未知のマイクロコントローラーのリバースエンジニアリング

複雑なネクタイ

バックグラウンド ...

電子eInkの値札のリバースエンジニアリングに関する作業の一環として   、興味深い問題が発生しました。特定の会社（Samsung Electro Mechanics / SoluM）は、私が特定できたサードパーティのチップ（Marvell 88MZ100）の使用から、次世代の値札で使用し始めた新しいチップに切り替えました。



これは、まさにこの目的のために会社が開発した独自のチップのようでした。そのようなもののリバースエンジニアリングを引き受けることは、死んだ問題です。友人が私にそのようなチップでいくつかの値札をくれました-いじくり回します。それらは2つのタイプであることが判明しました。1つはe-inkにセグメント化されたディスプレイを備え、もう1つはe-inkに従来のグラフィックディスプレイを備えています。両方のモデルのメインチップは同じであるため、最初に行ったのはセグメント化されたディスプレイデバイスでした。これは、よりシンプルで、それを使用して未知のシステムを処理するのが簡単だからです。どこから始めればよいかは完全には明確ではありませんでしたが、もちろん、これらは常に最も興味深いタスクです。 

調査

質問を読まずにクロスワードパズルを解こうとするのはばかげています。デバイスに関してすでに利用可能なすべての情報を最初に収集せずに、デバイスをリバースエンジニアリングするのも同様に愚かです。では、最初に何を知っているのでしょうか。ワイヤレスデータ転送プロトコルはおそらく通常と同じです。新しいプロトコルに移行したり、顧客のために2つのプロトコルを同時にサポートしたりして、移行をゆっくりと実行することを望んでいる企業はないからです。古いプロトコルは2.4GHz ZigBeeに似ていたので、新しいプロトコルはおそらく同じです。これが両面からのボードの写真です。





では、何が見えますか？まず、コスト最適化のクールな例です。彼らはe-inkスクリーンをPCBに直接ラミネートしました！ PCBがある場合、誰が導電性ガラスの背面パネルを必要としますか？フロントパネルは導電性プラスチック製です。しかし、それは重要ではありません。



サイズから判断すると、2.4GHzで2つのアンテナが表示されます。予想通り、前世代のデバイスにも2つの2.4GHzアンテナがありました。 2つのチップがあります。大小。大きなもの（「SEM9010」と指定）には、明らかにディスプレイに接続する多くの接点があり、アンテナには接続していません。明らかに、これはディスプレイコントローラーです。



小さな（「SEM9110」と指定されている）は、すべての操作を担当する脳のようです。これは、アンテナ、タイミングクリスタル、およびファクトリプログラミングでここで明らかなキーポイントに接続されています。



ここには12個のパッドがあります。1個はバッテリーのプラス端子に接続され、1個はアースに接続され、他の10個の目的は謎です。オンラインでチップの名前を検索しても、役に立つものは何も見つかりません。間違いなく彼ら自身の開発です。しかし、誰がそのような単純なアプリケーションのために独自のチップを設計するのでしょうか？たぶんただのリブランド？利用して、私たちは働いています！



不思議なことに、Google画像検索がここで役に立ちました。このツールは、リバースエンジニアリングに役立つことがあります。この場合、彼は私たちをこのナゲットに連れて行き ます。 （ 後世のためにここにアーカイブされたコピー  ）。これはStackExchangeからの質問です-これらの電子棚ラベルがどのように機能するのか疑問に思います。ここに掲載されている写真では、プリント回路基板は 私たちのものとほとんど同じに見えるので、質問は興味深い  ものです。チップもまったく同じですが、ラベルが異なります。ボードは、SoluMがこれらのチップのブランド変更を開始する前に作成された可能性があります。



私がディスプレイコントローラーであると想定したチップには、というラベルが付いてい  SSD1623L2



ます。実際、これは最大96セグメントをサポートするe-inkセグメントディスプレイコントローラーです。オンラインで検索すると、プレリリースバージョン0.1のデータシートが見つかりました  （アーカイブされたコピーは  こちら） 後世のために）。それは良いです！彼らがこれに到達する方法を知っていれば、彼らはそれが理解するコードを拾うことができます、そして私たちがこのコードを見るとすぐにそれはすべてです！



メインのマイクロコントローラは ZBS242



です。はい。私はこのマイクロコントローラーに精通していません。もう少しインターネットを検索してみましょう-検索すると リンクが表示されます （アーカイブコピーは  こちら） 後世のために）、StackExchangeからの同じ答えにも言及しています。このページは韓国語ですが、このチップには8051コアと、かなり予測可能な周辺機器（UART、SPI、I2C、ADC、DAC、コンパレータ、温度センサー、5チャネルPWM、3チャンネルトライアックコントローラー）が搭載されていることが示されています。 、IRトランスミッター、キースキャン機能、RF-Wake機能、アンテナ間隔、ZigBiee互換ラジオおよびMAC。写真は、内部に32 kHz RC発振器もあり、前述のように、スリープモードで消費するのはわずか1uAであることを示しています。サムスン用のチップを作ったのはこの会社だったと思います。おもしろい...



写真を見て、私たちを困惑させたSEM9110クリスタルもポイントブランクで撮影されたことがわかり  ます （アーカイブコピー   後世のためにここに）。ZBS243と記載されています。これは、ここにチップのファミリー全体、つまりZBS24xがあることを意味していると思います。本当に面白いです。

スレッドがあります！

別のセグメントタグを開いた後も、ニュースを喜んでいます。プログラミングヘッドは、明確で読みやすい金色の文字で署名されています。ヘッドには、SPI、UART、リセットピン、電源、グランド、および「テスト」と呼ばれるピンがあり、おそらく工場テストモードに入るのに使用されているようです。すべてがより好奇心が強く、好奇心が強いです。





架空のZBS24xファミリの最も古い代表が「ZBS240」と指定されることは論理的です。たぶん、そのようなクエリの検索は私たちに何か面白いものを与えるでしょうか？ 「ZBS240」を検索してスラグを除外すると、韓国語で別の興味深いページが見つかります  （ 後世のためにここにアーカイブされたコピー  ）。この会社はカスタムのオンデマンドグループプログラマーを作っているようです。彼らのウェブサイトを見て回ったところ、マニュアルが見つかりました  （アーカイブコピーは  こちら） 後世のために）彼らのプログラミングデバイス上で、そして私たちはそのようなデバイスで動作するPC用のユーティリティをダウンロードすることさえできます。このユーティリティには、デバイスのファームウェアを更新するツールもあります。この情報からデバイスのプログラミング方法を推測できるかどうか調べましたが、ファームウェアが暗号化されていることがわかりました。どうやらPC側のユーティリティはUSBシリアルポートを介してデータを送信しているだけなので、ここにも有用な情報はありません。悲しい... 



もう少し検索すると、さらに興味深いページが見つかり ます （アーカイブされたコピーは  こちら） 後世のために）。それは何ですか？セール中ですか？！？間違いなくもうありませんよね？念のため、この会社に石鹸を書いてみました。沈黙...絶望のジェスチャーとして、私は香港の友人に、韓国の銀行からの送金のみを支払いとして受け入れるとウェブサイトに示されているので、これらの人に連絡できる韓国の誰かを知っているかどうか尋ねました。彼がノックバックして言ったとき、私はただ驚いた。確かに、彼は韓国で見つけた仲介業者を通して私にこのデバイスを手に入れることができた！数日後、デバイスはDHLによって配達されました！

あなたは彼に到達することができます！

彼に連絡する方法

動作します！チップの読み取りと書き込みができます。プログラミングツールを研究するのに少し時間がかかりました。どうやら、チップには64KBのフラッシュメモリと1KBの「情報ブロック」があり、キャリブレーション値やMACアドレスなどを保存するために使用されていると思います。素晴らしいSaleaeLogicロジックアナライザーを装備して、プログラマーがその仕事をしているのを見て、いくつかのトレースを傍受することができました  。私の調査結果はここからダウンロードできます 。このアーカイブには、INFOBLOCKおよびCODEスペースの読み取り、消去、および書き込みの痕跡があります。実際、プロトコルは 非常に シンプルです。クロック周波数は、100 kHz〜8MHzの範囲で指定できます。

ISPプロトコル：骨の折れる 

それはすべて、ラインを目的の状態（SCLKボトム、MOSIトップ、RESETトップ、SSトップ）に設定することから始まります。この状態は20ミリ秒間維持されます。次に、RESETが32ミリ秒低下します。次に、少なくとも4つのプロセッサクロックが500kHzでSCKラインに送信されます。次に、RESETがプッシュアップされるまでさらに10ミリ秒の遅延があります。通信を開始する前に100ミリ秒の遅延を設定できるようになりました。その後、任意の数のトランザクションを行うことができます。いくつかの基本的なルール：SSがダウンしてからバイトを送信するまでに少なくとも5us、バイトの終わりからSSがアップするまでに少なくとも2usが必要であり、SSが費やすことができる最短期間は2.5usです。したがって、各バイトは次の状態で送信されます。SSがダウン、バイトがSPIモード0で送信され、SSがアップです。はい、もちろん、SSはバイトごとに反転します。



すべてのトランザクションの長さは3〜4バイトです。最初のバイトはトランザクションのタイプを示し、最下位ビットはトランザクションの方向を指定します。ゼロはデバイスへの書き込みを意味し、1はデバイスからの読み取りを意味します。0x02



/ コマンド 0x03



 は、通信セッションを開始するために使用されます。プログラマーは3バイトのwrite：  02 BA A5



を送信し、次に読み取り、最初にreadコマンドと "address"：を03 BA



送信FF



し、  マスターはを受信しながら送信 し A5



ます。これが機能する場合、通信が確立されます。



コマンド  0x12



/ 0x13



 CPUの特殊目的レジスタ（SFR）の読み取り/書き込みに使用されます（これはより難しいと思いましたが、この場合、順序はそれほど重要ではありません）。 INFOBLOCKを選択するには、SFR  0xD8



 をに設定する必要があり 0x80



ます。メインフラッシュ領域を選択するには、に設定する必要があります 0x00



。 vvの値をレジスタrrに書き込むには、SPIデータが必要です  12 rr vv



。値が読み取られたことを確認するには、最初に読み取りコマンドと「アドレス」を送信することで値を読み戻すことができます。  13 rr



その後、マスターはFF



を受信しながら送信  し  vv



ます。



フラッシュメモリの読み取りは簡単です。これを行うには、適用します 0x09



、4バイトのコマンド。コマンドバイトの後、アドレスが送信されます。最初に上位バイト、次に下位バイトです。次に、マスターはを送信  FF



し、その間に読み取られたバイトを受信します。はい、そうです。各バイトを読み取るには、個別のコマンドが必要です。書くのも簡単です。このために、コマンドが使用され 0x08



ます。これは4バイトのコマンドです。コマンドバイトの後、アドレスが送信されます。最初に上位バイト、次に下位バイト、次に書き込まれるバイトです。各バイトを書き込むには、個別のコマンドも必要です。録音する前に必ず消去してください。 INFOBLOCKを消去するには、4バイトのシーケンスが1つだけ必要です  48 00 00 00



。メインフラッシュメモリの消去は、コマンドを使用して実行され 88 00 00 00



ます。



これで、ZBS24xを簡単にプログラムするのに十分な知識が得られました。

仕事を始める！

8051用プライマー

すでに8051に精通している場合は、 このセクションをスキップしても問題ありません  。



8051 は、古くからIntelによって設計された  古いマイクロコントローラです。作業するのはひどい手間ですが、ライセンスが安い（実際には無料）ため、今でもかなり頻繁に使用されています。何が問題なの？ 8051にはいくつかの個別のメモリスペースがあります。 CODE



 コード用に予約されているメモリの領域です。最大サイズは64KB（16ビットアドレス）です。最新の設計では、これはフラッシュメモリです。コードは、特別な命令movc



 （ "MOVe from Code"）を使用して、ここからバイトを読み取ることができます 。  XRAM



 「外部」メモリです。つまり、コアの外部です。いろいろなものを収納できますが、それ以外にはほとんど役に立ちません。このように：このメモリで実行できる操作は、書き込みと読み取りのみです。最大サイズは64KB（16ビットアドレス）です。 16ビット幅のアドレスを持つ8ビットアドレスのアドレスメモリはどのように機能しますか？非常に遅いことがわかりました。コマンド movx



 （ "MOVe to / from eXternal"）はこのタイプのメモリにアクセスしますが、16ビットアドレスをどのように指定しますか？このために、DPTR



 （ "Data PoinTeR"）と呼ばれる特別なレジスタ  が使用され、命令を操作するためにも使用されます movc



。  DPTR



 上位レジスタ  DPH



 と下位レジスタで構成されます  DPL



..。したがって、それぞれにアドレスの半分を書き込むことで、外部メモリとコードメモリをアドレス指定できます。ご想像のとおり、このプロセスはすぐに遅れ始めます。たとえば、セクションを外部メモリから外部メモリにコピーするにはDPL



 、との  間の値を繰り返しシャッフルする必要があるため DPH



です。このため、8051のより高度なバージョンの一部には多くのレジスタ  DPTR



がありますが、すべてではなく、すべてが同じ方法で実装されているわけではありません。



Intelは、外部メモリのサブセットにアクセスするためのより高速な方法を追加しました。この場合、アイデアはレジスタ R0



 と  R1



 ポインタレジスタとして。しかし、それらはサイズが8ビットですが、アドレスの他の8ビットはどこから来ているのでしょうか。それらはレジスタ P2



 （GPIOピンのポート2も制御します）からのものです。明らかに、この方法は、ポート2を... GPIOに使用する際の邪魔になります。この状況をスムーズにする方法はいくつかありますが、今はそれについて話していません。したがって、使用可能なメモリの量は256バイトに制限されます（ポート2を動的に変更しない限り、おそらく実行したくないでしょう）。通常、このメモリはと呼ばれ PDATA



ます。同様のメモリアクセスも命令を使用して行われます  movx



。次の行は SFR



-ペリフェラルを構成するためのさまざまな構成レジスタ。このメモリ領域には直接アクセスすることしかできません。これが状況です。アドレスは命令に直接エンコードする必要があり、ポインタレジスタを介したアクセスはありません。 128バイトあります SFR



。次の表は、SFR



8051標準に従って使用可能なリストを示してい ます。灰色のボックスにはSFR



、ビット単位のコマンドを使用して個別にアクセスできるビットが含まれて います。これは、ポートピンをアトミックに割り当てるとき、割り込みソースをアクティブ化/非アクティブ化するとき、またはいくつかのステータスをチェックするときに役立ちます。



8051の内部メモリは少し注意が必要です。最新の8051はすべて、256バイトです。最後の128バイト  0x80-0xff



 は 、レジスタ と  を介して間接的に  のみ使用できます  が、外部メモリの場合とは異なり、読み取りと書き込みだけでなく、現在も使用できます。増加（ rement）、減少（ rement）、加算（ ）、およびその他の予想される操作のほとんどを実行できます。実際、 すべての 内部RAMは、これらのポインタレジスタを介して間接的にアクセスされます。最下位128バイト R0



R1



inc



dec



add



0x00-0x7f



 直接利用することもできます（アドレスは、操作するときと同じように、命令自体に直接エンコードされ SFR



ます。範囲内の16バイトのメモリ 0x20-0x2f



 も、ビット処理命令を使用してビットアドレス指定できます。ブール値の変数を格納するのに便利です。この部分。最下位32バイト  0x00-0x1f



 は4つのバンクレジスタを構成し  R0



ます... R7



ステータスレジスタ  PSW



 には、現在使用されているバンクを選択できるビットがありますが、実際には、通常、内部メモリ領域が不足しているため、コードはほとんどの場合、メモリの1つのバンクのみを使用します。



8051は、主に単一のオペランドで動作するように設計されたマシンです。つまり、ほとんどの操作で、バッテリーはソースの1つとして使用され、場合によっては宛先として使用されます。レジスタは、多くの（すべてではない）操作にも使用できます。また、上記のように、一部の操作では内部RAMへの間接アクセスが許可されます。スタックは空のアップストリームでアドレス指定可能であり SFR



、呼び出さ  sp



 れて内部RAMにのみ配置され、最大サイズは256バイトに制限されていますが、実際にははるかに小さくなっています。 



8051 ROMイメージは、実行する初期コードへのジャンプと割り込みハンドラーを含むベクターテーブルで始まります。 8051では、歴史的に、リセットベクトルは次の場所にあります。 0x0000



、および割り込みハンドラはアドレス0x0003



 から始まり、その後8バイトごとに始まり ます。この命令 reti



 は割り込みからの復帰にのみ使用されるため、特定の関数が割り込みハンドラであるかどうかを簡単に検出するために使用できます。



Cコンパイラチャネルをこれらすべてで満たして、パフを取りましょう！ 



このアーキテクチャに適したCコンパイラが存在します：KeilのC51。しかし、それは安くはありません。オープンソースコンパイラもあります： SDCC。まあまあですが、無料です。このプロジェクトを行っているときに、2つの大きなバグしか見つかりませんでした。これは、バイパスすることによってのみ克服できました。オープンソースプロジェクトにとってはまったく悪いことではありません。

分析を始めましょう

void prvTxBitbang(u8 val)
                  __naked {
  __asm__(
    "  setb  PSW.5       \n"
    "  jbc   _EA, 00004$ \n"
    "  clr   PSW.5       \n"
    "00004$:             \n"
    "  clr   C           \n"
    "  mov   A, DPL      \n"
    "  rlc   A           \n"
    "  mov   DPL, A      \n"
    "  mov   A, #0xff    \n"
    "  rlc   A           \n"
    "  mov   DPH, A      \n"
    "  mov   B, #11      \n"
    "00001$:             \n"
    "  mov   A, DPH      \n"
    "  rrc   A           \n"
    "  mov   DPH, A      \n"
    "  mov   A, DPL      \n"
    "  rrc   A           \n"
    "  mov   DPL, A      \n"
    "  jnc   00002$      \n"
    "  setb  _P1_0       \n"
    "  sjmp  00003$      \n"
    "00002$:             \n"
    "  clr   _P1_0       \n"
    "  nop               \n"
    "  nop               \n"
    "00003$:             \n" 
    "  nop               \n"
    "  nop               \n"
    "  nop               \n"
    "  djnz  B, 00001$   \n"
    "  mov   C, PSW.5    \n"
    "  mov   _EA, C      \n"
    "  ret               \n"
  );  }

      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

GPIO構成から始めるのは簡単です。原則として、いくつかの一致するビットに出くわします。これらのビットは、連続する複数のレジスタで設定または消去されます。これは論理的です。アクティブ化または非アクティブ化するときは、通常、ピンを（GPIOからの）関数として使用し、入力または出力として設定し、その値を設定または読み取る必要があるためです。作業の最初に、この種のコードに出くわす必要があります。そこに何があるか見てみましょう...標準レジスタ P0



が  P1



あり、  P2



 実際にそのように使用されていることがわかります。レジスタGPIOの処理方法です。どのレジスタがそれらの周りに書き込まれ、次にそれらのビットに何が起こるか（それらが読み取り（入力）または書き込み（出力）のどちらであるか）を調べることにより、レジスタが  AD



、  AE



、  AF



 「機能」するように設計されてい-そして対応するビットが設定されているGPIOは、GPIOとして使用されていない、そして実際にGPIOとして使用されるすべてのGPIOは、これらのレジスタのうちの1つにのみ対応するビットの後にそう作業を開始することが表示されますクリアされます。私はそれらに名前を付けました。 PxFUNC



ここで、xはポート番号です。その後、我々はそれを結論付けることができ  B9



、  BA



、  BB



 方向を制御します。それらの1つにビットが設定されている場合は常に、対応するGPIOは読み取りのみであり、ビットがクリアされると、対応するGPIOは書き込み専用になります。したがって、これらのレジスタがGPIOの方向を制御することを理解しています。名前を付けました  PxDIR



ここで、xはポート番号です。だから今、理論的には、私はGPIOを制御することができました。それらのどれが何



をするかを知っていれば...  プログラミングヘッドの「テストパッド」を制御するもの、またはおそらくURXパッドとUTXパッドを見つけるまで、それらすべてを続けて試すことにしました。とにかく、実際には...ポート1のピン0（ P1.0



）が「TEST」、  P0.6



 これが「UTX」、  P0.7



 これが「URX」であることがわかりました。制御されたGPIOを使用すると、生活を簡素化できますが、異なるGPIOを切り替えてデバッグを処理できる場合に限り、飽きるまでです。これを練習する時間がありました！ 

printfがあります！

この関数を使用して、ビットバン方式を使用して「TEST」パッドを通常の8n1シリアルポートに変換し、ロジックアナライザーを使用して出力を収集しました。 USB-シリアルアダプタケーブルが処理できるボーレートが得られるまで、それをいじりました。私はすでにアセンブラーでprintfの8051実装を持っていました。1時間、この即席のシリアルポートから複雑なデバッグ行を出力する練習をしました。悪いスタートではありません、間違いなく、これはあなたが効果的に前進するために行動する必要がある唯一の方法です！ 



この時点で、私はウィンドウにすべての値を表示しました SFR



、少なくともこれらの値が何であるかをナビゲートします。さらなる研究にはまだいくつかの問題がありました。そもそも、ウォッチドッグタイマー（WDT）はデフォルトでしか設定されておらず、実行の1秒後にチップをリセットするように見えたので、すべての実験は1秒以内に収まらなければなりませんでした。WDTの操作方法がまだわからなかったので、しばらくこの制限に我慢しました。とはいえ、1秒は多くのサイクルです！ 

アクセスの拡大

コードを確実に実行して結果を出力できたので、ティックコントロールがどこにあるかを把握することにしました。ほとんどすべてのレジスタには、異なる速度（少なくともCPUの速度）を制御する少なくとも1つのレジスタと、さまざまなモジュールのクロックレート（またはリセット）を制御する別のレジスタがあります。それらは通常、次のように検出されます。最初のレコードは通常 、初期ロードの非常に早い段階で記録され 、その後はほとんど触れられません（あるとしても）。 2つ目は通常、ペリフェラルの構成を開始する前にビットセット（クロックサイクル）またはビットクリアがあります。さまざまな周辺機器がどこに構成されているかはわかりませんが、通常はセットです  SFR



同様の番号のは周辺機器に対応します。では、見てみましょう。確かにケースがあります、この説明に適合してください： B7



。SFR



同じような番号のいくつかが書き込まれる前に、一度に1ビットずつ設定され、SFR



同じような番号のいくつかの呼び出しが停止した後、その中のビットがクリアされる ことがわかり  ます。また0x2F



、最初はとして記録されている  ので、ここでは事前に含まれている周辺機器を扱っています。 周辺機器の初期化と見なす前にビットが設定されているように見えるので、 このレジスタを呼び出します。 CLKEN



..。このレジスタのビットを変更してみましたが、クリアしても何も起こらなかったようです。私は周辺機器を使用しないので、原則としてこれは論理的です。



近くに書き込まれた別のレジスタ（通常、文字コードはすべてのクロック操作を一緒に初期化します）は、その後書き換えられませんが、これ 8E



です。彼はに書き込みます  0x21



。私はそれが速度に関係しているかもしれないと提案しました。私は実験しました。どうやら、最下位4ビットは仕事でまったく反映されていないので、なぜそれらが設定されているのかわかりません  0b0001



、しかし、次の3ビットは、おそらくCPU速度をかなり大幅に変更します（ドリフトの影響を受けるUARTの速度から判断できる限り）。最上位ビットは周波数を少し変えているように見えたので、内部RC回路と外部水晶の切り替えを担当していると思いました。私が分周器として機能すると仮定した3ビットは、クロック速度を等しく見えるように設定しました 16M / (1 + )



。このレジスタに名前を付けました CLKSPEED



。その結果、最高速度は値0x01



で達成され、最低速度はで達成されます 。  0xf1

タイマーを機能させる

多くのメーカーは8051であらゆる種類のものを構築しているため、ここでは標準化がほとんどありません。ただし、ほとんどの場合、タイマー0やタイマー1などの8051の通常の機器には触れません。注意：これは経験則ではありません。たとえば、TIはCCシリーズチップのタイマーを大幅に変更します。このチップでは、通常は標準の8051タイマーを構成することになっているレジスタが近くで発生しているように見え、割り込みハンドラ＃1もそれらに影響を与えているように見えることに気付きました。できますか？標準タイマー？私はそれを試しました...それはうまくいきました。完全に標準で、元の仕様とまったく同じように見えます。レジスタをチェックした  CLKEN



 ところ、ビット0（マスク  0x01



）タイマーを機能させる。標準レジスタIEN0



 も期待どおりに動作し、番号1と3が実際にタイマー0とタイマー1の割り込みを駆動することを確認しました 。タイマーは、16MHzで動作する標準の8051で予想されるとおり、16MHzのちょうど1/12で動作しているように見えます。これまでのところ、この周波数を変更する方法は見つかりませんでした。私たちが知っていることは、今のレジスタを明らかにし  TL0



、  TH0



、  TL1



、  TH1



、  TMOD



、  TCON



！これで、高精度タイマーが機能するようになりました。



タイマー2が実際に標準8052（8051の続編）に実装されているかどうかを確認するのは面倒ではありませんでした。いいえ、そうではありません。 

それともUART？

void uartInit(void) {
    // 
    CLKEN |= 0x20;
 
    //  
    P0FUNC |= (1 << 6) | (1 << 7);
    P0DIR &=~ (1 << 6);
    P0DIR |= (1 << 7);
 
    // 
    UARTBRGH = 0x00;
    UARTBRGL = 0x89;
    UARTSTA = 0x12;
}
 
void uartTx(u8 ch) {
    while (UARTSTA_1));
    UARTSTA_1 = 0;
    UARTBUF = ch;
}

      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

OTAモジュールにはいくつかの行がありました。彼らが何かに関係しているのは理にかなっていますよね？多分デバッグシリアルポート？これは、「UTX」および「URX」キーポイントを持つボードに適しています。このコードは少し複雑でしたが、ある種のバッファにバイトを格納しているように見えました。コードは間違いなく標準のリングバッファのように見えました。このバッファが読み取られている場所を調べました。割り込み＃0のハンドラーにあることが判明しました。ああ、面白い。 UART割り込みハンドラーでしょうか？コードは、ステータスレジスタ（レジスタ98



）に似た領域のビット＃1をチェックしている  ようで、設定されている場合は、リングバッファからバイトを読み取り、レジスタに書き込みました。 99



..。前述のステータスレジスタに別のビット（＃0）が設定されている場合は、レジスタ99



 を読み取り、  その結果を...別の循環バッファに挿入します。まあ、これは私がUART割り込みハンドラーに期待するものとかなり一致しています！次は何をするの？ 



各循環バッファには、読み取り用と書き込み用の2つのポインタがあります。バッファが何かに使用される前に、それらを初期化する必要があることは理にかなっています。したがって、これらのインデックスが初期化される場所がわかれば、UARTがインストールされている場所も見つかるでしょう。間違いなくこのように見えます。 UARTを初期化する機能では、我々はGPIOことを確認  P0.6



 し、  P0.7



機能モードに設定し、  P0.7



 は入力に、P0.6



 -は出力に配置さ  れます。さらに2つのレジスタ：  9A



 と  9B



 は0x00



 、0x89



 それぞれとで  書き込まれ  ます。私のバージョンによれば、状態で動作するレジスタ（レジスタ  98



）はとして書き込まれ  0x10



、その中のビット0と1がクリアされます。次に、CLKEN



 ビット5がに設定され  、IEN0



 ビット0がに設定され ます。原則として、必要なのはこれだけです。 



したがって、レジスタに名前を付ける  と、レジスタはに  なり  ます。私達はことを知っています  99



  UARTBUF



98



UARTSTA



UARTSTA



 このブロックを機能させるには、0x10に設定する必要があります。ビット0は、UARTのTX FIFOキューに空きバイトがあることを意味し、ビット1は、UARTのRXFIFOキューにバイトがあることを意味します。CLKEN



 ビット5がUARTのクロックを有効にし、割り込み番号0がUART割り込みハンドラーに対応することがわかってい ます。それは単なる情報の宝庫です。これを知って、コードで動作するUARTドライバーを作成し、目的の「UTX」ピンに送信メッセージを送信することができました。このピンは、現在わかっているように、ポート0のピン6（ P0.6



）にあります。また、「URX」キーポイントがに接続されてP0.7



おり、これがUARTのRXラインであることも学び  ました。 UARTは115,200bps、8n1でデータを送信しており、レジスタの影響を受けませんでした。 CLKSPEED



..。では、これらの魔法の意味を与えるこれら2つの他の不思議なレジスターは何ですか？ 



私は残りの2つのレジスタをいじくり回すことを試みた、  9A



 と  9B



。彼らが何のためにあるのかがすぐに明らかになりました。これらは分周器です。ボーレートにどのように影響するかを確認するために、いくつかの値をプラグインしました。それは単純であることが判明しました。  9A



 （以下、  UARTBRGL



）は下位バイト、 9B



 （以下  UARTBRGH



）は上位バイト（上位4ビットは無視されているようです）。ボーレートは単純にとして計算され  16M / (UARTBRGH:UARTBRGL + 1)



ます。これは、魔法のように見えた値を完全に説明しています-それらは115,200ボーに対応します。



明らかに、小さなバグは、FIFOに影響を与えることなくプログラムでステータスビットをクリアできるという事実に関連しているため、誤って「TX FIFOに空き領域がある」（UARTSTA



.1）を意味するビットをクリアすると 、割り込みが発生します。発生することはなく、ビットはローのままになります。



不思議なことに、これらの場所は、8051シリアルポートレジスタであるSCON



 との  正しい8051アドレスと一致します  SBUF



。ビット0、1、および2は、8051UARTSTA



 の説明に  実際に適合します  SCON



が、ここで類似性は終わりです。 8051のUARTでは、ビット7と6を設定する必要があります  SCON



0と1では、この方法でのみ通常のUARTになります。この場合、このチップには0と0が必要です。さらに、8051 UARTには通常、ボー分周器がなく、代わりにタイマー1が使用されます。

ウォッチドッグタイマーと「見て！」

この時点で、デフォルトのウォッチドッグ構成によって保証された1秒の実行制限が私を悩ませ始めていました。ウォッチドッグがどこでどのように構成されているかを調べることにしました。通常、ウォッチドッグタイマーは独自の機能の一部として構成されており、小さいです。もちろん、これが常に起こるとは言いませんが、ほとんどの場合、このように見えます。私にはいくつかの候補があり、それぞれから順番にレジスタの書き込みをテストプログラムにコピーしようとしましたが、ウォッチドッグは道を譲りませんでした。毎秒チップを正しくリセットする必要がありました。



それをしていると、とても奇妙な機能に気づきました。どうやら、彼女は番号の下のレジスターを読み、 FF



そこに何かを書き、そしてリセットした P1DIR



、他のレジスタに書き込んだ後、レジスタの元の値を復元しました  FF



。奇妙なことに 、ポート1のすべてのピンがピンに設定されていました 。これはナンセンスです。他のモデルでは、ポート1に複数のピンが入力として構成されています。さらに、このようなレジスタは通常、命令anl



（論理積）およびorl



（論理積）  を使用してビットごとに操作されます  。レジスター全体へのそのような大まかな書き込みは、一度に反発的に見えました。FF



バックアップと復元が必要なレジスタについてはどう ですか？とても奇妙に見えました！ 



調査することにしました。レジスタ値をコンソールにダンプする場合 FF



、それはゼロであることが判明しましたが、もちろん、それは私には合いませんでした。ファームウェア全体を検索したところ、ほとんどすべての場所に記録があり、次にバックアップがあり、その後元の値が復元されていることがわかりました。私はまた、書くことはほとんど常に値で起こり0x04



、めったに起こらないことに気づき  ました  0x00



..。このレジスタは、さらに復元するためにバックアップ中にのみ読み取られました。この値に対して他のアクションは実行されませんでした。これはどのような機能を示していますか？基本的に、これはメモリバンキングコントロールが通常どのように機能するかです！アドレス空間に収まらないほど多くの情報がある場合は、切り替える必要があります。このアクセスパターン（変更前のバックアップとその後の復元）は、このような実際的な状況では一般的です。しかし、彼らは何を保存できますか？これでいいの？これらの狂人はメモリスペース自体を過負荷にしています SFR



か？！



私はすべてSFR



、すべて128の値を表示できるプログラムを書きました。  それから私はビット0x04



 をに変え  ました  FF



  SFR



そして再びすべてのスペースを取り出しました SFR



。次に、プログラムはこのビットをラップバックし、すべての値を再度表示しました。全能の神！そこには！レジスタのビット2は、  FF



 実際にスペースを節約します SFR



。このビットが設定されると、表示される値が変化することは間違いありません。どうやら、これはすべてのアドレスSFR



に影響を与えたわけではありませんが、多くのアドレスに影響を与えました  。このレジスタに名前を付けました CFGPAGE



。



今ことを  CFGPAGE



私が整理されたと思った、私はゼロに私の神秘的な機能、に戻りました P1DIR



。この場合はゼロにリセットされない  ことをすでに知っています P1DIR



が、別のページにある彼の奇妙ないとこ SFR



、このコードをプログラムにコピーしようとしました。信じられないかもしれませんが、WDTを無効にするコードに偶然出くわしました!!!



通常、バイナリ内の関連する関数は互いに隣接しているため、この関数を取り巻くコードを調査しました。確かにCFGPAGE



 、隣接するアドレスにもアクセスしてアクセスする いくつかの機能が近くにありました P1DIR



。数時間の試行錯誤の末、ウォッチドッグの仕組みの詳細を完全に理解しました。設定の4ページ目には、アドレス BF



がウォッチドッグタイマーの有効化とリセットを制御しているように見えます。このレジスタの最上位ビットは、ウォッチドッグタイマーのチップリセット機能を有効または無効にします。名前を付けました WDTCONF



。住所  BA



 （  P1DIR



 設定ページ0にあります）はウォッチドッグイネーブルレジスタです。ここでのビット0は、ウォッチドッグタイマー自体を有効または無効にします。名前を付けました WDTENA



。



この時点まで、私はまだウォッチドッグタイマーを飼いならす方法を考えていました。少し時間がかかりましたが、結局わかりました。レジスタ  BB



 （現在の名前  WDTPET



）をゼロに書き込んで、ウォッチドッグタイマーを調整できます。間のアドレス空間に穴が明確にあったので、それは、ウォッチドッグタイマの遅延を設定する方法を見つけ出すために私には数分以上かかりました BB



 し、  BF



..。カウンターは24ビット長で、飼いならされると過負荷になります。読めません。保存されたリロード値 WDTRSTVALH



： WDTRSTVALM



： WDTRSTVALL



、位置 BE



、  BD



、  BC



 それぞれは、構成4ページカウンタがカウント  UP 約62キロヘルツの周波数で、オーバーフローがトリガされます。したがって、遅延を大きくするには、これらのリセットレジスタに書き込む値を小さくする必要があります。

より微妙な可能性

フラッシュメモリプログラミング

//    irqs 
voif flashDo(void) {
    TRIGGER |= 8;
    while (!(TCON2 & 0x08));
    
    TCON2 &=~ 0x48;
    SETTINGS &=~ 0x10;
}
 
void flashWrite(u8 pgNo, u16 ofst,
              void *src, u16 len) {
    u8 cfgPg, speed;
    
    speed = CLKSPEED;
    CLKSPEED = 0x21;
    cfgPg = CFGPAGE;
    CFGPAGE = 4;
    
    SETTINGS = 0x18;
    FWRTHREE = 3;
    FPGNO = pgNo;
    FWRDSTL = ofst;
    FWRDSTH = ofst >> 8;
    FWRLENL = len - 1;
    FWRLENH = (len - 1) >> 8;
    FWRSRCL = (u8)src;
    FWRSRCH = ((u16)src) >> 8;
    flashDo();
    
    CFGPAGE = cfgPg;
    CLKSPEED = speed;
}
void flashRead(u8 pgNo, u16 ofst,
    void __xdata *dst, u16 len) {
    u8 pgNo, cfgPg, speed;
    
    speed = CLKSPEED;
    CLKSPEED = 0x21;
    cfgPg = CFGPAGE;
    CFGPAGE = 4;
    
    SETTINGS = 0x8;
    FWRTHREE = 3;
    FPGNO = pgNo;
    FWRDSTL = (u8)dst;
    FWRDSTH = ((u16)dst) >> 8;
    FWRSRCL = ofst;
    FWRSRCH = ofst >> 8;
    FWRLENL = len - 1;
    FWRLENH = (len - 1) >> 8;
    flashDo();
    
    CFGPAGE = cfgPg;
    CLKSPEED = speed;
}
void flashErase(u8 pgNo) {
    u8 __xdata dummy = 0xff;
    u8 cfgPg, speed;
    
    speed = CLKSPEED;
    CLKSPEED = 0x21;
    cfgPg = CFGPAGE;
    CFGPAGE = 4;
    
    SETTINGS |= 0x38;
    FWRTHREE = 3;
    FPGNO = pgNo;
    FWRDSTL = 0;
    FWRDSTH = 0;
    FWRLENL = 0;
    FWRLENH = 0;
    FWRSRCL = (u8)&dummy;
    FWRSRCH = ((u16)&dummy) >> 8;
    flashDo();
    
    CFGPAGE = cfgPg;
    CLKSPEED = speed;
}

      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

OTAイメージはメインファームウェアよりも小さいため、焦点を当てました。 OTAイメージで絶対に必要な詳細の1つは、フラッシュメモリに書き込む機能です。それはどのように見えますか？フラッシュはブロック単位で消去されるため、フラッシュを消去する何らかの機能が必要であると想定されます。また、1ページ以下のデータを書き込むことができる書き込み関数も必要です。記録されたデータの何らかの検証が必要です。実装で異なる唯一の詳細は、フラッシュコントローラーへの書き込みを目的としたデータをどのように供給するかです。私はそれがどのように見えるべきかわかりませんでした が、残りは見つけるのに十分簡単でした。検証はおそらく電話するだけに要約されます memcmp



またはサイクル。フラッシュ消去操作はフラッシュメモリを消耗させるため、消去する前にページを確認してから操作を実行する必要があります。 



消去前のチェックを探していたところ、0x400



 バイトからXRAM



フルまで  のバイト領域 を作成する関数をすぐに見つけました  0xFF



。次に、メモリ領域が  CODE



このバッファと比較され、等しくない場合は、割り込みが無効になりSFR



、設定ページ4で一部がタッチさ れます。フラッシュメモリのページサイズは明らかに1024バイトです。他のどの場所が同じ影響を受けているかを確認する SFR



、残りのフラッシュコードを見つけます。これらのレジスタが何をどのように行うかは、コンテキストから明らかです。この場合、データがフラッシュメモリ制御ユニットにどのように供給されるかが興味深いです。この制御ブロックには、明らかにDMAブロックが含まれています。アドレスはフラッシュメモリ制御ユニットに供給され、 XDATA



データはそこから直接吸収されます。なんてかっこいい！



その時までに、INFOBLOCKの読み方がまだわかりませんでした。どうやら、OTAコードは彼に関係がなかったようですが、どこかからそれを  読まなければなりません-結局のところ、そこにはデータがあります。メイン画像を確認したところ、同じ画像に影響を与えるコードスニペットに気づきました  SFR



フラッシュメモリからですが、別の方法で。さらに分析を行うことで、INFOBLOCKの正しい読み取り値を再現することができました。同じ方法を使用してフラッシュメモリの他のブロックを読み取ることができるのは不思議ですが、フラッシュメモリを読み取るために必要なのはメモリ領域を読み取ることだけなので、これを行う必要はありません  CODE



。 INFOBLOCKには、フラッシュメモリコントロールユニットを介してのみアクセスできます。フラッシュメモリからの書き込みと読み取りの両方で、制御ブロックはダイレクトメモリアクセス（DMA）を使用してXDATA



。に書き込みます  。



あるレジスター  DF



 （ FWRTHREE



）は、それを説明しようとする試みに逆らいました。それは常に価値のある記録を持っていました 0x03



、 どうしてか分かりません。私のフラッシュアクセスコードも同じです。レジスタ  D8



 （ FPGNO



）にはフラッシュページ番号が書き込まれます。フラッシュメモリのメインページはINFOBLOCK番号128を有する、0から63まで番号付けされている  DA



： D9



 （ FWRSRCH



:) FWRSRCL



フラッシュメモリ制御ブロック内のDMAブロックの源です。フラッシュXDATA



への書き込みの場合、書き込むデータが見つかったアドレスが含まれています 。フラッシュを読み取るために、元のページのバイトオフセットが検索され、そのオフセットから読み取りが開始されます。  DC



： DB



 （ FWRDSTH



： FWRDSTL



）フラッシュメモリ管理ブロックでのDMAの割り当てです。フラッシュへの書き込みの場合、宛先ページのバイトオフセットが含まれ、その時点から書き込みが開始されます。フラッシュを読み取るにはXDATA



、読み取り中に受信したデータが書き込まれるアドレスが使用さ  れます。  DE



： DD



 （ FWRLENH



:) FWRLENL



DMAブロックを転送する必要があることをデータ、マイナス1の長さです。



フラッシュメモリへの書き込みは、もう1つビットを設定することによってトリガーされます SFR



。その中のさまざまなビットも他のコードを制御するように設定されており、明らかにフラッシュメモリとは関係がないので、このレジスタはおそらくさまざまなアクションを開始すると結論付けました。このレジスタに名前を付けました D7



 構成ページ4  TRIGGER



。完了ステータスは、他のコードでも共有されているように見えるレジスタでもチェックされます。設定ページ4からこのレジスタ  CF



 に名前を付けましたが  TCON2



、なぜですか？にレジスタもありC7



、これも他のコードと組み合わせて使用され 、実行する操作を構成しているようです。名前を付けました SETTINGS



。  0x30



 消去+書き込み、0x18



 フラッシュの書き込み、フラッシュの  0x08



 読み取りを行う論理ORを使用して書き込まれました  。このビット 0x08



 は「データ転送保留中」0x10



 は「フラッシュ中」を 意味し、  0x20



 「消去」。これは、私たちが見る値とここで実行される操作を考慮すると理にかなっています。



フラッシュの読み取りと書き込みはうまく機能しましたが、消去は明らかに機能しませんでした。指定されたコードでページを消去する代わりに、何らかの理由で、消去を要求するコードが配置されていたページが常に消去されていました。明らかに、この問題はこのデバイスに含まれているコードにはなく、私は何か間違ったことをしていました。私のコードが工場出荷時のコードと一致することを確認するために、チェック、チェック、および再チェックを行いました。一致しました。どうしましたか？ファクトリコードが4MHzで動作し、16MHzで動作することに気付くまで、私は数日間働きました。これがポイントでしょうか？まさにその通りでした！現在の分周器を維持するようにフラッシュ消去コードを変更し、フラッシュ消去の間、クロックを4MHzに減速しました。このコードはすでに割り込みを無効にして実行されているため、問題ありませんでした。



このフラッシュメモリ制御ユニットのもう1つの微妙な点は、単純な「消去」操作を提供していないように見えることです。レジスタSETTINGS



に適切なifビットを割り当てることを考えたところ、  0x20



 または  に設定0x30



 すると単純な消去が発生するのは論理的であるように思われました 。これを消去する唯一の方法は、少なくとも1バイトを書き込む消去+書き込み操作を実行することです（ FWRLENH



：でFWRLENL



長さゼロを表す方法がないため。 単純な消去を実行するには、単に1バイトを書き込むように要求します 0xFF



。できます

SPI

基本的に、すべてのSPIドライバーは同じです。入力でバイトが受信され、出力でバイトが返されます。もちろん、DMAを備えているものもあれば、割り込み駆動型のものもありますが、小規模なシステムでは99％がソフトウェアで制御されており、どこかに単純な機能があります u8 spiByte(u8 byte);



。



SPIをさらに調査することは論理的でした。SSD1623L2



 SPIと通信すること 、およびそのような通信の編成の詳細もわかっているので、コードを調べて、コードのどの部分でこの操作を実行する必要があるかを確認する必要があります。数独と同じように、私たちがすでに知っていることを考えると、この検索は難しくありません。データシートを見る SSD1623L2



 最初に送信されたバイトのレジスタ番号がビット1..6に書き込まれ、「書き込み」ビットが位置＃7にあることがわかります。すべてのレジスタは24ビット長です。プログラマーがレジスター番号をパラメーターとして受け取り、0x80



書き込みが要求された場合は論理和または論理和で1つ左にシフトしてから、3バイトを転送するコードを作成することは論理的です 。すべてのプログラマーが論理的に行動するわけではありませんが、この仮定はリバースエンジニアリングで計り知れないほど役立ちます。コードを見ると、まさにそのように見える関数を簡単に確認できます。追加するものもあれば、追加 0x80



しないものもあります。それらはすべて、すべてのバイトに対して同じ不思議な関数を呼び出します。したがって、画面にテキストを表示するものと、読むものがあると想定します。不思議な機能そのものに取り組みましょう。



実際、ここでは梨を砲撃するのと同じくらい簡単です。これは、スイッチ  CFGPAGE



 次に書き込み、4までED



 の値を  レジスタ  0x81



に送信するバイトを書き込み EE



、書き込み  0xA0



 に  EC



、12マイクロ秒の遅延を行い、セットに3ビット  EB



から受信バイトを読み出し  EF



、記憶  0x80



 します  ED



。それで全部です。これらすべてを理解する方法は？以前のように、すでに知られていることに依存します。



0x80



 そして  0x81



 違いは1ビットだけで、SPI動作を開始する前に設定し、作業の終了後にリセットするので、これは明らかに、ある種の「アクティブ化」ビットです。一方、その意味は  0xA0



 文字通り   ある種の構成のように聞こえます。レジスター  EB



 はまだ謎です。しかし、このコードを書き込まずに複製すると、すべてが機能するので、このレジスタにあまり依存しないと結論付けます。間違いなく EE



 これ  SPITX



と  EF



 これ  SPIRX



。私はED



 -  SPIENA



 と  EC



 -  と呼んだ  SPICFG



。



ビートが何をするかを特徴づけることは残っています SPICFG



..。ロジックアナライザーを装備して、少し試行錯誤しました。ビット7をセットし、ビット6をクリアする必要があります。ビット5は、SPIバイトの送信を開始し、終了すると自身をクリアします。ビット3と4はクロック周波数を設定し、500KHz、1MHz、2MHz、4MHzの値から選択できます。 2はCPHA



 SPIの標準構成ビット 、ビット1は  CPOL



です。ビット0はRXに違反しているようです。彼はブロックを半二重（インラインMOSI



）に構成できると思います  。一般的に、それはそれほど難しいことではありません。



ピンごとに、GPIO構成をすばやく見つけて、P0.0



 これが  何であるか SCLK



、  P0.1



 これ  MOSI



 と  P0.2



 これを確認します  MISO



..。これらのGPIOが構成されている場所を探すことで、CLKEN



 SPIビットがどのように必要であるかもわかります。これは  ビット3です。すばらしい-これでSPIが機能するようになりました。

温度を決定する 

volatile u8 __xdata mTempRet[2];
 
void TEMP_ISR(void) __interrupt (10)
{
  uint8_t i;
  
  i = CFGPAGE;
  CFGPAGE = 4;
  mTempRet[0] = TEMPRETH;
  mTempRet[1] = TEMPRETL;
  CFGPAGE = i;
  IEN1 &=~ 0x10;
}
 
int16_t tempGet(void)
{
  u16 temp, sum = 0;
  u8 i;
  
  CLKEN |= 0x80;
  
  i = CFGPAGE;
  CFGPAGE = 4;
  TEMPCFG = 0x81;
  TEMPCAL2 = 0x22;
  TEMPCAL1 = 0x55;
  TEMPCAL4 = 0;
  TEMPCAL3 = 0;
  TEMPCAL6 = 3;
  TEMPCAL5 = 0xff;
  TEMPCFG &=~ 0x08;
  CFGPAGE = i;
  IEN1 &=~ 0x10;
  
  for (i = 0; i < 9; i++) {
    
    // 
    IEN1 |= 0x10;
  
    // 
    while (IEN1 & 0x10);
    
    if (i) {  //  
      
      sum += u8Bitswap(mTempRet[0]) << 2;
      if (mTempRet[1] & 1)
        sum += 2;
      if (mTempRet[1] & 2)
        sum += 1;
    }
    
    timerDelay(TICKS_PER_S / 1000);
  }
  // 
  CLKEN &=~ 0x80;
  
  return sum / 8;
}

      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

E-Inkディスプレイは現在の温度に基づいて異なる方法で更新されるため、正しく更新するには周囲温度を知ることが重要です。温度に応じて正しい波形が選択されます。ここでは、外部からの知識が役に立ちます。したがって、波形がディスプレイコントローラにロードされている場所を見つけることができれば、選択が行われている場所を見つけることができます。この場所から、温度が測定される場所まで直接歩くことができますよね？これを行った後、正確に1つの関数に移動し、その出力によって使用される波形が決まります。これはそれであるに違いありません！ちなみに、通常、温度センサーはADCに接続されています-別のバージョンでそれらを作成する人はほとんどいません。しかし、それは[まだ]問題ではありません。



それはすべて、ビット7をに設定することから始まります  CLKEN



リセットで終了するので、少なくともこれが温度センサー（またはADC）のオンとオフを切り替える方法であることがわかります。関数CFGPAGE



 は4に切り替わり  、一連の値を一連のレジスタに書き込みます。すべての値は一定です。 0x81



 ->登録  F7



、  0x22



 ->登録  E7



、  0x55



 ->登録  E6



、  0x00



 ->登録  FC



、  0x00



 ->登録  FB



、  0x03



 ->登録  FE



、  0xFF



 ->登録  FD



、次にビットはに  0x81



 フラッシュされ  F7



ます。その後  CFGPAGE



 レジスタのビット4を回復してクリアします A1



。これは初期設定のようです。特定の手順が5回発生した後、最初の手順を除くすべての操作の結果が平均化されます。その後、特にINFOBLOCKからの値を使用して、この方法で取得された平均で多くの計算が行われます-おそらくこれらはキャリブレーション値です。その後、結果が返されます。詳細を詳しく見てみましょう。



その過程で、レジスタのビット4が単純に設定されました。 A1



、グローバルビットが設定された後、アクティブスタンバイモードでビットがクリアされるまで時間を費やします。特定の平均値は、明らかに、いくつかのグローバルな値から取得されます。これは奇妙です...私はそれが書かれている場所を探し、割り込み＃10ハンドラーでそれを見つけました。どうやら、これはレジスタのビット4がクリアされたかだった A1



、その後、設定ページへの切り替えが4位を取った、値がレジスタから読み取られた F8



 と  F9



それらを用いて行った、といくつかの奇妙な、そしてその後、このグローバル値が書かれていました。しかし、これらの値で何が行われるのでしょうか？ 



私はちょうど目にあった刺し定数  0x55



、  0xAA



、  0xCC



と  0x33



..。これは可能ですか？誰かがそんなに鈍いのでしょうか...まあ、はい。これらは、バイト内のビットの順序を逆にする巧妙な方法のための定数です。トリッキーですが、より高度なプロセッサでのみ使用できます。 8051では、このアプローチは非常に効果的ではありません。しかし、なぜ？温度を測定するためにライセンスされているIP（コマンドポインタ）が何であれ、ビットの順序が逆になる結果が生成されるようです。なぜこの問題をプロプライエタリチップのソフトウェアレベルで解決する必要があるのか​​は大きな問題です。結局のところ、ハードウェアのビットの順序を逆にすることは、いくつかのワイヤーを並べ替えるよりも難しいことではありません...それは何をしますか？私は知らない。実際、私はそれを決して手に入れませんでした。 



温度センサー専用のコマンドカウンターを設計する人はほとんどいません。これはADCに接続するだけです。このコードを再実装し、それが非常にうまく機能することを確認できたら、これらすべてのレジスターを変更しようとしました。それらのほとんどは温度センサーのゲインに影響を与えましたが、効果がなかったものもありました。これが通常のADCである場合、いくつかのビットがそれを別の種類の入力に切り替えて、完全に異なる値を与えることが期待されます。残念ながら、これは起こりませんでした。それは本当に通常の温度センサーのように見えました。これらのレジスタは他のどこにも触れられていないため、これも確認されています。地獄のように奇妙ですが、大丈夫です... 



これらのレジスタのほとんどは一度しか書き込まれず、これらの値であり、それらを変更すると測定値に影響するため、単にすべての温度校正値と呼ぶことにしました。したがって、TEMPCAL1



 （reg。  E6



）、  TEMPCAL2



 （Reg。  E7



）、  TEMPCAL3



 （Reg。  FB



）、  TEMPCAL4



 （Reg。  FC



）、  TEMPCAL5



 （Reg。  FD



）、および  TEMPCAL6



 （reg。  FE



）について知ることができ ます。何度も使用されており、実際に校正値の読み込みを管理しているようですので、名前を付けまし  た。結果は   （reg。  F7



  TEMPCFG



TEMPRETH



F8



）および  TEMPRETL



 （reg。  F9



）。結果は10ビットの長さで、16ビットの結果レジスタの上端に揃えられ、ビット順序が逆になります。  



またTEMPCFG



 、サンプルの作成が完了すると、ビット3が設定されていることに気付き  ました。不思議なことに、ファクトリコードはそれをチェックせず、代わりに割り込みに依存しています。しかし、実際に  は、レジスタの目的をデコードするのに役立ちました A1



。ご覧のとおり、レジスタに8ビットがあるため、クラシック8051は7つの割り込みソースに制限されています。  IEN



ビット7は、グローバル割り込みをアクティブにするために予約されています。では、7番以上の割り込みをどのように管理しますか？実際、それは西部開拓時代のようです。あなたが望むのはあなたがすることです。しかし、ここには割り込み番号10をトリガーするハードウェアがあり、ビットを使用して、それがいつ行われたかを知ることができます。これは実験に最適です。ここでは、7を超える割り込みがどのようにアクティブ化および非アクティブ化されるかを知りたいので、割り込みを取り除くまでこのコードをいじくり回す必要がありましたが、サンプルが 作成されました。検索は長くはかかりませんでした。それでなければなりません A1



！私は彼に名前を付けました  IEN1



..。ここでビット0の機能が何であるかはわかりませんが、ビット1以上は、割り込み番号7以上のアクティブ化を制御します。これは後で確認できました。さて、完了しました-さらに別の周辺機器を文書化したので、さらに多くの奇妙なことが発見されました...

I2C

この段階で、同じチップを搭載したより大きな電子インクの値札を開きました。 e-inkグラフィックディスプレイとNFCを搭載した2.9インチモデルでした!!!ここでも、サードパーティの知識が役立ちます。ほとんどのNFCデバイスは、丁寧に質問すれば、それらが何であるかを正確に教えてくれます。ボード上のNFCチップが小さすぎて適切にラベル付けできないため、これは良いことです。 NFCを使用してスキャンし、デバイスIDを確認したところ、NXP NT3H1101（ 後世のためにここにアーカイブされたコピー  ）であることがわかりました 。この非常に便利なページから、データシートをダウンロードできます。  -そして、このチップとの通信がどのように進められるべきかがすぐに明らかになります。役立つ情報！ （すべての情報はここで役立ちます）。唯一の厄介なことは、このデバイスのI2Cアドレスが固定されていないことですが、任意の値に設定できます。ただし、デフォルト値が提供されています。リバースエンジニアリングのアルファベット：99.9％の場合、デフォルト値は変更されません。デフォルトのI2Cアドレスも変更されていないに違いありません。



のバイナリアナログを見つけるのは  0x55



 非常に簡単です-この値はそれほど一般的ではありません。どうやら、それらはすべて、2つの関数のいずれかを呼び出す前に作成されます。それらをI2Cに接続する必要があることは理にかなっています。さらに、すべての場合において、これらの呼び出しの前に、ビット4が CLKEN



その後、破棄されます。これで、このビットを介してI2Cがアクティブ化されることがわかりました。これらの関数が何をするのか見てみましょう。最初に提供されたパラメーターからデータをコピーするものもあれば、最後にコピーするものもあります。途中で、それらはすべていくつかのグローバルなものを書き込み、グローバルビットを設定し、ビット4をクリアし、レジスタにビット5を設定して、クリアされるの 95



を待ちます。うーん、温度センサーのように機能します。どうやらIEN1



 割り込みのビット2が アクティブになります。



これらのグローバル値に影響を与える割り込みハンドラーがどこにあるかを見てみましょう。確かに、その割り込み番号は予想通り8です。CFGPAGE



 0に設定して から、レジスタを読み取ります 91



..。最下位の3ビットは無視され、残りのビットはスイッチケースで何をするかを決定するために使用されます。このコードは少し紛らわしいことがわかったので、実験することにしました。ロジックアナライザーをNFCチップに接続する回線に接続し、どこSDA



でどこにあるか  をすばやく見つけました SCL



。このチップのデータシートがあるので簡単でした。



レジスタのビット4をクリアして95



 も何の影響も及ぼさないようです  が、ビット5を設定すると、バスのSTART条件が真になります。割り込みがトリガーされます。組み込みハンドラーを使用して同じことを行い、レジスターの最上位5ビットを読み取ると、 91



それらに値があることがわかります。 0x08



..。次に、アドレスバイトはレジスタのR / W（読み取り/書き込み）94



ビットとともに格納され、レジスタの  ビット3はクリアされ  95



ます。この割り込みハンドラを通るすべてのパスにより、レジスタのビット3がクリアさ れることにも注意してください 95



。これが「中断する必要のあるビット」だと思います。私はまだそれを理解していませんが、すでにいくつかのレジスタに名前を付けることができます。すべてのI2Cレジスタが設定ページ0



にあるようです。含まれているのはI2Cであり、他の理由で読み取られることはないため、呼び出します  。最下位の3ビットが変更されたり、何らかの方法で使用されたりするのを見たことがありません。  -だから私は電話します  91



  I2CSTATE



I2CBUF



94



、データはコンベヤーに沿ってポンプで送られるため  95



 、将来的には名前が付けられます。これは  I2CCTL



、物事を行うために、何かを書き込む必要があるためです。



さらに掘り下げてみると、アドレスバイトが送信されると、4つのステータス値のいずれかを取得できることがわかります。送信したアドレスバイトに書き込みアクセスが必要な0x18



場合、状態は確認済み（ACK）である0x20



かどうか、そうでない場合  は状態になります  。送信したアドレスバイトに読み取りアクセスが必要な0x40



場合、状態は確認済み（ACK）である0x48



かどうか、そうでない場合  は状態になります  。 NAK（未確認バイト）の処理は非常に簡単です。ビット5がに設定されている場合  I2CCTL



 バスのSTOP条件は真です。



書き込みモードでのデータ送信は簡単です。バイトは単にに書き込まれ  I2CBUF



ます。送信されたバイトが確認応答（ACK）されると、状態はになり、 0x28



そうでない場合はになり  0x30



ます。再起動を誘発するには、ビット4をI2CCTL



 -に設定します  。これは機能します。バス上でのRESTARTコマンドの実行が完了すると、状態はになり  0x10



ます。



情報を読み取りたい場合は、読み取りモードでリスタートビットとアドレスバイトを送信した後、ステータスを確認するとすぐに、 0x40



受信した次のバイト（ACKまたはNAK）への応答方法を決定できます。確認応答（ACK）するには、ビット2を次のように設定します。  I2CCTL



、および確認しないために（NAK）-このビットをクリアします。ハンドラーが返されると、バイトが受信されます。これが行われると0x50



、バイトが確認された0x58



かどうか、および 確認されなかったかどうかのステータスが表示 されます。いずれにせよ、 I2CBUF



 受信したバイトはに含まれます。 



初期化コードを確認し、コピーをいじくり回した後I2CCTL



 、周辺機器が割り込みをトリガーするかどうかを制御するビット7が見つかりました  。そうでない場合、このレジスタは次のように初期化されます。  0x43



..。これが、ブロックがマスターモードで動作するように構成されている方法だと思います。スレーブモードのサンプルコードがないので、この質問についてはこれ以上調べませんでしたが、スレーブモードはサポートされていると確信しています。それはできますが、私は怠け者です:)。



レジスタ  96



 は初期化時間にも情報を記録し、その後は変更されなくなりました。これは、まだ不足している1ビットの情報とよく相関しています。これは、クロック速度がどのように設定されているかを示しています。このレジスタ（現在はと呼ばれていますI2CSPEED



）を試してみると  、クロック周波数と複雑な相互依存関係があることがわかりますが、数十回試行した後、次のようになりました。  rate = 16MHz / ((dividerB ? 10 * (1 + dividerB) : 12) << dividerA)



ここで、dividerAは最下位3ビットです。 I2CSPEED



次の4はdividerBです。最上位ビットは明らかに使用されていません。



初期GPIO設定は周辺機器の初期化ポイント付近で発生するという事実は、そのピンを暗示しているようだP1.4



 し、  この場合において重要です P1.5



。



すべてがうまくいきましたが、1つの秘密がありました。このブロックの割り込みがアクティブになると（c  IEN1



）、ビット2もレジスタにセットされました A2



。IEN1



 アドレスA1



にある  ので  、割り込みと関係があるのではないかと思います。私はまだそれが何をするのか正確に理解しておらず、最初のI2Cセットアップコード以外のコードはそれを使用していません。以前に名前を付けました I2CUNKNOWN



I2C関連よりも割り込み関連である可能性が高いですが。とにかく、私のコードはマスターとしてI2Cトランザクションを実行できるようになりました！

ピンチェンジ検出

値札ファームウェアは、NFC対応デバイスによってスキャンされたときに起動されました。オンボードNFCチップには、メインマイクロコントローラーに接続された「フィールド検出」ピンがあります。一致？ ない考えて！ピンの変化を検出する方法が必要です。チップをスリープモードからウェイクアップします（省電力）。さらに、電子インクで描画するには時間がかかり、この待機中、チップはおそらくスリープ状態を継続するはずです。ディスプレイは、「BUSY」信号を変更することにより、描画の終了を通知します。つまり... CPUがピンの変更を検出する必要がある2つのケースがあり、ほとんどの場合、アクティブな待機サイクルについて話していません。最初に説明したケースを見つけるのは難しいでしょう-私はまだこの休止状態コードがどこにあるのか正確には知りませんでした。それどころか、2番目のケースは非常に簡単に見つけることができました。つまり、画面に描画するためのコードを見つけるのは簡単でした。ここでも、既存の知識に基づいて構築することが役立ちます。私は知っていました、どのチームが、存在する事実上すべての電子インクディスプレイチップの「画面を更新する」責任があります。私はちょうどそれに入って、何が起こるかを見ました。たくさんのコードがあり、多くが触れられました  SFR



..。私は私が見たいくつかで実験を始めました。いくつかの知識に基づいた推測を行いました：すべてのピンが変化検出をトリガーできる必要があります。これは常に当てはまるわけではありませんが、通常は知識に基づいた推測が行われます。私たちが話していた構成レジスタが何であれ、それらはシーケンシャルであり、3つのポートで動作すると仮定しました。また、ピンを変更すると、デバイスをウェイクアップするだけでなく、割り込みが発生するはずだと思いました。構成レジスタの数がかなり予測可能であることは理にかなっています。ピンごとに、ENABLE、STATUS、そしておそらくDIRECTIONが必要です。さらに、GPIO変更検出に関連するレジスタは、他のGPIO構成レジスタの近くにある可能性があります。



これに基づいて、少なくともいくつかのピンを簡単に切り替えることができたので、いくつかの実験を行いました（たとえば、TEST）。また、現在のマップがどのように開発されているかを確認するのにも少し時間がかかりました SFR



。私は、レジスタを見て忘れていない BC



、  BD



と  BE



 設定ページに0.いくつかの実験では、彼らが各ピンのプルアップを制御することが示されています。確かに、「ピンを引き下げる」ことを可能にする構成を見たことがありません。私はそれらに名前を付けました PxPULL



。



いくつかの実験の結果、ポートごとに3つのレジスタがあり、ピンが変更されたときに割り込みを制御することが明らかになりました。  PxLVLSEL



（ A3



、  A4



、  A4



）目的のレベルを選択します（0 =高、1 =低）。  PxINTEN



（ A6



、  A7



、  A9



）ハードウェアレベルで変更追跡ピンを提供します。  PxCHSTA



（ AA



、  AB



、  AC



）を格納検出ステータス（ビットセット=何かが変更されました）。他の実験では、ピンを変更したときの割り込み番号は11であることが示されました。うまく機能し、省電力モードからチップをウェイクアップすることもできました（これについては以下で詳しく説明します）。

2番目のDPTR

レジスター  84



 と  85



 不思議なことにすべてのスワップトランザクションの中で節約し CFGPAGE



 、8ビットすべてをそれらに保存します。 8051の多くのバリエーションでは、これは2番目のレジスタがあるべき場所 DPTR



です。しかし、もしそうなら、どのようにそれに 切り替え ますか？誰もがそれを異なって行います。やってみることにしました。アセンブラでプログラムを作成して、各レジスタの各ビットを順番に反転し、整数の書き込みDPTR



 （特別な命令）が後続の読み取りDPL



 および  DPH



 （への通常のアクセス）と 一致するかどうかを確認し ます。  SFR



）。これらの多くは、プログラムをクラッシュさせずに簡単に切り替えることができないと予測できます。しかし、どちらか一方を慎重にスキップする練習をしたので、のビット0を分離しました  92



。ええ、そうです...それが彼がしていることです。多くの8051と同様に、このレジスタDPS



に「データポインタの選択」を意味する名前を付けました  。レジスター 84



 と  85



 私は当然、DPL1



 と  名前を付けました  DPH1



。

その他の実験。

いくつかの実験ではPCON



、8051のスリープモードで（スタンバイとスリープ）の最下位2ビットが 期待どおりに機能することが示されています（ただし、省エネモードでのスリープも構成できます）。また、ビット4の設定が無効になっていることにも注意しました  XRAM



。これにより、スリープモードでのエネルギーがさらに節約されます。 



範囲内のレジスターB2



は 興味深い  B6



です。それらは、その場所で従う指示によって異なるように見えます。すべてを注意深く検討した結果、私は気づきました B4



： B5



 それは常に最新  PC



です!!!なぜ誰かがそれを必要とするかもしれない-私は知りません。それらに名前を付け  PCH



 、  PCL



..。それらは読み取り専用です。しかし、この範囲の他のレジスタはどうですか？ B2



 そして  B3



条件ジャンプに関連付けられているように見えます。（実行している場合例えば、走り幅跳びで ljmp



、  lcall



または  ret



）、彼らはジャンプの先を保存するように見えます。短い遷移（など  sjmp



）では  B2



 、変位を把握しているようです。奇妙なことですが、役に立たないので、それ以上は説明しませんでした。残りのレジスタに名前を付けました  PERFMONx



。

省エネモードで寝る

人は人であり、人間は彼らにとって異質なものではありません。人々はラウンド数が大好きです。正確さは必要なくても好きです。これは、リバースエンジニアリングに大いに役立ちます。たとえば、定数にどのように応答し  0x380000



ますか？無し？おそらく。どう 0x36EE80



ですか？目はすでに彼女にしがみついています。それはどういう意味ですか？小数のシステムにそれを翻訳し、あなたは以下を参照してください。3,600,000  まあ、これはミリ秒単位で表した時間、です。この値は、おそらく、省エネモードでの長時間の睡眠の場合にのみ役立つ可能性があります。夢が実現する場所に光を当てるこの種の定数に依存することで、「リバースエンジニアリング」したものの数を数えるのにうんざりしています。 



このデバイスの定数は、私が関心のある関数に渡されました：1 5000 2 000 5 000 10 000 3 600 000 1 800 0000xffffffff。これがミリ秒単位の期間を示していることは非常に理解できます。後者はおそらく「永遠にまたはほぼ永遠に」のスタブです。 



ほとんどのレジスタはスリープモードでほぼ排他的にコードによって使用されるため、ここでほとんどのレジスタが何をしているのかを理解する機会はほとんどありませんでした。いくつかは中に SFR



あり、いくつかは宇宙にありました  MMIO



..。コードをコピーして再現することができました。特に、スリープタイマーが32KHzと1Hzの2つの速度で動作することに興味がありました。これは24ビットのタイマーで、最短のスリープは約30ミリ秒続き、最長のスリープは約194日間続きます。詳細については、SDKをご覧ください。

無線

ラジオは通常、大規模な構成を必要とするため、密集したスペースSFR



 では混雑しすぎます 。無線機を搭載したほとんどの8051は、この問題を解決するために使用されます MMIO



。8051のメモリマップドI / Oは通常、アドレス空間にマップされます  XRAM



。コードを斜めに見ると、このチップの無線機がにあることがわかりました  MMIO:df00 — MMIO:dfff



。

RXパス

繰り返しになりますが、OTAイメージから始めることにしました。分析を簡素化するのに十分小さいです。 OTAイメージは無線パケットを送信せず、受信するだけであることがすぐに明らかになりました（確認応答はハードウェアレベルで自動的に送信されます。これはほとんどのZigBeeチップで一般的です）。しかし、それは良いことです！このおかげで、ドライバーの半分だけを分析するだけで十分です。つまり、タスクは可能な限り2倍簡単です。 



OTAコードがデータを取得する場所を探し始めたとき、バッファキューがあったように見えました。内容：これは、個々のバイトを含むキューであり、各バイトはバッファーのリストへのポインターです。パケットを受信し、受信したパケットを処理しているように見えるコードは、キューからバッファを取得して処理し、別のキューに入れました。非常に単純なスキーム。 1つのキューは受信データでいっぱいのバッファを格納し、別のキューは新しい受信データを受信する準備ができている空のバッファを格納します。十分にクリア。



少し見てみると、キューが別の方法でアクセスされている場所がすぐにわかります。「空の」キューからバッファを削除し、完全なキューをキューに入れます。これは割り込み＃5のハンドラーです！割り込みハンドラー自体は非常に単純でした。ただし、ビットが設定されTCON2.2



、に保存  され、バッファーがデキューさ0xC6



 れ  MMIO:df48



、バイトがコピーされて別のキューに入れられた場合に限り ます。しかし、彼はどこからバイトをコピーしたのでしょうか？コピーの長さはどこで入手しましたか？両方ともXRAM



彼が書いていなかったバッファから取られました ！私はこの謎を解き明かすことができたことがありません。



検索はそこで終わりませんでした。割り込み4が重要な役割を果たし、そのハンドラーはさらに単純であることが判明しました。彼はビット5をテストしました  MMIO:dfad



 （私はそれを呼びます  RADIO_IRQ4_pending



また、設定されている場合は、他の場所では呼び出されないプロシージャを呼び出します。このプロシージャは、読み取り 、その中の値が128以下であることを確認し、読み取り  、1増加すると、前の値と等しくなることを確認しました。上記のいずれかが満たされない場合は、に保存さ   れます。それ以外の場合は  、構成ページ4が選択され、最初の読み取り値がグローバル変数に格納され、さらに長さが示されます。この値から1を引いた値が持続し  、：に 格納されているデータを後でコピーするバッファへのポインタ 。次に、ビット2がに設定されました  。 SFR



  FA



MMIO:df98



0xC6



MMIO:df48



D5



D4



D3



TRIGGER







ここでも、コンテキストを知ることが役立ちます。 127は、有効な802.15.4パケットが持つことができる最大値であり、この長さには2バイトの巡回冗長検査（CRC）が含まれますが、バイト自体の長さは含まれません。したがって、FA



 これが結果の長さであると推測 します（バイト長とCRCを考慮に入れて）。名前を付けました  RADIO_GOTLEN



。このような場合、MMIO:df48



 （現在の名前  RADIO_rxFirstByte



）が最初に受信したバイト（長さバイト）である可能性があることは理にかなってい  ます。残りのすべてのレジスタが明確である：  D5



 これはRX DMAのDMAの長さ（現在は呼ばれている  RADIO_RXLEN



）  D4



： D3



 宛先RX DMAへのパーツポインタに分解されます（ RADIO_RXPTRH



 および  RADIO_RXPTRL



 それぞれ）。



その後、すべてうまくいきました。割り込み番号4は、無線が内部バッファにパケットを受信するとすぐにトリガーされます。ビット5をRADIO_IRQ4_pending



 （これは現在呼ばれていますRADIO_IRQ4_pending



）に設定する  と  、これが発生したことがわかります。パケットの初期検査に進み（パケットの長さが妥当な制限内にあることを確認します）、次にXRAM



、すべてが正常であれば、内部バッファーからにDMAを実行し ます。そうでなければ、我々は書き 0xC6



 で  MMIO:df48



。論理的には、これは「RX FIFOを空にする」と比較できるため、このレジスタは現在、と呼ばれてい  RADIO_command



ます。パケットですべてが正常で、DMA操作が完了した場合、ビット2が設定されます。  TCON2



、および割り込み5がトリガーされます。ここでも、「空のRXF​​IFO」をに書き込み  RADIO_command



ます。これは、DMAメソッドを使用してデータを既にプルしているので便利です。次に、データがコピーされ、ジョブが完了します。 



ほとんどの無線では、受信した巡回冗長コードは上位層で提供されません。単にチェックされ、yesまたはnoの値を持つ単一のステータスビットで返されます。いつものように、すべてが「正常に」機能していると想定することをお勧めします。あなたがチェックします-それは本当に定期的です。ほとんどのZigBee無線は、代わりにこれらの2バイトで、CRCではなくLQI（無線リンク品質インジケータ）とRSSI（受信信号強度インジケータ）を報告します。このモデルでは、ラジオはほとんど同じように機能します。ほとんど。どうやら最初のバイトは常に 0xD0



しかし、2番目は実際にはLQI（最下位7ビット）とCRCステータス（ビット7）を含んでいるようです。実際、Chipcon無線の動作と機能的に非常に似ています。このコマンド 0xC6



 は、チップコン無線（現在はTI）の「空のRXF​​IFO」も意味します。他の多くのものは同じではありませんが、コマンドは 反対であり、この無線スタックの他の要素をナビゲートするのに役立ちました！

ラジオの詳細

OTAコードがどのように無線を開始するかを考えると、多くのレジスタが一度だけ影響を受け、いくつかの値がそれらに書き込まれていることがわかり ます。これは完全にランダムに見えます。ほとんどの場合、それらの多くはゲージです。 1回（または繰り返し、同じ値が入力される）に書き込まれるレジスタは、キャリブレーションレジスタです。関連するレジスタの退屈な詳細はスキップしますが、SDKに含まれている作業開始コードについて説明します。



ここでも、レジスタに書き込まれる値の数を観察します  RADIO_command



..。記録された値は、chipconコマンドの値を使用した場合に予想される値と一致しますが、chipcon無線モジュールにはない値もいくつか表示されます。したがって、このラジオは珍しいチップコンの野郎であるか、両方とも共通の祖先の子孫です。いずれにせよ、この状況は、彼らによって発行されたいくつかのコマンドを理解するのに役立ちます。



開始コードを再現し、チップに組み込まれているような割り込みハンドラーを作成することで、受信に使用でき、実験に役立つ動作中のバイナリが得られます。メインファームウェアが書き込むレジスタがさらにいくつかあることに気づき、MMIO:df88 — MMIO:df8f



 これが「私の長いMACアドレス」であるとすぐに判断しました。 これは、ハードウェアレベルで着信パケットをフィルタリングするために使用されます。同様に、  MMIO:df90 — MMIO:df91



 RXフィルターの「独自のPANID」を設定します。 A  MMIO:df92 — MMIO:df93



 は「自分の短いアドレス」を設定します。この機器は、ブロードキャストアドレスに送信されたすべてのパケットを受け入れて確認（ACK）します。  MMIO:dfc0



 標準の802.15.4（11..26）番号で無線チャネルを設定します。



無線機がパケットを確認するので、調整時にMMIO:dfc9



 送信強度が調整されていることもわかりました  。 TXパワーを設定するレジスターについてだと思います。また、工場出荷時のメインファームウェアでチャネルを設定すると、チャネルごとの値でさらに2つのレジスタが書き込まれることに気付きました。 OTAファームウェアにはそのようなレジスタが1つだけあります。 RXに関連するものはと呼ばれMMIO:dfcb



、TXに関連するものは と呼ばれます MMIO:dffd



..。複製して理解するのに十分簡単です。次に、TXを理解する時が来ました！

いくつかのバイトを送ってみましょう！

データパスを復号化した後、関数とレジスタの名前を分解したマスターイメージに転送しました。まだマークされていないものを見ると、TXのパスがどこにあるかがわかります。実際、ここにはさらに2つのバッファキューがあります。1つはすぐに使用できる空のTXバッファでいっぱいで、もう1つは送信する準備ができている「使い果たされた」TXバッファでいっぱいです。伝達関数をすぐに見つけました。



802.15.4では、送信する前に無線チャネルを聞くのが通例です。この操作はCCA（チャネルアイドル評価）と呼ばれます。送信しようとしているデータを処理する前に、次のようなループについて考えてみましょう。  MMIO:df98



 ビット0をチェックします。設定されている場合、関数は失敗し、タイマーは再試行するように設定されます。これがCCAパスだと思います。このビットに128回ゼロが表示された場合、チャネルは空いていると見なされます。 



伝達関数自体は気のめいるように単純であることが判明しました。構成ページ4を選択し、目的の長さ（長さバイトまたはCRCを含まない）を選択すると、すべてがに書き込まれ CD



ます。でXRAM



 書かれ たバッファへのポインタ  CA



： C9



。バッファは長さバイトで始まります。  RADIO_command



 値がロードされます  0xCB



。チップコン無線機にはそのようなコマンドはありませんが、「TXFIFOのロード」を意味していると思います。次に、ビット1が設定されます  TRIGGER



..。これが、内部TXFIFO無線キューへのDMAアクセスが開始される方法だと思います。次に、に  MMIO:dfc8



 設定すると0xFF



、TXが終了するの  を255回待機し、MMIO:df9b



 （現在は  RADIO_curRfState



）のビット7が設定されていることを確認します   。次に、少し遅れて、に  MMIO:dfc8



 設定され 0x7F



ます。不思議なことに、なぜそれが記録されているのか分かりません MMIO:dfc8



。私のコードでは、それなしでやろうとしましたが、すべてうまくいきました。

しっぽ 

少し実験した後、私はファクトリーファームウェアができないいくつかのトリックを発見しました。ビット6は RADIO_IRQ4_pending



 、パケットを「TX」し、確認応答遅延（ACK）が期限切れになった後に設定されます。実際にACKを受信すると、ビット4も設定されるため、（1）実際にパケットを送信したのはいつか、（2）ACKを受信したかどうかを簡単に判断できます。涼しい！



また、ビット4 in  RADIO_IRQ4_pending



が設定されていて、ビット5 inがRADIO_curRfState



占有されて いない場合、これはパケットの受信処理中であることを意味します。 RSSIを手動で選択する必要があります。これについてはMMIO:df84



 （今  RADIO_currentRSSI



）読んでいます 。オフセットは約56dBmです。



また、ビット1に気づきました TCON2



TX DMAの完了時に設定されます（ただし、必ずしもTXプロセス自体である必要はありません）。TCON2



無線の初期化が終了すると、ビット0が  設定されます。

未解決ミステリー

ADC /バッテリー測定およびAES暗号化エンジン 

バッテリー電圧を測定する方法があるはずですが、同様のコードの痕跡は見つかりませんでした。このようにADCを使用するコードがなければ、この消失する方法を見つける可能性はわずかです。AESブロックは、原則としてADCと同じです。チップにAESアクセラレーションブロックがあることを知っています（ZigBeeに必要）。しかし、実際のコードはそれを使用していないので、それを見つける方法がわかりません。

その他

このチップを購入できないため、見つけることはできませんが、あまり気にしないもの：IR LEDコントローラー、PWMユニット、DAC。これらのことは、読者が自分で練習できるようにしておきます。

ZBS242 / 3ピン配置、機能、SFR、ダウンロード 

ZBS24xSDKをダウンロードし  ます。

• 影付きのセルは、ビット単位でアドレス指定可能なレジスタを示します 
• 銀行に在庫がない斜めに陰影が付けられたレジスター CFGPAGE
  
  
  
  
• 明らかに、どのページにもまったく表示されない垂直の影付きレジスタ。 
• 空のセルは不明なレジスタです
• RADIOレジスタの名前は文字「r」で始まります 

初心者のリバースエンジニアのためのレッスン

• 作業を開始する前に、少なくとも数時間または数日間資料を読んでください。
• - . -, . 
• . SPI , I2C , . .
• , – ( ). 
• : , . , , .  
• , , . 
• . - , - . , .
• - . , , . 
• , , . , , .
• - . . 
• - , , - . 

---

Macleodのクラウド サーバーは、ウェブサイトのホスティングに最適です。



上記のリンクを使用するか、バナーをクリックして登録すると、任意の構成のサーバーをレンタルした最初の月が10％割引になります。