Kopiarka kluczy domofonowych na pic12f675. Jak zrobić kopię klucza interkomu w domu?

Nie zapomnij ustawić numeru swojego oryginalnego klucza w tablicy key_to_write którego dowiedzieliśmy się wcześniej.

Prześlij ten szkic do Arduino. Otwórz monitor portu szeregowego (Ctrl+Shift+M). Podłączmy do schematu klucz, który będzie klonem oryginalnego klucza. Monitor portu szeregowego wyświetli odpowiedni komunikat o wyniku programowania.

Jeśli ten szkic nie zadziałał, spróbuj zastąpić kod po Serial.print("Rozpocznij programowanie...") do końca funkcji pętla() do następnego:

Tutaj funkcja writeByte() będzie wyglądać następująco:

Nie ma sensu pokazywać wykresu czasowego działania szkicu zapisu identyfikatora klucza, ponieważ jest długa i nie zmieści się na zdjęciu. Natomiast plik *.logicdata dla programu analizatora stanów logicznych dołączony jest na końcu artykułu.

Klawisze interkomu występują w różnych typach. Ten kod nie jest odpowiedni dla wszystkich kluczy, ale tylko dla RW1990 lub RW1990.2. Programowanie kluczy innych typów może prowadzić do awarii klucza!

W razie potrzeby możesz przepisać program dla klucza innego typu. W tym celu skorzystaj z opisu technicznego swojego typu klucza (datasheet) i zmień szkic zgodnie z opisem. Pobierz kartę katalogową kluczy iButton można dołączyć do artykułu.

Nawiasem mówiąc, niektóre nowoczesne domofony odczytują nie tylko identyfikator klucza, ale także inne informacje zapisane na oryginalnym kluczu. Dlatego tworzenie klonu przez kopiowanie tylko numeru nie zadziała. Musisz całkowicie skopiować kluczowe dane.

4 Opis pojedynczego drutu Interfejs 1-Wire

Przyjrzyjmy się bliżej interfejsowi One-wire. W organizacji jest podobny do interfejsu I2C: musi również zawierać urządzenie master (master), które inicjuje wymianę, a także jedno lub więcej urządzeń slave (slave). Wszystkie urządzenia są podłączone do jednej wspólnej magistrali. Urządzenia iButton są zawsze urządzeniami podrzędnymi. Master jest zwykle mikrokontrolerem lub komputerem PC. Szybkość transmisji danych wynosi 16,3 kb/s. Bezczynna magistrala jest w stanie logicznym „1” (HIGH). Ten protokół zapewnia tylko 5 rodzajów sygnałów:

• impuls resetowania (master)
• impuls obecności (slave)
• napisz bit "0" (master)
• napisz bit "1" (master)
• bit odczytu (master)

1) Inicjalizacja

Inicjalizacja polega na tym, że master ustawia stan resetowania RESET (obniża linię na „0” na okres 480 μs lub dłużej, a następnie ją zwalnia i dzięki rezystorowi podciągającemu linia podnosi się do stanu „1”), a slave nie później niż 60 µs po tym musi potwierdzić obecność również obniżając linię do „0” na 60…240 µs i następnie ją zwalniając:

2) Polecenia do pracy z ROM

Jeżeli po impulsie inicjującym nie zostanie odebrany żaden sygnał potwierdzenia, urządzenie nadrzędne powtarza odpytywanie magistrali. Jeśli sygnał potwierdzający zostanie odebrany, master rozumie, że na magistrali znajduje się urządzenie gotowe do wymiany i wysyła mu jedno z czterech 8-bitowych poleceń ROM:

(*) Nawiasem mówiąc, istnieje wiele rodzin urządzeń iButton, niektóre z nich są wymienione w poniższej tabeli.

Dane są przesyłane sekwencyjnie, bit po bicie. Transmisja każdego bitu jest inicjowana przez mastera. Podczas nagrywania lider obniża linię do zera i trzyma ją. Jeżeli czas utrzymania linii wynosi 1…15 µs, to zapisywany jest bit „1”. Jeśli czas przetrzymania wynosi 60 µs lub więcej, zapisywany jest bit „0”.

Odczytywanie bitów jest również inicjowane przez mastera. Na początku odczytywania każdego bitu, mistrz obniża autobus. Jeśli slave chce wysłać „0”, utrzymuje magistralę w stanie LOW przez 60 do 120 µs, a jeśli chce wysłać „1”, utrzymuje magistralę w stanie LOW przez około 15 µs. Następnie slave zwalnia linię i dzięki rezystorowi podciągającemu powraca do stanu HIGH.

Tak wygląda na przykład diagram czasowy polecenia wyszukiwania Search ROM (0xF0). Polecenia zapisu bitów zaznaczono na schemacie kolorem czerwonym. Zwróć uwagę na kolejność bitów podczas transmisji przez 1-Wire: najbardziej znaczący bit znajduje się po prawej stronie, najmniej znaczący bit po lewej stronie.

3) Polecenia do pracy z PROM

Przed rozważeniem poleceń dotyczących pracy z iButton PROM należy powiedzieć kilka słów o strukturze pamięci klucza. Pamięć podzielona jest na 4 równe sekcje: trzy z nich są przeznaczone do przechowywania trzech unikalnych kluczy, a czwarta do tymczasowego przechowywania danych. Ten tymczasowy bufor służy jako rodzaj szkicu, w którym dane są przygotowywane do zapisywania kluczy.

Do pracy z PROM jest 6 poleceń:

4) Transfer danych

Ciąg dalszy nastąpi...

5 Możliwe błędy podczas kompilacji szkicu

1) Jeśli wystąpi błąd podczas kompilacji szkicu WConstants.h: Brak takiego pliku lub katalogu #include "WConstants.h", następnie, jako opcja, następuje w pliku OneWire.cpp zastąp pierwszy blok po komentarzach następującym:

#włączać #włączać zewnętrzne „C” (#włączać #włączać }

2) Jeśli podczas kompilacji wystąpi błąd klasa OneWire nie ma członka o nazwie read_bytes, następnie znajdź i spróbuj użyć innej biblioteki do pracy z interfejsem OneWire.

Zgubiłeś klucze interkomu i nie możesz wykonać duplikatu. Chcesz odwiedzić koleżankę, ale nie masz kluczy do jej wejścia. Albo po prostu musisz załatwić swojego wroga, ale nie możesz dostać się do jego domu, to ten artykuł jest dla Ciebie.

Kilka słów o zasadzie pracy...
Panuje opinia, że ​​w tabletach od interkomu jest magnes i otwiera drzwi. Nie, nie jest. Tablet to pamięć ROM z wbudowanym kluczem przewodowym. Ta pamięć ROM nazywa się - Touch Memory, marka DS1990A. DS1990A to marka kluczy interkomowych. Komunikuje się z domofonem za pośrednictwem magistrali jednoprzewodowej (interfejs jednoprzewodowy). Ta magistrala została opracowana przez firmę Dallas i pozwala dwóm urządzeniom komunikować się tylko jednym przewodem. Jeśli urządzenie jest pasywne (jak w naszym przypadku), to również przekazuje do niego moc przez ten przewód. Należy również zauważyć, że potrzebny jest również wspólny przewód (aby obwód się zamykał), ale z reguły wszystkie masy urządzeń podłączonych do tej magistrali są ze sobą połączone. Klucz zawiera kondensator o pojemności 60 pikofaradów, który zapewnia krótkotrwałe zasilanie klucza w momencie odpowiedzi. Ale urządzenie hosta musi stale (co najmniej raz na 120 mikrosekund) generować jeden sygnał, aby naładować ten kondensator, aby pamięć ROM w tablecie była nadal zasilana.

Wewnętrzne elementy tabletu

Organizacja magistrali One-wire
Magistrala One-wire działa w następujący sposób. Istnieje urządzenie nadrzędne i urządzenie podrzędne, w naszym przypadku klucz pasywny. Główne sygnały generowane są przez sygnały master, logiczną jedynkę i zero. Urządzenie podrzędne może wymusić tylko sygnały zerowe (tj. Po prostu pociągnij magistralę do masy przez tranzystor). Na zdjęciach przedstawiono uproszczony schemat mastera i slave'a.

Schemat kreatora

Jeśli spojrzysz na obwód, łatwo zauważyć, że domyślnie master zawsze ma +5 woltów, a la logiczna jednostka. Aby przenieść logiczne zero, master zamyka magistralę do masy przez tranzystor, a aby przenieść jednostkę, po prostu ją otwiera. Odbywa się to w celu dostarczenia zasilania do urządzenia podrzędnego. Podobnie jest wykonane urządzenie slave, tyle że nie generuje +5 woltów. Może tylko zatopić magistralę do ziemi, przesyłając w ten sposób logiczne zero. Jednostka logiczna jest przekazywana po prostu przez „ciszę” urządzenia.

Protokół pracy
Widać od razu, że paradą rządzi tylko Mistrz, sam klucz DS1990A albo trzyma grunt (master sam ustawia autobus na zero), albo po prostu milczy, w przypadku gdy chce przenieść jednostkę, po prostu milczy. Spójrzmy na rysunek.

Przykład odczytania klucza przez domofon.

Po wygenerowaniu przez klawisz impulsu PREFERENCJI urządzenie nadrzędne czeka przez pewien czas i wydaje polecenie odczytu ROM, zazwyczaj jest to kod rodziny, w naszym przypadku 33H. Zwróć uwagę na to, jak odbywa się transfer zera i jedynki. W każdym razie impuls „opada” na ziemię, ale jeśli jednostka zostanie przesłana, to szybko zostanie przywrócona (około 1 mikrosekundy), jeśli ma wynosić zero, to impuls „wisi” na ziemi przez jakiś czas, potem wraca do jednego ponownie. Powrót do jedności jest konieczny, aby urządzenie pasywne stale uzupełniało energię kondensatora i było na nim moc. Ponadto domofon wytrzymuje przez pewien czas i zaczyna generować impulsy do odbierania informacji, w sumie 64 impulsy (czyli odbiera 64 bity informacji). Kluczem jest po prostu prawidłowe dopasowanie czasów trwania. Jeśli chce wyświetlić zero, to przez jakiś czas utrzymuje autobus na zero, jeśli nie, to po prostu milczy. Domofon robi za niego wszystko inne.

Zawartość klucza DS1990A.
W domofonach, a po prostu urządzeniach, w których takie urządzenia służą do otwierania drzwi, stosuje się klucz w standardzie DS1990A. To urządzenie to 8-bajtowy ROM, z informacjami zapisanymi przez laser.

Schemat zrzutu klucza.

Młodszy bajt zawiera kod rodziny. Dla DS1990A zawsze będzie to 01h. Kolejne sześć bajtów zawiera numer seryjny klucza. Najbardziej intymna rzecz, która identyfikuje klucz. Ostatni bajt nazywa się CRC, jest to kontrola parzystości, która zapewnia autentyczność przesyłanych danych. Jest obliczany z poprzednich siedmiu bajtów. Nawiasem mówiąc, to nie jedyny standard. Istnieją pamięci ROM wielokrotnego zapisu, na których można przenosić informacje, a także klucze szyfrowania. Ale cała różnorodność tabletów Dallas jest po prostu nierealistyczna do rozważenia w ramach jednego artykułu, możesz przeczytać o nich na dysku.

Fizyczne urządzenie klucza.
Zapewne wszystkie powyższe zniechęciły do ​​jakiejkolwiek chęci angażowania się w emulatory kluczy, bo klucz trzeba odczytać, a to taki hemoroid. Okazuje się, że nie! Producenci z Dallas zadbali o nas i umieścili wszystkie potrzebne nam informacje bezpośrednio na kluczu, ponadto w systemie szesnastkowym! Jest na nim wygrawerowany i całkiem da się go odczytać, a później wszyć w nasz wspaniały emulator.

Klucz kaganiec

Z wszystkich tych informacji interesują nas:

CC = CRC to bajt kontroli parzystości siódmego bajtu w oprogramowaniu układowym
SSSSSSSSSSS = dwanaście nibbles //nibbles = 1/2 bajtów// numeru seryjnego, tj. sam klucz w kodach szesnastkowych.
FF = kod rodziny, w naszym przypadku jest to 01h - bajt zerowy naszego klucza.

Okazuje się, że możemy po prostu napisać program, wbić w niego cały klucz, przepisać wizualnie zrzut z prawdziwego klucza za pomocą pisaków, a dostaniemy gotowy emulator. Wystarczy wziąć klucz w ręce wroga i przepisać to, co jest na nim napisane. Co zrobiłem z wielkim sukcesem. :)

emulator.
Doszliśmy więc do najsmaczniejszego - emulatora klawiszy od domofonu. Najpierw znalazłem na jakiejś stronie gotowy emulator, zaszyłem go do mojego AT89C51 i nie działał (co nie jest zaskakujące). Ale używanie oprogramowania innych osób i wyłapywanie błędów innych osób, specjalnie pozostawionych w kodzie, nie jest sportowe. Dlatego zacząłem tworzyć własne emulatory i pisać dla nich własne programy. Generalnie próbowałem zrobić emulator na 6 różnych mikrokontrolerach, różnych architekturach, należących do dwóch rodzin AVR i i8051, wszystkie produkowane przez Atmel. Nie działało to dla wszystkich i napisano wiele programów. Początkowo zadania napoleońskie były generalnie postawione na zrobienie uniwersalnego emulatora z możliwością wyboru klucza, ale potem zrezygnowałem z tego pomysłu ze względu na jego hemoroidy i bezsensowność, niech zajmą się nim inne osoby zainteresowane tym artykułem. Ale koszt emulatora, nie licząc włożonej pracy, to mniej niż 70-80 re, można spotkać nawet 30 re, jeśli zrobisz to np. na ATtiny12.

Zasada działania emulatora.
Szczegółowo rozważyliśmy zasadę działania interkomu, w związku z czym opisanie algorytmu programu emulatora DS1990A nie będzie dużym problemem. Przyglądamy się uważnie diagramowi i zastanawiamy się, co należy zrobić. I musisz wykonać następujące czynności. Noga mikrokontrolera zawieszona w powietrzu (dopóki nie zostanie podłączona do masy, impuls resetujący) będzie traktowana przez sterownik jako jednostka logiczna. Oznacza to, że po doprowadzeniu zasilania do sterownika musimy poczekać, aż noga opadnie na ziemię, a la do zera. Jak usłyszeliśmy zero, cieszymy się, czekamy chwilę i przenosimy port z trybu odczytu do trybu zapisu. Następnie zrzucamy szynę do zera i przytrzymujemy przez chwilę - generujemy impuls OBECNOŚCI (czas trwania impulsów patrz arkusz danych). Następnie ponownie przenosimy autobus w tryb odczytu i czekamy na to, co powie nam mistrz - domofon. Powie nam polecenie odczytu, składające się z 8 bitów. Nie odkodujemy tego, bo w 99,999% przypadków powie nam polecenie wydania swojego zrzutu, a la 33H, po prostu policz 8 impulsów i nie martw się. Czekamy dalej. I zaczyna się najtrudniejsza i najciekawsza rzecz - musisz szybko spojrzeć na to, co mówi nam domofon i szybko na to odpowiedzieć. Musimy bit po bicie wydać numer seryjny składający się z 8 bajtów, o którym wspomniałem powyżej. Zrobiłem to w następujący sposób (nie ma znaczenia który mikrokontroler, zasada będzie wszędzie taka sama), załadowałem bajt do jakiegoś wolnego rejestru, przesunąłem go w prawo i obserwowałem bit transferu. Jak tylko domofon zrzuci magistralę na zero, to jak mam flagę transferu ustawioną na jeden, to po prostu milczę na tym impulsie i czekam na generowanie kolejnego impulsu odczytu bitów od mastera. Jeśli mam zero we fladze transferu, to po tym jak domofon zrzuci magistralę do zera, przestawiam port mikrokontrolera w tryb wyjścia i przymusowo przytrzymuję przez chwilę magistralę na zero, po czym puszczam i przełączam port kontrolera z powrotem na tryb czytania. Zgodnie z czasem trwania impulsu w ziemi, urządzenie nadrzędne rozumie, czy przesłano do niego jednostkę, czy zero. W zasadzie wszystko, to domofon powinien radośnie piszczeć i otwierać drzwi.

Ćwiczyć.

Płytka testera. Widzę napis dallas.

Po kilku hemoroidach i wojnie z debuggerem kod się sprawdził. Oto przykładowy kod do wysyłania danych do domofonu w AT89C2051. (Ogólnie AT89C2051 jest popularnym, ale przestarzałym kontrolerem. Jeden z pierwszych, które zaprogramowałem. Minimalne peryferia, pamięć też nic. Szyta jest tylko programatorem wysokiego napięcia. Chociaż jest jego nowy zamiennik AT89S2051 , można już sflashować w obwodzie przez jakiś ISP AVR, a może przez AVRDUDE - nie sprawdzałem. Najciekawsze jest to, że jest kompatybilny z ATTiny2313 na nóżkach, więc kod można przeportować na Tinka. uwaga DI HALT)

D.I. ZATRZYMUJE SIĘ:
Ten piekielny kod napisaliśmy z Longiem w 2006 roku w jego mieszkaniu. Pospieszył do czkawki na ich bluntów. Wtedy po raz pierwszy poczułem AVR. Siedziałem na zupełnie nieznanym asemblerze do procedury odczytu z EEPROM, podczas gdy Long wybierał płytkę demonstracyjną do swojego przyszłego emulatora. Szczególnie pamiętam żart z watchdogiem, kiedy mój MK został zresetowany podczas zapisywania do EEPROM i wycinania chipu pamięci i2c z płyty za pomocą tarczy tnącej. Ech... nic, jadę do Moskwy, spalimy znowu!

;============================================== ; Wydanie numeru seryjnego; w: R0- adres, w którym znajduje się numer seryjny z typem tabletu i CRC8; ZASTOSOWANIA: A,B,R0,R1,R2 ;============================================ = ================= DEMUL_SendSer: mov R2,#8 SS3: mov ACC,@R0 mov R1,#8 SS2: JB TouchFuck,$ ; zero 1->0 RRC A ;C:=A.0; przesunięcie A; mov TouchFuck,C ;TouchFuck:=C; MOV B,#9 DJNZ B,$ ;Opóźnienie 20 us setb TouchFuck JNB TouchFuck,$ ;pętla do 0 DJNZ R1,SS2 inc R0 DJNZ R2,SS3 ret ;======== ================================================

Wyniki.
W rezultacie dostałem dużo emulatorów. To prawda, że ​​niektóre z nich nadal trzeba sobie przypomnieć. Chociaż kilka w 100% działa. Przykładowe emulatory można obejrzeć na zdjęciach.

Zdjęcia emulatorów

Najciekawsza jest kontrola CRC, którą przeprowadza domofon. Będzie to potrzebne, jeśli chcesz na przykład umieścić blokadę Dallas na swoim komputerze. Przykład obliczenia CRC na A89C2051 (chociaż ten kod będzie działał na wszystkich mikrokontrolerach z rodziny i8051.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

DO_CRC: PUSH ACC ;zapisz akumulator PUSH B ;zapisz rejestr B PUSH ACC ;zapisz bity do przesunięcia MOV B,#8 ;ustaw przesunięcie = 8 bitów ; CRC_LOOP: XRL A,CRC ;oblicz CRC RRC A ;przenieś do przeniesienia MOV A,CRC ;pobierz ostatnią wartość CRC JNC ZERO ;pomiń jeśli dane = 0 XRL A,#18H ;zaktualizuj wartość CRC ; ZERO: RRC A ;pozycjonowanie nowego CRC MOV CRC,A ;zapisanie nowego CRC POP ACC ;pobranie pozostałych bitów RR A ;położenie następnego bitu PUSH ACC ;zapisanie pozostałych bitów DJNZ B,CRC_LOOP ;powtórzenie przez osiem bitów POP ACC ;wyczyść stos POP B ;przywróć rejestr B POP ACC ;przywróć akumulator RET

DO_CRC: PUSH ACC ;zapisz akumulator PUSH B ;zapisz rejestr B PUSH ACC ;zapisz bity do przesunięcia MOV B,#8 ;ustaw przesunięcie = 8 bitów ; CRC_LOOP: XRL A,CRC ;oblicz CRC RRC A ;przenieś do przeniesienia MOV A,CRC ;pobierz ostatnią wartość CRC JNC ZERO ;pomiń jeśli dane = 0 XRL A,#18H ;zaktualizuj wartość CRC ; ZERO: RRC A ;pozycjonowanie nowego CRC MOV CRC,A ;zapisanie nowego CRC POP ACC ;pobranie pozostałych bitów RR A ;położenie następnego bitu PUSH ACC ;zapisanie pozostałych bitów DJNZ B,CRC_LOOP ;powtórzenie przez osiem bitów POP ACC ;wyczyść stos POP B ;przywróć rejestr B POP ACC ;przywróć akumulator RET

Wniosek.
Jak widać, klawisze interkomu nie są tak proste, jak się wydaje. Jednak ich emulacja jest dostępna dla każdego, kto posiada oprogramowanie i lutownicę.

D.I. ZATRZYMUJE SIĘ:
Sprawy minionych dni, legendy starożytności głębokie... Długie - WDR! (będzie jasne tylko dla wtajemniczonych ;)))))

Wstępnie zredagowana wersja artykułu z magazynu Hacker

Dzień dobry! Jakoś zmęczyło mnie płacenie 150 zł za kopię klucza interkomu i postanowiłem zmontować prosty, budżetowy duplikator iButton na Arduino. Ceny takich gotowych urządzeń „gryzą”, choć ich funkcjonalność jest szersza, kopiują prawie wszystko, łącznie z kluczami bezprzewodowymi. Mnie wystarczy prosty egzemplarz klucza iButton a la „przycisk”. Ciekawe? Proszę pod "cięciem"!

Więc zacznijmy! Na początek „przypisanie techniczne”, co to urządzenie powinno być w stanie zrobić?:
1) Przeczytaj zawartość klucza, ciekawe co tam jest zaszyte.
2) Skopiuj klucze, bez względu na to, jak dziwnie to brzmi :)
3) Flash "uniwersalny" klucz. Przez słowo „uniwersalny” rozumiemy dowolny z naszych własnych kluczy, które zostaną zapisane domyślnie.

UPD. Bardzo ważne! Jeśli pierwszy bajt, kod rodziny, to 00 , na przykład 00 :12:34:56:AB:CD:EF: AA, to po firmware klucz „umrze”, nie będzie odczytywany przez tego programistę, a być może przez innych. Znalezione przez doświadczenie, dzięki przyjacielowi 16 :AB:CD:EF:E0 z naturalnie nieprawidłową sumą kontrolną E0. Ponieważ suma kontrolna jest nieprawidłowa, domofon ignoruje tę sekwencję podczas odczytu. Ten domofon zrujnował wszystkie klucze wielokrotnego zapisu, a ja zorientowałem się, co się dzieje i dlaczego dane w kluczach zmieniają się „samo w sobie”. W rezultacie nie można było zrobić duplikatu dla tego domofonu, musiałem udać się do organizacji serwisowej i zamówić klucz za 100 rubli. :)