想解锁宏碁笔记本电池，尝试用cp2112调试板与电池通信

fangyinghh

我有个acer笔记本电池锁了，其实没有循环几次，多年来一直插着电源用，莫名其妙就锁了，拆了折腾过，保险熔断，电芯焊下测试有电，电压一致性也挺好，看不出来异常，焊过几次，就成了伊拉克成色：


电芯是LG的，保护板主控BQ20Z955，




看到数码之家里有人解锁成功了，过程很复杂不太懂，自己也试试，春节刚过买了个cp2112小板，连了一次电池，初次可以识别，后来莫名其妙软件（Be2works）不认小板了，但是cp2112厂商的demo软件还是可以认的，研究了一番发现是PID、VID被改写后otp写死了，把Be2works网上能找到的那个版本反编译后看到destroy的字样，怀疑是软件破坏了。尝试用silicon lab自己的demo软件读电池信息试试：找出电池接口的针脚定义，

这个是通信小板，与type-c的otg插头对比，很小巧，


按针脚定义连线，用软件读一下，确实可以读到内容


其中目标地址相当于smbus命令地址，20、21分别表示电芯制造商、型号，根据返回的内容，对照asc2表，21地址返回值翻译过来就是AS10D81 ， 20地址翻译过来是LGC，好像是那么回事儿？

网上还有大神写了个基于cp2112与电池通信的代码，我下载回来编译完无法认小板，后来在源码里修改了pid vid为我的小板现在的数值，再编译后可以读一些信息了，
这是我连接几个电池读到的部分信息：




源代码里作者没有写解锁部分，我想在这儿蹲个现成的，有大神帮忙吗？  网上下载的那个源码是这样的我直接贴在这儿，侵删

1. #include <stdio.h>
   
2. #include <stdlib.h>
   
3. 
   
4. #include "smbus.h"
   
5. 
   
6. /*
   
7. NOTE: As command response lengths may differ between gas gauges, ensure
   
8. sbsCommandResponseLength contains the correct lengths for your
   
9. particular device (check datasheet).
   
10. 
    
11. For example, some typical variations:
    
12. Manufacturer Name [0x20] = 20+1 bytes / 11+1 bytes
    
13. Device Name [0x21] = 20+1 bytes / 7+1 bytes
    
14. */
    
15. const WORD sbsCommandResponseLength[] = {
    
16.     2, 2, 2, 2, 2, 2, 2, 2, 2, 2,   // 0x00 - 0x09
    
17.     2, 2, 1, 1, 1, 2, 2, 2, 2, 2,   // 0x0A - 0x13
    
18.     2, 2, 2, 2, 2, 2, 2, 2, 2, 0,   // 0x14 - 0x1D
    
19.     0, 0, 21, 21, 5, 15             // 0x1E - 0x23
    
20. };
    
21. 
    
22. enum sbsCommands {
    
23.     MANUFACTURER_ACCESS,        // 0x00
    
24.     REMAINING_CAPACITY_ALARM,   // 0x01
    
25.     REMAINING_TIME_ALARM,       // 0x02
    
26.     BATTERY_MODE,               // 0x03
    
27.     AT_RATE,                    // 0x04
    
28.     AT_RATE_TIME_TO_FULL,       // 0x05
    
29.     AT_RATE_TIME_TO_EMPTY,      // 0x06
    
30.     AT_RATE_OK,                 // 0x07
    
31.     TEMPERATURE,                // 0x08
    
32.     VOLTAGE,                    // 0x09
    
33.     CURRENT,                    // 0x0A
    
34.     AVERAGE_CURRENT,            // 0x0B
    
35.     MAX_ERROR,                  // 0x0C
    
36.     RELATIVE_STATE_OF_CHARGE,   // 0x0D
    
37.     ABSOLUTE_STATE_OF_CHARGE,   // 0x0E
    
38.     REMAINING_CAPACITY,         // 0x0F
    
39.     FULL_CHARGE_CAPACITY,       // 0x10
    
40.     RUN_TIME_TO_EMPTY,          // 0x11
    
41.     AVERAGE_TIME_TO_EMPTY,      // 0x12
    
42.     AVERAGE_TIME_TO_FULL,       // 0x13
    
43.     CHARGING_CURRENT,           // 0x14
    
44.     CHARGING_VOLTAGE,           // 0x15
    
45.     BATTERY_STATUS,             // 0x16
    
46.     CYCLE_COUNT,                // 0x17
    
47.     DESIGN_CAPACITY,            // 0x18
    
48.     DESIGN_VOLTAGE,             // 0x19
    
49.     SPECIFICATION_INFO,         // 0x1A
    
50.     MANUFACTURER_DATE,          // 0x1B
    
51.     SERIAL_NUMBER,              // 0x1C
    
52.     RESERVED1,                  // 0x1D
    
53.     RESERVED2,                  // 0x1E
    
54.     RESERVED3,                  // 0x1F
    
55.     MANUFACTURER_NAME,          // 0x20
    
56.     DEVICE_NAME,                // 0x21
    
57.     DEVICE_CHEMISTRY,           // 0x22
    
58.     MANUFACTURER_DATA           // 0x23
    
59. };
    
60. 
    
61. #define BITRATE_HZ                  25000
    
62. #define ACK_ADDRESS                 0x02
    
63. #define AUTO_RESPOND                FALSE
    
64. #define WRITE_TIMEOUT_MS            1000
    
65. #define READ_TIMEOUT_MS             1000
    
66. #define TRANSFER_RETRIES            0
    
67. #define SCL_LOW_TIMEOUT             TRUE
    
68. #define RESPONSE_TIMEOUT_MS         1000
    
69. 
    
70. #define CHARGER_SLAVE_ADDRESS_W     0x12
    
71. #define BATTERY_SLAVE_ADDRESS_W     0x16
    
72. 
    
73. int main(int argc, char* argv[])
    
74. {
    
75.     HID_SMBUS_DEVICE    m_hidSmbus;
    
76.     BYTE                buffer[HID_SMBUS_MAX_READ_RESPONSE_SIZE];
    
77.     BYTE                targetAddress[16];
    
78. 
    
79.     // Open device
    
80.     if(SMBus_Open(&m_hidSmbus) != 0)
    
81.     {
    
82.         fprintf(stderr,"ERROR: Could not open device.\r\n");
    
83.         SMBus_Close(m_hidSmbus);
    
84.         return -1;
    
85.     }
    
86.     fprintf(stderr,"Device successfully opened.\r\n");
    
87. 
    
88.     // Configure device
    
89.     if(SMBus_Configure(m_hidSmbus, BITRATE_HZ, ACK_ADDRESS, AUTO_RESPOND, WRITE_TIMEOUT_MS, READ_TIMEOUT_MS, SCL_LOW_TIMEOUT, TRANSFER_RETRIES, RESPONSE_TIMEOUT_MS) != 0)
    
90.     {
    
91.         fprintf(stderr,"ERROR: Could not configure device.\r\n");
    
92.         SMBus_Close(m_hidSmbus);
    
93.         return -1;
    
94.     }
    
95.     fprintf(stderr,"Device successfully configured.\r\n");
    
96. 
    
97.     // Voltage [0x09]
    
98.     targetAddress[0] = VOLTAGE;
    
99.     if (SMBus_Read(m_hidSmbus, buffer, BATTERY_SLAVE_ADDRESS_W, sbsCommandResponseLength[VOLTAGE], 1, targetAddress) != sbsCommandResponseLength[VOLTAGE])
    
100.     {
     
101.         fprintf(stderr,"ERROR: Could not perform SMBus read.\r\n");
     
102.         SMBus_Close(m_hidSmbus);
     
103.         return -1;
     
104.     }
     
105.     UINT16 voltage_mV = (buffer[1] << 8) | buffer[0];
     
106.     fprintf(stderr, "Voltage = %d mV\r\n", voltage_mV);
     
107. 
     
108.     // Current [0x0A]
     
109.     targetAddress[0] = CURRENT;
     
110.     if (SMBus_Read(m_hidSmbus, buffer, BATTERY_SLAVE_ADDRESS_W, sbsCommandResponseLength[CURRENT], 1, targetAddress) != sbsCommandResponseLength[CURRENT])
     
111.     {
     
112.         fprintf(stderr,"ERROR: Could not perform SMBus read.\r\n");
     
113.         SMBus_Close(m_hidSmbus);
     
114.         return -1;
     
115.     }
     
116.     INT16 current_mA = (buffer[1] << 8) | buffer[0];
     
117.     fprintf(stderr, "Current = %d mA\r\n", current_mA);
     
118. 
     
119.     // Relative State of Charge [0x0D]
     
120.     targetAddress[0] = RELATIVE_STATE_OF_CHARGE;
     
121.     if (SMBus_Read(m_hidSmbus, buffer, BATTERY_SLAVE_ADDRESS_W, sbsCommandResponseLength[RELATIVE_STATE_OF_CHARGE], 1, targetAddress) != sbsCommandResponseLength[RELATIVE_STATE_OF_CHARGE])
     
122.     {
     
123.         fprintf(stderr,"ERROR: Could not perform SMBus read.\r\n");
     
124.         SMBus_Close(m_hidSmbus);
     
125.         return -1;
     
126.     }
     
127.     BYTE rsoc = buffer[0];
     
128.     fprintf(stderr, "RSOC = %d %%\r\n", rsoc);
     
129. 
     
130.     // Remaining Capacity [0x0F]
     
131.     targetAddress[0] = REMAINING_CAPACITY;
     
132.     if (SMBus_Read(m_hidSmbus, buffer, BATTERY_SLAVE_ADDRESS_W, sbsCommandResponseLength[REMAINING_CAPACITY], 1, targetAddress) != sbsCommandResponseLength[REMAINING_CAPACITY])
     
133.     {
     
134.         fprintf(stderr,"ERROR: Could not perform SMBus read.\r\n");
     
135.         SMBus_Close(m_hidSmbus);
     
136.         return -1;
     
137.     }
     
138.     UINT16 remCap = (buffer[1] << 8) | buffer[0];
     
139.     fprintf(stderr, "Remaining Capacity = %d mAh\r\n", remCap);
     
140. 
     
141.     // Average Time to Empty [0x12]
     
142.     targetAddress[0] = AVERAGE_TIME_TO_EMPTY;
     
143.     if (SMBus_Read(m_hidSmbus, buffer, BATTERY_SLAVE_ADDRESS_W, sbsCommandResponseLength[AVERAGE_TIME_TO_EMPTY], 1, targetAddress) != sbsCommandResponseLength[AVERAGE_TIME_TO_EMPTY])
     
144.     {
     
145.         fprintf(stderr,"ERROR: Could not perform SMBus read.\r\n");
     
146.         SMBus_Close(m_hidSmbus);
     
147.         return -1;
     
148.     }
     
149.     UINT16 avgTimeToEmpty = (buffer[1] << 8) | buffer[0];
     
150.     fprintf(stderr, "Average Time to Empty = %d min(s)\r\n", avgTimeToEmpty);
     
151. 
     
152.     // Manufacturer Name [0x20]
     
153.     targetAddress[0] = MANUFACTURER_NAME;
     
154.     if (SMBus_Read(m_hidSmbus, buffer, BATTERY_SLAVE_ADDRESS_W, sbsCommandResponseLength[MANUFACTURER_NAME], 1, targetAddress) < 1)
     
155.     {
     
156.         fprintf(stderr,"ERROR: Could not perform SMBus read.\r\n");
     
157.         SMBus_Close(m_hidSmbus);
     
158.         return -1;
     
159.     }
     
160.     fprintf(stderr, "Manufacturer Name = ");
     
161.     // NOTE: Length of string is stored in first received byte
     
162.     for(int i = 1; i < buffer[0] + 1; i++)
     
163.     {
     
164.         fprintf(stderr, "%c", buffer[i]);
     
165.     }
     
166.     fprintf(stderr, "\r\n");
     
167. 
     
168.     // Check if charger is present
     
169.     // Charger Status [0x13]
     
170.     targetAddress[0] = 0x13;
     
171.     if (SMBus_Read(m_hidSmbus, buffer, CHARGER_SLAVE_ADDRESS_W, 2, 1, targetAddress) != 2)
     
172.     {
     
173.         fprintf(stderr, "ERROR: Could not perform SMBus read.\r\n");
     
174.         SMBus_Close(m_hidSmbus);
     
175.         return -1;
     
176.     }
     
177.     UINT16 chargerStatus = (buffer[1] << 8) | buffer[0];
     
178.     if (chargerStatus & 0x8000)
     
179.     {
     
180.         fprintf(stderr, "Charger connected.\r\n");
     
181.     }
     
182.     else
     
183.     {
     
184.         fprintf(stderr, "Charger NOT connected.\r\n");
     
185.     }
     
186. 
     
187.     // Success
     
188.     fprintf(stderr, "Done! Exiting...\r\n");
     
189.     SMBus_Close(m_hidSmbus);
     
190.     return 0;
     
191. }

复制代码

知识到用的时候才恨少，感觉到被有知识的大佬降维打击

---

BQ20Z955，艰难的笔记本电池解锁，终于解决：https://www.mydigit.cn/forum.php?mod=viewthread&tid=265242

尝试低成本解锁ThinkPad笔记本电池：https://www.mydigit.cn/forum.php?mod=viewthread&tid=256068

orsonzou

能读不能写也不行吧？

fangyinghh

大师们，救救我

jf201006

要先解封芯片吧

zzhbeyond

我 的惠普的是美信的芯片不知道能不能解锁

tandong

那个板华硕的电池可以吗？

飞人18

刚把联想的X200容量恢复了。查芯片的数据手册，有读寄存器数据指令的。我看3060介绍是需要芯片在完全控制状态才能改写，需要读出密码，然后用指令00写入，我的是8030芯片是厂家定制的，所以开始用ACCP读不到密码。后来买了2112小板用BE2Works搞的。2112改写了PID和VID难道不能改回来么？用芯片厂家的组态程序，FT232RL什么的多可以修改回来

wllzhk

解锁你得有datasheet，知道命令啊

fangyinghh

飞人18 发表于 2021-7-4 10:45
刚把联想的X200容量恢复了。查芯片的数据手册，有读寄存器数据指令的。我看3060介绍是需要芯片在完全控制状 ...

它otp了就改不动了，一次性烧录，无解，除非破解了软件，可是我没那个本事，只好再买一只小板，花的钱可以买个新电池了

潇扬

拆电芯用吧、

turkey99

如果没有BQ20Z955的资料，没法用指令来解锁吧，可以让其他网友读取一份没锁的固件写上，或者自己研究bin修改

gjgcsa

飞人18 发表于 2021-7-4 10:45
刚把联想的X200容量恢复了。查芯片的数据手册，有读寄存器数据指令的。我看3060介绍是需要芯片在完全控制状 ...

大神我也想修一下我的电池能不能发给我个Be2works破解版呢？

cwm126866

学习，感谢楼主分享。

老陈头

命令行是怎么学的呢？我曾经学过四五天，但是很难摸到头绪，最后不得不放弃了。

zjj2151147

拆电芯做充电宝吧。。太难了。。都可以买个新电池了。。而且每款电池用的芯片不一样。不是通吃啊。学了没用

sunbester

fangyinghh 发表于 2021-7-4 12:58
它otp了就改不动了，一次性烧录，无解，除非破解了软件，可是我没那个本事，只好再买一只小板，花的钱可 ...

打个补丁，cp2112就可以用了

梦秋寒

sunbester 发表于 2022-5-29 07:20
打个补丁，cp2112就可以用了

打什么补丁呢？

＂網亊侞凨ゞ︷

软件下载不了啊。能不能给发个软件。谢谢。

mutou555

sunbester 发表于 2022-5-29 07:20
打个补丁，cp2112就可以用了

我也遇到了同样问题，昨晚2112还可以访问电池，第二天be2works就找不到目标板了。用小板芯片厂商的软件能看到小板，好像设备管理器中驱动显示就不一样了，该怎么做呢？？？

en601931161

用电芯做个充电宝，很好用