请教大疆mbus协议中使用了什么校验

ddplys · 发表于 2020-4-30 14:19:35

robomaster s1 目前还没有开放uart mbus can协议。
所以尝试破解mbus协议，控制电机。
在网上发现已经有大神破解了，但是没有公开。
所以跟大家讨论一下这个协议，看能不能尝试破解了。主要是讨论校验码是什么方式。

首先，这个mbus使用的RS485通讯，波特率921600。
下面是控制帧数据：
前进1秒
55 16 00 9D A0 00 00 00 F5 02 DA 3C DA 3C F5 02 FF FF FF FF F0 9E
55 16 00 9D A0 00 00 01 ED 02 D2 3C D2 3C ED 02 FF FF FF FF 14 A3
55 16 00 9D A0 00 00 02 EC 02 D1 3C D1 3C EC 02 FF FF FF FF 24 D2
55 16 00 9D A0 00 00 03 ED 02 D2 3C D2 3C ED 02 FF FF FF FF 4E A8

后退1秒
55 16 00 9D A0 00 00 00 EF 3C 0B 03 0B 03 EF 3C FF FF FF FF AD AF
55 16 00 9D A0 00 00 01 E2 3C FD 02 FD 02 E2 3C FF FF FF FF AA FC
55 16 00 9D A0 00 00 02 D9 3C F5 02 F5 02 D9 3C FF FF FF FF 57 EF
55 16 00 9D A0 00 00 03 D9 3C F4 02 F4 02 D9 3C FF FF FF FF 62 47

右转1秒
55 16 00 9D A0 00 00 00 16 3E 16 3E 16 3E 16 3E FF FF FF FF B9 84
55 16 00 9D A0 00 00 01 18 3E 18 3E 18 3E 18 3E FF FF FF FF 61 04
55 16 00 9D A0 00 00 02 14 3E 14 3E 14 3E 14 3E FF FF FF FF 2F D6
55 16 00 9D A0 00 00 03 0B 3E 0B 3E 0B 3E 0B 3E FF FF FF FF 53 A4

左转1秒
55 16 00 9D A0 00 00 00 9B 01 9B 01 9B 01 9B 01 FF FF FF FF 05 D6
55 16 00 9D A0 00 00 01 9B 01 9B 01 9B 01 9B 01 FF FF FF FF A8 D3
55 16 00 9D A0 00 00 02 9D 01 9D 01 9D 01 9D 01 FF FF FF FF 0B 37
55 16 00 9D A0 00 00 03 9D 01 9D 01 9D 01 9D 01 FF FF FF FF A6 32

发送控制帧就可以直接控制电机转动。
但是具体含义未知。个人认为最后两个字节是校验位。但是尝试了CRC32，CRC16，和校验，LRC都不对。
robomaster s1 中控使用的I.MX 1021单片机，有硬件CRC-32。
大家给点意见，看看到底使用了什么校验。
先解决校验码的问题，之后在找每个字节的含义才有意义。

ArthurBruin · 发表于 2020-4-30 14:41:55

两种可能：
1. 校验初值为其他值，建议用校验反向推算
2. 数据段或校验字段单独做了加密，且不可反向破解，这种就没得法了

lanyuye · 发表于 2020-4-30 14:44:31

RoboMaster EP 上面的通讯协议能用到
robomaster s1上吗？

skystalker · 发表于 2020-4-30 14:51:23

最后两个字节是校验位的结论是怎么得出来的

ddplys · 发表于 2020-4-30 14:54:05

ArthurBruin 发表于 2020-4-30 14:41
两种可能：
1. 校验初值为其他值，建议用校验反向推算
2. 数据段或校验字段单独做了加密，且不可反向破解， ...

网上已经有人破解了，所以应该不会很复杂。
我尝试一下用部分字节做校验看看是否符合

ddplys · 发表于 2020-4-30 14:54:57

lanyuye 发表于 2020-4-30 14:44
RoboMaster EP 上面的通讯协议能用到
robomaster s1上吗？

我没有EP，这个不能确定

lr120363092 · 发表于 2020-4-30 14:57:44

波特率好高啊

ddplys · 发表于 2020-4-30 15:03:09

skystalker 发表于 2020-4-30 14:51
最后两个字节是校验位的结论是怎么得出来的

这个是我自己认为的。
一帧数据中能看出很多字节都有规律，但是最后两个字节毫无规律，并且我自己一般也是校验位放在最后。

下面数据中大横杠的一列字节都是相同的，所以不可能是校验位。
前进1秒
-- -- -- -- -- -- -- -- -- -- -- -- -- -- -- --
55 16 00 9D A0 00 00 00 F5 02 DA 3C DA 3C F5 02 FF FF FF FF F0 9E
55 16 00 9D A0 00 00 01 ED 02 D2 3C D2 3C ED 02 FF FF FF FF 14 A3
55 16 00 9D A0 00 00 02 EC 02 D1 3C D1 3C EC 02 FF FF FF FF 24 D2
55 16 00 9D A0 00 00 03 ED 02 D2 3C D2 3C ED 02 FF FF FF FF 4E A8

plc_avr · 发表于 2020-4-30 15:09:48

二字节的估计有戏，四字节的就不好玩了，

ntkz · 发表于 2020-4-30 15:16:34

第二个字节是帧长 0x16 ，猜的。

ddplys · 发表于 2020-4-30 15:19:09

ntkz 发表于 2020-4-30 15:16
第二个字节是帧长 0x16 ，猜的。

没错，确实是的
下面是电机端返回的数据。第二字节也是帧长度。
55 20 00 1A A0 01 00 00 AE 27 71 02 5D 01 2F 00 A6 01 24 01 50 00 B8 6F 9C 49 00 00 00 00 78 C5

gagmeng · 发表于 2020-4-30 17:21:04

是CRC16 参数如下：CRC16R_8408_3692_0000 多项式为8408 初值为3692 出值为0000
用菜农大叔HotPower的工具hotwc3完成

ddplys · 发表于 2020-4-30 19:30:51

gagmeng 发表于 2020-4-30 17:21
是CRC16 参数如下：CRC16R_8408_3692_0000 多项式为8408 初值为3692 出值为0000
用菜农大叔HotPower的工 ...

老哥厉害，验算过是正确的。
才知道这个网站，相当给力。

myrgb · 发表于 2020-5-1 08:25:24

gagmeng 发表于 2020-4-30 17:21
是CRC16 参数如下：CRC16R_8408_3692_0000 多项式为8408 初值为3692 出值为0000
用菜农大叔HotPower的工 ...

这么好的工具，请分享一下。谢谢

ddplys · 发表于 2020-5-1 11:33:34

myrgb 发表于 2020-5-1 08:25
这么好的工具，请分享一下。谢谢

http://www.hotcrc.com/
很给力，暴力破解

shiva_shiva · 发表于 2020-5-1 12:40:08

gagmeng 发表于 2020-4-30 17:21
是CRC16 参数如下：CRC16R_8408_3692_0000 多项式为8408 初值为3692 出值为0000
用菜农大叔HotPower的工 ...

怎么算的？看网页看不懂。。。

lonely9391 · 发表于 2020-5-1 12:48:01

很给力，好东西

孤独飞行 · 发表于 2020-5-6 15:52:02

这个牛，好工具

捷胜 · 发表于 2020-5-6 18:27:31

好工具呀，收藏了

请教大疆mbus协议中使用了什么校验

阿莫论坛20周年了！感谢大家的支持与爱护！！