Хитро-умный аккумулятор.

[MegaBarsik]

В какой-то момент моих экспериментов мой Bq20z75 взял и закрылся(SealMode). Но недавно были найдены заводские пароли на этот чип. Раскупорил чип и начал вспоминать, что я такого туда вводил, что он залочился?
Всё оказалось просто, при попытке прочитать первый ключ(0х60) - он тупо лочится) И вот тут возникла мысль:
а не устроил ли Битуворковский дядя нам бяку в своём софте?
Беру FX2LP адаптер и его софт, вводим:

Спойлер

d:\smb>smbusb_comm -a 0x16 -c 0 -w 0054 // запрос регистра OperationStatus(0х54)
d:\smb>smbusb_comm -a 0x16 -c 0 -r 2 // читаем содержимое OperationStatus(0х54)
e044 // залочен, SealedMode

d:\smb>smbusb_comm -a 0x16 -c 0 -w 0414 // ввод 1-й части заводского пароля на UnSealMode
d:\smb>smbusb_comm -a 0x16 -c 0 -w 3672 // ввод 2-й части заводского пароля на UnSealMode

d:\smb>smbusb_comm -a 0x16 -c 0 -w 0054 // запрос регистра OperationStatus(0х54)
d:\smb>smbusb_comm -a 0x16 -c 0 -r 2
c044 // разлочился, UnSealMode

d:\smb>smbusb_comm -a 0x16 -c 0 -w ffff //1-я часть пароля на полный доступ, FullAccessMode
d:\smb>smbusb_comm -a 0x16 -c 0 -w ffff //2-я часть на полный доступ, FullAccessMode

d:\smb>smbusb_comm -a 0x16 -c 0 -w 0054 // запрос регистра OperationStatus(0х54)
d:\smb>smbusb_comm -a 0x16 -c 0 -r 2
8044 // FullAccessMode

d:\smb>smbusb_comm -a 0x16 -c 60 -r 4 // Запрос ключа на UnSealMode
14047236 // UnSealMode пароль в переставленном виде. 1404<>0414 , 7236 <>3672

Как-то так, отложил СP2112 в ящик))

[musor]

а зачем такой экзотныйц свисток брать было народный pl2303 не работает чтоли?
я так понимаю ваш "адаптер" -просто мост usb -com ?

[Firecube]

а зачем такой экзотныйц свисток брать было народный pl2303 не работает чтоли?
я так понимаю ваш "адаптер" -просто мост usb -com ?

FX2LP - это логический анализатор с встроенным аппаратным i2c. В данном применении технически - это USB-I2C преобразователь

Добавлено after 46 minutes:
Если кому надо - в архиве софты от carosium, dll, с которой они работают, и батники для автоматизации. Батник battery.bat выполняет вот эти операции

1. Send 0x0214 to 0x71
2. Read Word X from 0x73
3. Send (0x10000 - X) to 0x71
4. Send 0x0517 to 0x70

, вычисляя ответ автоматически.
Но слить данные с моего BQ8055a это пока не помогло =(
Возможно, MegaBarsik подскажет или скинет документацию по магическим словам, которых мне не хватает)
В кратце о проблеме: стояла в Lenovo Z500 батарея L12S4K01, потом ноут полежал долго-долго с воткнутой зарядкой, но отключенной от розетки. После этого батарея в системе виделась, показывала 0%, не заряжается. При отключении от сети ноут сразу гаснет. Прошло год или два, я разобрал, на банках было около 2 вольт, сдуру зарядил не отсоединяя от платы банки с помощью балансировочной зарядки для моделистов.
Потом стал вникать в тему и понял, что дело в контроллере. К сожалению, так и не понял, как правильно должен звониться пережигаемый предохранитель вида

Код:

   ___
---|
   ---

. На вид целый, верхняя и нижняя ножки звонятся. Распиновку батареи опытным путем выяснил:

оранжевый - SCL,
желтый - SDA,
зеленый - "включение" батареи (надо подтянуть резистором 6.8кОм к 3.3В),
черный - 0В,
красный - плюс 12В.

3.3В через резистор взял на платке FL2XP с ноги VCC.
SBSreport выдает следующее:

Спойлер

SMBusb Firmware Version: 1.0.1
----------
Manufacturer Name: SANYO
Device Name: L12S4K01
Device Chemistry: LION
Serial Number: 28344
Manufacture Date: 2013.07.09

Manufacturer Access: 6003
Remaining Capacity Alarm: 482 mAh(/10mWh)
Remaining Time Alarm: 10 min
Battery Mode: e000
At Rate: 0 mAh(/10mWh)
At Rate Time To Full: 65535 min
At Rate Time To Empty: 65535 min
At Rate OK: 65535
Temperature: 23.95 degC
Voltage: 13418 mV
Current: 0 mA
Average Current: 0 mA
Max Error: 0 %
Relative State Of Charge 0 %
Absolute State Of Charge 0 %
Remaining Capacity: 0 mAh(/10mWh)
Full Charge Capacity: 4936 mAh(/10mWh)
Run Time To Empty: 0 min
Average Time To Empty: 0 min
Average Time To Full: 65535 min
Charging Current: 0 mA
Charging Voltage: 0 mV
Cycle Count: 45
Manufacturer Data: fffffff7

Вычитал BatteryStatus = 0x03D7, выставлены флаги "полностью разряжена" и "разряжается". Код ошибки 0x7 - неизвестная ошибка.

Документации на этот чип не нашел в открытых источниках, команд этих хитрых тоже негусто(( Поможет ли кто документашкой или советом?)

Вложения

battery.zip

рабочий комплект

(184.95 KiB) Скачиваний: 1548

[MegaBarsik]

Firecube писал(а):

Возможно, MegaBarsik подскажет или скинет документацию по магическим словам, которых мне не хватает)

А её не существует.
Мне известно, что и остальным: 0x10000 - X = магическое число .
Почему не читает ваш акб я не знаю.

Маркировка чипа какая у вас?
Что в OperationStatus(0x54) до ввода команд с магическим числом и после?
Там должен быть режим полного доступа.

И ещё, для скидывания прошивки надо микруху перевести в boot режим, но, может быть, это софт сам делает, надо тестить. Если софт это делает автоматом, то он это делает из режима полного доступа, если нет режима полного доступа - нет чтения прошивки.

[MegaBarsik]

Поковырял я свой чип ещё немного.
По вопросу Boot режима - софт ничего сам не делает, для чтения программы и данных нужно переводить чип в Boot режим принудительно, и это логично)

Спойлер

d:\smb>smbusb_comm.exe -a 16 -c 0 -w 0054 // отправка на запрос содержимого OperationStatus(0x54)
d:\smb>smbusb_comm.exe -a 16 -c 0 -r 2 // команда чтения ответа на запрос
8044 // ответ , режим полного доступа, флаги FAS=0 и SS=0.

d:\smb>smbusb_bq8030flasher -p prg.bin -e eep.bin // пытаемся читать программу и данные.
----------
smbusb_bq8030flasher
----------
SMBusb Firmware Version: 1.0.1
PEC is ENABLED
Error communicating with the Boot ROM. // примерный перевод: пожалуйста идите курить бамбук )
Chip is running firmware // Чип в режиме "Работа"...
......

d:\smb>smbusb_comm.exe -a 16 -c 0 -w 0f00 // включаем Boot режим

d:\smb>smbusb_bq8030flasher -p prg.bin -e eep.bin //снова пытаемся читать микруху
----------
smbusb_bq8030flasher
----------
SMBusb Firmware Version: 1.0.1
PEC is ENABLED
TI Boot ROM version 3.1
----------
Reading program flash
...
Done!
...
Reading eeprom(data) flash
..........
Done!

Прочиталось.

Сравнил данные с битуворковсим дампом - вроде похоже, только читалка от Карозюмы чо-то лишнее дочитывает, но она и не заточена под мой чип, как я понял. По поводу программы - Иды нет, смотреть нечем.

[trickyCaT]

только читалка от Карозюмы чо-то лишнее дочитывает, но она и не заточена под мой чип, как я понял. По поводу программы - Иды нет, смотреть нечем.

его читалка все правильно читает, вы сказали ей прочесть EEPROM (-e -eep.bin), вот она его и прочитала, у bq8030,bq20z70,bq20z90 он и есть 2кБ, а БиТуВоркс читает его не полностью а только ди-эф-ай, это бОльшая часть еепром без служебных данных

[MegaBarsik]

trickyCaT писал(а):

его читалка все правильно читает, вы сказали ей прочесть EEPROM (-e -eep.bin), вот она его и прочитала, у bq8030,bq20z70,bq20z90 он и есть 2кБ, а БиТуВоркс читает его не полностью а только ди-эф-ай, это бОльшая часть еепром без служебных данных

Вот спасибо за такую информацию =)
Кстати, Карозюмовский фокус с магическим числом у меня не работает. Хотя он и не особо нужен, итак полный доступ, но просто вопрос остаётся. Адреса другие, думается...

[trickyCaT]

о каком чипе идет речь? если bq20z75 то там другая процедура получения полного доступа, там прошивка от TI, а Карозиум боролся с Саньевской

[MegaBarsik]

trickyCaT писал(а):

о каком чипе идет речь? если bq20z75 то там другая процедура получения полного доступа, там прошивка от TI, а Карозиум боролся с Саньевской

Да bq20z75. А эта процедура открыта? Я так понял она софтодержателям коммерческим доступна, что, вероятно, позаимствовали её друг у друга. Или есть открытая информация какая почитать по TI? ?)

[trickyCaT]

MegaBarsik писал(а):

Раскупорил чип и начал вспоминать, что я такого туда вводил,

так вы же сами с ее помощью полный доступ получили, последовательность команд под спойлером и есть техасовская процедура, описанная в руководстве по bq20z75. Этот pdf есть у них на сайте и там есть команды для перепрограммирования контроллера снятия флагов ошибок и много чего интересного. И софт бесплатный для работы с ихними чипами там можно скачать. Правда адаптер для него дороговат, для ремонта одной батарейки невыгодно покупать.

[MegaBarsik]

trickyCaT писал(а):

так вы же сами с ее помощью полный доступ получили, последовательность команд под спойлером и есть техасовская процедура, описанная в руководстве по bq20z75.
.....

Нет, у меня новый чип, я перепаял, на новом не было пароля, потом он установился на пароль по умолчанию(заводской).
А бэкдур у этого чипа есть., т.к обсуждаемые выше платные программы умеют заменять любой неизвестный пароль на заводской пароль, это для чипов BQ20xxx.

[trickyCaT]

теперь понял, о перепайке чипа пропустил, если новый чип с такой же маркировкой, то процедура там такая же самая, как и в даташите, запечатался он потому что была подана команда Seal в Мануфактуре Аксесс, возможно что нечаянно, после этого у него устанавливается режим автосил, то есть даже если вы его распечатаете и перезагрузите питание, он сам автоматически запечатается.

[MegaBarsik]

trickyCaT писал(а):

, запечатался он потому что была подана команда Seal в Мануфактуре Аксесс, возможно что нечаянно, после этого у него устанавливается режим автосил, то есть даже если вы его распечатаете и перезагрузите питание, он сам автоматически запечатается.

Про автолок я знаю, но как писал выше, склоняюсь к этому:

>Всё оказалось просто, при попытке прочитать первый ключ(0х60) - чип тупо лочится)

Это о Битуворковском софте, возможно, дядька очень жадный, и в свой демосовфт внедрил маленькие пакости, ну или ограничения. А в другом софте всё прекрасно читается и не лочит чип. Или не перезагружает чип, если я его ранее случайно в автолок поставил.

[jonpim]

MegaBarsik писал(а):

В какой-то момент моих экспериментов мой Bq20z75 взял и закрылся(SealMode). Но недавно были найдены заводские пароли на этот чип. Раскупорил чип и начал вспоминать, что я такого туда вводил, что он залочился?
Всё оказалось просто, при попытке прочитать первый ключ(0х60) - он тупо лочится) И вот тут возникла мысль:
а не устроил ли Битуворковский дядя нам бяку в своём софте?
Беру FX2LP адаптер и его софт, вводим:

Спойлер

d:\smb>smbusb_comm -a 0x16 -c 0 -w 0054 // запрос регистра OperationStatus(0х54)
d:\smb>smbusb_comm -a 0x16 -c 0 -r 2 // читаем содержимое OperationStatus(0х54)
e044 // залочен, SealedMode

d:\smb>smbusb_comm -a 0x16 -c 0 -w 0414 // ввод 1-й части заводского пароля на UnSealMode
d:\smb>smbusb_comm -a 0x16 -c 0 -w 3672 // ввод 2-й части заводского пароля на UnSealMode

d:\smb>smbusb_comm -a 0x16 -c 0 -w 0054 // запрос регистра OperationStatus(0х54)
d:\smb>smbusb_comm -a 0x16 -c 0 -r 2
c044 // разлочился, UnSealMode

d:\smb>smbusb_comm -a 0x16 -c 0 -w ffff //1-я часть пароля на полный доступ, FullAccessMode
d:\smb>smbusb_comm -a 0x16 -c 0 -w ffff //2-я часть на полный доступ, FullAccessMode

d:\smb>smbusb_comm -a 0x16 -c 0 -w 0054 // запрос регистра OperationStatus(0х54)
d:\smb>smbusb_comm -a 0x16 -c 0 -r 2
8044 // FullAccessMode

d:\smb>smbusb_comm -a 0x16 -c 60 -r 4 // Запрос ключа на UnSealMode
14047236 // UnSealMode пароль в переставленном виде. 1404<>0414 , 7236 <>3672

Как-то так, отложил СP2112 в ящик))

Вроде работает 4.52 версия .
http://softoroom.net/topic88192.html

Доставай СP2112 .

[MegaBarsik]

jonpim писал(а):

...
Вроде работает 4.52 версия .
http://softoroom.net/topic88192.html

Доставай СP2112 .

Слил, да и есть у меня версия ломанная,
но там тоже смущает 50% вирулентность по версии virustotal.com.

virustotal.jpg

(18.66 KiB) Скачиваний: 937

Это надо ВМ(не пользовался никогда) или достать нетбук ось поставить и развлекаться)

Пока праздники я всё отложил...

Всех с наступающим новым годом =)

[jonpim]

На виртуалке не работает . http://vlab.su/viewtopic.php?f=170&t=507&start=150
Боишся троянов - значит не судьба быть крякером ))
Надо заказать так-же сделать с версией 5.12 , там как раз нужные мне соневские 8050 /

[MegaBarsik]

jonpim писал(а):

На виртуалке не работает . http://vlab.su/viewtopic.php?f=170&t=507&start=150
Боишся троянов - значит не судьба быть крякером ))
Надо заказать так-же сделать с версией 5.12 , там как раз нужные мне соневские 8050 /

У меня много софта, который быстро не восстановить.
За VM спасибо - сразу можно будет на нетбук ставить)

[Grishanenko]

Какая замечательная новогодняя тема
Судя по этому сообщению http://www.powergood.com.ua/forum/viewt ... =7991#7991 жадные программы просто перебирают пароли по списку. Откуда этот список пополняется - отдельный вопрос.
Могу предположить что в файле password.dat, который упоминается на прошлой странице, содержится название контроллера и версия его прошивки, чтобы знать по которому из списков делать перебор паролей, а не отсылать одноразовому пользователю всю базу.
Опять же, предположение что у авторов платных программ есть EV2300 и огромный поток аккумуляторов, и они понимают что с ними делать. Благодаря этому и пополняется список паролей для определенных версий прошивок контроллеров.
Мне попался АКБ на контроллере bq30z55. Изначально ноутбук его не заряжал совсем. На банках по 2.7 В. Я их подтолкнул до 3.5 В. Подумал что этого будет достаточно, чтобы ноутбук сам начал его заряжать, но нет. Разогнал до 3.8 В - нет. Не захотел опять вытягивать начинку из корпуса аккумулятора и подал 12 В (с ограничением тока) непосредственно на контакты АКБ - ток подскочил до 1.2 А и запахло жареным - сгорел управляемый предохранитель.
Я правильно понимаю что заказывать CP2112 за $6 нет смысла вообще и для любой из программ будет достаточно LPT-SMBus адаптера? Хоть посмотрю как контроллер оценивал состояние батареи до блокировки. Платить $10 за суточный доступ однозначно не вижу смысла, лучше уж добавить 90 и купить EV2300 Может через десяток лет и окупится

[trickyCaT]

Если покупать CP2112, то лучше оригинальный, дешевые клоны капризно себя ведут при чтении и тем более записи прошивки, почитайте на форумах отзывы о них, можно еще рабочий чип в кирпичик превратить.
i2c-lpt для диагностики и ремонта то что нужно, если есть машинка с лпт-портом, но учтите фирменный софт от TI не поддерживает этот адаптер, там только ev2300,ev2400,usbGPIO которые уже подороже.
Насчет суточного доступа, насколько знаю ни одна коммерческая программа не предоставляет суточную лицензию для разблокировки bq30z55, только полнофункциональные версии. А однодневные только для тех контроллеров где используется 32-битный пароль, в вашем он 128-битный, принцип разблокировки также отличается так как контроллер посвежее.
Покупка ev2300 оправдана если у вас есть пароль на чип, иначе она окажется бесполезной инвестицией.

[jonpim]

trickyCaT писал(а):

Если покупать CP2112, то лучше оригинальный, дешевые клоны капризно себя ведут при чтении и тем более записи прошивки, почитайте на форумах отзывы о них, можно еще рабочий чип в кирпичик превратить.

Чесно говоря не знаю таких дешевых клонов 2112 ))
Ведь на всех ставится микра 2112 . Может микры уже клонируют ?) Только какой смысл - они все равно копеечные

По поводу bq30z55 , то это можел ломаная бе2воркс .