一个无线遥控通讯协议破解实例

 

2.4G无线遥控通讯协议破解—美嘉欣

      

准备做平衡车，缺个遥控器，又不想用手机App。刚好手中有个之前买的遥控直升机，配套的2.4G遥控器看着还行，就打算拿来用在平衡车上。于是就开始了破解。先看图吧！

       

经拆解发现（遥控器端2.4G模块是COB封装的看不出，只能在接收端看芯片型号）为BK2423(和nRF24L01兼容)。于是就可以nRF24L01为接收机接收遥控器数据。当然反过来，也可以用nRF24L01来遥控直升机。

                

查数据手册：（这里用nRF24L01数据手册、BK2423多了一个BANK寄存器但是只有初始化时使用、其余通用）（BK2423的数据手册做的不好，毫无美感，看地眼痛心累）

1.     数据格式

2.     兼容模式（如何配置接收端）

3.     SPI时序（看懂时序图）

4.     指令（根据3看4、5）

5.     寄存器（部分）

   

   

抓数据：通过遥控器的2.4G模块SPI接口获取配置信息，通讯协议跳频列表。

       工具： Saleae Logic 16 Clone（逻辑分析仪）、

                      Saleae Logic 1.2.10（官方软件）、

                  SigrokPulseView（开源软件）。

（逻辑分析仪这个不是必须的，例：Arduino SPI 来捕获数据，就是在确定引脚的时候会有点麻烦，因为发送端模块的引脚定义不明，但是可以通过单片机新唐N79E814AT20的SPI引脚来查,遥控器的主控用的这个单片机）

 

下面是硬件和软件的截图：

 

开整：

1.     连线：（做了个接头直接卡在模块的引脚上，共9个引脚）

 

2.     连接逻辑分析仪、打开软件开始捕获、打开遥控器电源、开始配对、配对成功、操控摇杆一段时间、终止。以25MHz的采样率采集15s，九个引脚对应九个通道。（把开机配置、对频、工作跳频的整个过程都采集下来进行后续的分析）

3.     根据SPI时序图找出MOSI、MISO、CS、CLK。

4.     用SPI协议进行分析

 

5.     查找关键数据：

         形式：指令：写指令(0x20) +寄存器地址(0xXX)

         数据：D7、D6、D5、D4、D3、D2、D1、D0、

       指令：

                 W_TX_PAYLOAD:                                 =    0xA0

               CRC：                      0x20+ 0x00        =    0x20

               AutoAck:                 0x20+ 0x01       =    0x21

               地址宽度 :                0x20 + 0x03       =    0x23

               频道：                      0x20 + 0x05       =    0x25

               数据速率：               0x20+ 0x06        =    0x26

               数据位宽度：            没有查到，可通过0xA0查找W_TX_PAYLOAD，查看入数据的字节数

               发送地址：               0x20+ 0x10        =    0x30

       数据：

CRC：0x0E : 0000 1110

                1.    开启CRC

                2.    2 Bytes

                3.    PWR_UP

AutoAck: 0x00 : 0000 0000

                1.     关闭所有

地址宽度：0x03: 0000 0011

                1.    5 Bytes

数据速率：0x05 : 0000 0101

                1.     1Mbps

发送地址：0x6D 0x6A 0x73 0x73 0x73 : “mjsss”

                      

              注：右下角的Decoded Protocol 列表中配置命令有多个，如有两个则

                     下一个是BK2423独有的寄存器配置。多个有部分为数据。

频道：经检查发现有两个跳频列表

1.    配对未完成时：（至今也没搞明白这个是干什么的，猜测是对频的部分，但是不清楚对频的方式）

2.    配对成功后：

Cycle列表每个频道发送两次，循环管往复。

发送数据位宽度由W_TX_PAYLOAD:0xA0 发现：16 Bytes

 

所有必须的信息已经知道了：接下来开始接收数据进行验证！

Arduino 程序 （RF24 Lib）

（这里有两个工程：Arduino & VS2013， 自行下载，篇幅超出范围不能贴出来了）

pan.baidu.com/s/1jIBOXJC

 

 

由于不清楚对频过程所以可以不进行对频（漏洞：在对频过程中只要摇动任意摇杆就会打断对频直接进入工作状态）

连接硬件：

VCC     —>3.3V

GND    —>GND

CE       —>Pin 7

CSN    —>Pin 8

IRQ    —>Pin 2

 

  

 

开始接收数据！

自左向右依次：0：油门、1：左右转、2：前后飞、3：左右飞、4：左右转微调、5：前后飞微调、6：左右飞微调、14：操作模式/灵敏度、15：校验和。（其余数据含义未知）

 

至此全部工作已经完成。

总的做下来难道并不高，但是锻炼了自己。把它写下来一方面是总结一下自己所做的工作、步骤，另一方面希望能够对大家有所帮助。

 

 

 

附录：我在上文中提到了sigrok这个开源软件，但是并未提及（因为发现越写思路越清晰，就用不到了），这里作为补充。

Sigrok是一个开源跨平台信号分析软件、支持大量设备。它不仅能够提供通讯协议分析、更可以具体到具体的芯片，比如这里用到的nRF24L01+,它以SPI作为通讯接口，那么就可以应用SPI分析数据内容，进而解析其含义。

这里以一个数据传输过程为例：

sigrok支持大量的通讯协议和芯片解码，有需要的可以了解一下。注：暂不支持本文中的设备，折腾了很久，从win7到Ubuntu都试过了就是不行。我是通过官方软件导出为Raw Binary的形式再导入sigrok进行分析的，这个是最快捷的方法。 it依次为0~7Channel，在导入时选择的通道数n是指导入0~(n-1)。另外要填写采样率，单位为Hz。