home *** CD-ROM | disk | FTP | other *** search
/ TAP YIPL / TAP_and_YIPL_Collection_CD.iso / PHREAK / CELLULAR / MIT800.TXT < prev    next >
Encoding:
Text File  |  1999-08-11  |  29.5 KB  |  599 lines

  1.  
  2.  
  3. ==============================================================================
  4.                               RELEASED ON 06/20/93
  5. ==============================================================================
  6. ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
  7. :::::::: ____ : ____ : _ :::: _ :::::::::: _ : _ : ____ : _ :::: _ :::::::::::
  8. ::::::: |    | | ___| | | :: | | :::::::: | | | | | ___| | | :: | | ::::::::::
  9. ::::::: | ||_| |  _|  | | :: | | ::: ___  | |_| | |  _|  | | :: | | ::::::::::
  10. ::::::: | | _  | | .: | | :: | | :: |___| |  _  | | | .: | | :: | | ::::::::::
  11. ::::::: | || | | |__  | |__  | |__        | | | | | |__  | |__  | |__ ::::::::
  12. ::::::: |____| |____| |____| |____| ::::: |_| |_| |____| |____| |____| :::::::
  13. ::::::::.    .:.    .:.    .:.    .:::::::. .:. .:.    .:.    .:.    .::::::::
  14. ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
  15. ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
  16. ::::::::::::THE:DIRECTORY:OF:CELLULAR:MODIFICATION:::MITSUBISHI:800:::::::::::
  17. :::::::::::::...:.........:..:........:............:::..........:...::::::::::
  18. ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
  19. ==============================================================================
  20.                 WRITTEN, CREATED, AND TESTED BY VIDEO VINDICATOR
  21. ==============================================================================
  22.  
  23.  
  24. INTRODUCTION
  25. ~~~~~~~~~~~~
  26.   Here it is... The long awaited first file on cellular modification... Not
  27. just some bullshit that tells you how to reprogram the NAM, but the down and
  28. dirty ripping of the ESN.  This is the first in what should (and hopefully)
  29. will be a neverending series of files from me on some of out happy cellular
  30. manufactures fine (and not so fine) products.
  31.  
  32.   In the interests of keeping health and happy, this modification was
  33. completely test on 10 test humans, who said they had no problems, except a
  34. large growth located behind their left ear... Cellular phones causing
  35. cancer?  Ya right, I think my toilet puts out more harmful (and the key word
  36. is harmful) radiation then a fucking 0.5 watt handheld.  And shit, even if
  37. it does, I'll still use 'em.
  38.  
  39.     This file deals with the general layout of the Mistubishi 800, as well
  40. as includes the binary for a generic tumbling modification, which will be
  41. covered later in the file.
  42.  
  43.  
  44. WHAT YOU'LL FIND INSIDE
  45. ~~~~~~~~~~~~~~~~~~~~~~~
  46.   The Mitsubishi has got to be one of the best phones out there to modify,
  47. since it requires only the most minimum permanent modification to occur, and
  48. NO soldering on the PC Boards themselves!
  49.  
  50.   The ESN is located on what I have refered to as Board C in the first
  51. diagram below.  This chip was manufactured by CSI and is a 93C64K.  One easy
  52. way in which to modify this peticular phone would be to replace it with a
  53. ZIFF socket, and an EEPROM (or preferably a flash prom) which would contain
  54. the new ESN.
  55.  
  56.   The software chip is locates on the underside of Board A, and is a
  57. standard 27C256 (32K) software EPROM.  For the sake of compatability, I have
  58. included the binary source to the version I preformed this modification on
  59. (and there are several other revisions out there!).  To replace it, simply
  60. choose a EEPROM that is faster than 25ns (I would recommend a 15), and if
  61. you plan on tampering with the software at all, then get flash proms.  Make
  62. sure that the chip you program has the proper checksum, which is E1A5, and
  63. for your own information this is revision CB6.
  64.  
  65.   The phone uses a Mitsubishi proprietary processor, the M50747, which was
  66. discontinued this year, and replaced by the M38000.  This is a Motorol
  67. 68HC11 compatible chip, and does not have any special instructions AS FAR AS
  68. I KNOW. If you are interested in modifying it, there are quite a few PD
  69. cross-assemblers out there, although I have only seen a very few copyrighted
  70. programs.
  71.  
  72.  
  73. DISASSEMBLING THE PHONE
  74. ~~~~~~~~~~~~~~~~~~~~~~~
  75.   Unlike what most people would like you to believe, this is probably on of
  76. the easiest modifications to do, requiring very little soldering.  The only
  77. tools required to remove the boards from the Mitsu 800 are a small flathead
  78. screwdriver, a small phillips, and a set of Allen wrenches.  Here we go...
  79.  
  80. (1) Remove the handset and cradel/battery from the main phone component.
  81. (2) Remove the three allen head screws from the main body, and then gently
  82.     pry the top off with the screwdriver.
  83. (3) Remove the four phillips screws from Board B (refer to diagram), and
  84.     unplug all of the exposed antenni relays, as well as all of the wire
  85.     connections.
  86. (4) Gently pry the board up with the screwdriver, making sure to keep the
  87.     board level (so as not to bend the pins connecting board B to A.
  88. (5) Remove the antenni lead from the metal casing surrounding Board D, and
  89.     then unscrew board C.
  90. (6) Remove the EPROM from the underside of Board A with the screwdriver.
  91.     It is installed in a tower and requires no soldering (how thoughtful
  92.     of them).
  93.  
  94. That's it, the unit is as disassembled as we need.
  95.  
  96.  
  97. THE BOARD LAYOUT
  98. ~~~~~~~~~~~~~~~~
  99.   Here is the top view of the phones' boards, and the screw locations.  This
  100. is 1/3 scale on a NEC 4D.
  101.  
  102.  
  103.              .----CONNECTED-----.  BOARD C
  104.              |                  |   ___
  105.              |     BOARD A      |  |  o|                LEGEND
  106.         ___  |  _____________   |  |###|                ~~~~~~
  107.        / O |___|             |  |                       # - Wire connect
  108.       |     ###    o        o|  |____|                  : - Drop Pins
  109.       |                      |                          o - Screw for Board
  110.       |               (1)   O|                          O - Case screw
  111.       |           ___________|                          1 - Processor
  112.       |          |_                      BOARD B
  113.       |           :|                   ____________
  114.       |   o       :| <--CONNECTED-.   |o           |
  115.       |           :|              |   |:       o   |
  116.       |           :|              `-> |:           |
  117.       |          |                    |:           |
  118.       |         _|                    |:   o       |
  119.       |       #|                      |            |
  120.       |       #| <-----.              |            |
  121.       |   o   #|_      |              |            |
  122.       |____      |     |              |            |
  123.           ~| # O |     |              |            |
  124.       .--> |_#___|     |              |            |
  125.       |                |              |            |
  126.       |             CONNECTS          |    o      o|
  127.    CONNECTS         TO BOARD D        |            |
  128.    TO POWER         (NOT SHOWN)       |____________|
  129.    INPUT
  130.  
  131. General Information on the Boards involved
  132.  
  133. BOARD A - The Main board, controls all the other boards in the phone.  All
  134.           antenni relays and power controls are present here.  The Software
  135.           EPROM is also on this board.  Battery and NAM functions also
  136.           reside here.
  137.  
  138. BOARD B - Controls all recieve functions, and also tone synthesis for
  139.           reverse channels.  Tone crystal is located on board A  Antenni
  140.           loops from Board D.
  141.  
  142. BOARD C - This board only contains the ESN.
  143.  
  144. BOARD D - Controls all transmit functions, and also the D/A conversion
  145.           process. Antenni Loops from board A.
  146.  
  147.  
  148. BOARD A REVERSE SIDE CLOSEUP
  149. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  150.          LEGEND
  151.          ~~~~~~
  152.          + - Inputs from Board B
  153.          s - Crystal for subaudible tones
  154.          c - Crystal for Touchtones
  155.          O - Case Screw
  156.          o - Screw for Board                 ___________________
  157.          Z - Input for Handset              |O           o  ZZZZ|
  158.          Y - Handsfree/Horn Hookup          |          BBB  ZZZZ|
  159.          X - Power Hookup                   |          BBB   YYY|
  160.          C - Software EPROM                 |                YYY|
  161.          B - Battery                        |CCCCCCCCCC s    YYY|
  162.          H - TDK Heatsinks                  |>CCCCCCCCC s   XXXX|
  163.                               ___________   |CCCCCCCCCC     XXXX|
  164.          _________        ___|+++++++++++|__|           o   XXXX|
  165.         |O        |______|                                      |
  166.         |                                                       |
  167.         |                                                      _|
  168.         |                                                     |
  169.         |____                                ccc              |
  170.              |_ o                    o                        |_
  171.                |                                                |
  172.                | HHHHHHHHHHHHHHHH HHHHHHHHHHHHHHHH             O|
  173.                |_HHHHHHHHHHHHHHHH_HHHHHHHHHHHHHHHH_____________/
  174.  
  175.  
  176. BOARD C CLOSEUP
  177. ~~~~~~~~~~~~~~~
  178.   This is the main board that we will be concerned with in the modification,
  179. since this is the primary piece modified.  On the
  180. Facing down diagram, the '%' represent the ESN IC,
  181. which is identified above.  The '.'s represent       W1 Y1 Y2 Y3 Y4 Y5
  182. solder spots... Now one thing that is interesting,   :  :  :  :  :  :
  183. if you notice on the facing up side, there is a      :  :  :  :  :  :
  184. ':' between two of the solder spots.  This is their  :  :  :  :  :  :
  185. Security fuse... Wow, real                           :  :  :  :  :  :
  186. secure.  The easiest way     FACING DOWN             :  :  :  :  :  :
  187. to bypass this (or      ____________________       __################__
  188. any you might come     |  .  .  .  .  .  .  |     |  ################  |
  189. across that are the    |                    |     |  . . . .  . . . .  |
  190. same layout), is to    |  | | | |   | | | | |     |               :    |
  191. simply find out the    |  %%%%%%%           |     |  ` ` ` `  ` `.` `. |
  192. pinout assignments,    |  %%%%%%%   | | | | |     |                .   |
  193. and then connect the   |  | | | |           |     |                    |
  194. appropriate pins into  |          .   /~~\  |     |  /~~\   .          |
  195. your EPROM reader (Or  |  . . . . .   \__/  |     |  \__/   . . . . .  |
  196. use a logic probe that |____________________|     |____________________|
  197. will creat an IBM
  198. formatted disk which is then read).               FACING UP / CONNECTS TO A
  199. I will hopfully have another mod for this same
  200. phone, using a very similar setup that connects to the HP 95LX and uses it
  201. as a real-time psydo-prom (one of the advantages of my operating system for
  202. the HP).
  203.  
  204.  
  205. REPROGRAMMING THE NAM
  206. ~~~~~~~~~~~~~~~~~~~~~
  207.   The Mitsu 800 is like all of the Mitsu family, and can be reprogrammed an
  208. unlimited amount of times through the handset.  Although this procedure has
  209. been outlined elsewhere, I will go into a little more detail about what
  210. exactly each option means.
  211.  
  212.   To enter programming mode, power up the unit, and hold the (STO)re button
  213. down, while entering '5474432'.  Release (STO)re and it should display the
  214. following information; remember, press SEND to move to the next option:
  215.  
  216.  
  217.  OPTIONS         DISPLAY     DESCRIPTION
  218. ---------------|-----------|---------------------------------------------
  219.  0/1             DUAL        Dual number mark (0 = Single / 1 = Dual)
  220.  (xxx)xxx-xxxx   NO1         10 Digit Mobile phone number
  221.  xxxxxx          SID1        6 Digit Station ID Number (Odd [A] / Even [B])
  222.  0/1             LU1         Local use mark (Preregistration 0 = Disabled
  223.                              1 = Enabled)
  224.  0/1             MIN MARK    Min Mark
  225.  0333/0334       IPCH        Paging Channel (0333 = A / 0334 = B)
  226.  00-15           ACCOLC      Access Overload Class
  227.  0/1             PS1         Prefered System for First phone number
  228.  00-15           GI1         GIM Mark for First phone number
  229.  xxxx            SECURITY    Security code to lock/unload phone
  230.  0/1             EE          Use DTMF (0 = External / 1 = Internal)
  231.  0/1             DT          Discontinuous Transmittion
  232.  0/1             HF          Horn Alert (0 = On / 1 = Off)
  233.  0/1             INHIBIT     Roam Inhibit (0 = Able to Roam / 1 = Unable)
  234.  0/1             C TONE      Continuous DTMF Tones (0 = Enable / 1 = Disable)
  235.  0/1             SYS A/B     System A or B selection (0 = A / 1 = B)
  236.  0/1             DUAL HS     Dual Handsets (0 = Disabled / 1 = Enabled)
  237.  0/1             INHIBIT LD  Inhibit Long Distance (0 = LD / 1 = No LD)
  238. ---------------|-----------|---------------------------------------------
  239.  
  240.   To exit the programming mode, and store the changes, press END.  The phone
  241. will then reset and display all of it's information.
  242.  
  243.  
  244. THE IMFAMOUS 800 MOD
  245. ~~~~~~~~~~~~~~~~~~~~
  246.     This peticular mod is unlike most, since the eprom is a 27C256 and has
  247. little remaining room in it.  Also, Mitsubishi scattered their software
  248. throughout the prom as well, making it even more difficult.
  249.  
  250.     The software for this mod is located in the following hex locations:
  251.  
  252.                             7236H to 7490H
  253.                             7500H to 7CF1H
  254.                             7D65H to 7EFFH
  255.  
  256.     There are also pointer reassignments at the following hex locations:
  257.  
  258.         0D0DH       130DH       185AH       285FH       2CCDH
  259.                     4C4FH       4E37H       6B2CH
  260.  
  261.     Now on to the actually workings of the modification.  Installation is
  262. simple, just replace the existing software eprom with the new modified one,
  263. and then close the phone back up.  Make sure to reconnect ALL of the antenni
  264. leads, since if you do not, you will have problems.
  265.  
  266.     This peticular mod is just the basic roamers scam, which means the phone
  267. is registered to the local systems (usually the B side) as an out-of-state
  268. cellular.  Then, due to the roamers agreement most of the carriers adhear
  269. to, it allows you to make overseas, long distance, local, 950, and 800
  270. (pretty much the whole 9 yards) calls without validation.  Now, validation
  271. is processed once the call is initiated, but they will not normally
  272. disconnect you when it is discovered.  If you get a message which states
  273. "Welcome to Cellular One", "Cellular service to this phone has been
  274. temporarily disconnected.", or "Sorry, this number is not registered", then
  275. simply attempt a new number set.  If you happen to live in an area that is
  276. not 'roam-able' (such as CA, TX, or IL), then you will more than likely only
  277. be allowed to make local, 950, and 800 calls.  If you happen to a connection
  278. country (Mexico or Canada), you will be allowed to make country-wide calls,
  279. 800, and connecting state calls (i.e. In Canada to Montana, or Mexico to
  280. Texas).  Here's how to active the mod...
  281.  
  282.     Power up the phone, and then enter the NAM programming mode, then
  283. proceed to press [SEND] until you reach the phone number location.  Enter an
  284. OUT OF STATE phone number, and then valid cellular prefix... The last four
  285. digits are not important, and may remain fixed.  Next progress to the ACCOLC
  286. (Access Over load Class), which is the first part of the tumbled ESN
  287. (described later).  Set this field to 00, and then add one to it every time
  288. the phone gets deactivated. When you reach 15, set it back to 00 and change
  289. the security.  The last portion of this mod which needs to be changed is the
  290. SECURITY, which should be set to a number ending with either an 8, 9, or 0.
  291. Here is the ratio of changes:
  292.  
  293.                         First to change:
  294.  
  295.     ACCESS      6 beeps     Change up to 15 times to avoid "service
  296.                             suspended" message with 01 through 15
  297.                             (Change 100% of the time)
  298.  
  299.                         Second to change:
  300.  
  301.     SECURITY    9 beeps     Change after no ACCESS changes work, to avoid
  302.                             "welcome to","sorry unregistered" etc messages
  303.                             with any 4 digits with 3,5,8,9 or 0 at the end.
  304.                             (Change about 60% of the time)
  305.  
  306.                         Third to change:
  307.  
  308.     NUMBER      1 beep      Change after no SECURITY changes work with
  309.                             one of the above valid area code and prefix
  310.                             numbers with any last 4 digits.
  311.                             (Change about 30% of the time)
  312.  
  313.                         Last to change:
  314.  
  315.     AREA CODE/PREFIX        Change after no NUMBER changes work
  316.                             (Change about 10% of the time)
  317.  
  318.     I would recommend the following settings for use with either the A or
  319. the B systems:
  320.  
  321.  
  322.             DISPLAY     A SETTINGS          B SETTINGS
  323.            -----------|-------------------|------------------
  324.             DUAL        0                   0
  325.             no1         Use list for A      Use list for B
  326.             Sid1        00027/00019         00002/00034
  327.             LU1         1                   1
  328.             E1          1                   1
  329.             IPCH1       0333                0334
  330.             ACCoLC1     00-15               00-15
  331.             PS1         1                   0
  332.             G11         10                  10 or 12
  333.             SECURITY    0008-9999           0008-9999 (end with 8 or 9)
  334.             EE          1                   1
  335.             dt          0                   0
  336.             HF          1                   1
  337.             InHIbIt     0                   0
  338.             C tone      1                   1
  339.             SyS Ab      1                   1
  340.             dUAL HS     0                   0
  341.             InHIbIt Ld  0                   0
  342.            -----------|-------------------|------------------
  343.  
  344.  
  345. WHAT THE CELLSITE SEES
  346. ~~~~~~~~~~~~~~~~~~~~~~
  347.     This will give you an idea of what exactly you are doing when you change
  348. any of the information in the NAM programming area.  Using this table, it
  349. would even be feasible to use this phone, like a clone, by simply entering
  350. in the ESN in the tables method, and then entering the corresponding phone
  351. number. The full 8 digit hexidecimal ESN is controlled solely by the ACCOLC
  352. and SECURITY in the program.  No other data revealed on the DDI is
  353. transmitted.
  354.  
  355.     SECURITY IS SET ON 1238 AND REMAINS UNCHANGED (positions 4,5,8 & 1)
  356.  
  357.              ESN             ACCOLC  NOTES
  358.              ~~~             ~~~~~~  ~~~~~
  359.              1 23 45 67 8    xx      1-8 ESN Digit Positions
  360.              - -- -- -- -    --
  361.              8 1F 12 00 3    00      As ACCOLC is changed note pos 6&7 and
  362.              8 20 12 01 3    01      2&3 change as pos 1,4,5,8 remain the
  363.              8 21 12 02 3    02      same.
  364.              8 22 12 03 3    03
  365.              8 23 12 04 3    04
  366.              8 24 12 05 3    05
  367.              8 25 12 06 3    06
  368.              8 26 12 07 3    07
  369.              8 27 12 08 3    08
  370.              8 28 12 09 3    09
  371.              8 29 12 0A 3    10
  372.              8 2A 12 0B 3    11
  373.              8 2B 12 0C 3    12
  374.              8 2C 12 0D 3    13
  375.              8 2D 12 0E 3    14
  376.              8 2E 12 0F 3    15
  377.  
  378.     Note while security only affects positions 4,5,8 & 1 respectively the
  379. changing of the ACCOLC 00-15 changes not only its positions 6 and 7 into its
  380. hexedecimal equivalents but also steps in sequence positions 2 and 3 through
  381. 1F-2E to correspond to 00-15.
  382.  
  383.         ESN DIGIT POSITIONS:
  384.  
  385.     MFR:    1   DIGIT 4 OF SECURITY         CAN ONLY BE NUMBERS 8,9 OR 0.
  386.             2   CHANGED BY ACCOLC           POSITIONS 2&3 TOGETHER 1F-2E
  387.     SN:     3   CHANGED BY ACCOLC           POSITIONS 2&3 TOGETHER 1F-2E
  388.             4   DIGIT 1 OF SECURITY         CAN BE ANY NUMBER
  389.             5   DIGIT 2 OF SECURITY         CAN BE ANY NUMBER
  390.             6   DIGIT 1 OF ACCOLC           POSITIONS 6&7 ACCEPT ONLY 00-15
  391.             7   DIGIT 2 OF ACCOLC           POSITIONS 6&7 ACCEPT ONLY 00-15
  392.             8   DIGIT 3 OF SECURITY         CAN BE ANY NUMBER
  393.  
  394.     Security with the following last digit gives the following responses due
  395. to the fact that the first 2 digits are the manufacturers code and a
  396. non-valid mfr code yields an improper registration.
  397.  
  398.         1,2,3,4,5,6,7       "SORRY NOT PROPERLY REGISTERED FOR SERVICE"
  399.         0,8,9               CONNECTION ALLOWED
  400.  
  401.     The following DDI reverse channel log is with the phone number set to
  402. (617) 571-4590, and Access Overload set to 01, and the Security set to 7418:
  403.  
  404.                     ----- Mobile Request ------
  405.                     SAT=2
  406.                     Continuous, 25 Mhz BW
  407.                     571-4590 (617) Page
  408.                     MFR: 82  SN: 074011  (2181513233)
  409.                         130      475153
  410.                     Dialing: 80055512
  411.                     Dialing: 12
  412.  
  413.     This should give you a good idea of how the phone could easily be used
  414. in a clone-type method, although it would have signifigant limits.
  415.  
  416.  
  417. MIT800.EXE: THE PROGRAM
  418. ~~~~~~~~~~~~~~~~~~~~~~~
  419.     The executable included along with this will allow you to enter and ESN,
  420. and then test it for validity in the mod.  If it is valid, it will show you
  421. the proper settings to make the phone.  To use this, simply select option
  422. '1', and then enter the HEX ESN, like 82A92128 (8 chars long), and press
  423. return.  The program will process the data, and output the appropriate
  424. response.
  425.  
  426.     Although this version does not support the DDI scan utility, what it
  427. will allow you to do is enter a DDI log file, and then the program will
  428. search through all the reverse channel data and redirect all valid NAM/ESN
  429. pairs to a designated file.  This is especially convienient due to the
  430. limits set upon the ESN generation.
  431.  
  432.     If anyone out there is using something other than the DDI box to recieve
  433. reverse channel, contact me and I'll make an import filter for that systems
  434. capture file structure as well.
  435.  
  436.  
  437. PHONE SPECIFICATIONS
  438. ~~~~~~~~~~~~~~~~~~~~
  439.   For those who are interested in making more modifications for this very
  440. versatil phone, here are the TR/RX and power specs:
  441.  
  442.     Frequency Channel       824.040 - 848.970 Transmitter
  443.                             869.040 - 893.970 Receiver
  444.     Number of Channels      832
  445.     Spacing                 30 kHz
  446.  
  447.     Power Supply            13.7 VDC +/- 20%
  448.  
  449.     Standby Drain           90 mA Approx.
  450.     Transmit Mode at Max    1350 mA Approx.
  451.  
  452.     Battery Capacity        Standby         Transmit        Transmit
  453.         1400 mAh                            Max RF          Min RF
  454.                             15 Hours        55 Minutes      90 Minutes
  455.     Charge Time             5 Hours
  456.     Battery Operating Temp  0 to +40 C
  457.               Storage Temp  -30 to +70 C
  458.  
  459.     Power Output            3 Watt @ BNC Connector
  460.                             50 ohm impedance
  461.     Power Control           8 levels 4 db Apart
  462.         WATTS
  463.         LEVEL   0       1       2       3       4       5       6       7
  464.         [High]  4.7     1.9     .760    .300    .120    .048    .019    .008
  465.         [Norm]  3.0     1.2     .480    .190    .076    .030    .012    .005
  466.         [Low]   1.2      .480   .190    .076    .030    .012    .005    .003
  467.  
  468.         dBm
  469.         LEVEL   0       1       2       3       4       5       6       7
  470.         [High]  36.8    32.8    28.8    24.8    20.8    16.8    12.8    8.8
  471.         [Norm]  34.8    30.8    26.8    22.8    18.8    14.8    10.8    6.8
  472.         [Low]   30.8    26.8    22.8    18.8    14.8    10.8     6.8    2.8
  473.  
  474.     Spuriout Output         -48 dBc
  475.  
  476.     Adjacent Channel Power  -25 dB
  477.     Frequency Stability     +/- 2.5 PPM
  478.     Audio Distortion        -26 dB (5%)
  479.     FM Hum & Noise          -32 dB
  480.     Voice Modulation        300 - 3000 Hz
  481.             Compressor      2:1 CCITT
  482.             Pre-Empasis     +6 dB per Octave
  483.     Deviation Voice         +/- 10.8 kHz +/- 10%
  484.  
  485.     Ch. Switching Time      20 ms adjacent channel
  486.                             40 ms non-adjacent channel
  487.     Data encoding           10 kb/s Manchester
  488.     SAT Transponsding       5970, 6000, 6030 Hz +/- 1 Hz
  489.         Phase Error         +/- 20 Degrees Maximum
  490.         Setting Time        250 ms
  491.         Measuring Time      250 ms
  492.     DTMF Encoder            95 +/- 5ms Tone, Fixed
  493.          Interdigit Time    65 +/- 5ms Minimum
  494.          Voice              Suppressed during DTMF
  495.  
  496.  
  497. PIN ASSIGNMENTS FOR HANDSET
  498. ~~~~~~~~~~~~~~~~~~~~~~~~~~~
  499.   Here are the Pin assignments for the handset, so you can build your own
  500. RJ-11 interface and skip paying the money-loving cellular companies for one.
  501. They are fairly straightforward, and if you were successful modifying the
  502. phone, this should pose little difficulty.
  503.  
  504.     NAME        PIN  IN/OUT    SIGNAL TYPE   DESCRIPTION
  505.    ------------|---|---------|-------------|------------------------------
  506.     RX Audio +   1   OUT       AF            Balanced 10K ohms
  507.     RX Audio -   2   OUT       AF            Balanced 10K ohms
  508.     TX Audio     3   IN        AF            Unbalanced 10K ohms
  509.     Ground       4   N/A       N/A           N/A
  510.     HS-Outdata   5   OUT       LOGIC         Serial output data to handset
  511.     HS-Indata    6   IN        LOGIC         Serial input data from handset
  512.     HS-Power     7   N/A       N/A           13.7VDC Handset power
  513.     HS-Off Sns   8   IN        N/A           ON/OFF Sensativity
  514.    ------------|---|---------|-------------|------------------------------
  515.  
  516.     I would say that the easiest way in which to figure this out is to
  517. connect power to pin 7, then splice into 3, and merge 1/2 to a second line
  518. out.  Then take a logic probe, and connect leads to 5 and 6, and monitor the
  519. interaction between the unit and handset, since this is where the [SEND] and
  520. [END] will be transmitted.  Then it would be feasible to make an interface
  521. for the serial port (the second port), to trigger the send and end, and
  522. interface this with a war dialer, etc... Just convienient for those
  523. unobtrusive scans.
  524.  
  525.  
  526. OTHER MODIFICATION SOLUTIONS
  527. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  528.     One other option for all those out there who many or many not want to
  529. modify the operating software of the phone is Spy Supplies cellular mod
  530. software.  They sell a package that lets you modify the MIN and ESN of about
  531. 75% of the phones that are out (like all the Motorolas, etc).  One nice
  532. thing about this is that it actually changes what the phones ESN is, unlike
  533. a software mod, in which it simply redirects the phone to look elsewhere it.
  534.  
  535.     The package sells for around $500, and if you mention say that I sent
  536. you he'll knock $50 off of that.  This is DEFINANTLY a nice choice for those
  537. who do not wish to invest the time and money into modifing the peticular
  538. software, and this is an easy option to cloning.  Of course, he only sells
  539. it so you can reprogram one of your other phones to share the same pair,
  540. thus eliminating the second bill and just combining the two... And of course
  541. that's all we intend to do with it, right?  He doesn't accept credit cards,
  542. so don't even think about it (hehehe), and at that price, it's well worth it
  543. and will pay for itself in less than a month if used wisely.
  544.  
  545.     The software is fairly simple and menu driven, altogether totally around
  546. 400k.  The package then includes diagrams (I believe he might actually have
  547. pre made cables available now) to build the interface cables.  The all the
  548. user does is plug the phone in, run the program, enter the data, and wala!
  549. You're cloned.
  550.  
  551.     Spy Supply can be reached at 617-327-7272, 9am-5pm (ET) Monday thru
  552. Friday. The book he sells is also interesting, although most of the
  553. information contained within it is already available in other files.
  554.  
  555.  
  556. CONCLUSION
  557. ~~~~~~~~~~
  558.   Be watching for my own 'CONSUMER REPORTS' file, which will let you in on
  559. just how good the name brands stock up in modification, which are pitifly
  560. easy to modify, and which can hold up through the test of time.  Remember, I
  561. do not take any paid advertising, and am completely unbiased.
  562.  
  563.   One shocking bit of news... I finally have an internet address, and FTP
  564. site! Can you imaging that?  And just who was crazy enough to give me one...
  565. None other than those wacky guys at cDc.  Just reach me at
  566. 'videov@zero.cypher.com', or in the 'vindicator' ftp directory.
  567.  
  568.   If you have any questions or comments concering this file, then you can
  569. (as always, and yet never) leave them to be on the systems below.  If you
  570. fucked up you phone while doing this, then you're about the most pitiful
  571. thing in the world, since you don't have to do anything PERMINANT to the
  572. phone!  As always, I would like to extend greetings out to my faithful
  573. criminals:
  574.  
  575.             DYNASTAR            EREKOSE         DIGITAL HITLER
  576.             MR DRUNKFUX         BOOTLEGGER      GRANDMASTER RATTE
  577.             CAPT ZAP            FUNKY MONKEY    BRUJJO
  578.             KLUDGE              GATSBY          MAXIMUM OVERDRIVE
  579.  
  580. blah blah blah...  Be watching for the return of Scantronics... Yah, that's
  581. right, Kludge and the boys are back, and still running on a '286 (Just goes
  582. to show you, hacking doesn't pay, but fraud does).  And I would also like to
  583. thank the demon lord Satan, without whom life would not be possible, and not
  584. worth living; may the living and the dead hold his name forever in torment.
  585. And always remember...
  586.  
  587.      The Surgeon General warns that using cellulars may cause cancer;
  588. Ya, right, along with sex, drugs, and about 5,000,000,000 other fun things.
  589. =============================================================================
  590. Scantronics     [  ... it's coming, it's coming ...        ] 96  619-???-????
  591. Demon Roach     [PW: THRASH - NUP: FEAR - cDc - Nuff said  ] 24  806-794-4362
  592. Phunline        [Extensive Satellite/Virii Sections        ] 96  916-481-2306
  593. The Stash       [My European Connection... Lots of files   ] 96 46-498-222113
  594. Reverse Channel [Drunkfux's Board - cDc - uXu - dFx - HoHo ] 96  713-468-5802
  595. =============================================================================
  596.   This concludes another wonderful file by Video Vindicator  (C)opyright 1993
  597. =============================================================================
  598.  
  599.