Ломаем еще один квадрик: вандализация с элементами реверс-инжиниринга

Уже давненько я описывал внутренности одного квадрика, старая статья здесь.
Воды с тех пор много утекло, я обещался написать цель реверса, да так и не собрался. Тем более, проект просто заглох — я хотел сделать игрушку-дирижабль на базе квадрика, но гелий оказалось купить непросто — большие баллоны дорогие, а маленькие никто поблизости не продавал. Возиться с водородом — судьбу Гинденбурга повторять не хотелось.

Тем не менее, протокол был вскрыт более глубоко, разобрался, как биндинг работает. Удалось запустить digital motion processor MPU-6050 малой кровью — та библиотека, которой все сейчас пользуются, дюже толстая.

И все это потом использовалось для управления пенопластовым самолетиком, которым на Али барыжат дешевле, чем за два евро. Вы мне потом напомните? — я все это расскажу в следующий раз.

Недавно на почту с Али упала реклама — кто-то продавал квадрик с бесщеточными моторами, с избеганием препятствий и камерой с разрешением 100500К. И за все про все просили 15 евро.
-Да, Холмс, но… как это возможно?
Посмотрел на том же Али — действительно, продают запасные платы к таким квадрикам, на которых собраны 4 ESC для управления двигателями.


Квадрик мне с моим состоянием здоровья нужен, как рыбе зонтик — запустить я его все равно не смогу. Но как все это сделано уж больно интересно было, тем более в интернетах ничего не нашлось.

Как и следовало ожидать, чуда не произошло. Дело в том, что продается модель E99s, богатая на плюшки и более простые модели с почти таким же названием. Пришла же самая дешевая модель, хотя в описании продавец накопипастил про самую навороченную.


Хотел написать продавцу — «Борис, ты не прав». Но, похоже, на Али очередные перемены. Пообщаться в продавцом не удалось — не успел нажать кнопку для отправки сообщения, вылезло сообщение от Али — мы уже все решили и вернем тебе больше половины уплаченной суммы. А я распинался, душевное письмо писал… А этот бездушный автомат…
Ну как в анекдоте — «а поцеловать?»

Тем не менее, в этом квадрике нашлась одна интересная фишка, которой можно пользоваться для своих мирных целей и она почему-то никем не описана. По крайней мере гугл не помог.

Но давайте все-таки по порядку. Во-первых, чем это поделие отличается от дешевых наладонных квадриков, которые уже десяток лет выпускаются? Поставили датчик давления, который позволяет очень эффективно держать высоту. Ну и камеру, общающуюся по WiFi добавили.
Все это хозяйство приходит в сумочке — мелочь, а приятно.


Сам коптер в сборе весит около 94 грамм. Из них около 9 грамм камера и около 19 грамм батарейка. Судя по весу, обман с ее емкость не такой и большой — всего в 2-3 раза (декларировано 1800 мАч).


Оставим камеру на сладкое, а пока посмотрим что у самой игрушки внутрях.
Дешевые коллекторные моторчики на раскладных «руках», глазки-светодиодики и плата управления.


На верхней стороне платы, помимо прочей ерунды, установлена микросхема IMU — гироскоп и акселерометр в одном лице, что конкретно за зверь — по маркировке мне опознать не удалось. Рядом — датчик давления, тот самый, который позволяет автоматически поддерживать высоту полета. Скорее всего, произведен NXP, очень напоминает древний MPL115A2, но, определенно, что-то более свежее.


Из интересного на другой стороне платы — микроконтроллер из китайской серии «аналогофнет» без маркировки и трансивер. Я бы сказал, что это XN297LBW, но ключ почему-то на другой стороне. Ох уж эта загадочная китайская душа!


Надо отдать должное, эта XN297LBW имеет значительно большую выходную мощность по сравнению с nRF24L01, функциональным аналогом которой она вроде бы является — 13 dBm (20 мВт) против 0 dBm (1 мВт). Прямо их заменять не получится, преамбулы у них разные и у XN297L есть несколько недокументированных регистров. XN297 по ножкам и подключению совпадает с nRF24L01, а у XN297L столько внешних компонентов уже не требуется, что позволило ее упаковать в 8-ногий корпус — XN297LBW. Только обычный 4-проводной SPI пришлось поменять на 3-проводной.
Ничего больше интересного нет, и системы обнаружения препятствий не обнаружено.
Теоретически она простая, один инфракрасный приемник и несколько инфракрасных светодиодов, переключающихся один за другим. Но дьявол всегда в деталях, хотелось бы посмотреть, как это реально сделано. Но смотреть не на что.

Разъем для подключения камеры трехвыводный. Два — питания и еще один — последовательный интерфейс. А вот это интересно, и копнем чуть глубже, может пригодиться, например, для внешнего управления квадриком или целой стаей таковых.

Теперь займемся камерой.
Плата внутри корпуса болтается никак не закрепленная. На ней какой-то микроконтроллер, скорее всего разработан для систем видеонаблюдения.


Один разъем припаян, к нему подключена камера. Скорее всего, разрешение не лучше VGA. Есть место под второй разъем для камеры — у каких-то дронов установлено две камеры, одна смотрит вперед, вторая вниз.

При включении питания появляется открытая сеть.

nmap -p-  192.168.1.1
Starting Nmap 7.80 ( https://nmap.org ) at 2024-04-24 14:45 EEST
Nmap scan report for _gateway (192.168.1.1)
Host is up (0.0019s latency).
Not shown: 65533 closed ports
PORT     STATE SERVICE
5007/tcp open  wsm-server-ssl
7070/tcp open  realserver

И еще есть скрытый IP, который никогда не отвечает:


Может можно что-то увидеть с помощью обычно браузера, но дальше разбираться было в лом — вроде как и не нужно.

Сеть поддерживает единственное соединение, что сильно усложняет исследование — просматривать все нужно с телефона.

Теперь скачиваем приложение RC FPV для телефона, подключаем телефон к новообразовавшейся сети и запускаем приложение. Видим изображение с камеры и на этом фоне элементы управления.


При этом на выходе TX появляются импульсы. Вот это нам и нужно.


Подключаем логический анализатор и видим, что у нас простейший асинхронный интерфейс 19200 бод. С частотой 50 Герц идут пачки импульсов, стартовый импульс 0х66, завершающий — 0х99, предпоследний — контрольная сумма. Между ними — 5 байт данных.



Четыре я расписал, а последний ведет себя как-то странно — обычно это нуль, но время от времени проскакивают какие-то битики. Зачем — не знаю, но того, что уже нашлось, вполне достаточно. Ниже я разрисовал что и для чего нужно. Не обессудьте, если что перепутал местами.


Можно вместо камеры поставить какой-нибудь ESP и его помощью контролировать полет квадрика.
Думаю, этой информации достаточно, чтобы запускать свою стаю дронов, используя дешевые квадрики, как заготовки.