Retro engineering on a pager, Tatoo Hack
This hack, backward me in 1996/1998 during my college years, the pager system was at its peak, there was 3 commercial services and networks here, in France:
- TamTam, the Cegetel/SFR paging services, stopped in 1999, using ERMES protocol.
- KOBBY, from Bouygue Telecom, stopped during 2005, using ERMES/FLEX protocol.
- TATOO, from FT/Orange, using POCSAG, the only still functioning, right now, since 2000, exploited by a Deutsch company, E-Message.
The Kobby and TamTam use VHF frequency band (Update 18/03/14 – 169,425-169,800 Mhz), and the TATOO receiver use UHF band (466.025 MHz – 466.05 MHz – 466.075 MHz – 466.175 MHz – 466.20625 MHz – 466.23125 MHz.). POCSAG protocol is basically easy to decode, with software like POC32 or PDW
“POCSAG is an asynchronous protocol used to transmit data to pagers. The name comes from Post Office Code Standardization Advisory Group, this being the British Post Office which used to run nearly all telecommunications in Britain before privatization. The modulation used is FSK with a ±4.5 kHz shift on the carrier. The high frequency represents a 0 and the low frequency a 1. Often single transmission channels contain blocks of data at more than one of the rates.” wikipedia
Bellow is a dessication of a MOTOROLA MEMO Pager Receiver (Tatoo, commercial name).
The pager is composed of two circuits, a board with a displaying circuit for the lcd, a vibrator, a piezzo buzzer, a backup batterie for the RTC, and a MC68HC68 microcontroler, he probably contain the program to decode/translate the signal and pager ARP address.
The another board is dedicated to RF reception, you can see a antenna, simple loop of metal, probably a narrow rf input filter, and a strange unidentified IC “99Z32”, maybe a RF IC Receiver …
Now the goal is to identified the pin’s function on the connector. I have already put my Rigol probe on the Pin 4, and i can see a low/high signal (see bellow). I’ll try to translate this signal for PDW or POC32 software soon. Any help is welcome.
Update 26/04
I started to listening the signal (blue) from my UBC 785 on 466.20625 Mhz, in parallel with the signal from the pager (yellow), it seem to be a inverted signal.
After feed the signal through a Max232, but no good result with the decoder software! *sic*, maybe need a little amplification before …
NOTE: 19/06/2023 Suite au message de Christophe , suppression du lien vers le programme MEMOEXP, (m’écrire si besoin).
NOTE: 24/12/2019 Pager above is successfully hacked on 438.2160 with changing first LO with a 49.152 Mhz quartz.
NOTE 2: 19/02/2020, Message de F4INJ, il est possible de reprogrammé les TATOO’s grâce a un logiciel disponible sur un site Russe. Pour l’installation de MEMOEXP, pas de machine virtuelle cela ne marchera pas, pas compatible avec un 64bits, un pc avec Windows XP fonctionne. Mettre MEMOEXP en racine du disque et lancer la commande CMD, la première fois sera MEMOEXP -INSTALL. Une interface TTL-USB RS232 est nécessaire.
Related:
Arduino POCSAG encoder 1200bp
Un emetteur POCSAG avec Arduino et Raspberry
Very interesting article!
Do you think you’ll be able to do something useful with the tatoo?
This made me dig out my old tamtam :o)
I think I’ll have a look inside, even if I’m far from being able to do anything useful with it (yet).
Tell me if you’re interested in pictures from its inside.
thx for your comment LeFauve, i think the best way is to give “more power” to the signal, the TAMTAM use VHF 169,4-169,8125 MHz frequency, in ERMES protocol, seem to be more complex! any pics of your pager are welcome 🙂
Bonsoir,
Félicitations pour votre hack 🙂
Se hack date en effet des années 90 (bien connu dans le milieu des amateurs radio..).
Sur le mien, le démodulateur FSK est un CI Philips UAA2080T, le décodage des trames pocsag se faisant à partir de la pin 27 (testé avec Multimon-NG et deux autres logiciels de décodage positif).
http://www.alldatasheet.fr/datasheet-pdf/pdf/19816/PHILIPS/UAA2080T.html
Pour information en Allemagne, il existe un (petit) réseau pager radioamateur, fonctionnant sur la fréquence UHF : 439.9875 MHz FMN en FSK 1200 Bauds.
Une vidéo d”un collègue radioamateur F4GMU :
http://www.youtube.com/watch?v=vAHhysBQ3-Q
Attention l”émission sur 466 MHz est strictement interdit (même pour un radioamateur).
merci pour vos infos, j’irai jeter un œil 🙂
hi i have a freind that has a pager and i found online the exact pager my question is how can intercept his signal and see what protocal or signal his using and also how do install that signal on my pager thanks?
POCSAG is very easy to monitor and “intercept”
depending where you are, (it’s probably POCSAG),
buy a small cheap scanner or SDR,
scan the UHF band to find the frequency, look under the pager, you will see the
exact frequency band (like 466.20625 …) and a unique ident number called ARP or something like that,
after that you can create a filter in POC32 to only see the signal of your pager, or not 😉
Bonjour j3tstream,
Très interessant, c’est fou ce que google peut nous faire découvrir comme site juste avec de simple mot clé 🙂
J’ai réactivé mon vieux tatoo de mes années lycée (1998). Ce qui est domage c’est que le coût d’envoi des messages est assez prohibitif.
Pensez vous qu’avec les tatoo de nos jours on puisse faire quelque chose d’utile sans passer par emessage?
slt, sans passer par emessage, pas grand chose sans un minimum de matériel et connaissance, il y a des softs qui génère des trames POCSAG, couplé a un émetteur, il ya de quoi recyclé un tatoo mais il faut bidouillé l’étage d’entrée du récepteur, sans parler du problème d’émettre dans une bande non autorisé (sans licence Ra ou autre :/)
[…] fois l’Arduino programmé. Les tests se sont avérés concluant en utilisant un pager type TATOO, qu’il faudra modifié sur la QRG amateur … a suivre […]
Savez vous comment modifier la fréquence d’un tatoo, changer le quartz ??, peux on exploiter en 446mhz ??
La valeur de votre quartz actuel doit être de 52.650 ou quelques chose comme ça, pour 446.000 ça donnera 50.125, soit vous trouvez un quartz pile poil (difficile), soit vous le faite taillé, soit vous utilisé autre chose un vco, vctxo ect …
Il faut peut être retouché le filtre d’entrée qui doit être étroit mais je n’ai jamais essayer encore.
La formule est LO=(Freq-IF)/8
bonne chance
Bonjour déjà je tiens vivement à vous remercier pour votre réponse.
Je vais m’orienter sur le quartz, parcontre pour la formule je n’ai pas compris c’est :
(FREQUENCE EN MHZ- IF ?) /8, que représente IF ?
Je module du pocsag avec un Rfm22+ un emeteur Uhf reste plus qu’à se caler sur des frequences (AUTORISÉS)
Dans votre TATOO vous avez deux quartz, l’un a 45Mhz (la FI), et un autre (tout dépend de la fréquence de votre TATOO) qui doit etre vers 52.xxx Mhz, par example pour une frequence de reception de 466.20625 le quartz est a 52.605Mhz
Donc pour 446Mhz tout rond, c’est (446-45)/8 = 50.125Mhz
Pour le quartz je vais tenter le sur mesure.. J’attends une réponse demain d’un fabricant de composant pas très loin de chez moi.
J’envisage un des 8 canaux PMR en 446. Avec 3 déclinaisons pour essais..
Je serai ravi de vous faire partager les essais si tout fonctionne.
J’ai un TX de 25w dédié à cela.
J’ai tout de même une dernière question,
Le filtre d’entrée c’est bien le potentiometre à côté du quartz de 52mhz ?
Connaissez vous les plages de réglage de celui-ci ? Merci encore
Vu le nombre de selfs, pour le moment je vous conseille de ne rien touché, et faire des essais avec des quartz différent, ce que j’ai fait avec succès (de mémoire vers 450), mais il ne faut pas trop s’éloigné de la fréquence d’origine, 446 ça devrait aller, mais vous aller surement perdre en sensibilité.
Il faudrait dessiné le filtre a partir de la photo RF_Unit et le passer en tracking sur analyseur de spectre pour voir la réponse en fréquence.
J’ai fais la demande pour un quartz taillé c’est pas donné car minimum d’achat.!
Concernant la frequence de quartz souhaité, je n’ai rien trouvé sur le net.
Mis à part un quartz EPSON
50.1367 pour une fréquence de 446.0936 mais indisponible de partout.
Auriez vous un contact pour ce type de prestation ?
oui, tout le problème est là, trouver le bon quartz, pour mes tests j’ai utiliser mon gene DDS, donc je pouvais injecté ce que je voulais.
pour les quartz essayer a tout hasard chez Mouser
moi, je ne suis qu’un bidouilleur, je n’ai pas de contact pour d’éventuel tailleur
sinon, chez Fox ou silicon-labs ils font des ocxo programmable
Je viens de tester avec ma rfm22, un quartz 48mhz donc en 429.000mhz et réception du message sur une distance /8 de l’origine.
Après avoir tourné d’un peux plus d’un quart de tour le potentiometre à côté du quartz à cote.
La distance est divisé à peu près par deux de l’origine avec réglage de la fréquence aux petits oignons côté emeteur.
Je viens de claquer ma rfm22 pour une raison inconnue juste après.
J’essaye prochainement un quartz de 50mhz (445mhz).
Je posterai une vidéo du système arduino que j’ai conçu pour faire tourner tt sa en autonome
pour info je viens de descendre un tatoo sur 438.2160 au lieu du 466.1750, en changeant le quartz par un 49.152mhz
pour le moment pas de soucis de portée … a suivre.
[…] Retro engineering on a pager TATOO Hack […]
La sensibilité est bonne même plus bas en fréquence,
je vais essayer de trouver un quartz pour fonctionner sur 439.9875 .
L.analyseur de spectre m’a indiqué quelques hz de décalage côté émetteur ce qui justifie mes essais moyen .
Je re-essaye avec correction.
Nouvel essai réalisé en 438.2, sans modifier l’étage d’entrée resultats décevants…
En faisant un demi tour sur les trois un peu mieux.
à votre avis pour un réglage optimal de celui-ci comment devrais je faire ?
Merci !
il faudrai comprendre comment le filtre d’entrée est filtre est fichu, c’est probablement un passband etroit.
avec un generateur, injecté la porteuse et regarder a l’analyseur ce qui sors de l’autre coté…
je pense quil ya moyen de modifier certaines valeurs pour retombé dans la bandes desirée.
L’antenne intégré n’est pas trop sensible, son rapport s/b n’est pas top,
J’ai réalisé une antenne filaire faisant le tour du tatoo (lamba/8) 8,75cm.
La sensibilité est bien meilleure.
C’etait peut être un peux le problème de ces machines..
Ok, je vais continuer mes tests …
Je viens de récupérer le logiciel de programmation avec l’interface pour les Motorola memo, advisor, lx , ETC…
On peux modifier tous les paramètres RIC, affichage, drift Crystal et j’ai également vu le paramètre “frequency”,
A votre avis a quoi peut servir ce paramètre dans le logiciel?
Si vous êtes intéressé je peux vous fournir le log ainsi que la procédure 🙂 (juste un câble TTL-232 en interface). F4INJ.
Après quelques essais, je viens de réussir à modifier la fréquence en 439.9875 (dapnet-amateur), pour ce faire,
J’ai modifier la FI d’origine (45mhz) par un quartz de 40mhz la patte du milieu doit être à la masse, le quartz principal à 50mhz.
Il suffira d’ajuster le quartz principal avec le potentiometre à côté de celui ci (afin de baisser légèrement la fréquence).
TOP, je vais regarder si j’ai des quartz 40 et 50mhz dans mes fonds de tirroir…
du coup faudrai reprogrammer l’adresse pour le faire fonctionner sur DAPNET
Pour le DAPNET, il y’a possibilité de se faire attribuer plusieurs RIC correspondants a plusieurs PAGERS, Il suffit d’ouvrir un ticket et de bien spécifier le numéro de RIC que l’on souhaite (a condition que celui-ci ne soit pas déjà attribué) 73′.
Bonjour savez vous comment recuperer le num Arp sur mon tatoo philips qui est effacé ? Merci.
bonjour, il est peut etre possible de lire les valeurs, via les softs de reprogrammation des pagers, allez fouillé sur http://www.hackersrussia.ru/Pagers/pagers_eng.php
bonjour cher OM,
Je viens de récupérer deux pagers un two-can et un fiori de la marque philips.
J avais réussi a synthétiser la frequence d horloge sur les pagers motorola grace a la formule (frequence du quartz *8 + fi )= frequence opérationnelle ce qui a très bien fonctionner en retouchant les filtres.
Je cherche a connaître le coefficient multiplicateur de la carte RF des philips , visiblement il n y aurait pas de FI . A bientôt et merci pour votre travail.73 de F4INJ.
Bonjour. Je ne connais pas ce modèle. Avez vous de la doc et/ou photos. Merci.
Bonjour! J’ai aussi un pager tatoo (Motorola Memo), et j’aimerais le convertir pour le 439.98750 🙂
@F4INJ, pourriez-vous m’aider avec quelques détails supplémentaires?
Si j’ai bien compris, le quartz principal (à 2 broches) doit être changé par un de 50MHz, et le quartz de la FI (à 3 broches) doit être changé par un de 40MHz? Faut-il absolument un modèle à 3 broches, ou est-ce que je peux juste utiliser un modèle à 2, sur lequel je rajoute un fil soudé sur le boitier pour la masse?
Niveau ajustement, je dois juste toucher au réglage du quartz 50MHz, mais lequel? Celui qui est à droite ou à gauche du quartz (antenne vers le bas)?
Merci pour votre aide!
73 de Manoel – ON6RF
Le mieux est de trouver un quartz principal à 49.37343 MHz et de laisser la fi d’origine . Les pots sont très sensibles et ont une fâcheuse tendance à se décaler dans le temps .
Pour la méthode d.ajustement c.est empirique et c est loin d être idéal …
J utilise maintenant des nec21 prévus pour être reprogrammés sur le 439 mais il faut aller les chercher en Allemagne…
73