ColorLCDVape RE

Реверс-инжиниринг некоторых перезаряжаемых одноразовых электронных сигарет с небольшим цветным TFT-дисплеем (Raz TN9000/Kraze HD7K/и т. д.).

Дальнейшие обновления можно найти по адресу https://github.com/ginbot86/ColorLCDVape-RE.

Некоторые одноразовые электронные сигареты, представленные на рынке, включают в себя такие аксессуары, как цветной ЖК-экран и возможность перезарядки USB-C, но при этом являются одноразовыми устройствами; это делает такие устройства весьма экологически вредными. С другой стороны, это открывает возможности для восстановления оборудования любителями/инженерами, повторного использования вейпа как есть, наполняя его свежим вейп-соком и сбрасывая внутренний счетчик, или даже настраивать, редактируя встроенные изображения.

Конкретный вейп, исследуемый в этом проекте, имеет разные названия, но тот, который исследовался конкретно, назывался Kraze HD7K. Однако этот вейп также встречался под торговой маркой «РАЗ», как и RAZ TN9000.

В одноразовых электронных сигаретах обычно используются литий-ионные аккумуляторы без каких-либо защитных схем. Короткие замыкания могут привести к неконтролируемому рассеиванию энергии, что может привести к травмам и/или материальному ущербу. Любая работа с этими вейпами выполняется на ваш страх и риск.

Было установлено, что существует несколько версий схем этих электронных сигарет, которые могут иметь несовместимости, которые могут привести к повреждению устройства, если версии не совпадают. Прежде чем приступать к каким-либо изменениям, проверьте соединения и совместимость прошивки.

Кроме того, сок для вейпа/жидкость для электронных сигарет может содержать высокие концентрации никотина, который впитывается через кожу. Работать с внутренними частями вейпа следует в перчатках до тех пор, пока внутренние части не будут очищены от сока и/или остатков.

Работы других людей над этими вейпами включают, помимо прочего:

• https://github.com/xbenozx/RAZ-RE

Работа, выполненная в вышеупомянутых репозиториях, может быть основана или не основана на работе, выполненной в этом проекте; он предназначен для объединения аналогичных проектов в надежде, что в отношении этих вейпов можно будет предпринять больше усилий сообщества.

Вейп использует следующее оборудование:

• Микроконтроллер Nations Tech N32G01K8Q7-1 с ядром Arm Cortex-M0 48 МГц, внутренней флэш-памятью 64 КБ, SRAM 8 КБ.
• Giantech Semiconductor GT25Q80A 8 Мбит (1 Мбит) SPI NOR Flash
• Линейное зарядное устройство для литий-ионных аккумуляторов LowPowerSemi LP4068, рассчитанное на зарядный ток ~550 мА.
• Стабилизатор напряжения LowPowerSemi LDO с маркировкой «LPS 2NDJ1», но точная модель неизвестна.
• Универсальный 5-контактный вейп-контроллер SOT-23 с маркировкой «AjCH» с микрофонным чувствительным элементом электретного типа.
• 0,96-дюймовый TFT-дисплей IPS 80x160, описанный ниже.

В вейпе используется 0,96-дюймовый ЖК-дисплей IPS с разрешением 80x160 и 13-контактный плоский гибкий кабель (FPC) с шагом 0,7 мм, который припаян к материнской плате вейпа. Он подключается через 4-проводной SPI (данные, часы, данные/команда, выбор чипа) и, по-видимому, использует контроллер ST7735S. Он даже использует ту же распиновку для имеющихся в продаже дисплеев, например, Smart Prototyping #102106.

В вейпе есть две формы флэш-памяти: внутренняя флэш-память на микроконтроллере и 1 мегабайт (8 мегабит) внешней флэш-памяти SPI NOR. Первый содержит прошивку, а второй — все изображения, отображаемые на ЖК-дисплее, а также общее время использования нагревательной катушки для вейпа; этот счетчик используется для определения количества «полосок», отображаемых на счетчике жидкости для вейпа. Анализ шины данных ЖК-дисплея (см. захват логики .dsl с помощью DreamSourceLab DSView) предполагает, что микроконтроллер использует DMA (прямой доступ к памяти) для потоковой передачи данных изображения с внешней флэш-памяти на ЖК-дисплей, поскольку передача данных происходит в виде последовательных фрагментов по 4096 байт. , соответствующий одной странице NOR Flash. Анализ памяти микроконтроллера показывает, что буфер памяти DMA находится в адресах ОЗУ 0x2000022C-0x2000062B.

Все изображения сохраняются на внешней флэш-памяти в виде необработанных 16-битных растровых изображений RGB565 (т. е. каждый пиксель занимает 2 байта данных). Инструменты преобразования, такие как ImageConverter565 из библиотеки UTFT компании Rinky-Dink Electronics, можно использовать для преобразования форматов изображений, таких как JPEG/PNG, в необработанный двоичный файл, который можно вставить во внешнюю Flash-память с соответствующим смещением. В необработанных изображениях метаданные не хранятся, поэтому размеры изображения необходимо указывать вручную, как показано в таблице ниже.

1. Некоторые кадры анимации, обнаруженные во внешней флэш-памяти, кажутся неиспользованными (и даже ссылаются на торговую марку RAZ, несмотря на то, что другая торговая марка показывает Kraze), но, возможно, может быть активирована в прошивке или где-то еще; это еще не исследовано.
2. Значение счетчика сока выводится из таймера вейпа, но точная формула для его расчета еще не известна. Однако известно, что он не имеет защиты от переполнения, и установка обратного значения на 0x00000000 приведет к сбросу счетчика сока.
3. Если ячейки Flash 0xF8000–0xF8004 будут удалены до байтов 0xFF, этот байт флага будет повторно инициализирован до 0xBB, а таймер будет повторно инициализирован до 0x00000000, что также приведет к эффективному сбросу счетчика сока. Установка байта флага по адресу 0xF8004 на любое значение, отличное от 0xBB, приведет к тому же эффекту. Кроме того, любые другие байты в этом секторе Flash будут сброшены до 0xFF, поскольку при каждом обновлении счетчика выполняется стирание страницы; прошивкой сохраняются только байты таймера и флага.

Два скрипта Python были включены для помощи в разделении и повторной сборке дампа Flash в/из отдельных изображений, хранящихся во Flash SPI: split-flashdump.py и assemble-flashdump.py . В настоящее время инструменты не выполняют преобразование форматов (привлечение ChatGPT в помощь мне уже было долгим процессом), но во многом помогают создавать собственные пакеты «тем». Неиспользуемые ресурсы можно удалить из переупакованного дампа Flash, не помещая их в каталог, содержащий файлы, подлежащие повторной сборке; эти неиспользуемые регионы останутся как 0xFF/стертые байты.

Реупаковщик assemble-flashdump.py ожидает, что имена входных файлов будут иметь определенный формат, поскольку он использует смещение в шестнадцатеричной кодировке, чтобы определить, куда вставлять каждую часть в файл флэш-дампа размером 1 МБ (см. Split_map.csv или включенный пример). тема, описанная ниже в разделе «Пользовательские пакеты тем» ).

• {index}_{offset}_{width}x{height}_{category}_{sequence}.bin
• Пример: 19_33d00_80x160_vapeanim-0.bin

Чтобы конвертировать изображения PNG или JPEG, используйте инструмент ImgConv.exe из ранее упомянутой библиотеки UTFT:

• ImgConv.exe *.png /r
• ImgConv.exe *.jpg /r
• ren *.raw *.bin

Примечание. Прежде чем конвертировать изображения в формат .bin, убедитесь, что они имеют правильные размеры!

В качестве доказательства концепции включен готовый пакет тем в стиле Windows 95; он реализует все ресурсы для индикаторов заряда батареи и заряда, анимацию зарядки (только фон плагина 3 и стирание логотипа зарядного устройства, поскольку это единственный используемый набор анимации с тестируемой прошивкой) и анимацию парения (захват 3D-изображения с правильным соотношением сторон). Заставка «Трубы»). Все что нужно — это доступ к SPI Flash и средство его перепрограммирования. Возможности для расширения этой концепции могут быть с помощью дешевого USB-ключа SWD, подключаемого через порт USB-C, и некоторого программного обеспечения, которое загружает небольшой инструмент перепрограммирования в ОЗУ микроконтроллера, потенциально устраняя необходимость отпайки флэш-чипа.

Также включен пустой/редактируемый шаблон. Все кадры имеют номера кадров для анимации.

Вся эта настройка возможна, не трогая прошивку микроконтроллера!

Как описано в разделе «Схема внешней флэш-памяти» , примечания 2 и 3 выше, заполнение ячеек внешней флэш-памяти 0xF8000–0xF8004 значениями 0xFF приведет к полному сбросу счетчика сока, что позволит повторно использовать вейп после пополнения резервуара. Затем необходимо перезагрузить сам микроконтроллер, заземлив контакт nRST или выключив и выключив его, отсоединив и снова подключив батарею; это, вероятно, уже произошло, если кто-то отпаивает и перепаивает внешнюю флэш-память для перепрограммирования/исправления.

Микроконтроллер использует стандартный интерфейс отладки/программирования Serial Wire Debug (SWD) для чтения/записи встроенного ПО и/или внутренней памяти SRAM. Интерфейс SWD доступен через зарядный порт USB-C вейпа. Линии SWDIO/SWCLK подключаются к контактам CC за обычными понижающими резисторами 5,1 кОм Rd, поскольку разъем обычно предназначен только для питания.

Прошивка микроконтроллера не защищена от считывания, поэтому возможным является дальнейшее исследование прошивки посредством декомпиляции. Возможно, этот интерфейс отладки можно будет использовать для взаимодействия с внешней Flash-памятью, но это еще не исследовано.

Некоторые из протестированных материнских плат для вейпов имели тестовые площадки RX/TX на задней стороне платы. Еще не исследовано, как этот порт взаимодействует с прошивкой и/или можно ли его использовать для обновления содержимого внешней флэш-памяти.

Электронная сигарета состоит из двух печатных плат, соединенных вместе 9-контактным прямоугольным разъемом с шагом 0,15 мм:

1. Плата питания: интерфейс USB-C, аккумулятор, контроллер вейпа с чувствительным элементом электретного типа.
2. Логическая плата: ЖК-дисплей, зарядка аккумулятора, микроконтроллер, SPI Flash

Контакт 1 обозначен квадратной контактной площадкой на плате питания и соответствующей контактной площадкой на нижней стороне материнской платы (противоположная сторона микроконтроллера, SPI Flash и ЖК-дисплея). ВНИМАНИЕ: Маркировки контакта 1 на двух платах могут находиться напротив друг друга!

1. Сигнал обнаружения затяжки представляет собой последовательность импульсов ~ 500 Гц, либо поступающую с выхода светодиодного драйвера контроллера вейпа, либо с выхода нагревателя, который уже может быть настроен на ШИМ для выхода нагревателя. Отсутствие «моргания» при превышении 10-секундного таймаута говорит о последнем.
2. Контакт 9/1 на разъеме платы питания/логики идет непосредственно от контакта катушки нагревателя к делителю напряжения 5,1 кОм/5,1 кОм на материнской плате. Хотя в настоящее время это не подтверждено, это может быть связано с контактом АЦП на микроконтроллере, чтобы помочь с обнаружением нагрузки (полное показание Vbat может указывать на то, что катушка нагревателя отключена, и анимация вейпа не будет воспроизводиться, даже если контроллер вейпа обнаруживает «затяжку». ").

Серия микроконтроллеров N32G01 рекламируется в техническом описании как имеющая встроенное флэш-шифрование и поддержку безопасной загрузки, но эта функция (к счастью) не используется на протестированных до сих пор вейпах (а именно на Kraze HD7K).

Не так уж много работы было потрачено на реверс-инжиниринг самой прошивки, но дамп флэш-памяти удалось получить с помощью Segger J-Link и соответствующего программного обеспечения J-Mem, доступ к которому осуществляется через порт отладки/программирования SWD. Как и многие микроконтроллеры на базе Arm, Flash расположен по адресу 0x08000000, но также зеркально отображается по адресу 0x00000000. Дамп прошивки был взят с адресов 0x08000000-0x0800FFFF (64k), и беглый взгляд на дамп прошивки показывает, что на самом деле было использовано только примерно 50% пространства флэш-памяти (все адреса с 0x8000 по 0xFFFF были байтами 0xFF, что указывает на стертую/незапрограммированную память). В дампе прошивки нет удобочитаемых строк.

«Секретный» номер версии отображается на экране, если питание USB-C быстро включается и выключается (но, похоже, происходит непоследовательно). При попытке использовать Kraze HD7K экран становится черным, а текст «GV-K23 0904V1» отображается красным цветом в двух строках текста в течение пары секунд; Похоже, что он отображается с использованием моноширинной версии системного шрифта размером 12 пунктов из Windows. Это намекает на внутреннее название продукта «GV-K» и версию прошивки 1, датированную 4 сентября 2023 года. По совпадению, ближе к концу используемого адресного пространства Flash находится блок байтов, заполненный 0x00 и 0xE8E4, которые подозрительно похоже на данные черных и красно-оранжевых пикселей. Дальнейший анализ необработанных данных из этого региона подтверждает, что номер версии хранится в виде необработанного растрового изображения, а не отображается из текстовой строки (поясняется ниже).

Внутри флэш-дампа прошивки по адресам 0x7066-0x7E75 находится растровая версия вышеупомянутого номера версии. Кажется, что его размер составляет всего 60x30 пикселей, но вокруг этого растрового изображения есть байты заполнения 0x00, которые не совпадают с границами 120 байт (60 пикселей), что затрудняет определение «истинного» размера изображения без декомпиляции прошивки и поиска функции. это вызывает экран версии.

Все товарные знаки являются собственностью соответствующих владельцев.