零跑电动汽车遥控钥匙拆修并学习曼彻斯特编码（Manchester Encoding）

jf201006

这还是在单位搬迁之前，同事的车钥匙进水了，说还有一把钥匙很早之前就进水了，一直用的这把。处理好后，加电测量，没有发现问题，同事到车上试了下，正常。回来后又对我说能不能修一个之前进水的那个。想着进水那么长时间了，当时里面肯定是没有及时处理的，但还是回了句，拿来看看。于是本文有了以下三部分：
I 拆修遥控钥匙
II 对发射编码的简单观察
III 曼彻斯特编码的简单介绍


一、拆修




钥匙有四个物理按键


此处可见，是打开过的


奇葩的打开方式，连外壳一起打开了，不是应该先打开机械钥匙的盖子吗？


继续


拿下主板，主控使用了Atmel的ATA5702



ATA5702是专门智能钥匙的主控芯片



进水后没有及时处理


多外水锈



电池电压


清洗后的主板


此处的划痕表示当时清理过？


这个是3D感应线圈


其实是XYZ三个方向上的线圈



其工作范围不大，主要在车辆的三个点上


装上电池，测量电压正常，让其到车上试试，结果不行，串表测了一下电流，上电后，有一段时间几毫安电流，之后观察不到电流。两个都打开，


对比测量


发现SW2（解锁键）存在短路，先清洗，依然短路，拆下


按键是好的，焊点上依然短路，又清洗板子的MCU脚，


观察不短路，测量是短路的。无奈，拆下集成块


测量板上的22脚对地不短路，芯片的22脚对地不短路又把芯片和按键焊回去


再次测量，不短路了！串表测量电流，上电没有开始的电流了待机电流6uA


发射电流7.2mA


钥匙的电路图如下


关键电压数据如下：




二、发射编码的观察

现在的车钥匙都是使用滚动码的了，所以对四个按键的发射进行5次采样，解锁键按两次，采样结果显示，每个按键按下后，会连续发送6帧数据


取一帧

一帧数据长度为95.086ms。短脉冲的长度为417us；长脉冲的长度为834us。长脉冲的宽度是短脉冲宽度的2倍以短脉冲为一位，一帧数据的位数约为228个；可以将一帧数据从较为明显外，分为三段进行观察


前半段：


数据长度为44.619ms，都是短脉冲数据位数为107后半段：


数据长度为50.874ms，由长短脉冲组成数据位数为122符合曼彻斯特（Manchester）编码的特征。以曼彻斯特IEEE 802.3编码方式，对不同按键进行观察，以解锁按键和落锁按键为例。前半段：


前107个波形都是一样的，可能是同步信号吧。后关段有点长，又分为两段：后半段1和后关段2后半段1：


后半段2：


手工解码后，找不不同


对结果的猜测


当然可以用逻辑分析仪进行解码



结果如下

对于此钥匙不做进一步的分析。  



三、曼彻斯特编码的简单介绍

（一）简介
曼彻斯特编码（Manchester coding），又称自同步码、相位编码（phase encoding，PE），是一个同步时钟编码技术，能够用信号的变化来保持发送设备和接收设备之间的同步。（在数据通信中有两种位同步方法：一种是外同步法，接收方接收编码信号，同时底盘要单独接收同步信号，从而确定自己的时钟脉冲频率；另一种是自同步法，即接收方利用包含有同步信号的特殊编码从信号自身提取同步信号来锁定自己的时钟脉冲频率，达到同步目的。曼彻斯特编码就属于后者。）

（二）常见的两种编码
1、曼彻斯特编码常用的两种定义用电压的变化来分辨0和1有两种方式：从高电平到低电平的跳变（↓）代表1，从低电平到高电平的跳变（↑）代表0 (as per G.E.Tomas编码方式)；


Tomas编码时序如下：


从高电平到低电平的跳变（↓）代表0，从低电平到高电平的跳变（↑）代表1 (as per IEEE 802.3编码方式)。


IEEE 802.3编码时序如下：


信号的保持不会超过一个比特位的时间间隔。即使是0或1的序列，信号也将在每个时间间隔的中间发生跳变。这种跳变（位同步信号）将使接收设备的时钟与发送设备的时钟保持一致。由于有以上两种不同的表示方法，所以有些地方会出现歧异，但在差分曼彻斯特编码(Differential Manchester encoding)方式中得到了克服。2、差分曼彻斯特编码（Differential Manchester encoding）差分曼彻斯特编码定义：1代表没有跳变（上一个波形在高，现在继续保持高，上一波形图在低，继续保持低）；0代表有跳变（上一个波形在高，现在必须改为低，上一波形在低，必须改为高）。


要注意的是：第一个数据是0，则从低到高，第一个是1，从高到低，后面的就看有没有跳变来决定了。差分曼彻斯特编码时序如下：


（三）曼彻斯特编码的优缺点
优点：跳变能够传递同步时钟信息，无需另发时钟同步信号，不含直流分量，具有很好的抗干扰性能，这使它更适合于信道传输。
不足：由于每一个数据都被调成两个电平，所以数据传输速率只有调制速率的1/2

曼彻斯特编码时序


谢谢观赏！祝各位坛友健康！快乐！

8139

能修么？

拿来看看吧。

最常见的对话

钥匙修好了，同事得请一顿海鲜烧烤，外加两顿小烧烤

拆机专家123

棒棒军发帖是要好过茅庐房出来的

mhtlov

不错，挺复杂

gxfx

抱着学习的态度来看贴

qrut

介绍的很详细，原来一次指令有这么多位的数据输出，感应线圈竟然也是三轴的，自己的钥匙还真没拆过～

wfzdm

不明觉厉

邪恶海盗

车是国产辊轮电驴???

bennanhaier

你这修个钥匙外带科普，就差破解了！

xilige2020

如此详细,佩服!围观,看不懂,假装学习

wqwq212

可以先拆出钥匙，然后再拆开主板。

leafchy

再研究一下是不是能破解掉

jf201006

统一回复下
想要破解把车开走，有两个难点。
一是遥控开门采用的滚动码，接收方有一个窗口期，如果滚动码在窗口期外，就是原配钥匙也打不开。二是车子的启动是需要感应握手的，就是那个3D线圈，如果没有感应握手，车子发动不起来的。

石墨

对于此钥匙不做进一步的分析
   
怎么写的戛然而止了

zhkrid

专业，这已经达到能复制遥控的级别了

piaoxue20000

破解比较难吧，据说还有防盗芯片什么的

hunter520522

电动车用遥控有点过时

yz凉风

破解需要和车主板匹配，要不然就算打开了车门也发动不了发动机。

dzztom

以楼主的水平，破解不是难事只是时间问题。

szb314

你这个逻辑分析仪 能解析 NRZI编码不？ 有谁知道哪个分析仪可以解析 NRZI编码的？ 手头只有青岛的kingst，按说可以自定义协议，就是得自己捣鼓SDK开发添加