home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / phreak / cellular / celltest.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  21.2 KB  |  464 lines
  1. The following file is a verbatim transcript of an article by the same name
  2. appearing in the January, 1993 issue of NUTS & VOLTS Magazine.  The six (6)
  3. accompanying photographs detailing construction have been omitted.
  4. Copyright (c) 1992 Damien Thorn and T & L Publications.  Permission is
  5. granted to freely distribute this file in unmodified form.  Identifying
  6. board headers may be added as desired.
  7.  
  8.  
  9.  
  10.                     CELLULAR TELEPHONE MANUAL TEST MODE
  11.                     -----------------------------------
  12.  
  13.                    How to Build and Use Programming Aids
  14.  
  15.  
  16.                               By Damien Thorn
  17.  
  18.  
  19.  
  20. Over the last few months in Nuts & Volts we've taken a close look at
  21. cellular technology.  From an overview of the network to a "hands-on"
  22. tutorial covering cellular telephone reprogramming.
  23. This article introduces the construction and use of a manual test adapter
  24. to assist in reprogramming or diagnosing problems in various cellular
  25. phones.
  26.  
  27. You can build this device in about five minutes with one part from your
  28. local computer store or Radio Shack.  The simplicity is elegant, and belies
  29. the powerful control you can achieve over your cellular hardware.  Need to
  30. bypass the security code usually required for programming, or display the
  31. relative signal strength indication (RSSI) on a specific cellular channel?
  32. With a manual test adapter you're just a few keystrokes away from this and
  33. more.
  34.  
  35.  
  36.  
  37.  
  38.                               "INTRODUCTION"
  39.  
  40. As I mentioned last month, there is little money to be made by cellular
  41. dealers in the sales of equipment.  Hardware prices are so competitive that
  42. most dealers sell new equipment at close to cost.  Dealers make their
  43. profit through commissions for signing up subscribers for cellular service,
  44. and by installation and repair.
  45.  
  46. Installing cellular phones is comparable to installing a CB radio, and less
  47. difficult than wiring a car stereo.  Modern cellular phones are so reliable
  48. that the phone itself rarely needs to be serviced.  Ancillary equipment
  49. such as wiring and antennas are usually the cause of any malfunction.
  50. Probably the most common service operation is programming.
  51.  
  52. Whether you are activating cellular service for the first time, or moving
  53. to another city, your cellular phone must be reprogrammed with specific
  54. data supplied by the cellular service provider (carrier).  Even changing
  55. the unlock code on the phone requires reprogramming in many instances,
  56. often associated with a fee ranging from $15-50.00.
  57.  
  58. The vast majority of contemporary cellular phones are programmed by
  59. punching in the data right on the keypad without the aid of any external
  60. programming device.  And this service is often performed by shop personnel
  61. with little technical skill.  With a programming manual in front of her, I
  62. watched the receptionist at a local dealer program a phone that was being
  63. exchanged by a customer.
  64.  
  65.  
  66. I use this example to illustrate how easy it is to reprogram a phone.
  67. There is really no reason you or I cannot perform this task ourselves and
  68. save money.  Reprogramming can also become a profitable additional service
  69. offered by independent technicians.
  70.  
  71.                           "Motorola's Test Mode"
  72.  
  73. Motorola is probably the largest manufacturer of cellular phones.  In
  74. addition to their own brands, they make phones for a plethora of other
  75. companies.  I've always admired the quality of Motorola communications
  76. equipment, and the test mode engineered into their cellular firmware
  77. has scored them a few more points in my book.
  78.  
  79. The test mode is designed to be of assistance to cellular technicians in
  80. the field, and is entered by grounding a specific pin on one of the phone's
  81. connectors.  Once in test mode, the technician has manual control over many
  82. of the functions normally automated by the firmware. The phone display can
  83. now be used to indicate the status of various operational parameters.
  84.  
  85. The most useful functions to the hobbyist and professional programmer alike
  86. are those which allow the data stored in the Numeric Assignment Module
  87. (NAM) to be reviewed and changed.
  88. This is not much different from using the standard programming mode, except
  89. no special keyboard sequences and security codes are required for access.
  90. The manual test mode effectively bypasses the software "front door" 
  91. commonly used to enter programming mode, and is invaluable when the security 
  92. code is unknown or has long since been forgotten.
  93.  
  94. The rest of this article details the construction of a test adapter and
  95. explains its use as applicable to cellular programming.  From this point on
  96. I'm assuming you've read my previous article or otherwise have at least a
  97. basic knowledge of cellular programming.
  98.  
  99. The basic style of the Motorola-manufactured phone will determine how you
  100. go about placing the unit in test mode.  Palm-size folded phones and the
  101. one-piece hand held devices do not require and adapter.  A jumper between
  102. the contact designated as the "test line" and ground is all that is
  103. required.
  104.  
  105.  
  106.                  "Activating Test Mode:  Hand held Phones"
  107.  
  108. If your phone is one of the hand held types, slide the battery pack off the
  109. unit.  The battery pack also serves as the rear of the phone's external
  110. case.  On the top rear of the phone you should see twelve contacts arranged
  111. in two horizonal rows as depicted in Photo #1.
  112.  
  113. Before you go any further, you should look at the model number of the phone
  114. located on the back of the handset.   A typical model number is
  115. "F09FSF9797."  The fourth letter (underlined) in this string is important.
  116. This indicates the phone is of the Motorola "F" series and contains
  117. firmware that is programmed to allow us to use the manual test mode.  The
  118. older "D" series phones do not contain the appropriate firmware, and are
  119. not even programmable from the keypad.
  120. Do not attempt this procedure on a "D" series phone.
  121.  
  122. Another way to make sure the phone is of the "F"  or higher (G, H, I, etc.)
  123. series as opposed to the older "D" series is to examine the plastic shroud
  124. which extends from the top of the phone and partly covers the RF
  125. switch/antenna connector housing.  The "F" (and newer) series phones have
  126. various notches molded into the plastic shroud as can be seen in the photo.
  127.  
  128. To reiterate, if the model number contains the letter "D" as the fourth
  129. character, it does not have a test mode, and cannot be reprogrammed from
  130. the keypad.  Do not attempt to place it in test mode or you may damage the
  131. phone.  Once you are certain the phone is of the "F" or higher series, you
  132. may proceed.
  133.  
  134. The contact which serves as the test line is #6.  This is the contact to
  135. the far right in the upper row, and should be the last (and sixth) of the
  136. contacts comprising the top row of contacts.
  137. Making a connection between this contact and ground will cause the phone to
  138. enter the test mode when powered up.
  139.  
  140. The most convenient way I've found to accomplish this in lieu of a special
  141. adapter or modified battery pack is to use a small piece of wire as a
  142. jumper.  The short lengths that come with the Radio Shack RS-232 jumper box
  143. we'll be discussing later work perfectly, right out of the package!
  144.  
  145.  
  146. To jump contact #6 to ground, I use a very small jewelers screwdriver to
  147. carefully wedge one of the solder-tinned ends of my jumper into the space
  148. between the contact and the plastic edge to the right.  The snug fit
  149. assures decent electrical contact and helps keep the jumper in place.
  150. The other end of the jumper is gently inserted in the crevice on the RF
  151. switch housing.  This bare metal area is the most convenient ground and
  152. will even hold the end of the jumper.
  153.  
  154.  
  155. Once you have the jumper connected, you need to flatten it against the
  156. phone so that you can slide the battery back on without dislodging it.
  157. Photo #2 depicts the jumper in the proper position to clear the battery
  158. pack.
  159.  
  160.                          "Palm-size Folded Phones"
  161.  
  162. The "Micro TAC" variety of miniature folded phones ("Flip-Fones")
  163. manufactured by Motorola usually require a special battery to activate the
  164. test mode.  You can simulate this battery with your standard battery,
  165. however.
  166.  
  167. After removing the battery from the phone, you should see three contacts in
  168. a row located in the lower right area of the phone.  The two outer contacts
  169. are the battery connections.  Positive "+" is to the left, and negative "-"
  170. is to the right.
  171.  
  172.  
  173. The center contact is somewhat recessed and does not make contact with the
  174. standard battery.
  175. Your battery however, should have a mating third contact present.  To place
  176. the phone in test mode, you need to get the center contact to mate with the
  177. center contact on the battery.  Strategic use of a small piece of folded
  178. metal foil, solder wick or similar conductive material can be used to
  179. extend the center contact on the phone so that it will make contact with
  180. the third terminal of the battery.
  181.  
  182. If you attempt this procedure, immediately power up the phone to make sure
  183. you have not shorted the battery terminals.  If the phone does not come on
  184. at all or feels warm to the touch, quickly remove the battery.  A shorted
  185. NiCad battery can explode, causing serious injury.
  186.  
  187.                     "MINI-TR or Silver MiniTac phones"
  188.  
  189. Two specific phones - Motorola's MINI-TR or Silver MiniTac units can be
  190. placed in programming mode by shorting the two contacts of the hands-free
  191. microphone connector.
  192.  
  193.                "Mobile Installations & Transportable Phones"
  194.  
  195. These common phones are the type that consist of a handset connected to a
  196. separate transceiver unit by a coiled cable resembling the receiver cord of
  197. a standard landline telephone.  The handset cable is terminated with a
  198. modular connector and plugged in to a jack.  The control cable from the
  199. jack carries the handset, power and options wiring.  This control cable is
  200. connected to the transceiver with a 25-pin DB25 connector as depicted in
  201. Photo #3.
  202.  
  203. These phones are also placed in manual test mode by grounding the test
  204. line.  The easiest way to accomplish this is by building a small test
  205. adapter (also known as a "programming aid").  This device is placed between
  206. the control cable and transceiver DB25 connectors allowing all the signals
  207. to pass through unaffected with the exception of jumping the test line to
  208. audio ground.
  209.  
  210.                         "Building the Test Adapter"
  211.  
  212. Construction of the test adapter is pretty straight forward.  The same DB25
  213. connectors used by Motorola have been used for years as the standard
  214. RS-232-C connector on computer equipment.
  215. You can easily pick up a serial RS-232 inline jumper box from your local
  216. computer, electronics or Radio Shack store.  The part number at Radio Shack
  217. is #276-1403 and lists for $9.95 in their 1993 catalog.
  218.  
  219. The Radio Shack jumper box is designed for maximum flexibility and as such
  220. does not have any of the pins preconnected.  Each trace on the circuit
  221. board connecting the pins has a small break which you will need to bridge
  222. with solder to allow the signals to pass through.  Examine the PC board
  223. before beginning and follow a few of the traces.  Note the difference
  224. between the break in each trace and the small solder pads used for
  225. connecting jumpers.  You only need to bridge the traces.
  226.  
  227.  
  228.  
  229. Once you've applied a small dab of solder to restore the integrity of each
  230. trace, you are ready to install the jumper.  The test line on these
  231. Motorola phones is pin #21.  Pin #20 is the audio ground line.  You want to
  232. jumper (short) these two pins.
  233.  
  234. Small numbers etched on the PC board indicate the jumper point for each
  235. pin.  Locate the numbers 20 and 21 next to the small solder pads.  Using
  236. one of the short jumper wires provided with the device, place the ends
  237. through these two holes and solder them down on the opposite side of the
  238. board.  Photo #4 depicts proper jumper installation, although I left one
  239. end of the jumper unsoldered to illustrate it going through the board to be
  240. soldered on the other side.
  241.  
  242. That completes the construction of a handy programming aid for Motorola
  243. cellular phones, and you have a small packet of left over jumpers that are
  244. perfect for jumpering the test line contact on the hand held units.  Be
  245. sure to save them.
  246.  
  247. To use the test adapter, place it between the control (handset) cable and
  248. the transceiver as shown in Photo #5.
  249.  
  250.                            "Test Mode Commands"
  251.  
  252. Once you've jumpered the appropriate contact or applied the test adapter,
  253. it's time to turn on the phone.  When the phone powers up, a series of
  254. digits should appear in the display similar to those shown in Photo #6.
  255. They should alternate with another series of digits.  This indicates your
  256. phone is in the manual test mode.
  257.  
  258. One display consists of two numbers, each three digits in length.  The set
  259. to the right is the channel number designator for the specific cellular
  260. frequency the phone is receiving from your local cell site (tower).  The
  261. right-most trio is the relative signal strength indication (RSSI) of the
  262. received frequency.
  263.  
  264. The seven-digit number alternating with the channel/RSSI display provides
  265. the technician with additional status information.  Each individual digit
  266. in the field is actually an independent status register.  With a letter
  267. substituted for each of the seven digits, this is what they represent:
  268.  
  269.                                A B C D E F G
  270.  
  271. Position A - SAT Frequency.  Indicates which of the three SAT lock
  272. frequencies is being used by the phone.
  273. In this position a "0" = 5970Hz, "1" = 6000Hz, "2" = 6030Hz, "3" = No SAT
  274. lock.
  275. Position B - Carrier Status indication.  "0" = carrier off, "1" = carrier
  276. on.
  277. Position C - Signalling Tone.  "0" = tone off, "1" = tone on.
  278. Position D - RF Power Attenuation Level.  "0" through "7" are valid values.
  279. Position E - Channel designation.  A "0" = voice channel, "1" = control
  280. data channel.
  281. Position F - Audio Mute (receive).  "1" = received audio is muted, "0" =
  282. unmuted.
  283. Position G - Audio Mute (transmit).  "1" = transmitted audio is muted.  "0"
  284. = unmuted.
  285.  
  286. The meaning of all these status registers is fairly complex and has no
  287. bearing on cellular reprogramming.  This display, like the majority of the
  288. test commands, are only of value to an engineer placing the phone under
  289. test with a cellular service monitor.
  290.  
  291. Table "A" lists the test commands that can be of assistance in
  292. reprogramming.  I have omitted the test commands designed for use with a
  293. service monitor, as issuing them without the phone connected to a monitor
  294. may cause interference to the cellular network.  You may own the phone,
  295. but the cellular provider owns the FCC license that allows you to use it.
  296. Operating the transmitter in the phone in a manner inconsistent with this
  297. license could subject you to loss of service and possible legal trouble.
  298.  
  299.                             "Issuing Commands"
  300.  
  301. If your phone did not come up with the status display described above, you
  302. may need to manually instruct the phone to do so.  Pressing "#" enters the
  303. test command mode, and "02#" is the command to display the status
  304. registers.  If you enter a command improperly, the phone will
  305. scroll the word "error" across the display.
  306.  
  307. If you need to review the current programming data stored in the NAM, enter
  308. "55#" which instructs the phone to enter the programming mode.  You can
  309. scroll through the contents of NAM displaying the stored values by
  310. repeatedly pressing the "*" key.  Actual reprogramming through this mode is
  311. considerably more difficult than through the standard programming mode.
  312. The test mode does not display a step number to let you know what
  313. programming step you are at, and the information is stored and displayed in
  314. a different order.
  315.  
  316. Many programmers simply use this mode to obtain the security code, exit
  317. test mode and program the phone in the normal fashion.  As you step through
  318. the NAM contents with the "*" key, the security code is the only six-digit
  319. number you'll see that isn't binary.  Once you've written it down, continue
  320. to step through NAM until you see the "tick mark" in the display (it looks
  321. like an apostrophe) and exit test mode by turning off the phone.
  322.  
  323. Motorola designed their phones so that they could only be programmed three
  324. times.  I don't now the rationale for this, but a firmware counter
  325. increments each time the phone is reprogrammed, and after the third time it
  326. will no longer enter programming mode.  The instruction booklet that
  327. accompanies the phone instructs you to take it to the dealer where you
  328. bought it.
  329.  
  330. If you took the phone to a dealer, they would put the phone in test mode
  331. (just like we're doing) and enter the command "32#" which resets the
  332. counter to zero, allowing the phone to be reprogrammed three more times.
  333. Do it yourself and save!
  334.  
  335. Many phones also have a cumulative call timer that counts the total number
  336. of minutes the phone has been used for calls (actively transmitting).  This
  337. "autonomous timer" (that you were told was not resetable) can be cleared
  338. and reset to zero by punching in "03#" while in test mode.
  339.  
  340. Another useful command is "38#" which causes the phone to display the
  341. Electronic Serial Number (ESN) that is burned in ROM.  The phone will
  342. display the ESN one hex byte at a time.
  343. Press "*" to increment to the next byte.  Note that the display shows four
  344. numbers.  The two to the left indicate which byte you are viewing (00, 01,
  345. 02 or 03), and the actual value of that byte is at the right of the
  346. display.
  347.  
  348. You can punch in "19#" if you'd like to view the software version number
  349. resident in your phone.
  350.  
  351.                                "Conclusion"
  352.  
  353. You should now have an understanding of the test mode inherent in cellular
  354. phones manufactured by Motorola, and if you've followed this series of
  355. articles in recent issues of Nuts & Volts, the operation of the cellular
  356. network and reprogramming procedures are no longer so mysterious.
  357.  
  358. Your questions and comments are always welcome, and you can write or send
  359. E-mail directly to me as mentioned below.  If plan to do much programming
  360. or would like detailed information on the cellular network, you would
  361. benefit greatly by investing in one of the detailed technical publications
  362. offered in these very pages.  I've listed the publishers of several good
  363. volumes in a sidebar, and you'll find their ads scattered throughout this
  364. magazine.
  365.  
  366. As a final note, you should be aware that the use of this information is
  367. undertaken at your own risk.  Although most of this information was
  368. triple-checked against available technical documentation, none of it
  369. originated directly from Motorola.  I doubt you'll have a problem, but
  370. you never know when a manufacturer might change their specifications.
  371.  
  372. ***************************************************************************
  373.  
  374.  
  375.                         "TEST MODE COMMAND SUMMARY"
  376.  
  377.  
  378. The following is a summary of some of the commands available from within
  379. the test mode on most cellular phones manufactured by Motorola.
  380.  
  381.  
  382. COMMAND              DESCRIPTION
  383.  
  384.      #             Initial keystroke to enter test command mode.
  385.    01#        Reboot phone (begin power-up routine).
  386.    02#        Display status registers.
  387.    03#        Reset "autonomous timer" to zero minutes.
  388.    04#        Initialize transceiver.
  389.    07#        Mute audio (received).
  390.    08#        Unmute audio (received).
  391. 11XXX#        Load frequency synthesizer with specific cellular channel
  392.               (XXX = 3-digit decimal channel designator).
  393.    13#        Power down the phone (off).
  394.    19#        Display software version number.
  395.    32#        Initialize NAM.  Erases all programmed data!
  396. 36XXX#        Activate channel scanning.  Pauses on each channel for XXX     
  397.  
  398.               milliseconds. Keying "#" aborts scanning.
  399.    38#        Display Electronic Serial Number (ESN).
  400.    45#        Display current relative signal strength (RSSI) of currently   
  401.  
  402.               loaded channel.
  403.    53#        Enables scrambler option if phone is equipped.
  404.    54#        Disables scrambler option if phone is equipped.
  405.    55#        Programming mode - display/change NAM contents.
  406.  
  407.  
  408.  
  409.  
  410. ***************************************************************************
  411.  
  412.  
  413.                     "Sources of Additional Information"
  414.  
  415.  
  416.  
  417. The following companies distribute publications that offer detailed
  418. instructions and information
  419. pertaining to cellular programming and various aspects of cellular
  420. hardware:
  421.  
  422. Spy Supply
  423. 7 Colby Court, Suite 215
  424. Bedford, NH 03110
  425. (617) 327-7272
  426.  
  427.  
  428. TeleCode
  429. P.O. Box 6426
  430. Yuma, AZ 85366-6426
  431. (602) 782-2316
  432.  
  433.  
  434. Consumertronics
  435. 2011 Crescent Drive
  436. P.O. Box 88310
  437. Alamogordo, NM 88310
  438. (505) 434-0234
  439.  
  440.  
  441.  
  442.  
  443.  
  444.  
  445. ***************************************************************************
  446.  
  447.  
  448.  
  449.                              AUTHOR BIOGRAPHY
  450.  
  451.                              (For publication)
  452.  
  453.  
  454.  
  455. Damien Thorn's interest in electronics has deep roots.  A noted "hacker" 
  456. and "phone phreak" by age sixteen, he contributed regularly to the 
  457. underground newsletter "TAP."   Today Damien is an on-air radio personality 
  458. and FCC licensed engineer in California's San Joaquin Valley.  His 
  459. interests include computers, communications, security and privacy issues.  
  460. He welcomes questions and comments.  You can reach him at 6333 Pacific Ave. 
  461. #203, Stockton, CA 95207-3713 or via E-Mail at one of the following:  
  462. DrDamien@Delphi.com via Internet mail, on CompuServe at 75720,2104,  or on 
  463. Delphi as DrDamien.
  464.