ColorLCDVape RE

Ingeniería inversa de algunos vaporizadores desechables recargables que incluyen una pequeña pantalla LCD TFT a color (Raz TN9000/Kraze HD7K/etc.).

Se pueden encontrar más actualizaciones en https://github.com/ginbot86/ColorLCDVape-RE

Algunos vaporizadores desechables en el mercado incluyen accesorios como una pantalla LCD en color y capacidad de recarga USB-C, pero son dispositivos desechables de un solo uso; esto hace que estos dispositivos sean bastante perjudiciales para el medio ambiente. Por otro lado, esto abre oportunidades para que los aficionados/ingenieros puedan recuperar el hardware, reutilizar el vaporizador tal como está rellenándolo con jugo de vaporizador fresco y reiniciando el medidor interno, o incluso personalizarlo editando las imágenes integradas.

El vaporizador específico que se investiga en este proyecto tiene varios nombres, pero el que se investigó específicamente se llamó Kraze HD7K. Sin embargo, este vaporizador también se ha visto bajo la marca "RAZ", como el RAZ TN9000.

Los vaporizadores desechables generalmente utilizan baterías de iones de litio sin ningún circuito de protección. Los cortocircuitos podrían disipar cantidades incontroladas de energía, causando lesiones personales y/o daños a la propiedad. Cualquier trabajo realizado en estos vaporizadores se realiza bajo su propio riesgo.

Se ha determinado que existen múltiples revisiones de circuitos de estos vaporizadores, que pueden tener incompatibilidades que podrían provocar daños en el dispositivo si las versiones no coinciden. Verifique las conexiones y la compatibilidad del firmware antes de realizar cualquier modificación.

Además, el jugo/"e-líquido" para vapear puede contener altas concentraciones de nicotina, que se absorbe a través de la piel. La manipulación de las partes internas del vaporizador debe realizarse con guantes hasta que las partes internas estén limpias de jugo y/o residuos.

El trabajo de otras personas con estos vaporizadores incluye, entre otros:

• https://github.com/xbenkozx/RAZ-RE

El trabajo realizado en los repositorios antes mencionados puede basarse o no en el trabajo realizado en este proyecto; está destinado a vincular proyectos similares con la esperanza de que se puedan realizar más esfuerzos comunitarios en estos vaporizadores.

El vaporizador utiliza el siguiente hardware:

• Microcontrolador Nations Tech N32G01K8Q7-1, con un núcleo Arm Cortex-M0 de 48MHz, 64k de memoria Flash interna, 8k de SRAM
• Giantech Semiconductor GT25Q80A 8Mbit (1Mbyte) SPI NOR Flash
• Cargador de batería lineal de iones de litio LowPowerSemi LP4068, configurado para una corriente de carga de ~550 mA
• Regulador de voltaje LowPowerSemi LDO, etiquetado como "LPS 2NDJ1", pero se desconoce el modelo exacto
• Controlador de vapeo genérico SOT-23 de 5 pines, etiquetado como "AjCH" con elemento sensor de micrófono tipo electret
• Pantalla TFT IPS de 80x160 de 0,96 pulgadas, que se describe a continuación

El vaporizador utiliza una pantalla LCD IPS de 0,96 pulgadas con resolución de 80x160, con un cable plano flexible (FPC) de 13 pines y 0,7 mm de paso que está soldado a la placa base del vaporizador. Se conecta a través de SPI de 4 cables (datos, reloj, datos/comando, selección de chip) y parece usar el controlador ST7735S. Incluso utiliza el mismo pinout para pantallas disponibles comercialmente, como Smart Prototyping #102106.

Hay dos formas de memoria Flash en el vaporizador: Flash interna en el microcontrolador y 1 megabyte (8 megabits) de Flash SPI NOR externo. El primero contiene el firmware, mientras que el segundo contiene todas las imágenes que se muestran en la pantalla LCD, así como el tiempo total que estuvo en uso la bobina de calentamiento del vapeo; Este contador se utiliza para derivar el número de "barras" que se muestran en el medidor de jugo de vapeo. El análisis del bus de datos de la pantalla LCD (consulte la captura lógica .dsl utilizando DreamSourceLab DSView) sugiere que el microcontrolador utiliza DMA (acceso directo a la memoria) para transmitir datos de imágenes desde el flash externo a la pantalla LCD, ya que las transferencias de datos se producen como fragmentos contiguos de 4096 bytes. , correspondiente a una única página NOR Flash. El análisis de la memoria del microcontrolador indica que el búfer de memoria DMA se encuentra en las direcciones RAM 0x2000022C-0x2000062B.

Todas las imágenes se almacenan en el Flash externo como mapas de bits RGB565 sin procesar de 16 bits (es decir, cada píxel ocupa 2 bytes de datos). Las herramientas de conversión, como ImageConverter565 de la biblioteca UTFT de Rinky-Dink Electronics, se pueden utilizar para convertir formatos de imagen como JPEG/PNG en un archivo binario sin formato que se puede parchear en el Flash externo con el desplazamiento correspondiente. No hay metadatos almacenados con las imágenes sin procesar, por lo que las dimensiones de la imagen deben proporcionarse manualmente, como se muestra en la siguiente tabla.

1. Algunos fotogramas de animación que se encuentran en la memoria Flash externa parecen no usarse (e incluso hacen referencia a la marca RAZ a pesar de que otras marcas muestran Kraze), pero posiblemente podrían activarse en el firmware o en otro lugar; esto aún no ha sido investigado.
2. El valor del medidor de jugo se deriva del temporizador de vapeo, pero aún no se conoce la fórmula exacta para obtenerlo. Sin embargo, lo que se sabe es que no tiene protección contra desbordamiento y restablecer el valor a 0x00000000 restablecerá el medidor de jugo.
3. Si las ubicaciones Flash 0xF8000-0xF8004 se borran a 0xFF bytes, este byte de bandera se reinicializará a 0xBB y el temporizador se reinicializará a 0x00000000, lo que también restablecerá efectivamente el medidor de jugo. Configurar el byte de bandera en 0xF8004 en cualquier cosa que no sea 0xBB logrará el mismo efecto. Además, cualquier otro byte en este sector Flash será reducido a 0xFF, ya que se emite un borrado de página cada vez que se actualiza el contador; El firmware sólo conserva los bytes del temporizador y de la bandera.

Se han incluido dos scripts de Python para ayudar a dividir y volver a ensamblar el volcado de Flash en/desde las imágenes individuales almacenadas en SPI Flash: split-flashdump.py y assemble-flashdump.py . Actualmente, las herramientas no realizan conversión de formato (conseguir que ChatGPT me ayude hasta ahora ya fue un proceso largo), pero contribuyen en gran medida a ayudar en la creación de paquetes de "temas" personalizados. Los recursos no utilizados se pueden eliminar del volcado Flash recompactado manteniéndolos fuera del directorio que contiene los archivos que se van a volver a ensamblar; esas regiones no utilizadas permanecerán como 0xFF/bytes borrados.

El reempaquetador, assemble-flashdump.py , espera que los nombres de los archivos de entrada tengan un formato específico, ya que utiliza el desplazamiento codificado en hexadecimal para determinar dónde insertar cada pieza en el archivo de volcado Flash de 1 MB (consulte split_map.csv o el ejemplo incluido). tema, que se describe a continuación en Paquetes de temas personalizados ):

• {index}_{offset}_{width}x{height}_{category}_{sequence}.bin
• Ejemplo: 19_33d00_80x160_vapeanim-0.bin

Para convertir imágenes PNG o JPEG, utilice la herramienta ImgConv.exe de la biblioteca UTFT mencionada anteriormente:

• ImgConv.exe *.png /r
• ImgConv.exe *.jpg /r
• ren *.raw *.bin

Nota: asegúrese de que las imágenes que se van a convertir al formato .bin tengan las dimensiones correctas ANTES de convertirlas.

Como prueba de concepto, se incluye un paquete de temas terminado al estilo de Windows 95; implementa todos los recursos para los indicadores de batería y carga, animación de carga (solo fondo del complemento 3 y borrado del logotipo del cargador, ya que es la única animación utilizada con el firmware probado) y animación de vapeo (una captura correcta de la relación de aspecto del 3D). Salvapantallas de tuberías). Todo lo que se necesita es acceso al SPI Flash y un medio para reprogramarlo. El espacio para ampliar este concepto podría ser a través de un dongle USB SWD económico, conectado a través del puerto USB-C, y algún software que cargue una pequeña herramienta de reprogramación en la RAM del microcontrolador, eliminando potencialmente la necesidad de desoldar el chip Flash.

También se ha incluido una plantilla en blanco/editable. Todos los fotogramas se implementan con números de fotograma para animaciones.

¡Toda esta personalización es posible sin tocar el firmware del microcontrolador!

Como se describe en Diseño de la memoria flash externa , notas 2 y 3 anteriores, llenar las ubicaciones de la memoria flash externa 0xF8000-0xF8004 con 0xFF restablecerá el medidor de jugo al máximo, lo que permitirá la reutilización del vaporizador una vez que se rellene el depósito. Luego, es necesario restablecer el microcontrolador tirando del pin nRST a tierra o reiniciándolo desconectando y volviendo a conectar la batería; Es probable que esto ya haya sucedido si uno está desoldando y resoldando el Flash externo para reprogramarlo/parchearlo.

El microcontrolador utiliza la interfaz de depuración/programación Serial Wire Debug (SWD) estándar de la industria para leer/escribir su firmware y/o su memoria SRAM interna. La interfaz SWD está expuesta a través del puerto de carga USB-C del vaporizador. Las líneas SWDIO/SWCLK están conectadas a los pines CC detrás de las resistencias pulldown normales de 5.1k Rd, ya que el conector normalmente es solo de alimentación.

El firmware del microcontrolador no está protegido contra lectura, por lo que una posible vía es investigar más a fondo el firmware mediante descompilación. Es posible utilizar esta interfaz de depuración para interactuar con el Flash externo, pero esto aún no se ha investigado.

Algunas de las placas base de vapeo que se probaron tenían almohadillas de prueba RX/TX en la parte posterior de la placa. Aún no se ha investigado cómo interactúa este puerto con el firmware y/o si se puede utilizar para actualizar el contenido Flash externo.

El vaporizador se compone de dos PCB, unidas entre sí con un conector macho en ángulo recto de 9 pines y paso de 0,15 mm:

1. Placa de alimentación: interfaz USB-C, batería, controlador de vapeo con elemento sensor tipo electret
2. Placa lógica: LCD, carga de batería, microcontrolador, SPI Flash

El pin 1 se indica mediante una almohadilla cuadrada en la placa de alimentación y una almohadilla correspondiente en la parte inferior de la placa lógica (lado opuesto del microcontrolador, SPI Flash y LCD). ADVERTENCIA: ¡Las marcas del pin 1 pueden estar opuestas entre sí entre las dos tablas!

1. La señal de detección de calada parece ser un tren de pulsos de ~500 Hz, ya sea desde la salida del controlador LED del controlador de vapeo o desde la salida del calentador, que podría ya tener un PWM para la salida del calentador. La falta de un "parpadeo" cuando se excede el tiempo de espera de 10 segundos sugiere lo último.
2. El pin 9/1 en el encabezado de la placa lógica/de alimentación va directamente desde el pin de la bobina del calentador a un divisor de voltaje de 5,1 k/5,1 k en la placa lógica. Aunque actualmente no está confirmado, esto podría ir a un pin ADC en el microcontrolador para ayudar con la detección de carga (una lectura completa de Vbat podría sugerir que la bobina del calentador está desconectada y la animación del vaporizador no se reproducirá incluso si el controlador del vaporizador detecta una "bocanada"). ").

La serie de microcontroladores N32G01 se anuncia en la hoja de datos con cifrado Flash integrado y soporte de arranque seguro, pero esta característica (afortunadamente) no se utiliza en los vaporizadores probados hasta ahora (es decir, el Kraze HD7K).

No se ha trabajado mucho en la ingeniería inversa del firmware en sí, pero se pudo obtener un volcado flash con el uso de un Segger J-Link y su correspondiente software J-Mem, al que se accede a través del puerto de programación/depuración SWD. Como muchas MCU basadas en Arm, Flash se encuentra en 0x08000000 pero también se refleja en 0x00000000. Se tomó un volcado del firmware de las direcciones 0x08000000-0x0800FFFF (64k), y un vistazo rápido al volcado del firmware muestra que en realidad solo se utilizó aproximadamente el 50% del espacio Flash (las direcciones desde justo antes de 0x8000 hasta 0xFFFF eran todas bytes 0xFF, indicando memoria borrada/no programada). No parece haber cadenas legibles por humanos en el volcado de firmware.

Se muestra un número de versión "secreto" en la pantalla si la alimentación del USB-C se enciende y apaga rápidamente (pero parece ocurrir de manera inconsistente). Cuando se intenta con un Kraze HD7K, la pantalla se vuelve negra y el texto "GV-K23 0904V1" se muestra en rojo en dos líneas de texto durante un par de segundos; parece estar renderizado con una versión monoespaciada de la fuente "System" de tamaño 12 puntos de Windows. Esto indica que el nombre de producto interno es "GV-K" y que el firmware es la revisión 1, con fecha del 4 de septiembre de 2023. Casualmente, cerca del final del espacio de direcciones Flash utilizado hay un bloque de bytes lleno con 0x00 y 0xE8E4, que Se parece sospechosamente a datos de píxeles negros y rojo anaranjado. Un análisis más detallado de los datos sin procesar de esta región confirma que el número de versión se almacena como un mapa de bits sin procesar y no se representa a partir de una cadena de texto (se explica a continuación).

Dentro del volcado Flash del firmware, en las direcciones 0x7066-0x7E75, parece haber una versión de mapa de bits del número de versión antes mencionado. Parece tener solo un tamaño de 60x30 píxeles, pero hay bytes de relleno de 0x00 alrededor de este mapa de bits que no se alinean con los límites de 120 bytes (60 píxeles), lo que dificulta la determinación del tamaño "verdadero" de la imagen sin descompilar el firmware y encontrar la función. que activa la pantalla de versión.

Todas las marcas comerciales son propiedad de sus respectivos dueños.