Разборка прошивки электросамоката Xiaomi M365

Коллеги, прочитал пару страниц и понял что все обсуждают кастомные прошивки, но также понял что это рисковое дело. 

А есть тема где обсуждают оригинальные прошивки?

vetal88 а че там в стоковой прошивке обсуждать? прошил и катайся.. самокат овощ и наката нет. После кастом на сток вообще не пересяду никогда. ну а риск он везде есть (благо все детали доступны и не дорого)... но так как уже есть полная прошивка - то в любой момент можно контроллер восстановить.

Отдав нехилую сумму благочинному за ремонт.

Перешел на кастом - катался сутки. Нажал тормоз на горке, предохранитель на батарее выгорел позже, чем вся цепь 42-5.

Добр день, проверил с загрузчиком от сяо и со своим самопальным boot-ом - прошивка верная - но без активации.

QEMU ругалась на отличия параметров инициализации PLL - но ето не суть, в окирпиченном контроллере от ЕС2 - снова теплится жизнь.

Адреса аппликухи и бекаппа для найнбота выложу - как только руки доберутся нарисовать картинку.
Я правильно понимаю? - для даунгрейда - потребуется подсунуть свою ДНС c пониженной версией? - по БЛЕ снимать поздно - версию 1.2.2 уже не раздает сигвей, а из контроллеров считать аппликуху флеш ридером по уарту - надо 2 езкемпляра? Пысы - есть ли надежда на андроид приложение по типу m365-freedom - только для найнботов?

Без активации - само собой, она хочет того же, чего и прошивки М365 - копию UID в секции настроек.

Бут от М365 нуждается в патчах, у ES2 другие адреса секций update, настроек, параметров обновления:

ES2:

08000000 bootloader
08001000 app
0800E800 update
0801C000 app_config
0801F800 upd_config

M365:

08000000 bootloader
08001000 app
08008400 update
0800F800 app_config
0800FC00 upd_config

и другие пины для сигнала включения DC-DC (ES2: PA11, M365: PC15) и стоп-сигнала (ES2: PB9, M365: PA15, используется бутом для индикации ошибок, у ES2 кстати как раз на PA15 внутренний светодиод, сойдёт и так)

Пропатчил, моргание оставил на PA15, остальное поправил, вроде нигде не ошибся.bootES2.zip

Для даунгрейда был готовый комплект софта для какого-то Ninebot Mini, возможно подойдёт. Потряс разработчика M365_DownG добавить поддержку ES2, пока ни слуху ни духу. Дойдут руки - сам что-нибудь сделаю (решение "в лоб" -  декомпилировать их приложение, поправить заголовок пакета, собрать назад).

По слитию прошивок есть одна мысль: залить ну очень маленький "апдейт"-сливальщик, который перезапишет всего один сектор (2к), слить через него и реконструировать недостающее, подглядывая в 1.3.3 и прошивки М365 - несколько муторно, но возможно.

проверю, не уверен что я правильные настройки по адресу 0800F800 кладу...

отпишусь по результатам.

С этим бутом настройки нужно класть по 0801C000. Для старта критичны только 4 байта по +0 (magic), правильный UID по +1B4 и вменяемый серийный номер по +20.

По указанным адресам бутлоадер вычитывает uid и сравнивает? Или же сама аппликейшн? И порядок копирования в сеттингс uid чипа - LE?

UID сравнивается в APP. Порядок байтов - LE.

Там ещё кстати какие-то флажки выставляются в зависимости от знаков серийного номера:

- если SN[3] равен P/T/R/W/S (в смысле любая из этих букв) - один флажок

- если SN вида xxxxx1723xxxxx - другой флажок

- если SN[3]==R - ещё что-то

Серийный номер по умолчанию: N2GEA1601C0001 - не подходит ни под одно из этих условий. Серийный номер виденного в сервисе живого ES2 подходит под первое (у него буква Т).

Частично нашел что за варианты с серийными номерами:

SN[3]  P/T/R/W/S - у таких моделей выше максимальная скорость (34 км/ч против 23 км/ч, если не ошибаюсь)

xxxxx1723xxxxx - у таких другое подключение датчиков Холла (обратный порядок подключения и сами сигналы инвертированные )

Флаг внутренний или в сетингсах?

Внутренний, это само делается при старте, просто информация как некоторые знаки серийного номера влияют на поведение.

Эти буквы и скорости по всей видимости ES1/ES2, у ES1 ниже мощность и скорость.

не только, еще они могут значить разные регионы - при попытке активировать контроллер приложением найнбота - серийник N2GEA**** - принимает за китайский регион - и активировать можно только при наличии китайской (или тайваньской) симки....

BLE.bin - на девките от нордика (NRF51822) запустился только с softdfevice(ака БЛЕ стек) - версии s110 - адресс приложения 0х18000 - ида на запчасти не разобрала.... пока что ))))

Есть новости по кастомному приложению для найнбота? - подсунуть свой бинарник для найнбот ЕС было бы неплохо.

кстати - BLE.bin - увы определяется по блутусу как N3M-Ninebot-M.... видимо не хватает каких то сеттингсов с флеши ((((

Это имя изменяется контроллером и зависит от серийника.

Каким контроллером? Это же блутус чип - и в прошивке есть оба варианта как мини, так и ес - по стрингам в бинарнике видно. И адвертайзил только блутус чип нордика, без подключения к силовому контроллеру найнбота

Контроллером, который в самокате стоит, его серийный номер влияет на это поле, и оно физически перезаписывается. Я сравнивал дампы до и после этого процесса.