Forum: Mikrocontroller und Digitale Elektronik Migros Story Mania Hör-Box abgeschliffenen Mikrocontroller eruieren, reverse engineering

simschmid schrieb:
> Und, der Mikrocontroller ist abgeschliffen.

sicher? Hast Du mal nen Tesafilm draufgeklebt und es dann mit 
verschiedenen Lichteinfallsrichtungen probiert? Oft ist die 
Laserbeschriftung auch einfach nur schlecht zu erkennen.

> Typ 20 Pin

Was für ein Package? Ist das der SSOP im Foto unten rechts oder der QFN, 
der sich halb hinter Deinen Steckern versteckt?

> Vcc Pin 9 3.3V
> GND Pin 7
> UART/GPI Pin 8 auch Taste Skip -
> UART Pin18
> Reset Pin 4 auch ein nicht gelöteter Switch

Konntest Du irgendwelche Programmierheader oder Testpins ausfindig 
machen? JTAG, SWD etc.?

Gerd E. schrieb:
>> Typ 20 Pin
>
> Was für ein Package? Ist das der SSOP im Foto unten rechts oder der QFN,
> der sich halb hinter Deinen Steckern versteckt?

Also wie ich das sehe, kann es ja keiner der beiden sein, oder? Unten 
rechts der TSSOP hat 24 Beinchen und man kann ja schon auf dem Foto die 
Beschriftung erkennen. Der QFN Chip hinter dem Stecker hat auch keine 20 
Pins (32-Pin QFN). Oder hat sich der TO nur verzählt?

Misch schrieb:
> lulu

Steht doch alles in dem Link.

P.S.:
Vorzugsweise sollten Posts in Deutsch oder Englisch erfolgen.
Z.B. Polnisch verstehen hier nur wenige.

simschmid schrieb:
> Typ 20 Pin
> Vcc Pin 9 3.3V
> GND Pin 7
> UART/GPI Pin 8 auch Taste Skip -
> UART Pin18
> Reset Pin 4 auch ein nicht gelöteter Switch
>
> Kennt jemand einen Mikrocontroller, der diese Pinbelegung hat?

Eine Nahaufnahme des Chips auf dem PCB würde definitiv helfen (auch wenn 
abgeschliffen)

Peter D. schrieb:
> Vorzugsweise sollten Posts in Deutsch oder Englisch erfolgen.
> Z.B. Polnisch verstehen hier nur wenige.

Das ist Deutsch. ;-)
Nur kein Hochdeutsch.

Peter D. schrieb:
> Vorzugsweise sollten Posts in Deutsch oder Englisch erfolgen.
> Z.B. Polnisch verstehen hier nur wenige.

Genau wie Spaß. Den verstehen hier noch weniger...

Liebe Leute herzlichen Dank für die grosse Beteiligung. Ich hatte mein 
Passwort vergessen, darum den Thread ohne Login gestartet und keine 
Benachrichtigung bekommen. So, gerne liefere ich nun die gewünschten 
Informationen und im Anhang noch neue Bilder.

Ich habe mir noch eine zweite Box zugelegt, mit der Hoffnung, dass die 
Beschriftung dort vielleicht lesbar(er) wäre am uC. Leider vergebens. 
Diese ist auch mit Tesafilm etc. nicht lesbar, da physisch mit Laser 
oder CNC abgschliffen (siehe Fotos).

Auf der SD Karte waren bei der bisherigen Storymania Aktion nur die smp 
Files (wie diese aus mp3 Dateien Decodiert werden ist unter 
http://www.revox.name/storymania wunderbar dokumentiert). Nun hat eine 
neue Aktion in der Migros gestartet mir Wichtelfiguren, diese belegen 
dann die Filenames M13.smp bis M20.smp). Bei der Installation wird dann 
noch ein JSON File als Logfile abgelegt.


- Die Box erscheint beim Anstecken am USB als USB-Audiodevice mit 2 Ein- 
und 2 Ausgängen.
Das Gerät nennt sich "JieLi BR17", Hersteller "ZhuHai JieLi Technology"

- Und als USB Speicher
JieLi BR17:

  Produkt-ID:  0x0811
  Hersteller-ID:  0xe5b7
  Version:  1.00
  Seriennummer:  20160823
  Geschwindigkeit:  Bis zu 12 MBit/s
  Hersteller:  ZhuHai JieLi Technology
  Standort-ID:  0xfa130000 / 5
  Verfügbare Stromstärke (mA):  1000
  Erforderliche Stromstärke (mA):  400
  Zusätzlicher Betriebsstrom (mA):  0
  Kapazität:  1.94 GB (1'939'865'600 Byte)
  Wechselmedien:  Ja
  Absteckbares Laufwerk:  Ja
  BSD-Name:  disk2
  Partitionstabellentyp:  MBR (Master Boot Record)
  Volumes:
MIGROS-BOX:
  Kapazität:  1.94 GB (1'939'849'216 Byte)
  Verfügbar:  1.94 GB (1'935'187'968 Byte)
  Beschreibbar:  Ja
  Dateisystem:  MS-DOS FAT32
  BSD-Name:  disk2s1
  Mount-Point:  /Volumes/MIGROS-BOX
  Inhalt:  DOS_FAT_32
  UUID des Volumes:  C592BC18-52E1-3E66-B326-8C442A165E56

- Via Bluetooth
Geräte (verbunden, konfiguriert, etc.):
  Migros-Box:
  Adresse:  49-C4-C2-45-93-0C
  Major Type:  Audio
  Minor Type:  Handsfree
  Dienste:  JL_A2DP
  Verbindung eingerichtet:  Ja
  Konfiguriert:  Ja
  Verbunden:  Ja
  Hersteller:  Unknown (0x4, 0x42DE)
  Geräteklasse:  0x04 0x02 0x240408
  RSSI:  -58
  Funktion:  Master
  Verbindungsmodus:  Aktiver Modus
  Intervall:  0 ms
  EDR wird unterstützt:  Ja
  eSCO wird unterstützt:  Nein
  SSP wird unterstützt:  Ja

Zu den Bauteilen habe ich folgende Infos herausgeschrieben:

U1: Annahme Mikroprozessor 20 Pin (habe mich nicht verzählt ;-)
U2: NFC Chip 32 Pin (Typ kann noch ich nicht entziffern mangels 
Mikroskop)
U3: ist nicht verbaut
U5: AC1727AP 12251-5A8 24 Pin (Audioencoder/Bleutooth/USB) ZhuHai JieLi 
Technology
U6: NS8002 2W Audioverstärker
U12: TPS5410 Spannungsregler

Y1: 27.120 MHz für U2
Y2: 24.000 MHZ für U5

Aufgrund der Lötpunkte J1 nehme ich an, dass es sich um eine serielle 
Programmier/Debug Schnittstelle für den U1 handelt. Folgende Belegung 
habe ich herausgefunden:

Vcc   -> Pin 9 3.3V
GND   -> Pin 7
UART? -> Pin 8 auch Taste Skip -
UART? -> Pin18
Reset -> Pin 4 auch ein nicht gelöteter Switch SW6

Ich habe einen 3.3V FTDI-USB Adapter angehängt, konnte aber keine 
Kommunikation feststellen. Als nächstes gehe ich mit einem Logikanalyzer 
dahinter.

Dann kam noch die Frage nach den Findigen Usern. Und wo ich die Angaben 
gefunden habe. Die Quellen sind:
- http://www.revox.name/storymania
- https://www.facebook.com/groups/133388197299545/ (dies ist eine 
geschlossene Facebook Group)

Gemeinsam haben wir das Ziel die Box nachhaltiger zu gestalten, denn di 
hat echt Potenzial! Sie kostet mit Fr. 39.- (resp. 28.- in Aktion) auch 
relativ wenig.

Ich danke für eure Inputs und falls ich jetzt doch eine Frage 
unbeantwortet liess, werde ich nun schneller antworten.

Erstes Ziel wäre den uP herauszubekommen und ev. umprogrammieren zu 
können.

Hallo

Der Mikrocontroller sieht für mich nach einem STM8S003 / S103 aus
http://www.st.com/content/ccc/resource/technical/document/datasheet/42/5a/27/87/ac/5a/44/88/DM00024550.pdf/files/DM00024550.pdf/jcr:content/translations/en.DM00024550.pdf

Pinbelegung scheint jedenfalls gut zu passen.

Tippgeber schrieb:
> Bei mir auf dem Rechner hat die PNG-Datei 200kB,

PNG ist kein geeignetes Dateiformat für Photos.

Rufus Τ. F. schrieb:
> Tippgeber schrieb:
>> Bei mir auf dem Rechner hat die PNG-Datei 200kB,
>
> PNG ist kein geeignetes Dateiformat für Photos.

Steht sogar dran wenn man versucht Dateien hochzuladen

Tippgeber schrieb:
> Claudio H. schrieb:
>> Der Mikrocontroller sieht für mich nach einem STM8S003 / S103 aus
>
> Jepp, das passt wirklich gut.
Danke @Tippgeber und @Claudio H. Das könnte durchaus passdn. Ich habe im 
Pinout die Pins markiert, welche auf den J1 rausgeführt werden.

Leider kenne ich mich mit STM nicht aus. Ich könnte mir aber vorstellen, 
dass diese Pins nsch einer Programmierschnittstelle schreien korrekt?
Das würde dann auch erklären, wieso ich dort mit meinem FTDI keine 
Kommunikation lauschen konnte, denn die UART sind ja an anderen Pins.

Wenn J1 eine Programmierschnittstelle ist, wie wird hier bei einem STM 
programmiert?

Simon S. schrieb:
> wie wird hier bei einem STM
> programmiert?

Dies ist die programmierschnittstelle.
Der STM8 benötigt nur VCC GND SWIM und NRST.
Diese verbindest du mit einem ST-Link.

Das auslesen des Chips ist mit grosser Wahrscheinlichkeit deaktiviert.
Neu beschreiben könnte evtl. klappen.

Die STM8 haben ziemlich fiese (für den Hersteller praktische) fuses.

> Wenn J1e eine Programmierschnittstelle ist, wie wird hier bei einem STM 
programmiert?

Wenn ich's im Datenblatt recht verstanden habe, wird über den SWIM Pin 
programmiert.

"In addition, STice offers in-circuit debugging and programming of STM8 
microcontrollers via
the STM8 single wire interface module (SWIM), which allows non-intrusive 
debugging of an
application while it runs on the target microcontroller."

Konnte ich damit den STM8 auch auslesen?
Ist hier jemand im Thread der auch an der Box bastelt? Z.B. @Tippgeber

Simon S. schrieb:
> Konnte ich damit den STM8 auch auslesen?
> Ist hier jemand im Thread der auch an der Box bastelt? Z.B. @Tippgeber

Ich habe keine Box, würde dir diese aber auslesen.

Ich habe mir nun so einen ST-Link V2 Mini bestellt. Gerne kann ich dir 
das Board schicken @Claudio H. , wenn du mir deine Adresse per Nachricht 
schickst.

Meinst du, du kannst es auslesen entgegen der Meinung der anderen?

Misch schrieb:
> Gute abig zämme han e frag und zwar ich heti ger  de nfc code vo de
> lulu. Danke im forus

Lulu ==>01170618011012000000000000000000

Leier habe ich da noch keinen Mikrocontroller unter 
http://www.nuvoton.com/hq/products/microcontrollers/8bit-8051-mcus/low-pin-count-8051-series/n79e844/?__locale=de 
gefunden, der vom Pinout her passt. Beim STM wäre das so schön 
aufgegangen. Danke @Claudi H. für das Ansehen des Boards.

Oh, ein alter Bekannter!

Der NFC-Chip im QFN32 ist ziemlich wahrscheinlich der PN512 von NXP
https://www.nxp.com/docs/en/data-sheet/PN512.pdf?pspll=1

Angebunden offensichtlich über SPI und die vier Widerstände links...

Gruß... Bert

Du kannst TX1 und TX2 auch noch markieren, die stimmen ebenfalls 
überein, da beginnt jeweils das EMC-Filter zur Antenne, bestehend aus L1 
+ L2 560nh in Serie und C9 + C10 220 - 270pF gegen Masse.

Ebenso RX und Rmid mit dem typischen R7 als Bias Einkopplung.

Die Grundbeschaltung findest Du im verlinkten Datenblatt, S.110.


Gruß... Bert

So, Board ist zurück, Logicanalyzer dran. Auf J1 kommt nix, ausser ich 
drücke Skip - oder Skip +. Dafür quaselt der CON1 ganz schön:

UART 9600N1


rote Taste

1

sys start

2

3

SC2832_NFC512_V1.00

4

Jun 10 2017

5

18:12:22

6

~.©ïsys 2!

7

8

nfc_mode

9

10

PcdReset

11

12

start PCDCTRL_INIT!

13

14

ver:=0x92 

15

BATTER FULL

16

17

low power

grüne Taste

1

K_PLAY

2

3

0A 0A 7E 02 0C EF

weisse Taste

1

K_PREV

2

3

0A 0A 7E 02 0A EF

pinke Taste

1

K_NEXT

2

3

0A 0A 7E 02 0B EF

blaue Taste

1

K_VOLDN

2

3

0A 0A 7E 02 06 EF

gelbe Taste

1

K_VOLUP

2

3

0A 0A 7E 02 05 EF

beim Auflegen des NFC Chips "02"

1

PcdReset

2

3

start PCDCTRL_INIT!

4

5

ver:=0x92 

6

7

 pUTR->ATQ: 

8

0x04 0x00 PiccActivateTypeA ok 

9

10

11

 PICC UID: 

12

0x98 0xDA 0x02 0x2E 

13

 BLOCK 1 DATA: 0x01 0x17 0x06 0x18 0x01 0x10 0x02 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 0x00 

14

 Toy.Category:1 

15

 Toy.Year:17 

16

 Toy.Month:6 

17

 Toy.Retailer:18 

18

 Toy.Manufacturer:1 

19

 Toy.Name:1002 

20

num=2 

21

~.A..ï~..ïget get music MusicPlayerNum 

22

23

  get Bluetooth Num=2 

24

25

 nfc num=2

beim Wegnehmen des NFC Chips "02"

1

7E 02 0E EF

beim Ausschalten (tore Taste)

1

K_POWER off 

2

3

~..ï~.¨ï¿WñÿÑòv·Ï³bv.†.ç9ƒ......Á.0.€..„ .......@...

Beim Auflegen der NFC Chips und Ausschalten habe ich die Hexcodes nicht 
abgetippt. Bei den einzelnen Befehlen schon.

Der Audiochip scheint nur auf die Hex Strings zu reagieren. Der ASCII 
String davor scheint Debug zu sein?!?

7E 02 0A EF   PREV (ein paar Sekunden rück)
7E 02 0B EF   NEXT (ein paar Sekunden vor)
7E 02 0C EF   PLAY
7E 02 05 EF   VOLUP
7E 02 06 EF   VOLDN
7E 02 0E EF   PAUSE

Herausgefundene  Befehle

7E 02 02 EF   ??? Wiedergabe stoppt
7E 02 03 EF   vorheriger Track
7E 02 04 EF   nächster Track
7E 02 07 EF   ??? Adiochip gibt Ton und Wiedergabe stoppt
7E 02 08 EF   ???
7E 02 09 EF   NFC Trackwiedergabe startet von Beginn wenn gestoppt

1

7E 04 41 00 02 EF

   Spielt Track/Datei M02.smp

Tracks M01.smp bis M39.smp sind möglich, andere Zahlen werden ignoriert. 
Mit dem Skip Track können auch andere Dateinamen abgespielt werden, 
sogar mp3 Dateien!

Nach dem der Mikrocontroller den obigen Befehl zum Abspielen von Track 
M02.smp gegeben hat, sendet er den folgenden:

1

7E 02 13 EF

Hallo @Yves so treffen wir uns weider ;-)

Yves schrieb:
> 1) Geht Skip in der Tat für 32 bis 39? Via NFC geht's ja nur bis 31.
Ja, denn wenn ich den Befehl aus dem Terminal via UART sende, umgehe ich 
ja den Mikrocontroller. Hier scheint der Mikrocontroller auf 31 zu 
reduzieren. Dies könnte ich belegen, wenn ich einen 32 NFC Chip hätte.

> 2) Was macht die Box, wenn du nen NFC mit Track 0x0a auflegst und lässt
> sich daraus evtl. ein FAT-kompatibler Filenamen ableiten?
Leider spielt sie diesen nicht ab, es sei denn ich verwende die Skip 
Funktion (siehe oben).

> 3) Macht die Box etwas, wenn du nen NFC mit Track 0x40 auflegst?
> Zumindest das "Audio-Knacken" fehlt ja dann (bei 0x0a aber knackt's).
Kann leider keine NFC beschreiben mit meinem Handy.

Wir könne nun den Nuvoton N76E003AT20 als verwendeten Mikrocontroller 
bestätigen. Leider ist er gesperrt und kann nicht ausgelesen werden.

Daher bleibt uns wohl nur das schrieben einer neuen Firmware. Wer noch 
Ideen hat, ob wir den N76E003AT20 doch auslesen können ist herzlich 
willkommen.

Hier noch das Datenblatt: 
http://www.nuvoton.com/resource-files/DS_N76E003_EN_Rev1.03.pdf

Soweit mal ein herzliches Dankeschön an alle, die uns bisher unterstützt 
haben. Die nächsten Schritte sind nun, rauszeichnen des Schemas und dann 
mithören der Kommunikation zwischen NXP PN512 um nachvollziehen zu 
können, wie der String vom Mifare Classic im Mikrocontroller 
interpretiert und für den Audiochip übersetzt wird.

Moin,

kommt man bei besagtem Nuvoton 8051 denn an den In-Circuit-Programmer 
zum Wiederbeschreiben auch bei gesetzten Lock-Bit ran?
Sonst helfen wohl nur gezielte Glitch-Attacken..

Ich hatte auch schonmal Erfolg beim Chinesen, indem ich Ihm einfach 
angefangen habe Mails zu senden und so einen Kontakt aufgebaut habe.

Ich habe ihm damals erklärt, dass ich probleme mit dem spezifischen 
Board habe und daher technischen Support benötige.

Als er merkte, dass ich eine technische Fachperson bin, hat er mir 
Schemas, Code und Bootloader gesendet.

Einfacher ging es noch nie...
Eventuell würde dies hier ebenfalls funktionieren.

Wenn er dir bei der ersten Methode die herausgabe verweigert, fragst du 
ihn einfach, wie viel der SourceCode denn koste. Vermutlich ist er 
kaufbar und vermutlich ziemlich günstig.

Gruss

Simon S. schrieb:
> Hier noch das Datenblatt:
> http://www.nuvoton.com/resource-files/DS_N76E003_EN_Rev1.03.pdf

Also der Chip läßt ja keine Wünsche offen. Da kriegt man große Lust, mal 
wieder was mit dem 8051 zu machen. Wenn es den schon früher gegeben 
hätte, ich hätte wohl nie Atmels verwendet.
Und das Datenblatt ist einfach nur exzellent. Ein so schön lesbares 
Englisch ist eine Seltenheit. Da bleibt nichts unklar. Selbst die 
Flowcharts des I2C sind leicht zu verstehen.

Holger K. schrieb:
> Ich hatte auch schonmal Erfolg beim Chinesen, indem ich Ihm einfach
> angefangen habe Mails zu senden und so einen Kontakt aufgebaut habe.

Gute Idee, ich hab's nochmals probiert (siehe Anhang ;-). Mal sehen, 
wenn wir ans Datasheet des AC1727AP rankommen, dann wären wir schon ein 
schönes Stück weiter.

Stefan schrieb:
> Migros meinte, dass die Box auch für andere Firmen gebaut
> wird.

Hallo Stefan, woher weisst du das? Die Box ist mit PPI Worldwide 
gebrandet, einer wegwerf Plastikspielzeugagentur.

Das Herzstück ist MP3-Bluetooth-USB-Audioic aus Fernost (siehe 
Screenshot oben). Dieser akzeptiert Filenames bis M31.smp (also liegt 
die Hypothese nahe, dass die Migros noch eine weitere Geschichte auf 
Lager hat. Auf Ostern?).

Hallo Ivo

Das Projekt ist im Sommerschlaf. Gerne möchten wir uns mal zu einem 
persönlichen Austausch Bier/Grill treffen. Bei Interesse melden.

Die Migros hat ja nun mit den Disney Figuren die dritte und letzte 
Aktion gestartet. Die Disney Geschichten belegen nämlich die bisher 
freien Plätze bis M30.smp.

Das heisst: ohne Ändern der Firmarware sind nun praktisch alle 31 Plätze 
belegt (siehe oben).

Die Sensation wäre nun, wenn die Migros weitere Figuren-Geschichten 
lanciert. Dies setzt entweder einen Firmware-update vorraus (was nach 
unserem bisherigen Erkenntnissen nicht möglich ist, ohne die Box zu 
öffnen und somit für den 0815 Konsumenten nicht machbar) oder es sind 
andere Nummern als M32.smp ....