在做出任何分析之前，我先提供下本文章所用到的原始文件：

描述	下载
Periodic Beacon	hb.csv
ESL Init	init.csv
Download (AT 0.0s)	dl-0.csv
Download (AT 7.17128s)	dl-1.csv
Download (AT 21.7058s)	dl-2.csv
Download (AT 28.6028s)	dl-3.csv
Download (AT 38.8901s)	dl-4.csv

---

上一篇文章提及了，ESL 的唤醒包长度为 2 bytes，从观测官方基站通信行为来看，基站会不停的发射唤醒包（数据不停的变化），大约持续发射 12s 左右。下图对比了两次唤醒包。

从上图看出，两次唤醒包的数据分别为 0xA5A8 和 0xA81D 。然后唤醒包后紧跟的正式唤醒时间分别是 7.17128s 和 10.2873s 。由此看出，唤醒包数据很有可能是计数器或者是时间。

假设忽略开头的 A ，0x5A8 就是 1448 ， 0x81D 就是 2077 。都除以 200 得出 7.24 和 10.385 。接收到唤醒包到正式唤醒的时间差是 7.17128 和 10.2873 。仅从这两个包的情况来看，误差很小，很有可能是正确的，当然还需要更多样本进行确认。

---

根据新的资料， Beacon 包的格式可能可以多解析一项， byte 1 ，为标签硬件型号。

更新后的 Beacon 格式如下：

Bytes	Example 1	Example 2	Function
0	C0	0C	UNKNOWN
1	40	40	ESL TYPE
2	50	50	RECEIVER ID BYTE 1
3	41	41	RECEIVER ID BYTE 2
4	83	81	RECEIVER ID BYTE 3
5	66	66	RECEIVER ID BYTE 4
6	53	50	ESL ID BYTE 1
7	A4	C4	ESL ID BYTE 2
8	FE	23	ESL ID BYTE 3
9	0A	0B	ESL ID BYTE 4
10	A1	A1	CHANNEL ID
11	22	31	UNKNOWN
12	1E	21	VOLTAGE
13	00	00	UNKNOWN
14	BA	61	CRC-16/XMODEM LOW BYTE
15	A3	49	CRC-16/XMODEM HIGH BYTE

ESL Type 0x40 代表的应该是 Stellar-M 黑白屏幕， MSP430， A7106 的硬件。其他型号的硬件编号待整理。

最近在网上看到有人卖垃圾电子墨水价签，个位数人民币一个，看上去还不错，就买了一堆。

网上能搜索到一些关于这个价签的资料，已经有人尝试自己重写 MSP430 固件的方法把它用了起来，也有人直接拆了 EPD 出来自己画驱动板来使用，不过并没有关于原厂固件下私有 2.4G 通信协议的资料。

为了更方便的使用这些灵车 ESL，我们几个小伙伴一拍即合，开始了对这个无线协议进行逆向工程。由于我这里没有能调试 MSP430 的调试器，所以固件导出、分析的工作就交给了别人。而我，则先开始对 ESL 的空口进行分析。

首先，我们先用逻辑分析仪抓取了无线芯片初始化的流程，了解了私有协议的工作频率，速率，模式等。给我们向 ESL 下发数据提供的基础参数。

RX 频率	2480.5Mhz
RX 速率	500Kbps
RX 调制方式	FSK
RX 窗口	每 8192ms 有 3ms 接收窗口
IO1	0：待机；1：发射或接收
IO2	0：待机；1：收到数据且 ID 正确

之后，经过长时间抓取 SPI 总线，发现了 ESL 每隔大约 180 秒会对外向特定 ID 发射包含自身接收消息使用的 ID 的消息。抓取多个 ESL 的 SPI 后，发现发送时设置的 ID 是相同的。

之后，设置抓 SPI 的示波器触发为看到启用发射模式的命令，同时使用它的触发输出，去触发另一台示波器。另一台示波器直接接 A7106 的 RF 输出口。

采集到原始 RF 信号后，对数据进行 FFT，可以看到发射频率中心在 2.401Ghz 左右。然后将数据导入 GNU Octave，把 2.401Ghz 信号 DDC 到 0Hz，把 20GSps 信号 Decimate 到 10MSps，然后导出 IQ。然后将 IQ 数据导入 Universal Radio Hacker 进行 Demodulation 和分析。

原始数据可以（点击下载），HDF5 格式，可以 Matlab 或者 GNU Octave 进行处理和分析。不想预处理数据想直接用 URH 来玩的可以（点击下载）处理后的数据。

从 URH 得到的数据和分析 SPI 总线预测的数据相同，格式相同。

接下来使用 URH 构造了一个 ID 和 Checksum 正确的数据，使用 USRP 将数据发给了 ESL。ESL 在被 A7106 唤醒后，会直接清除掉触发，然后设置 RX 长度为 2，重新进入 RX 模式等待数据。

在再一次构造了一个 Payload 长度 2 Bytes 的数据后，在合适的窗口发送了两遍，可以看到 ESL CPU 使用 SPI 从 A7106 将第二遍的数据 Payload 取回。

接下来就需要猜测这两个 Bytes 的作用了。目前的思路一个是 Fuzz 数据，然后看行为。但是芯片的 RX Window 很窄，导致如果要这么测试需要很多设备的配合。比如示波器做 SPI 关键词触发，找到 RX Window，然后控制 USRP 发射数据，接下来观测 SPI 上是否有进一步行为。如果没有，控制电源断电重新上电，再次测试。另外的思路就是逆向分析固件。因为根据目前分析的一些行为，可以很容易在固件中找到对应特征，找到对应的 Subroutine。目前固件已经成功 Dump 出，有小伙伴已经开始逆向。

---

目前来说，已经大致搞清楚了每 3 分钟的 Beacon 的格式，如下：

Bytes	Example 1	Example 2	Function
0	C0	0C	UNKNOWN
1	40	40	UNKNOWN
2	50	50	RECEIVER ID BYTE 1
3	41	41	RECEIVER ID BYTE 2
4	83	81	RECEIVER ID BYTE 3
5	66	66	RECEIVER ID BYTE 4
6	53	50	ESL ID BYTE 1
7	A4	C4	ESL ID BYTE 2
8	FE	23	ESL ID BYTE 3
9	0A	0B	ESL ID BYTE 4
10	A1	A1	CHANNEL ID
11	22	31	UNKNOWN
12	1E	21	VOLTAGE
13	00	00	UNKNOWN
14	BA	61	CRC-16/XMODEM LOW BYTE
15	A3	49	CRC-16/XMODEM HIGH BYTE

其中 RECEIVER ID 和 CHANNEL ID 用于从基站给 ESL 的下行通信，A7106 会使用 RECEIVER ID 去 Filter RX 数据，CHANNEL ID 为 下行频率，计算方法为 2400Mhz + 0.5Mhz * CHANNEL ID。然后 ESL ID 为标签硬件序列号的后十位数字转换成 HEX 的结果。VOLTAGE 为电池电压，直接从 HEX 转换为 DEC 后除以 10 可以得出当前电池电压。CRC-16 为小端序，使用 XMODEM 的计算参数。

张师傅（@tifan）前一阵子让我代收了一台四通 MS-2401H 中文打字机（Wiki），机器内灰尘很多，外壳也很脏。

拿到机器当然第一件事就是拆开，引用 EEVBlog 的话：“Don’t turn it on, take it apart!”。

张师傅也希望我 dump 机器内所有 ROM 的数据，以便开发此款打字机的模拟器。所以我拆开后第一件事就是找到所有 ROM 的位置。

除了 BIOS EPROM 外，其他的 7 块 ROM 都在一块子板上。其中 2 块为 EPROM，剩下 5 块为 Mask ROM。

ROM 下载：

功能	芯片型号	下载
BIOS	ST-M27C256B	ALPS_BIOS-ST-M27C256B.BIN
24DOT	FUJITSU-GB5007C	24DOT-FUJITSU-GB5007C-24.BIN
CA1	FUJITSU-MB834000A	CA1-FUJITSU-MB834000A.BIN
CA2	FUJITSU-MB838000-20P	CA2-FUJITSU-MB838000-20P.BIN
CA3	FUJITSU-MB838000-20P	CA3-FUJITSU-MB838000-20P.BIN
OP WP	ST-M27C256B	OP_WP-ST-M27C256B.BIN
WP/DICA	NEC-D27C1000A	WP_DICA-NEC-D27C1000A.BIN
DICB	SOTEC-WM	DICB-SOTEC-WM.BIN