概述

　　1、了解它的硬件

　　2、弄清楚如何與它交談

　　3、轉儲其庫存固件

　　4、讓它運行自定義代碼，最好利用它：

　　GPIO 引腳（用于輸入和輸出）

　　彩色顯示

　　藍牙低功耗 （BLE） 功能

　　硬件介紹

　　拆開塑料外殼，我們看到了一些有趣的東西：

　　Telink TLSR8232芯片系統（SoC）

　　0.96 英寸（160x80 像素）彩色顯示屏

　　一個約 100 mAh 的微型鋰電池和 USB 充電電路

　　振動電機

　　一個（最有可能的）假心率傳感器

　　核心組件

　　印刷電路板全圖

　　M6中的SoC是Telink TLSR8232（數據表），規格如下：

　　32位中央處理器：封閉式架構（通常稱為tc32，類似于ARM9，關于它的介紹并不多）和24 MHz 時鐘速度；

　　16kB 的 SRAM；

　　512kB 內部閃存；

　　用于低功耗模式的 32kHz 板載振蕩器；

　　用于調試和編程的 SWS（Single Wire Slave）接口；

　　集成藍牙低功耗 （BLE） 收發器；

　　低功耗運行（據稱在深度睡眠中約為 2 uA）；

　　幸運的是，就在幾個月前，研究人員在其破解的小米溫度計中看到了Telink芯片。此時，我用@atc1441 的替代固件重新刷了它。盡管它是不同的 SoC 模型，但這給了我一點希望和一個有價值的起點。

　　焊盤

　　焊盤 （Exposed-Pad），有些封裝具有裸露焊盤，用來改善器件散熱的焊盤。通常為非電氣絕緣，可根據電連接要求將其接地或電源。

　　印刷電路板底部

　　印刷電路板底部

　　除了萬用表、數據表，我什么也沒有，我試圖找到這些焊盤的連接位置。這就是我想出的：

　　單線（又名 SWire 或 SWS）接口

　　現在我們確定了手環的核心部件，如果你之前對 ESP32 進行過編程，你可能會依賴其引導加載程序并通過 UART 與它通信。如果你之前編程或調試過 ARM 微控制器，你可能使用了 SWD（串行線調試）協議。

　　在Telink-land 中，類似的接口稱為Single Wire 或SWire。這就是應用程序如何加載到其閃存中、如何讀取和寫入內存以及如何在運行時調試的方式。

　　然而，當我們嘗試了解有關此界面的更多信息時，真正的挑戰才剛剛開始。在現實世界中，這些芯片是使用Telink官方的調試工具進行調試的。

　　研究人員在找到存儲庫 TlsrTools 時，其中有對 SWire 協議的兩頁描述。這似乎是一個舊版本的Telink數據表的一部分，已經被刪除。

　　從 Pascal 到 Python

　　在編程/調試芯片時，通常有三個活動部分：

　　我們要編程的目標板

　　程序員硬件

　　與程序員通信的計算機軟件

　　計算機軟件的作用是向程序員硬件發送命令，并使其從目標板讀寫數據。由于研究人員手邊沒有Windows設備，所以我實現了一個基本的Python腳本，即 tlsr82-debugger-client.py，它作為計算機軟件組件工作。

　　我們現在可以使用這個 Python 腳本和 STM32 來解密 M6 手環中隱藏的信息。設置如下：

基于 STM32 的替代編程設置

　　SWire 規范

　　顧名思義，單線用于在兩個設備之間來回傳輸數據。在我們的例子中，STM32 編程器（主）和目標板（附屬）。沒有像 SPI 或 I2C 那樣單獨的時鐘線。單線拓撲允許兩個設備通信，但它們不能同時通信。換句話說，我們可以將 SWire 稱為異步、半雙工接口。

　　這意味著：

　　異步：由于沒有共享時鐘，兩個設備必須以某種方式采用兼容的讀寫速度；

　　半雙工：每個設備必須知道什么時候應該監聽消息，什么時候允許傳輸消息。

　　為了實現協調，SWire 協議將責任歸屬于主盤和附屬設備。主盤負責發起通信并管理數據傳輸之間的總線邏輯層。從盤負責在預期的時間發送數據。下面我將一些真實世界的例子放在一起，以便更清楚地說明這一點。

　　發送單個位

　　首先要注意的是位是如何在線路中編碼的。每個位以五個時間單位傳輸：

　　要發送 0，請保持 1 個單元的低電壓和 4 個單元的高電壓；

　　要發送 1，保持低電壓 4 個單位時間和高電壓 1 個單位；

　　具體來說，這是我用邏輯分析儀捕獲的真實 SWire 傳輸：

　　SWire 中 0 和 1 的示例

　　在上面的截圖中，標記為 25 和 26 的標志之間有 8 位正在傳輸，但是很難解碼。

　　發送單個字節

　　我們現在知道為了傳輸一個完整的字節，SWire 協議規定需要 9 位：

　　位 1：cmd 位。0 指定消息包含數據，1 指定消息是命令；

　　位 2-8：消息內容（8 位）；

　　低級別的一個時間單位表示消息結束；

　　另外，讓我們看一下 0xb0 字節的真實示例傳輸：

在 SWire 中發送一個字節的示例

　　發送最后一個低級別后，總線被釋放并恢復到其自然高電壓。換句話說，SWire 數據總線被拉高。

　　寫入請求

　　如上所述，單個位和字節是如何在線路中編碼的。接下來，我們來看看SWire協議是如何指定要寫入特定地址的字節的。在該示例中，主盤希望將一個字節b寫入從盤內存中的地址addr。

　　為此，主盤必須發送一個字節序列，每個字節都按照上一節所述進行編碼：

　　START字節，這個值總是 0x5a；

　　目標addr的最高有效8位；

　　目標addr的最低有效8位；

　　RW_ID字節，最重要的位應該設置為0，用于寫入操作；

　　字節值 b；

　　END字節，它的值始終為 0xff；

　　讓我們看看下面的例子：

　　在 SWire 中寫入數據的示例

　　在這個例子中，我們可以看到字節 0x05 被寫入從盤的內存地址 0x0602。

　　SWire 協議的變體

　　值得注意的是，至少存在一個SWire協議的變體。在另一種變體中，主盤在 START 字節之后發送 3 個字節的 addr，而不是在我們的 SWire 協議中僅發送兩個字節。例如，Telink 的 TLSR8251 SoC 中采用了 3 字節變體，用于我們上面提到的小米溫度計。在 ATC_MiThermometer 存儲庫中基于 Python 的閃光器中，我們可以看到在從主盤到從盤的讀/寫請求中指定了 3 個字節的 addr。

　　寫入多個字節

　　這是寫入單個字節要花費的能力，幸運的是，該協議讓我們一次寫入多個數據字節。為此，主盤只需發送一個字節序列，而不是像上面示例中的單個字節。