如何給汽車(chē)電子全液晶儀表進(jìn)行里程修改

生活中的每個(gè)行業(yè)里往往都有一些所謂的潛規(guī)則，二手車(chē)行業(yè)當(dāng)然不例外，對(duì)于想買(mǎi)二手車(chē)的人呢，最怕就是兩點(diǎn)，一個(gè)是事故泡水車(chē)，一個(gè)就是怕被調(diào)過(guò)里程表，這兩點(diǎn)往往也是車(chē)行老板最喜歡用的增收手段，兩輛相同年份的二手車(chē)，在外觀差別不大的情況下，里程數(shù)的差別就是價(jià)錢(qián)的差別，越是好車(chē)，差價(jià)越大，調(diào)表可謂是成本低，見(jiàn)效快。
某人說(shuō)過(guò)：只要有10％的利潤(rùn)，他們就會(huì)蠢蠢欲動(dòng)；有50％的利潤(rùn)，他們就敢鋌而走險(xiǎn)；有100％的利潤(rùn)，它們就敢于踐踏人間一切法律；有300％的利潤(rùn)，他們敢于冒絞刑的危險(xiǎn)，一輛調(diào)表后的豪車(chē)，有時(shí)候可以輕松獲取大于300%的利潤(rùn)，所以，對(duì)于打算買(mǎi)二手車(chē)的朋友，你可要多一個(gè)心眼了。

下面演示一下如何給一臺(tái)寶馬X7的全液晶儀表進(jìn)行里程修改。

科普一下調(diào)表的簡(jiǎn)單知識(shí)，一般汽車(chē)行駛過(guò)程中轉(zhuǎn)速傳感器會(huì)將車(chē)輪轉(zhuǎn)了多少圈通知給行車(chē)電腦和儀表板，行車(chē)電腦和儀表板通過(guò)車(chē)輪半徑算出車(chē)速和行駛里程，行駛里程會(huì)存在行車(chē)電腦和儀表板內(nèi)的存儲(chǔ)芯片內(nèi)，存儲(chǔ)芯片有多種。 有些用24Cxx系列EEPROM，有些用95XXX系列EEPROM，有些直接存在儀表自身MCU自帶的EEPROM中，有些就存在一些定制的專用EEROM內(nèi)，不管存在哪里，調(diào)表最終就是要找到這個(gè)里程在EEPROM內(nèi)的存儲(chǔ)位置，然后將該位置的數(shù)據(jù)寫(xiě)入根據(jù)儀表的特定算法生成的新里程數(shù)據(jù)即可。 有些車(chē)很好調(diào)，只需要使用一些特殊設(shè)備，接入汽車(chē)OBD接口，一番簡(jiǎn)單操作即可，幾乎0成本，有些車(chē)就麻煩點(diǎn)，需要拆車(chē)把儀表取下，然后將EEPROM焊下來(lái)，放到專用的編程器里面調(diào)整好再焊回車(chē)上。

對(duì)于寶馬這個(gè)品牌的汽車(chē)來(lái)說(shuō)，不敢說(shuō)全部，大部分車(chē)型的儀表盤(pán)都是使用ST公司的一個(gè)特殊芯片進(jìn)行里程存儲(chǔ)的，這個(gè)芯片就是ST的35XXX系列，常見(jiàn)的有35080,35160,35128等等。 為什么說(shuō)這個(gè)EEPROM特殊呢，因?yàn)檫@個(gè)EEPROM的前32字節(jié)地址的數(shù)據(jù)是只能增大，不能減小的，也就是說(shuō)這個(gè)區(qū)域的數(shù)據(jù)不能擦除，每次寫(xiě)入數(shù)據(jù)必須比原有的數(shù)據(jù)要大才能寫(xiě)入，原廠想要通過(guò)這種手段來(lái)禁止非法修改里程數(shù)據(jù)。

有些聰明的朋友就想到了，換一片新的芯片不就行了嗎？確實(shí)，對(duì)于早期的某些BMW車(chē)型來(lái)說(shuō)，換芯片確實(shí)能完美解決問(wèn)題，不過(guò)對(duì)于比較新的車(chē)型呢，就沒(méi)那么完美了，原因是新車(chē)型使用了一個(gè)防換芯片的措施，儀表出廠的時(shí)候讀取35xx芯片的芯片唯一ID編碼，并保存在儀表MCU內(nèi)部，每次啟動(dòng)都會(huì)檢查儀表外部35xx芯片的ID碼，如果發(fā)現(xiàn)ID改變了就知道你換了芯片的，此時(shí)就會(huì)在儀表面板顯示一個(gè)故障提示，行內(nèi)稱為小紅點(diǎn)；雖說(shuō)能調(diào)，但是有故障提示就等于告訴別人自己對(duì)儀表動(dòng)了手腳。

?

正所謂哪里有需求，哪里就有市場(chǎng)，雖說(shuō)調(diào)表不是什么光彩行為，但是調(diào)表因?yàn)槔麧?rùn)大，所以還是有很多人有需求的，因此國(guó)內(nèi)不少汽車(chē)防盜編程破解行業(yè)相關(guān)的公司也推出了不少解決方案，對(duì)于寶馬調(diào)表來(lái)說(shuō)，目前有硬破解方案，硬破解就是用專用設(shè)備對(duì)35xx芯片進(jìn)行攻擊。 在不損壞芯片的前提下利用芯片自身漏洞缺陷來(lái)清零芯片的前32字節(jié)里程數(shù)據(jù)，成功清零后就可以重新改寫(xiě)為任意里程，不過(guò)這種攻擊只能用于早期的35080,35160等芯片，對(duì)于一些的35160，和35128等是無(wú)效的（ST修復(fù)了芯片漏洞），對(duì)于不能攻擊破解的芯片。

現(xiàn)在有了芯片模擬器，就是完全模擬一片35xxx芯片，將原車(chē)35xxx的數(shù)據(jù)和ID編號(hào)用編程器讀出，然后將數(shù)據(jù)和ID寫(xiě)入模擬芯片內(nèi)并修改里程為任意想要的數(shù)值，最后將模擬芯片焊接回儀表內(nèi)，由于是完全模擬，儀表讀取到的數(shù)據(jù)和ID號(hào)都是和原車(chē)芯片一致，所以愚蠢的儀表就被輕易的欺騙了。

下面就是所謂的模擬芯片，如下圖，一個(gè)小玩意，左邊是常規(guī)芯片，右邊是模擬芯片，大小差不多，但是模擬芯片長(zhǎng)度大一些，不過(guò)多出來(lái)的長(zhǎng)度是沒(méi)用的，只是為了方便手拿而已，在模擬芯片焊到車(chē)上之前要用鉗沿著CUT箭頭指示的位置剪斷多余的部分，剪完后大小就跟常規(guī)SOP-8芯片差不多了，可以直接焊接到原車(chē)芯片位置。

其實(shí)就是一個(gè)單片機(jī)（本身寫(xiě)有程序） 模擬IIC通訊 模擬芯片的讀寫(xiě)需要用一個(gè)專用配套的編程器，如下圖，usb直插直用，免驅(qū)動(dòng)，插入電腦后會(huì)顯示一個(gè)U盤(pán)盤(pán)符，內(nèi)部自帶編程軟件和說(shuō)明書(shū)，配套一個(gè)8腳夾子，可以直接夾住模擬芯片進(jìn)行讀寫(xiě)，這個(gè)很重要，畢竟模擬芯片是半孔工藝制作的焊盤(pán)，如果要先焊接模擬芯片到編程器，寫(xiě)好數(shù)據(jù)，然后拆卸模擬芯片，最后焊接到儀表的話，會(huì)發(fā)現(xiàn)，半孔工藝焊上容易，但是要拆下的話操作會(huì)很困難，并且也容易造成焊盤(pán)脫落導(dǎo)致芯片報(bào)廢，所以先用夾子進(jìn)行數(shù)據(jù)寫(xiě)入，最后直接焊上車(chē)上，這樣就不用先焊到編程器再拆下了，方便不少。

BMW X7 全液晶儀表

背面，沒(méi)啥特別的，就一個(gè)CAN通訊接口，包含了電源輸入，CAN通訊輸入等信號(hào)線

看一下標(biāo)簽，只知道是BOSCH給BMW生產(chǎn)的，其它不懂啥意思

這個(gè)表直接接電源是不會(huì)亮的，必須要配合車(chē)身控制器一起使用才能點(diǎn)亮，車(chē)身控制器（Body Domain Controller）俗稱BDC，也就是車(chē)身電腦板，負(fù)責(zé)控制車(chē)身各個(gè)系統(tǒng)車(chē)門(mén)車(chē)鎖，車(chē)窗，儀表盤(pán)等等許多功能，下圖看一下BDC長(zhǎng)啥樣，一大塊長(zhǎng)方形板子，上面一堆插頭，也說(shuō)不清干啥用，反正有配套好的線束，插上就是了

看下標(biāo)簽，一堆信息，看不懂

再看看線束，包含兩個(gè)大接頭，已經(jīng)插上了，還有一個(gè)鑰匙線圈，用于感應(yīng)車(chē)鑰匙，BDC要檢測(cè)到鑰匙和自身是配套的才能啟動(dòng)，還有一個(gè)小按鈕，用來(lái)模擬車(chē)上的電門(mén)開(kāi)關(guān)，也就是一鍵啟動(dòng)按鈕，最后有一個(gè)電源輸入接口，需要外接12V直流電。

看一下鑰匙是怎么放

將藍(lán)色的接頭接到儀表盤(pán)背后的接口上，最后看看一整套裝好是這樣子的

最后接上12V電源，啟動(dòng)一下，看看效果很酷，由于這個(gè)圖是后排的，已經(jīng)調(diào)過(guò)了，所以當(dāng)前顯示46KM，說(shuō)一下，BMW的里程是有一個(gè)算法的，寫(xiě)入的值最終顯示到儀表是有一點(diǎn)點(diǎn)誤差的，比如這個(gè)46KM實(shí)際調(diào)表調(diào)的是50KM，不過(guò)差個(gè)幾公里無(wú)所謂！

為了演示調(diào)表過(guò)程，把儀表又給拆了一遍，擰掉后背9顆螺絲，沒(méi)有難度，外殼有一圈特殊扣子，直接鉗子

大大的散熱片，還有一個(gè)精致的小風(fēng)扇，一顆ATMEL的芯片，還有些電源芯片MOS電容等等，這些看看就好，分析某個(gè)芯片是干啥的，那就長(zhǎng)篇大論了

拆掉固定主板的幾顆螺絲，取下排線，把主板翻個(gè)面，看看背面

一個(gè)大芯片SPANSION S6J334EJEE，不懂啥芯片，懂了也沒(méi)用，車(chē)芯片反正是用不起

左上角有一片應(yīng)該是EMMC吧

右邊還有幾顆小的看看就好

眼尖一些的人應(yīng)該看到有異常的位置了，就在紅箭頭位置，這個(gè)位置原本就是35128芯片的位置，由于已經(jīng)被調(diào)過(guò)了，所以現(xiàn)在看到的是焊上了模擬芯片了，手工爛焊得太丑，如果細(xì)心點(diǎn)的話可以以假亂真，小白都很難看出儀表被動(dòng)過(guò)手腳。

演示一下如何調(diào)表，首先把原車(chē)芯片35128從儀表上拆卸下來(lái)，焊接到一塊編程器轉(zhuǎn)接板上，如下圖

然后把編程器插入電腦，等待幾秒鐘，電腦里面會(huì)出現(xiàn) 35XX編程器 的盤(pán)符

打開(kāi)盤(pán)符，看到里面有幾個(gè)文件，有專業(yè)版的軟件，也有標(biāo)準(zhǔn)版的軟件，兩個(gè)軟件的功能是一樣的，就是界面操作不太一樣，具體就不做分析了。

打開(kāi)軟件之后等待幾秒鐘，等到軟件底部顯示編程器已連接的字樣就可以操作了，
第一步選擇芯片，選35128
第二步點(diǎn)讀取數(shù)據(jù)，等待讀取完成
第三步，點(diǎn)保存數(shù)據(jù)到文件，這個(gè)時(shí)候就把原車(chē)芯片的數(shù)據(jù)保存下來(lái)了
第四步，點(diǎn)讀取ID，等待讀取完成第五步，點(diǎn)擊保存ID文件，這個(gè)時(shí)候就把原車(chē)芯片的ID序列號(hào)保存下來(lái)了

然后，模擬芯片上場(chǎng)，夾子夾好模擬芯片，如圖，區(qū)分引腳序號(hào)反了可能會(huì)燒壞

然后繼續(xù)在軟件上操作
第一步，點(diǎn)打開(kāi)數(shù)據(jù)文件，打開(kāi)剛才讀取的數(shù)據(jù)，此時(shí)軟件底部會(huì)顯示當(dāng)前數(shù)據(jù)對(duì)應(yīng)的公里數(shù)
第二步，點(diǎn)調(diào)整里程，在對(duì)話框內(nèi)輸入要調(diào)整的公里數(shù)，可以選擇公里還是英里，對(duì)應(yīng)國(guó)內(nèi)車(chē)型和國(guó)外車(chē)型單位
第三步，點(diǎn)擊寫(xiě)入數(shù)據(jù)，等待寫(xiě)入完成，大概半分鐘
第四步，點(diǎn)擊打開(kāi)ID文件，打開(kāi)剛才備份好的原車(chē)ID文件
第五步，點(diǎn)擊寫(xiě)入ID，將ID寫(xiě)入模擬芯片內(nèi)，完成后，模擬芯片就可以以假亂真了

最后把模擬芯片多余部分剪掉，焊接到儀表板上即可

調(diào)整為10KM，實(shí)際顯示6KM

調(diào)整為16KM，實(shí)際顯示12KM，實(shí)際顯示比調(diào)整數(shù)值少4KM

結(jié)語(yǔ)

BMW在BDC上還保存了一份里程數(shù)據(jù)，正常情況下BDC和儀表盤(pán)顯示的公里數(shù)是一致的，要是發(fā)現(xiàn)不一致的話值小的一方就會(huì)被值大的一方改寫(xiě)進(jìn)行同步，也就是說(shuō)改完了之后直接接上BDC正常來(lái)說(shuō)應(yīng)該是會(huì)被BDC重新改寫(xiě)為原來(lái)的值，然而，目前還沒(méi)有辦法或者還不知道有什么辦法可以修改BDC內(nèi)保存的里程數(shù)。 這是科普帖并不是教改表，改表是需要一定技術(shù)含量，并不是看看文章就會(huì)了的，買(mǎi)二手車(chē)時(shí)要知道真實(shí)里程到4S査保養(yǎng)記錄一下就查出來(lái)了，或查變速箱里程，但問(wèn)題二手車(chē)商讓不讓查還是個(gè)問(wèn)題。

編輯：黃飛

?