Конкретно ткнуть пальцем, где в логе сидят эти комманды вам никто не сможет. По приамбуле 55aaf0f8 мы находим начало какого то запроса в свисток, а уж какой запрос идет нужно дальше анализировать какие данные идут после приамбулы. На примере комманды 55 AA F0 F8 00 07 05 21 31 11 08 03 00 00 это:
55aaf0f8 приамбула, т.е. начало команды
0007 - длина команды в байтах, т.е. в нашем случае 7 байт
05 - некий номер посылки, может быть любым
21 31 - это сама комманда, см. значение команды на странице 394
11 08 03 00 - это данные, которые комманда 2131 передает в свисток
итого 05 , 21 , 31 , 11 , 08 , 03 , 00 - равно 7 байт
И послетний байт 00 в приведенном примере - это контрольный байт, или еще можно назвать контрольная сумма, всей посылки, без учета приамбулы.
Более подробно про все это, что я написал изложил THC, смотрите страницу 394 и далее, там и комманды и их структура и как считается контрольный байт.
Когда я анализировал лог своего свиска, я тоже нашел 5 посылок с приамбулой 55aaf0f8, это были - запрос версии свистка, на который свисток ответил коммандой с приамбулой 55aaf8f0, потом были два запроса на сброс свистка и две комманды, про которые я писал выше.
Я думаю, что первая команда отправляет в свисток некий номер софта 11 08 03 00, вторая - имя используемой марки, в моем случае во второй команде идет, если hex перевести на "русский язык", EOBD2+22.51. Возможно свисток сопоставляет эти данные и принимает решение, активироваться или нет. Т.к. вы запускали демо, возможно поэтому и в первой команде другие даные, т.е. другой номер софта. Может быть китайцы на этом и сделали защиту на сопоставлении некого номера софта и запускаемой марки. Это все мои предположения, как говорится, нужно копать дальше, истина где то рядом.