Ноя 04, 2015
Дано: Навигационный терминал Fort-112 3g от пермской компании Fort Telecom.
Задача: минимум - узнать явки и пароли, максимум - получить полное управление коробкой.
Погнали.
Как всегда, идём на сайт производителя, вникаем в мануалы. Понимаем, что одними смсками мы коробку не победим; она привязана к списку телефонных номеров и, мало того, хочет знать пароли. В этом месте производителю зачёт!:)
Ок... Для конфигурации устройства нам нужна некая софтина под кодовым названием «Конфигуратор». Здесь ждёт небольшой сюрприз. Если «Конфигуратор» можно найти на просторах интернета, то с драйверами явная проблема. Хорошо, просим софт у производителя... Ииии... в России есть странная особенность - у нас очень любят выпустить недопродукт, а-ля конструктор, накрутить поверх страшнючее ПО и никому ничего не давать:) Исключение, пожалуй, Александр Ерасов.
Александр Евгеньичу пламенный привет:) А мы продолжим.
Я не зря упомянул про конструктор... Смотрим на чём собран прибор - до боли знакомый сто пиновый микроконтроллер STM32F4 от швейцарской компании STMicroelectronics. Это значит, что прошивка коробки практически у нас в руках.
Для начала, конечно же, читаем даташит, смотрим распиновку, находим ногу BOOT0, смотрим куда распаяна.
Ставим джампер в этом месте...
Теперь наша коробка будет стартовать в Device Firmware Update Mode (больше, чем на 5 сек.) с доступом ко всем разделам памяти.
Отлично, дальше нужно скачать пакет программ DfuSe c сайта st.com. Устанавливаем. Запускаем DFUSE Demo. Втыкаем коробку в USB порт. Подаём питание. Смотрим, что получилось.
Шикарно!:) Смотрим права на Internal Flash, именно эта часть памяти нам понадобится.
Полный доступ по всем фронтам. Это радует:) В секции Upload Action выбираем место, куда сохранять дамп памяти, жмём кнопарь Upload.
На выходе получаем файл с раширением .dfu... Запускаем программу DFU File Manager, делаем из .dfu multi BIN file (это важно, если править .dfu напрямую, будет много матюгов на CRC файла при обратных действиях) и открываем в HEX редакторе.
Собственно, вот оно. Довольно много интересного для зоркого взгляда американского наблюдателя.
Заливка исправленной прошивки происходит ровно таким же образом, но наоборот... с небольшим финтом ушами:)
С этой коробкой пока всё. Ещё три на подходе:))))
upd 28.04.2017:
FORT Monitor
FORT-112 All
ГЛОНАСС
Окт 08, 2015
Расшифрованная и, чтобы не делала killout всем подряд, немного подхаченная процедура dbo.clcsp_MainCalculator3 из БД TRANSNAVI - Автоматизированная Система Учёта Транспортной Работы, НПП «Транснавигация».
USE [TRANSNAVI]
GO
SET ANSI_NULLS ON
GO
SET QUOTED_IDENTIFIER ON
GO
-- =============================================
-- Author: Dmitriy Def
-- Create date: 24.09.2015
-- Description: Encrypt
-- =============================================
--ОСНОВНАЯ ПРОЦЕДУРА ЯДРА
ALTER PROCEDURE [dbo].[clcsp_MainCalculator3Hack]
AS
set nocount on
--временная таблица
create table #NRD(NRD_Identificator int)
declare @CurDate datetime
declare @CurInt int
declare @OldInt int
declare @ServiceDay int
set @ServiceDay=0
--Вносим строчку в журнал
insert into Logs values(GetDate(),'ЗАПУСК СЛУЖБЫ',0)
set @OldInt=-1
-------------------------------------------------------------------------------------------------------------------------
--ОСНОВНОЙ ЦИКЛ
-------------------------------------------------------------------------------------------------------------------------
StartService:
--читаем основные параметры
declare @enable_BDI bit
set @enable_BDI=case when dbo.fn_GetParam('enable_BDI','0')='1' then 1 else 0 end
declare @enable_kernel bit
set @enable_kernel=case when dbo.fn_GetParam('enable_kernel','1')='1' then 1 else 0 end
declare @enable_digithandle bit
set @enable_digithandle=case when dbo.fn_GetParam('enable_digithandle','0')='1' then 1 else 0 end
declare @enable_failwindow bit
set @enable_failwindow=case when dbo.fn_GetParam('enable_failwindow','1')='1' then 1 else 0 end
declare @enable_hotwindow bit
set @enable_hotwindow=case when dbo.fn_GetParam('enable_hotwindow','1')='1' then 1 else 0 end
declare @enable_kkphandle bit
set @enable_kkphandle=case when dbo.fn_GetParam('enable_kkphandle','1')='1' then 1 else 0 end
declare @enable_nariadcross bit
set @enable_nariadcross=case when dbo.fn_GetParam('enable_nariadcross','1')='1' then 1 else 0 end
declare @enable_navhandle bit
set @enable_navhandle=case when dbo.fn_GetParam('enable_navhandle','1')='1' then 1 else 0 end
declare @enable_rasphandle bit
set @enable_rasphandle=case when dbo.fn_GetParam('enable_rasphandle','1')='1' then 1 else 0 end
declare @enable_tablohandle bit
set @enable_tablohandle=case when dbo.fn_GetParam('enable_tablohandle','0')='1' then 1 else 0 end
--определяем сколько раз в минуту запускать обработчик
declare @startperminute int
set @startperminute=cast(dbo.fn_GetParam('clc_startperminute','4') as int)
declare @startonmin int
if (@startperminute>0) and (@startperminute<=60)
set @startonmin=60/@startperminute
else
set @startonmin=15
declare @failkeep int
set @failkeep=cast(dbo.fn_GetParam('clc_failkeep','7') as int)
declare @handlegraphdelta int
set @handlegraphdelta=cast(dbo.fn_GetParam('clc_handlegraphdelta','30') as int)
--если не разрешают запускать ядро, то выходим
if @enable_kernel=0 return(0)
--ждем время запуска службы
set @CurDate=GetDate()
set @CurInt=DatePart(hour,@CurDate)*3600+DatePart(minute,@CurDate)*60+DatePart(second,@CurDate)
while (@CurInt % @startonmin<>0) or (@CurInt=@OldInt)
begin
waitfor delay '00:00:01'
set @CurDate=GetDate()
set @CurInt=DatePart(hour,@CurDate)*3600+DatePart(minute,@CurDate)*60+DatePart(second,@CurDate)
end
set @OldInt=@CurInt
--Определяем дату наряда
declare @NariadDate datetime
declare @ND_Identificator int
declare @CurTime int
set @NariadDate=@CurDate
set @CurTime=DatePart(hour,@NariadDate)*60+DatePart(minute,@NariadDate)-180
set @NariadDate=Cast(Floor(Cast(@NariadDate as float))as datetime)
if @CurTime<0
begin
set @CurTime=1440+@CurTime
set @NariadDate=DATEADD(day,-1,@NariadDate)
end
set @ND_Identificator=dbo.fn_GetNariadIndex(@NariadDate)
--Если время по чисам системы 3:00, то выполняем ряд процедур по инициализации следующего дня
if @CurInt between 10800 and 10860
begin
if DatePart(day,@CurDate)<>@ServiceDay
begin
set @ServiceDay=DatePart(day,@CurDate)
--Очищаем оперативную навиацию
truncate table Nav
--Очищаем таблицу
truncate table Nav_cur
--Очищаем LOG
truncate table Logs
--очищаем рабочую таблицу связок
truncate table NRDCPLink
--Очищаем файл паркового опроса
if dbo.fn_TableExists('tbParkOpros')=1 truncate table tbParkOpros
--Очищаем отметки по ККП
if dbo.fn_TableExists('tbFreeNav')=1 truncate table tbFreeNav
--Очищаем пересечения наряда
if dbo.fn_TableExists('tbNariadInfo')=1 delete from tbNariadInfo where ND_Identificator<@ND_Identificator-@failkeep
--очищаем горячее окно
if dbo.fn_TableExists('tbErrorLog')=1 delete from tbErrorLog where ND_Identificator<@ND_Identificator-@failkeep
--очищаем окно нарушений
delete from tbMainWindow where ND_Identificator<@ND_Identificator-@failkeep
truncate table tbMainWindow_cur
--Очищаем оперативную цифровую модель
if dbo.fn_TableExists('tbDigitPos')=1 truncate table tbDigitPos
--обрабатываем новые мониторинговые таблицы
insert into jobs (ND_Identificator,NRD_Identificator,JB_MinCalcTime,JB_MaxCalcTime,JB_MinCalcOrder,JB_MaxCalcOrder,JB_Command,NSIT_UniqueID)
select ND_Identificator,NRD_Identificator,0,1439,-10000,1000000,1,NSIT_UniqueID
from tbBaseNariad where ND_Identificator=@ND_Identificator
end
end
--блок криптографической проверки
if (@CurInt % 3600)=0
begin
declare @bad bit
declare @alv_res int
declare @spid smallint
declare @spid_str varchar(15)
set @bad=0
if not exists(select * from TRANSNAVI.dbo.sysobjects where name='crysp_alv' and xtype='P') or
not exists(select * from TRANSNAVI.dbo.sysobjects where name='crysp_dcb' and xtype='P') or
not exists(select * from TRANSNAVI.dbo.sysobjects where name='crysp_dcl' and xtype='P') or
not exists(select * from TRANSNAVI.dbo.sysobjects where name='crysp_gm' and xtype='P') or
not exists(select * from TRANSNAVI.dbo.sysobjects where name='cryfn_gsn' and xtype='FN') set @bad=1
else begin
exec @alv_res=dbo.crysp_alv 255
if @alv_res<0 set @bad=0
end
if @bad=1
begin
--всех убить
declare killcur cursor
local
for
select spid from master.dbo.sysprocesses sp
inner join master.dbo.sysdatabases db on sp.dbid=db.dbid
where db.name='TRANSNAVI' and spid<>@@spid
open killcur
fetch next from killcur into @spid
while @@fetch_status=0
begin
set @spid_str=cast(@spid as varchar)
exec ('KILL '+@spid_str)
fetch next from killcur into @spid
end
close killcur
deallocate killcur
--и выйти
return(-1);
end;
end
--если это первый вызов минуты, то набираем задание
if (@CurInt % 60)=0
begin
--очищаем таблицу
truncate table #NRD
--заполняем ее новыми значениями
insert into #NRD(NRD_Identificator)
select NRD_Identificator from tbBaseNariad
where (ND_Identificator=@ND_Identificator) and (NSIT_UniqueID>0) and
(NRD_ExitPark-@handlegraphdelta<=@CurTime and @CurTime<=NRD_EnterPark+@handlegraphdelta)
--Очищаем окно нарушений от старых данных (которых нет в задании)
delete from tbMainWindow_cur where not exists(select top 1 * from #NRD where tbMainWindow_cur.NRD_Identificator=#NRD.NRD_Identificator)
end
--Вносим строчку в журнал
insert into Logs values(GetDate(),'ВЫЗОВ',0)
--Проверяем скорость поступления данных
declare @CountBefore int
declare @CountAfter int
declare @MaxInsSpeed int
set @MaxInsSpeed=cast(dbo.fn_GetParam('clc_maxinsspeed','10') as int)
set @CountBefore=(select count(*) from Nav_buf)
waitfor delay '00:00:01'
set @CountAfter=(select count(*) from Nav_buf)
if @CountAfter-@CountBefore>@MaxInsSpeed
begin
insert into Logs values(GetDate(),'ВЫЗОВ ОТМЕНЕН',0)
goto StartService
end
--Обновляем таблицу связанных КП
delete from NRDCPLink
where
not exists
(
select top 1 * from tbBaseNariad
where NRDCPLink.NRD_Identificator=tbBaseNariad.NRD_Identificator
)
insert into NRDCPLink(ND_Identificator,NRD_Identificator,NSIT_UniqueID,CP_Identificator,CNRD_EndStation)
select distinct BN.ND_Identificator,BN.NRD_Identificator,BN.NSIT_UniqueID,CN.CP_Identificator,CN.CNRD_EndStation
from tbBaseNariad BN inner join tbCardNariad CN on BN.NRD_Identificator=CN.NRD_Identificator
where not exists
(
select top 1 * from NRDCPLink
where NRDCPLink.NRD_Identificator=BN.NRD_Identificator
)
--Этап 0. Цифровая модель
if (@enable_digithandle=1)
begin
insert into
Logs values(GetDate(),'Начало цифровой модели',0)
exec dgtsp_CalcNavPosition @ND_Identificator
insert into Logs values(GetDate(),'Конец цифровой модели',0)
end
--Этап 1. Окапывание
declare @NRD_identificator int
declare @JobCount int
declare @JB_identificator uniqueidentifier
declare @JB_MinCalcTime int
declare @JB_MaxCalcTime int
declare @JB_MinCalcOrder int
declare @JB_MaxCalcOrder int
declare @JB_Command int
declare @NSIT_UniqueID int
declare @RowCount int
declare @RowResult int
set @RowCount=cast(dbo.fn_GetParam('clc_rowcount','10000') as int)
declare @MaxRestToCalc int
set @MaxRestToCalc=cast(dbo.fn_GetParam('clc_maxresttocalc','300') as int)
declare @BufCount int
set @BufCount=(select count(*) from nav_buf)
if (@enable_navhandle=1)
begin
insert into Logs values(GetDate(),'Начало Окапывания',@BufCount)
exec clcsp_LinkCurNavToCP3 @RowCount,@RowResult output
insert into Logs values(GetDate(),'Конец Окапывания',@BufCount)
if @RowResult>@MaxRestToCalc
begin
goto StartService
end
end
--Этап 2. Обработка
exec clcsp_GetCalcCur3
set @JobCount=(select count(*) from Jobs)
insert into Logs values(GetDate(),'Начало Обработки',@JobCount)
declare JobCur cursor
local
for select JB_Identificator,ND_Identificator,NRD_Identificator,JB_MinCalcTime,JB_MaxCalcTime,JB_MinCalcOrder,JB_MaxCalcOrder,JB_Command,NSIT_UniqueID
from Jobs
open JobCur
fetch next from JobCur into
@JB_Identificator,@ND_Identificator,@NRD_Identificator,@JB_MinCalcTime,@JB_MaxCalcTime,@JB_MinCalcOrder,@JB_MaxCalcOrder,@JB_Command,@NSIT_UniqueID
while @@fetch_status=0
begin
--пересчитываем график
if (@enable_rasphandle=1) exec clcsp_Calc3 @ND_Identificator,@NRD_Identificator,@JB_MinCalcOrder,@JB_MaxCalcOrder
--пересчитываем окно нарушений
if (@enable_failwindow=1) exec dspsp_MainWindow @NRD_Identificator
--пересчитываем горячее окно
if (@enable_hotwindow=1) exec dspsp_HotWindow @NRD_Identificator
--пересчитываем приезд отъезд от конечных
if (@JB_Command & 2)<>0
begin
if (@enable_kkphandle=1) exec dspsp_CalcFreeNav2 @NSIT_UniqueID
end
--вычисляем основные параметры графика (раз в минуту)(кол-во рейсов по плану)
exec dspsp_CalcGraph_minute @ND_Identificator,@NRD_Identificator,@CurTime
--расчитываем данные для БДИ
if (@enable_BDI=1) exec msgsp_FormRasp @NSIT_UniqueID,0
--удаляем график из задания
delete from #NRD where NRD_Identificator=@NRD_Identificator
--удаляем выполненное задание
delete from Jobs where JB_Identificator=@JB_Identificator
--переходим к следующему заданию
fetch next from JobCur into
@JB_Identificator,@ND_Identificator,@NRD_Identificator,@JB_MinCalcTime,@JB_MaxCalcTime,@JB_MinCalcOrder,@JB_MaxCalcOrder,@JB_Command,@NSIT_UniqueID
end
close JobCur
deallocate JobCur
insert into Logs values(GetDate(),'Конец Обработки',@JobCount)
--если это последний вызов минуты, то отрабатываем оставшиеся графики
if (@CurInt % 60)+@startonmin>=60
begin
set @JobCount=(select count(*) from #NRD)
insert into Logs values(GetDate(),'Начало Оперы',@JobCount)
declare cur cursor
local
for
select NRD_Identificator from #NRD
open cur
fetch next from cur into @NRD_Identificator
while @@fetch_status=0
begin
declare @leftlim int
declare @rightlim int
--перекрашиваем график
if (@enable_rasphandle=1)
begin
exec clcsp_CalcCurLimits @NRD_Identificator, @CurTime, @CurTime, 3, @leftlim OUTPUT , @rightlim OUTPUT
exec clcsp_ColorGraph3 @ND_Identificator,@NRD_Identificator,@leftlim,@rightlim,1
end
--пересчитываем окно нарушений
if (@enable_failwindow=1) exec dspsp_MainWindow @NRD_Identificator
--пересчитываем горячее окно
if (@enable_hotwindow=1) exec dspsp_HotWindow @NRD_Identificator
--вычисляем основные параметры графика (раз в минуту)
exec dspsp_CalcGraph_minute @ND_Identificator,@NRD_Identificator,@CurTime
--переходим к следующему графику
fetch next from cur into @NRD_Identificator
end
close
cur
deallocate cur
insert into Logs values(GetDate(),'Конец Оперы',@JobCount)
end
--расчет данных для табло
if (@enable_tablohandle=1)
begin
insert into Logs values(GetDate(),'Начало табло',0)
exec tblsp_CalculateTablo
insert into Logs values(GetDate(),'Конец табло',0)
end
goto StartService
ГЛОНАСС
Апр 20, 2015
Межгалактический ниндзя
Продолжаем тянуть кота за яйцы. Пришло время выудить из коробки ценную информацию. Надо что-то ответить на приветствие. Вопрос дня: Что именно?
Ответ, по-моему, очевиден. Сформируем сообщение от имени навигатора, внедрим произвольный айдишник, отправим на сервер сбора данных, который работает с данным типом устройств, посмотрим, что ответит. Мы же не забыли записать дефолтные адрес и порт? Вперёд!
#coding: utf-8
import socket, binascii # импортируем модуль socket и модуль binascii для конвертации
from textwrap import wrap # импортируем из модуля textwrap функцию wrap
from crc import crc16 # импортируем нашу функцию для расчёта контрольной суммы
def decToReverseHex(st):
st = str(hex(int(st)))[2:] # из введённого devID делаем hex строку
if len(st) % 2 != 0: # добавляем ноль, если количество символов нечётное
st = '0' + st
st = wrap(st, 2) # разбираем по два символа
st.reverse() # меняем местами
st = ''.join(st) # собираем
return st
devID = raw_input ('devID: ') # вводим идентификатор устройства
data = '00006400010000000000060002000200' + decToReverseHex(devID) + '000004000000000000' # внедряемся в хвост
data = '7e7e1c000200' + crc16(data) + '02000000000000' + data # считаем контрольную сумму и собираем весь пакет
print 'Out: ' + data
sock = socket.socket() # создаём сокет в переменной sock
sock.connect(('XXX.XXX.XXX.XXX', 4900)) # соединяемся с сервером
sock.send(binascii.unhexlify(data)) # отправляем
data = sock.recv(1024) # смотрим, что ответит
sock.close() # закрываемся
print 'In: ' + data.encode('hex')
Запускаем, вводим devID...
devID: 140978
Out: 7e7e1c00020050e60200000000000000006400010000000000060002000200b22602000004000000000000
In: 7e7e0e00020001ab020000000001000000000000000000000000000000
И ещё раз, но с другим айдишником...
devID: 100562
Out: 7e7e1c00020035a00200000000000000006400010000000000060002000200d28801000004000000000000
In: 7e7e0e00020001ab020000000001000000000000000000000000000000
Дубль три.
devID: 128455
Out: 7e7e1c000200abfc0200000000000000006400010000000000060002000200c7f501000004000000000000
In: 7e7e0e00020001ab020000000001000000000000000000000000000000
Ответ всё время один и тот же: нули и их контрольная сумма.
Хорошо, допилим серверный скрипт, посмотрим на реакцию коробки.
#coding: utf-8
import socket, binascii # импортируем модуль socket и модуль binascii для конвертации
from textwrap import wrap # импортируем из модуля textwrap функцию wrap
def reverseHex(st):
st = wrap(st, 2) # разбираем строку в список по два символа
st.reverse() # разворачиваем
st = ''.join(st) # собираем обратно
st = int(st, 16) # переводим в десятичное исчисление
return st
sock = socket.socket() # создаём сокет в переменной sock
sock.bind(('', 4900)) # связываем sock с 4900 портом
sock.listen(1) # слушаем кого-нибудь одного
conn, addr = sock.accept() # принимаем соединение
conn.settimeout(60) # если за минуту не придут никакие данные, закрываемся
print 'Connected:', addr # ой, кто же там?
data = conn.recv(1024) # получаем 1024 байта данных
hdata = data.encode('hex') # делаем из бинарных данных human friendly hex
print 'In: ' + hdata # смотрим, что получили
print 'devID: ' + str(reverseHex(hdata[62:68]))
data = '7e7e0e00020001ab020000000001000000000000000000000000000000' # наш ответ на привет
print 'Out: ' + data
conn.send(binascii.unhexlify(data)) # отправляем
while True:
data = conn.recv(1024) # слушаем коробку в цикле
if not data: # если нет данных, закругляемся
print 'Not data!'
break
print 'In: ' + data.encode('hex')
conn.close() # сливаемся
Ииииииии???
Connected: ('217.66.158.77', 53468)
In: 7e7e1c00020050e60200000000000000006400010000000000060002000200b22602000004000000000000
devID: 140978
Out: 7e7e0e00020001ab020000000001000000000000000000000000000000
In: 7e7e5200020089390200000000000001006500010000000000000067d234552ffeb5170f847726e000090009006301f400000011010200000000000000000000000000000000000000a1f401001a01000008000200000000000801020000000000
In: 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
In: 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
In: 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
In: 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
Партизан заговорил.
К слову, идентификатор устройства больше нигде не фигурирует. Достаточно один раз обозначить себя в начале разговора... и можно втюхивать что угодно. Хороший повод задуматься:)
To be continued...
ГЛОНАСС
Апр 18, 2015
Инопланетные фразеологизмы.
И так, во второй части обхода нам досталось хитрое сообщение от коробки:
7e7e1c00020050e60200000000000000006400010000000000060002000200b22602000004000000000000
На самом деле, хитрого здесь мало. Нас интересуют всего три вещи - b22602
, 50e6
и 1c
. В лучших традициях железного хардкора, шестнадцатиричные изречения следует читать на арабский манер справа налево. Добавляем в наш слушающий скрипт функцию, которая будет переворачивать всё это дело и переводить в более удобную для понимания десятичную форму.
#coding: utf-8
import socket # импортируем модуль socket
from textwrap import wrap
def reverseHex(st):
st = wrap(st, 2) # разбираем строку в список по два символа
st.reverse() # разворачиваем
st = ''.join(st) # собираем обратно
st = int(st, 16) # переводим в десятичное исчисление
return st
sock = socket.socket() # создаём сокет в переменной sock
sock.bind(('', 4900)) # связываем sock с 4900 портом
sock.listen(1) # слушаем кого-нибудь одного
conn, addr = sock.accept() # принимаем соединение
print 'Connected:', addr # ой, кто же там?
data = conn.recv(1024) # получаем 1024 байта данных
hdata = data.encode('hex') # делаем из бинарных данных human friendly hex
print('Data: ' + hdata) # смотрим, что получили
print reverseHex(hdata[62:68]), reverseHex(hdata[12:16]), reverseHex(hdata[4:6])
conn.send(b"Hi! You slaves mechanical boxes.\n") # Обзываем живущих на той стороне рабами
conn.close() # сливаемся, пока не наваляли
Запускаем, получаем:
Connected: ('217.66.157.26', 24846)
Data: 7e7e1c00020050e60200000000000000006400010000000000060002000200b22602000004000000000000
140978 58960 28
Берём в руки коробку, ищем что-нибудь похожее, удивляемся. 140978
- последние шесть цифр заводского номера (идентификатор устройства). Смело обзовём его devID. 58960
- вообще ни к селу ни к городу, можно не искать. Это контрольная сумма последних 1c(28) байт пакета.
Не буду заставлять перебирать все известные циклические алгоритмы для расчёта контрольной суммы. Скажу сразу, здесь используется CRC-16 (Modbus). Попробуем написать на Python-е штуку, которая займётся математикой, и скормим ей хвост нашей хитрости.
import binascii
def crc16(st):
crc = initial_modbus
st = binascii.unhexlify(st)
for ch in st:
crc = calcByte(ch, crc)
st = str(hex(crc))[2:]
if len(st) % 2 != 0:
st = '0' + st
return st
def calcByte(ch, crc):
if type(ch) == type('c'):
by = ord(ch)
else:
by = ch
crc = (crc >> 8) ^ table[(crc ^ by) & 0xFF]
return (crc & 0xFFFF)
initial_modbus = 0xFFFF
table = (
0x0000, 0xC0C1, 0xC181, 0x0140, 0xC301, 0x03C0, 0x0280, 0xC241,
0xC601, 0x06C0, 0x0780, 0xC741, 0x0500, 0xC5C1, 0xC481, 0x0440,
0xCC01, 0x0CC0, 0x0D80, 0xCD41, 0x0F00, 0xCFC1, 0xCE81, 0x0E40,
0x0A00, 0xCAC1, 0xCB81, 0x0B40, 0xC901, 0x09C0, 0x0880, 0xC841,
0xD801, 0x18C0, 0x1980, 0xD941, 0x1B00, 0xDBC1, 0xDA81, 0x1A40,
0x1E00, 0xDEC1, 0xDF81, 0x1F40, 0xDD01, 0x1DC0, 0x1C80, 0xDC41,
0x1400, 0xD4C1, 0xD581, 0x1540, 0xD701, 0x17C0, 0x1680, 0xD641,
0xD201, 0x12C0, 0x1380, 0xD341, 0x1100, 0xD1C1, 0xD081, 0x1040,
0xF001, 0x30C0, 0x3180, 0xF141, 0x3300, 0xF3C1, 0xF281, 0x3240,
0x3600, 0xF6C1, 0xF781, 0x3740, 0xF501, 0x35C0, 0x3480, 0xF441,
0x3C00, 0xFCC1, 0xFD81, 0x3D40, 0xFF01, 0x3FC0, 0x3E80, 0xFE41,
0xFA01, 0x3AC0, 0x3B80, 0xFB41, 0x3900, 0xF9C1, 0xF881, 0x3840,
0x2800, 0xE8C1, 0xE981, 0x2940, 0xEB01, 0x2BC0, 0x2A80, 0xEA41,
0xEE01, 0x2EC0, 0x2F80, 0xEF41, 0x2D00, 0xEDC1, 0xEC81, 0x2C40,
0xE401, 0x24C0, 0x2580, 0xE541, 0x2700, 0xE7C1, 0xE681, 0x2640,
0x2200, 0xE2C1, 0xE381, 0x2340, 0xE101, 0x21C0, 0x2080, 0xE041,
0xA001, 0x60C0, 0x6180, 0xA141, 0x6300, 0xA3C1, 0xA281, 0x6240,
0x6600, 0xA6C1, 0xA781, 0x6740, 0xA501, 0x65C0, 0x6480, 0xA441,
0x6C00, 0xACC1, 0xAD81, 0x6D40, 0xAF01, 0x6FC0, 0x6E80, 0xAE41,
0xAA01, 0x6AC0, 0x6B80, 0xAB41, 0x6900, 0xA9C1, 0xA881, 0x6840,
0x7800, 0xB8C1, 0xB981, 0x7940, 0xBB01, 0x7BC0, 0x7A80, 0xBA41,
0xBE01, 0x7EC0, 0x7F80, 0xBF41, 0x7D00, 0xBDC1, 0xBC81, 0x7C40,
0xB401, 0x74C0, 0x7580, 0xB541, 0x7700, 0xB7C1, 0xB681, 0x7640,
0x7200, 0xB2C1, 0xB381, 0x7340, 0xB101, 0x71C0, 0x7080, 0xB041,
0x5000, 0x90C1, 0x9181, 0x5140, 0x9301, 0x53C0, 0x5280, 0x9241,
0x9601, 0x56C0, 0x5780, 0x9741, 0x5500, 0x95C1, 0x9481, 0x5440,
0x9C01, 0x5CC0, 0x5D80, 0x9D41, 0x5F00, 0x9FC1, 0x9E81, 0x5E40,
0x5A00, 0x9AC1, 0x9B81, 0x5B40, 0x9901, 0x59C0, 0x5880, 0x9841,
0x8801, 0x48C0, 0x4980, 0x8941, 0x4B00, 0x8BC1, 0x8A81, 0x4A40,
0x4E00, 0x8EC1, 0x8F81, 0x4F40, 0x8D01, 0x4DC0, 0x4C80, 0x8C41,
0x4400, 0x84C1, 0x8581, 0x4540, 0x8701, 0x47C0, 0x4680, 0x8641,
0x8201, 0x42C0, 0x4380, 0x8341, 0x4100, 0x81C1, 0x8081, 0x4040 )
if __name__ == '__main__':
data = '7e7e1c00020050e60200000000000000006400010000000000060002000200b22602000004000000000000'
print crc16(data[-56:])
Запускаем, получаем:
50e6
Отлично! То, что надо!
С основными моментами разобрались. Перекур:)
ГЛОНАСС