ColorLCDVape RE

Rétro-ingénierie de certains vapos jetables rechargeables dotés d'un petit écran LCD TFT couleur (Raz TN9000/Kraze HD7K/etc.).

D'autres mises à jour peuvent être trouvées sur https://github.com/ginbot86/ColorLCDVape-RE

Certains vapos jetables sur le marché incluent des accessoires tels qu'un écran LCD couleur et une recharge USB-C, mais sont des appareils jetables à usage unique ; cela rend ces appareils très nocifs sur le plan écologique. D'un autre côté, cela ouvre des possibilités de récupération de matériel par les amateurs/ingénieurs, de réutilisation du vape tel quel en le remplissant de jus de vape frais et en réinitialisant le compteur interne, ou même de personnalisation en éditant les images intégrées.

Le vape spécifique étudié dans ce projet porte différents noms, mais celui qui a été spécifiquement étudié s'appelait Kraze HD7K. Cependant, cette vape a également été vue sous la marque « RAZ », comme le RAZ TN9000.

Les vapes jetables utilisent généralement des batteries Li-ion sans aucun circuit de protection. Les courts-circuits pourraient dissiper des quantités d'énergie incontrôlées, provoquant des blessures corporelles et/ou des dommages matériels. Tout travail effectué sur ces vapes est effectué à vos propres risques.

Il a été déterminé qu'il existe plusieurs révisions de circuits de ces vapes, qui peuvent présenter des incompatibilités pouvant entraîner des dommages à l'appareil si les versions ne correspondent pas. Vérifiez les connexions et la compatibilité du micrologiciel avant de procéder à toute modification.

De plus, le jus de vape/« e-liquide » peut contenir de fortes concentrations de nicotine, qui est absorbée par la peau. La manipulation des composants internes de la vape doit être effectuée avec des gants jusqu'à ce que les composants internes soient nettoyés du jus et/ou des résidus.

Le travail d'autres personnes sur ces vapes comprend, sans s'y limiter :

• https://github.com/xbenkozx/RAZ-RE

Les travaux effectués dans les référentiels susmentionnés peuvent ou non être basés sur les travaux effectués dans le cadre de ce projet ; il est destiné à relier des projets similaires dans l’espoir que davantage d’efforts communautaires pourront être entrepris sur ces vapes.

La vape utilise le matériel suivant :

• Microcontrôleur Nations Tech N32G01K8Q7-1, doté d'un cœur Arm Cortex-M0 de 48 MHz, 64 Ko de mémoire Flash interne, 8 Ko de SRAM
• Giantech Semiconductor GT25Q80A 8 Mbits (1 Mo) SPI NOR Flash
• Chargeur de batterie Li-ion linéaire LowPowerSemi LP4068, configuré pour un courant de charge d'environ 550 mA
• Régulateur de tension LowPowerSemi LDO, étiqueté "LPS 2NDJ1" mais le modèle exact est inconnu
• Contrôleur de vape SOT-23 générique à 5 broches, étiqueté « AjCH » avec élément de détection de microphone de type électret
• Écran TFT IPS 80x160 de 0,96 pouces, décrit ci-dessous

Le vape utilise un écran LCD IPS de 0,96 pouce de résolution 80 x 160, avec un câble FPC (Flat-Flex) à 13 broches au pas de 0,7 mm qui est soudé à la carte mère du vape. Il se connecte via SPI à 4 fils (données, horloge, données/commande, sélection de puce) et semble utiliser le contrôleur ST7735S. Il utilise même le même brochage pour les écrans disponibles dans le commerce, comme le Smart Prototyping #102106.

Il existe deux formes de mémoire Flash sur la vape : Flash interne sur le microcontrôleur et 1 mégaoctet (8 mégabits) de Flash SPI NOR externe. Le premier contient le firmware, tandis que le second contient toutes les images affichées sur l'écran LCD, ainsi que la durée totale d'utilisation du serpentin de chauffage de la vape ; ce compteur permet de déduire le nombre de « barres » affichées sur le compteur de jus de vape. L'analyse du bus de données LCD (voir la capture logique .dsl à l'aide de DreamSourceLab DSView) suggère que le microcontrôleur utilise DMA (Direct Memory Access) pour diffuser les données d'image du Flash externe vers l'écran LCD, car les transferts de données se produisent sous forme de blocs contigus de 4 096 octets. , correspondant à une seule page NOR Flash. L'analyse de la mémoire du microcontrôleur indique que la mémoire tampon DMA se trouve dans les adresses RAM 0x2000022C-0x2000062B.

Toutes les images sont stockées sur le Flash externe sous forme de bitmaps bruts RGB565 16 bits (c'est-à-dire que chaque pixel occupe 2 octets de données). Des outils de conversion, tels que ImageConverter565 de la bibliothèque UTFT de Rinky-Dink Electronics, peuvent être utilisés pour convertir des formats d'image tels que JPEG/PNG en un fichier binaire brut qui peut être patché dans le Flash externe au décalage correspondant. Aucune métadonnée n'est stockée avec les images brutes, les dimensions de l'image doivent donc être fournies manuellement, comme indiqué dans le tableau ci-dessous.

1. Certaines images d'animation trouvées dans la mémoire Flash externe semblent inutilisées (et font même référence au nom de la marque RAZ malgré l'autre marque montrant Kraze), mais pourraient éventuellement être activées dans le micrologiciel ou ailleurs ; cela n’a pas encore fait l’objet de recherches.
2. La valeur du compteur de jus est dérivée du minuteur de vape, mais la formule exacte pour la dériver n'est pas encore connue. Cependant, ce que l’on sait, c’est qu’il n’a pas de protection contre les débordements et que le fait de remettre la valeur à 0x00000000 réinitialisera le compteur de jus.
3. Si les emplacements Flash 0xF8000-0xF8004 sont effacés en octets 0xFF, cet octet de drapeau sera réinitialisé à 0xBB et la minuterie sera réinitialisée à 0x00000000, réinitialisant également efficacement le compteur de jus. Définir l'octet d'indicateur à 0xF8004 sur tout ce qui n'est pas 0xBB produira le même effet. De plus, tous les autres octets de ce secteur Flash seront réduits à 0xFF, puisqu'un effacement de page est émis à chaque fois que le compteur est mis à jour ; seuls les octets de minuterie et d'indicateur sont conservés par le micrologiciel.

Deux scripts Python ont été inclus pour faciliter le fractionnement et le réassemblage du dump Flash dans/à partir des images individuelles stockées dans SPI Flash : split-flashdump.py et assemble-flashdump.py . Les outils n'effectuent actuellement pas de conversion de format (obtenir que ChatGPT m'aide jusqu'ici était déjà un long processus), mais contribuent grandement à la création de packs de « thèmes » personnalisés. Les ressources inutilisées peuvent être supprimées du dump Flash reconditionné en les gardant en dehors du répertoire contenant les fichiers à réassembler ; ces régions inutilisées resteront sous forme de 0xFF/octets effacés.

Le repacker, assemble-flashdump.py , s'attend à ce que les noms de fichiers d'entrée soient d'un format spécifique, car il utilise le décalage codé en hexadécimal pour déterminer où insérer chaque élément dans le fichier de vidage Flash de 1 Mo (voir split_map.csv ou l'exemple inclus thème, décrit ci-dessous dans Packs de thèmes personnalisés ):

• {index}_{offset}_{width}x{height}_{category}_{sequence}.bin
• Exemple : 19_33d00_80x160_vapeanim-0.bin

Pour convertir des images PNG ou JPEG, utilisez l'outil ImgConv.exe de la bibliothèque UTFT mentionnée précédemment :

• ImgConv.exe *.png /r
• ImgConv.exe *.jpg /r
• ren *.raw *.bin

Remarque : assurez-vous que les images à convertir au format .bin ont les bonnes dimensions AVANT de les convertir !

À titre de preuve de concept, un pack de thèmes fini de style Windows 95 est inclus ; il implémente toutes les ressources pour les indicateurs de batterie et de jus, l'animation de charge (uniquement l'arrière-plan du plugin 3 et l'effacement du logo du chargeur, car c'est le seul jeu d'animation utilisé avec le firmware testé) et l'animation de vapotage (une capture correcte du rapport hauteur/largeur de la 3D économiseur d'écran de tuyaux). Il suffit d'avoir accès au SPI Flash et d'avoir un moyen de le reprogrammer. Une extension de ce concept pourrait être possible grâce à un dongle USB SWD bon marché, connecté via le port USB-C, et à un logiciel qui télécharge un petit outil de reprogrammation dans la RAM du microcontrôleur, éliminant potentiellement le besoin de dessouder la puce Flash.

Un modèle vierge/modifiable a également été inclus. Toutes les images sont implémentées avec des numéros d'images pour les animations.

Toute cette personnalisation est possible sans toucher au firmware du microcontrôleur !

Comme décrit dans Disposition de la mémoire flash externe , notes 2 et 3 ci-dessus, remplir les emplacements Flash externes 0xF8000-0xF8004 avec 0xFF réinitialisera le compteur de jus au maximum, permettant la réutilisation de la vape une fois le réservoir rempli. Le microcontrôleur lui-même doit ensuite être réinitialisé en tirant la broche nRST vers la terre, ou en le redémarrant en débranchant et en reconnectant la batterie ; cela sera probablement déjà arrivé si l'on dessoude et ressoude le Flash externe pour la reprogrammation/le correctif.

Le microcontrôleur utilise l'interface de débogage/programmation standard Serial Wire Debug (SWD) pour lire/écrire son micrologiciel et/ou sa mémoire SRAM interne. L'interface SWD est exposée via le port de chargement USB-C du vape. Les lignes SWDIO/SWCLK sont connectées aux broches CC derrière les résistances pulldown normales de 5,1k Rd, car le connecteur est normalement uniquement destiné à l'alimentation.

Le micrologiciel du microcontrôleur n'est pas protégé contre la lecture, des recherches plus approfondies sur le micrologiciel via la décompilation sont donc une voie possible. Il est peut-être possible d'utiliser cette interface de débogage pour interagir avec le Flash externe, mais cela n'a pas encore été étudié.

Certaines des cartes mères de vape testées comportaient des tampons de test RX/TX à l'arrière de la carte. Cela n'a pas encore été étudié quant à la manière dont ce port interagit avec le micrologiciel et/ou s'il peut être utilisé pour mettre à jour le contenu Flash externe.

La vape est composée de deux PCB, reliés entre eux par un connecteur mâle à angle droit à 9 broches au pas de 0,15 mm :

1. Carte d'alimentation : interface USB-C, batterie, contrôleur de vape avec élément de détection de type électret
2. Carte logique : LCD, chargement de la batterie, microcontrôleur, SPI Flash

La broche 1 est indiquée par une pastille carrée sur la carte d'alimentation et une pastille correspondante sur la face inférieure de la carte mère (côté opposé du microcontrôleur, du flash SPI et de l'écran LCD). ATTENTION : Les repères du pin 1 peuvent être opposés entre les deux cartes !

1. Le signal de détection de bouffée semble être un train d'impulsions d'environ 500 Hz, provenant soit de la sortie du pilote de LED du contrôleur de vape, soit de la sortie du chauffage qui pourrait déjà être PWM pour la sortie du chauffage. L'absence de "clignotement" lorsque le délai d'attente de 10 secondes est dépassé suggère ce dernier cas.
2. La broche 9/1 sur l'en-tête de la carte mère/alimentation va directement de la broche de la bobine de chauffage à un diviseur de tension 5,1k/5,1k sur la carte mère. Bien que cela ne soit actuellement pas confirmé, cela pourrait être transmis à une broche ADC du microcontrôleur pour faciliter la détection de la charge (une lecture complète de Vbat pourrait suggérer que le serpentin de chauffage est déconnecté et l'animation de vape ne sera pas jouée même si le contrôleur de vape détecte une "bouffée". ").

La série de microcontrôleurs N32G01 est annoncée dans la fiche technique comme ayant un cryptage Flash intégré et une prise en charge du démarrage sécurisé, mais cette fonctionnalité (heureusement) n'est pas utilisée sur le(s) vape(s) testé(s) jusqu'à présent (à savoir le Kraze HD7K).

Peu de travail a été consacré à l'ingénierie inverse du micrologiciel lui-même, mais un vidage flash a pu être obtenu grâce à l'utilisation d'un Segger J-Link et de son logiciel J-Mem correspondant, accessible via le port de débogage/programmation SWD. Comme de nombreux MCU basés sur Arm, le Flash est situé à 0x08000000 mais est également reflété à 0x00000000. Un vidage du micrologiciel a été effectué à partir des adresses 0x08000000-0x0800FFFF (64 Ko), et un rapide coup d'œil sur le vidage du micrologiciel montre que seulement environ 50 % de l'espace Flash a été réellement utilisé (les adresses juste avant 0x8000 jusqu'à 0xFFFF étaient toutes des octets 0xFF, indiquant une mémoire effacée/non programmée). Aucune chaîne lisible par l'homme ne semble être présente dans le vidage du micrologiciel.

Un numéro de version « secret » s'affiche à l'écran si l'alimentation USB-C est rapidement allumée et éteinte (mais semble se produire de manière incohérente). Lors d'une tentative avec un Kraze HD7K, l'écran devient noir et le texte « GV-K23 0904V1 » s'affiche en rouge sur deux lignes de texte pendant quelques secondes ; il semble être rendu avec une version à espacement fixe de la police "Système" de 12 points de Windows. Cela fait allusion au nom de produit interne « GV-K » et au micrologiciel étant la révision 1, datée du 4 septembre 2023. Par coïncidence, vers la fin de l'espace d'adressage Flash utilisé se trouve un bloc d'octets rempli de 0x00 et 0xE8E4, qui ressemble étrangement à des données de pixels noirs et rouge-orange. Une analyse plus approfondie des données brutes de cette région confirme que le numéro de version est stocké sous forme de bitmap brut et non rendu à partir d'une chaîne de texte (expliqué ci-dessous).

À l'intérieur du vidage Flash du micrologiciel, aux adresses 0x7066-0x7E75, il semble y avoir une version bitmap du numéro de version susmentionné. Il semble n'avoir qu'une taille de 60 x 30 pixels, mais il y a des octets de remplissage de 0 x 00 autour de ce bitmap qui ne s'alignent pas sur les limites de 120 octets (60 pixels), ce qui rend difficile la détermination de la « vraie » taille de l'image sans décompiler le micrologiciel et trouver la fonction. qui déclenche l'écran de version.

Toutes les marques déposées sont la propriété de leurs propriétaires respectifs.