Разблокировка магнитолы FORD
Наткнулся на компе на папку, в которой лежат материалы по разблокировке фордовской магнитолы, которой я занимался некоторое время назад. Поскольку информация на сей счёт в сети довольно скудная, решил поделиться :)
Итак, началось всё с того, мой друг dj_romanov год назад купил подержаный Ford Focus II. На нём стояла минимальная штатная магнитола - Ford 5000c, кассетная. Единственное достоинство этого аппарата - отличное радио, которое даже в Твери при хорошей проходимости ловит московские радиостанции. Ну и, пожалуй, то, что "морда" магнитолы сделана заподлицо с панелью.
Продавец сообщил код магнитолы, который записали почему-то в мой мобильник. Мобильник спустя полгода благополучно скончался.
Внезапно, оказалось, что с фордом проводили какие-то регламентные работы в сервисе, и отключали аккумулятор. Магнитола попросила код, который, как выяснилось, никто не знает :) Ну попробовали методом тыка поподбирать, после 10 попыток магнитола послала нас, сказав, что посылает нас, написав на экране LOCKED :)
Я полез шарить в интернете на предмет методов разблокировки. Нашёл пару калькуляторов, которые считают коды для M, L и C серий, но у нас оказалась пресловутая V-серия, за разблок которой просили около полутора тысяч рублей. Друг съездил к "официальному" дилеру, где ему сказали, что пока она запрашивала код, они могли бы помочь за те же полторы тысячи, а так "уже никто не поможет, разве что умельцы, которые разблокируют, и то навряд ли".
Прикинув, что цена магнитоле тысяча рублей в базарный день, решил я поковырять её сам. Поизучав форумы, выяснилось, что в магнитоле есть EEPROM, в котором лежит дополнение кода и количество попыток ввода. "Влоб", понятное дело, изменить их нельзя, т.к. есть алгоритм проверки контрольной суммы. Я снял с платы EEPROM (обычный 24C16 в корпусе SOT-23-5), приделал на проводках панельку и начал эксперименты. Первым делом поменяв счётчик попыток, получил на экране всё то же "LOCKED". Стало понятно, что не всё так просто :) Слил через JTAG прошивку с процессора, но разбирать её не улыбало особо (там довольно сложно всё, проверка магнитолы ещё завязана на общении по CAN-шине).
И тут подумалось - раз EEPROM в корпусе SOT-23-5, запаян на плату "насмерть", значит начальную инициализацию производят командами по интерфейсу. Следовательно, с чистой флешкой магнитола должна стартануть. Забил всё содержимое 24C16 значениями FF (типа чистый флеш), вставил её, и получил опять LOCKED :(
На этом месте я расстроился, и два дня девайс не трогал. Потом ещё поигрался разными значениями - всё безрезультатно. Затем я попробовал включить магнитолу без флешки... И она, написав на экране "UNCONFIGURED", включилась! Правда, не запоминала настройки и радиостанции, и при каждом включении писала "UNCONFIGURED". "Ага", сказали мужики :) Следовательно, процедура инициализации всё же есть.
После некоторого раздумья, я забил EEPROM значениям 00. И вуаля, с надписью "UNCONFIGURED", но магнитола всё же включилась! И даже запоминала настройки :) Надпись, правда, при каждом включении немного напрягала, но всё же магнитолой стало можно пользоваться.
После нескольких экспериментов, в EEPROM'е была найдена область (как раз где счётчик попыток), которую достаточно забить нулями, чтобы магнитола не спрашивала кода, но и не писала матерных слов. После чего была водружена на место :)
Итак, началось всё с того, мой друг dj_romanov год назад купил подержаный Ford Focus II. На нём стояла минимальная штатная магнитола - Ford 5000c, кассетная. Единственное достоинство этого аппарата - отличное радио, которое даже в Твери при хорошей проходимости ловит московские радиостанции. Ну и, пожалуй, то, что "морда" магнитолы сделана заподлицо с панелью.
Продавец сообщил код магнитолы, который записали почему-то в мой мобильник. Мобильник спустя полгода благополучно скончался.
Внезапно, оказалось, что с фордом проводили какие-то регламентные работы в сервисе, и отключали аккумулятор. Магнитола попросила код, который, как выяснилось, никто не знает :) Ну попробовали методом тыка поподбирать, после 10 попыток магнитола послала нас, сказав, что посылает нас, написав на экране LOCKED :)
Я полез шарить в интернете на предмет методов разблокировки. Нашёл пару калькуляторов, которые считают коды для M, L и C серий, но у нас оказалась пресловутая V-серия, за разблок которой просили около полутора тысяч рублей. Друг съездил к "официальному" дилеру, где ему сказали, что пока она запрашивала код, они могли бы помочь за те же полторы тысячи, а так "уже никто не поможет, разве что умельцы, которые разблокируют, и то навряд ли".
Прикинув, что цена магнитоле тысяча рублей в базарный день, решил я поковырять её сам. Поизучав форумы, выяснилось, что в магнитоле есть EEPROM, в котором лежит дополнение кода и количество попыток ввода. "Влоб", понятное дело, изменить их нельзя, т.к. есть алгоритм проверки контрольной суммы. Я снял с платы EEPROM (обычный 24C16 в корпусе SOT-23-5), приделал на проводках панельку и начал эксперименты. Первым делом поменяв счётчик попыток, получил на экране всё то же "LOCKED". Стало понятно, что не всё так просто :) Слил через JTAG прошивку с процессора, но разбирать её не улыбало особо (там довольно сложно всё, проверка магнитолы ещё завязана на общении по CAN-шине).
И тут подумалось - раз EEPROM в корпусе SOT-23-5, запаян на плату "насмерть", значит начальную инициализацию производят командами по интерфейсу. Следовательно, с чистой флешкой магнитола должна стартануть. Забил всё содержимое 24C16 значениями FF (типа чистый флеш), вставил её, и получил опять LOCKED :(
На этом месте я расстроился, и два дня девайс не трогал. Потом ещё поигрался разными значениями - всё безрезультатно. Затем я попробовал включить магнитолу без флешки... И она, написав на экране "UNCONFIGURED", включилась! Правда, не запоминала настройки и радиостанции, и при каждом включении писала "UNCONFIGURED". "Ага", сказали мужики :) Следовательно, процедура инициализации всё же есть.
После некоторого раздумья, я забил EEPROM значениям 00. И вуаля, с надписью "UNCONFIGURED", но магнитола всё же включилась! И даже запоминала настройки :) Надпись, правда, при каждом включении немного напрягала, но всё же магнитолой стало можно пользоваться.
После нескольких экспериментов, в EEPROM'е была найдена область (как раз где счётчик попыток), которую достаточно забить нулями, чтобы магнитола не спрашивала кода, но и не писала матерных слов. После чего была водружена на место :)