Разблокировка (подбор PIN-кода) автомагнитолы BLAUPUNKT RCD 310 (RCD 510) своими руками

Доброго времени суток читающему блог!

Попросил меня один хороший человек помочь разблокировать приобретенную на разборке штатную магнитолу с автомобиля Volkswagen Passat B6. Позже выяснил, что устанавливалась в авто разных производителей (Skoda, Nissan, а может, и еще какие). Фото виновника торжества:

и бирка:

VW-1K0 035 186 AABP-7 647 201 360

Сразу оговорюсь, что процедура получения PIN-кода по серийнику магнитолы — дело совсем не сложное и в большинстве случаев услуга эта платная. Цена вопроса невелика, но это не наш путь. Я пошел по "пути самурая", который вкратце и опишу. Способ дает возможность вычислить первые две из четырех цифр кода, оставшиеся — находим методом обычного перебора (всего 100 вариантов).

В результате поиска по надписям на бирках определил, что это чудо враждебной техники называется Volkswagen BLAUPUNKT RCD 310 (возможен также вариант RCD-510). Вариант с чтением прошивок MCU и EEPROM при помощи простенькой программы "NEC D70F33xx Reader.exe" и переходника USB-TTL почему-то не сработал, хотя и сулил получение заветного кода без подбора путем отправки дампов некому обладателю тайных знаний (специального софта). Позже понял, что и это в большинстве случаев не "за спасибо", поэтому начал читать форумы. Очень помогло, но недостаточно "разжевано", как для новичка. Считать дамп микросхемы EEPROM и открыть его в HEX-редакторе — проблем абсолютно не составляет. Найти нужные адреса и исправить значения — тоже. Но вот то, что для вычисления первых двух цифр кода в формулу надо подставлять только младшие 4 бита октета — я как-то не увидел, хотя, мог просто невнимательно читать. Помогло в решении этого вопроса отличное видео от румынского товарища:

Приятное изложение и мелодичный язык. Спасибо тебе, дорогой! Хоть и сомнительно, что будешь ты это читать.

Ну а теперь по порядку. Для включения этого устройства надо подать +12В постоянного тока на контакты 15 и 16 разъема, минус можно подать на контакт 12 или прямо на металлический корпус.

После нажатия кнопки включения магнитола запросит код. После двух неправильных попыток ввода на экране появится надпись "SAFE" и возможность вводить новые варианты будет утрачена на какое-то время (пишут, что на час, но я не проверял).

Если никаких лишних цифр в виде отображения номера попытки ввода или просто надписи "SAFE" на дисплее нет, и магнитола просто предлагает ввести код, то можно ее выключать, разбирать и считывать оригинальный дамп с микросхемы.

В моем случае на плате были обнаружены MCU NEC μPD70F3358 и EEPROM ST M95128:

Нас интересует EEPROM (на фото выделен и подписан). Записывать его придется часто в ходе подбора последних двух цифр кода, поэтому изобразил импровизированный "быстросъем":

Считав оригинальный дамп можно не переживать. "Окирпичить" магнитолу будет сложно: в прошивку MCU мы не лезем.

Дамп выложил ТУТ. Почему два файла и какой был считан раньше, уже, к сожалению, не помню.

Далее, дамп надо открыть в HEX-редакторе и немного отредактировать. В диапазон адресов AE0 — CD0 записать значения FF и сохранить модифицированный файл, желательно не затерев оригинальный дамп.

Следующий шаг — записываем модифицированный дамп в микросхему и впаиваем ее на место. Включаем магнитолу. MCU обнаружит нессответствие контрольных сумм и запишет новые данные в EEPROM. В моем случае на дисплее не было никакой индикации, просто влючилась подсветка кнопок.

Выключаем магнитолу, извлекаем EEPROM и снова читаем дамп. Для вычисления первых двух цифр нам необходим этот модифицированный MCU дамп и оригинальный дамп, который мы считали вначале. Весь процесс оформил наглядно в виде картинки:

XOR в формулах — это ни что иное, как исключающее ИЛИ, XOR, строгая дизъюнкция, поразрядное дополнение, инвертирование по маске, жегалкинское сложение, логическое вычитание, логическая неравнозначность. Сам был удивлен количеством вариантов названий, но все не так уж и сложно. Любая программа-калькулятор в режиме "программист" или "программирование" (или еще как может называться) с этим легко справится. Важно не забыть переключить в режим вычислений HEX (это не от русского нех*й, а обозначение шестнадцатиричной системы счисления).

В результате этих манипуляций получим две первые цифры PIN-кода.

Далее, заливаем оригинальный дамп в микросхему, возвращаем ее в магнитолу и начинаем последовательный перебор оставшихся двух цифр. После каждой блокировки ввода (два неправильных кода) — извлекаем микросхему и опять заливаем оригинальный дамп.

В моем случае был интересный момент. Еще до считывания оригинального дампа я использовал одну попытку ввода, поэтому осталась всего одна, а это очень неудобно и долго: после каждой попытки надо заливать оригинальный дамп. Информация о попытках ввода хранится по адресам B44 — B4B. Туда я и записал значения FF. После включения и выключения у меня опять стало 2 попытки.

После недолгого перебора код был найден, магнитола включилась:

Всем мира и добра!

Запчасти и шины