蓝德电动车防盗报警器拆解和原理图逆向

啊啊斑斑驳驳

使用到的工具：
软件：
        1. Visual Studio 2022，微软IDE
        2. NeoProgrammer，CH341B上位机
        3. DSview，DSLogic逻辑分析仪上位机
        4. KiCAD，开源EDA
        5. GIMP，开源图像编辑软件
硬件：
        1. CH341B编程器
        2. DSLogic逻辑分析仪
        3. DS1052E示波器


防盗报警器功能介绍：
【1】设定警戒防盗
停车关闭电门锁后，按“锁”键，喇叭响一声，表示进入防盗警戒状态，推动车子或受到振动时，喇叭会连续大叫15秒，同时防盗系统将电机抱死，使盗窃者很难把车推走，按解锁键解除此状态
【2】解除防盗
解除警戒状态，按一下解锁键，喇叭响两声，警戒解除；在机车遥控启动状态下按一下解锁键，机车会立即断电，表示熄火成功（注：用钥匙启动时该功能失效）
【3】遥控启动
连按两下闪电键，喇叭响一声，表示机车会一直运转，可做免钥匙驾驶
【4】寻车功能（三键式无此功能）
防盗警戒状态，按铃铛键，喇叭响5声，告诉车主车辆位置，，按任意键停止此状态
【5】提示设定防盗（可选项）
停车关闭电门锁，，约5秒后未设定防盗，防盗系统会发出提示声，提醒车主设定防盗
【6】调节灵敏度（三键式无此功能）
机车熄火状态下，长按铃铛键直至喇叭出现短响声，响一声，表示灵敏度为1级（最高），响两
声为二级，依次类推，共分四级灵敏度，四级为最低
【7】防抢功能
行驶中遇悍匪强抢，可在有效遥控距离范围内按锁键喇叭强烈报警，并配合控制器锁死电机，按解锁键解除
【8】超速提醒（此功能适用于国标车）
在车辆运行中，当车辆 速度超过15公里每小时，报警器会发出声音进行提醒
(来自：电动车防盗报警器一键锁死解除 免钥匙快速寻车 提示设定遥控警报 (1688.com))



拆解：
这个防盗器是防水的，上下盖使用超声波焊接在一起，只能暴力拆解。我使用电钻配合小砂轮沿着焊缝切开的。




高清PCB图：
PCB图使用开源图像编辑软件GIMP拼接而成。拍摄的不好，但足够清晰。PCB正面原图分辨率为5944x6432，为了上传这里把图片缩放为1848x2000。






电路原理图逆向：
原理图绘制使用开源EDA KiCAD。


电源：

供电电压从32V到64V，测得供电电流、输出电压和几个元件两端的电压。


蜂鸣器驱动电路：
来自单片机的两路互补PWM波驱动该电路。


实测PWM驱动波形：

死区1 ，大约6微秒。

死区2 ，大约6微秒。

EEPROM电路：


电机锁定信号输出：
输出低电平给电动车控制器，由控制器锁死电机。



电门锁检测：
当电门锁关闭时，ACC=0V，U1-1=0V；电门锁打开时，ACC=48V，经过R34和D9稳压后输出5V到U1-1，U1-1=5V。48V和ACC中间的电路不知道起什么作用。



433M超再生接收电路：
与淘宝出售的315/433M接收模块的电路大致相同。图中的电感电容没有标注数值，一是因为我没有LCR表，二是因为图中的电容值很小，我手里的万用表测不准，就没有拆下来测量数值。电路复杂，不会分析。



推动/振动检测：
当车子振动时，弹簧和磁铁跟着振动，在电感两端产生电压波形。这个电路很灵敏，轻轻敲击PCB就能触发。




波形图：
黄色，电感L5的波形；
蓝色，LM324 13脚波形；


黄色，电感L5的波形；

蓝色，LM324 14脚波形；


黄色，电感L5的波形；

蓝色，LM324 10脚波形；


黄色，电感L5的波形；

蓝色，LM324 8脚波形（输入到单片机的波形）；



单片机：
没有丝印，不知道什么型号。






EEPROM数据：
系统上电第388ms，MCU从EEPROM 地址：0x18开始读取2Byte，数据为：0xA4,0xFF；第649ms，从地址：0x40开始读取8Byte，数据为：0x7B,0xDD,0x50,0x3D,0x52,0xD0,0x08,0x06。
起初猜测地址：0x18处的数据为遥控器地址，后使用STC90C52写了个简单的程序模拟EV1527码型，然后将STC90C52输出脚接到解码模块的输出脚，即U1-8脚。对该地址下的所有按键值遍历后，发现0xA4,0xFF不是遥控器地址。对0xA4,0xFF取反后，又遍历所有按键值，报警器依然没有反应。
常见的遥控码型还有PT2262，但是我放弃了，没有测试。
由于模拟EV1527码型程序是为了测试而写的，所以就使用软件延时模拟波形，程序本身没什么参考价值，就不放程序了。
使用CH341B配合NeoProgrammer上位机导出EEPROM数据，使用visual studio查看。



使用梦源的DSLogic逻辑分析仪记录EEPROM波形以及解码。dsl文件需要使用DSView查看。



附件：
所有图片、波形文件、BIN文件和原理图（PDF版）均已上传到百度网盘。链接: https://pan.baidu.com/s/1mmfHTnf4n9qanQjYC9RpgA?pwd=k33g 提取码: k33g

tjzbf

有破解之法吗

hunter12345678

谢谢分享  真下功夫了

xuguangqi08

应该是一类组合脉冲信号

aacyxjz

看起来很厉害的样子，顶顶

sjtx1971

难得的技术文，学习了

啊啊斑斑驳驳

tjzbf 发表于 2023-5-25 13:59
有破解之法吗

主要是不知道使用的单片机型号，也没办法导出程序，就不能直接分析程序。此外还可以侧信道攻击和遍历所有地址和键值。第一，没必要为了这个去买一套侧信道攻击设备，我也不是职业黑客，只是拆开看看而已。第二，ev1527有20bit地址码和4bit按键值，共有16777215个值。每秒测试一个值需要194天才能遍历完。所以现在是没有破解的方法的，也完全没必要。

啊啊斑斑驳驳

xuguangqi08 发表于 2023-5-25 14:14
应该是一类组合脉冲信号

这类防盗报警器的遥控器大多数都是ev1527编码，只是我没有遥控器也不知道设备地址。知道了设备地址也就不需要这么费劲了。

lifjt

这种待机电流都会大于7MA了。要是有铁将军那种小于1MA小于2MA的资料就好了。

kgmx

拆测的挺详 细

兔包公

优秀文章…确实很厉害

tomyluo

用的串联稳压电路如果用低电流DC-DC待机耗电电流能小很多吧

lichengde

图文并茂很好难得的技术拆解贴学习了

919333773

谢谢分享

x067

我以为是电动车的控制器。

xjmar

分析的不错，谢谢分享。

lookball

我捡过几个电动车报警器里面大概就是这样的。

car0010

楼主的技术是大牛，不过关于防盗器的说明，期中有一条，我觉得可以补充一下

【4】寻车功能（三键式无此功能）
防盗警戒状态，按铃铛键，喇叭响5声，告诉车主车辆位置，，按任意键停止此状态

【6】调节灵敏度（三键式无此功能）
机车熄火状态下，长按铃铛键直至喇叭出现短响声，响一声，表示灵敏度为1级（最高），响两
声为二级，依次类推，共分四级灵敏度，四级为最低

三键其实是省略了，但是无论固件还是IC，本来是支持的，只不过没有做实体按键而已，以我自己的雅迪为例

3键遥控，没有寻车键，只有解锁，启动，防盗 三个按键


拆开可以看见，电路板也是三键的，没有隐藏的按键，



背面



主控IC SC2241A


查看IC的说明书，发现是支持 K0,K1,K2,K3 总共4个按键的，查看电路板，发现K0是空脚，没有使用





对应过孔位置，可以发现，K1是启动，K2是防盗，K3是解锁，短接公共地的过孔旁的电阻以及K0引脚，车辆有寻车的声音，证明程序是4脚的，
所以设定灵敏度是可以用尖的镊子，短接公共地以及K0引脚实现
【6】调节灵敏度（三键式无此功能）
机车熄火状态下，短接K0以及公共地，模拟寻车按键，直至喇叭出现短响声，响一声，表示灵敏度为1级（最高），响两声为二级，依次类推，共分四级灵敏度，四级为最低

buyuliang

这个可以有

juncheng

技术贴，不错。