Forum: Fahrzeugelektronik 93C66 Tacho Datei

Hi,

bei dem Wagen ließt man den Code aus dem Display(CID) oder 
Motorsteuergerät aus. Auch kann man auf seine Keycard schauen da steht 
er drauf. Ansonsten wäre der Kilometerstand zu dem Dump mal interessant. 
Der Motorcode kann auch nicht schaden. Ich tippe auf 0x1F0 - 0x1FF. Mich 
würde nicht wundern wenn da was von 115224 km steht.

Ist das ein 93C66 A,B oder C ?

Die FIN haben wir ja nun schon: W0L0ZCF3541059415.

Gruß Rene

Naja, sooo schwer ist das ja doch nicht. Ihr habt doch die VIN :-)

https://de.vindecoder.pl/W0L0ZCF3541059415

2.2L Benziner.

Rene Z. schrieb:

> Der Motorcode kann auch nicht schaden.
Ist ein L4 (2.2L L4 DOHC 16V FWD). Was bringt uns dieser 
Erkenntnisgewinn denn?

> Ich tippe auf 0x1F0 - 0x1FF.
Sieht aber merkwürdig aus für so eine krumme KM-Zahl...

> Ist das ein 93C66 A,B oder C ?
Was soll das für eine Rolle spielen? Ob 8 oder 16 Bit organisiert ist 
doch völlig wumpe für die Daten. Im besten Fall wäre mal das ein oder 
andere byte 0x00 zuviel, sieht mir aber nicht nach aus.

So viel isses ja nicht, ich poste mal den Dump, für alle, zum 
miträtseln:

1

Offset(h) 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F

2

3

00000000  30 30 33 30 31 11 64 7E 78 17 79 37 88 68 00 00  00301.d~x.y7ˆh..

4

00000010  01 12 70 40 FF 80 14 5A 7E 9C A0 A8 AA 5A 7E 8C  ..p@ÿ€.Z~œ ¨ªZ~Œ

5

00000020  A3 AA AA A0 9E 78 80 7C 72 5A 40 2B 7C 7F 6E 15  £ªª žx€|rZ@+|.n.

6

00000030  00 00 D7 06 65 FF FF FF FF FF EF FF 00 00 00 00  ..×.eÿÿÿÿÿïÿ....

7

00000040  00 00 00 00 00 00 00 5A 4D 41 00 C8 E5 82 31 34  .......ZMA.Èå‚14

8

00000050  30 33 00 00 30 34 30 31 32 30 44 00 1A 04 32 19  03..040120D...2.

9

00000060  DD 20 01 00 26 02 95 0D B3 11 00 00 14 01 D4 04  Ý ..&.•.³.....Ô.

10

00000070  CA 13 10 22 00 00 D5 00 24 03 B1 0A 20 11 43 0D  Ê.."..Õ.$.±. .C.

11

00000080  EB 09 B4 06 7C 03 E1 01 00 00 00 6E 00 78 00 82  ë.´.|.á....n.x.‚

12

00000090  00 8C 00 A0 00 AA 00 00 70 03 A5 06 D9 09 74 0B  .Œ. .ª..p.¥.Ù.t.

13

000000A0  2B 0D 2B 40 2B 41 03 03 04 03 03 AA 00 28 40 50  +.+@+A.....ª.(@P

14

000000B0  64 6E 78 0B 05 0F 0F 0F 0E 15 00 00 0F 00 01 17  dnx.............

15

000000C0  16 14 12 11 10 23 27 21 24 20 22 25 00 00 00 00  .....#'!$ "%....

16

000000D0  32 46 5A 78 FF FF FF FF FF 07 15 13 26 FF FF FF  2FZxÿÿÿÿÿ...&ÿÿÿ

17

000000E0  FF FF 28 01 DF 60 13 A7 0F A9 30 4B D0 EC F5 6E  ÿÿ(.ß`.§.©0KÐìõn

18

000000F0  5A 1E 0A 00 00 00 00 00 00 00 00 00 00 00 00 00  Z...............

19

00000100  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

20

00000110  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

21

00000120  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

22

00000130  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

23

00000140  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

24

00000150  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................

25

00000160  00 00 FF FF FF FE FE FE FE FE 41 32 43 35 33 30  ..ÿÿÿþþþþþA2C530

26

00000170  34 33 38 34 34 63 30 33 30 34 31 30 30 33 39 38  43844c0304100398

27

00000180  37 34 63 5F 31 31 30 30 38 30 32 37 38 30 30 32  74c_110080278002

28

00000190  31 30 30 34 31 39 39 39 61 5F 01 02 00 00 00 57  10041999a_.....W

29

000001A0  30 4C 30 5A 43 46 33 35 34 31 30 35 39 34 31 35  0L0ZCF3541059415

30

000001B0  00 48 30 30 30 30 30 36 38 33 33 4F 31 30 30 30  .H000006833O1000

31

000001C0  33 39 32 31 33 30 30 30 30 30 30 30 30 30 30 FF  392130000000000ÿ

32

000001D0  41 00 00 00 20 00 10 04 FA 1A 00 2F B7 01 00 00  A... ...ú../·...

33

000001E0  00 1E 01 02 04 74 31 79 BC 31 32 32 36 FC 13 A5  .....t1y¼1226ü.¥

34

000001F0  BC C7 BD C7 BD C7 BD C7 BD C7 BD C7 BD C7 BD C7  ¼Ç½Ç½Ç½Ç½Ç½Ç½Ç½Ç

Nick schrieb:
> stand ist 230435. Motorcode kann ich leider nicht sagen. Ich habe nur
Und der Tageskilometerzähler?

Du könntest natürlich jetzt einfach mal anfangen und ein Byte nach dem 
anderen verändern und schauen ob sich an der KM-Zahl was tut. Vorher 
natürlich die Originaldaten sichern ;-)
Es sind ja nun nicht endlos viele Möglichkeiten. Ich würde nach 
Binärbaum vorgehen.

Achja, poste doch mal Bilder von dem Tacho, vor allem von den 
Typenschildern. Die um 2003 rum haben wohl eine Typennummer aus 8 
Ziffern, gefolgt von 2 Buchstaben. Oft tauchen die auch im EEPROM auf. 
Zumindest zum Teil. Dann kann man wieder ein paar Bytes ausschließen.

>000001F0  BC C7 BD C7 BD C7 BD C7 BD C7 BD C7 BD C7 BD C7

Nehmen wir mal an das dass 8 uint16_t sind.
Sagen wir mal da steht 1 x 0xC7BC und 7 x 0xC7BD.
Wenn der Chip leer ist steht da 8 x 0xFFFF.
Wenn 0xFFFF = 0 km sind und jeder 2 km gespeichert wird
ergibt sich folgendes:

(1 * (0xFFFF - 0xC7BC) + 7 * (0xFFFF -0xC7BD)) * 2 =
(1 * 0x3843 + 7 * 0x3842) * 2 =
(0x3843 + 0x189CE) * 2 = 0x38422 = 230434 KM

Will man 100000km schreiben rechnet man 0xFFFF - (100000 / 16) = E795.
Also in den Speicher:
000001F0  95 E7 95 E7 95 E7 95 E7 95 E7 95 E7 95 E7 95 E7

So wird über den gesamten Bereich 0x1F0 - 0x1FF im Betrieb keine 
Speicherstelle mehr als 65535 mal beschrieben und 1,4 Millionen km
wären darstellbar.

> Der Motorcode kann auch nicht schaden.
Ist ein L4 (2.2L L4 DOHC 16V FWD). Was bringt uns dieser
Erkenntnisgewinn denn?

Ich wüsste jetzt wie ich das Motorsteuergerät auslesen kann. Da es jetzt 
aber nur ein Teil vom Verwerter ist spielt das keine Rolle mehr.

Gruß Rene

Das ist sehr beeindruckend!
Aber so könnte man nur gerade Kilometerstände speichern und das ist ja 
definitiv nicht der Fall.

Na dann alles +1 (hat schon mal jemand ein Auto mit km Stand 0 
gesehen?), mich hat der ungerade km Stand auch schon gewundert.

Im Prozessor wird wohl so was ausgeführt:

1

uint32_t kmstand = 1;

2

for (uint16_t adr = 0x1F0; adr < 0x200; adr++){

3

  kmstand += ((0xFFFF - read_93c66_word_von_adresse(adr)));

4

}

5

show_kmstand(kmstand << 1);  // *2

Aber ich denke das passt so.
Vieleicht prüft Nick das ja und gibt hier eine Rückmeldung.

Gruß Rene

Rene Z. schrieb:
> Nehmen wir mal an das dass 8 uint16_t sind.
> Sagen wir mal da steht 1 x 0xC7BC und 7 x 0xC7BD.
> Wenn der Chip leer ist steht da 8 x 0xFFFF.
> Wenn 0xFFFF = 0 km sind und jeder 2 km gespeichert wird
> ergibt sich folgendes:
>
> (1 * (0xFFFF - 0xC7BC) + 7 * (0xFFFF -0xC7BD)) * 2 =
> (1 * 0x3843 + 7 * 0x3842) * 2 =
> (0x3843 + 0x189CE) * 2 = 0x38422 = 230434 KM

Nicht schlecht. Wie bist du darauf gekommen?

>000001F0  BC C7 BD C7 BD C7 BD C7 BD C7 BD C7 BD C7 BD C7

Der Hex Compare zeigt nun:

>>000001F0 bc c7 bc c7 bd c7 bd c7 bd c7 bd c7 bd c7 bd c7

also anstatt BD neu BC

(1 * (0xFFFF - 0xC7BC) + 1 * (0xFFFF - C7BC) + 6 * (0xFFFF -0xC7BD)) * 2 
=

(1 * 0x3843) + (1 * 0x3823) + (6 * 0x3842) * 2 =

= 230'372 KM

Etwas kann leider nicht stimmen, diff -62 dec.

>(1 * 0x3843) + (1 * 0x3823) + (6 * 0x3842) * 2 = 230'372 KM
>Etwas kann leider nicht stimmen, diff -62 dec.

(($FFFF - $C7BC) * 2 + ($FFFF -$C7BD) * 6) * 2 = 230436 km

Es fehlt wieder der eine km. Also wie oben + 1. Der Rest passt doch.

>Mir hat mal einer gesagt das der Kilometerstand in Meilen
>gespeichert wird.

Hab ich bei deutschen Fahrzeugen noch nie gesehen.

Gruß Rene

FF * 15, 00 05

Rene Z. schrieb:
>>(1 * 0x3843) + (1 * 0x3823) + (6 * 0x3842) * 2 = 230'372 KM
>>Etwas kann leider nicht stimmen, diff -62 dec.
>
> (($FFFF - $C7BC) * 2 + ($FFFF -$C7BD) * 6) * 2 = 230436 km
>
> Es fehlt wieder der eine km. Also wie oben + 1. Der Rest passt doch.
>
>>Mir hat mal einer gesagt das der Kilometerstand in Meilen
>>gespeichert wird.
>
> Hab ich bei deutschen Fahrzeugen noch nie gesehen.
>
> Gruß Rene

Opel ist seit 1920 nicht mehr "deutsch ". Der Tacho ist vermutlich sogar 
aus Italien für GM entwickelt. Stichwort GM/Fiat Powertrain.

korrektur:
(15 * (0xFFFF - 0xFFFF)) + (1 * (FFFF - FFFA)) * 2 =

FFFF - FFFA =

5 * 2 = 10

>Na dann alles +1 (hat schon mal jemand ein Auto mit km Stand 0
>gesehen?), mich hat der ungerade km Stand auch schon gewundert.
>

Ja, ich. Ich habe einen Austausch Tacho gekauft, da Stand 000 000 drauf. 
Ich war aber weitaus nicht clever genug, den alten Tachostand in den 
Chip zu schreiben, so habe ich den Tacho 3 Tage lang an den FG gehängt 
bis ich wieder meinen alten KM Stand hatte (3 Tage 280km/h) :)

Funfact:

VAG VW Drecks Gurke:

https://www.youtube.com/watch?v=eqBqg2nW6Sw

Umbedingt anschauen :)

Hi,

anbei mal ein kleiner Rechner. Habe ich mal ebend in Purebasic zusammen 
geklimpert. Im Archiv ist der Quellcode und die .exe für 32 und 64 bit 
Windows. Wer selber kompilieren will holt sich den Compiler auf 
https://www.purebasic.com/german/download.php . Es sollte auch mit der 
Demoversion funktionieren. Der Compiler kann auch Linux und MacOS.

>Ja, ich. Ich habe einen Austausch Tacho gekauft, da Stand 000 000 drauf.
>Ich war aber weitaus nicht clever genug, den alten Tachostand in den
>Chip zu schreiben, so habe ich den Tacho 3 Tage lang an den FG gehängt
>bis ich wieder meinen alten KM Stand hatte (3 Tage 280km/h) :)

Beim Golf 3 ist es ähnlich. Es sind die letzten 32 Bytes im Speicher.

>Und wie seid ihr da nun drauf gekommen?

Angefangen hat alles mit dem defekt des Ki an meinem BMW E36 Baujahr 94.
Das Fahrzeug ist erste Hand und in sehr gutem Zustand. Ein Anruf bei BMW 
brachte die Ernüchterung. Kosten von 1200 € für das neue KI fand ich 
Restlos überzogen. Also ab zum Verwerter 30 € auf den Tisch und fast 
alles war wieder gut. Mein Fahrzeug hatte 130000 km gelaufen das neue Ki 
zeigte leider 208000 km. Also das alte vorsichtig zerlegt und mal 
geschaut. Verbaut war dort ein 24Cxx. Nun dann, Stromlaufplan besorgt 
und Ki auf dem Schreibtisch verdrahtet. Denn LA an den 24Cxx und 
"gefahren". Jetzt konnte ich dem Prozessor beim korrigieren des Km 
Standes im Speicher zusehen. Seitdem weiß ich das mehrere 
Speicherstellen mit annähernd gleichem Inhalt der Km Stand sein müssen.

Nach dem gleichen Prinzip wird man wohl auch den Secure Code 
herausfinden können.

Ja und offensichtlich haben das viele Hersteller zu dieser Zeit ähnlich 
gemacht. Eine Generation später haben die Hersteller dann angefangen die 
Daten im externen Speicher zu "verschlüsseln". ;-)

Gruß Rene

Nick schrieb:
> 230437KM. Mir hat mal einer gesagt das der Kilometerstand in Meilen gespeichert 
wird
Das kann ich mir nicht vorstellen. Tachostand wird intern immer in KM 
gespeichert. Kenne nichts anderes. Vielleicht bei Aston Martin nicht ;-)

Hat er doch das Bild unterschlagen.

Ok, nachdem dieses Rätsel geknackt ist, hier noch eins :-)
Von einem Ford Mondeo MK4 Convers+
Der Tachostand von 249.501 KM ist hier gespeichert, das habe ich bereits 
ermittelt:

1

770 xx xx xx xx 79 D9 xx xx 79 D9 xx xx 79 D9 xx xx

2

780 79 D9 xx xx 79 D9 xx xx xx xx xx xx xx xx xx xx

Mit der o.g. Formel bekomme ich da kein Ergebnis. Ein plumper Versuch 
die Codes in irgendeiner Weise zu ändern quittiert das Convers mit 
Tachostand 999.999 km ;-)
Möglicherweise gibt es hier noch irgendwo Prüfsummen die eine 
Manipulation verhindern. Unabhängig davon sollte sich ja auf den fünf 
WORDs der Tachostand ergeben.

Ich werde dem mal einen CAN Log vorspielen damit er einen Kilometer 
weiter kommt und schauen wie die Codes dann aussehen...

Olli Z. schrieb:
> Ok, nachdem dieses Rätsel geknackt ist, hier noch eins :-)
> Von einem Ford Mondeo MK4 Convers+
> Der Tachostand von 249.501 KM ist hier gespeichert, das habe ich bereits
> ermittelt:
>

1

> 770 xx xx xx xx 79 D9 xx xx 79 D9 xx xx 79 D9 xx xx

2

> 780 79 D9 xx xx 79 D9 xx xx xx xx xx xx xx xx xx xx

3

>

Verbaut ist ein 24C16 ?
Bist du dir sicher das dass Ki nicht mit anderen Steuergeräten den km 
Stand abgleicht und mit 999.999 km sagen will das eine Manipulation 
vorliegt?

Was mir noch auffällt: 0x79D9 x 4 x 2 = 249544 km .
Interessant wäre nun 0x30D4. Da sollte dann ja etwas um 100000 km raus 
kommen.

Solche Dinge hab ich ja schon versucht, erfolglos. Aber für Dich mach 
ich das gern nochmal, vielleicht habe ich was übersehen. Also 30 D4 an 
die fünf Stellen (eeprom anbei und ja, es ist ein 24C16).
Draufgeschrieben => 999.999 km
Alte Version drauf => 249.501 km

Im Vergleich zum Original sind folge Bytes anders:

Original:

1

Offset(h) 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F

2

00000740  00 2B FF FF 00 FF FF 00 FF FF 00 FF FF FF FF FF  .+ÿÿ.ÿÿ.ÿÿ.ÿÿÿÿÿ

3

...

4

00000770  FF 00 FF EF 79 D9 FF 1C 79 D9 FF 9D 79 D9 FF 19  ÿ.ÿïyÙÿ.yÙÿ.yÙÿ.

5

00000780  79 D9 FF 1A 79 D9 FF 9B 31 7C B5 86 F4 F4 F4 F4  yÙÿ.yÙÿ›1|µ†ôôôô

Mit 30 D4:

1

Offset(h) 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F

2

00000740  00 2B FF 00 2B FF FF 00 FF FF 00 FF FF FF FF FF  .+ÿ.+ÿÿ.ÿÿ.ÿÿÿÿÿ

3

                   ^^ ^^

4

...

5

00000770  FF 00 FF EF 30 D4 FF 1C 30 D4 FF 9D 39 D4 FF 19  ÿ.ÿï0Ôÿ.0Ôÿ.9Ôÿ.

6

00000780  30 D4 FF 1A 30 D4 FF 9B 31 7C B5 86 F4 F4 F4 F4  0Ôÿ.0Ôÿ›1|µ†ôôôô

Diese Änderung findet immer statt wenn ich die Bytes, oder nur eines 
davon im Tachostand ändere.

Hi,

nur damit ich es richtig verstanden habe. Du änderst die 10 bytes. Dann 
schaltest du die Zündung ein. Jetzt ändert das KI die zwei Byte an 
Adresse 0x743/4 und zeigt 999.999 an ? Ist das KI im Fahrzeug verbaut ?

Bei 0x77C steht 0x39 ??????

Gruß Rene

Ja, genau richtig. Und stimmt, da habe ich mich bei einer Stelle 
verschrieben!
Nein, ich mache das nicht im Fahrzeug.

aa

Ich spiele dem IPC CAN-Logs vor. Das ist so dumm, das erkennt den 
Unterschied nicht ;-)))
Anbei noch zwei EEPROM reads, einmal mit KM-Stand 249503 (Tageszähler 
2.0) und einmal mit 249504 (Tageszähler 2.6)

Anbei noch zwei EEPROM reads, einmal mit KM-Stand 249503 (Tageszähler 
2.0) und einmal mit 249504 (Tageszähler 2.6)
Es ist nur ein Byte unterschiedlich:

249503:

1

Offset(h) 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F

2

00000780  79 D9 FF 1F 79 D9 FF 9B 31 7C B5 86 F4 F4 F4 F4  yÙÿ.yÙÿ›1|µ†ôôôô

3

                               ^^

249504:

1

Offset(h) 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F

2

00000780  79 D9 FF 1F 79 D9 FF 20 31 7C B5 86 F4 F4 F4 F4  yÙÿ.yÙÿ 1|µ†ôôôô

3

                               ^^

Machst du das KI nach dem schreiben Stromlos? Könnte mir vorstellen das 
er im Prozessor die Daten vorhält solange er Strom hat. Bei meinem 2006 
Corsa ist das so. Nach dem ändern des Km Standes muss ich das KI erst 
Stromlos machen. Danach zeigt es den geänderten KM Stand an.

>Anbei noch zwei EEPROM reads, einmal mit KM-Stand 249503 (Tageszähler
>2.0) und einmal mit 249504 (Tageszähler 2.6)

Tageszähler ist egal da er im Ram liegt. Sollte nach Abschalten von 
Klemme 30 auf 0 stehen.

Die KM Stände liegen zu nah zusammen. Bist du dir sicher das beim Senden 
der Can Botschaft keine anderen Daten zusätzlich gesendet werden? Kenne 
die Can Frame aufbauten bei Ford leider nicht.

Gruß Rene

>Kann mir da noch einer helfen ?
>Oder soll ich ml ein anderes Tacho Nehmen wo ich den Code von habe und
>da mal auslesen um den zu finden ?

Also ich kenne die Stelle nicht an der der Code steht. Aber wenn du ein 
KI mit bekanntem Code hast dann los. Deine Chancen stehen gut. Wenn du 
willst lass mir den Dump und Code zukommen ich schaue mir das gern mal 
an.

Gruß Rene

Ich lasse gern mal etwas länger laufen, aber das dauert...
Hier noch ein EEPROM mit 249.505km und Tageszähler 4.0km
Da sind zwei byte anders:

1

249.504km

2

Offset(h) 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F

3

00000730  FF FF 00 FF 00 2B 00 00 2A 00 00 2A 00 00 2A 00  ÿÿ.ÿ.+..*..*..*.

4

                         ^^

5

6

00000770  FF 00 FF EF 79 D9 FF 1C 79 D9 FF 9D 79 D9 FF 9E  ÿ.ÿïyÙÿ.yÙÿ.yÙÿž

7

                               ^^

249.505km

1

Offset(h) 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F

2

00000730  FF FF 00 FF 00 6A 00 00 2A 00 00 2A 00 00 2A 00  ÿÿ.ÿ.j..*..*..*.

3

                         ^^

4

5

00000770  FF 00 FF EF 79 D9 FF A1 79 D9 FF 9D 79 D9 FF 9E  ÿ.ÿïyÙÿ¡yÙÿ.yÙÿž

6

                               ^^

Ich gehe immer so vor:
 - Strom ans IPC
 - CAN-Log Replay und warten bis ein KM weiter
 - Strom aus
 - EEPROM auslesen

Beim programmieren:
 - Strom aus
 - EEPROM schreiben
 - Strom an

Auch der Tages-KM ist "bootfest" :-)

P.S.: Wenn Du an Ford CANs interesse hast...

>Ich lasse gern mal etwas länger laufen, aber das dauert...
>Hier noch ein EEPROM mit 249.505km und Tageszähler 4.0km

Mach das mal. Ich habe gerade in meinem Datengrab gewühlt und mit einem 
Kumpel gesprochen. Wenn ein 24C16 verbaut ist hast du definitiv die 
richtigen Adressen lokalisiert und die 0x30D8 steht für 100000km.

Wir reden über einen Ford Mondeo Baujahr 2006/2007 ?

Weisst du was für ein Prozessor verbaut ist?

Gruß

>Wie heißt der Chip? 93C66 das ist klar. Möchte ein paar bestellen die
>ich dann programmieren kann und später einlöten kann.

Das ist ein 93C66 im So8 Gehäuse. Ob A, B oder C kann man nicht mehr 
sehen.
Wie hast du ihn den ausgelesen?

Übrigens, die brauch man nicht auslöten. Gibt da so schöne 
Abgreifklemmen.

Gruß Rene

Nick schrieb:
> Wie kann man das denn herausfinden ob es A Boder C ist ?

Welche Auswahl hast du den getroffen gehabt?

Die Abgreifklemme passt doch.

Gruß

Rene Z. schrieb:
> Wenn ein 24C16 verbaut ist hast du definitiv die
Ja, ist ein 24C16, hatte ich ja schon geschrieben.
Jetzt gehts hier halt auch etwas durcheinander ;-)

> richtigen Adressen lokalisiert und die 0x30D8 steht für 100000km.
Ich probier das nochmal mit Deinen Daten.

> Wir reden über einen Ford Mondeo Baujahr 2006/2007 ?
Jup, Baujahr 2007 - 2014

> Weisst du was für ein Prozessor verbaut ist?
Klar, ein MAC7116

>Ja, ist ein 24C16, hatte ich ja schon geschrieben.
>Jetzt gehts hier halt auch etwas durcheinander ;-)

Vieleicht sollen wir ein neuen Thread aufmachen. Der arme Nick, haben 
einfach seinen gekapert. ;-)

Gruß

>Also brauche ich den nicht auslöten ? Hab gehört man muss die auslöten.

Ich probiere es immer erst im eingebauten Zustand. Meistens, leider 
nicht immer, klappt es.

Ja und wenn du 16 bit ausgelesen hast brauchst du auch einen 16 bit 
organisierten oder ein C Typ wo der Org Pin auf dem richtigen Potential 
liegt. Schaue ins Datenblatt da steht es genau drin.

Gruß Rene

>Wo kann man die denn am besten bestellen? Wo habt ihr die beste
>Erfahrung gemacht?

[werbung]
Ich kaufe fast ausschließlich bei tme.eu aber das ist wohl 
Geschmackssache.
[/werbung]

Eigentlich braucht man die ja nicht neu kannst du ja immer wieder 
beschreiben.

Gruß Rene

>> Weisst du was für ein Prozessor verbaut ist?
>Klar, ein MAC7116

Ahh, ein Arm7. Der hat 32 kbyte Data EEprom. Hast du den schon mal 
ausgelesen?

Gruß Rene

>Hab noch eine kleine frage. Hab ein Tacho aus England der zeigt meinen
>an wie sieht es denn bei den aus. Muss ich dann von meilen auf km
>umrechnen oder verändert sich da nix ?

Normalerweise ist das völlig egal. Der Tacho zeigt eine Zahl an. Ihm ist 
völlig egal was die Zahl darstellen soll. Über die Codierung sagt man 
ihm dann in welchem Verhältniss die Wegstrecke zum angezeigten Wert 
steht. Das alles steht in deinem 93C66. Kopiere deine Daten da rein und 
alles sollte passen, meistens. Teilenummer muss dann natürlich genau 
passen. Besser es sind auch noch HW und SW Id gleich.

Gruß

Rene Z. schrieb:
>>Klar, ein MAC7116
> Ahh, ein Arm7. Der hat 32 kbyte Data EEprom. Hast du den schon mal ausgelesen?
Du meinst den internen Data Flash?
Ne, keine Ahnung wie ich das machen könnte, komme per JTAG nicht dran, 
weil man einen 8 Byte Security code braucht.

>Du meinst den internen Data Flash?
>Ne, keine Ahnung wie ich das machen könnte, komme per JTAG nicht dran,
>weil man einen 8 Byte Security code braucht.

Das wäre meine nächste Frage gewesen, ist er gelockt, gibt es einen 
Securebypass. Muss ich morgen direct mal schauen.

Der JTAG scheint ja mechanisch verfügbar zu sein. Schon mal nicht 
schlecht.
Aber 1 Mbyte Programmflash zu verfolgen das ist Folter.

Ich muss da noch mal drüber nachdenken.

Gruß Rene

Rene Z. schrieb:

> Das wäre meine nächste Frage gewesen, ist er gelockt, gibt es einen
> Securebypass. Muss ich morgen direct mal schauen.
Den gibt es, aber dann müsste man den Chip neu beschreiben, sprich 
löschen. Da ich aber den internen Bootcode nicht habe und man offiziell 
nur an den Code des externen Flashs rankommt... schwierig. Würde ich 
aber nur zu gern tun können, weil ich mir bei dem Versuch einen solchen 
Tacho per JTAG auszulesen einen "gelocked" habe. Der überwacht diese 
Aktivität nämlich und geht dann in einen Lockdown mode aus dem man ihn 
nicht mehr rausbekommt :-(

> Der JTAG scheint ja mechanisch verfügbar zu sein. Schon mal nicht
> schlecht.
Alles kein Problem, hab schon einiges versucht in dieser Richtung.

> Aber 1 Mbyte Programmflash zu verfolgen das ist Folter.
Ooohja, das wär es! ;-)

Lass uns hier splitten und den Thread bezüglich meines Tachos dort 
weiterführen: 
Beitrag "Ford Tacho MAC7116 und 24C16"

Habe das Programm angepasst es gibt jetzt auch den Code aus.

Gruß Rene

Rene Z. schrieb:
> Habe das Programm angepasst es gibt jetzt auch den Code aus.
>
> Gruß Rene

Wie hast du den jetzt wieder so schnell gefunden? Ich denke Dein Gehirn 
funktioniert hexedezimal. Respekt von der Arbeit :top:

>Wie kann man sowas abbekommen?

Oh ha, das wird wohl ein Problem. Vieleicht vorsichtig erwärmen?

Folie und Heißluft ist eine gaaanz schlechte Kombination ;-)

Nick schrieb:
> Aber wie soll man sowas denn sonst abbekommen. Bin schon am verzweifeln.

Das Problem ist halt auch, das der Hersteller das garnicht will, bzw. 
nie geplant hat. Daher muss man improvisieren, es gibt keinen 
"richtigen" Weg. Und manchmal gehts einfach nicht, dann muss man andere 
Wege gehen.

Z.B. könntest Du den Folienleiter durch einen anderen ersetzen und am 
Board mit einem FCC-Steckkontakt versehen.

Hallo liebe Gemeinde,

ich hoffe mir kann jemand weiterhelfen.
Programmer USB CH341A. (Mit Einlötplatine und auch Klemme)
Habe in meinem Tacho einen 93S56WT Eeprom und würde diesen gerne mal 
auslesen.
Auslesen ohne Auslöten möglich? Oder lieber Auslöten, das wäre kein 
Problem.

Ich habe es versucht nur kein Erfolg gehabt.
Bin mir noch unsicher wie die Pins sind und wo am Programmer eventuell 
der Jumper stehen muss. Und irgendwie kann man ja auch das ganze 180Grad 
verkehrt einspannen.

Ich finde an meinem Eeprom auch keine Kerbe um PIN1 zu lokalisieren.

Nutze aktuell die Software USB-PRG.

Welche Software könnt Ihr mir empfehlen?

Vielen Dank für jede Hilfe.

Zum Auslesen muss das Ding raus, sonst startet das komplette µC-System 
wenn Du da die Betriebsspannung anlegst und versaut Dir die Zugriffe 
(weil es selbst auf das Ding zugreift) und die Spannungswandler finden 
die Rückspeisung evtl. auch nicht so lustig.

Meine Vermutung ist Pin1 am ST-Logo, dann müsste oben im Bild die 
Betriebsspannung sichtbar sein (Masse Pin 5 und Vcc an Pin 8) und unten 
ist der Datenbus.

Ich habe mir für diese EEPROMS ein eigenes Auslesegerät gebastelt, was 
die Dinger auslesen und beschreiben kann. Man kann diese EEPROMS heute 
mit fast jedem halbwegs schnellen µC simulieren und diesen mitschreiben 
lassen welche Wert wann geändert werden oder den Datensatz auf einen 
vorherigen Zustand zurücksetzen. Dann lassen sich viele schöne Dinge 
damit anstellen.

Diese Simulation finde ich spannend! Magst Du mal mehr darüber 
berichten? Gibt es da bereits Projekte für oder muss man das von grund 
auf selbst entwickeln? Schön wäre ja eine einfache USB/SPI Schnittstelle 
und das alles per Software vom Pc zu machen.

Eigentlich ungerne, weil damit Manipulationen am Tachostand etc. möglich 
werden und ich kein Fan von sowas bin wenn sich Betrüger damit mal 
wieder nur die die Taschen füllen wollen. Also ich werde definitiv 
keinen keinen Code dafür zur Verfügung stellen.

Aber es ist eher trivial, man muß mit dem µC doch nichts weiter machen 
als sich wie ein solches EEPROM zu verhalten, die µCs haben internes 
EEPROM was man prima nutzen kann, die Schnittstelle gibts oft in 
Hardware ... Was man dann mit den Daten auf dem Weg zwischen EEPROM und 
Schnittstelle noch so alles macht, bleibt der freien Phantasie 
überlassen.

Ben B. schrieb:
> Zum Auslesen muss das Ding raus, sonst startet das komplette
> µC-System
> wenn Du da die Betriebsspannung anlegst und versaut Dir die Zugriffe
> (weil es selbst auf das Ding zugreift) und die Spannungswandler finden
> die Rückspeisung evtl. auch nicht so lustig.
>
> Meine Vermutung ist Pin1 am ST-Logo, dann müsste oben im Bild die
> Betriebsspannung sichtbar sein (Masse Pin 5 und Vcc an Pin 8) und unten
> ist der Datenbus.
>
> Ich habe mir für diese EEPROMS ein eigenes Auslesegerät gebastelt, was
> die Dinger auslesen und beschreiben kann. Man kann diese EEPROMS heute
> mit fast jedem halbwegs schnellen µC simulieren und diesen mitschreiben
> lassen welche Wert wann geändert werden oder den Datensatz auf einen
> vorherigen Zustand zurücksetzen. Dann lassen sich viele schöne Dinge
> damit anstellen.

So habe nach einiger Pause mich nochmal an das Thema gewagt, leider ohne 
Erfolg.

Aktuell Programmer EZP2010
Windows 10.
Software ist EZP2010 das Firmwareupdate ist erfolgt.
Die Treiber für Windows 10 sind installiert.
USB Link ist OK, Seriennummer des Programmers kann ausgelesen werden.
Hardwareselftest OK.
Die rote Power LED leuchtet.
Die Grüne Run LED Leuchtet kurz beim Arbeiten.
Bei Detect bekomme die Fehlermeldung Verifiy Chip Error.
Wenn ich Read drücke ist immer alles leer aber ohne Fehlermeldung.

Habe mal Testhalber einen ähnlichen Chip aus einem alten PC Mainboard 
angesteckt. Ist genau das selbe.

Habe auch Löt -bzw Kontaktfehler ausgeschlossen.

Löte ich den Chip wieder in mein Tacho ist alles gut. Chip ist also 
nicht defekt.

Wo muss ich den Fehler suchen?
Läuft Windows 10 nicht?
Ist der Reader defekt?
Oder darf ich nicht alle Pins 1-8 anlöten?

Bin für jede Hilfe Dankbar.

Hast du ein Oszi? Wenn ja, dann würde ich dies an die Kontakte hängen 
und schauen ob die Signale sinnvoll sind. Highpegel, Lowpegel, Timing, 
Betriebsspannung.
Wenn du nur ein Multimeter hast, dann miss ob die Betriebsspannung 
ankommt und an den Pins 1 bis 4 sich wenigstens kurz etwas verändert.

Die 0xFF sind typisch für Lesefehler. Dein Eprommer oder seine Software 
ist scheiße, ganz einfach. Eines davon kann diesen IC nicht.

Matthias X. schrieb:
> Hast du ein Oszi? Wenn ja, dann würde ich dies an die Kontakte hängen
> und schauen ob die Signale sinnvoll sind. Highpegel, Lowpegel, Timing,
> Betriebsspannung.
> Wenn du nur ein Multimeter hast, dann miss ob die Betriebsspannung
> ankommt und an den Pins 1 bis 4 sich wenigstens kurz etwas verändert.

Habe kein Oszi, am Multimeter sind 1.6V zeitweise springt er auf 2.2V

Einen ST 93C46WP ausgelötet aus einer Netzwerkkarte konnte ich auslesen.

Somit schließe ich Windows 10 und defekten Leser aus.

Welchen Eprommer könnt ihr mir für die ST 93S56WT Eprooms empfehlen?
In der Software kann ich ja die 93S56 gezielt auswählen.
Bin echt irritiert.

S. E. schrieb:
> Welchen Eprommer könnt ihr mir für die ST 93S56WT Eprooms empfehlen?
> In der Software kann ich ja die 93S56 gezielt auswählen.
> Bin echt irritiert.

Hallo,

habe mich jetzt von dem 93S56 eeprom verabschiedet da ich mit meinem 
EZ2010 Eproomer nicht klarkomme, oder es nicht weis wie dieser Schreib- 
und Leseschutz umgangen wird.

Habe jetzt 93C56 Eeproms und das auslesen und beschreiben ist kein 
Problem.

Ich hänge mal verschiedene Dumps an Und möchte den Zusammenhang 
verstehen.

Habe einiges dazu nachgelesen, aber leider nicht verstanden.
Die Dumps im online Hexeditor verglichen Kriege das Rätsel
aber nicht gelöst.

Zum bei Beispiel möchte ich auf 6609km anpassen.

Kann mir jemand den Lösungsweg erklären?

Nur wenn man Beihilfe zu Straftaten liefern möchte.

>Nur wenn man Beihilfe zu Straftaten liefern möchte.
Er ist doch sicher in Österreich oder der Niederlande oder der Schweiz.

Wirklich schwer ist die Lösung ja nun auch nicht da noch nicht 
verschlüsselt.

1

(0xFFFF - 0x????) * 16 * 2

Ben B. schrieb:
> Nur wenn man Beihilfe zu Straftaten liefern möchte.

Wenn ich eine Straftat begehen wollen würde dann spiele ich einfach den 
vorhandenen 3776KM Dump ein. Ich möchte einen höheren Wert und zwar den 
realen Wert einspielen nach einem Tachotausch aufgrund defekt.

Aber ich kann die Vorsicht verstehen, aber einen Vorwurf nicht.

Hier hab ich es genau erklärt: 
Beitrag "Re: 93C66 Tacho Datei"
Nur ist der Offset hier jetzt nicht 0x1F0 sondern 0.

> Aber ich kann die Vorsicht verstehen, aber einen Vorwurf nicht.
Es war auch kein Vorwurf, aber die Gesetze hierzu empfinde ich sehr 
schwammig. In Deutschland kann es sehr problematisch sein, wenn man z.B. 
eine Verschlüsselung umgeht, obwohl diese komplett gebrochen ist (siehe 
CSS bei DVDs). Sprich ich "verschlüssele" meine Werte in dem EEPROM mit 
einem XOR255 und wenn ich Spaß habe noch mit einem Bitshift, nenne das 
Verschlüsselung und verklage jeden, der das "bricht".

Bei Kilometerständen empfinde ich einfach das Missbrauchspotential als 
zu hoch. Niemand will für teuer Geld eine Karre kaufen, die in Wahrheit 
300tkm weiter gerannt ist, als auf dem Tacho steht. Wieder keine 
Unterstellung, aber eine leider sehr weitläufig praktizierte 
Anwendungsmöglichkeit.

Soweit habe ich es verstanden und umgesetzt.
Auf genauen gewünschten wert komme ich nicht, da ich dort keine 
Kommastellen eintragen kann. Und die Formel mit in Klammer etc. da bin 
ich irgendwie Begriffsstutzig :-). check das einfach nicht.

Wunsch war 6609.
Habe den nächsten größeren Wert 6624 in 32er Schritten genommen.
Das reicht mir auch.

Vielen Dank

Man muss nicht 16x den selben Wert nehmen. Einige Werte dürfen auch eins 
grösser sein. ;-)