Предисловие

Те, кто занимается безопасностью Интернета транспортных средств, обязательно будут заниматься диагностикой UDS, но, если у них нет доступа к реальным проектам, не существует практической платы с открытым исходным кодом, которая могла бы выполнить реальную диагностику UDS. В Интернете можно только прочитать некоторые теоретические знания. это не очень приятно.

Я купил набор исходного кода UDS_bootloader у Xianyu. В настоящее время я ознакомился с функциями нескольких сервисов UDS и напишу эту статью, чтобы рассказать, как практиковать диагностику UDS с помощью платы разработки STM32.

Поскольку статью в публичном аккаунте нельзя изменить после ее публикации, последующие читатели могут перейти на Yuque для просмотра последней версии документа:

https://www.yuque.com/hxfqg9/iot/mawulsqfigf258x7

Прошивку можно скачать с Yuque или github.

https://github.com/yichen115/STM32_UDS_Demo/releases

Кроме того, эта статья не предполагает объяснения теоретических знаний. Вам нужно найти другие статьи в Интернете, чтобы изучить или прочитать стандартные документы напрямую.

Аппаратное оборудование

Поговорим о том, как сэкономить комплект Аппаратного оборудования.

Первый — это основной корпус, плата разработки STM32F103ZE, которая используется для запуска нашего кода UDS.

Еще есть CAN-контроллер TJA1050, который используется для преобразования сигналов CAN. Тот, который продается на Taobao, по умолчанию не имеет разъемов для контактов. Если у вас есть паяльник, вы можете припаять разъемы для облегчения подключения проводов DuPont.

CAN-отладчик, используемый для установления связи CAN с STM32. Неважно, какой марки я привык использовать PCAN.

Jlink или другие программисты, которые могут прошивать STM32, используются для прошивки прошивки для STM32. Обратите внимание, что лучше всего покупать один с кабелем, который может напрямую соединять отладчик и STM32. В противном случае вы можете найти шелковую ширму для подключения кабеля Dupont. .

Наконец, есть несколько линий Dupont.

Аппаратная проводка

Аппаратное подключение показано ниже.

Jlink можно напрямую подключить к плате разработки STM32 через кабель. Интерфейс USB на правой стороне STM32 представляет собой последовательный порт для просмотра журналов UART.

RX TJA1050 подключен к PA11 STM32, TX подключен к PA12 STM32, VCC подключен к 5 В STM32, а GND подключен к GND STM32.

CANH TJA1050 подключен к CAN_H CAN-анализатора, CANL подключен к CAN_L CAN-анализатора (здесь в качестве примера взят PCAN)

Прошивка

После установки Jflash откройте его и выберите «Новый проект».

Нажмите на три точки, введите STM32F103ZE в поле ввода, чтобы отфильтровать его, выберите короткую точку ниже и нажмите «ОК».

Перетащите обе прошивки в окно файла данных справа, затем нажмите Target -> Production Programming Прошить прошивку (шестнадцатеричный Все файлы записывают информацию об адресе и могут быть записаны напрямую)

Затем откройте инструмент отладки последовательного порта, установите скорость передачи данных на 115200, нажмите кнопку сброса, чтобы проверить, есть ли вывод, следующий вывод указывает, что это нормально

UDS-связь

UDS определяет ряд служб, каждая служба имеет свой собственный идентификатор, то есть SID (идентификатор службы). Далее давайте испытаем фактическую диагностическую связь UDS через плату разработки.

22 Чтение данных через ID

22 Служба пройдена ID Чтение данных, например чтение текущего статуса сеанса. ID 是F1 86,Тогда вы можете использовать7DF # 03 22 F1 86прочитать текущую сессию,ловить Получение данныхF1 86с последующимиз01Текущее состояние сеанса

существовать 14229 В стандартах их гораздо больше. ID,напримерF1 90читать VIN код и т. д. (плата разработки еще не реализована), а производители также будут настраивать ID

10 Контроль диагностического сеанса

использовать7DF # 03 22 F1 86читать当前会话

切换到扩展会话7DF # 02 10 03然后 0x22 читать会话确认一下7DF # 03 22 F1 86,Обычно существует, продлевает сеанс для выполнения некоторых операций с высоким уровнем привилегий.,Например, чтение и запись данных

Переключиться на сеанс программирования7DF # 02 10 02В это время, если вы наблюдаете за последовательным портом, вы можете увидеть, что вы вошли в bootloader В коде состояние сеанса существования обычно используется для операций, связанных с флэш-памятью и записью.

Если при входе в сеанс не по умолчанию вы не отправите 3E вовремя для поддержания сеанса, через некоторое время он вернется к сеансу по умолчанию.

Обслуживание сеанса 3E

Как упоминалось в предыдущих 10 службах, если обслуживание сеанса не отправлено вовремя, через некоторое время он вернется к сеансу по умолчанию. Служба обслуживания сеанса — 3E, которая имеет две подфункции: 00 и 80.

7DF # 02 3E 00выразить потребностьдиагноз Служитьзакончить ответ

7DF # 02 3E 80Указывает на отсутствие необходимостидиагноз Служитьзакончить ответ,Специфика исполнения в том, что вы не получите ответ после его отправки.

27 безопасный доступ

В это время вам следует обратить внимание на различие между физической адресацией и функциональной адресацией. 7DF Для функциональной адресации все ECU можно получить, хотя наш эксперимент только STM32 Это плата, но на реальной машине ее точно нет, и ее могут делать разные производители. ЭБУ, алгоритм разблокировки безопасного доступа должен быть другим, поэтому 27 При обслуживании должна использоваться физическая адресация, укажите, какая ECU

Но все эти вещи определены в коде. Откуда нам знать? Мы можем использовать инструмент CaringCaribou для его обнаружения. Например, результат моего обнаружения: 0x721.

Тогда вы можете запросить seed Понятно,отправлять721 # 02 27 01发现报错Понятно

Проверьте ответ NRC, поскольку текущее состояние сеанса не поддерживает эту операцию.

Затем переключитесь на расширенный сеанс7DF # 02 10 03,然后отправлять维持会话7DF # 02 3E 80,Запросите еще раз, чтобы получить семя

Но мы не знаем, как вычислить ключ по сиду. В этот раз нам нужно декомпилировать прошивку и проанализировать логику.

могу поставить app.hex Перетащите в IDA внутри с ARM Открыть в формате с прямым порядком байтов, строку поиска я поставил SeedToKey строка плюссуществовать Понятно代码里方便定位😋

Вы можете увидеть конкретную логику, преобразовав ее в псевдокод. a1 — это переданное начальное число, а v2 — рассчитанный ключ.

Пусть ChatGPT напишет скрипт Python для расчета

def factory_security_seed_to_key(seed):
    seed = int.from_bytes(seed.to_bytes(4, 'little'), 'big')  #Переключение большого и малого порядка байтов
    xor = 0x4368656e  # ASCII "Chen"
    key = seed ^ xor
    print(f"Key after xor: 0x{key:08X}")
    for i in range(32):
        if key & 0x80000000:
            key = (key << 1) ^ xor
        else:
            key = key << 1

    return key & 0xFFFFFFFF # Ограничено 32-битными целыми числами.

seed_value = 0x34023105  # Замените это значение фактическим начальным значением.
result = factory_security_seed_to_key(seed_value)
print(f"Seed: 0x{seed_value:08X}, Key: 0x{result:08X}")

Запросить торрент

вычислить

Вернуть ключ, успешно пройти безопасный доступ

Если вы отправите неправильный ключ несколько раз, вы получите отрицательный ответ, указывающий на то, что количество попыток разблокировки достигло установленного верхнего предела.

11 Функция сброса

Расширенные сеансы расширения,再отправлять7DF # 02 11 01

Вы можете наблюдать перезапуск устройства через последовательный порт, что имеет тот же эффект, что и нажатие кнопки сброса.

TODO

Потому что получается, что продавец продает UDS_bootloader , то есть через UDS Флэш-обновление app из,Поэтому многие функции не реализованы,Нет необходимости реализовывать из. Разобравшись с функциями, которые он сейчас реализует, я попробую написать что-нибудь сам.,Если вам нужен исходный код, добавьте меня в приватный чат.,Люди продают деньгииз东西就不公开发出来Понятно(Совесть, но не очень)

Если в статье есть какие-то недоразумения, мастера подскажут.