概述

　　1、了解它的硬件

　　2、弄清楚如何與它交談

　　3、轉(zhuǎn)儲(chǔ)其庫存固件

　　4、讓它運(yùn)行自定義代碼，最好利用它：

　　GPIO 引腳（用于輸入和輸出）

　　彩色顯示

　　藍(lán)牙低功耗 （BLE） 功能

　　硬件介紹

　　拆開塑料外殼，我們看到了一些有趣的東西：

　　Telink TLSR8232芯片系統(tǒng)（SoC）

　　0.96 英寸（160x80 像素）彩色顯示屏

　　一個(gè)約 100 mAh 的微型鋰電池和 USB 充電電路

　　振動(dòng)電機(jī)

　　一個(gè)（最有可能的）假心率傳感器

　　核心組件

　　印刷電路板全圖

　　M6中的SoC是Telink TLSR8232（數(shù)據(jù)表），規(guī)格如下：

　　32位中央處理器：封閉式架構(gòu)（通常稱為tc32，類似于ARM9，關(guān)于它的介紹并不多）和24 MHz 時(shí)鐘速度；

　　16kB 的 SRAM；

　　512kB 內(nèi)部閃存；

　　用于低功耗模式的 32kHz 板載振蕩器；

　　用于調(diào)試和編程的 SWS（Single Wire Slave）接口；

　　集成藍(lán)牙低功耗 （BLE） 收發(fā)器；

　　低功耗運(yùn)行（據(jù)稱在深度睡眠中約為 2 uA）；

　　幸運(yùn)的是，就在幾個(gè)月前，研究人員在其破解的小米溫度計(jì)中看到了Telink芯片。此時(shí)，我用@atc1441 的替代固件重新刷了它。盡管它是不同的 SoC 模型，但這給了我一點(diǎn)希望和一個(gè)有價(jià)值的起點(diǎn)。

　　焊盤

　　焊盤 （Exposed-Pad），有些封裝具有裸露焊盤，用來改善器件散熱的焊盤。通常為非電氣絕緣，可根據(jù)電連接要求將其接地或電源。

　　印刷電路板底部

　　印刷電路板底部

　　除了萬用表、數(shù)據(jù)表，我什么也沒有，我試圖找到這些焊盤的連接位置。這就是我想出的：

　　單線（又名 SWire 或 SWS）接口

　　現(xiàn)在我們確定了手環(huán)的核心部件，如果你之前對(duì) ESP32 進(jìn)行過編程，你可能會(huì)依賴其引導(dǎo)加載程序并通過 UART 與它通信。如果你之前編程或調(diào)試過 ARM 微控制器，你可能使用了 SWD（串行線調(diào)試）協(xié)議。

　　在Telink-land 中，類似的接口稱為Single Wire 或SWire。這就是應(yīng)用程序如何加載到其閃存中、如何讀取和寫入內(nèi)存以及如何在運(yùn)行時(shí)調(diào)試的方式。

　　然而，當(dāng)我們嘗試了解有關(guān)此界面的更多信息時(shí)，真正的挑戰(zhàn)才剛剛開始。在現(xiàn)實(shí)世界中，這些芯片是使用Telink官方的調(diào)試工具進(jìn)行調(diào)試的。

　　研究人員在找到存儲(chǔ)庫 TlsrTools 時(shí)，其中有對(duì) SWire 協(xié)議的兩頁描述。這似乎是一個(gè)舊版本的Telink數(shù)據(jù)表的一部分，已經(jīng)被刪除。

　　從 Pascal 到 Python

　　在編程/調(diào)試芯片時(shí)，通常有三個(gè)活動(dòng)部分：

　　我們要編程的目標(biāo)板

　　程序員硬件

　　與程序員通信的計(jì)算機(jī)軟件

　　計(jì)算機(jī)軟件的作用是向程序員硬件發(fā)送命令，并使其從目標(biāo)板讀寫數(shù)據(jù)。由于研究人員手邊沒有Windows設(shè)備，所以我實(shí)現(xiàn)了一個(gè)基本的Python腳本，即 tlsr82-debugger-client.py，它作為計(jì)算機(jī)軟件組件工作。

　　我們現(xiàn)在可以使用這個(gè) Python 腳本和 STM32 來解密 M6 手環(huán)中隱藏的信息。設(shè)置如下：

基于 STM32 的替代編程設(shè)置

　　SWire 規(guī)范

　　顧名思義，單線用于在兩個(gè)設(shè)備之間來回傳輸數(shù)據(jù)。在我們的例子中，STM32 編程器（主）和目標(biāo)板（附屬）。沒有像 SPI 或 I2C 那樣單獨(dú)的時(shí)鐘線。單線拓?fù)湓试S兩個(gè)設(shè)備通信，但它們不能同時(shí)通信。換句話說，我們可以將 SWire 稱為異步、半雙工接口。

　　這意味著：

　　異步：由于沒有共享時(shí)鐘，兩個(gè)設(shè)備必須以某種方式采用兼容的讀寫速度；

　　半雙工：每個(gè)設(shè)備必須知道什么時(shí)候應(yīng)該監(jiān)聽消息，什么時(shí)候允許傳輸消息。

　　為了實(shí)現(xiàn)協(xié)調(diào)，SWire 協(xié)議將責(zé)任歸屬于主盤和附屬設(shè)備。主盤負(fù)責(zé)發(fā)起通信并管理數(shù)據(jù)傳輸之間的總線邏輯層。從盤負(fù)責(zé)在預(yù)期的時(shí)間發(fā)送數(shù)據(jù)。下面我將一些真實(shí)世界的例子放在一起，以便更清楚地說明這一點(diǎn)。

　　發(fā)送單個(gè)位

　　首先要注意的是位是如何在線路中編碼的。每個(gè)位以五個(gè)時(shí)間單位傳輸：

　　要發(fā)送 0，請(qǐng)保持 1 個(gè)單元的低電壓和 4 個(gè)單元的高電壓；

　　要發(fā)送 1，保持低電壓 4 個(gè)單位時(shí)間和高電壓 1 個(gè)單位；

　　具體來說，這是我用邏輯分析儀捕獲的真實(shí) SWire 傳輸：

　　SWire 中 0 和 1 的示例

　　在上面的截圖中，標(biāo)記為 25 和 26 的標(biāo)志之間有 8 位正在傳輸，但是很難解碼。

　　發(fā)送單個(gè)字節(jié)

　　我們現(xiàn)在知道為了傳輸一個(gè)完整的字節(jié)，SWire 協(xié)議規(guī)定需要 9 位：

　　位 1：cmd 位。0 指定消息包含數(shù)據(jù)，1 指定消息是命令；

　　位 2-8：消息內(nèi)容（8 位）；

　　低級(jí)別的一個(gè)時(shí)間單位表示消息結(jié)束；

　　另外，讓我們看一下 0xb0 字節(jié)的真實(shí)示例傳輸：

在 SWire 中發(fā)送一個(gè)字節(jié)的示例

　　發(fā)送最后一個(gè)低級(jí)別后，總線被釋放并恢復(fù)到其自然高電壓。換句話說，SWire 數(shù)據(jù)總線被拉高。

　　寫入請(qǐng)求

　　如上所述，單個(gè)位和字節(jié)是如何在線路中編碼的。接下來，我們來看看SWire協(xié)議是如何指定要寫入特定地址的字節(jié)的。在該示例中，主盤希望將一個(gè)字節(jié)b寫入從盤內(nèi)存中的地址addr。

　　為此，主盤必須發(fā)送一個(gè)字節(jié)序列，每個(gè)字節(jié)都按照上一節(jié)所述進(jìn)行編碼：

　　START字節(jié)，這個(gè)值總是 0x5a；

　　目標(biāo)addr的最高有效8位；

　　目標(biāo)addr的最低有效8位；

　　RW_ID字節(jié)，最重要的位應(yīng)該設(shè)置為0，用于寫入操作；

　　字節(jié)值 b；

　　END字節(jié)，它的值始終為 0xff；

　　讓我們看看下面的例子：

　　在 SWire 中寫入數(shù)據(jù)的示例

　　在這個(gè)例子中，我們可以看到字節(jié) 0x05 被寫入從盤的內(nèi)存地址 0x0602。

　　SWire 協(xié)議的變體

　　值得注意的是，至少存在一個(gè)SWire協(xié)議的變體。在另一種變體中，主盤在 START 字節(jié)之后發(fā)送 3 個(gè)字節(jié)的 addr，而不是在我們的 SWire 協(xié)議中僅發(fā)送兩個(gè)字節(jié)。例如，Telink 的 TLSR8251 SoC 中采用了 3 字節(jié)變體，用于我們上面提到的小米溫度計(jì)。在 ATC_MiThermometer 存儲(chǔ)庫中基于 Python 的閃光器中，我們可以看到在從主盤到從盤的讀/寫請(qǐng)求中指定了 3 個(gè)字節(jié)的 addr。

　　寫入多個(gè)字節(jié)

　　這是寫入單個(gè)字節(jié)要花費(fèi)的能力，幸運(yùn)的是，該協(xié)議讓我們一次寫入多個(gè)數(shù)據(jù)字節(jié)。為此，主盤只需發(fā)送一個(gè)字節(jié)序列，而不是像上面示例中的單個(gè)字節(jié)。