逆向工程餐厅寻呼机系统🍽️

我已经很久没有尝试过新东西了——最近在无线电方面有点停滞不前——致力于改进和调试我目前最了解的东西。前几天，我出去吃饭，闲暇时想知道餐厅传呼机系统是如何工作的。闲暇时的好奇心让我意识到，事实上，我很可能有办法和能力回答这个问题，所以我在 eBay 上买了第一套看起来最受欢迎的餐厅传呼机，想着这将是一次有趣的为期数周的冒险。

我最终购买了 Retekess 品牌的 TD-158 餐厅寻呼机系统（它们看起来和我以前见过的一样，而且似乎价格低廉且很受欢迎），之后很快就拿到了一包 10 个寻呼机和一个基站。手册上说无线电工作在 433 MHz`（很酷！可以做到！喜欢好的 ISM 频段设备），在初步阅读手册以获取有关 PHY 的提示后，我发现了一些有趣的东西。首先，基站 ID 限制为 0-999，这很奇怪，因为这意味着限制因素可能是基站上的十进制显示，而不是协议——我们需要足够的位来存储 999——至少 10 位。似乎没有其他东西引起我的注意，所以我想不妨直接跳到它。

我不是那种喜欢玩弄成功的人，所以我做了和我在圣诞树帖子中所做的一模一样的事情，并在 433.92MHz 处进行了捕获，因为它处于频段中间，然后立即产生了似曾相识的感觉。不仅信号在 433.92MHz，而且将数据包放入检查器后，我得到了 完全相同的 OOK 编码方案的图。

不仅仅是相似，而是完全相同。唯一的主要区别是数据包的波特率和位结构，唯一的次要区别是我认为存在唤醒前导数据包（全为零），而不是持续时间比通常的 PHY 符号更长的前导符号（在我看来，这使得这个寻呼机系统比我的树更容易使用）。

开始工作时，我进行了一些测量，以确定几个数据包过程中的符号持续时间，我能够确定符号率大约为 858 微秒（每个符号 0.000858 秒），这是一个奇怪的数字，但也许我稍微偏离了一点，或者是我遗漏了一些更大的数学知识，使得这个数字令人满意地四舍五入（内部低成本晶体时钟或类似的东西？我认为这是寻呼机的一些硬件限制？）

无论如何，已经足够好了。接下来，让我们尝试解调——我们假设它与圣诞树帖子完全相同，并以相同的方式解调 1 和 0。这给了我们 26 位：

00001101110000001010001000

现在，我知道我们需要至少 10 位的基站 ID、一些位的寻呼机 ID 和一些位的命令。这是我从基站 ID 55 向 ID 为 10 的寻呼机点击“呼叫”的捕获，所以让我们盲目地寻找包含我们正在寻找的数字的 10 位块：

0000110111 0000001010 001000

天哪。第一次尝试。基站 ID 为 10 位（二进制中的 55 为 0000110111），寻呼机 ID 为 10 位（二进制中的 10 为 0000001010），剩下 6 位用于命令（也许还有其他东西？）——这里是 8 位。太棒了，很酷，让我们就此情况进行研究，如果遇到错误，再重新检查。

除了我们的数据包之外，我还会添加一个“前导”数据包，以防它用于信号检测或唤醒等 – 这很容易做到，因为它的数据包结构与上面的相同，只是全为零。他们非常友善地保留了相同的位数和编码方案 – 它可以在 PHY 之外生存，这很好。

到达这里后，我编写了一个快速而粗糙的调制器，并能够拨打寻呼机！这是绝对的成功和好消息——唯一的缺点是它只花了我一个晚上，而不是我所期待的数周冒险。好吧，为了完整起见，让我们完成这项工作并记录我们的发现。

我对数据包结构的最佳猜测如下：

对于呼叫或 F2 操作，参数是寻呼机的 ID 代码，但对于其他命令，参数是值或枚举，具体取决于情况。下面是我手动解调基站产生的所有数据包类型的表格：

TypeCmd IdDescriptionCall8 呼叫由参数中的 ID 标识的寻呼机Off60 请求在断电时关闭充电器上的所有寻呼机，参数全部为零F240 将寻呼机编程为指定的寻呼机 ID（在参数中）和基站F344 设置参数中指定的提醒时长（以秒为单位）F448 将寻呼机的蜂鸣模式设置为参数中的模式（0 表示禁用，1 表示慢速，2 表示中等，3 表示快速）F552 将寻呼机的振动模式设置为参数中的模式（0 表示禁用，1 表示启用）

我不会发布此代码，因为除了使用低成本 SDR 和烦人的当地餐馆的人之外，我想不出任何人会用它做什么；但是，对于那些对此感兴趣的人，如果他们想购买自己的寻呼机并尝试一下，这里有足够的资源可以尝试在自己的硬件上调制此协议，我鼓励这样做！这很有趣！收音机很棒，这是一个很好的破解协议——它真的很棒。

总而言之，这不是我想要的为期数周的冒险，但这仍然是一次很棒的练习，也是一个有趣的提醒，让我意识到我已经走了很远。这感觉很像作弊，因为我能够推断出很多关于 PHY 的信息，因为我以前见过它，但这仍然是一段美好的时光。我可能会再拿几个餐厅传呼机，看看我能否找到一个带有更奇特的 PHY 来模拟。我的意思是为什么不呢，我已经有了
热的
打印机
库
在职的
🖨️