ColorLCDVape RE

Engenharia reversa de alguns vapes descartáveis ​​recarregáveis ​​que incluem um pequeno LCD TFT colorido (Raz TN9000/Kraze HD7K/etc.).

Mais atualizações podem ser encontradas em https://github.com/ginbot86/ColorLCDVape-RE

Alguns vaporizadores descartáveis ​​no mercado incluem acessórios como uma tela LCD colorida e capacidade de recarga USB-C, mas são dispositivos descartáveis ​​de uso único; isso torna esses dispositivos bastante prejudiciais do ponto de vista ecológico. Por outro lado, isso abre oportunidades para salvamento de hardware por hobbyistas/engenheiros, reutilizando o vape como está, recarregando-o com suco de vape fresco e reiniciando o medidor interno, ou mesmo customização editando as imagens integradas.

O vape específico pesquisado neste projeto tem vários nomes, mas o que foi pesquisado especificamente foi chamado de Kraze HD7K. No entanto, este vape também foi visto sob a marca “RAZ”, como o RAZ TN9000.

Os vaporizadores descartáveis ​​geralmente usam baterias de íon-lítio sem qualquer circuito de proteção. Os curtos-circuitos podem dissipar quantidades descontroladas de energia, causando ferimentos pessoais e/ou danos materiais. Qualquer trabalho realizado nesses vapes é feito por sua conta e risco.

Foi determinado que existem múltiplas revisões de circuito desses vapes, que podem ter incompatibilidades que podem resultar em danos ao dispositivo se as versões forem incompatíveis. Verifique as conexões e a compatibilidade do firmware antes de prosseguir com qualquer modificação.

Além disso, o suco vape/"e-líquido" pode conter altas concentrações de nicotina, que é absorvida pela pele. O manuseio da parte interna do vape deve ser feito com luvas até que as partes internas estejam limpas de suco e/ou resíduos.

O trabalho de outras pessoas nesses vapes inclui, mas não está limitado a:

• https://github.com/xbenkozx/RAZ-RE

O trabalho realizado nos repositórios mencionados pode ou não ser baseado no trabalho realizado neste projeto; o objetivo é vincular projetos semelhantes na esperança de que mais esforços comunitários possam ser realizados nesses vapes.

O vape usa o seguinte hardware:

• Microcontrolador Nations Tech N32G01K8Q7-1, com núcleo Arm Cortex-M0 de 48 MHz, 64k de memória Flash interna, 8k de SRAM
• Giantech Semiconductor GT25Q80A 8Mbit (1Mbyte) SPI NOR Flash
• Carregador de bateria linear de íons de lítio LowPowerSemi LP4068, configurado para corrente de carga de ~ 550mA
• Regulador de tensão LowPowerSemi LDO, rotulado como "LPS 2NDJ1", mas o modelo exato é desconhecido
• Controlador vape SOT-23 genérico de 5 pinos, rotulado como "AjCH" com elemento sensor de microfone tipo eletreto
• Tela TFT IPS 80x160 de 0,96 polegadas, descrita abaixo

O vape usa um LCD IPS de 0,96 polegadas com resolução de 80x160, com um cabo flat-flex (FPC) de 13 pinos e 0,7 mm de passo que é soldado à placa principal do vape. Ele se conecta via SPI de 4 fios (dados, relógio, dados/comando, seleção de chip) e parece usar o controlador ST7735S. Ele ainda usa a mesma pinagem para monitores disponíveis comercialmente, como o Smart Prototyping #102106.

Existem duas formas de memória Flash no vape: Flash interno no microcontrolador e 1 megabyte (8 megabits) de Flash SPI NOR externo. O primeiro contém o firmware, enquanto o segundo contém todas as imagens que aparecem no LCD, bem como o tempo total de utilização da bobina de aquecimento do vapor; este contador é usado para derivar o número de "barras" exibidas no medidor de suco vape. A análise do barramento de dados do LCD (veja a captura lógica .dsl usando DreamSourceLab DSView) sugere que o microcontrolador usa DMA (Direct Memory Access) para transmitir dados de imagem do Flash externo para o LCD, já que as transferências de dados ocorrem como pedaços contíguos de 4.096 bytes , correspondendo a uma única página NOR Flash. A análise da memória do microcontrolador indica que o buffer de memória DMA está nos endereços RAM 0x2000022C-0x2000062B.

Todas as imagens são armazenadas no Flash externo como bitmaps RGB565 brutos de 16 bits (ou seja, cada pixel ocupa 2 bytes de dados). Ferramentas de conversão, como ImageConverter565 da biblioteca UTFT da Rinky-Dink Electronics, podem ser usadas para converter formatos de imagem como JPEG/PNG em um arquivo binário bruto que pode ser corrigido no Flash externo no deslocamento correspondente. Não há metadados armazenados com as imagens brutas, portanto as dimensões da imagem devem ser fornecidas manualmente, conforme tabela abaixo.

1. Alguns quadros de animação encontrados na memória Flash externa parecem não ser utilizados (e até fazem referência à marca RAZ, apesar de outra marca mostrar Kraze), mas podem ser ativados no firmware ou em outro lugar; isso ainda não foi pesquisado.
2. O valor do medidor de suco é derivado do temporizador vape, mas a fórmula exata para derivá-lo ainda não é conhecida. Porém, o que se sabe é que ele não possui proteção contra transbordamento e definir o valor novamente para 0x00000000 irá zerar o medidor de suco.
3. Se os locais Flash 0xF8000-0xF8004 forem apagados para bytes 0xFF, este byte de sinalização será reinicializado para 0xBB e o temporizador será reinicializado para 0x00000000, também reiniciando efetivamente o medidor de suco. Definir o byte do sinalizador em 0xF8004 para qualquer coisa que não seja 0xBB terá o mesmo efeito. Além disso, quaisquer outros bytes neste setor Flash serão transferidos para 0xFF, uma vez que um apagamento de página é emitido sempre que o contador é atualizado; apenas os bytes do temporizador e do sinalizador são preservados pelo firmware.

Dois scripts Python foram incluídos para ajudar na divisão e remontagem do dump do Flash nas/das imagens individuais armazenadas no SPI Flash: split-flashdump.py e assemble-flashdump.py . As ferramentas atualmente não realizam conversão de formato (conseguir que o ChatGPT me ajude até aqui já foi um processo longo), mas ajudam muito na criação de pacotes de "temas" personalizados. Os recursos não utilizados podem ser removidos do dump Flash reempacotado, mantendo-os fora do diretório que contém os arquivos a serem remontados; essas regiões não utilizadas permanecerão como 0xFF/bytes apagados.

O repacker, assemble-flashdump.py , espera que os nomes dos arquivos de entrada tenham um formato específico, pois usa o deslocamento codificado em hexadecimal para determinar onde inserir cada peça no arquivo de despejo Flash de 1 MB (consulte split_map.csv ou o exemplo incluído tema, descrito abaixo em Pacotes de temas personalizados ):

• {index}_{offset}_{width}x{height}_{category}_{sequence}.bin
• Exemplo: 19_33d00_80x160_vapeanim-0.bin

Para converter imagens PNG ou JPEG, use a ferramenta ImgConv.exe da biblioteca UTFT mencionada anteriormente:

• ImgConv.exe *.png /r
• ImgConv.exe *.jpg /r
• ren *.raw *.bin

Nota: certifique-se de que as imagens a serem convertidas para o formato .bin tenham as dimensões corretas ANTES de convertê-las!

Como prova de conceito, um pacote temático finalizado no estilo do Windows 95 está incluído; ele implementa todos os recursos para os indicadores de bateria e suco, animação de carregamento (apenas plugin background 3 e limpeza do logotipo do carregador, já que esse é o único conjunto de animação usado com o firmware testado) e animação vaping (uma captura correta da proporção de aspecto do 3D Protetor de tela de tubos). Basta ter acesso ao SPI Flash e um meio de reprogramá-lo. O espaço para extensão deste conceito poderia ser através de um dongle USB SWD barato, conectado através da porta USB-C, e algum software que carregue uma pequena ferramenta de reprogramação na RAM do microcontrolador, potencialmente eliminando a necessidade de dessoldar o chip Flash.

Um modelo em branco/editável também foi incluído. Todos os quadros são implementados com números de quadros para animações.

Toda essa customização é possível sem mexer no firmware do microcontrolador!

Conforme descrito em Layout de memória Flash externa , notas 2 e 3 acima, preencher locais Flash externos 0xF8000-0xF8004 com 0xFF redefinirá o medidor de suco para cheio, permitindo a reutilização do vape assim que o reservatório for recarregado. O próprio microcontrolador precisa então ser reinicializado puxando o pino nRST para o terra ou desligando-o e ligando-o desconectando e reconectando a bateria; isso provavelmente já terá acontecido se alguém estiver dessoldando e resoldando o Flash externo para reprogramação/correção.

O microcontrolador usa a interface de depuração/programação Serial Wire Debug (SWD) padrão da indústria para ler/gravar seu firmware e/ou sua memória SRAM interna. A interface SWD é exposta através da porta de carregamento USB-C do vape. As linhas SWDIO/SWCLK são conectadas aos pinos CC atrás dos resistores suspensos normais de 5,1k Rd, já que o conector normalmente é somente de alimentação.

O firmware no microcontrolador não é protegido contra leitura, portanto, pesquisas adicionais sobre o firmware por meio de descompilação são um caminho possível. Pode ser possível usar esta interface de depuração para interagir com o Flash externo, mas isso ainda não foi pesquisado.

Algumas das placas-mãe vape testadas tinham placas de teste RX/TX na parte traseira da placa. Ainda não foi pesquisado como esta porta interage com o firmware, e/ou se pode ser usada para atualizar o conteúdo Flash externo.

O vape é composto de dois PCBs, unidos por um conector macho de ângulo reto de 9 pinos e 0,15 mm de passo:

1. Placa de alimentação: interface USB-C, bateria, controlador vape com elemento sensor tipo eletreto
2. Placa lógica: LCD, carregamento de bateria, microcontrolador, SPI Flash

O pino 1 é indicado por um bloco quadrado na placa de alimentação e um bloco correspondente na parte inferior da placa lógica (lado oposto do microcontrolador, SPI Flash e LCD). AVISO: As marcações do pino 1 podem estar opostas entre as duas placas!

1. O sinal de detecção de sopro parece ser um trem de pulso de ~ 500 Hz, seja da saída do driver de LED do controlador de vapor ou da saída do aquecedor, que já pode ser PWM para a saída do aquecedor. A falta de uma “piscada” quando o tempo limite de 10 segundos é excedido sugere o último.
2. O pino 9/1 no conector da placa lógica/de alimentação vai diretamente do pino da bobina do aquecedor para um divisor de tensão de 5,1k/5,1k na placa lógica. Embora atualmente não confirmado, isso pode ir para um pino ADC no microcontrolador para ajudar na detecção de carga (uma leitura Vbat completa pode sugerir que a bobina do aquecedor está desconectada e a animação do vapor não será reproduzida mesmo se o controlador do vapor estiver detectando um "sopro ").

A série de microcontroladores N32G01 é anunciada na folha de dados como tendo criptografia Flash integrada e suporte de inicialização segura, mas esse recurso (felizmente) não é usado no (s) vape (s) testado (s) até agora (ou seja, o Kraze HD7K).

Não foi feito muito trabalho na engenharia reversa do firmware em si, mas um flash dump foi obtido com o uso de um Segger J-Link e seu software J-Mem correspondente, acessado através da porta de depuração/programação SWD. Como muitos MCUs baseados em Arm, o Flash está localizado em 0x08000000, mas também é espelhado em 0x00000000. Um despejo do firmware foi obtido dos endereços 0x08000000-0x0800FFFF (64k), e uma rápida olhada no despejo do firmware mostra que apenas aproximadamente 50% do espaço Flash foi realmente usado (os endereços de pouco antes de 0x8000 a 0xFFFF eram todos bytes 0xFF, indicando memória apagada/não programada). Nenhuma string legível parece estar presente no dump do firmware.

Um número de versão “secreto” é exibido na tela se a alimentação USB-C for ligada e desligada rapidamente (mas parece ocorrer de forma inconsistente). Quando tentado com um Kraze HD7K, a tela fica preta e o texto “GV-K23 0904V1” é exibido em vermelho em duas linhas de texto por alguns segundos; parece ser renderizado com uma versão monoespaçada da fonte "System" de tamanho 12 pontos do Windows. Isso sugere um nome de produto interno "GV-K" e o firmware sendo revisão 1, datado de 4 de setembro de 2023. Coincidentemente, perto do final do espaço de endereço Flash usado está um bloco de bytes preenchido com 0x00 e 0xE8E4, que parece suspeitamente com dados de pixel preto e vermelho-laranja. Uma análise mais aprofundada dos dados brutos desta região confirma que o número da versão é armazenado como um bitmap bruto e não renderizado a partir de uma sequência de texto (explicado abaixo).

Dentro do dump Flash do firmware, nos endereços 0x7066-0x7E75, parece haver uma versão bitmap do número de versão mencionado acima. Parece ter apenas 60x30 pixels de tamanho, mas há bytes de preenchimento 0x00 em torno deste bitmap que não se alinham aos limites de 120 bytes (60 pixels), dificultando a determinação do tamanho "verdadeiro" da imagem sem descompilar o firmware e encontrar a função que aciona a tela de versão.

Todas as marcas registradas são propriedade de seus respectivos proprietários.