ColorLCDVape RE

الهندسة العكسية لبعض السجائر الإلكترونية القابلة لإعادة الشحن والتي تتضمن شاشة TFT LCD ملونة صغيرة (Raz TN9000/Kraze HD7K/إلخ.).

يمكن العثور على مزيد من التحديثات على https://github.com/ginbot86/ColorLCDVape-RE

تتضمن بعض الـ vapes التي يمكن التخلص منها في السوق تجهيزات مثل شاشة LCD ملونة وإمكانية إعادة الشحن عبر USB-C، ولكنها أجهزة يمكن التخلص منها مرة واحدة؛ وهذا يجعل هذه الأجهزة ضارة جدًا بيئيًا. من ناحية أخرى، يفتح هذا فرصًا لإنقاذ الأجهزة من قبل الهواة/المهندسين، وإعادة استخدام الـvape كما هو عن طريق إعادة تعبئته بعصير vape الطازج وإعادة ضبط العداد الداخلي، أو حتى التخصيص عن طريق تحرير الصور الموجودة على متن الطائرة.

الـvape المحدد الذي يتم البحث عنه في هذا المشروع يأتي بأسماء مختلفة، ولكن الـvape الذي تم البحث عنه على وجه التحديد كان يسمى Kraze HD7K. ومع ذلك، فقد تم رؤية هذا الفيب أيضًا تحت اسم العلامة التجارية "RAZ"، مثل RAZ TN9000.

تستخدم السجائر الإلكترونية التي تستخدم لمرة واحدة بشكل عام بطاريات Li-ion دون أي دوائر حماية. يمكن أن تؤدي الدوائر القصيرة إلى تبديد كميات غير قابلة للتحكم من الطاقة، مما يتسبب في إصابة شخصية و/أو تلف في الممتلكات. أي عمل يتم على هذه الـ vapes يتم على مسؤوليتك الخاصة.

لقد تم تحديد أن هناك مراجعات متعددة للدوائر لهذه السجائر الإلكترونية، والتي قد تحتوي على حالات عدم توافق قد تؤدي إلى تلف الجهاز إذا كانت الإصدارات غير متطابقة. تحقق من الاتصالات وتوافق البرامج الثابتة قبل متابعة أي تعديلات.

بالإضافة إلى ذلك، يمكن أن يحتوي عصير السجائر الإلكترونية/"السائل الإلكتروني" على تركيزات عالية من النيكوتين، الذي يتم امتصاصه عبر الجلد. يجب أن يتم التعامل مع الأجزاء الداخلية للـ vape بالقفازات حتى يتم تنظيف الأجزاء الداخلية من العصير و/أو البقايا.

تشمل أعمال الأشخاص الآخرين على هذه الـvapes، على سبيل المثال لا الحصر، ما يلي:

• https://github.com/xbenkozx/RAZ-RE

العمل المنجز في المستودعات المذكورة أعلاه قد يكون أو لا يعتمد على العمل المنجز في هذا المشروع؛ والمقصود منه هو ربط مشاريع مماثلة على أمل إمكانية بذل المزيد من الجهود المجتمعية بشأن هذه السجائر الإلكترونية.

يستخدم vape الأجهزة التالية:

• وحدة التحكم الدقيقة Nations Tech N32G01K8Q7-1، تتميز بنواة Arm Cortex-M0 بسرعة 48 ميجا هرتز، وذاكرة فلاش داخلية 64 كيلو بايت، وذاكرة وصول عشوائي SRAM بسعة 8 كيلو بايت
• Giantech أشباه الموصلات GT25Q80A 8 ميجابت (1 ميجابايت) SPI ولا فلاش
• شاحن بطارية ليثيوم أيون خطي LowPowerSemi LP4068، تم تكوينه لتيار شحن يصل إلى 550 مللي أمبير تقريبًا
• منظم الجهد LowPowerSemi LDO، المسمى "LPS 2NDJ1" ولكن النموذج الدقيق غير معروف
• وحدة تحكم vape عامة ذات 5 سنون SOT-23، تحمل علامة "AjCH" مع عنصر استشعار للميكروفون من نوع الإلكتريت
• شاشة TFT مقاس 0.96 بوصة مقاس 80 × 160 بوصة بتقنية IPS، كما هو موضح أدناه

يستخدم الـvape شاشة IPS LCD بدقة 80 × 160 مقاس 0.96 بوصة، مع كابل مسطح مرن (FPC) ذو 13 سنًا وقطر 0.7 مم ملحوم باللوحة الرئيسية للـvape. يتصل عبر SPI ذو 4 أسلاك (البيانات، الساعة، البيانات/الأوامر، تحديد الشريحة)، ويبدو أنه يستخدم وحدة التحكم ST7735S. حتى أنه يستخدم نفس المنفذ للشاشات المتوفرة تجاريًا، مثل Smart Prototyping #102106.

هناك نوعان من ذاكرة الفلاش على الـvape: فلاش داخلي على وحدة التحكم الدقيقة، و1 ميجا بايت (8 ميجا بايت) من SPI NOR Flash الخارجي. يحتوي الأول على البرنامج الثابت، بينما يحتوي الأخير على جميع الصور التي يتم عرضها على شاشة LCD، بالإضافة إلى إجمالي الوقت الذي كان فيه ملف تسخين الـvape قيد الاستخدام؛ يتم استخدام هذا العداد لاشتقاق عدد "الأشرطة" المعروضة على جهاز قياس عصير الـ vape. يشير تحليل ناقل بيانات LCD (راجع التقاط منطق .dsl باستخدام DreamSourceLab DSView) إلى أن وحدة التحكم الدقيقة تستخدم DMA (الوصول المباشر للذاكرة) لدفق بيانات الصورة من الفلاش الخارجي إلى شاشة LCD، حيث تتم عمليات نقل البيانات كأجزاء متجاورة بحجم 4096 بايت ، الموافق لصفحة NOR Flash واحدة. يشير تحليل ذاكرة المتحكم الدقيق إلى أن المخزن المؤقت لذاكرة DMA يقع في عناوين ذاكرة الوصول العشوائي (RAM) 0x2000022C-0x2000062B.

يتم تخزين جميع الصور على الفلاش الخارجي كصور نقطية 16 بت RGB565 خام (أي أن كل بكسل يستهلك 2 بايت من البيانات). يمكن استخدام أدوات التحويل، مثل ImageConverter565 من مكتبة UTFT الخاصة بـ Rinky-Dink Electronics، لتحويل تنسيقات الصور مثل JPEG/PNG إلى ملف ثنائي خام يمكن تصحيحه في Flash الخارجي عند الإزاحة المقابلة. لا توجد بيانات وصفية مخزنة مع الصور الأولية، لذلك يجب توفير أبعاد الصورة يدويًا، كما هو موضح في الجدول أدناه.

1. يبدو أن بعض إطارات الرسوم المتحركة الموجودة في ذاكرة الفلاش الخارجية غير مستخدمة (وحتى تشير إلى اسم العلامة التجارية RAZ على الرغم من العلامات التجارية الأخرى التي تظهر Kraze)، ولكن من المحتمل أن يتم تنشيطها في البرامج الثابتة أو في مكان آخر؛ هذا لم يتم بحثه بعد.
2. يتم اشتقاق قيمة مقياس العصير من مؤقت الـvape، لكن الصيغة الدقيقة لاشتقاقها لم تُعرف بعد. ومع ذلك، ما هو معروف هو أنه لا يحتوي على حماية من الفائض وأن إعادة القيمة إلى 0x00000000 سيؤدي إلى إعادة ضبط مقياس العصير.
3. إذا تم مسح مواقع الفلاش 0xF8000-0xF8004 إلى 0xFF بايت، فستتم إعادة تهيئة بايت العلامة هذه إلى 0xBB وسيتم إعادة تهيئة المؤقت إلى 0x00000000، وكذلك إعادة ضبط عداد العصير بشكل فعال. سيؤدي تعيين بايت العلامة عند 0xF8004 إلى أي شيء ليس 0xBB إلى تحقيق نفس التأثير. بالإضافة إلى ذلك، سيتم حجب أي بايتات أخرى في قطاع الفلاش هذا إلى 0xFF، حيث يتم إصدار مسح الصفحة كلما تم تحديث العداد؛ يتم الاحتفاظ فقط بوحدات البايت الخاصة بالمؤقت والعلامة بواسطة البرنامج الثابت.

تم تضمين اثنين من برامج Python للمساعدة في تقسيم وإعادة تجميع ملف Flash dump إلى/من الصور الفردية المخزنة في SPI Flash: split-flashdump.py و assemble-flashdump.py . لا تقوم الأدوات حاليًا بتحويل التنسيق (كان الحصول على مساعدة ChatGPT في هذا الأمر عملية طويلة بالفعل)، ولكنها تقطع شوطًا طويلًا في المساعدة في إنشاء حزم "الموضوعات" المخصصة. يمكن إزالة الموارد غير المستخدمة من تفريغ Flash المُعاد تجميعه عن طريق إبقائها خارج الدليل الذي يحتوي على الملفات المراد إعادة تجميعها؛ ستبقى تلك المناطق غير المستخدمة كـ 0xFF/البايتات المحذوفة.

يتوقع برنامج إعادة التعبئة، assemble-flashdump.py ، أن تكون أسماء ملفات الإدخال ذات تنسيق محدد، حيث يستخدم الإزاحة ذات الترميز الست عشري لتحديد مكان إدراج كل قطعة في ملف تفريغ Flash بحجم 1 ميجابايت (راجع Split_map.csv أو المثال المضمن السمة الموضحة أدناه في حزم السمات المخصصة ):

• {index}_{offset}_{width}x{height}_{category}_{sequence}.bin
• مثال: 19_33d00_80x160_vapeanim-0.bin

لتحويل صور PNG أو JPEG، استخدم أداة ImgConv.exe الخاصة بمكتبة UTFT المذكورة مسبقًا:

• ImgConv.exe *.png /r
• ImgConv.exe *.jpg /r
• ren *.raw *.bin

ملحوظة: تأكد من أن الصور المراد تحويلها إلى تنسيق .bin هي الأبعاد الصحيحة قبل تحويلها!

كدليل على المفهوم، تم تضمين حزمة سمات Windows 95 الجاهزة؛ فهو ينفذ جميع الموارد الخاصة بمؤشرات البطارية والعصير، والرسوم المتحركة للشحن (فقط خلفية البرنامج المساعد 3 ومسح شعار الشاحن، حيث أن هذه هي مجموعة الرسوم المتحركة الوحيدة المستخدمة مع البرامج الثابتة التي تم اختبارها)، والرسوم المتحركة vaping (التقاط صحيح لنسبة العرض إلى الارتفاع ثلاثية الأبعاد شاشة توقف الأنابيب). كل ما هو مطلوب هو الوصول إلى SPI Flash ووسيلة لإعادة برمجته. يمكن أن يكون هناك مجال لتوسيع هذا المفهوم من خلال دونجل SWD USB رخيص، متصل عبر منفذ USB-C، وبعض البرامج التي تقوم بتحميل أداة إعادة برمجة صغيرة إلى ذاكرة الوصول العشوائي الخاصة بوحدة التحكم الدقيقة، مما قد يلغي الحاجة إلى إزالة شريحة الفلاش.

تم أيضًا تضمين قالب فارغ/قابل للتحرير. يتم تنفيذ جميع الإطارات بأرقام إطارات للرسوم المتحركة.

كل هذا التخصيص ممكن دون لمس البرنامج الثابت للمتحكم الدقيق!

كما هو موضح في تخطيط ذاكرة الفلاش الخارجية ، الملاحظات 2 و 3 أعلاه، فإن ملء مواقع الفلاش الخارجية 0xF8000-0xF8004 بـ 0xFF سيؤدي إلى إعادة ضبط عداد العصير إلى كامله، مما يسمح بإعادة استخدام الـ vape بمجرد إعادة ملء الخزان. يحتاج المتحكم الدقيق نفسه بعد ذلك إلى إعادة ضبطه عن طريق سحب طرف nRST إلى الأرض، أو عن طريق تدوير الطاقة عن طريق فصل البطارية وإعادة توصيلها؛ من المحتمل أن يكون هذا قد حدث بالفعل إذا كان أحدهم يقوم بفك وإعادة لحام الفلاش الخارجي لإعادة البرمجة/التصحيح.

يستخدم جهاز التحكم الدقيق واجهة تصحيح/برمجة Serial Wire Debug (SWD) القياسية الصناعية لقراءة/كتابة البرامج الثابتة الخاصة به و/أو ذاكرة SRAM الداخلية الخاصة به. يتم كشف واجهة SWD من خلال منفذ شحن USB-C الخاص بالـ vape. يتم توصيل خطوط SWDIO/SWCLK بدبابيس CC خلف المقاومات المنسدلة العادية 5.1k Rd، حيث أن الموصل عادةً ما يكون مزودًا بالطاقة فقط.

البرنامج الثابت الموجود على وحدة التحكم الدقيقة ليس محميًا بالقراءات، لذا فإن إجراء مزيد من البحث في البرنامج الثابت عبر إلغاء الترجمة هو وسيلة ممكنة. قد يكون من الممكن استخدام واجهة تصحيح الأخطاء هذه للتفاعل مع الفلاش الخارجي، لكن هذا لم يتم بحثه بعد.

بعض لوحات الـvape الرئيسية التي تم اختبارها، كانت تحتوي على منصات اختبار RX/TX على الجانب الخلفي من اللوحة. لم يتم البحث في هذا الأمر بعد، فيما يتعلق بكيفية تفاعل هذا المنفذ مع البرامج الثابتة، و/أو ما إذا كان من الممكن استخدامه لتحديث محتويات الفلاش الخارجية.

يتكون الـ vape من اثنين من ثنائي الفينيل متعدد الكلور، متصلين معًا برأس ذكر ذو زاوية قائمة مكون من 9 سنون وقطر 0.15 مم:

1. لوحة الطاقة: واجهة USB-C، بطارية، وحدة تحكم vape مع عنصر استشعار من نوع الإلكتريت
2. اللوحة المنطقية: LCD، شحن البطارية، وحدة التحكم الدقيقة، فلاش SPI

تتم الإشارة إلى الدبوس 1 بواسطة لوحة مربعة على لوحة الطاقة، ولوحة مقابلة على الجانب السفلي من لوحة المنطق (الجانب المقابل من وحدة التحكم الدقيقة، وSPI Flash وLCD). تحذير: قد تكون علامات الدبوس 1 متقابلة بين اللوحتين!

1. يبدو أن إشارة اكتشاف النفخة هي عبارة عن قطار نبضي يبلغ حوالي 500 هرتز، إما من خرج محرك LED الخاص بوحدة التحكم في vape، أو من خرج السخان الذي قد يكون بالفعل PWM'd لإخراج السخان. يشير عدم وجود "ومض" عند تجاوز المهلة البالغة 10 ثوانٍ إلى الخيار الأخير.
2. ينتقل الدبوس 9/1 الموجود على رأس لوحة الطاقة/المنطق مباشرةً من دبوس ملف السخان إلى مقسم الجهد 5.1k/5.1k على اللوحة المنطقية. على الرغم من أن هذا الأمر غير مؤكد حاليًا، فقد يذهب هذا إلى دبوس ADC الموجود على وحدة التحكم الدقيقة للمساعدة في اكتشاف الحمل (قد تشير قراءة Vbat الكاملة إلى أن ملف السخان مفصول، ولن يتم تشغيل الرسوم المتحركة للـ vape حتى لو كانت وحدة التحكم للـ vape تكتشف "نفخة" ").

يتم الإعلان عن سلسلة N32G01 من وحدات التحكم الدقيقة في ورقة البيانات على أنها تحتوي على تشفير Flash مدمج ودعم تمهيد آمن، ولكن هذه الميزة (لحسن الحظ) لم يتم استخدامها في الـ vape (s) التي تم اختبارها حتى الآن (أي Kraze HD7K).

لم يتم بذل الكثير من العمل في الهندسة العكسية للبرنامج الثابت نفسه، ولكن كان من الممكن الحصول على تفريغ فلاش باستخدام Segger J-Link وبرنامج J-Mem المقابل له، والذي يمكن الوصول إليه من خلال منفذ تصحيح الأخطاء/البرمجة SWD. مثل العديد من وحدات MCU القائمة على الذراع، يقع الفلاش عند 0x08000000 ولكنه ينعكس أيضًا عند 0x00000000. تم الحصول على تفريغ البرامج الثابتة من العناوين 0x08000000-0x0800FFFF (64 كيلو بايت)، وتظهر نظرة خاطفة على تفريغ البرامج الثابتة أنه تم استخدام حوالي 50% فقط من مساحة Flash فعليًا (العناوين من ما قبل 0x8000 إلى 0xFFFF كانت جميعها بايتات 0xFF، تشير إلى الذاكرة الممحاة/غير المبرمجة). يبدو أنه لا توجد سلاسل يمكن قراءتها بواسطة الإنسان في تفريغ البرامج الثابتة.

يتم عرض رقم الإصدار "السري" على الشاشة في حالة تشغيل وإيقاف طاقة USB-C بسرعة (ولكن يبدو أن ذلك يحدث بشكل غير متسق). عند محاولة استخدام Kraze HD7K، تتحول الشاشة إلى اللون الأسود، ويتم عرض النص "GV-K23 0904V1" باللون الأحمر عبر سطرين من النص لبضع ثوانٍ؛ يبدو أنه تم تقديمه بإصدار أحادي المسافة من الخط "System" بحجم 12 نقطة من Windows. يشير هذا إلى اسم منتج داخلي "GV-K" والبرنامج الثابت قيد المراجعة 1، بتاريخ 4 سبتمبر 2023. ومن قبيل الصدفة، بالقرب من نهاية مساحة عنوان Flash المستخدمة توجد كتلة من البايتات مملوءة بـ 0x00 و0xE8E4، والتي تبدو بشكل مثير للريبة مثل بيانات البكسل باللونين الأسود والأحمر والبرتقالي. يؤكد التحليل الإضافي للبيانات الأولية من هذه المنطقة أن رقم الإصدار مخزّن كصورة نقطية أولية ولا يتم عرضه من سلسلة نصية (موضح أدناه).

داخل ملف تفريغ Flash الثابت، على العناوين 0x7066-0x7E75، يبدو أنه نسخة نقطية من رقم الإصدار المذكور أعلاه. يبدو أن حجمها هو 60x30 بكسل فقط، ولكن هناك 0x00 بايت حشو حول هذه الصورة النقطية لا تتم محاذاتها مع حدود 120 بايت (60 بكسل)، مما يجعل تحديد حجم الصورة "الحقيقي" أمرًا صعبًا دون فك ترجمة البرامج الثابتة والعثور على الوظيفة الذي يطلق شاشة الإصدار.

جميع العلامات التجارية هي ملك لأصحابها.