Хитро-умный аккумулятор.

[boroda06560]

MegaBarsik писал(а):

Так долго ждать придётся, я сейчас другим занимаюсь, может выложат этот самый мастер пароль к тому времени))

Я так понял, что никакого мастер пароля на самом деле не существует и ни один из существующих софтов никакие пароли не ломает, ну во всяком случае не перебирает и не вычисляет по какому то алгоритму точно. Но какая то PRO лазейка, предусмотренная разработчиками TI всё таки есть... Например, та же BE2Works даже с моим простейшим LPT адаптером пишет, что якобы пароль обнаружен и для его "расколдовки" предлагает выслать разработчикам файл password.dat , созданный этой же софтиной. Расколдовка за небесплатно естественно, для дальнейших действий нужно приобрести полнофункциональную версию. Вот тут наверное и есть та самая лазейка...
Т.е. видимо что бы расколдовать контроллер надо просто что то изменить в этом password.dat и загнать ему обратно по определенному адресу (откуда взято), вот тогда ларчик и откроется. Вполне возможно, что этот password.dat вовсе не дамп с зашифрованными паролями, а хитрый бутлоадер например или его часть. Сомневаюсь, что доступ к UserPassword можно получить таким способом или можно таким образом записать стандартный MasterPassword (иначе зачем тогда вообще нужен такой ключ, если он лежит перед дверями ??), наверное это просто своеобразная лазейка, переключение режима загрузки или еще какой то хитрый back door от разработчиков. Может я ошибаюсь конечно...
И... тут есть еще одно НО... Ни одна программа в demo mode не дает работать с паролями и не позволяет что либо куда нибудь зашить. Поэтому даже расколдовав, что находиться в этом password.dat и зная что там нужно изменить и прошить всё равно платить прийдётся.
P.S. Спасибо за ID хвостов!.. Честно говоря, сейчас тоже занят другими делами, изучать документацию и удовлетворять свой технический интерес особо некогда, но на будущее может пригодиться. Кой какие мысли и идеи есть (в основном пока по железу), надеюсь в скором времени получиться еще покопать это направление интереса ради...

Вложения

password.rar

(166 байт) Скачиваний: 1078

[MegaBarsik]

boroda06560 писал(а):

Я так понял, что никакого мастер пароля на самом деле не существуетo

Я также думаю, я образно выразился.) Там в ответ на команду чип ответит магическим числом, которое надо с чем-то посчитать и вернуть обратно. И чип сбросит пароль на дефолтный. Кстати я так и не нашел список часто используемых паролей для этого чипа, а он должен быть.

Ваш адаптер к тремя пинам подсоединяется ? SCL, SDA, GND?

[boroda06560]

MegaBarsik писал(а):

Ваш адаптер к тремя пинам подсоединяется ? SCL, SDA, GND?

Да, по классической схеме Philips standard i2c parallel port adapter на 7405, контроллер батареи запитан от своих банок, поэтому подавать внешку нет необходимости. Хотел прикрутить еще один хвост для управление мосфетом, но не нашел какой вывод LPT используется. Пытался вычислить прибором прямо на разъеме, клацая по соответствующим кнопкам софта, но толи в демо режиме программы туда ничего не шлют (хотя на экране никакой ругани нет и всё выглядит вполне активно), толи я просто проморгал сигнал, короче не удалось мне поймать его нина одном свободном выводе... Контакты 2,3,4 LPT используются для чтения памяти, их выводить не стал, мне они не нужны, для чтения EEPROM есть более менее нормальный программатор с прищепкой. При попытке включить мосфет через ПО на этих выводах ничего не происходит. Так что пришлось пока довольствоваться малым, но 4-й провод на всякий случай физически всё таки вывел...

Спойлер

По-деревенски, зато работает и бесплатно!

[mister78]

Eger писал(а):

в винде драйвер от zadig поставили?

Добавлено after 1 minute 9 seconds:
На что ругается то?

Добавлено after 1 minute 8 seconds:
Я в линухах не силен, у меня пошло только на винде7 64 разрядной

Доброго времени суток. Снова я взялся за разблокировку, есть некоторые сдвиги, но не совсем всё удачно проходит, есть ошибки и не могу зайти в бут, замыкал и 24 на землю через 1к и 28 на +3в через то же сопротивление, но идёт ошибка и не могу войти в бут. Вот выложу некоторые моменты, может что-то это даст, какую-то мысль?


C:\smbusb-1.0.0>smbusb_comm -a 16 -c 71 -w 0214

C:\smbusb-1.0.0> smbusb_comm -a 16 -c 73 -r 2
050c

C:\smbusb-1.0.0>smbusb_comm -a 16 -c 71 -w fdc3

C:\smbusb-1.0.0>smbusb_comm -a 16 -c 70 -w 0517
Error -9
далее-
C:\smbusb-1.0.0>smbusb_bq8030flasher -p prg.bin -e eep.bin
----------
smbusb_bq8030flasher
----------
SMBusb Firmware Version: 1.0.1
PEC is ENABLED
Error communicating with the Boot ROM.
Chip is running firmware
Note that there's no universal way to enter the Boot ROM on a programmed chip.
The command(s) and password(s) vary by make and model of the pack.
=======
Или я что-то делаю не так, или BQ8030 заблокирована, запаролена, может бут как-то по другому закрыт, в общем непонятки. Рад буду любой подсказке.

[Eger]

Это 8030? Видимо, какой-то свой алгоритм

[mister78]

Eger писал(а):

Это 8030? Видимо, какой-то свой алгоритм

Да, видимо так.При чём, сразу пишет не всю информацию по батарее, но после всяких "извращений", после замыкания 24 и 28 ножек через 1к на соответствующие плюс 3в и землю, выдаёт всю инфо по батарее, т.е.как буд-то в бут заходит, но при попытке введения адреса (-c 0x70 -w 0517) идёт ошибка и так же при попытке стирания и заливки флэш - так же ошибка.
Т.е. при введении команды smbusb_comm -a 16 -c 73 -r 2
023d - у меня C:\smbusb-1.0.0> smbusb_comm -a 16 -c 73 -r 2
050c.
При введении
C:\smbusb-1.0.0>smbusb_comm -a 16 -c 70 -w 0517
Error -9
И соответственно
C:\smbusb-1.0.0>smbusb_bq8030flasher -p prg.bin -e eep.bin
----------
smbusb_bq8030flasher
----------
SMBusb Firmware Version: 1.0.1
PEC is ENABLED
Error communicating with the Boot ROM.
Chip is running firmware
Note that there's no universal way to enter the Boot ROM on a programmed chip.
The command(s) and password(s) vary by make and model of the pack.
Так вот вопрос:Что я делаю не так, что можно предпринять, видимо пароль не подходит? А если купить на али 8030 новую и попытаться залить епром этой программой?

[MegaBarsik]

Наконец привезли окуляры и я заколхозил отсутствующий держатель микроскопной головки.
Припаял проводов на новый чип и он у меня нефига не прочитался) Что там с обвязкой я разбираться не стал и просто воткнул его в плату контроллера акб взамен старого. Банки заменены резисторами 470ом. И он прочитался.

Вот что там на данный момент можно посмотреть в прикреплённых файлах.

Теперь займусь ручным вычитыванием параметров и вкуриванием их смыслового назначения)

Добавлено after 5 minutes 52 seconds:

mister78 писал(а):

Это 8030?

А у вас голый чип или с платой экспериментируете? Интересует обвязка голого чипа, много там надо?

Вложения

scr2.jpg

(103.13 KiB) Скачиваний: 1508

Scr1.jpg

(43.06 KiB) Скачиваний: 1198

[mister78]

Я с платой экспериментирую. Пытаюсь с платой http://www.karosium.com/2016/08/hacking ... mware.html с этого сайта.
Сегодня перестала читаться правильно этой платой, BE2Works и cp2112 читается, но ничего более невозможно сделать.Вот лог :

Спойлер

DesignCapacity: 4400 mAh
FullChargeCapacity: 1320 mAh
CycleCount: 182
Date: 2010.03.09 yyyy.mm.dd
DesignVoltage: 11100 mV
ManufName: SONYCorp
DeviceName: AS09A41
SerialNumber: 9CCC
ChargingCurrent: 3520 mA
ChargingVoltage: 12600 mV
DeviceChemistry: LION
Temperature: 24,8 C
Voltage: 11011 mV
Current: 0 mA
RelativeSOC: 31%
AbsoluteSOC: 9%
RemainingCapacity: 404 mAh
VCELL4: 0000 mV
VCELL3: 3671 mV
VCELL2: 3670 mV
VCELL1: 3670 mV
SpecificationInfo: 0031 Hex
Battery Status:
RCA|INIT|DSG|

Добавлено after 4 minutes 41 second:
Поправочка,в предыдущем комменте выложен лог другого аккумулятора, виновник моих мытарств вот:
DesignCapacity: 4400 mAh
FullChargeCapacity: 48 mAh
CycleCount: 492
Date: 2010.08.13 yyyy.mm.dd
DesignVoltage: 10800 mV
ManufName: SANYO
DeviceName: AS10D31
SerialNumber: 9211
ChargingCurrent: 0 mA
ChargingVoltage: 0 mV
DeviceChemistry: LION
Temperature: 26,7 C
Voltage: 11140 mV
Current: 0 mA
RelativeSOC: 0%
AbsoluteSOC: 0%
RemainingCapacity: 0 mAh
VCELL4: 0000 mV
VCELL3: 3714 mV
VCELL2: 3713 mV
VCELL1: 3713 mV
SpecificationInfo: 0021 Hex
Battery Status:
TCA|RCA|RTA|INIT|DSG|FD|

как вот это расшифровать:TCA|RCA|RTA|INIT|DSG|FD|?
Вот лог программой с того сайта:
Manufacturer Name: ERROR
Device Name: ERROR
Device Chemistry: ERROR
Serial Number: 4294967295
Manufacture Date: 8390587.15.31

Manufacturer Access: ffffffff
Remaining Capacity Alarm: 4294967295 mAh(/10mWh)
Remaining Time Alarm: 4294967295 min
Battery Mode: ffffffff
At Rate: -1 mAh(/10mWh)
At Rate Time To Full: 4294967295 min
At Rate Time To Empty: 4294967295 min
At Rate OK: 4294967295
Temperature: -273.25 degC
Voltage: 4294967295 mV
Current: 4294967295 mA
Average Current: 4294967295 mA
Max Error: 4294967295 %
Relative State Of Charge 4294967295 %
Absolute State Of Charge 4294967295 %
Remaining Capacity: 4294967295 mAh(/10mWh)
Full Charge Capacity: 4294967295 mAh(/10mWh)
Run Time To Empty: 4294967295 min
Average Time To Empty: 4294967295 min
Average Time To Full: 4294967295 min
Charging Current: 4294967295 mA
Charging Voltage: 4294967295 mV
Cycle Count: 4294967295
Manufacturer Data: ffffffff

[MegaBarsik]

Про плату понятно.

mister78 писал(а):

как вот это расшифровать:TCA|RCA|RTA|INIT|DSG|FD|?

Это мне вопрос? Если да, то это флаги, стр. 62 в моей доке, BatteryStatus(0x16):

RCA—Remaining Capacity Alarm
TCA—Terminate Charge Alarm
RTA—Remaining Time Alarm
INIT—1=Initialization.
DSG—Discharging
FD—1= Fully Discharged
FC—1= Fully Charged
... и .т.п.

Взято из: Technical Reference Manual на bq20z70-V150+bq29330,bq20z75
154 страницы.

[mister78]

Спасибо, я это понял, но интересно какие флаги должны быть и как понять, что это ошибки?
Я в программировании практически ноль, хотелось бы знать, к примеру, как посылать команды, описанные в даташите, может какие-то ошибки удалось бы снять, послав команды из даташита. В общем, то, что описано на том сайте немного победил, но застрял на ошибках в видимо прошивке, или несовпадении пароля, или хто его знает ещё чего. Надо видимо достать несколько убитых аккумов, или проще плат от них и попробовать поэкспериментировать.
Пытался поискать смд комманды - почти ничего полезного не нашёл, да и как я понял они различаются, для разных языков программирования. Глянул в доку по программированию и понял, что это изучать нужно было бы немного пораньше, этак лет на 40, короче пока никак не движется это дело, надо делать тайм аут.

[MegaBarsik]

mister78 писал(а):

Спасибо, я это понял, но интересно какие флаги должны быть и как понять, что это ошибки?
.....
Пытался поискать смд комманды - почти ничего полезного не нашёл, да и как я понял они различаются, для разных языков программирования.

Да, как должно быть - это главный вопрос.)) Алармов(Alarm с англ. тревога) не должно быть, как я понимаю. И ещё, вчера озарило, есть ещё неописанные команды, ну или у меня кривое описание. Т.к. в доке по калибровке присутствуют примеры кода для разработчиков, в которых есть команды отсутствующие в описании. По этой доке вообще всё просто у них , делаем финт ушами(шлём пару-тройку команд) и батарея работает, при условии, что есть полный доступ к чипу))

По поводу команд:

В Би2ворковской(CP2112) программе есть кнопочка "Send SMBus command".

Спойлер

Для выполнения - нажмите комбинацию CRTL+ENTER.
Можно вводить любое число команд по одной на строке и затем запускать их все сразу на выполнение.
Синтаксис команд очень простой. Поддерживаются следующие команды:

rw // Читать слово
ww //Писать слово
rbl // Читать блок
wbl Писать блок
sc //Отправить команду
Форматы команд:

rw // Читать слово:
rw aa f
Где : aa - адрес , f - формат вывода данных (необязателен).
Форматы для этой команды: d - календарная дата, i - число, b - двоичный. По умололчанию - HEX
Например, команда rw 0 выводит значение регистра 0 (ManufacturerAccess) в шестнадцатеричном виде.
ww // Писать слово:
ww aa dddd
Где: aa - адрес, dddd - данные (2 байта)
rbl //Читать блок
rbl aa f
Где : aa - адрес, f - формат вывода (необязателен).
Возможные форматы: a - ASCII, по умолчанию - HEX
Пример: команда rbl 20 a выводит имя производителя батареи в символьном виде.
wbl //Писать блок
wbl aa dddddddddd
Где: aa - адрес, dddd... - данные.
Данные должны быть записаны байтами в формате HEX без пробелов.
Пример: чтобы поменять имя производителя батареи с чипом BQ20Zxx на "ABCD" нужно записать в ManufacturerName: wbl 20 41424344
sc //Послать команду
sc aa
Где: aa - адрес

Только без пароля ничего интересного не прочитать/записать, только инфоданные.
Сами коды берем из документации.

Как там в Каросиумовском софте я даже ещё не смотрел.

Вложения

smb2.jpg

Пример списка из PDF.

(93.41 KiB) Скачиваний: 1490

smb.jpg

Волшебная кнопка

(14.21 KiB) Скачиваний: 1171

[mister78]

Спасибо. Да "алармов" я и не наблюдаю в своей батарее, но она работать и перепрошиваться по методике, описанной на "карасуме" не желает.
Команды из в2воркса я видел и с кнопочкой знаком, но этих команд недостаточно для чего - либо.Как команды, описанные в доке вводить я даже не понимаю, вот эти 0х30 и так далее, как я понял их надо переводить в другой формат? Поэтому, "хреново быть дубовым", т.е., что бы разобраться со сбросом, надо быть программистом и знать как писать программы, это можно начинать изучать тем, кто помоложе, мне уже хватает своего опыта по работе с железом, программистом я уже вряд-ли буду. Поэтому мне и мне подобным нужно носом ткнуть и показать на пальцах, как что писать и вводить.
Я думаю, что для программиста не составит труда прочесть в даташите какие нужно ввести команды для входа в бут и как их написать и сделать сброс, обнулить чип, или перешить. Готовое решение по 8030 чипу, описанное на "каросиме" и переведённое я вам выкладываю, разархивируйте и читайте и наслаждайтесь. Я добился чтения, ввода команд с того сайта, но на предпоследнем этапе и самой прошивке идёт ошибка, видимо пароль не подходит.

Вложения

Новая папка (4).rar

перевод сайта

(856.75 KiB) Скачиваний: 1105

[MegaBarsik]

mister78 писал(а):

Да "алармов" я и не наблюдаю

В ваших логах выше, в обои случаях они есть. Флаг RCA.

mister78 писал(а):

их надо переводить в другой формат?

Не надо, 0x001 и т.п. это HEX.

Каросиму я читал, но вникать пока не буду)

Последний раз редактировалось MegaBarsik Чт дек 06, 2018 17:51:14, всего редактировалось 1 раз.

[mister78]

Спасибо за ответ. Да RCA я наблюдаю в обоих аккумах, но верхний - рабочий почему-то. Интересно где эти флаги описаны, как их понимать?
"Не надо 0x001 и т.п. это HEX. " - так вот как их вводить в строку командную, что бы передать по смбас протоколу контроллеру батареи, я не знаю. Я думаю, что этими кодами с даташита микросхемы что-то полезное можно придумать, может обнулить как-то? В общем вопросы и вопросы.
"Каросиму я читал, но вникать пока не буду)" - а чё так? Пользуете что-то лучшее?

[MegaBarsik]

mister78 писал(а):

Спасибо за ответ. Да RCA я наблюдаю в обоих аккумах, но верхний - рабочий почему-то. Интересно где эти флаги описаны, как их понимать?
"Не надо, 0x001 и т.п. это HEX. " - так вот как их вводить в строку командную, что бы передать по смбас протоколу контроллеру батареи, я не знаю. Я думаю, что этими кодами с даташита микросхемы что-то полезное можно придумать, может обнулить как-то? В общем вопросы и вопросы.
"Каросиму я читал, но вникать пока не буду)" - а чё так? Пользуете что-то лучшее?

По поводу ввода команд писал выше, где там под спойлером, даже пример красным выделил, тоже самое есть у Карасюмы, только синтаксис другой, нужно читать хелп к программе smbusb_comm.

Я пока использую СP2112 и Битуворк. На плату впаял новый BQ20z75..., т.е там нет пароля, если я правильно понял .... ещё не смотрел толком. Я думаю, что в моём случае нужно изменить пару регистров и запустить калибровку, всё. Банка одна пришла бракованная, жду новую, всё делаю в вялотекущем режиме, другим занят.

В вашем случае смущает эта отправка/ответ по протоколу SMB:
C:\smbusb-1.0.0> smbusb_comm -a 16 -c 73 -r 2
050c.

О50С - это ответ на команду? Если да то, этот ответ нужно вычесть из 0x10000 и получим магическое число для третье команды. В каждом акб, если я правильно понял, будет своё число.

-cut-
So to sum it all up:

1. Send 0x0214 to 0x71
2. Read Word X from 0x73
3. Send (0x10000 - X) to 0x71
4. Send 0x0517 to 0x70

-cut-

Только что-то я не вижу этих команд в описании. Мне этот момент не совсем понятен)

ps: Информацию по флагам читать в документации на микросхему.

[mister78]

Спасибо.Да, там, в на карасуиме ответ 023d, у меня 050c. Вот видите, вы понимаете, что сие значит и как переводится - я же как "баран на новые ворота", ни гу гу.
"нужно читать хелп к программе smbusb_comm. " - да надо ещё раз посмотреть всё, может увижу и что-то прояснится. Ну я пока то же не очень плотно этим занимаюсь, есть и другие дела, а к этому вопросу хочу вернуться, съездив кой куда что бы набрать плат от б\у аккумул. и тогда поэкспериментировать, а то с одной-двумя платами непонятки одни, надо что-то другое ещё.
Там вот так команды идут:

So to sum it all up:

1. Send 0x0214 to 0x71
2. Read Word X from 0x73
3. Send (0x10000 - X) to 0x71
4. Send 0x0517 to 0x70
Разве это не то же самое, что вы написали? В моём переводе это несколько по другому выглядит, видимо из за перевода. И вот полностью уже все команды для ввода в адресную строку:

$ smbusb_comm -a 16 -c 71 -w 0214
$ smbusb_comm -a 16 -c 73 -r 2
023d
$ smbusb_comm -a 16 -c 71 -w fdc3
$ smbusb_comm -a 16 -c 70 -w 0517
$ smbusb_bq8030flasher -p prg.bin -e eep.bin

"ps: Информацию по флагам читать в документации на микросхему." - надо попробовать перевести эту документацию...

[MegaBarsik]

mister78 писал(а):

у меня 050c. Вот видите, вы понимаете, что сие значит и как переводится - я же как "баран на новые ворота", ни гу гу
...

So to sum it all up:

1. Send 0x0214 to 0x71
2. Read Word X from 0x73
3. Send (0x10000 - X) to 0x71
4. Send 0x0517 to 0x70

Вы главное сюда результаты операций скиньте,
в смысле считалась прошивка или нет, сюда её саму скиньте, 2048 байтов должна занимать.

0x1000 - 0x023D = FDC3 < магическое число Каросимы
0x1000 - 0x050C= FAF4 < для вашего чипа.

[mister78]

Спасибо за ответ. Немного занят, чуть позже попробую, да заодно привез пару плат для эспериментов, на днях отпишусь.

[инженегра]

Подскажите, какую версию libusb используете совместно с прогой от карозиум. Кучу версий перепробовал - везде дает отшибку входа в процедуру...

[инженегра]

В общем с софтами разобрался. Да и китайская батарея от ноутбука на bq8030 как оказалось имеет встроенную программу отличную от sony/sanyo.... Так что аккумулятор отправился на запчасти.