2.4G无线遥控通讯协议破解—美嘉欣
准备做平衡车,缺个遥控器,又不想用手机App。刚好手中有个之前买的遥控直升机,配套的2.4G遥控器看着还行,就打算拿来用在平衡车上。于是就开始了破解。先看图吧!
经拆解发现(遥控器端2.4G模块是COB封装的看不出,只能在接收端看芯片型号)为BK2423(和nRF24L01兼容)。于是就可以nRF24L01为接收机接收遥控器数据。当然反过来,也可以用nRF24L01来遥控直升机。
查数据手册:(这里用nRF24L01数据手册、BK2423多了一个BANK寄存器但是只有初始化时使用、其余通用)(BK2423的数据手册做的不好,毫无美感,看地眼痛心累)
1. 数据格式
2. 兼容模式(如何配置接收端)
3. SPI时序(看懂时序图)
4. 指令(根据3看4、5)
5. 寄存器(部分)
抓数据:通过遥控器的2.4G模块SPI接口获取配置信息,通讯协议跳频列表。
工具: Saleae Logic 16 Clone(逻辑分析仪)、
Saleae Logic 1.2.10(官方软件)、
SigrokPulseView(开源软件)。
(逻辑分析仪这个不是必须的,例:Arduino SPI 来捕获数据,就是在确定引脚的时候会有点麻烦,因为发送端模块的引脚定义不明,但是可以通过单片机新唐N79E814AT20的SPI引脚来查,遥控器的主控用的这个单片机)
下面是硬件和软件的截图:
开整:
1. 连线:(做了个接头直接卡在模块的引脚上,共9个引脚)
2. 连接逻辑分析仪、打开软件开始捕获、打开遥控器电源、开始配对、配对成功、操控摇杆一段时间、终止。以25MHz的采样率采集15s,九个引脚对应九个通道。(把开机配置、对频、工作跳频的整个过程都采集下来进行后续的分析)
3. 根据SPI时序图找出MOSI、MISO、CS、CLK。
5. 查找关键数据:
形式:指令:写指令(0x20) +寄存器地址(0xXX)
数据:D7、D6、D5、D4、D3、D2、D1、D0、
指令:
W_TX_PAYLOAD: = 0xA0
CRC: 0x20+ 0x00 = 0x20
AutoAck: 0x20+ 0x01 = 0x21
地址宽度 : 0x20 + 0x03 = 0x23
频道: 0x20 + 0x05 = 0x25
数据速率: 0x20+ 0x06 = 0x26
数据位宽度: 没有查到,可通过0xA0查找W_TX_PAYLOAD,查看入数据的字节数
发送地址: 0x20+ 0x10 = 0x30
数据:
CRC:0x0E : 0000 1110
1. 开启CRC
2. 2 Bytes
3. PWR_UP
AutoAck: 0x00 : 0000 0000
1. 关闭所有
地址宽度:0x03: 0000 0011
1. 5 Bytes
数据速率:0x05 : 0000 0101
1. 1Mbps
发送地址:0x6D 0x6A 0x73 0x73 0x73 : “mjsss”
注:右下角的Decoded Protocol 列表中配置命令有多个,如有两个则
下一个是BK2423独有的寄存器配置。多个有部分为数据。
频道:经检查发现有两个跳频列表
1. 配对未完成时:(至今也没搞明白这个是干什么的,猜测是对频的部分,但是不清楚对频的方式)
2. 配对成功后:
Cycle列表每个频道发送两次,循环管往复。
发送数据位宽度由W_TX_PAYLOAD:0xA0 发现:16 Bytes
所有必须的信息已经知道了:接下来开始接收数据进行验证!
Arduino 程序 (RF24 Lib)
[size=18.6667px]权限不够不能分享URL(慢慢的恶意啊^.^)
[size=18.6667px](这里有两个工程:Arduino & VS2013, 自行下载,篇幅超出范围不能贴出来了)
[size=18.6667px]pan.baidu.com/s/1jIBOXJC#list/path=%2F
由于不清楚对频过程所以可以不进行对频(漏洞:在对频过程中只要摇动任意摇杆就会打断对频直接进入工作状态)
连接硬件:
VCC —>3.3V
GND —>GND
CE —>Pin 7
CSN —>Pin 8
IRQ —>Pin 2
开始接收数据!
自左向右依次:0:油门、1:左右转、2:前后飞、3:左右飞、4:左右转微调、5:前后飞微调、6:左右飞微调、14:操作模式/灵敏度、15:校验和。(其余数据含义未知)
至此全部工作已经完成。
总的做下来难道并不高,但是锻炼了自己。把它写下来一方面是总结一下自己所做的工作、步骤,另一方面希望能够对大家有所帮助。
附录:我在上文中提到了sigrok这个开源软件,但是并未提及(因为发现越写思路越清晰,就用不到了),这里作为补充。
Sigrok是一个开源跨平台信号分析软件、支持大量设备。它不仅能够提供通讯协议分析、更可以具体到具体的芯片,比如这里用到的nRF24L01+,它以SPI作为通讯接口,那么就可以应用SPI分析数据内容,进而解析其含义。
这里以一个数据传输过程为例:
sigrok支持大量的通讯协议和芯片解码,有需要的可以了解一下。
注:暂不支持本文中的设备,折腾了很久,从win7到Ubuntu都试过了就是不行。我是通过官方软件导出为Raw Binary的形式再导入sigrok进行分析的,这个是最快捷的方法。 it依次为0~7Channel,在导入时选择的通道数n是指导入0~(n-1)。另外要填写采样率,单位为Hz。
楼主
标题置顶
标题高亮
厉害
如何才能收藏呢