Hallo zusammen, aus einem China-Billigtresor habe ich das elektronische Zahlenschloß untersucht und dabei ein (für mich) unverständliches Verhalten festgestellt: das Schloss arbeitet mit dem EMP78P153, der über RAM, aber nicht über ein EEPROM verfügt. Wenn man nach einem Reset sechs Ziffern als Code eingibt, werden diese für die Öffnung des Schlosses gespeichert. Die Ziffern werden im RAM zwischengespeichert, soweit ist die Funktion logisch und nachvollziehbar. Dann wird es merkwürdig: wird die Stromversorgung für mehrere Tage entfernt, merkt sich der EMP78P153 die zuvor gespeicherten Codeziffern trotzdem, obwohl das RAM vermutlich längst gelöscht ist. Wo speichert der uc den Code, wenn kein EEPROM vorhanden und keine Spannung mehr da ist? Im Verdacht hatte ich den einzigen Elko mit 220 uF, der für einige Zeit die Spannungsversorgung aufrechterhält. Stimmt aber nicht, weil selbst bei einem Kurzschluß des Elko die Codeziffern erhalten bleiben. Auf der Platine ist Platz für einen 24C02 vorgesehen, dieser aber nicht bestückt. Wie speichert der EMP78P153 die Codeziffern? Danke schonmal für erhellende Antworten. Viele Grüße Roland
Hat der EMP78P153 kein Programm-Flash, das man auch für Daten nutzen kann?
Nein, laut Datenblatt hat der EMP nur ein OTP-ROM. Nach einem Reset können neue Ziffern gespeichert werden, ergo dürfte das bei einem OTP-ROM nicht möglich sein.
hab eben mal nach dem Datenblatt gesucht und so richtig wird man nicht fündig... Beim STM kann man den Flash auch Sektorenweise löschen und neu beschreiben... Wer weiß was die Chinesen nutzen. Scheint ja zu funktionieren :-) G Ert
Weißt Du, ob man von der Firmware aus auf das OPT schreiben kann? Dann hätte ich einfach eine Page leer gelassen und bei jeder neuen Codevergabe ein Stückchen programmiert. Irgendwann isses halt voll. Dann bleibt nur noch RAM. Aber wer ändert schon 100mal den Code.
Mal sicherhaltshalber... hast du mal probiert ihn mit einer falschen Kombination zu öffnen nachdem der Strom weg war? Die Idee ist das er bei leeren RAM einfach den erstbesten Code akzeptiert und dann als neuen Code setzt.
Stefanus F. schrieb: > Befindet sich vielleicht auf der anderen Seite ein SMD EEPROM? Noch dazu, da ein 24C02 in DIL vorgesehen ist...Aber ich nehme an, dass du die Lötseite angeschaut hast - oder doch nicht?
Nils P. schrieb: > hab eben mal nach dem Datenblatt gesucht und so richtig wird man nicht > fündig. Der Chip heisst auch EM78P153. Aber auf dem Photo kann man keine Betempeling erkennen. Vermutlich wird beim EM78P153 noch das EEPROM bestückt, inzwischen sind es aber so hohe Produktionsstückzahlen, dass ein uC mit EEPROM und trotzdem Bestempelung EM78P153 verwendet wird.
sorry, mein Fehler, anbei die Rückseite der Platine. Kein EEPROM oder sonstwas, das speichern könnte. Ich weiß nicht, ob man bei dem EM78P153 (danke MaWin für die Berichtigung) trotz OTP irgendwelche Daten dennoch programmieren kann, logisch wäre es imho nicht. Ich kann aber gerne mal probieren, wie oft ich den Chip mit neuen Codeziffern beschreiben kann ;-) Versucht man – egal mit welchen Codeziffern – das Schloß zu öffnen, wenn der Strom weg ist, kann man maximal zwei Ziffern eingeben (zwei Pieptöne zur Bestätigung), dann hört man nichts mehr, also nimmt das Teil keine Eingabe mehr an. Gibt’s sowas tatsächlich, daß ein Produzent solcher Schlösser ucs bestellt, die vom eigentlichen Datenblatt so erheblich abweichen? Imho würde der uc-Hersteller dann sicherlich ein neues Datenblatt herausgeben. Auf Seite IV ist die Historie des EM78 seit 2003 bis 2016 beschrieben; da steht nichts von EEPROM oder sonstigem Speicher. MaWins Vermutung, daß Datenblatt und tatsächlicher Chip nicht übereinstimmen, wäre bis jetzt die einzig logische Erklärung, aber welcher Sinn würde dahinter stecken? Ein neues Datenblatt wäre doch schnell erstellt.
Die drei Bauteile, die sich als Transistoren ausgeben (Q1-3) sind auch welche?
Roland H. schrieb: > Gibt’s sowas tatsächlich, daß ein Produzent solcher Schlösser ucs > bestellt, die vom eigentlichen Datenblatt so erheblich abweichen? Schau Dir mal den ESP8266 versus ESP8285 an. Der ältere braucht einen externen Flash Speicher, der neuere nicht. Ansonsten sind sie identisch. Zu so etwas sind die Chinesen also offensichtlich durchaus imstande.
Stefanus F. schrieb: > Roland H. schrieb: >> Gibt’s sowas tatsächlich, daß ein Produzent solcher Schlösser ucs >> bestellt, die vom eigentlichen Datenblatt so erheblich abweichen? > > Schau Dir mal den ESP8266 versus ESP8285 an. Der ältere braucht einen > externen Flash Speicher, der neuere nicht. Ansonsten sind sie identisch. > > Zu so etwas sind die Chinesen also offensichtlich durchaus imstande. bei diesem Beispiel sind die Bezeichnungen unterschiedlich, sodaß ich schon einen Unterschied zwischen dem 8266 und 8285 vermuten würde.
Schade, daß niemand eine wirklich nachvollziehbare Erklärung für dieses Phänomen hat. Es kommt noch besser: den uc habe ich ausgelötet, darunter steht die Beschriftung PIC51C156. Mit PICs arbeite ich schon viele Jahre, aber ein 51Cxx ist mir bisher nicht untergekommen. Ich meine mich dunkel erinnern zu können, irgendwann mal mit einem PIC 15C505 gearbeitet zu haben, aber da kann meine Erinnerung täuschen. Lötet man den 10k-Widerstand oberhalb des uc ein und bestückt den 24C02, wird in diesem der Code für das Schloß gespeichert; das habe ich mit einem Programmer nachgeprüft. Hier noch die Beschriftung des uc; leider war ein Foto mit lesbarer Beschriftung unmöglich: ELAN EM78P153SPJ 1224G BTS126FA auf der Rückseite ist "10" und "C6" je in einem Kreis eingeprägt.
Roland H. schrieb: > Schade, daß niemand eine wirklich nachvollziehbare Erklärung für dieses > Phänomen hat. Nach nur 25h, ist das nicht doch arg optimistisch? WDT hat wohl nur 8bit, aber wie lange überleben (trotz C-Kurzschluß) die Register z.B. per R2 einen Spannungsausfall? Bei manchen steht unbestimmt (U) - z.B. aber Adresse 07 bis 0A sind generell Reserve und nicht weiter erläutert? Roland H. schrieb: > wird die Stromversorgung für mehrere Tage entfernt 5 Tage sind ja mehrere, 50 Tage aber auch... Anders gesagt, muß man ggf. nur länger warten, bis aus U dann 0 wird, ist der "Start-Code" damit "000000"? Verwunderlich ist dabei dann ja auch, daß der ext. 24C02 noch unterstützt wird, wenn man schon irgend etwas anderes "trickreich" benutzt... PS: andererseits, solche Teile sind doch meist mit "Security by obscurity", ist das wirklich ein EM78P153SPJ oder ist das nur aufgedruckt ;-(
:
Bearbeitet durch User
Man versucht ja, auf einem Chip möglichst ähnliche Strukturen zu verwenden. Daher kann gut sein, daß Flash und SRAM ähnlich aufgebaut sind. Ich hatte mal versucht, bei einem AT89C2051 eine Kaltstarterkennung zu programmieren. Dazu habe ich 8 Bytes in den SRAM geschrieben. Hat aber nicht funktioniert, die 8 Bytes waren nach einer Minute (VCC = 0V) immer noch drin. Vermutlich hat mal jemand den 24C02 vergessen und sich dann gewundert, warum es noch funktioniert. Zusichern wird das der MC-Hersteller aber nicht.
Peter D. schrieb: > die 8 Bytes waren nach einer Minute (VCC = 0V) immer noch drin. "VCC = 0V" bedeutet "Vcc kurzgeschlossen nach GND" oder "Vcc offen"?
:
Bearbeitet durch Moderator
Roland H. schrieb: > Schade, daß niemand eine wirklich nachvollziehbare Erklärung für dieses > Phänomen hat. Du hast eine wichtige Frage noch immer nicht konkret beantwortet: Kann es sein, dass man nach erneutem Anschließen der Spannungsversorgung mit einem beliebigen Code das Schloss öffnen kann? Teste das doch mal.
Frank M. schrieb: > Kann es sein, dass man nach erneutem Anschließen der Spannungsversorgung > mit einem beliebigen Code das Schloss öffnen kann? > > Teste das doch mal. Wenn das (Die platine sieht mal ziemlich "Gleich" aus) einer vom Gleichen typ ist wie "Meiner" -> Nein geht nicht! Wenn der strom weg war ist KEIN code gespeichert und er geht nur noch über das Zusatzschloss (schlüssel) auf. (Oder mit der Flex :-D ) Meiner speichert den code aber nicht nach stromausfall bzw. Leeren Batterien. So übel sind die dinger nicht, wenn man sie mit vernünftigen Dübeln und schrauben an allen 4 Dazu vorgesehenen löchern verschraubt. (Damit den keiner einfach wegträgt)...
Kilo S. schrieb: > Wenn das (Die platine sieht mal ziemlich "Gleich" aus) einer vom > Gleichen typ ist wie "Meiner" -> Nein geht nicht! Wenn der strom weg war > ist KEIN code gespeichert und er geht nur noch über das Zusatzschloss > (schlüssel) auf. Das ist schon mal ein Unterschied zum Safe des TO: Er bekommt nach Stromausfall die Tür mit dem richtigen Code auf, braucht also keinen Schlüssel. Über die Gegenprobe, ob das auch bei einem falsch eingegebenen Code nach Stromausfall funktioniert, lässt uns der TO im Dunkeln.
Frank M. schrieb: > Über die Gegenprobe, ob das auch bei einem falsch eingegebenen Code nach > Stromausfall funktioniert, lässt uns der TO im Dunkeln. Du scheinst nicht alles zu lesen, denn: Roland H. schrieb: > Versucht man – egal mit welchen Codeziffern – das Schloß zu öffnen, wenn > der Strom weg ist, kann man maximal zwei Ziffern eingeben (zwei Pieptöne > zur Bestätigung), dann hört man nichts mehr, also nimmt das Teil keine > Eingabe mehr an.
Lothar M. schrieb: > Du scheinst nicht alles zu lesen, denn: > > Roland H. schrieb: > Versucht man – egal mit welchen Codeziffern – das Schloß zu öffnen, wenn > der Strom weg ist, kann man maximal zwei Ziffern eingeben (zwei Pieptöne > zur Bestätigung), dann hört man nichts mehr, also nimmt das Teil keine > Eingabe mehr an. Doch das habe ich gelesen, jedoch lese ich das anders als Du: Hier versucht der TO, das Schloß zu öffnen, wenn der Strom weg ist, nicht, wenn er wieder da ist. Meine Interpretation: Nach 2 Tastendrücken ist die Restspannung, die der Kondensator hält, endgültig weg. Aber es geht darum, dass der TO das Schloss mit dem alten Code wieder öffnen kann, sobald der Strom wieder da ist. Die Gegenprobe, ob dann auch ein falscher Code wirkt, hat er noch nicht hier beschrieben.
:
Bearbeitet durch Moderator
Frank M. schrieb: > Hier versucht der TO, das Schloß zu öffnen, wenn der Strom weg ist, > nicht, wenn er wieder da ist. Und wieso piept es dann? wendelsberg
wendelsberg schrieb: > Und wieso piept es dann? Wegen der noch verbliebenen Restspannung am Kondensator. Nach 2 Tastendrücken ist die dann auch weg.
Ich fasse nochmal die Beschreibung des TO zusammen: 1) Spannung da, Code ist programmiert, Tür lässt sich korrekt öffnen 2) Spannung weg, das Ding piepst noch bei 2 anschließenden Tastendrücken, bevor es endgültig den Geist aufgibt. Erklärung: Restspannung über dem Kondensator. Ich wette, dass das Ding nach zwei Wochen ohne Spannungsversorgung nicht mehr piept. 3) Spannung wieder da, Tür lässt sich durch korrekten Code wieder öffnen. Um den Punkt 3) geht es. Hier muss der TO einfach mal einen falschen Code eingeben. Diese Angabe fehlt bisher. Und nein, bitte nicht mit 0000 als Ausgangscode testen.
:
Bearbeitet durch Moderator
Frank M. schrieb: > Ich fasse nochmal die Beschreibung des TO zusammen: > > 1) Spannung da, Code ist programmiert, Tür lässt sich korrekt öffnen > > 2) Spannung weg, das Ding piepst noch bei 2 anschließenden > Tastendrücken, bevor es endgültig den Geist aufgibt. > Erklärung: Restspannung über dem Kondensator. Ich wette, dass das > Ding nach zwei Wochen ohne Spannungsversorgung nicht mehr piept. > > 3) Spannung wieder da, Tür lässt sich durch korrekten Code wieder > öffnen. > > Um den Punkt 3) geht es. Hier muss der TO einfach mal einen falschen > Code eingeben. Diese Angabe fehlt bisher. Und nein, bitte nicht mit 0000 > testen. Frank, Deine Beschreibung ist korrekt. Zu Punkt 3: gibt man einen falschen Code ein, egal mit welcher Ziffernkombination, piept der Buzzer dreimal und gleichzeitig blinkt die gelbe LED dreimal. Die Türe geht bei falschem Code also nicht auf. Zur Frage, wie lange das Schloß stromlos war und nach Anlegen der Spannung undn Eingabe des richtigen Codes die Türe öffnete: 10 Tage. Dies ist eine so lange Zeit, daß imho nur noch ics mit Stromverbräuchen im femto- oder atto-Bereich arbeiten würden. @ Kilo S.: falls bei Deiner Platine der 24C02 auch nicht bestückt ist, mach doch mal einen Test mit dem EEPROM und berichte, ob der Code gespeichert wird.
Roland H. schrieb: > Frank, Deine Beschreibung ist korrekt. Gut :-) > Zu Punkt 3: gibt man einen > falschen Code ein, egal mit welcher Ziffernkombination, piept der Buzzer > dreimal und gleichzeitig blinkt die gelbe LED dreimal. Die Türe geht bei > falschem Code also nicht auf. Der korrekte Code war zum Zeitpunkt 1) auch nicht 0000, oder? Dann bin ich mit meinem Latein auch am Ende. Ich könnte mir höchstens noch vorstellen, dass bei Dir mittlerweile ein speziell für den chinesischen Kunden konfektionierter EMP78P153 mit(!) EEPROM eingesetzt wurde und deshalb das externe EEPROM wegrationalisiert werden konnte. Ich kann mir jedenfalls kaum vorstellen, dass man OTP-Memory chipintern programmieren könnte. Davon steht auch nichts in den Datenblättern, die ich zu diesem Chip gefunden habe. Aber ich lass mich da gern eines besseren belehren. Diese China-Billig-Tresore gibts ja auf der ganzen Welt, sehen von der Front alle sehr ähnlich aus und sind auch fast alle gleichartig zu bedienen. Ich vermute, dass bei diesen Dingern die Produktionsstückzahlen in die Hunderttausende, wenn nicht gar in die Millionen gehen. Da sollte es durchaus möglich sein, einen kundenspezifischen Chip zu bekommen, um den 24C02 einzusparen. Das Programm im EMP78P153 macht wahrscheinlich nun folgendes, damit man nur eines braucht - egal ob der 24C02 eingebaut ist oder auch nicht: 1. Check, ob externes EEPROM angeschlossen ist 2. Wenn ja, benutze externes 3. Wenn nein, benutze internes Das würde jedenfalls erklären, warum der 24C02 überhaupt noch auf der Platine vorgesehen ist. Die Platine ist wahrscheinlich älter als der mittlerweile konfektionierte µC.
:
Bearbeitet durch Moderator
Vielleicht ist es ja ein umgelabelter ATtiny24, die haben internen EEPROM.
Beitrag #5655760 wurde vom Autor gelöscht.
Frank M. schrieb im Beitrag #5655760: > Den gibts doch nur im SOIC- oder QFN/MLF Gehäuse? https://de.farnell.com/microchip/attiny24a-pu/mcu-8bit-avr-2k-flash-14pdip/dp/1699394?st=attiny24
Peter D. schrieb: > Frank M. schrieb im Beitrag #5655760: > Den gibts doch nur im SOIC- oder QFN/MLF Gehäuse? > > https://de.farnell.com/microchip/attiny24a-pu/mcu-8bit-avr-2k-flash-14pdip/dp/1699394?st=attiny24 Ja, sorry, habs auch schon gemerkt, ich hatte ein DB erwischt, was nur die beiden Gehäuse beschrieb. Passt aber nicht von der Spannungsversorgung: EMP78P153: Pin 4 und 11 ATTiny24: Pin 1 und 14. Aber da findet sich eventuell noch was anderes pinkompatibles.
Der Code war niemals 0000, wohl aber testhalber 111 und eine Vielzahl weiterer drei- und maximal sechstelliger Kombinationen. Drei Ziffern müssen mindestens eingegeben werden, damit der Code gespeichert wird. Ansonsten ist Franks Vermutung zu diesem seltsamen Sachverhalt wohl richtig, wie es auch schon Stefanus und MaWin angedeutet hatten.Zumindest ist es die bislang einzige nachvollziehbare und logische Erklärung. Vermutlich wurden ein paar zig-Millionen dieser Platinen auf Vorrat hergestellt und werden kurzerhand weiterverwendet, auch wenn die ursprünglich vorgesehenen ucs längst obsolet sind und durch bessere (mit EEPROM) ersetzt wurden. Meine Programmer können diesen EM78.. leider nicht auslesen. Vermutlich wird auch das security-bit gegen Auslesen des ROM gesetzt sein, sodaß ein Versuch ohnehin müßig wäre. Wie hoch ist die Wahrscheinlichkeit, daß das Ding wirklich ein umgelabelter ATTINY24 sein könnte? Die Firma ELAN sagt mir zwar nichts, aber ich gehe schon davon aus, daß sie existiert und diese ucs auch (millionenfach) herstellt. Vermutlich wäre ein zugekaufter und umgelabelter ATTINY deutlich teurer als ein EM78.
Ich habe asiatische Programmieradapter mit STM32F101 und nativem USB Port gesehen. Dabei hat der Chip offiziell gar kein USB. Ich habe asiatische Produkte mit STM32F103 wo das Programm größer als 64kB ist obwohl der Chip laut Datenblatt nur 32kB hat. Will sagen: Oft sind die Chips ganz oder teilweise mit einem nächst größeren Modell identisch, das mehr Funktionen hat, werden aber trotzdem mit der "kleinen" Nummer bedruckt. Vielleicht ist das hier auch so ein Fall.
Im Sonderverkauf der Molkereien gibts auch Joghurts, wo nicht der Geschmack drin ist, der drauf steht. ;-)
Kilo S. schrieb: > So übel sind die dinger nicht, wenn man sie mit vernünftigen Dübeln und > schrauben an allen 4 Dazu vorgesehenen löchern verschraubt. (Damit den > keiner einfach wegträgt)... https://www.youtube.com/watch?v=hcYB9ceiAiY
Arduino Fanboy D. schrieb: > Youtube-Video "How to crack a safe without any tools?!" Die Platine in dem Video scheint identisch mit der von Roland zu sein. Hier wurde auch der 24C02 weggelassen.
Was für ein Scheiß Produkt! Da ist ja sogar der Plastik Safe meines Sohnes aus dem Spielzeugladen noch besser.
Stefanus F. schrieb: > Was für ein Scheiß Produkt! > > Da ist ja sogar der Plastik Safe meines Sohnes aus dem Spielzeugladen > noch besser. Was erwartest Du von einem Safe für etwa 30 Euro? Im Originalzustand taugt das Ding wirklich nicht viel, aber mittels Flex, Schweißgerät und zusätzlichem 4mm-Stahlblech vom Schrott läßt sich aus dieser Blechbüchse durchaus etwas Sinnvolles herstellen, was mit den gezeigten youtube-Methoden ganz sicher nicht geknackt werden kann. Darum ging's im Thread auch nicht...
Ich hatte mal zwei unterschiedliche solcher Safes gefunden, offen, aber ohne den "Notschlüssel." Nachdem ich die Videos gesehen hatte habe ich sie sofort wieder in den Müll geworfen. Wobei man sie eigentlich gut als Honeypot verwenden könnte. Haltbare Primärzelle und eine laute Alarmhupe rein, dasselbe mit einem verborgenen Abreißdraht unter dem Tresor und einer ebenso verborgenen Hupe. Wenn einem eine Einbrecherbande die Bude ausräumt, stört der Kollege, der das Gerät von der Wand hebelt, mit dem Lärm die anderen beim Durchsuchen der Schubladen. Dürfte mit recht hoher Wahrscheinlichkeit zur Flucht führen. Nachdem es Chips gibt, in denen nur eine Kupferplatte statt Silizium drin ist, aber Atmega draufsteht, denke ich auch, daß die halt irgendwas genommen und irgendwas anderes draufgeschrieben haben. Vermutlich waren die Chips deshalb so billig. (Es gibt doch die UL, oder ist das verifiziert, daß irgendwann in den 70ern unmarkierte Ausschußtransistoren von der Müllkippe praktisch in Zehntausender-Großserie in Transistorradios verwendet wurden. Heute spannt man solche Teile halt noch schnell unter einen Laser.)
> laute Alarmhupe ... mit dem Lärm .. Dürfte mit recht hoher > Wahrscheinlichkeit zur Flucht führen. Du solltest mal mit einem Kriminalkommisar reden, der wird Dich darüber aufklären, welche Maßnahmen wirklich hilfreich sind.
Widerstand schrieb: > Wenn einem eine Einbrecherbande die Bude ausräumt, stört der Kollege, > der das Gerät von der Wand hebelt, mit dem Lärm die anderen beim > Durchsuchen der Schubladen. Dürfte mit recht hoher Wahrscheinlichkeit > zur Flucht führen. Ja der Alarm IM Haus nervt wirklich. Daher werden die Jungs das Ding Fachmännisch zerlegen und gemütlich weiter stöbern, bevor sie mit dem Safe unterm Arm, das Haus wieder verlassen. :D
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.