ColorLCDVape RE

Reverse Engineering einiger wiederaufladbarer Einweg-Vaporizer, die ein kleines Farb-TFT-LCD enthalten (Raz TN9000/Kraze HD7K/usw.).

Weitere Updates finden Sie unter https://github.com/ginbot86/ColorLCDVape-RE

Einige auf dem Markt erhältliche Einweg-Vaporizer verfügen über Ausstattungen wie einen Farb-LCD-Bildschirm und USB-C-Aufladbarkeit, sind jedoch Einweggeräte; Dies macht solche Geräte ziemlich umweltschädlich. Auf der anderen Seite eröffnet dies Möglichkeiten für die Hardware-Rettung durch Bastler/Ingenieure, die Wiederverwendung des E-Zigarettens in seinem jetzigen Zustand durch Auffüllen mit frischem E-Zigarettensaft und Zurücksetzen des internen Messgeräts oder sogar für die individuelle Anpassung durch Bearbeiten der Onboard-Bilder.

Der spezifische Vape, der in diesem Projekt untersucht wird, hat verschiedene Namen, aber der speziell untersuchte hieß Kraze HD7K. Allerdings wurde dieser Vape auch unter dem Markennamen „RAZ“ gesehen, wie der RAZ TN9000.

Einweg-Vaporizer verwenden im Allgemeinen Li-Ionen-Batterien ohne jegliche Schutzschaltung. Kurzschlüsse könnten zu unkontrolliertem Stromverlust führen und Personen- und/oder Sachschäden verursachen. Sämtliche Arbeiten an diesen E-Zigaretten erfolgen auf eigenes Risiko.

Es wurde festgestellt, dass es mehrere Schaltkreisrevisionen dieser Verdampfer gibt, die möglicherweise Inkompatibilitäten aufweisen, die bei nicht übereinstimmenden Versionen zu Geräteschäden führen können. Überprüfen Sie die Verbindungen und die Firmware-Kompatibilität, bevor Sie Änderungen vornehmen.

Darüber hinaus kann E-Liquid/Vape-Saft hohe Konzentrationen an Nikotin enthalten, das über die Haut aufgenommen wird. Die Handhabung der Innenteile des Verdampfers sollte mit Handschuhen erfolgen, bis die Innenteile von Saft und/oder Rückständen befreit sind.

Zu den Arbeiten anderer Leute an diesen Vapes gehören unter anderem:

• https://github.com/xbenkozx/RAZ-RE

Die in den oben genannten Repositories geleistete Arbeit kann auf der in diesem Projekt geleisteten Arbeit basieren oder auch nicht; Es soll ähnliche Projekte miteinander verknüpfen, in der Hoffnung, dass mehr Gemeinschaftsanstrengungen für diese E-Zigaretten unternommen werden können.

Der Vape verwendet die folgende Hardware:

• Nations Tech N32G01K8Q7-1 Mikrocontroller mit einem 48-MHz-Arm-Cortex-M0-Kern, 64 KB internem Flash-Speicher und 8 KB SRAM
• Giantech Semiconductor GT25Q80A 8Mbit (1Mbyte) SPI NOR Flash
• LowPowerSemi LP4068 lineares Li-Ionen-Akkuladegerät, konfiguriert für ~550 mA Ladestrom
• LowPowerSemi LDO-Spannungsregler mit der Bezeichnung „LPS 2NDJ1“, das genaue Modell ist jedoch unbekannt
• Allgemeiner 5-poliger SOT-23-Vape-Controller mit der Aufschrift „AjCH“ und Elektret-Mikrofon-Sensorelement
• 0,96-Zoll-80x160-IPS-TFT-Display, unten beschrieben

Der Vape verwendet ein 0,96-Zoll-IPS-LCD mit einer Auflösung von 80 x 160 und einem 13-poligen Flat-Flex-Kabel (FPC) mit einem Abstand von 0,7 mm, das mit dem Vape-Mainboard verlötet ist. Die Verbindung erfolgt über 4-Draht-SPI (Daten, Takt, Daten/Befehl, Chipauswahl) und scheint den ST7735S-Controller zu verwenden. Es verwendet sogar die gleiche Pinbelegung für handelsübliche Displays, wie das Smart Prototyping #102106.

Es gibt zwei Formen von Flash-Speicher auf dem Vape: interner Flash auf dem Mikrocontroller und 1 Megabyte (8 Megabit) externer SPI-NOR-Flash. Ersteres enthält die Firmware, während letzteres alle Bilder enthält, die auf dem LCD angezeigt werden, sowie die Gesamtzeit, die die E-Zigaretten-Heizspirale verwendet wurde; Dieser Zähler wird verwendet, um die Anzahl der „Bars“ abzuleiten, die auf dem E-Zigaretten-Messgerät angezeigt werden. Die Analyse des LCD-Datenbusses (siehe .dsl-Logikerfassung mit DreamSourceLab DSView) legt nahe, dass der Mikrocontroller DMA (Direct Memory Access) verwendet, um Bilddaten vom externen Flash in das LCD zu streamen, da die Datenübertragung als zusammenhängende 4096-Byte-Blöcke erfolgt , entsprechend einer einzelnen NOR-Flash-Seite. Die Analyse des Speichers des Mikrocontrollers zeigt, dass der DMA-Speicherpuffer in den RAM-Adressen 0x2000022C-0x2000062B liegt.

Alle Bilder werden auf dem externen Flash als rohe RGB565-16-Bit-Bitmaps gespeichert (dh jedes Pixel belegt 2 Byte Daten). Konvertierungstools wie ImageConverter565 aus der UTFT-Bibliothek von Rinky-Dink Electronics können verwendet werden, um Bildformate wie JPEG/PNG in eine rohe Binärdatei zu konvertieren, die mit dem entsprechenden Offset in den externen Flash gepatcht werden kann. Mit den Rohbildern werden keine Metadaten gespeichert, daher müssen die Bildabmessungen manuell eingegeben werden, wie in der Tabelle unten gezeigt.

1. Einige im externen Flash-Speicher gefundene Animationsbilder scheinen ungenutzt zu sein (und verweisen sogar auf den Markennamen RAZ, trotz der anderen Marke, die Kraze zeigt), könnten aber möglicherweise in der Firmware oder anderswo aktiviert werden; das ist noch nicht erforscht.
2. Der Saftzählerwert wird vom Vape-Timer abgeleitet, die genaue Formel zur Ableitung ist jedoch noch nicht bekannt. Bekannt ist jedoch, dass es keinen Überlaufschutz gibt und das Zurücksetzen des Werts auf 0x00000000 den Saftzähler zurücksetzt.
3. Wenn die Flash-Speicherplätze 0xF8000–0xF8004 auf 0xFF-Bytes gelöscht werden, wird dieses Flag-Byte auf 0xBB neu initialisiert und der Timer wird auf 0x00000000 neu initialisiert, wodurch auch der Saftzähler effektiv zurückgesetzt wird. Wenn Sie das Flag-Byte bei 0xF8004 auf etwas setzen, das nicht 0xBB ist, wird derselbe Effekt erzielt. Darüber hinaus werden alle anderen Bytes in diesem Flash-Sektor auf 0xFF geblockt, da bei jeder Aktualisierung des Zählers eine Seitenlöschung erfolgt; Nur die Timer- und Flag-Bytes werden von der Firmware beibehalten.

Zwei Python-Skripte wurden hinzugefügt, um das Aufteilen und erneute Zusammensetzen des Flash-Dumps in bzw. aus den einzelnen im SPI-Flash gespeicherten Bildern zu unterstützen: split-flashdump.py assemble-flashdump.py . Die Tools führen derzeit keine Formatkonvertierung durch (es war schon ein langer Prozess, ChatGPT dazu zu bringen, mir bis hierher zu helfen), aber sie tragen wesentlich dazu bei, benutzerdefinierte „Themen“-Pakete zu erstellen. Nicht verwendete Ressourcen können aus dem neu gepackten Flash-Dump entfernt werden, indem sie aus dem Verzeichnis mit den neu zusammenzusetzenden Dateien ferngehalten werden. Diese ungenutzten Bereiche bleiben als 0xFF/gelöschte Bytes bestehen.

Der Repacker assemble-flashdump.py “ erwartet, dass die Eingabedateinamen ein bestimmtes Format haben, da er den hexadezimal codierten Offset verwendet, um zu bestimmen, wo jedes Teil in die 1-MB-Flash-Dump-Datei eingefügt werden soll (siehe split_map.csv oder das beigefügte Beispiel). Thema, unten in Benutzerdefinierte Themenpakete beschrieben):

• {index}_{offset}_{width}x{height}_{category}_{sequence}.bin
• Beispiel: 19_33d00_80x160_vapeanim-0.bin

Um PNG- oder JPEG-Bilder zu konvertieren, verwenden Sie das ImgConv.exe Tool der zuvor erwähnten UTFT-Bibliothek:

• ImgConv.exe *.png /r
• ImgConv.exe *.jpg /r
• ren *.raw *.bin

Hinweis: Stellen Sie sicher, dass die Bilder, die in das .bin-Format konvertiert werden sollen, die richtigen Abmessungen haben, BEVOR Sie sie konvertieren!

Als Proof of Concept ist ein fertiges Theme-Paket im Windows 95-Stil enthalten; Es implementiert alle Ressourcen für die Batterie- und Saftanzeigen, die Ladeanimation (nur Plugin-Hintergrund 3 und das Löschen des Ladegerät-Logos, da dies das einzige verwendete Animationsset mit der getesteten Firmware ist) und die E-Zigaretten-Animation (eine im Seitenverhältnis korrekte Erfassung des 3D-Bildes). Bildschirmschoner „Pfeifen“. Alles, was benötigt wird, ist der Zugriff auf den SPI-Flash und die Möglichkeit, ihn neu zu programmieren. Raum für eine Erweiterung dieses Konzepts könnte ein günstiger SWD-USB-Dongle sein, der über den USB-C-Anschluss angeschlossen wird, und eine Software, die ein kleines Neuprogrammierungstool in den RAM des Mikrocontrollers lädt, wodurch möglicherweise das Entlöten des Flash-Chips überflüssig wird.

Eine leere/bearbeitbare Vorlage ist ebenfalls enthalten. Für Animationen sind alle Frames mit Framenummern versehen.

All diese Anpassungen sind möglich, ohne die Firmware des Mikrocontrollers zu berühren!

Wie im Abschnitt „Layout des externen Flash-Speichers“ , Anmerkungen 2 und 3 oben, beschrieben, wird durch das Füllen der externen Flash-Speicherplätze 0xF8000–0xF8004 mit 0xFF der Saftzähler auf voll zurückgesetzt, sodass der Vape wiederverwendet werden kann, sobald der Behälter wieder aufgefüllt ist. Der Mikrocontroller selbst muss dann zurückgesetzt werden, indem der nRST-Pin auf Masse gezogen oder durch Abklemmen und erneutes Anschließen der Batterie aus- und wieder eingeschaltet wird. Dies ist wahrscheinlich bereits passiert, wenn der externe Flash zum Neuprogrammieren/Patchen entlötet und neu gelötet wird.

Der Mikrocontroller verwendet die Debug-/Programmierschnittstelle Serial Wire Debug (SWD) nach Industriestandard zum Lesen/Schreiben seiner Firmware und/oder seines internen SRAM-Speichers. Die SWD-Schnittstelle wird über den USB-C-Ladeanschluss des Vapes zugänglich gemacht. Die SWDIO/SWCLK-Leitungen werden mit den CC-Pins hinter den normalen 5,1k-Rd-Pulldown-Widerständen verbunden, da der Anschluss normalerweise nur mit Strom versorgt wird.

Die Firmware auf dem Mikrocontroller ist nicht auslesegeschützt, daher ist eine weitere Erforschung der Firmware mittels Dekompilierung ein möglicher Weg. Möglicherweise ist es möglich, diese Debug-Schnittstelle zur Interaktion mit dem externen Flash zu verwenden, dies wurde jedoch noch nicht untersucht.

Einige der getesteten Vape-Mainboards hatten RX/TX-Testpads auf der Rückseite des Boards. Es ist noch nicht erforscht, wie dieser Port mit der Firmware interagiert und/oder ob er zur Aktualisierung der externen Flash-Inhalte genutzt werden kann.

Der Vape besteht aus zwei Leiterplatten, die über einen 9-poligen, rechtwinkligen Stiftstecker mit 0,15 mm Rastermaß miteinander verbunden sind:

1. Stromversorgungsplatine: USB-C-Schnittstelle, Batterie, E-Zigaretten-Controller mit Elektret-Sensorelement
2. Logikplatine: LCD, Batterieladung, Mikrocontroller, SPI-Flash

Pin 1 wird durch ein quadratisches Pad auf der Leistungsplatine und ein entsprechendes Pad auf der Unterseite der Logikplatine (gegenüberliegende Seite von Mikrocontroller, SPI-Flash und LCD) gekennzeichnet. ACHTUNG: Die Markierungen von Pin 1 können zwischen den beiden Platinen entgegengesetzt sein!

1. Das Zugerkennungssignal scheint eine Impulsfolge von ~500 Hz zu sein, entweder vom LED-Treiberausgang des E-Zigaretten-Controllers oder vom Heizausgang, der möglicherweise bereits für den Heizausgang per PWM gesteuert wird. Das Fehlen eines „Blinkens“ bei Überschreitung des 10-Sekunden-Timeouts deutet auf Letzteres hin.
2. Pin 9/1 am Strom-/Logikplatinen-Header geht direkt vom Heizspulenstift in einen 5,1k/5,1k-Spannungsteiler auf der Logikplatine. Obwohl derzeit nicht bestätigt, geht dies möglicherweise an einen ADC-Pin am Mikrocontroller, um die Lasterkennung zu unterstützen (ein vollständiger Vbat-Wert könnte darauf hindeuten, dass die Heizspule nicht angeschlossen ist und die Vape-Animation nicht abgespielt wird, selbst wenn der Vape-Controller einen „Puff“ erkennt ").

Die Mikrocontroller der N32G01-Serie werden im Datenblatt mit integrierter Flash-Verschlüsselung und sicherer Boot-Unterstützung beworben, aber diese Funktion wird (zum Glück) bei den bisher getesteten Vapes (nämlich dem Kraze HD7K) nicht verwendet.

Es wurde nicht viel Arbeit in das Reverse Engineering der Firmware selbst gesteckt, aber mithilfe eines Segger J-Links und der entsprechenden J-Mem-Software, auf die über den SWD-Debug-/Programmierport zugegriffen wurde, konnte ein Flash-Dump erstellt werden. Wie bei vielen Arm-basierten MCUs befindet sich der Flash bei 0x08000000, wird aber auch bei 0x00000000 gespiegelt. Ein Dump der Firmware wurde von den Adressen 0x08000000-0x0800FFFF (64 KB) erstellt, und ein flüchtiger Blick auf den Firmware-Dump zeigt, dass nur etwa 50 % des Flash-Speicherplatzes tatsächlich genutzt wurden (Adressen von kurz vor 0x8000 bis 0xFFFF waren alle 0xFF-Bytes, zeigt an, dass der Speicher gelöscht/unprogrammiert ist). Im Firmware-Dump scheinen keine für Menschen lesbaren Zeichenfolgen vorhanden zu sein.

Eine „geheime“ Versionsnummer wird auf dem Bildschirm angezeigt, wenn die USB-C-Stromversorgung schnell ein- und ausgeschaltet wird (dies scheint jedoch inkonsistent zu geschehen). Beim Versuch mit einem Kraze HD7K wird der Bildschirm schwarz und der Text „GV-K23 0904V1“ wird einige Sekunden lang in zwei Textzeilen rot angezeigt; Es scheint mit einer Monospace-Version der 12-Punkt-Schriftart „System“ von Windows gerendert zu werden. Dies deutet auf einen internen Produktnamen von „GV-K“ und die Firmware-Revision 1 vom 4. September 2023 hin. Zufälligerweise befindet sich gegen Ende des verwendeten Flash-Adressraums ein Byteblock, der mit 0x00 und 0xE8E4 gefüllt ist sieht verdächtig nach schwarzen und rot-orangefarbenen Pixeldaten aus. Eine weitere Analyse der Rohdaten aus dieser Region bestätigt, dass die Versionsnummer als Roh-Bitmap gespeichert und nicht aus einer Textzeichenfolge gerendert wird (siehe unten).

Im Firmware-Flash-Dump an den Adressen 0x7066-0x7E75 scheint sich eine Bitmap-Version der oben genannten Versionsnummer zu befinden. Es scheint nur 60 x 30 Pixel groß zu sein, aber es gibt 0 x 00 Füllbytes um diese Bitmap herum, die nicht an 120-Byte-Grenzen (60 Pixel) ausgerichtet sind, was es schwierig macht, die „wahre“ Bildgröße zu bestimmen, ohne die Firmware zu dekompilieren und die Funktion zu finden Dadurch wird der Versionsbildschirm ausgelöst.

Alle Marken sind Eigentum ihrer jeweiligen Inhaber.