搭载 PL1167 RF2.4G 芯片的灯光遥控器协议逆向分析
0. 简要介绍
买了个外观不错且价格无比诱人的 RF2.4G 灯光遥控器,准备用来控制我的鱼缸 LED 灯,无奈商家不提供相关资料,只卖配套的接收器,所以这里土法上马,自己逆向下其协议,权当学习。
1. 采集基本信息
拆开遥控器,看到了电路板,非常简单,主电路就两个 IC,一个 PL1167,一个磨掉了型号。不用想就可以确定磨掉了型号的 IC 必然是一个 MCU。
1.1 PL1167 芯片的概况
Google 了关键字发现 PL1167 是国产的低成本 RF 2.4G 通讯芯片。支持 SPI 与 I2C 接口。
PL1167 的官网不让下载查看数据手册,这里非常奇怪,一个民用的普通芯片居然不让直接下载数据手册,难道是有什么见不得人的地方?也许芯片设计是 rip off 过来的?呵呵。
通过网络搜索得知 PL1167 的寄存器与 LT8900/LT8920 兼容,所以下面的分析以 LT8920 的中文数据手册作为参考。
1.2 电路分析
通过对比 Datasheet 的典型应用电路和通过万用表判断引脚连接,确认 PL1168 与被抹去型号的单片机使用 SPI 总线接口相连接。
由于单个遥控器的单价仅 9 元,这里推测 MCU 使用的应该是最便宜的国产 8 位单片机。
1.3 测试运行
将示波器的探头接入电路上的晶振,按下遥控器按钮,使用示波器自动挡捕获波形。可以看到 12MHz 的 sine 波形,说明晶振已起振,RF 电路应该能够正常运行。更深入的射频方面的检查也没法具体执行,因为我的示波器只有 100M 模拟带宽。
按下遥控器按钮的同时遥控器上的 LED 点亮,且 SPI 总线的 SPI_CLK 时钟脚也有方波信号,说明单片机也基本能够正常工作。
2. 连接分析用的硬件
这里使用了国产山寨 Saleae 的 USB 逻辑分析仪,四个通道分别用飞线焊接的手法接上 PL1167 芯片的 SPI 总线相关引脚。
这里因为 PL1167 的封装很小,实际飞线是焊接在 MCU 的引脚上的。
3. 数据捕获
Saleae 软件设置为通过 PL1167 的 SPI_SS 的“Trigger on Negative Pulse Width”模式触发。
启动 Saleae 软件的捕获功能,并按下遥控器的某个键,单片机到 RF IC 的 SPI 总线上出现了如下数据:
这里手工整理如下:
07 00 00 34 80 80 32 07 5A 2D 12 01 09 0E B8 07 01 04
07 00 00 34 80 80 32 07 5A 2D 12 01 09 0E B8 07 01 27
07 00 00 34 80 80 32 07 5A 2D 12 01 09 0E B8 07 01 4A
查 LT8900 的数据手册得知 SPI 总线上的数据是以三个字节为一个 SPI_SS 周期进行发送/接收的。格式为:
<寄存器编号> <参数字节1> <参数字节2>
这里有个例外是 50 寄存器,可以通过一个 SPI_SS 周期读写单个字节,其他的都是以两个字节 16 位为一个 SPI_SS 周期进行读写操作。
以上三行数据为一个重复 Pattern,重复了多次出现。分析原因应该是没有接收方, ACK 失败,RF 芯片多次重试发射造成的。
4. 数据分析
第一组字节 07 00 00
0x07 表示操作寄存器 7,00 00 表示命令芯片进入 idle 状态。
第二组字节 34 80 80
0x34 表示操作寄存器 52,0x80 二进制为 10000000B,表示同时清空 TX 和 RX 两个 FIFO 缓冲区
第三组、第四组、第五组字节 32 07 5A
0x32 表示操作寄存器 50,意图为写入 FIFO 缓冲区,也就是把数据给 RF 芯片准备发送。
综上分析,也即是按下一个按钮,会无线发送 8 字节的数据,即:
07 5A 2D 12 01 09 0E B8
第一个字节 07 推测就是给接收方使用的数据长度,后续是指令数据。
遥控器不同的按钮发送的数据应该就是只有这里不同。
第六组字节 07 01 04
0x07 还是表示操作寄存器 7,0x01 表示命令芯片进入 TX 状态进行发送,后面 0x04 表示频道。
遥控器会分别依次尝试 0x04、0x27、0x4A 三个无线频道。如果没有接收方,就会尝试多次重复发送。
5. 后话
第二天晚上准备接着分析的时候电源开错了,送了个 14V 进去当场烧短路,就又淘宝买了两个遥控器在路上,土逼抗体牛。
