项, byte 1 ,为标签硬件型号。

更新后的 Beacon 格式如下:

BytesExample 1Example 2Function
0C00CUNKNOWN
14040ESL TYPE
25050RECEIVER ID BYTE 1
34141RECEIVER ID BYTE 2
48381RECEIVER ID BYTE 3
56666RECEIVER ID BYTE 4
65350ESL ID BYTE 1
7A4C4ESL ID BYTE 2
8FE23ESL ID BYTE 3
90A0BESL ID BYTE 4
10A1A1CHANNEL ID
112231UNKNOWN
121E21VOLTAGE
130000UNKNOWN
14BA61CRC-16/XMODEM LOW BYTE
15A349CRC-16/XMODEM HIGH BYTE
ESL Periodic Beacon Format

ESL Type 0x40 代表的应该是 Stellar-M 黑白屏幕, MSP430, A7106 的硬件。其他型号的硬件编号待整理。

Hanshow Stellar-M ESL Proprietary 2.4G Protocol Analysis Part 1

最近在网上看到有人卖垃圾电子墨水价签,个位数人民币一个,看上去还不错,就买了一堆。

Hanshow Stellar-M

网上能搜索到一些关于这个价签的资料,已经有人尝试自己重写 MSP430 固件的方法把它用了起来,也有人直接拆了 EPD 出来自己画驱动板来使用,不过并没有关于原厂固件下私有 2.4G 通信协议的资料。

为了更方便的使用这些灵车 ESL,我们几个小伙伴一拍即合,开始了对这个无线协议进行逆向工程。由于我这里没有能调试 MSP430 的调试器,所以固件导出、分析的工作就交给了别人。而我,则先开始对 ESL 的空口进行分析。

Use Logic Analyzer to sniff the SPI between MSP430 and A7106

首先,我们先用逻辑分析仪抓取了无线芯片初始化的流程,了解了私有协议的工作频率,速率,模式等。给我们向 ESL 下发数据提供的基础参数。

RX 频率2480.5Mhz
RX 速率500Kbps
RX 调制方式FSK
RX 窗口每 8192ms 有 3ms 接收窗口
IO10:待机;1:发射或接收
IO20:待机;1:收到数据且 ID 正确

之后,经过长时间抓取 SPI 总线,发现了 ESL 每隔大约 180 秒会对外向特定 ID 发射包含自身接收消息使用的 ID 的消息。抓取多个 ESL 的 SPI 后,发现发送时设置的 ID 是相同的。

Second frame received at ~182.6s

之后,设置抓 SPI 的示波器触发为看到启用发射模式的命令,同时使用它的触发输出,去触发另一台示波器。另一台示波器直接接 A7106 的 RF 输出口。

采集到原始 RF 信号后,对数据进行 FFT,可以看到发射频率中心在 2.401Ghz 左右。然后将数据导入 GNU Octave,把 2.401Ghz 信号 DDC 到 0Hz,把 20GSps 信号 Decimate 到 10MSps,然后导出 IQ。然后将 IQ 数据导入 Universal Radio Hacker 进行 Demodulation 和分析。

原始数据可以(点击下载),HDF5 格式,可以 Matlab 或者 GNU Octave 进行处理和分析。不想预处理数据想直接用 URH 来玩的可以(点击下载)处理后的数据。

Universal Radio Hacker

从 URH 得到的数据和分析 SPI 总线预测的数据相同,格式相同。

接下来使用 URH 构造了一个 ID 和 Checksum 正确的数据,使用 USRP 将数据发给了 ESL。ESL 在被 A7106 唤醒后,会直接清除掉触发,然后设置 RX 长度为 2,重新进入 RX 模式等待数据。

在再一次构造了一个 Payload 长度 2 Bytes 的数据后,在合适的窗口发送了两遍,可以看到 ESL CPU 使用 SPI 从 A7106 将第二遍的数据 Payload 取回。

Successfully make MSP430 to get RF data from A7106 RX FIFO

接下来就需要猜测这两个 Bytes 的作用了。目前的思路一个是 Fuzz 数据,然后看行为。但是芯片的 RX Window 很窄,导致如果要这么测试需要很多设备的配合。比如示波器做 SPI 关键词触发,找到 RX Window,然后控制 USRP 发射数据,接下来观测 SPI 上是否有进一步行为。如果没有,控制电源断电重新上电,再次测试。另外的思路就是逆向分析固件。因为根据目前分析的一些行为,可以很容易在固件中找到对应特征,找到对应的 Subroutine。目前固件已经成功 Dump 出,有小伙伴已经开始逆向。


目前来说,已经大致搞清楚了每 3 分钟的 Beacon 的格式,如下:

BytesExample 1Example 2Function
0C00CUNKNOWN
14040UNKNOWN
25050RECEIVER ID BYTE 1
34141RECEIVER ID BYTE 2
48381RECEIVER ID BYTE 3
56666RECEIVER ID BYTE 4
65350ESL ID BYTE 1
7A4C4ESL ID BYTE 2
8FE23ESL ID BYTE 3
90A0BESL ID BYTE 4
10A1A1CHANNEL ID
112231UNKNOWN
121E21VOLTAGE
130000UNKNOWN
14BA61CRC-16/XMODEM LOW BYTE
15A349CRC-16/XMODEM HIGH BYTE
ESL Periodic Beacon Format

其中 RECEIVER ID 和 CHANNEL ID 用于从基站给 ESL 的下行通信,A7106 会使用 RECEIVER ID 去 Filter RX 数据,CHANNEL ID 为 下行频率,计算方法为 2400Mhz + 0.5Mhz * CHANNEL ID。然后 ESL ID 为标签硬件序列号的后十位数字转换成 HEX 的结果。VOLTAGE 为电池电压,直接从 HEX 转换为 DEC 后除以 10 可以得出当前电池电压。CRC-16 为小端序,使用 XMODEM 的计算参数。

Stone MS-2401H

张师傅(@tifan)前一阵子让我代收了一台四通 MS-2401H 中文打字机(Wiki),机器内灰尘很多,外壳也很脏。

拿到机器当然第一件事就是拆开,引用 EEVBlog 的话:“Don’t turn it on, take it apart!”。

Main Processor: NEC V20 (Intel 8088 Compatible)

张师傅也希望我 dump 机器内所有 ROM 的数据,以便开发此款打字机的模拟器。所以我拆开后第一件事就是找到所有 ROM 的位置。

除了 BIOS EPROM 外,其他的 7 块 ROM 都在一块子板上。其中 2 块为 EPROM,剩下 5 块为 Mask ROM。

ROM Daughter Card

ROM 下载:

功能芯片型号下载
BIOSST-M27C256BALPS_BIOS-ST-M27C256B.BIN
24DOTFUJITSU-GB5007C24DOT-FUJITSU-GB5007C-24.BIN
CA1FUJITSU-MB834000ACA1-FUJITSU-MB834000A.BIN
CA2FUJITSU-MB838000-20PCA2-FUJITSU-MB838000-20P.BIN
CA3FUJITSU-MB838000-20PCA3-FUJITSU-MB838000-20P.BIN
OP WPST-M27C256BOP_WP-ST-M27C256B.BIN
WP/DICANEC-D27C1000AWP_DICA-NEC-D27C1000A.BIN
DICBSOTEC-WMDICB-SOTEC-WM.BIN