home *** CD-ROM | disk | FTP | other *** search

---

/ Phoenix Rising BBS / phoenixrising.zip / phoenixrising / cellular / celltest.txt

< prev

next >

Wrap

Text File  |  1994-10-07  |  22KB  |  461 lines

---

1. The following file is a verbatim transcript of an article by the
2. same name appearing in the January, 1993 issue of NUTS & VOLTS
3. Magazine.  The six (6) accompanying photographs detailing
4. construction have been omitted.  Copyright (c) 1992 Damien Thorn
5. and T & L Publications.  Permission is granted to freely
6. distribute this file in unmodified form.  Identifying board
7. headers may be added as desired.
8.   
9.  
10.                 CELLULAR TELEPHONE MANUAL TEST MODE 
11.                How to Build and Use Programming Aids 
12.  
13.                          By Damien Thorn
14.  
15.  
16.  
17.  
18. Over the last few months in Nuts & Volts we've taken a close look
19. at cellular technology.  From an overview of the network to a
20. "hands-on" tutorial covering cellular telephone reprogramming. 
21. This article introduces the construction and use of a manual test
22. adapter to assist in reprogramming or diagnosing problems in
23. various cellular phones.
24.  
25. You can build this device in about five minutes with one part
26. from your local computer store or Radio Shack.  The simplicity is
27. elegant, and belies the powerful control you can achieve over
28. your cellular hardware.  Need to bypass the security code usually
29. required for programming, or display the relative signal strength
30. indication (RSSI) on a specific cellular channel?  With a manual
31. test adapter you're just a few keystrokes away from this and
32. more. 
33.  
34.  
35.  
36.                                 INTRODUCTION
37.  
38. As I mentioned last month, there is little money to be made by
39. cellular dealers in the sales of equipment.  Hardware prices are
40. so competitive that most dealers sell new equipment at close to
41. cost.  Dealers make their profit through commissions for signing
42. up subscribers for cellular service, and by installation and
43. repair.
44.  
45. Installing cellular phones is comparable to installing a CB
46. radio, and less difficult than wiring a car stereo.  Modern
47. cellular phones are so reliable that the phone itself rarely
48. needs to be serviced.  Ancillary equipment such as wiring and
49. antennas are usually the cause of any malfunction.  Probably the
50. most common service operation is programming. 
51. Whether you are activating cellular service for the first time,
52. or moving to another city, your cellular phone must be
53. reprogrammed with specific data supplied by the cellular service
54. provider (carrier).  Even changing the unlock code on the phone
55. requires reprogramming in many instances, often associated with a
56. fee ranging from $15-50.00. 
57. The vast majority of contemporary cellular phones are programmed
58. by punching in the data right on the keypad without the aid of
59. any external programming device.  And this service is often
60. performed by shop personnel with little technical skill.  With a
61. programming manual in front of her, I watched the receptionist at
62. a local dealer program a phone that was being exchanged by a
63. customer.
64.  
65.  
66. I use this example to illustrate how easy it is to reprogram a
67. phone.  There is really no reason you or I cannot perform this
68. task ourselves and save money.  Reprogramming can also become a
69. profitable additional service offered by independent technicians.
70.  
71.                                     Motorola's Test Mode
72.  
73. Motorola is probably the largest manufacturer of cellular phones. 
74. In addition to their own brands, they make phones for a plethora
75. of other companies.  I've always admired the quality of Motorola
76. communications equipment, and the test mode engineered into their
77. cellular firmware has scored them a few more points in my book.
78.  
79. The test mode is designed to be of assistance to cellular
80. technicians in the field, and is entered by grounding a specific
81. pin on one of the phone's connectors.  Once in test mode, the
82. technician has manual control over many of the functions normally
83. automated by the firmware.   The phone display can now be used to
84. indicate the status of various operational parameters. 
85. The most useful functions to the hobbyist and professional
86. programmer alike are those which allow the data stored in the
87. Numeric Assignment Module (NAM) to be reviewed and changed.  This
88. is not much different from using the standard programming mode,
89. except no special keyboard sequences and security codes are
90. required for access.  The manual test mode effectively bypasses
91. the software "front door" commonly used to enter programming
92. mode, and is invaluable when the security code is unknown or has
93. long since been forgotten. 
94. The rest of this article details the construction of a test
95. adapter and explains its use as applicable to cellular
96. programming.  From this point on I'm assuming you've read my
97. previous article or otherwise have at least a basic knowledge of
98. cellular programming. 
99. The basic style of the Motorola-manufactured phone will determine
100. how you go about placing the unit in test mode.  Palm-size folded
101. phones and the one-piece hand held devices do not require and
102. adapter.  A jumper between the contact designated as the "test
103. line" and ground is all that is required.
104.  
105.  
106.                            Activating Test Mode:  Hand held
107. Phones 
108. If your phone is one of the hand held types, slide the battery
109. pack off the unit.  The battery pack also serves as the rear of
110. the phone's external case.  On the top rear of the phone you
111. should see twelve contacts arranged in two horizonal rows as
112. depicted in Photo #1. 
113. Before you go any further, you should look at the model number of
114. the phone located on the back of the handset.   A typical model
115. number is "F09FSF9797."  The fourth letter (underlined) in this
116. string is important.  This indicates the phone is of the Motorola
117. "F" series and contains firmware that is programmed to allow us
118. to use the manual test mode.  The older "D" series phones do not
119. contain the appropriate firmware, and are not even programmable
120. from the keypad.  Do not attempt this procedure on a "D" series
121. phone.
122.  
123. Another way to make sure the phone is of the "F"  or higher (G,
124. H, I, etc.) series as opposed to the older "D" series is to
125. examine the plastic shroud which extends from the top of the
126. phone and partly covers the RF switch/antenna connector housing. 
127. The "F" (and newer) series phones have various notches molded
128. into the plastic shroud as can be seen in the photo. 
129. To reiterate, if the model number contains the letter "D" as the
130. fourth character, it does not have a test mode, and cannot be
131. reprogrammed from the keypad.  Do not attempt to place it in test
132. mode or you may damage the phone.  Once you are certain the phone
133. is of the "F" or higher series, you may proceed.  
134.  
135. The contact which serves as the test line is #6.  This is the
136. contact to the far right in the upper row, and should be the last
137. (and sixth) of the contacts comprising the top row of contacts.
138. Making a connection between this contact and ground will cause
139. the phone to enter the test mode when powered up.
140.  
141. The most convenient way I've found to accomplish this in lieu of
142. a special adapter or modified battery pack is to use a small
143. piece of wire as a jumper.  The short lengths that come with the
144. Radio Shack RS-232 jumper box we'll be discussing later work
145. perfectly, right out of the package!
146.  
147.  
148. To jump contact #6 to ground, I use a very small jewelers
149. screwdriver to carefully wedge one of the solder-tinned ends of
150. my jumper into the space between the contact and the plastic edge
151. to the right.  The snug fit assures decent electrical contact and
152. helps keep the jumper in place.  The other end of the jumper is
153. gently inserted in the crevice on the RF switch housing.  This
154. bare metal area is the most convenient ground and will even hold
155. the end of the jumper. 
156.  
157. Once you have the jumper connected, you need to flatten it
158. against the phone so that you can slide the battery back on
159. without dislodging it.  Photo #2 depicts the jumper in the proper
160. position to clear the battery pack.
161.  
162.                                    Palm-size Folded Phones 
163. The "Micro TAC" variety of miniature folded phones ("Flip-Fones")
164. manufactured by Motorola usually require a special battery to
165. activate the test mode.  You can simulate this battery with your
166. standard battery, however.
167.  
168. After removing the battery from the phone, you should see three
169. contacts in a row located in the lower right area of the phone. 
170. The two outer contacts are the battery connections.  Positive "+"
171. is to the left, and negative "-" is to the right.
172.  
173.  
174. The center contact is somewhat recessed and does not make contact
175. with the standard battery.  Your battery however, should have a
176. mating third contact present.  To place the phone in test mode,
177. you need to get the center contact to mate with the center
178. contact on the battery.  Strategic use of a small piece of folded
179. metal foil, solder wick or similar conductive material can be
180. used to extend the center contact on the phone so that it will
181. make contact with the third terminal of the battery.
182.  
183. If you attempt this procedure, immediately power up the phone to
184. make sure you have not shorted the battery terminals.  If the
185. phone does not come on at all or feels warm to the touch, quickly
186. remove the battery.  A shorted NiCad battery can explode, causing
187. serious injury. 
188.                               MINI-TR or Silver MiniTac phones 
189. Two specific phones - Motorola's MINI-TR or Silver MiniTac units
190. can be placed in programming mode by shorting the two contacts of
191. the hands-free microphone connector. 
192.                          Mobile Installations & Transportable
193. Phones 
194. These common phones are the type that consist of a handset
195. connected to a separate transceiver unit by a coiled cable
196. resembling the receiver cord of a standard landline telephone. 
197. The handset cable is terminated with a modular connector and
198. plugged in to a jack.  The control cable from the jack carries
199. the handset, power and options wiring.  This control cable is
200. connected to the transceiver with a 25-pin DB25 connector as
201. depicted in Photo #3. 
202. These phones are also placed in manual test mode by grounding the
203. test line.  The easiest way to accomplish this is by building a
204. small test adapter (also known as a "programming aid").  This
205. device is placed between the control cable and transceiver DB25
206. connectors allowing all the signals to pass through unaffected
207. with the exception of jumping the test line to audio ground. 
208.                                   Building the Test Adapter 
209. Construction of the test adapter is pretty straight forward.  The
210. same DB25 connectors used by Motorola have been used for years as
211. the standard RS-232-C connector on computer equipment.  You can
212. easily pick up a serial RS-232 inline jumper box from your local
213. computer, electronics or Radio Shack store.  The part number at
214. Radio Shack is #276-1403 and lists for $9.95 in their 1993
215. catalog.
216.  
217. The Radio Shack jumper box is designed for maximum flexibility
218. and as such does not have any of the pins preconnected.  Each
219. trace on the circuit board connecting the pins has a small break
220. which you will need to bridge with solder to allow the signals to
221. pass through.  Examine the PC board before beginning and follow a
222. few of the traces.  Note the difference between the break in each
223. trace and the small solder pads used for connecting jumpers.  You
224. only need to bridge the traces.
225.  
226.  
227.  
228. Once you've applied a small dab of solder to restore the
229. integrity of each trace, you are ready to install the jumper. 
230. The test line on these Motorola phones is pin #21.  Pin #20 is
231. the audio ground line.  You want to jumper (short) these two
232. pins.
233.  
234. Small numbers etched on the PC board indicate the jumper point
235. for each pin.  Locate the numbers 20 and 21 next to the small
236. solder pads.  Using one of the short jumper wires provided with
237. the device, place the ends through these two holes and solder
238. them down on the opposite side of the board.  Photo #4 depicts
239. proper jumper installation, although I left one end of the jumper
240. unsoldered to illustrate it going through the board to be
241. soldered on the other side. 
242. That completes the construction of a handy programming aid for
243. Motorola cellular phones, and you have a small packet of left
244. over jumpers that are perfect for jumpering the test line contact
245. on the hand held units.  Be sure to save them.
246.  
247. To use the test adapter, place it between the control (handset)
248. cable and the transceiver as shown in Photo #5.
249.  
250.                                      Test Mode Commands
251.  
252. Once you've jumpered the appropriate contact or applied the test
253. adapter, it's time to turn on the phone.  When the phone powers
254. up, a series of digits should appear in the display similar to
255. those shown in Photo #6.  They should alternate with another
256. series of digits.  This indicates your phone is in the manual
257. test mode.
258.  
259. One display consists of two numbers, each three digits in length. 
260. The set to the right is the channel number designator for the
261. specific cellular frequency the phone is receiving from your
262. local cell site (tower).  The right-most trio is the relative
263. signal strength indication (RSSI) of the received frequency.
264.  
265. The seven-digit number alternating with the channel/RSSI display
266. provides the technician with additional status information.  Each
267. individual digit in the field is actually an independent status
268. register.  With a letter substituted for each of the seven
269. digits, this is what they represent: 
270.                                         A B C D E F G
271.  
272. Position A - SAT Frequency.  Indicates which of the three SAT
273. lock frequencies is being used by the phone.  In this position a
274. "0" = 5970Hz, "1" = 6000Hz, "2" = 6030Hz, "3" = No SAT lock.
275. Position B - Carrier Status indication.  "0" = carrier off, "1" =
276. carrier on. Position C - Signalling Tone.  "0" = tone off, "1" =
277. tone on. Position D - RF Power Attenuation Level.  "0" through
278. "7" are valid values. Position E - Channel designation.  A "0" =
279. voice channel, "1" = control data channel. Position F - Audio
280. Mute (receive).  "1" = received audio is muted, "0" = unmuted.
281. Position G - Audio Mute (transmit).  "1" = transmitted audio is
282. muted.  "0" = unmuted. 
283. The meaning of all these status registers is fairly complex and
284. has no bearing on cellular reprogramming.  This display, like the
285. majority of the test commands, are only of value to an engineer
286. placing the phone under test with a cellular service monitor. 
287. Table "A" lists the test commands that can be of assistance in
288. reprogramming.  I have omitted the test commands designed for use
289. with a service monitor, as issuing them without the phone
290. connected to a monitor may cause interference to the cellular
291. network.  You may own the phone, but the cellular provider owns
292. the FCC license that allows you to use it.  Operating the
293. transmitter in the phone in a manner inconsistent with this
294. license could subject you to loss of service and possible legal
295. trouble.
296.  
297.                                       Issuing Commands
298.  
299. If your phone did not come up with the status display described
300. above, you may need to manually instruct the phone to do so. 
301. Pressing "#" enters the test command mode, and "02#" is the
302. command to display the status registers.  If you enter a command
303. improperly, the phone will scroll the word "error" across the
304. display.
305.  
306. If you need to review the current programming data stored in the
307. NAM, enter "55#" which instructs the phone to enter the
308. programming mode.  You can scroll through the contents of NAM
309. displaying the stored values by repeatedly pressing the "*" key. 
310. Actual reprogramming through this mode is considerably more
311. difficult than through the standard programming mode.  The test
312. mode does not display a step number to let you know what
313. programming step you are at, and the information is stored and
314. displayed in a different order. 
315. Many programmers simply use this mode to obtain the security
316. code, exit test mode and program the phone in the normal fashion. 
317. As you step through the NAM contents with the "*" key, the
318. security code is the only six-digit number you'll see that isn't
319. binary.  Once you've written it down, continue to step through
320. NAM until you see the "tick mark" in the display (it looks like
321. an apostrophe) and exit test mode by turning off the phone.       
322.                                        
323. Motorola designed their phones so that they could only be
324. programmed three times.  I don't know the rationale for this, but
325. a firmware counter increments each time the phone is
326. reprogrammed, and after the third time it will no longer enter
327. programming mode.  The instruction booklet that accompanies the
328. phone instructs you to take it to the dealer where you bought it.
329.  
330. If you took the phone to a dealer, they would put the phone in
331. test mode (just like we're doing) and enter the command "32#"
332. which resets the counter to zero, allowing the phone to be
333. reprogrammed three more times.  Do it yourself and save!
334.  
335. Many phones also have a cumulative call timer that counts the
336. total number of minutes the phone has been used for calls
337. (actively transmitting).  This "autonomous timer" (that you were
338. told was not resetable) can be cleared and reset to zero by
339. punching in "03#" while in test mode. 
340. Another useful command is "38#" which causes the phone to display
341. the Electronic Serial Number (ESN) that is burned in ROM.  The
342. phone will display the ESN one hex byte at a time.  Press "*" to
343. increment to the next byte.  Note that the display shows four
344. numbers.  The two to the left indicate which byte you are viewing
345. (00, 01, 02 or 03), and the actual value of that byte is at the
346. right of the display.
347.  
348. You can punch in "19#" if you'd like to view the software version
349. number resident in your phone.
350.  
351.                                          Conclusion
352.  
353. You should now have an understanding of the test mode inherent in
354. cellular phones manufactured by Motorola, and if you've followed
355. this series of articles in recent issues of Nuts & Volts, the
356. operation of the cellular network and reprogramming procedures
357. are no longer so mysterious. 
358. Your questions and comments are always welcome, and you can write
359. or send E-mail directly to me as mentioned below.  If plan to do
360. much programming or would like detailed information on the
361. cellular network, you would benefit greatly by investing in one
362. of the detailed technical publications offered in these very
363. pages.  I've listed the publishers of several good volumes in a
364. sidebar, and you'll find their ads scattered throughout this
365. magazine. 
366. As a final note, you should be aware that the use of this
367. information is undertaken at your own risk.  Although most of
368. this information was triple-checked against available technical
369. documentation, none of it originated directly from Motorola.  I
370. doubt you'll have a problem, but you never know when a
371. manufacturer might change their specifications. 
372. *****************************************************************
373. ************* 
374.  
375.                                   TEST MODE COMMAND SUMMARY 
376.  
377. The following is a summary of some of the commands available from
378. within the test mode on most cellular phones manufactured by
379. Motorola.
380.  
381.  
382. COMMAND              DESCRIPTION
383.  
384.        #             Initial keystroke to enter test command
385. mode.    01#        Reboot phone (begin power-up routine).
386.    02#        Display status registers.
387.    03#        Reset "autonomous timer" to zero minutes.
388.    04#        Initialize transceiver.
389.    07#        Mute audio (received).
390.    08#        Unmute audio (received).
391. 11XXX#               Load frequency synthesizer with specific
392. cellular channel (XXX = 3-digit                      decimal
393. channel designator).
394.    13#        Power down the phone (off).
395.    19#        Display software version number.
396.    32#        Initialize NAM.  Erases all programmed data! 36XXX# 
397.              Activate channel scanning.  Pauses on each channel
398. for XXX milliseconds.                       Keying "#" aborts
399. scanning.
400.    38#        Display Electronic Serial Number (ESN).
401.    45#        Display current relative signal strength (RSSI) of
402. currently loaded channel.    53#        Enables scrambler option
403. if phone is equipped.    54#        Disables scrambler option if
404. phone is equipped.    55#        Programming mode -
405. display/change NAM contents. 
406.  
407.  
408.  
409. *****************************************************************
410. ************* 
411.  
412.                               Sources of Additional Information 
413.  
414.  
415. The following companies distribute publications that offer
416. detailed instructions and information pertaining to cellular
417. programming and various aspects of cellular hardware: 
418. Spy Supply
419. 7 Colby Court, Suite 215
420. Bedford, NH 03110
421. (617) 327-7272
422.  
423.  
424. TeleCode
425. P.O. Box 6426
426. Yuma, AZ 85366-6426
427. (602) 782-2316
428.  
429.  
430. Consumertronics
431. 2011 Crescent Drive
432. P.O. Box 88310
433. Alamogordo, NM 88310
434. (505) 434-0234
435.  
436.  
437.  
438.  
439.  
440.  
441. *****************************************************************
442. ************* 
443.  
444.  
445.                                       AUTHOR BIOGRAPHY
446.  
447.                                       (For publication)
448.  
449.  
450.  
451. Damien Thorn's interest in electronics has deep roots.  A noted
452. "hacker" and "phone phreak" by age sixteen, he contributed
453. regularly to the underground newsletter "TAP."   Today Damien is
454. an on-air radio personality and FCC licensed engineer in
455. California's San Joaquin Valley.  His interests include
456. computers, communications, security and privacy issues.  He
457. welcomes questions and comments.  You can reach him at 6333
458. Pacific Ave. #203, Stockton, CA 95207-3713 or via E-Mail as
459. Damien@prcomm.com via the Internet.
460.  
461.