Программирование пульта для шлагбаума

Программирование пульта для шлагбаума

Программирование пультов для ворот. Came, Faac, Nice, Dorhan, Profesional, Gant.

    Первым делом необходимо прописать пульт в приемник на плате управления. У всех производителей автоматики для ворот разный алгоритм программирования пультов, поэтому единого рецепта нет. Давайте остановимся на основных производителях автоматики для ворот, представленных на рынке Украины — Professional (GANT), Came, FAAC, Doorhan, Nice.

    Прежде всего маленький ликбез.

    В системах фирм Came, FAAC, Nice в приемник привода записывается один пульт, а затем от него копируется необходимое количество других брелков. Если же Вы попытаетесь в приемник записать следующий пульт — первый пульт и все записанные от него пульты перестанут работать. В случаях, если Вы потеряли старый пульт нет необходимости удалять его из памяти — он сам сотрется, когда Вы запишите в приемник новый. Огромным плюсом таких систем является удобство — нет необходимости каждый раз открывать крышку электропривода, если возникла необходимость записать очередной пульт. Но эта система очень уязвима — мне достаточно подержать Ваш пульт в руках секунд 10, что бы своровать на свой пульт сигнал. А это открывает ворота практически всем, кто держал в руках Ваш пульт (или пульт Ваших сотрудников). Допустим, Вы решили ограничить доступ на стоянку автомобилей, поставили шлагбаум и выдали арендаторам 20 пультов фирмы Came (равно количеству парковочных мест).

Как запрограммировать пульт от автоматических ворот

Но через пару недель места на стоянке опять не хватает. Почему? Потому что сотрудники дают друг другу пульты для копирования и их появилось в несколько раз больше, чем было выдано. А как это сделать можно прочитать ниже.

    А какой же выход? Установить систему фирм Professional (GANT, Китай) или Doorhan (Дорхан, Россия). Основное отличие таких систем состоит в том, что сигнал каждого пульта записывается в приемник индивидуально. Минусом является ограничение по колическтву записываемых пультов в приемник (в зависимости от модели от 25 до 128 шт) и необходимость каждый раз открывать крышку привода или приемника для записи очередного пульта. Но такая система не позволят втихушку множить клоны. Рекомендуется для предприятий и паркингов с большим количеством пользователей. Вы ведь не можете безгранично доверять всем без исключения сотрудникам-пользователям? Плюсом является и тот факт, что пульты этих производителей еще и дешевле итальянских в два-три раза.

Как запрограммировать пульт Professional

Как запрограммировать пульт Came

Как запрограммировать пульт FAAC

Как запрограммировать пульт Doorhan

Как  запрограммировать пульт NICE
 

Как запрограммировать пульт Professional 100 грн

    Нажмите кнопку «LEARN» на блоке управления приводом для ворот в течение 1-ой секунды, загорится светодиод «LEARN». Нажмите на кнопку на брелке, светодиод «LEARN» на блоке управления замигает и погаснет. Ваш брелок сохранен.

    Если Вам необходимо записать дополнительные пульты, повторите эту операцию. Следует учесть, что в память приемника записывается ограниченное количество пультов (в зависимости от объема памяти микросхемы количество записываемых пультов может составлять от 25 до 128 шт).

    Для удаления всех брелков необходимо держать нажатой кнопку «LEARN» в течение 8-ми секунд. Все брелки будут стерты из памяти.

Как запрограммировать пульт Came 25 Евро

Скачать инструкцию

Посмотреть видео

    Необходимо нажать и удерживать кнопку PROG (СН1) на блоке управления. Светодиодный индикатор начинает мигать (левый рисунок). Нажать необходимую кнопку на брелке. Светодиодный индикатор загорается ровным светом, что свидетельствует об успешном программировании блока управления (правый рисунок). Отпустить обе кнопки. Пульт записан.

    Но если Вы желаете записать более одного пульта, не пытайтесь повторить эту операцию, так как следующий пульт (новый) запишется в приемник, а предыдущий удалится. Необходимо провести операцию по копированию пульта. Как это сделать смотрите ниже.

Нажать и удерживать обе кнопки на пульте, который необходимо запрограммировать (новом пульте) (1). Светодиодный индикатор на нем начнет быстро мигать (2). Отпустить кнопки и нажать на одну, которую необходимо запрограммировать (3). Индикатор должен загореться ровным светом. Не более чем через 10 секунд поднести мастер — брелок (запрограммированный пульт) снизу и сзади к программируемому (на котором горит индикатор) и однократно нажать рабочую кнопку (4). Светодиодный индикатор вспыхнет три раза (5) и потухнет (6). Для программирования других брелков операцию повторить. Таким образом автоматическая система может быть настроена для работы с любым количеством брелков-передатчиков с одинаковым кодом.

Как запрограммировать пульт FAAC 25 Евро

Скачать инструкцию

Посмотреть видео

    Для записи пульта ДУ FAAC в приемник электропривода необходимо одновременно нажать две кнопки Р1 и Р2 на пульте управления и отпустить их, когда индикатор на пульте замигает (через 1-2 секунды). Затем нажмите и удерживайте кнопку на плате приемника — индикатор на плате должен замигать.

    Пока индикатор пульта мигает, Вы должны нажать на пульте управления воротами ту кнопку, которую необходимо запрограммировать для управления створкой ворот Перед тем, как отпустить кнопку приемника, убедитесь, что диод горел около 2 секунд (в подтверждение того, что код сохранен). Теперь отпускаем кнопку пульта и приемника. Пульт записан.

 

    Но если Вы желаете записать более одного пульта, не пытайтесь повторить эту операцию, так как следующий пульт (новый) запишется в приемник, а предыдущий удалится. Необходимо провести операцию по копированию пульта. Как это сделать смотрите ниже.

На главном пульте (записанном в приемник) нажмите и удерживайте одновременно две кнопки Р1 и Р2 отпустите их, когда индикатор на пульте замигает (через 1-2 секунды).


 

    Затем расположите копируемый (новый) пульт напротив запрограммированного так, как показано на картинке выше. На главном пульте (пока индикатор мигает) нажмите и удерживайте ту кнопку, с которой Вы хотите переписать сигнал. Теперь нажмите на новом пульте ту кнопку, которую хотите запрограммировать. Индикатор должен два раза мигнуть в знак того, что код сохранен. Отпускаем кнопку и повторяем операцию для других белков. Таким образом автоматическая система может быть настроена для работы с любым количеством брелков-передатчиков с одинаковым кодом.

Как запрограммировать пульт Doorhan

        Перед началом программирования рекомендуется очистить память приемника от записанных ранее кодов пультов. Для этого после включения питания удерживайте кнопку записи пультов нажатой 10 секунд. Светодиод будет мигать 10 секунд, затем потухнет на 2 секунды и снова дважды мигнет в подтверждение того, что стерты записанные в память коды пультов.

        Для записи пульта в приемник нажмите и удерживайте в течение 3 секунд кнопку записи пультов на плате радиоприемника — при этом загорится индикатор LED1 на приемнике. После этого нажмите необходимую кнопку на пульте ДУ на 2-3 секунды. Для настройки нескольких пультов повторите процедуру для других пультов.

Как запрограммировать пульт NICE

Пульты фирмы NICE встречаются двух типов — постоянным кодом (синий корпус) и динамическим кодом (черный корпус)

Программирование пультов Nice с постоянным кодом

    Программирование пульта Nice Flo с постоянным кодом производится при помощи настройки двухпозиционных dip переключателей, как в самом пульте, так и в радиоканале. Будьте внимательны – вариации должны совпадать. Если вам потребуется дополнительный пульт, то просто раскрутите старый запрограммированный пульт Flo и установить переключатели в такое же положение. Это пульты старого образца, сегодня встречаются очень редко. 

Более подробно остановимся на программировании пультов с динамическим кодом.

Программирование пультов Nice с динамическим кодом

        На приемнике нажать клавишу один раз (задержка менее чем на 1 сек.). На пульте ДУ зажать клавишу на 3-4 сек., после чего индикатор на приемнике мигнет 3 раза. Это означает что пульт успешно опознан и записан в приемник. После этого приемник будет находится в режиме программирования еще 10 сек, в течение этого времени, по
необходимости, можно записать еще несколько пультов. После истечения времени (10 сек.) приемник запомнит все прописанные на него пульты ДУ и все кнопки на каждом пульте.

    Запрограммировать пульт ДУ также можно дистанционно, при помощи уже записанного ранее пульта. В результате кнопка «нового» пульта скопирует команду с кнопки «старого» пульта. ВНИМАНИЕ! Программирование нового пульта от старого должно происходить в радиусе действия приемника

Нажмите нужную кнопку нового пульта на 5 сек., затем отпустите, Нажмите (не зажимая) кнопку на старом пульте 3 раза, На новом пульте нажмите ту же кнопку 1 раз и отпустите. Кнопка пульта записана и выполняет те же команды, что и кнопка старого пульта.

    Пульты, записанные в память приемника, при необходимости, могут быть удалены. Для этого необходимо провести следующие операции:
Нажмите и удерживайте кнопку на приемнике, Необходимо подождать, пока светодиод 1 раз загорится, 1 раз погаснет, а затем замигает 3 раза, Отпустите кнопку на третьей вспышке светодиода.
Если все операции проведены правильно, то после небольшой паузы светодиод на приемнике промигает 5 раз.

                                                

  

   

Одна из самых распространенных кодировок – встречается на форуме в таких изделиях как ИМИТАТОР от CodePerfect на железе Олега,  МЕГА-АНАЛИЗАТОР от RUSSO_TURISTO, в прошивке Joker для железа Олега, в прошивках  для ZX940.

В большинстве изделий представляет собой или случайный выброс шифрованной части (hop) (имитацию) сигнала или просто определение типа кодировки.

Вопрос – возможно ли воспроизвести сигнал открытия автоматике nice flor-s обычными средствами – т.е. без обращения к китайцам для распила проца чтобы узнать хитрый алгоритм?

Посмотрев различные ветки форума было выяснено что якобы пользователь Dolero производил анализ безопасности nice —  у него была прошивка и он сделал некие выводы — всё  элементарно. также было выяснено что он считал eeprom приёмника и именно из этого сделал такие заключения.

Программирование брелков или пультов для ворот шлагбаумов. Как скопировать и сделать дубликат?

Прошивку он прочитал из проца моторола, так самые первые flors  были на процах motorola  и пина защиты там нет. Бери программатор и  читай, однако всё оказалось непросто.

Физические параметры сигнала nice flor-s


Преамбула 1500 HI 1500 LOW
Логический 0 – 500 HI 1000 LOW
Логическая 1 – 1000 HI  500 LOW

Важным моментом данной кодировки является соблюдение правильных пауз между динамическими сериями сигнала – пауза 18500 мкс

Не посмотрев правильно сколько длится пауза я долго не понимал почему сигнал везде правильный а приёмник или сбивается или вообще его не воспринимает.

Логические  параметры сигнала nice flor-s

52 бита

Данные по кнопкам были найдены на форуме у CodePerfect

“Кодирование кнопок.
Первый полубайт — собственно номер кнопки, задается одним битом:
0001 — 1 кнопка
0010 — 2 кнопка
0100 — 3 кнопка
1000 — 4 кнопка

Второй полубайт формируется из <1111> XOR <номер кнопки> XOR <номер посылки по порядку, начиная с 0001>.
Для первой кнопки второй полубайт будет:
<1110> XOR <0001> = F
<1110> XOR <0010> = C
<1110> XOR <0011> = D
<1110> XOR <0100> = A
<1110> XOR <0101> = B
<1110> XOR <0110> = 8
и т.д.

Для второй кнопки второй полубайт будет:
<1101> XOR <0001> = C
<1101> XOR <0010> = F
<1101> XOR <0011> = E
<1101> XOR <0100> = 9
<1101> XOR <0101> = 8
<1101> XOR <0110> = B
и т.д.”

Могу добавить, что второй полубайт — время удержания кнопки и если необходимо в автоматику передавать длинное нажатие кнопки – необходимо увеличивать время циклического изменения второго полубайта (в примере это указано)

Счетчик –шифрованная нелинейная последовательность

Серийный номер – линейно зависим от значения счётчика 2 полубайта

Логический анализ после приёма сигнала:

Принцип линейной зависимости серийного номера

E7 всегда 0

В EEPROM счетчик расшифрован

Для каждого уникального значения шифрованного счётчика — 2 байта существует ещё 1 байт линейного шифрования серийного номера.

Метод построения оригинальной посылки

B1, B2 – коэффициенты зависимости (свои для каждого значения счётчика)

S2 = E8 XOR B2

S7 = E5 XOR B1

S8 = E6 XOR B2

S9 = E3 XOR B1

S10 = E4 XOR B2

S11 = E1 XOR B1

S12 = E2 XOR B2

Нелинейная последовательность шифрованного счётчика строится по какому-то принципу – скорее всего принцип логических правил и табличного компадирования (замещения байтов по правилам через таблицы).

Шифрование обратимое, иначе нельзя было бы расшифровать значение счётчика по оригинальной посылке.

Возможно … возможно таблицу реально составить используя полные статистические данные, но мы пойдём ДРУГИМ путём  !

Атака типа “DROP COUNTER”

Мы не будем пытаться расшифровывать принцип построения нелинейной последовательности, а обратимся к старому доброму предмету ТВИМС.

(теория вероятностей и мат. статистика)

Сколько значений счётчика? — 2 байта

Сколько всего вариантов? — 16 в 4 степени = 65536 вариантов

Прописываем брелок Flor-S в приёмник и узнаём из EEPROM оригинальный серийный номер (если при каждом приёме сигнала делать операцию XOR на оригинальный серийный номер мы получим правильные коэффициенты линейной зависимости для каждого значения счетчика)

При помощи устройства получаем все возможные значения счётчика и коэффициентов зависимости.

Получаем таблицу:

A1B1C1D1 E1F1

A2B2C2D2 E2F2

A3B3C3D3 E3F3

……

ABCD – значение счетчика, EF – линейная зависимость

Теперь через таблицу возможно вычислять правильные шифрованные значения счётчика, формировать оригинальные посылки через XOR оригинального серийного номера и полученных коэффициентов, однако есть ещё 1 вариант.

Было исследовано 2 приёмника SMXI и FLOXI2R (съёмный EEPROM)

На этих приёмниках это работало.

У роллинг кода flor-s на этих приёмниках не было окна синхронизации,

Возможно вообще у этого кода окна нет, утверждать не буду.

Получается это не баг, а особенность роллинг протокола:

Любая посылка конечной серии F0FF всегда валидна.

+ с серии F0FF счетчик может переходить на серию 0000

Для имитации брелока возможно закольцевать всего 2 посылки

Серии 0000 и серии F0FF

Из-за вычислений внутри приёмника регистры после нового приема сигнала не очищаются и приёмник лагает – 2 посылки воспринимаются через раз.

Для успешной имитации необходимо 8 посылок

4 серий 0000 + 4 серий F0FF

АТАКА

  • серийный номер линейно зависим от значения счетчика c коэффициентами B1B2
  • в полученной шифрованной посылке тоже скрыт серийный номер, и он также линейно зависим с коэффициентами P1P2
  • получаем что в посылке конечной серии счетчика F0FF серийный номер скрыт за линейной зависимостью E1 = B1 XOR P1

E2 = B2 XOR P2

А что если перебрать все 256 комбинаций E1E2 на серии F0FF ?

Автоматика сработает  !!!

ВАЖНОЕ ДОПОЛНЕНИЕ:

брелок оригинал перейдёт в состояние “DROPCOUNTER” – не будет работать

из старых приёмников nice без программатора выписать брелок нельзя, можно только полностью стереть eeprom и всё прописать заново.

не все умеют цепляться прищепкой к eeprom, хотя у некоторых приёмников eeprom снимается.

на SMXI приёмнике нужна прищепка — просто к eeprom не подключишься.

На старой автоматике обычно нерабочий брелок заменяют на новый с доплатой, чтоб всё не прописывать заново.

Иногда используется станция NiceOBOX. В нее вставляется eeprom из приёмника для возможности быстро прописать большое количество брелоков.

Станция не у всех есть.

Не зная оригинальный правильный серийный номер брелока, но имея 1 правильную посылку есть возможность написать закольцованный имитатор посылок. работать будет (отправляя по 256 вариантов серийного номера каждый раз).

+

В примере скетч имитации брелока nice flor-s – 8 закольцованных посылок

Выводы – Nice flor-s уязвимый к атакам устаревший протокол.

протокол нельзя взломать перехватом кода, но можно имея приёмник и пульт.

Обсуждение и примеры тут: http://phreakerclub.com/forum/showthread.php?t=2360

 (c) www.phreakerclub.com
stallion_x

Categories: Arduino, Форматы пакетов, Шлагбаумы и воротаTags:

Как программировать пульты из Китая?

Универсальный пульт для ворот и шлагбаума — все в одном

Инструкция и программирование брелока Nice Flor-s

Пульт Nice Flor-s был разработан для управление автоматикой на частоте в 433 МГц. На данный момент известно 6 модификации данного брелока: FLO1R-S, FLO1R-SC, FLO2R-S, FLO2R-SC, FLO4R-S, FLO4R-SC. Выпускается 1, 2, 4-х канальные модели. Радиус действия составляет 150 – 200 метров (при условии, что батарея в пульте в нормальном заряженном состояние). Кодировка цифровая в 52 бита. Пульты по дизайну и размера очень похожи на Nice FLO. Размеры его составляют 72х40х15 мм.

Как запрограммировать пульт

Среднее потребления пульта 25 мА от батареи в 12 вольт. В случае разрядки брелока индикатор напомнит вам, что требуется замена батареи. Одной батареи хватает на 2 года эксплуатации(10 циклов в день).

FLor-S считается одним из самых безопасных брелоков Nice – количество комбинации кода составляет 4,5 x 10(15) степени. Динамический код, самообучение и возможность принять сигнал от 1020 пультов. Легкое программирование пульта Flor-SC – можно одновременно запрограммировать 100 пультов при помощи программного обеспечения BUPC. Запрограммировать пульт можно будет дистанционно (если у вас установлен соответствующий модуль) либо традиционным способом(новый пульт/старый пульт).

Пульт Nice Flor-S подойдет для большинства радиоканалов: FLOX1R, FLOX2R, FLOXB2R, FLOXIR, FLOXI2R, FLOXMR, FLOXM220R, SMIX, SMIX2R.

Как определить что аккумулятор разрядился ?

  • При нажатие на любую клавишу индикатор вспыхнет, но сигнал передаст с задержкой
  • При нажатие на любую клавишу индикатор начнет мигать с задержкой но сигнал не передаст (в таком случаем вам требуется немедленно заменить батарейку).

Программирование пульта Nice FLOR-S
Мы будем рассматривать 2 вариант программирования без использования радиоканала.

  • Программирование должно происходить рядом с приемником
  • Пульты нужно держать последовательно, а не «лоб-в-лоб» как это необходимо на некоторых пультах
  • Нажимаем любую клавишу на новом пульте и удерживаем примерно 5 секунд, затем отпускаем
  • 3 раза нажимаем кнопку на старом пульте(не зажимая долго)
  • На новом пульте нажимаем ту же кнопку 1 раз, которую зажимали в начале и отпускаем

Программирование пульта завершено. Программирование от радиоканала вы сможете найти в инструкции по Nice FLOR-S.

Скачать инструкцию по Nice FLOR-S   Просмотров: 4689

admin