PSA ME7.4.6 трахэн-трахен & другие непонятности

pepelxl · 19.04.2016, 22:52

Появилось свободное время и пиво, решил причесать свой блок и заодно подучить матчасть. Коммерческой выгоды для себя я не вижу, так что результаты своей пьянки выкладываю на всеобщее обозрение, тем более что до меня никто за пятнадцать лет этого не сделал.
Задачи: потереть 50 сервисных зон, чтоб диагностика не скулила о закончившимся месте. Изменить идентификатор блока на правдоподобный.
Погуглив, и почитав посты с вопрошающими, полез за сим делом в eeprom, как самое вероятное местоположения и того и другого. Но тщательно накачавшись пива ничего не нашёл. Как оказалось, гугл находит одних имбецилов с их советами.
И так, на борту eeprom 95160, flash 29f400bb, два процессора sak-c167cr-4rm.
1) Контрольная сумма в eeprom, штатная, на каждую строку своя. Считается по формуле: 10000h – (номер строки без первого нуля) – (байты с 0 по D) = перевёрнутые байты E и F.
Пример:
0470: 1E 3A 00 FE 00 00 00 00 00 00 C8 00 00 00 9B FD
10000h-47h-1Eh-3Ah-FEh-C8h=FD9B
2) Самое важное что есть в eeprom, это синхра. Располагается она в строке 590(адрес 590h-59Fh) и дублируется в следующей строке.
2016-04-19.jpg
Имеет двойной контроль в виде парных байтов. В байтах 592-595 лежит код написанный в security card. В 596-599 зеркало кода, следующие две переменённые имеют также зеркальные байты.
2+6=FF
3+7=FF
4+8=FF
5+9=FF
A+B=FF
C+D=FF
Как не сложно догадаться, контрольная сумма строки всегда будет 54F9
Строки 5B0, скорее всего, что-то типа переменного кода, на общую синхру не влияют.
3) Строки 5E0 и дубль, кодировка комплектации автомобиля, механика\автомат и т.д.
Прошуршав интернет, понял, что, заполнив вот так, блок превращается в новый:
2016-04-19 (2).jpg
Дальше используя security card, блок можно привязать к bsi и закодировать.
Все остальные данные, как я выяснил, нафиг не нужны. Их можно потереть, блок после этого заресетится и заполнит eeprom по своему усмотрению.
И того:
eeprom 95160erase.rar
4) 50 сервисных зон. Лежат они во flash, в адресах с FA00 по FBFF. Счетчик количества использованных зон находится в eeprom, в адресе 2BD. Для сброса: eeprom в 00 или испортить (блок заполнит заново), flash в FF. Если потереть только eeprom, то диагностика будет писать отсутствие сервисных зон, но при записи сервисной зоны данные не пере запишутся, а отобразятся старые(пробег, время и т.д.). Если потереть только flash, то диагностика будет отображать 50 испорченных записей.
5) Сервисные зоны лежат сплошным массивом по 10 байт: первые три идентификатор прибора\станции(или чего то там), вторые три дата в hex, следующие три пробег, последний тип диагностического прибора(я так понимаю).
С пробегом разобраться не смог, если есть кто из мотальщиков, подскажите? Очень интересно дополнить свою матчасть.
Для анализа:
0км 00
1км 0F
2км 1F
3км 2E
4км 3E
5км 4E
6км
7км 6D
8км 7D
9км 8C
10км 9C
11км AB
20км 0138
500км 1E84
43695км 0A6AEE
75351км 11F70F
6) Идентификатор прошивки записывается после прошивки блока начиная с адреса FC00, занимает по 48 байт и видимо имеет какую-то защиту.
2016-04-19 (3).jpg

Не понятно, что за три байта в конце записи, похоже на контрольку?
Не понятно, что за байты между system и software version.
Подписанные байты правишь, в диагностике они отображаются правильно, но программирование блока не начинается, пишет unlock ECU.
Найти дамп с нужной прошивкой в тырнете не смог, если у кого завалялся буду премного благодарен. Интересует 0261206626, или кастрированный 0261206419.

19.04.2016, 22:52	#1 (permalink)
pepelxl Участник тусовки Регистрация: 05.05.2014 Сообщений: 169 Вы сказали Спасибо: 9 Поблагодарили 52 раз(а) в 20 сообщениях Сказал(а) Фууу!: 2 Сказали Фууу! 0 раз(а) в 0 сообщениях Откуда: клоповник Москва Авто: Toyota liteace '92	PSA ME7.4.6 трахэн-трахен & другие непонятности Появилось свободное время и пиво, решил причесать свой блок и заодно подучить матчасть. Коммерческой выгоды для себя я не вижу, так что результаты своей пьянки выкладываю на всеобщее обозрение, тем более что до меня никто за пятнадцать лет этого не сделал. Задачи: потереть 50 сервисных зон, чтоб диагностика не скулила о закончившимся месте. Изменить идентификатор блока на правдоподобный. Погуглив, и почитав посты с вопрошающими, полез за сим делом в eeprom, как самое вероятное местоположения и того и другого. Но тщательно накачавшись пива ничего не нашёл. Как оказалось, гугл находит одних имбецилов с их советами. И так, на борту eeprom 95160, flash 29f400bb, два процессора sak-c167cr-4rm. 1) Контрольная сумма в eeprom, штатная, на каждую строку своя. Считается по формуле: 10000h – (номер строки без первого нуля) – (байты с 0 по D) = перевёрнутые байты E и F. Пример: 0470: 1E 3A 00 FE 00 00 00 00 00 00 C8 00 00 00 9B FD 10000h-47h-1Eh-3Ah-FEh-C8h=FD9B 2) Самое важное что есть в eeprom, это синхра. Располагается она в строке 590(адрес 590h-59Fh) и дублируется в следующей строке. 2016-04-19.jpg Имеет двойной контроль в виде парных байтов. В байтах 592-595 лежит код написанный в security card. В 596-599 зеркало кода, следующие две переменённые имеют также зеркальные байты. 2+6=FF 3+7=FF 4+8=FF 5+9=FF A+B=FF C+D=FF Как не сложно догадаться, контрольная сумма строки всегда будет 54F9 Строки 5B0, скорее всего, что-то типа переменного кода, на общую синхру не влияют. 3) Строки 5E0 и дубль, кодировка комплектации автомобиля, механика\автомат и т.д. Прошуршав интернет, понял, что, заполнив вот так, блок превращается в новый: 2016-04-19 (2).jpg Дальше используя security card, блок можно привязать к bsi и закодировать. Все остальные данные, как я выяснил, нафиг не нужны. Их можно потереть, блок после этого заресетится и заполнит eeprom по своему усмотрению. И того: eeprom 95160erase.rar 4) 50 сервисных зон. Лежат они во flash, в адресах с FA00 по FBFF. Счетчик количества использованных зон находится в eeprom, в адресе 2BD. Для сброса: eeprom в 00 или испортить (блок заполнит заново), flash в FF. Если потереть только eeprom, то диагностика будет писать отсутствие сервисных зон, но при записи сервисной зоны данные не пере запишутся, а отобразятся старые(пробег, время и т.д.). Если потереть только flash, то диагностика будет отображать 50 испорченных записей. 5) Сервисные зоны лежат сплошным массивом по 10 байт: первые три идентификатор прибора\станции(или чего то там), вторые три дата в hex, следующие три пробег, последний тип диагностического прибора(я так понимаю). С пробегом разобраться не смог, если есть кто из мотальщиков, подскажите? Очень интересно дополнить свою матчасть. Для анализа: 0км 00 1км 0F 2км 1F 3км 2E 4км 3E 5км 4E 6км 7км 6D 8км 7D 9км 8C 10км 9C 11км AB 20км 0138 500км 1E84 43695км 0A6AEE 75351км 11F70F 6) Идентификатор прошивки записывается после прошивки блока начиная с адреса FC00, занимает по 48 байт и видимо имеет какую-то защиту. 2016-04-19 (3).jpg Не понятно, что за три байта в конце записи, похоже на контрольку? Не понятно, что за байты между system и software version. Подписанные байты правишь, в диагностике они отображаются правильно, но программирование блока не начинается, пишет unlock ECU. Найти дамп с нужной прошивкой в тырнете не смог, если у кого завалялся буду премного благодарен. Интересует 0261206626, или кастрированный 0261206419.