Версия для печати темы

Автор: ARV Apr 6 2018, 13:08

Коллеги!
Прошу помочь, хотя бы советом, в решении проблемы реверс-инжиниринга ИК-протокола обмена.
Есть "фирменная" система, состоящая из приемника ИК-сигналов и кучи передатчиков сигнала. Передатчики посылают пакеты данных, в которых есть их собственный адрес и еще что-то.

Сам обмен я просниффил, оказалось достаточно просто, в пакете данных нашел поля адреса, в этом я точно уверен. Все остальные данные пока не известны, где находятся в пакете, но главное - в конце пакета (подозреваю очень сильно!) есть поле какой-то контрольной суммы. Во всяком случае, при изменении буквально 1-2 битов в пакете 4 последних байта сильно меняются, что наталкивает...

Так вот: каким способом можно вычислить алгоритм, по которому ведется подсчет этой КС? Прошивка МК недоступна, естественно... Я пробовал брутфорсить при помощи утилиты reveng, но ничего не вышло... Что посоветуете?

Вот просниффленные пакеты с трех разных передатчиков:

Автор: Baser Apr 6 2018, 13:35

Если CRC стандартная, то можно попробовать перебрать популярные полиномы (стандарты).
Для CRC32 вроде популярных немного, но могут быть нюансы: сдвиг вправо/влево, начальное значение, пост инверсия.
Еще могут не все байты пакета охватывать CRC.

Вообщем попробовать подбором. Мне такое один раз удалось для CRC16, правда там все было исключительно стандартно.

Автор: adnega Apr 6 2018, 13:43

Цитата(ARV @ Apr 6 2018, 16:08)

Автор: ARV Apr 6 2018, 16:17

Цитата(Baser @ Apr 6 2018, 17:35)

Цитата(adnega @ Apr 6 2018, 17:43)

Автор: adnega Apr 6 2018, 17:00

Цитата(ARV @ Apr 6 2018, 19:17)

Автор: Baser Apr 6 2018, 20:22

Цитата(ARV @ Apr 6 2018, 19:17)

Автор: ARV Apr 7 2018, 05:36

Цитата(Baser @ Apr 7 2018, 00:22)

Автор: _pv Apr 7 2018, 05:59

Первая и четвертая строки отличаются на пару бит, 12 <-> 1C и "контрольные суммы" отличаются не особо. Должно быть что-то вроде суммы/произведения, у обычной CRC не было бы такой похожести при малых изменениях.
Адрес скорее первые пять байт а не три.
Ну и данных маловато, по четырем посылкам состоящим в основном из нулей не разобраться.
И ещё надо как-то повоздействовать на датчики, чтобы показания менялись, и эти изменения отслеживать в данных.

Автор: k155la3 Apr 7 2018, 09:35

Цитата(ARV @ Apr 6 2018, 19:17)

Автор: ARV Apr 7 2018, 13:28

Цитата(k155la3 @ Apr 7 2018, 12:35)

А есть возможность не сниффить, а "стрельнуть" в приемник своим пакетом ("ловить на живца")

Автор: Сергей Борщ Apr 7 2018, 15:13

QUOTE (ARV @ Apr 7 2018, 15:28)

Автор: ARV Apr 8 2018, 11:42

Цитата(Сергей Борщ @ Apr 7 2018, 18:13)

Автор: k155la3 Apr 8 2018, 13:51

А есть возможность проверить что эти пакеты принимаются корректно другим приемником ?

Автор: ARV Apr 8 2018, 18:22

Цитата(k155la3 @ Apr 8 2018, 16:51)

Автор: esaulenka Apr 9 2018, 19:53

Мысли на уровне ".опой чую":
- передатчик 1, пакеты 1 и 4. Изменился 1 байт данных, изменились [1] и [3] байты КС.
- передатчик 2, пакеты 1 и 3. Полностью аналогично.
- все остальные варианты - КС меняется значительно.

Имхо, Сергей Борщ прав - это какие-то костыли для совместимости, и две двухбайтовые КС одна в другой.
И _pv прав, это не настоящий CRC / Флетчер / что-то продвинутое. Там от смены одного бита всё переворачиваться должно, а мы этого не видим.

И да, если это две КС, может прокатить халява - одна из них не проверяется. "Испорченные" посылки пробовали?

Автор: ARV Apr 10 2018, 07:51

Я набрал еще пакетов для статистики. Выяснилось, что пакеты передатчиков, которые полежали два дня сильно отличаются от ранее полученных, т.е. пока девайсы спят, они живут. Но каких-то кардинальных знаний новые пакеты не прибавили. Каждая строка в нижеследующих дампах - это отдельный пакет, интервалы между передачами пакетов примерно одинаковые - секунд 15-20.

Автор: Baser Apr 10 2018, 10:11

Цитата(esaulenka @ Apr 9 2018, 22:53)

Автор: ARV Apr 10 2018, 10:21

Цитата(Baser @ Apr 10 2018, 14:11)

Автор: Flood Apr 10 2018, 10:30

Цитата(ARV @ Apr 10 2018, 13:21)

Автор: ARV Apr 10 2018, 10:55

Цитата(Flood @ Apr 10 2018, 14:30)

Автор: vesago Apr 10 2018, 18:01

Случаем не для буренок таги? http://electronix.ru/redirect.php?https://electronix.ru/forum/index.php?showtopic=133779&hl=

Автор: ARV Apr 10 2018, 18:29

Для них, родимых.
Я продвинулся куда дальше всех, но все равно уперся в КС

Автор: vesago Apr 10 2018, 20:01

Однако. Не думал, что кто-то еще в такой области работает Мне нужно было слепить эмулятор ридера этих тагов, чтобы вместо них системе скармливать RFID какие. Главное, чтобы ID коровы отбивался. Я на атмеге смастерил аппарат, который передавал на шину блок данных. К сожалению с контрольной суммой не разобрался. Поэтому были заготовки, слитые с реальных тагов. Эти сэмплы и передавал. С виду контрольная сумма линейная. Не полиномы-хэши. Но проект заглох, поэтому дальше не разбирался.

Автор: ARV Apr 11 2018, 04:22

Цитата(vesago @ Apr 11 2018, 00:01)

Автор: vesago Apr 11 2018, 06:01

В таге у меня стоял MSP430. Я пробовал подцепиться - залочен был. Аналитически, подбором алгоритма чисто, тяжковато расколоть. Надо как-то заставить дивайс незначительно данные менять. Или слепить эмулятор и перебором пытаться формировать пакеты, пока не скормятся. Я, помню, тоже пытался и микрофон отпаивать, и не шевелил, а он все равно вываливал кучу измененных данных.

Автор: ARV Apr 11 2018, 08:54

Цитата(vesago @ Apr 11 2018, 10:01)

Автор: Baser Apr 11 2018, 09:00

Цитата(vesago @ Apr 11 2018, 09:01)

Автор: vesago Apr 11 2018, 09:17

Цитата(Baser @ Apr 11 2018, 12:00)

Автор: k155la3 Apr 11 2018, 09:34

Цитата(ARV @ Apr 8 2018, 21:22)

Автор: vesago Apr 11 2018, 09:41

Во как на объекте выглядит

Автор: Baser Apr 11 2018, 09:57

Цитата(vesago @ Apr 11 2018, 12:17)

Автор: k155la3 Apr 11 2018, 10:42

Цитата(Baser @ Apr 11 2018, 12:57)

Автор: ARV Apr 11 2018, 11:41

К сожалению, семейство MSP430 для меня абсолютно неизвестное, никаких средств для работы с ним нет И даже по поводу ревизии я не понял - как её определить? Что за баг в бутлодыре, какие указания? Боюсь, что в разумное время я ответы на все эти вопросы не найду.

Автор: k155la3 Apr 11 2018, 13:03

Цитата(ARV @ Apr 11 2018, 14:41)

К сожалению, семейство MSP430 для меня абсолютно неизвестное, никаких средств для работы с ним нет И даже по поводу ревизии я не понял - как её определить? Что за баг в бутлодыре, какие указания? Боюсь, что в разумное время я ответы на все эти вопросы не найду.

Автор: ARV Apr 11 2018, 13:11

Способы выделения полей в пакете в общих чертах мне известны, и какой-то успех в этом направлении есть. Но задача у меня стоит прежняя: научиться подсовывать свои данные в пакет. То поле, которое надо менять - поле адреса, - я уже вычленил на 100% в пакете. Остается совсем "пустяк" - подсунуть новый адрес в пакет так, чтобы приемник не заподозрил подвоха. И тут, к несчастью, знание остальных полей пакета очень мало поможет...

Кроме реверсинга прошивки и чистого везения с угадыванием, существуют ли какие-то подходы к раскрытию алгоритма КС? Может, я просто не знаю, как надо и пытаюсь изобрести велосипед?

Автор: k155la3 Apr 11 2018, 15:16

Цитата(ARV @ Apr 11 2018, 16:11)

Автор: halfdoom Apr 12 2018, 07:23

Цитата(ARV @ Apr 11 2018, 16:11)

Автор: ARV Apr 12 2018, 08:29

При помощи reveng я пробовал перебор (т.е. брутфорс) 8, 16, 24 и 32-битные варианты CRC для:
- полного пакета
- полного пакета с инверсией
- пакета без адреса
- пакета без адреса и без 1-2 байт в начале
- пакета без адреса и без 1,2,3 и 4 байт в конце
- пакет с адресом и без 1,2,3 и 4 байт в конце
- пакет без байта, находящегося перед предполагаемой КС и всегда имеющим значение 12
- пакет с адресом и без, у которого из 4 последних байт удалены четные или нечетные байты
все предыдущие варианты показали, что ВСЕ полиномы с начальным обнулением "регистра" и с заполнением, а так же с XOR в конце и без него, не подходят...

Автор: Сергей Борщ Apr 12 2018, 09:04

QUOTE (ARV @ Apr 12 2018, 10:29)

Автор: ARV Apr 12 2018, 09:13

Так там и нет изменения пары битов, там все 4 байта меняются.

Автор: k155la3 Apr 12 2018, 09:27

Цитата(ARV @ Apr 11 2018, 16:11)

Автор: ARV Apr 12 2018, 10:43

Я умом понимаю сложность задачи... но надеюсь еще пока на успех.
Не знаете какой-то софт, который бы позволял как-то автоматизировать хотя бы то, что вы посоветовали (а своих идей у меня тоже не мало)? Ну, например, быстро переводить HEX-строку в бинарный вид, инвертировать, XOR-ить и т.п. манипуляции делать? Основное время уходит именно на ручное преобразование и расписывание карандашиком...

Для логического анализатора софт вроде как весьма помог, но почему разработчики этого софта не додумались делать "стек" захваченных сигналов, чтобы можно было визуально сравнивать "этот" и "тот" или "пред-предыдущий"? И экспорт тоже та еще беда: для одной программы надо строку в том виде, как я тут привожу, т.е. без префиксов 0x, а лог.анализатор пишет с префиксами, да еще в CSV-таблице... пока вручную переформатируешь...

Я, конечно, что-то пописываю сам себе в помощь, но ведь на каждый случай утилитку писать тоже не самый оптимальный вариант по усилиям и срокам. Неужели ничего готового нет?

Цитата(k155la3 @ Apr 12 2018, 13:27)

Автор: _pv Apr 12 2018, 10:44

последние два байта - тупо xor от первых 18ти 16ти битных слов

Автор: ARV Apr 12 2018, 10:54

Цитата(_pv @ Apr 12 2018, 14:44)

Автор: k155la3 Apr 12 2018, 11:00

Цитата(ARV @ Apr 12 2018, 13:36)

Автор: ARV Apr 12 2018, 11:04

Идеи требуются.
Но еще сильнее требуется какое-то обсуждение, потому что в одну голову думать - с ума сходишь, а толку ноль. А единомышленников нет вокруг
_pv вон какое классное предложение произнес: все ТУПО! причем, если посмотреть, то 5-й байт есть XOR предыдущих 4-х. теперь логично предположить, что есть третий с конца байт - и дело в шляпе! тут уже и перебором можно взять приемник на измор
лишь бы _pv оказался прав на всех пакетах всех транспондеров...

Автор: _pv Apr 12 2018, 11:22

четвертый с конца байт - не КС, есть пакеты где только он и отличается
7310072541 2004 46 0000000000000000000000008240C1000041824244404242003F12 4B 09 E466
7310072541 2004 46 0000000000000000000000008240C1000041824244404242003F12 4C 0E E461

а третий с конца байт похоже что однобайтовый xor, но не от всего сообщения, а возможно только его части.

Автор: k155la3 Apr 12 2018, 11:53

Цитата(_pv @ Apr 12 2018, 14:22)

Автор: _pv Apr 12 2018, 12:06

Цитата(k155la3 @ Apr 12 2018, 18:53)

Автор: k155la3 Apr 12 2018, 12:54

Цитата(_pv @ Apr 12 2018, 15:06)

Автор: _pv Apr 12 2018, 13:02

7310072541 2004 46 0000000000000000000000008240C1000041824244404242003F12 4B 09 E466
7310072541 2004 46 0000000000000000000000008240C1000041824244404242003F12 4C 0E E461

вот пакеты с минимальными отличиями, 4B->4C <=> 09 -> 0E разница как раз в младших трёх битах что там, что там.
Хэмминг бы другие биты тоже перевернул.
хотя есть и другие пакеты где отличий в старших битах нет вообще, а этот третий с конца байт отличается и там тоже, то есть не просто xor, а ещё с чем то.

Автор: k155la3 Apr 12 2018, 13:07

А ТС стопроцентно уверен, что пакеты "проснифферены" без ошибок ? (проверить-то их пока невозможно без КС) ?

Автор: ARV Apr 12 2018, 13:17

Только что проверил на всех имеющихся на сегодня дампах - при выбрасывании третьего с конца байта XOR двухбайтных слов всегда 0000!
Предположение _pv полностью подтвердилось!

Цитата(k155la3 @ Apr 12 2018, 17:07)

Автор: vesago Apr 12 2018, 13:23

Да, у них обычный UART 4800. По крайней мере ридер в сети на ней общается. Инверсный уарт.

Автор: _pv Apr 12 2018, 13:26

Цитата(ARV @ Apr 12 2018, 20:17)

Автор: k155la3 Apr 12 2018, 18:06

А как передатчик узнает, что ему надо передать инф. на приемник ?
Есть ли обратный канал связи, от приемника на передатчик ?

Автор: ARV Apr 12 2018, 18:56

Цитата(k155la3 @ Apr 12 2018, 21:06)