教你一步步完成汽车调表：“避开调表坑” – 作者:tofreebug

[前言]

修理汽车更换仪表盘或变速箱时，应该调整汽车里程，和原始里程一种。OEM车厂也允许汽车修理人员出于诚实的目的对ECU芯片进行重新编程。不幸的是，市面上出现大量的调表设备，导致我们看到的却是更多的非法里程调表。

在美国国家公路交通安全管理局（NHTSA）的报告中，美国每年有45万多辆调表车，每年造成10亿美元损失。Carfax研究表明美国路面上驾驶的车辆中有160万辆是调表车。在本文中，作者将揭示如何将汽车里程多调的实战步骤，并介绍如何检测里程欺诈。

目前网上很容易买到所谓的汽车跑表器，美其名曰里程“校正”工具。价格范围从几十到小几百元不等。下面是一个例子，用于调高里程。

有没有搞错？！为什么需要调高里程。通常情况下调低里程表卖一辆车，卖价比汽车的实际价值更高。解释一下，在某些情况下，增加里程表也可以赚钱。例如，驾车商务出差可以报销更多差旅费，公车司机也希望调高里程获得更多的报销金额。例如，美国国税局2020年报销标准是每英里补贴大概58美分。

[调表实战设备列表]

• 汽车总线CAN仿真器（又名demobox ），其包括一个仪表盘和对应的里程。因为真车调表是违法的，所以我们使用模拟器，如下所示。除了显示里程，demobox设备也可以进行转速/车灯/车门/后背箱等操作。

• 汽车总线记录仪（嗅探CAN总线数据）

• CAN Diff 软件（分析和逆向汽车总线）
• CAN-Eye设备（可选）：它可以基于不同ECU模块对ID自动进行分类，如发动机，ABS ，传输，BCM或转向等。它可以帮助研究人员快速识别某CAN ID的特定功能
• 在线CAN总线数据服务（用于分析可视化）

让我们开始吧！

1. 首先从具有相同仪表的真实汽车中收集CAN总线流量，以便可以侦听ABS速度广播CAN消息。使用我们的总线记录仪插到OBD接口后，驾驶车辆约10〜15分钟。

2. 找出ABS车速广播消息帧。我们面临的挑战是，在20分钟的嗅探流量中，有多达65个不同的CAN ID，导致逆向耗时过多。因此，可以使用CAN-Eye设备将这些ID划分为不同的功能模块。对于ABS模块，它只有9个关联的CAN ID，如下图所示。

0x7b0用于ABS模块。通过检查统计信息并通过关联ID，过滤掉其他ID之后。0xb4被发现是ABS速度广播CAN ID。0xb4帧被发送到仪表盘，0x7c0，其计算对应的新里程值，然后广播CAN 0x611 数据帧。

3. 提取ABS速度和仪表盘里程CAN流量

0xb4出现了9001次。下图显示了0xb4和0x611的时间图。0xb4的数据频率比0x611快几倍。大致确定了速度定义规律和画出信号线，可以看到，最高车速始终低于30 mph。

那么如何仅提取0xb4帧？相当容易！只需单击下拉菜单，然后选择“导出为.traffic ”。

获得只包含0xb4帧的导出文件。

1. 将ABS速度帧注入到demobox设备中。最开始的仪表盘里程是58850英里。

使用“ CAN Diff”软件将导出的ABS速度数据文件注入。

里程表很快增加了1英里，变为58851。此外速度表显示大约25 MPH，和我们实验的驾驶速度几乎相同。

出去点个外卖，回来的时候已经里程表已变成58880英里！

1. 分析仪表盘里程表广播CAN帧0x611

0x611用于将里程表广播到其他ECU。无任何混淆，很简单里程表转换：当前里程表58887 à  0xe607 。

“id”:0x611,”dlc”:8,”data”:[0x21,0x0,0xf0,0x20,0x0,0x0,0xe6,0x7]

你可以调整数据包内的数据，例如提高速度值，这样里程表跑起来会更快。跑一个晚上1000英里不在话下。

到此为止，如何调高里程的教学一步步就教到这里。其他车型也适用。

[里程表调表检测]

你知道多个ECU具有不同的里程吗？例如，某些车型将里程表存储在BCM，发动机，变速器，制动器，ABS甚至点火系统中。这些部件可能使用自己的里程表计算算法，造成这些里程表通常是不同的。因此，可以通过检查车辆上的多个ECU来检测调表。下次我将谈论这个话题。敬请关注！

来源：freebuf.com 2020-12-15 12:59:14 by: tofreebug