首頁 收藏 QQ群
 網(wǎng)站導(dǎo)航

ZNDS智能電視網(wǎng) 推薦當(dāng)貝市場

TV應(yīng)用下載 / 資源分享區(qū)

軟件下載 | 游戲 | 討論 | 電視計(jì)算器

綜合交流 / 評測 / 活動(dòng)區(qū)

交流區(qū) | 測硬件 | 網(wǎng)站活動(dòng) | Z幣中心

新手入門 / 進(jìn)階 / 社區(qū)互助

新手 | 你問我答 | 免費(fèi)刷機(jī)救磚 | ROM固件

上一主題 下一主題
[經(jīng)驗(yàn)&教程]

數(shù)字電視機(jī)頂盒授權(quán)卡

  [復(fù)制鏈接]
211#
發(fā)表于 2017-1-16 15:11 | 只看該作者 | 來自黑龍江
感謝分享,ZNDS有你更精彩:)
212#
發(fā)表于 2017-1-17 12:11 | 只看該作者 | 來自河南
{znds1}{znds1}{znds1}{znds1}{znds1}{znds1}
213#
發(fā)表于 2017-1-17 12:17 | 只看該作者 | 來自黑龍江
強(qiáng)烈支持樓主ing……支持論壇!~~~謝謝分享??!~~~~~~~~~~~~~~~~
214#
發(fā)表于 2017-1-17 14:00 | 只看該作者 | 來自廣東
6666666666666666666666
215#
發(fā)表于 2017-1-17 15:07 | 只看該作者 | 來自河南
強(qiáng)烈支持樓主ing……
216#
發(fā)表于 2017-1-19 14:47 | 只看該作者 | 來自香港
隨著數(shù)字電視的普及,模擬電視信號將停止播放,對一家?guī)着_(tái)電視機(jī)來說,迫切希望用一臺(tái)機(jī)頂盒帶多臺(tái)電視機(jī)的愿望,這里介紹一些電子刊物討論方法,共大家參考:

一、破解思路
      有線電視加密的原理是這樣的:電視臺(tái)把接改來的電視信號先輸入數(shù)字加密設(shè)備,把電視信號通過算法加密后向外輸出終端的解密設(shè)備(機(jī)頂盒子)解密后輸出普通的射頻信號,再送到我們的終端接收設(shè)備,由電視放出畫面。因電視只能是接收普通的射頻信號(模擬信號),所以只能解密后再輸入電視,由電視放出畫面。有線電視加密法有多種,這里的是使用“加擾法”。在加密到解密這段線路,要想非法接入偷接電視信號,成功的可能性幾乎是10000000分之一。但經(jīng)解密器(機(jī)頂盒)解密后的信號任何可以常接收電視信號的電視機(jī)都能播放(即通用性,也可說是共用性),這就是破解的切入點(diǎn)(破解軟件也需要切入點(diǎn))。既然這樣,但為什么一個(gè)機(jī)頂盒只能接一臺(tái)電視機(jī)用呢?我也試驗(yàn)過,當(dāng)通簡單的方法接上兩臺(tái)電視機(jī)的時(shí)候,什么畫面也沒有了(因機(jī)頂盒有智能的識別功能)。問題就在這里,也是我要教會(huì)大家的精要所在。
      至于如何利用這個(gè)“切入點(diǎn)”進(jìn)行我們的“小人”行為呢?我們通過什么手段來欺騙機(jī)頂盒,讓他以為是一臺(tái)電視機(jī)呢?(就如破解軟件的時(shí)候,我們有時(shí)也要采用欺騙的方法來進(jìn)行破解)。我將會(huì)在下一點(diǎn)“破解原理”中向大家說明。

二、破解原理:
      裝在我們家里的那個(gè)盒子的工作原理:經(jīng)加密的信號經(jīng)輸入端子輸入,由其內(nèi)部有關(guān)電路解除干擾信號(加擾法加密),再經(jīng)輸出端子輸出正常的信號。其解密電路是否工作要有一個(gè)外部條件,就是電視的高頻頭反饋回來的信號。如果沒有這個(gè)信號反饋回機(jī)頂盒,則其解擾電路不工作,照樣輸出未解密的信號,因而不能正常收看。其解密的頻段分做若干段解密,如電視正在接收3頻道,則電視的高頻頭就反饋3頻道的諧振頻率給機(jī)頂盒,機(jī)頂盒就能輸出1——5頻道的正常信號,如此類推。

因此可用以下兩種方法進(jìn)行破解:
      1、把機(jī)頂盒放在其中一臺(tái)電視機(jī)(下稱電視1)高頻頭附近,讓其可以正常收看,再用分支器從輸出端分支出信號到另外的電視機(jī)。這樣的做法的一個(gè)缺點(diǎn):就是另外的電視機(jī)只能接收電視1接收的頻道附近的5個(gè)頻道。
      2、用非與門電路或555電路制作一個(gè)開放式多諧振動(dòng)器,其諧振頻率只要能履蓋有線電視的整個(gè)頻段即可。(制作成本約6元左右)把這個(gè)諧振動(dòng)器放在機(jī)頂盒的旁邊。讓機(jī)頂盒能接收到振動(dòng)器發(fā)出的信號,再用分支器從機(jī)頂盒的輸出端分支出多臺(tái)電視機(jī),這樣,所有電視機(jī)就能接收所有頻道的信號了。(下次發(fā)圖)
       3、用高頻三極管如9018做一個(gè)高頻發(fā)射電路,利用射頻輸出再次發(fā)射,只要小小發(fā)射功率,讓機(jī)頂盒能接收得到即可?;蛴猛S視頻線分支接入輸入或輸出端,的除去外層屏蔽線,只留中間的線長約1米,把這線繞在機(jī)頂盒。讓泄漏出來的信號感應(yīng)給機(jī)頂盒接收。
破解電視機(jī)頂盒,可接多臺(tái)電視
       游走在灰色地帶,大打擦邊球的數(shù)字電視機(jī)頂盒共享器
       隨著有線電視數(shù)字化發(fā)展進(jìn)程的加快,數(shù)字電視這一新興的電視觀看及傳輸方式已經(jīng)開始被更多的普通市民所熟悉,數(shù)字電視以接近于DVD的畫質(zhì)和立體聲甚至5.1聲道伴音這兩大最明顯的特點(diǎn)受到了不少有線電視用戶的關(guān)注,同時(shí)更多可選擇的電視臺(tái)、點(diǎn)播節(jié)目也為豐富市民的業(yè)余生活增添了不少色彩,不過在數(shù)字電視剛剛起步的萌芽階段,還有多的不足和缺點(diǎn)需要改進(jìn)。

       按照國際慣例,數(shù)字電視機(jī)頂盒(SET-TOP-BOX,簡稱STB)分為數(shù)字地面STB、數(shù)字衛(wèi)星STB、數(shù)字有線STB和網(wǎng)絡(luò)STB這4種,目前正在大力發(fā)展的數(shù)字電視類型是數(shù)字有線STB,是目前成本最為低廉,也最適合大力向普通市民所推廣的。整體來說,數(shù)字機(jī)頂盒以支持HDTV和互動(dòng)性作為發(fā)展方向,而就目前的機(jī)頂盒產(chǎn)品來看,一部機(jī)頂盒內(nèi)包括了接收數(shù)字信號的調(diào)制解調(diào)芯片、視頻信號編解碼芯片、音頻處理器、音視頻數(shù)模轉(zhuǎn)換芯片等,一些高端的機(jī)頂盒中甚至還會(huì)整合安全芯片甚至可錄像硬盤,可見數(shù)字電視機(jī)頂盒在未來的發(fā)展空間還是相當(dāng)寬廣的

      上圖中的三部機(jī)頂盒中包括了目前所使用的三款不同品牌、型號的機(jī)頂盒,其中最上方的創(chuàng)維C6000采用了意法的Qami5516方案;熊貓3216采用了意法的5516芯片,帶有180MHZ的CPU,而最下方的銀河則采用了最為簡單的富士通功能單芯片H20A,雖然這三種機(jī)頂盒在內(nèi)部的設(shè)計(jì)上有一定的區(qū)別,但它們都是需要通過插入數(shù)字電視智能卡才能夠工作的,而數(shù)字電視智能卡就相當(dāng)于一個(gè)人有了駕照才能合法地駕駛汽車一樣。

        在使用模擬電視信號的時(shí)候,大家只需要申請有線電視開戶之后就可以在家中通過自帶電視信號調(diào)諧器的電視觀看節(jié)目,如果有多部電視的話只要購買有線電視信號分配器就可以在所有的電視上觀看有線電視。而數(shù)字電視卻將這種免費(fèi)的電視信號共享給“封殺”了,機(jī)頂盒需要在插入有效的智能卡之后才能使用就是為了保證數(shù)字電視信號不被盜用的一種方式,同時(shí)也能夠保證數(shù)字信號不被盜版商用來作為盜版節(jié)目源。
        為了保證數(shù)字信號不被盜用,數(shù)字電視內(nèi)容管理方式以條件式接?。–A)和數(shù)字版權(quán)管理(DRM)作為基本保護(hù)機(jī)制,目前國內(nèi)的數(shù)字電視機(jī)頂盒采用的管理方式就是條件式接取這種機(jī)卡分離的方式,用戶必須通過專屬的智能卡來取得授權(quán)才能夠接收被解碼的信號,而服務(wù)提供商也能夠通過這種方式接收用戶的信息,包括用戶戶名、地址、智能卡卡號和收看數(shù)字電視的費(fèi)用等信息。這種機(jī)卡分離的機(jī)頂盒使用方式被美國、歐洲和亞洲等國視為數(shù)字電視發(fā)展的機(jī)頂策略。

        DRM采用的是許可證管理策略,由數(shù)字電視信號運(yùn)營商對節(jié)目源進(jìn)行加密,在用戶通過機(jī)頂盒發(fā)出節(jié)目接收請求之后系統(tǒng)會(huì)自動(dòng)檢查是否經(jīng)過許可,而認(rèn)證的方式也同樣是通過IC卡等帶有帳號、密碼等信息的進(jìn)行的,不過DRM管理的規(guī)格相當(dāng)繁多:Windows Media的DRM、開放移動(dòng)聯(lián)盟OMA推出的DRM 1.0/2.0規(guī)格、UT-DRM、NDS、SecureMedia、WideVine、BesDRM等,規(guī)格的不統(tǒng)一使其并不被大多數(shù)有限數(shù)字電視運(yùn)營商所接受。
        由于數(shù)字電視信號必須通過機(jī)頂盒才能接收,同時(shí)采用了用戶身份認(rèn)證的防盜用方式,所以有線數(shù)字電視節(jié)目只有一部電視機(jī)搭配一部機(jī)頂盒才能夠正常觀看,在目前大多數(shù)市民家中同時(shí)擁有一部以上電視的這一情況下,如果希望每部電視機(jī)都能夠收看數(shù)字電視的話必須購買數(shù)量相對應(yīng)的機(jī)頂盒,這在一定程度上家中了消費(fèi)者觀看數(shù)字電視的成本,于是有一些廠家開始在有線數(shù)字電視共享上開始下功夫,紛紛推出名為數(shù)字電視機(jī)頂盒共享器的產(chǎn)品,以此實(shí)現(xiàn)對數(shù)字電視信號的共享。
        目前的數(shù)字電視機(jī)頂盒共享器共有有線和無線兩種,有線的共享器只需要將共享器與機(jī)頂盒接駁,并且通過音視頻信號線將它與其它電視的AV接口接駁就可以使用,而無線的共享器則包括與機(jī)頂盒互聯(lián)的信號發(fā)射器和與電視互聯(lián)的信號接收器。
        機(jī)頂盒共享器的功能介紹上將這種產(chǎn)品的優(yōu)點(diǎn)共分為多顯示終端信號共享和節(jié)約費(fèi)用兩大類,對于大多數(shù)購買這種產(chǎn)品的消費(fèi)者來說,可能最能夠吸引他們的是通過共享器可以節(jié)約機(jī)頂盒的購買費(fèi)用和電視信息點(diǎn)播費(fèi),有了省錢作為最大賣點(diǎn)之后,這種產(chǎn)品自然更受關(guān)注。
        雖然這種產(chǎn)品具有一定的實(shí)用意義,但是我們仔細(xì)看看就會(huì)發(fā)現(xiàn)這種所謂的共享器實(shí)際上就是一個(gè)音視頻信號分配器,與機(jī)頂盒連接的接口包括了復(fù)合視頻輸入和模擬立體聲音頻輸入這兩個(gè)接口,而用于輸出信號的則包括了復(fù)合視頻信號輸出和3.5毫米信號輸出接口,并沒有能夠直接發(fā)送及接受智能卡用戶信息的接口,這也就意味著即使是通過這樣的共享器接駁其它電視之后也并不能獨(dú)立選臺(tái),換句話說,如果客廳中的電視在通過機(jī)頂盒播放中央一套的電視節(jié)目,那么其它房間的另一臺(tái)電視也同樣只能夠播放中央一套的電視節(jié)目
        無線機(jī)頂盒共享其與有線機(jī)頂盒共享器一樣都是通過音視頻接口接受機(jī)頂盒上的第二路信號輸出接口來實(shí)現(xiàn)數(shù)字電視信號的“共享”的,不過無線的共享器的傳輸方式是通過紅外、調(diào)頻或2.4GHz來實(shí)現(xiàn)的,值得注意的是,目前的機(jī)頂盒在背后的接口都帶有兩路信號輸出接口,只要使用連接線將機(jī)頂盒的信號與兩臺(tái)電視連接就同樣可以實(shí)現(xiàn)這樣的所謂“共享”功能,而這樣一來機(jī)頂盒共享器的作用也只有在不同房間都可以用遙控器控制機(jī)頂盒這種“遙控共享器”的功能了。
破解討論綜述
      CA安全保障的三層關(guān)鍵:傳輸流的加擾,控制字的加密,加密體制的保護(hù)。
      這三種技術(shù)是CA系統(tǒng)重要的組成部分,在處理技術(shù)上有相似之處,但在CA系統(tǒng)標(biāo)準(zhǔn)中是獨(dú)立性很強(qiáng)的三個(gè)部分。加解擾技術(shù)被用來在發(fā)送端CA系統(tǒng)的控制下改變或控制被傳送的服務(wù)(節(jié)目)的某些特征,使未被授權(quán)的用戶無法獲取該服務(wù)提供的利益;而加密技術(shù)被用來在發(fā)送端提供一個(gè)加密信息,使被授權(quán)的用戶端解擾器能以此來對數(shù)據(jù)解密;而保密機(jī)制則用于控制該信息,并以加密形式配置在傳輸流信息中以防止非授權(quán)用戶直接利用該信息進(jìn)行解擾,不同的CA系統(tǒng)管理和傳送該信息的機(jī)制有很大不同。在目前各標(biāo)準(zhǔn)組織提出的條件接收標(biāo)準(zhǔn)中,加擾部分往往力求統(tǒng)一,而在加密部分和保密機(jī)制則一般不作具體規(guī)定,是由各廠商定義的部分。
      1、對傳輸流的加擾,DVB已有標(biāo)準(zhǔn)。目前在國際上占主流的有歐洲的DVB標(biāo)準(zhǔn)、北美國家的ATSC標(biāo)準(zhǔn)及日本的ISDB標(biāo)準(zhǔn)三種標(biāo)準(zhǔn)中,對于CA部分都作了簡單的規(guī)定,并提出了三種不同的加擾方式。歐洲D(zhuǎn)VB組織提出了一種稱之為通用加擾算法(Common Scrambling Algorithm)的加擾方式,由DVB組織的四家成員公司授權(quán),ATSC組織使用了通用的三迭DES算法,而日本使用了松下公司提出的一種加擾算法。通用加擾算法是DVB標(biāo)準(zhǔn)組織推薦的對于TS流的標(biāo)準(zhǔn)加擾算法。目前,在歐洲的數(shù)字廣播節(jié)目中普遍采用了這個(gè)算法。我國目前商業(yè)化的CA中,TS節(jié)目的加擾也基本上是采用的這個(gè)算法。如果從破解的角度,攻破這個(gè)算法的意義要遠(yuǎn)遠(yuǎn)大于破解智能卡和攻破CA系統(tǒng)本身。
      2、對控制字的加密算法一般采用RSA以及3DES算法,各家CA廠商各不相同。值得一提的是DVB里有一個(gè)規(guī)定,提到的同密技術(shù)要求每個(gè)CA系統(tǒng)可以使用不同的加密系統(tǒng)加密各自的相關(guān)信息,但對節(jié)目內(nèi)容的加擾必須采用同一個(gè)加擾算法和加擾控制字,可以方便多級運(yùn)營商的管理,為多級運(yùn)營商選擇條件接收系統(tǒng)提供了靈活性。這就為黑客攻破智能卡創(chuàng)造了條件。
      3、對加密體制,不同廠家的系統(tǒng)差別很大,其技術(shù)大體有兩種: 一種是以愛迪德系統(tǒng)為代表的密碼循環(huán)體制,另一種是以NDS系統(tǒng)為代表的利用專有算法來進(jìn)行保護(hù),由于牽涉到系統(tǒng)安全性,廠家一般不會(huì)公開。因此從破解角度,對系統(tǒng)的破解是難度也是比較大的。
第一章:CA智能卡的破解與反制
第一節(jié) 對于CA智能卡的破解分為兩種,
      1、從硬件破解的角度,完全地仿照正版卡來定制IC卡;
      2、從軟件破解的方向,將正版卡的程序讀出,最后將程序?qū)懭隝C卡中,就變成與正卡無差別的D卡了。
仿制正版卡,可以將IC卡的觸點(diǎn)剝離下來,再將保護(hù)的塑料蝕掉,暴露出元件和內(nèi)部電路連接,就可以繪制成電原理圖,最后交給能訂制生產(chǎn)的IC卡的廠家生產(chǎn)。這些仿制還有一個(gè)冠冕堂皇的名稱叫“反向工程”。國內(nèi)在深圳和廈門等地都有能生產(chǎn)定制IC卡的廠家,在利益的驅(qū)使下,他們往往不會(huì)過問敏感問題。
      IC卡中的元件如果是通用元件,通常可以通過IC卡的功能原理的分析來確定,雖然困難,但總是可以最終確定。例如深圳目前直接使用流在市面上的ROM10與ROM11卡來制成D卡,ROM10與ROM11實(shí)際上是XX系統(tǒng)正版卡的“基礎(chǔ)卡”,這些卡具有與正版卡相同的硬件基礎(chǔ),至于怎么流落到社會(huì)上的不得而知,但有一個(gè)事實(shí)就是大家應(yīng)該都收到過安裝衛(wèi)星電視的短信,這是個(gè)可以想象的到的異常龐大的地下產(chǎn)業(yè)!
      繼續(xù):IC卡中的元件如果是專用元件,確定元件的事情就變得極其困難和十分渺茫了。那么這個(gè)時(shí)候硬件仿制的路走不通了,那么看看軟件仿真的路能不能走得通。
      再看軟件仿真的路能不能走得通前,首先闡明軟件仿真的路能不能走得通有不同的判斷標(biāo)準(zhǔn)。
如果僅以在一段時(shí)段中,軟件仿真的D卡與正版卡都具有相同的條件收視功能來判斷,那么無疑,從D卡的實(shí)踐來看,軟件仿真已經(jīng)成功了。
      但如果以任何時(shí)段中,軟件仿真的D卡與正版卡都具有相同的功能,特別是對抗反制的功能來判斷,那么我要說,同樣無疑,軟件仿真是不可能成功的。
      因此我們僅承認(rèn)這種事實(shí)就夠了:自動(dòng)對抗新的反制,使D卡與正版卡一樣免除后顧之憂,肯定是D卡研究的終極目標(biāo)。但是即便達(dá)不到這個(gè)目標(biāo),只要能保證一段時(shí)間的仿真成功,CA破解的商業(yè)價(jià)值就依然存在!
補(bǔ)充說明反制:由于D卡的成功,尤其是帶AU(自動(dòng)換Key0/Key1)的D卡程序的廣泛擴(kuò)散,正版服務(wù)商感到了巨大的壓力,逐步開始采用種種反制手段,讓D版的AU卡實(shí)效。
      我們先研究一下這個(gè)反制是個(gè)什么東東:學(xué)習(xí)和搞嵌入式控制器開發(fā)的人都用過仿真器,如“偉?!毕盗械腗CS-51的仿真器等。大家一定知道硬件仿真與軟件仿真存在一個(gè)本質(zhì)區(qū)別,即I/O功能的不同。一條取端口引腳值的指令就足以區(qū)分是硬件仿真還是軟件仿真了。硬件仿真可以真實(shí)地取到引腳上的實(shí)際輸入,而軟件仿真得到的只能是不會(huì)變化的內(nèi)存仿真值。
       利用這個(gè)原理實(shí)現(xiàn)的反制程序分為兩部分,前面的部分通過I/O端口的訪問,區(qū)別出是真的硬件存在,還是軟件仿真;后半部分對非法的仿真卡簡單地返回主程序,不能解開Key0/Key1;對正版卡,則修改Key0/Key1,使之正確,然后返回主程序并保存key,保存的Key0/Key1用于ECM的解碼。
      從歷次搜集的反制EMM中的方法中,可以將反制歸納為兩種,一種是從硬件或軟件上區(qū)別D卡與正版卡,從而產(chǎn)生條件分支指令,使D卡仿真的程序失效;另一種是調(diào)用D卡中不可能有的,只有正版卡硬件才具備的MAP子程序,使D卡無法執(zhí)行正確的程序。
先介紹前一種方法:
      使用硬件端口區(qū)別正版卡與仿真卡的反制方法,由于具有特殊性能的端口數(shù)的限制,因此不可能有多種變化,一旦Hacker知道了反制的EMM結(jié)構(gòu)與原理,很容易就可以避開端口判斷的指令,直接轉(zhuǎn)到修改Key0/Key1部分。這雖然并不是程序指令的直接仿真,只能算是功能仿真,卻可以使已知反制失效。
      另外你也許會(huì)提出一些其他辦法,如目前的一些Nagra系統(tǒng)在下行的EMM命令中加入了甄別真?zhèn)魏汀皻⒖ā敝噶?,對于“正改卡”,毫不留情地清除卡中程序并且讓它成為廢卡。
      我可以說,為了對抗“殺卡”,這類“正改卡”的程序如果采用Block技術(shù),可以抵抗多數(shù)殺卡指令,同樣能夠使這類“正改卡”得以安全使用。
      先寫到這,后面介紹根據(jù)正版卡特有的機(jī)器指令代碼,讓正版卡能進(jìn)行解碼、而沒有正版卡程序的仿真卡無法正確解碼、從而獲得KEY的EMM思路。

第二節(jié):
      以下介紹根據(jù)正版卡特有的機(jī)器指令代碼,讓正版卡能進(jìn)行解碼,而沒有正版卡程序的仿真卡無法正確解碼,從而獲得KEY的EMM思路。
      按照道理,D卡使用的是AVR或其他類型的CPU,“正改卡”中的程序與正版卡也不相同,照理這些卡中都沒有正版ROM10/ROM11卡的程序。因此,用只有正版卡才有的特定機(jī)器指令代碼作為密鑰來解密key0與key1,自然是十分聰明的反制措施。
      該反制的EMM以前146Dream TV可能曾使用過。目前XG有線又重新啟用,大致在一個(gè)周期的8天中,有兩天使用本類EMM,另外6天使用另一個(gè)“超級MAP”程序。
這種反制的具體思路是:
     下行的EMM中攜帶的Key與Key1是經(jīng)過加密編碼的,不能直接使用。解開它們需要的密鑰“種子”(即產(chǎn)生密鑰的原始數(shù)據(jù))的地址由下行的EMM給出。注意!EMM中并沒有給出密鑰“種子”,而是給出了它們在正版ROM10/ROM11卡程序存儲(chǔ)區(qū)中的地址,這個(gè)地址是隨機(jī)數(shù),不同的key0/key1,地址就不同。它的值總是大于S4000,防止取到ROM10卡低端的無法讀出的無意義內(nèi)容。反制設(shè)計(jì)者設(shè)想,D卡或“正改卡”無法獲得正版卡的內(nèi)部程序,因此,即使給出了地址,D卡也無法取得正確的機(jī)器碼作為密鑰的“種子”,自然也就無法生成密鑰,解開key0/key1了。
     對于正版卡,按照給出的地址,取到16字節(jié)的機(jī)器指令代碼,經(jīng)過類似計(jì)算Hash效驗(yàn)的方法,產(chǎn)生正確的密鑰,再對key0/key1進(jìn)行DES編碼運(yùn)算,就解出正確的key0/key1了。
上面介紹的“利用正版卡程序隨機(jī)地址處的機(jī)器碼作為Key的解碼密鑰”的EMM反制方法非常厲害,曾難倒了一大批的高手。
      對比一下昨天前一篇帖子中給出的EMM與上面介紹的EMM,就會(huì)發(fā)現(xiàn),前一篇帖子中給出的EMM是一種簡單的反制,只要知道了正確的Key0/Key1,再經(jīng)過認(rèn)真分析和思考,就會(huì)明白其反制原來并找出解出Key的方法,目前Dream TV的反制都屬于這類簡單反制;但上面今天介紹的EMM是一種高級和復(fù)雜的反制,即使知道了正確的Key0/Key1,也難以得知其反制的原理與找出解key的方法,目前XG有線和國外一些CA系統(tǒng)采用的是這類反制。由于XX的反制匯聚在低級和高級的兩類難度上,所以黑客們懷疑這是兩類不同水平的技術(shù)人員的作品。低級難度的反制是衛(wèi)視服務(wù)系統(tǒng)內(nèi)部技術(shù)人員的手筆,而高級的反制則直接出自CA系統(tǒng)研制人員的杰作。
      兩種級別的反制也將國內(nèi)修改、編寫D卡程序的高手分成了兩類:有一些寫一點(diǎn)程序應(yīng)付低級反制的,往往采用“頭痛醫(yī)頭、腳痛醫(yī)腳”的補(bǔ)丁程序,可以對付目前146-Dream TV的反制;只有少數(shù)高手中的高手具有整體編寫程序以及仿真MAP功能的能力,能采用更合理的對抗策略,能研制出復(fù)雜程序和新類型的D卡,最終可以對付高級難度的反制。對付低級反制寫出對抗程序的時(shí)間大約是數(shù)小時(shí)到幾天,而對付高級反制找到方法并寫出程序的時(shí)間往往需要數(shù)個(gè)月之久,而且還需要國內(nèi)外Hacker 們的協(xié)同配合。國內(nèi)高手中的高手人數(shù)很少,都是單兵作戰(zhàn)和埋頭苦干的,與其他高手之間一般互不交流。
      本節(jié)介紹的“利用正版卡程序隨機(jī)地址處的機(jī)器碼作為Key的解碼密鑰”的EMM反制方法十分成功,但它采用程序的機(jī)器碼作為解開Key的密鑰,可能會(huì)出現(xiàn)以下幾個(gè)問題:
      1. 如果電視系統(tǒng)歷史悠久,在用的卡可能有幾種,那么可能產(chǎn)生內(nèi)部機(jī)器指令碼不盡相同的問題;
      2. 如果電視系統(tǒng)想要更新程序,也可能存在部分尚未更新程序的正版卡,同樣會(huì)產(chǎn)生內(nèi)部機(jī)器指令碼不相同的問題。這個(gè)問題還可能阻止正版卡通過下行信號進(jìn)行的升級:我們設(shè)想一下,正版卡用戶中,有的人天天看衛(wèi)視節(jié)目,他們的卡順利升了級,而一部分人外出,卡很久都沒有使用了,剛回來想看衛(wèi)視,結(jié)果因?yàn)榭ǖ某绦虿粚?,無法收看,肯定對衛(wèi)視服務(wù)商大發(fā)雷霆。在用戶是上帝的外國,電視服務(wù)商對可能引起用戶的怒氣一定很忌諱的。
       3. 對該反制最致命打擊是,可以設(shè)法讀出正版卡作為密鑰的那一部分程序機(jī)器碼,通過在D卡的硬件上安排外部EEPROM,存儲(chǔ)量有64KB、128KB、256KB等,將正版卡作為密鑰的程序機(jī)器碼全部保存起來,解開KEY時(shí),照樣可以從外部EEPROM中取到與正版卡一樣的解Key的密鑰,來對抗反制,使該方法失效,這是該類反制的終結(jié)者。
      經(jīng)過了利用軟件仿真在I/O功能上的區(qū)別進(jìn)行的反制和利用正版卡指令代碼作為密鑰進(jìn)行的反制之后,目前幾個(gè)在運(yùn)行的CA系統(tǒng)(146的Dream TV與其他衛(wèi)視,XG以及國內(nèi)一些地方的本地有線數(shù)字電視等)紛紛進(jìn)入了使用MAP功能來進(jìn)行反制的階段。
     使用正版卡中的MAP編碼/解碼協(xié)處理器進(jìn)行反制,是正版卡在設(shè)計(jì)階段就預(yù)留的終極反制殺手??梢钥吹?,正版卡設(shè)計(jì)者防范于未然,預(yù)估到終有一天,第一道門(ECM與EMM的解碼)將被攻破,預(yù)先留好了第二道門做最后的防守。未雨綢繆,是我們不得不佩服這些設(shè)計(jì)者的智慧與遠(yuǎn)見。
第三節(jié) ()
      在深入討論MAP功能及其仿真實(shí)現(xiàn)之前,為了后續(xù)文章讀起來不算費(fèi)勁,需要先說明兩個(gè)方面的知識:一是什么是收視卡防守的第一道門與第二道門? 二是EMM指令與Logging等知識。
      今天讓我們先說說什么是收視卡防守的第一道門與第二道門?
      收視卡是防止非法收視的守門員,在卡中設(shè)計(jì)了多種加密方法,最主要的有解決收視功能的ECM和自動(dòng)換key的EMM的解密,它們的解碼是第一道門。ECM與EMM的編碼與解碼使用的雖是不同的方法,但都是固定不變的標(biāo)準(zhǔn)方法。不同的條件接收系統(tǒng)僅僅是編碼/解碼采用的數(shù)據(jù)有不同而已。舉個(gè)例子,有的卡可以解開多個(gè)同一類型CA系統(tǒng),該類卡是按照下行的ECM或EMM的系統(tǒng)標(biāo)識(如146 Dream TV為4E和4F,XG有線為94和95等)選擇不同的數(shù)據(jù),而運(yùn)行的程序基本相同的。
      仍然以XX為例,ECM的編/解碼采用DES與EDES算法,其原理早已公之于世。編/解碼所用的S_Boxes數(shù)據(jù)也已經(jīng)公開,并且在不同的系統(tǒng)中固定不變。與標(biāo)準(zhǔn)的DES相比,XX系統(tǒng)的DES只是多了對字節(jié)進(jìn)行了反序排列而已。ECM使用的VerifyKey等數(shù)據(jù),通過后門密碼進(jìn)入正版卡保留的數(shù)據(jù)空間,可以讀出這些關(guān)鍵的信息,加上BoxKey等信息,只要能獲得當(dāng)前的Key0/Key1,就可以配合IRD解開解密收視用的控制字(Control Word),可以正常收看衛(wèi)視節(jié)目。
      ECM的解碼可以解決收視的問題,但還需要手動(dòng)輸入Key0/Key1。如果要象正版卡一樣自動(dòng)換Key即所謂的AU,就需要能解開EMM,并能正確地找到并保存Key0/Key1。與ECM的解碼相比,EMM的解碼要復(fù)雜的多!經(jīng)過Hacker的努力,EMM的RSA編碼原理已經(jīng)完全弄明白,所需要的PK,VK等數(shù)據(jù)也可以通過Hacker的軟件和ROM10/ROM11卡的后門讀出,再算出N1,P,Q,EP,EQ,IQModP,IPModQ,PPrimA,QPrimA等方便編程的數(shù)據(jù),就可以順利解出EMM。
       收視卡的第二道門是對EMM 中Key解密的防守。它的方法沒有固定的套路,可以任意變化。如XX系統(tǒng)的設(shè)計(jì)者安排了可以通過EMM中攜帶程序的執(zhí)行,以及正版卡通過下行信號更新的EEPROM中補(bǔ)丁程序的運(yùn)行來解碼。正版卡設(shè)計(jì)者可能料到攻破第一道門是遲早的事,于是第二道門上的防守就成了最后的防線。前面章節(jié)介紹的幾種對EMM中的Key0/Key1進(jìn)行再加密,就是在第二道門上的防守。它的思路是:當(dāng)EMM解開后,如果其中的Key0,Key1是經(jīng)過加密的,D卡仍然無法得到正確的Key。
      國內(nèi)早期的D卡程序是移植國外Hacker 的,針對想收視的系統(tǒng),修改了相應(yīng)的數(shù)據(jù)就可以實(shí)現(xiàn)本地化,由于要得到正確的Key需要的解碼方法沒有固定的套路,Hacker不可能事先料到,總是要反制后分析它的原理,再更新部分D卡程序,進(jìn)行對抗和補(bǔ)救。一般人沒有自己編寫D卡程序的能力,即使有寫卡器掌握了寫卡方法,但程序又難以得到,這些麻煩會(huì)迫使許多人放棄D卡,轉(zhuǎn)而加入正版卡繳費(fèi)收視的行列。
      不過正版卡雖好,但其高額的收視費(fèi)還是讓國內(nèi)廣大愛好者望之卻步,大家的希望還是寄托在D卡程序的完善上,希望終有一天,D卡能與正版卡一樣不受反制
217#
發(fā)表于 2017-1-19 14:47 | 只看該作者 | 來自香港
隨著數(shù)字電視的普及,模擬電視信號將停止播放,對一家?guī)着_(tái)電視機(jī)來說,迫切希望用一臺(tái)機(jī)頂盒帶多臺(tái)電視機(jī)的愿望,這里介紹一些電子刊物討論方法,共大家參考:

一、破解思路
      有線電視加密的原理是這樣的:電視臺(tái)把接改來的電視信號先輸入數(shù)字加密設(shè)備,把電視信號通過算法加密后向外輸出終端的解密設(shè)備(機(jī)頂盒子)解密后輸出普通的射頻信號,再送到我們的終端接收設(shè)備,由電視放出畫面。因電視只能是接收普通的射頻信號(模擬信號),所以只能解密后再輸入電視,由電視放出畫面。有線電視加密法有多種,這里的是使用“加擾法”。在加密到解密這段線路,要想非法接入偷接電視信號,成功的可能性幾乎是10000000分之一。但經(jīng)解密器(機(jī)頂盒)解密后的信號任何可以常接收電視信號的電視機(jī)都能播放(即通用性,也可說是共用性),這就是破解的切入點(diǎn)(破解軟件也需要切入點(diǎn))。既然這樣,但為什么一個(gè)機(jī)頂盒只能接一臺(tái)電視機(jī)用呢?我也試驗(yàn)過,當(dāng)通簡單的方法接上兩臺(tái)電視機(jī)的時(shí)候,什么畫面也沒有了(因機(jī)頂盒有智能的識別功能)。問題就在這里,也是我要教會(huì)大家的精要所在。
      至于如何利用這個(gè)“切入點(diǎn)”進(jìn)行我們的“小人”行為呢?我們通過什么手段來欺騙機(jī)頂盒,讓他以為是一臺(tái)電視機(jī)呢?(就如破解軟件的時(shí)候,我們有時(shí)也要采用欺騙的方法來進(jìn)行破解)。我將會(huì)在下一點(diǎn)“破解原理”中向大家說明。

二、破解原理:
      裝在我們家里的那個(gè)盒子的工作原理:經(jīng)加密的信號經(jīng)輸入端子輸入,由其內(nèi)部有關(guān)電路解除干擾信號(加擾法加密),再經(jīng)輸出端子輸出正常的信號。其解密電路是否工作要有一個(gè)外部條件,就是電視的高頻頭反饋回來的信號。如果沒有這個(gè)信號反饋回機(jī)頂盒,則其解擾電路不工作,照樣輸出未解密的信號,因而不能正常收看。其解密的頻段分做若干段解密,如電視正在接收3頻道,則電視的高頻頭就反饋3頻道的諧振頻率給機(jī)頂盒,機(jī)頂盒就能輸出1——5頻道的正常信號,如此類推。

因此可用以下兩種方法進(jìn)行破解:
      1、把機(jī)頂盒放在其中一臺(tái)電視機(jī)(下稱電視1)高頻頭附近,讓其可以正常收看,再用分支器從輸出端分支出信號到另外的電視機(jī)。這樣的做法的一個(gè)缺點(diǎn):就是另外的電視機(jī)只能接收電視1接收的頻道附近的5個(gè)頻道。
      2、用非與門電路或555電路制作一個(gè)開放式多諧振動(dòng)器,其諧振頻率只要能履蓋有線電視的整個(gè)頻段即可。(制作成本約6元左右)把這個(gè)諧振動(dòng)器放在機(jī)頂盒的旁邊。讓機(jī)頂盒能接收到振動(dòng)器發(fā)出的信號,再用分支器從機(jī)頂盒的輸出端分支出多臺(tái)電視機(jī),這樣,所有電視機(jī)就能接收所有頻道的信號了。(下次發(fā)圖)
       3、用高頻三極管如9018做一個(gè)高頻發(fā)射電路,利用射頻輸出再次發(fā)射,只要小小發(fā)射功率,讓機(jī)頂盒能接收得到即可?;蛴猛S視頻線分支接入輸入或輸出端,的除去外層屏蔽線,只留中間的線長約1米,把這線繞在機(jī)頂盒。讓泄漏出來的信號感應(yīng)給機(jī)頂盒接收。
破解電視機(jī)頂盒,可接多臺(tái)電視
       游走在灰色地帶,大打擦邊球的數(shù)字電視機(jī)頂盒共享器
       隨著有線電視數(shù)字化發(fā)展進(jìn)程的加快,數(shù)字電視這一新興的電視觀看及傳輸方式已經(jīng)開始被更多的普通市民所熟悉,數(shù)字電視以接近于DVD的畫質(zhì)和立體聲甚至5.1聲道伴音這兩大最明顯的特點(diǎn)受到了不少有線電視用戶的關(guān)注,同時(shí)更多可選擇的電視臺(tái)、點(diǎn)播節(jié)目也為豐富市民的業(yè)余生活增添了不少色彩,不過在數(shù)字電視剛剛起步的萌芽階段,還有多的不足和缺點(diǎn)需要改進(jìn)。

       按照國際慣例,數(shù)字電視機(jī)頂盒(SET-TOP-BOX,簡稱STB)分為數(shù)字地面STB、數(shù)字衛(wèi)星STB、數(shù)字有線STB和網(wǎng)絡(luò)STB這4種,目前正在大力發(fā)展的數(shù)字電視類型是數(shù)字有線STB,是目前成本最為低廉,也最適合大力向普通市民所推廣的。整體來說,數(shù)字機(jī)頂盒以支持HDTV和互動(dòng)性作為發(fā)展方向,而就目前的機(jī)頂盒產(chǎn)品來看,一部機(jī)頂盒內(nèi)包括了接收數(shù)字信號的調(diào)制解調(diào)芯片、視頻信號編解碼芯片、音頻處理器、音視頻數(shù)模轉(zhuǎn)換芯片等,一些高端的機(jī)頂盒中甚至還會(huì)整合安全芯片甚至可錄像硬盤,可見數(shù)字電視機(jī)頂盒在未來的發(fā)展空間還是相當(dāng)寬廣的

      上圖中的三部機(jī)頂盒中包括了目前所使用的三款不同品牌、型號的機(jī)頂盒,其中最上方的創(chuàng)維C6000采用了意法的Qami5516方案;熊貓3216采用了意法的5516芯片,帶有180MHZ的CPU,而最下方的銀河則采用了最為簡單的富士通功能單芯片H20A,雖然這三種機(jī)頂盒在內(nèi)部的設(shè)計(jì)上有一定的區(qū)別,但它們都是需要通過插入數(shù)字電視智能卡才能夠工作的,而數(shù)字電視智能卡就相當(dāng)于一個(gè)人有了駕照才能合法地駕駛汽車一樣。

        在使用模擬電視信號的時(shí)候,大家只需要申請有線電視開戶之后就可以在家中通過自帶電視信號調(diào)諧器的電視觀看節(jié)目,如果有多部電視的話只要購買有線電視信號分配器就可以在所有的電視上觀看有線電視。而數(shù)字電視卻將這種免費(fèi)的電視信號共享給“封殺”了,機(jī)頂盒需要在插入有效的智能卡之后才能使用就是為了保證數(shù)字電視信號不被盜用的一種方式,同時(shí)也能夠保證數(shù)字信號不被盜版商用來作為盜版節(jié)目源。
        為了保證數(shù)字信號不被盜用,數(shù)字電視內(nèi)容管理方式以條件式接?。–A)和數(shù)字版權(quán)管理(DRM)作為基本保護(hù)機(jī)制,目前國內(nèi)的數(shù)字電視機(jī)頂盒采用的管理方式就是條件式接取這種機(jī)卡分離的方式,用戶必須通過專屬的智能卡來取得授權(quán)才能夠接收被解碼的信號,而服務(wù)提供商也能夠通過這種方式接收用戶的信息,包括用戶戶名、地址、智能卡卡號和收看數(shù)字電視的費(fèi)用等信息。這種機(jī)卡分離的機(jī)頂盒使用方式被美國、歐洲和亞洲等國視為數(shù)字電視發(fā)展的機(jī)頂策略。

        DRM采用的是許可證管理策略,由數(shù)字電視信號運(yùn)營商對節(jié)目源進(jìn)行加密,在用戶通過機(jī)頂盒發(fā)出節(jié)目接收請求之后系統(tǒng)會(huì)自動(dòng)檢查是否經(jīng)過許可,而認(rèn)證的方式也同樣是通過IC卡等帶有帳號、密碼等信息的進(jìn)行的,不過DRM管理的規(guī)格相當(dāng)繁多:Windows Media的DRM、開放移動(dòng)聯(lián)盟OMA推出的DRM 1.0/2.0規(guī)格、UT-DRM、NDS、SecureMedia、WideVine、BesDRM等,規(guī)格的不統(tǒng)一使其并不被大多數(shù)有限數(shù)字電視運(yùn)營商所接受。
        由于數(shù)字電視信號必須通過機(jī)頂盒才能接收,同時(shí)采用了用戶身份認(rèn)證的防盜用方式,所以有線數(shù)字電視節(jié)目只有一部電視機(jī)搭配一部機(jī)頂盒才能夠正常觀看,在目前大多數(shù)市民家中同時(shí)擁有一部以上電視的這一情況下,如果希望每部電視機(jī)都能夠收看數(shù)字電視的話必須購買數(shù)量相對應(yīng)的機(jī)頂盒,這在一定程度上家中了消費(fèi)者觀看數(shù)字電視的成本,于是有一些廠家開始在有線數(shù)字電視共享上開始下功夫,紛紛推出名為數(shù)字電視機(jī)頂盒共享器的產(chǎn)品,以此實(shí)現(xiàn)對數(shù)字電視信號的共享。
        目前的數(shù)字電視機(jī)頂盒共享器共有有線和無線兩種,有線的共享器只需要將共享器與機(jī)頂盒接駁,并且通過音視頻信號線將它與其它電視的AV接口接駁就可以使用,而無線的共享器則包括與機(jī)頂盒互聯(lián)的信號發(fā)射器和與電視互聯(lián)的信號接收器。
        機(jī)頂盒共享器的功能介紹上將這種產(chǎn)品的優(yōu)點(diǎn)共分為多顯示終端信號共享和節(jié)約費(fèi)用兩大類,對于大多數(shù)購買這種產(chǎn)品的消費(fèi)者來說,可能最能夠吸引他們的是通過共享器可以節(jié)約機(jī)頂盒的購買費(fèi)用和電視信息點(diǎn)播費(fèi),有了省錢作為最大賣點(diǎn)之后,這種產(chǎn)品自然更受關(guān)注。
        雖然這種產(chǎn)品具有一定的實(shí)用意義,但是我們仔細(xì)看看就會(huì)發(fā)現(xiàn)這種所謂的共享器實(shí)際上就是一個(gè)音視頻信號分配器,與機(jī)頂盒連接的接口包括了復(fù)合視頻輸入和模擬立體聲音頻輸入這兩個(gè)接口,而用于輸出信號的則包括了復(fù)合視頻信號輸出和3.5毫米信號輸出接口,并沒有能夠直接發(fā)送及接受智能卡用戶信息的接口,這也就意味著即使是通過這樣的共享器接駁其它電視之后也并不能獨(dú)立選臺(tái),換句話說,如果客廳中的電視在通過機(jī)頂盒播放中央一套的電視節(jié)目,那么其它房間的另一臺(tái)電視也同樣只能夠播放中央一套的電視節(jié)目
        無線機(jī)頂盒共享其與有線機(jī)頂盒共享器一樣都是通過音視頻接口接受機(jī)頂盒上的第二路信號輸出接口來實(shí)現(xiàn)數(shù)字電視信號的“共享”的,不過無線的共享器的傳輸方式是通過紅外、調(diào)頻或2.4GHz來實(shí)現(xiàn)的,值得注意的是,目前的機(jī)頂盒在背后的接口都帶有兩路信號輸出接口,只要使用連接線將機(jī)頂盒的信號與兩臺(tái)電視連接就同樣可以實(shí)現(xiàn)這樣的所謂“共享”功能,而這樣一來機(jī)頂盒共享器的作用也只有在不同房間都可以用遙控器控制機(jī)頂盒這種“遙控共享器”的功能了。
破解討論綜述
      CA安全保障的三層關(guān)鍵:傳輸流的加擾,控制字的加密,加密體制的保護(hù)。
      這三種技術(shù)是CA系統(tǒng)重要的組成部分,在處理技術(shù)上有相似之處,但在CA系統(tǒng)標(biāo)準(zhǔn)中是獨(dú)立性很強(qiáng)的三個(gè)部分。加解擾技術(shù)被用來在發(fā)送端CA系統(tǒng)的控制下改變或控制被傳送的服務(wù)(節(jié)目)的某些特征,使未被授權(quán)的用戶無法獲取該服務(wù)提供的利益;而加密技術(shù)被用來在發(fā)送端提供一個(gè)加密信息,使被授權(quán)的用戶端解擾器能以此來對數(shù)據(jù)解密;而保密機(jī)制則用于控制該信息,并以加密形式配置在傳輸流信息中以防止非授權(quán)用戶直接利用該信息進(jìn)行解擾,不同的CA系統(tǒng)管理和傳送該信息的機(jī)制有很大不同。在目前各標(biāo)準(zhǔn)組織提出的條件接收標(biāo)準(zhǔn)中,加擾部分往往力求統(tǒng)一,而在加密部分和保密機(jī)制則一般不作具體規(guī)定,是由各廠商定義的部分。
      1、對傳輸流的加擾,DVB已有標(biāo)準(zhǔn)。目前在國際上占主流的有歐洲的DVB標(biāo)準(zhǔn)、北美國家的ATSC標(biāo)準(zhǔn)及日本的ISDB標(biāo)準(zhǔn)三種標(biāo)準(zhǔn)中,對于CA部分都作了簡單的規(guī)定,并提出了三種不同的加擾方式。歐洲D(zhuǎn)VB組織提出了一種稱之為通用加擾算法(Common Scrambling Algorithm)的加擾方式,由DVB組織的四家成員公司授權(quán),ATSC組織使用了通用的三迭DES算法,而日本使用了松下公司提出的一種加擾算法。通用加擾算法是DVB標(biāo)準(zhǔn)組織推薦的對于TS流的標(biāo)準(zhǔn)加擾算法。目前,在歐洲的數(shù)字廣播節(jié)目中普遍采用了這個(gè)算法。我國目前商業(yè)化的CA中,TS節(jié)目的加擾也基本上是采用的這個(gè)算法。如果從破解的角度,攻破這個(gè)算法的意義要遠(yuǎn)遠(yuǎn)大于破解智能卡和攻破CA系統(tǒng)本身。
      2、對控制字的加密算法一般采用RSA以及3DES算法,各家CA廠商各不相同。值得一提的是DVB里有一個(gè)規(guī)定,提到的同密技術(shù)要求每個(gè)CA系統(tǒng)可以使用不同的加密系統(tǒng)加密各自的相關(guān)信息,但對節(jié)目內(nèi)容的加擾必須采用同一個(gè)加擾算法和加擾控制字,可以方便多級運(yùn)營商的管理,為多級運(yùn)營商選擇條件接收系統(tǒng)提供了靈活性。這就為黑客攻破智能卡創(chuàng)造了條件。
      3、對加密體制,不同廠家的系統(tǒng)差別很大,其技術(shù)大體有兩種: 一種是以愛迪德系統(tǒng)為代表的密碼循環(huán)體制,另一種是以NDS系統(tǒng)為代表的利用專有算法來進(jìn)行保護(hù),由于牽涉到系統(tǒng)安全性,廠家一般不會(huì)公開。因此從破解角度,對系統(tǒng)的破解是難度也是比較大的。
第一章:CA智能卡的破解與反制
第一節(jié) 對于CA智能卡的破解分為兩種,
      1、從硬件破解的角度,完全地仿照正版卡來定制IC卡;
      2、從軟件破解的方向,將正版卡的程序讀出,最后將程序?qū)懭隝C卡中,就變成與正卡無差別的D卡了。
仿制正版卡,可以將IC卡的觸點(diǎn)剝離下來,再將保護(hù)的塑料蝕掉,暴露出元件和內(nèi)部電路連接,就可以繪制成電原理圖,最后交給能訂制生產(chǎn)的IC卡的廠家生產(chǎn)。這些仿制還有一個(gè)冠冕堂皇的名稱叫“反向工程”。國內(nèi)在深圳和廈門等地都有能生產(chǎn)定制IC卡的廠家,在利益的驅(qū)使下,他們往往不會(huì)過問敏感問題。
      IC卡中的元件如果是通用元件,通??梢酝ㄟ^IC卡的功能原理的分析來確定,雖然困難,但總是可以最終確定。例如深圳目前直接使用流在市面上的ROM10與ROM11卡來制成D卡,ROM10與ROM11實(shí)際上是XX系統(tǒng)正版卡的“基礎(chǔ)卡”,這些卡具有與正版卡相同的硬件基礎(chǔ),至于怎么流落到社會(huì)上的不得而知,但有一個(gè)事實(shí)就是大家應(yīng)該都收到過安裝衛(wèi)星電視的短信,這是個(gè)可以想象的到的異常龐大的地下產(chǎn)業(yè)!
      繼續(xù):IC卡中的元件如果是專用元件,確定元件的事情就變得極其困難和十分渺茫了。那么這個(gè)時(shí)候硬件仿制的路走不通了,那么看看軟件仿真的路能不能走得通。
      再看軟件仿真的路能不能走得通前,首先闡明軟件仿真的路能不能走得通有不同的判斷標(biāo)準(zhǔn)。
如果僅以在一段時(shí)段中,軟件仿真的D卡與正版卡都具有相同的條件收視功能來判斷,那么無疑,從D卡的實(shí)踐來看,軟件仿真已經(jīng)成功了。
      但如果以任何時(shí)段中,軟件仿真的D卡與正版卡都具有相同的功能,特別是對抗反制的功能來判斷,那么我要說,同樣無疑,軟件仿真是不可能成功的。
      因此我們僅承認(rèn)這種事實(shí)就夠了:自動(dòng)對抗新的反制,使D卡與正版卡一樣免除后顧之憂,肯定是D卡研究的終極目標(biāo)。但是即便達(dá)不到這個(gè)目標(biāo),只要能保證一段時(shí)間的仿真成功,CA破解的商業(yè)價(jià)值就依然存在!
補(bǔ)充說明反制:由于D卡的成功,尤其是帶AU(自動(dòng)換Key0/Key1)的D卡程序的廣泛擴(kuò)散,正版服務(wù)商感到了巨大的壓力,逐步開始采用種種反制手段,讓D版的AU卡實(shí)效。
      我們先研究一下這個(gè)反制是個(gè)什么東東:學(xué)習(xí)和搞嵌入式控制器開發(fā)的人都用過仿真器,如“偉福”系列的MCS-51的仿真器等。大家一定知道硬件仿真與軟件仿真存在一個(gè)本質(zhì)區(qū)別,即I/O功能的不同。一條取端口引腳值的指令就足以區(qū)分是硬件仿真還是軟件仿真了。硬件仿真可以真實(shí)地取到引腳上的實(shí)際輸入,而軟件仿真得到的只能是不會(huì)變化的內(nèi)存仿真值。
       利用這個(gè)原理實(shí)現(xiàn)的反制程序分為兩部分,前面的部分通過I/O端口的訪問,區(qū)別出是真的硬件存在,還是軟件仿真;后半部分對非法的仿真卡簡單地返回主程序,不能解開Key0/Key1;對正版卡,則修改Key0/Key1,使之正確,然后返回主程序并保存key,保存的Key0/Key1用于ECM的解碼。
      從歷次搜集的反制EMM中的方法中,可以將反制歸納為兩種,一種是從硬件或軟件上區(qū)別D卡與正版卡,從而產(chǎn)生條件分支指令,使D卡仿真的程序失效;另一種是調(diào)用D卡中不可能有的,只有正版卡硬件才具備的MAP子程序,使D卡無法執(zhí)行正確的程序。
先介紹前一種方法:
      使用硬件端口區(qū)別正版卡與仿真卡的反制方法,由于具有特殊性能的端口數(shù)的限制,因此不可能有多種變化,一旦Hacker知道了反制的EMM結(jié)構(gòu)與原理,很容易就可以避開端口判斷的指令,直接轉(zhuǎn)到修改Key0/Key1部分。這雖然并不是程序指令的直接仿真,只能算是功能仿真,卻可以使已知反制失效。
      另外你也許會(huì)提出一些其他辦法,如目前的一些Nagra系統(tǒng)在下行的EMM命令中加入了甄別真?zhèn)魏汀皻⒖ā敝噶?,對于“正改卡”,毫不留情地清除卡中程序并且讓它成為廢卡。
      我可以說,為了對抗“殺卡”,這類“正改卡”的程序如果采用Block技術(shù),可以抵抗多數(shù)殺卡指令,同樣能夠使這類“正改卡”得以安全使用。
      先寫到這,后面介紹根據(jù)正版卡特有的機(jī)器指令代碼,讓正版卡能進(jìn)行解碼、而沒有正版卡程序的仿真卡無法正確解碼、從而獲得KEY的EMM思路。

第二節(jié):
      以下介紹根據(jù)正版卡特有的機(jī)器指令代碼,讓正版卡能進(jìn)行解碼,而沒有正版卡程序的仿真卡無法正確解碼,從而獲得KEY的EMM思路。
      按照道理,D卡使用的是AVR或其他類型的CPU,“正改卡”中的程序與正版卡也不相同,照理這些卡中都沒有正版ROM10/ROM11卡的程序。因此,用只有正版卡才有的特定機(jī)器指令代碼作為密鑰來解密key0與key1,自然是十分聰明的反制措施。
      該反制的EMM以前146Dream TV可能曾使用過。目前XG有線又重新啟用,大致在一個(gè)周期的8天中,有兩天使用本類EMM,另外6天使用另一個(gè)“超級MAP”程序。
這種反制的具體思路是:
     下行的EMM中攜帶的Key與Key1是經(jīng)過加密編碼的,不能直接使用。解開它們需要的密鑰“種子”(即產(chǎn)生密鑰的原始數(shù)據(jù))的地址由下行的EMM給出。注意!EMM中并沒有給出密鑰“種子”,而是給出了它們在正版ROM10/ROM11卡程序存儲(chǔ)區(qū)中的地址,這個(gè)地址是隨機(jī)數(shù),不同的key0/key1,地址就不同。它的值總是大于S4000,防止取到ROM10卡低端的無法讀出的無意義內(nèi)容。反制設(shè)計(jì)者設(shè)想,D卡或“正改卡”無法獲得正版卡的內(nèi)部程序,因此,即使給出了地址,D卡也無法取得正確的機(jī)器碼作為密鑰的“種子”,自然也就無法生成密鑰,解開key0/key1了。
     對于正版卡,按照給出的地址,取到16字節(jié)的機(jī)器指令代碼,經(jīng)過類似計(jì)算Hash效驗(yàn)的方法,產(chǎn)生正確的密鑰,再對key0/key1進(jìn)行DES編碼運(yùn)算,就解出正確的key0/key1了。
上面介紹的“利用正版卡程序隨機(jī)地址處的機(jī)器碼作為Key的解碼密鑰”的EMM反制方法非常厲害,曾難倒了一大批的高手。
      對比一下昨天前一篇帖子中給出的EMM與上面介紹的EMM,就會(huì)發(fā)現(xiàn),前一篇帖子中給出的EMM是一種簡單的反制,只要知道了正確的Key0/Key1,再經(jīng)過認(rèn)真分析和思考,就會(huì)明白其反制原來并找出解出Key的方法,目前Dream TV的反制都屬于這類簡單反制;但上面今天介紹的EMM是一種高級和復(fù)雜的反制,即使知道了正確的Key0/Key1,也難以得知其反制的原理與找出解key的方法,目前XG有線和國外一些CA系統(tǒng)采用的是這類反制。由于XX的反制匯聚在低級和高級的兩類難度上,所以黑客們懷疑這是兩類不同水平的技術(shù)人員的作品。低級難度的反制是衛(wèi)視服務(wù)系統(tǒng)內(nèi)部技術(shù)人員的手筆,而高級的反制則直接出自CA系統(tǒng)研制人員的杰作。
      兩種級別的反制也將國內(nèi)修改、編寫D卡程序的高手分成了兩類:有一些寫一點(diǎn)程序應(yīng)付低級反制的,往往采用“頭痛醫(yī)頭、腳痛醫(yī)腳”的補(bǔ)丁程序,可以對付目前146-Dream TV的反制;只有少數(shù)高手中的高手具有整體編寫程序以及仿真MAP功能的能力,能采用更合理的對抗策略,能研制出復(fù)雜程序和新類型的D卡,最終可以對付高級難度的反制。對付低級反制寫出對抗程序的時(shí)間大約是數(shù)小時(shí)到幾天,而對付高級反制找到方法并寫出程序的時(shí)間往往需要數(shù)個(gè)月之久,而且還需要國內(nèi)外Hacker 們的協(xié)同配合。國內(nèi)高手中的高手人數(shù)很少,都是單兵作戰(zhàn)和埋頭苦干的,與其他高手之間一般互不交流。
      本節(jié)介紹的“利用正版卡程序隨機(jī)地址處的機(jī)器碼作為Key的解碼密鑰”的EMM反制方法十分成功,但它采用程序的機(jī)器碼作為解開Key的密鑰,可能會(huì)出現(xiàn)以下幾個(gè)問題:
      1. 如果電視系統(tǒng)歷史悠久,在用的卡可能有幾種,那么可能產(chǎn)生內(nèi)部機(jī)器指令碼不盡相同的問題;
      2. 如果電視系統(tǒng)想要更新程序,也可能存在部分尚未更新程序的正版卡,同樣會(huì)產(chǎn)生內(nèi)部機(jī)器指令碼不相同的問題。這個(gè)問題還可能阻止正版卡通過下行信號進(jìn)行的升級:我們設(shè)想一下,正版卡用戶中,有的人天天看衛(wèi)視節(jié)目,他們的卡順利升了級,而一部分人外出,卡很久都沒有使用了,剛回來想看衛(wèi)視,結(jié)果因?yàn)榭ǖ某绦虿粚?,無法收看,肯定對衛(wèi)視服務(wù)商大發(fā)雷霆。在用戶是上帝的外國,電視服務(wù)商對可能引起用戶的怒氣一定很忌諱的。
       3. 對該反制最致命打擊是,可以設(shè)法讀出正版卡作為密鑰的那一部分程序機(jī)器碼,通過在D卡的硬件上安排外部EEPROM,存儲(chǔ)量有64KB、128KB、256KB等,將正版卡作為密鑰的程序機(jī)器碼全部保存起來,解開KEY時(shí),照樣可以從外部EEPROM中取到與正版卡一樣的解Key的密鑰,來對抗反制,使該方法失效,這是該類反制的終結(jié)者。
      經(jīng)過了利用軟件仿真在I/O功能上的區(qū)別進(jìn)行的反制和利用正版卡指令代碼作為密鑰進(jìn)行的反制之后,目前幾個(gè)在運(yùn)行的CA系統(tǒng)(146的Dream TV與其他衛(wèi)視,XG以及國內(nèi)一些地方的本地有線數(shù)字電視等)紛紛進(jìn)入了使用MAP功能來進(jìn)行反制的階段。
     使用正版卡中的MAP編碼/解碼協(xié)處理器進(jìn)行反制,是正版卡在設(shè)計(jì)階段就預(yù)留的終極反制殺手??梢钥吹剑婵ㄔO(shè)計(jì)者防范于未然,預(yù)估到終有一天,第一道門(ECM與EMM的解碼)將被攻破,預(yù)先留好了第二道門做最后的防守。未雨綢繆,是我們不得不佩服這些設(shè)計(jì)者的智慧與遠(yuǎn)見。
第三節(jié) ()
      在深入討論MAP功能及其仿真實(shí)現(xiàn)之前,為了后續(xù)文章讀起來不算費(fèi)勁,需要先說明兩個(gè)方面的知識:一是什么是收視卡防守的第一道門與第二道門? 二是EMM指令與Logging等知識。
      今天讓我們先說說什么是收視卡防守的第一道門與第二道門?
      收視卡是防止非法收視的守門員,在卡中設(shè)計(jì)了多種加密方法,最主要的有解決收視功能的ECM和自動(dòng)換key的EMM的解密,它們的解碼是第一道門。ECM與EMM的編碼與解碼使用的雖是不同的方法,但都是固定不變的標(biāo)準(zhǔn)方法。不同的條件接收系統(tǒng)僅僅是編碼/解碼采用的數(shù)據(jù)有不同而已。舉個(gè)例子,有的卡可以解開多個(gè)同一類型CA系統(tǒng),該類卡是按照下行的ECM或EMM的系統(tǒng)標(biāo)識(如146 Dream TV為4E和4F,XG有線為94和95等)選擇不同的數(shù)據(jù),而運(yùn)行的程序基本相同的。
      仍然以XX為例,ECM的編/解碼采用DES與EDES算法,其原理早已公之于世。編/解碼所用的S_Boxes數(shù)據(jù)也已經(jīng)公開,并且在不同的系統(tǒng)中固定不變。與標(biāo)準(zhǔn)的DES相比,XX系統(tǒng)的DES只是多了對字節(jié)進(jìn)行了反序排列而已。ECM使用的VerifyKey等數(shù)據(jù),通過后門密碼進(jìn)入正版卡保留的數(shù)據(jù)空間,可以讀出這些關(guān)鍵的信息,加上BoxKey等信息,只要能獲得當(dāng)前的Key0/Key1,就可以配合IRD解開解密收視用的控制字(Control Word),可以正常收看衛(wèi)視節(jié)目。
      ECM的解碼可以解決收視的問題,但還需要手動(dòng)輸入Key0/Key1。如果要象正版卡一樣自動(dòng)換Key即所謂的AU,就需要能解開EMM,并能正確地找到并保存Key0/Key1。與ECM的解碼相比,EMM的解碼要復(fù)雜的多!經(jīng)過Hacker的努力,EMM的RSA編碼原理已經(jīng)完全弄明白,所需要的PK,VK等數(shù)據(jù)也可以通過Hacker的軟件和ROM10/ROM11卡的后門讀出,再算出N1,P,Q,EP,EQ,IQModP,IPModQ,PPrimA,QPrimA等方便編程的數(shù)據(jù),就可以順利解出EMM。
       收視卡的第二道門是對EMM 中Key解密的防守。它的方法沒有固定的套路,可以任意變化。如XX系統(tǒng)的設(shè)計(jì)者安排了可以通過EMM中攜帶程序的執(zhí)行,以及正版卡通過下行信號更新的EEPROM中補(bǔ)丁程序的運(yùn)行來解碼。正版卡設(shè)計(jì)者可能料到攻破第一道門是遲早的事,于是第二道門上的防守就成了最后的防線。前面章節(jié)介紹的幾種對EMM中的Key0/Key1進(jìn)行再加密,就是在第二道門上的防守。它的思路是:當(dāng)EMM解開后,如果其中的Key0,Key1是經(jīng)過加密的,D卡仍然無法得到正確的Key。
      國內(nèi)早期的D卡程序是移植國外Hacker 的,針對想收視的系統(tǒng),修改了相應(yīng)的數(shù)據(jù)就可以實(shí)現(xiàn)本地化,由于要得到正確的Key需要的解碼方法沒有固定的套路,Hacker不可能事先料到,總是要反制后分析它的原理,再更新部分D卡程序,進(jìn)行對抗和補(bǔ)救。一般人沒有自己編寫D卡程序的能力,即使有寫卡器掌握了寫卡方法,但程序又難以得到,這些麻煩會(huì)迫使許多人放棄D卡,轉(zhuǎn)而加入正版卡繳費(fèi)收視的行列。
      不過正版卡雖好,但其高額的收視費(fèi)還是讓國內(nèi)廣大愛好者望之卻步,大家的希望還是寄托在D卡程序的完善上,希望終有一天,D卡能與正版卡一樣不受反制
218#
發(fā)表于 2017-1-19 14:48 | 只看該作者 | 來自香港
隨著數(shù)字電視的普及,模擬電視信號將停止播放,對一家?guī)着_(tái)電視機(jī)來說,迫切希望用一臺(tái)機(jī)頂盒帶多臺(tái)電視機(jī)的愿望,這里介紹一些電子刊物討論方法,共大家參考:

一、破解思路
      有線電視加密的原理是這樣的:電視臺(tái)把接改來的電視信號先輸入數(shù)字加密設(shè)備,把電視信號通過算法加密后向外輸出終端的解密設(shè)備(機(jī)頂盒子)解密后輸出普通的射頻信號,再送到我們的終端接收設(shè)備,由電視放出畫面。因電視只能是接收普通的射頻信號(模擬信號),所以只能解密后再輸入電視,由電視放出畫面。有線電視加密法有多種,這里的是使用“加擾法”。在加密到解密這段線路,要想非法接入偷接電視信號,成功的可能性幾乎是10000000分之一。但經(jīng)解密器(機(jī)頂盒)解密后的信號任何可以常接收電視信號的電視機(jī)都能播放(即通用性,也可說是共用性),這就是破解的切入點(diǎn)(破解軟件也需要切入點(diǎn))。既然這樣,但為什么一個(gè)機(jī)頂盒只能接一臺(tái)電視機(jī)用呢?我也試驗(yàn)過,當(dāng)通簡單的方法接上兩臺(tái)電視機(jī)的時(shí)候,什么畫面也沒有了(因機(jī)頂盒有智能的識別功能)。問題就在這里,也是我要教會(huì)大家的精要所在。
      至于如何利用這個(gè)“切入點(diǎn)”進(jìn)行我們的“小人”行為呢?我們通過什么手段來欺騙機(jī)頂盒,讓他以為是一臺(tái)電視機(jī)呢?(就如破解軟件的時(shí)候,我們有時(shí)也要采用欺騙的方法來進(jìn)行破解)。我將會(huì)在下一點(diǎn)“破解原理”中向大家說明。

二、破解原理:
      裝在我們家里的那個(gè)盒子的工作原理:經(jīng)加密的信號經(jīng)輸入端子輸入,由其內(nèi)部有關(guān)電路解除干擾信號(加擾法加密),再經(jīng)輸出端子輸出正常的信號。其解密電路是否工作要有一個(gè)外部條件,就是電視的高頻頭反饋回來的信號。如果沒有這個(gè)信號反饋回機(jī)頂盒,則其解擾電路不工作,照樣輸出未解密的信號,因而不能正常收看。其解密的頻段分做若干段解密,如電視正在接收3頻道,則電視的高頻頭就反饋3頻道的諧振頻率給機(jī)頂盒,機(jī)頂盒就能輸出1——5頻道的正常信號,如此類推。

因此可用以下兩種方法進(jìn)行破解:
      1、把機(jī)頂盒放在其中一臺(tái)電視機(jī)(下稱電視1)高頻頭附近,讓其可以正常收看,再用分支器從輸出端分支出信號到另外的電視機(jī)。這樣的做法的一個(gè)缺點(diǎn):就是另外的電視機(jī)只能接收電視1接收的頻道附近的5個(gè)頻道。
      2、用非與門電路或555電路制作一個(gè)開放式多諧振動(dòng)器,其諧振頻率只要能履蓋有線電視的整個(gè)頻段即可。(制作成本約6元左右)把這個(gè)諧振動(dòng)器放在機(jī)頂盒的旁邊。讓機(jī)頂盒能接收到振動(dòng)器發(fā)出的信號,再用分支器從機(jī)頂盒的輸出端分支出多臺(tái)電視機(jī),這樣,所有電視機(jī)就能接收所有頻道的信號了。(下次發(fā)圖)
       3、用高頻三極管如9018做一個(gè)高頻發(fā)射電路,利用射頻輸出再次發(fā)射,只要小小發(fā)射功率,讓機(jī)頂盒能接收得到即可?;蛴猛S視頻線分支接入輸入或輸出端,的除去外層屏蔽線,只留中間的線長約1米,把這線繞在機(jī)頂盒。讓泄漏出來的信號感應(yīng)給機(jī)頂盒接收。
破解電視機(jī)頂盒,可接多臺(tái)電視
       游走在灰色地帶,大打擦邊球的數(shù)字電視機(jī)頂盒共享器
       隨著有線電視數(shù)字化發(fā)展進(jìn)程的加快,數(shù)字電視這一新興的電視觀看及傳輸方式已經(jīng)開始被更多的普通市民所熟悉,數(shù)字電視以接近于DVD的畫質(zhì)和立體聲甚至5.1聲道伴音這兩大最明顯的特點(diǎn)受到了不少有線電視用戶的關(guān)注,同時(shí)更多可選擇的電視臺(tái)、點(diǎn)播節(jié)目也為豐富市民的業(yè)余生活增添了不少色彩,不過在數(shù)字電視剛剛起步的萌芽階段,還有多的不足和缺點(diǎn)需要改進(jìn)。

       按照國際慣例,數(shù)字電視機(jī)頂盒(SET-TOP-BOX,簡稱STB)分為數(shù)字地面STB、數(shù)字衛(wèi)星STB、數(shù)字有線STB和網(wǎng)絡(luò)STB這4種,目前正在大力發(fā)展的數(shù)字電視類型是數(shù)字有線STB,是目前成本最為低廉,也最適合大力向普通市民所推廣的。整體來說,數(shù)字機(jī)頂盒以支持HDTV和互動(dòng)性作為發(fā)展方向,而就目前的機(jī)頂盒產(chǎn)品來看,一部機(jī)頂盒內(nèi)包括了接收數(shù)字信號的調(diào)制解調(diào)芯片、視頻信號編解碼芯片、音頻處理器、音視頻數(shù)模轉(zhuǎn)換芯片等,一些高端的機(jī)頂盒中甚至還會(huì)整合安全芯片甚至可錄像硬盤,可見數(shù)字電視機(jī)頂盒在未來的發(fā)展空間還是相當(dāng)寬廣的

      上圖中的三部機(jī)頂盒中包括了目前所使用的三款不同品牌、型號的機(jī)頂盒,其中最上方的創(chuàng)維C6000采用了意法的Qami5516方案;熊貓3216采用了意法的5516芯片,帶有180MHZ的CPU,而最下方的銀河則采用了最為簡單的富士通功能單芯片H20A,雖然這三種機(jī)頂盒在內(nèi)部的設(shè)計(jì)上有一定的區(qū)別,但它們都是需要通過插入數(shù)字電視智能卡才能夠工作的,而數(shù)字電視智能卡就相當(dāng)于一個(gè)人有了駕照才能合法地駕駛汽車一樣。

        在使用模擬電視信號的時(shí)候,大家只需要申請有線電視開戶之后就可以在家中通過自帶電視信號調(diào)諧器的電視觀看節(jié)目,如果有多部電視的話只要購買有線電視信號分配器就可以在所有的電視上觀看有線電視。而數(shù)字電視卻將這種免費(fèi)的電視信號共享給“封殺”了,機(jī)頂盒需要在插入有效的智能卡之后才能使用就是為了保證數(shù)字電視信號不被盜用的一種方式,同時(shí)也能夠保證數(shù)字信號不被盜版商用來作為盜版節(jié)目源。
        為了保證數(shù)字信號不被盜用,數(shù)字電視內(nèi)容管理方式以條件式接?。–A)和數(shù)字版權(quán)管理(DRM)作為基本保護(hù)機(jī)制,目前國內(nèi)的數(shù)字電視機(jī)頂盒采用的管理方式就是條件式接取這種機(jī)卡分離的方式,用戶必須通過專屬的智能卡來取得授權(quán)才能夠接收被解碼的信號,而服務(wù)提供商也能夠通過這種方式接收用戶的信息,包括用戶戶名、地址、智能卡卡號和收看數(shù)字電視的費(fèi)用等信息。這種機(jī)卡分離的機(jī)頂盒使用方式被美國、歐洲和亞洲等國視為數(shù)字電視發(fā)展的機(jī)頂策略。

        DRM采用的是許可證管理策略,由數(shù)字電視信號運(yùn)營商對節(jié)目源進(jìn)行加密,在用戶通過機(jī)頂盒發(fā)出節(jié)目接收請求之后系統(tǒng)會(huì)自動(dòng)檢查是否經(jīng)過許可,而認(rèn)證的方式也同樣是通過IC卡等帶有帳號、密碼等信息的進(jìn)行的,不過DRM管理的規(guī)格相當(dāng)繁多:Windows Media的DRM、開放移動(dòng)聯(lián)盟OMA推出的DRM 1.0/2.0規(guī)格、UT-DRM、NDS、SecureMedia、WideVine、BesDRM等,規(guī)格的不統(tǒng)一使其并不被大多數(shù)有限數(shù)字電視運(yùn)營商所接受。
        由于數(shù)字電視信號必須通過機(jī)頂盒才能接收,同時(shí)采用了用戶身份認(rèn)證的防盜用方式,所以有線數(shù)字電視節(jié)目只有一部電視機(jī)搭配一部機(jī)頂盒才能夠正常觀看,在目前大多數(shù)市民家中同時(shí)擁有一部以上電視的這一情況下,如果希望每部電視機(jī)都能夠收看數(shù)字電視的話必須購買數(shù)量相對應(yīng)的機(jī)頂盒,這在一定程度上家中了消費(fèi)者觀看數(shù)字電視的成本,于是有一些廠家開始在有線數(shù)字電視共享上開始下功夫,紛紛推出名為數(shù)字電視機(jī)頂盒共享器的產(chǎn)品,以此實(shí)現(xiàn)對數(shù)字電視信號的共享。
        目前的數(shù)字電視機(jī)頂盒共享器共有有線和無線兩種,有線的共享器只需要將共享器與機(jī)頂盒接駁,并且通過音視頻信號線將它與其它電視的AV接口接駁就可以使用,而無線的共享器則包括與機(jī)頂盒互聯(lián)的信號發(fā)射器和與電視互聯(lián)的信號接收器。
        機(jī)頂盒共享器的功能介紹上將這種產(chǎn)品的優(yōu)點(diǎn)共分為多顯示終端信號共享和節(jié)約費(fèi)用兩大類,對于大多數(shù)購買這種產(chǎn)品的消費(fèi)者來說,可能最能夠吸引他們的是通過共享器可以節(jié)約機(jī)頂盒的購買費(fèi)用和電視信息點(diǎn)播費(fèi),有了省錢作為最大賣點(diǎn)之后,這種產(chǎn)品自然更受關(guān)注。
        雖然這種產(chǎn)品具有一定的實(shí)用意義,但是我們仔細(xì)看看就會(huì)發(fā)現(xiàn)這種所謂的共享器實(shí)際上就是一個(gè)音視頻信號分配器,與機(jī)頂盒連接的接口包括了復(fù)合視頻輸入和模擬立體聲音頻輸入這兩個(gè)接口,而用于輸出信號的則包括了復(fù)合視頻信號輸出和3.5毫米信號輸出接口,并沒有能夠直接發(fā)送及接受智能卡用戶信息的接口,這也就意味著即使是通過這樣的共享器接駁其它電視之后也并不能獨(dú)立選臺(tái),換句話說,如果客廳中的電視在通過機(jī)頂盒播放中央一套的電視節(jié)目,那么其它房間的另一臺(tái)電視也同樣只能夠播放中央一套的電視節(jié)目
        無線機(jī)頂盒共享其與有線機(jī)頂盒共享器一樣都是通過音視頻接口接受機(jī)頂盒上的第二路信號輸出接口來實(shí)現(xiàn)數(shù)字電視信號的“共享”的,不過無線的共享器的傳輸方式是通過紅外、調(diào)頻或2.4GHz來實(shí)現(xiàn)的,值得注意的是,目前的機(jī)頂盒在背后的接口都帶有兩路信號輸出接口,只要使用連接線將機(jī)頂盒的信號與兩臺(tái)電視連接就同樣可以實(shí)現(xiàn)這樣的所謂“共享”功能,而這樣一來機(jī)頂盒共享器的作用也只有在不同房間都可以用遙控器控制機(jī)頂盒這種“遙控共享器”的功能了。
破解討論綜述
      CA安全保障的三層關(guān)鍵:傳輸流的加擾,控制字的加密,加密體制的保護(hù)。
      這三種技術(shù)是CA系統(tǒng)重要的組成部分,在處理技術(shù)上有相似之處,但在CA系統(tǒng)標(biāo)準(zhǔn)中是獨(dú)立性很強(qiáng)的三個(gè)部分。加解擾技術(shù)被用來在發(fā)送端CA系統(tǒng)的控制下改變或控制被傳送的服務(wù)(節(jié)目)的某些特征,使未被授權(quán)的用戶無法獲取該服務(wù)提供的利益;而加密技術(shù)被用來在發(fā)送端提供一個(gè)加密信息,使被授權(quán)的用戶端解擾器能以此來對數(shù)據(jù)解密;而保密機(jī)制則用于控制該信息,并以加密形式配置在傳輸流信息中以防止非授權(quán)用戶直接利用該信息進(jìn)行解擾,不同的CA系統(tǒng)管理和傳送該信息的機(jī)制有很大不同。在目前各標(biāo)準(zhǔn)組織提出的條件接收標(biāo)準(zhǔn)中,加擾部分往往力求統(tǒng)一,而在加密部分和保密機(jī)制則一般不作具體規(guī)定,是由各廠商定義的部分。
      1、對傳輸流的加擾,DVB已有標(biāo)準(zhǔn)。目前在國際上占主流的有歐洲的DVB標(biāo)準(zhǔn)、北美國家的ATSC標(biāo)準(zhǔn)及日本的ISDB標(biāo)準(zhǔn)三種標(biāo)準(zhǔn)中,對于CA部分都作了簡單的規(guī)定,并提出了三種不同的加擾方式。歐洲D(zhuǎn)VB組織提出了一種稱之為通用加擾算法(Common Scrambling Algorithm)的加擾方式,由DVB組織的四家成員公司授權(quán),ATSC組織使用了通用的三迭DES算法,而日本使用了松下公司提出的一種加擾算法。通用加擾算法是DVB標(biāo)準(zhǔn)組織推薦的對于TS流的標(biāo)準(zhǔn)加擾算法。目前,在歐洲的數(shù)字廣播節(jié)目中普遍采用了這個(gè)算法。我國目前商業(yè)化的CA中,TS節(jié)目的加擾也基本上是采用的這個(gè)算法。如果從破解的角度,攻破這個(gè)算法的意義要遠(yuǎn)遠(yuǎn)大于破解智能卡和攻破CA系統(tǒng)本身。
      2、對控制字的加密算法一般采用RSA以及3DES算法,各家CA廠商各不相同。值得一提的是DVB里有一個(gè)規(guī)定,提到的同密技術(shù)要求每個(gè)CA系統(tǒng)可以使用不同的加密系統(tǒng)加密各自的相關(guān)信息,但對節(jié)目內(nèi)容的加擾必須采用同一個(gè)加擾算法和加擾控制字,可以方便多級運(yùn)營商的管理,為多級運(yùn)營商選擇條件接收系統(tǒng)提供了靈活性。這就為黑客攻破智能卡創(chuàng)造了條件。
      3、對加密體制,不同廠家的系統(tǒng)差別很大,其技術(shù)大體有兩種: 一種是以愛迪德系統(tǒng)為代表的密碼循環(huán)體制,另一種是以NDS系統(tǒng)為代表的利用專有算法來進(jìn)行保護(hù),由于牽涉到系統(tǒng)安全性,廠家一般不會(huì)公開。因此從破解角度,對系統(tǒng)的破解是難度也是比較大的。
第一章:CA智能卡的破解與反制
第一節(jié) 對于CA智能卡的破解分為兩種,
      1、從硬件破解的角度,完全地仿照正版卡來定制IC卡;
      2、從軟件破解的方向,將正版卡的程序讀出,最后將程序?qū)懭隝C卡中,就變成與正卡無差別的D卡了。
仿制正版卡,可以將IC卡的觸點(diǎn)剝離下來,再將保護(hù)的塑料蝕掉,暴露出元件和內(nèi)部電路連接,就可以繪制成電原理圖,最后交給能訂制生產(chǎn)的IC卡的廠家生產(chǎn)。這些仿制還有一個(gè)冠冕堂皇的名稱叫“反向工程”。國內(nèi)在深圳和廈門等地都有能生產(chǎn)定制IC卡的廠家,在利益的驅(qū)使下,他們往往不會(huì)過問敏感問題。
      IC卡中的元件如果是通用元件,通??梢酝ㄟ^IC卡的功能原理的分析來確定,雖然困難,但總是可以最終確定。例如深圳目前直接使用流在市面上的ROM10與ROM11卡來制成D卡,ROM10與ROM11實(shí)際上是XX系統(tǒng)正版卡的“基礎(chǔ)卡”,這些卡具有與正版卡相同的硬件基礎(chǔ),至于怎么流落到社會(huì)上的不得而知,但有一個(gè)事實(shí)就是大家應(yīng)該都收到過安裝衛(wèi)星電視的短信,這是個(gè)可以想象的到的異常龐大的地下產(chǎn)業(yè)!
      繼續(xù):IC卡中的元件如果是專用元件,確定元件的事情就變得極其困難和十分渺茫了。那么這個(gè)時(shí)候硬件仿制的路走不通了,那么看看軟件仿真的路能不能走得通。
      再看軟件仿真的路能不能走得通前,首先闡明軟件仿真的路能不能走得通有不同的判斷標(biāo)準(zhǔn)。
如果僅以在一段時(shí)段中,軟件仿真的D卡與正版卡都具有相同的條件收視功能來判斷,那么無疑,從D卡的實(shí)踐來看,軟件仿真已經(jīng)成功了。
      但如果以任何時(shí)段中,軟件仿真的D卡與正版卡都具有相同的功能,特別是對抗反制的功能來判斷,那么我要說,同樣無疑,軟件仿真是不可能成功的。
      因此我們僅承認(rèn)這種事實(shí)就夠了:自動(dòng)對抗新的反制,使D卡與正版卡一樣免除后顧之憂,肯定是D卡研究的終極目標(biāo)。但是即便達(dá)不到這個(gè)目標(biāo),只要能保證一段時(shí)間的仿真成功,CA破解的商業(yè)價(jià)值就依然存在!
補(bǔ)充說明反制:由于D卡的成功,尤其是帶AU(自動(dòng)換Key0/Key1)的D卡程序的廣泛擴(kuò)散,正版服務(wù)商感到了巨大的壓力,逐步開始采用種種反制手段,讓D版的AU卡實(shí)效。
      我們先研究一下這個(gè)反制是個(gè)什么東東:學(xué)習(xí)和搞嵌入式控制器開發(fā)的人都用過仿真器,如“偉?!毕盗械腗CS-51的仿真器等。大家一定知道硬件仿真與軟件仿真存在一個(gè)本質(zhì)區(qū)別,即I/O功能的不同。一條取端口引腳值的指令就足以區(qū)分是硬件仿真還是軟件仿真了。硬件仿真可以真實(shí)地取到引腳上的實(shí)際輸入,而軟件仿真得到的只能是不會(huì)變化的內(nèi)存仿真值。
       利用這個(gè)原理實(shí)現(xiàn)的反制程序分為兩部分,前面的部分通過I/O端口的訪問,區(qū)別出是真的硬件存在,還是軟件仿真;后半部分對非法的仿真卡簡單地返回主程序,不能解開Key0/Key1;對正版卡,則修改Key0/Key1,使之正確,然后返回主程序并保存key,保存的Key0/Key1用于ECM的解碼。
      從歷次搜集的反制EMM中的方法中,可以將反制歸納為兩種,一種是從硬件或軟件上區(qū)別D卡與正版卡,從而產(chǎn)生條件分支指令,使D卡仿真的程序失效;另一種是調(diào)用D卡中不可能有的,只有正版卡硬件才具備的MAP子程序,使D卡無法執(zhí)行正確的程序。
先介紹前一種方法:
      使用硬件端口區(qū)別正版卡與仿真卡的反制方法,由于具有特殊性能的端口數(shù)的限制,因此不可能有多種變化,一旦Hacker知道了反制的EMM結(jié)構(gòu)與原理,很容易就可以避開端口判斷的指令,直接轉(zhuǎn)到修改Key0/Key1部分。這雖然并不是程序指令的直接仿真,只能算是功能仿真,卻可以使已知反制失效。
      另外你也許會(huì)提出一些其他辦法,如目前的一些Nagra系統(tǒng)在下行的EMM命令中加入了甄別真?zhèn)魏汀皻⒖ā敝噶?,對于“正改卡”,毫不留情地清除卡中程序并且讓它成為廢卡。
      我可以說,為了對抗“殺卡”,這類“正改卡”的程序如果采用Block技術(shù),可以抵抗多數(shù)殺卡指令,同樣能夠使這類“正改卡”得以安全使用。
      先寫到這,后面介紹根據(jù)正版卡特有的機(jī)器指令代碼,讓正版卡能進(jìn)行解碼、而沒有正版卡程序的仿真卡無法正確解碼、從而獲得KEY的EMM思路。

第二節(jié):
      以下介紹根據(jù)正版卡特有的機(jī)器指令代碼,讓正版卡能進(jìn)行解碼,而沒有正版卡程序的仿真卡無法正確解碼,從而獲得KEY的EMM思路。
      按照道理,D卡使用的是AVR或其他類型的CPU,“正改卡”中的程序與正版卡也不相同,照理這些卡中都沒有正版ROM10/ROM11卡的程序。因此,用只有正版卡才有的特定機(jī)器指令代碼作為密鑰來解密key0與key1,自然是十分聰明的反制措施。
      該反制的EMM以前146Dream TV可能曾使用過。目前XG有線又重新啟用,大致在一個(gè)周期的8天中,有兩天使用本類EMM,另外6天使用另一個(gè)“超級MAP”程序。
這種反制的具體思路是:
     下行的EMM中攜帶的Key與Key1是經(jīng)過加密編碼的,不能直接使用。解開它們需要的密鑰“種子”(即產(chǎn)生密鑰的原始數(shù)據(jù))的地址由下行的EMM給出。注意!EMM中并沒有給出密鑰“種子”,而是給出了它們在正版ROM10/ROM11卡程序存儲(chǔ)區(qū)中的地址,這個(gè)地址是隨機(jī)數(shù),不同的key0/key1,地址就不同。它的值總是大于S4000,防止取到ROM10卡低端的無法讀出的無意義內(nèi)容。反制設(shè)計(jì)者設(shè)想,D卡或“正改卡”無法獲得正版卡的內(nèi)部程序,因此,即使給出了地址,D卡也無法取得正確的機(jī)器碼作為密鑰的“種子”,自然也就無法生成密鑰,解開key0/key1了。
     對于正版卡,按照給出的地址,取到16字節(jié)的機(jī)器指令代碼,經(jīng)過類似計(jì)算Hash效驗(yàn)的方法,產(chǎn)生正確的密鑰,再對key0/key1進(jìn)行DES編碼運(yùn)算,就解出正確的key0/key1了。
上面介紹的“利用正版卡程序隨機(jī)地址處的機(jī)器碼作為Key的解碼密鑰”的EMM反制方法非常厲害,曾難倒了一大批的高手。
      對比一下昨天前一篇帖子中給出的EMM與上面介紹的EMM,就會(huì)發(fā)現(xiàn),前一篇帖子中給出的EMM是一種簡單的反制,只要知道了正確的Key0/Key1,再經(jīng)過認(rèn)真分析和思考,就會(huì)明白其反制原來并找出解出Key的方法,目前Dream TV的反制都屬于這類簡單反制;但上面今天介紹的EMM是一種高級和復(fù)雜的反制,即使知道了正確的Key0/Key1,也難以得知其反制的原理與找出解key的方法,目前XG有線和國外一些CA系統(tǒng)采用的是這類反制。由于XX的反制匯聚在低級和高級的兩類難度上,所以黑客們懷疑這是兩類不同水平的技術(shù)人員的作品。低級難度的反制是衛(wèi)視服務(wù)系統(tǒng)內(nèi)部技術(shù)人員的手筆,而高級的反制則直接出自CA系統(tǒng)研制人員的杰作。
      兩種級別的反制也將國內(nèi)修改、編寫D卡程序的高手分成了兩類:有一些寫一點(diǎn)程序應(yīng)付低級反制的,往往采用“頭痛醫(yī)頭、腳痛醫(yī)腳”的補(bǔ)丁程序,可以對付目前146-Dream TV的反制;只有少數(shù)高手中的高手具有整體編寫程序以及仿真MAP功能的能力,能采用更合理的對抗策略,能研制出復(fù)雜程序和新類型的D卡,最終可以對付高級難度的反制。對付低級反制寫出對抗程序的時(shí)間大約是數(shù)小時(shí)到幾天,而對付高級反制找到方法并寫出程序的時(shí)間往往需要數(shù)個(gè)月之久,而且還需要國內(nèi)外Hacker 們的協(xié)同配合。國內(nèi)高手中的高手人數(shù)很少,都是單兵作戰(zhàn)和埋頭苦干的,與其他高手之間一般互不交流。
      本節(jié)介紹的“利用正版卡程序隨機(jī)地址處的機(jī)器碼作為Key的解碼密鑰”的EMM反制方法十分成功,但它采用程序的機(jī)器碼作為解開Key的密鑰,可能會(huì)出現(xiàn)以下幾個(gè)問題:
      1. 如果電視系統(tǒng)歷史悠久,在用的卡可能有幾種,那么可能產(chǎn)生內(nèi)部機(jī)器指令碼不盡相同的問題;
      2. 如果電視系統(tǒng)想要更新程序,也可能存在部分尚未更新程序的正版卡,同樣會(huì)產(chǎn)生內(nèi)部機(jī)器指令碼不相同的問題。這個(gè)問題還可能阻止正版卡通過下行信號進(jìn)行的升級:我們設(shè)想一下,正版卡用戶中,有的人天天看衛(wèi)視節(jié)目,他們的卡順利升了級,而一部分人外出,卡很久都沒有使用了,剛回來想看衛(wèi)視,結(jié)果因?yàn)榭ǖ某绦虿粚?,無法收看,肯定對衛(wèi)視服務(wù)商大發(fā)雷霆。在用戶是上帝的外國,電視服務(wù)商對可能引起用戶的怒氣一定很忌諱的。
       3. 對該反制最致命打擊是,可以設(shè)法讀出正版卡作為密鑰的那一部分程序機(jī)器碼,通過在D卡的硬件上安排外部EEPROM,存儲(chǔ)量有64KB、128KB、256KB等,將正版卡作為密鑰的程序機(jī)器碼全部保存起來,解開KEY時(shí),照樣可以從外部EEPROM中取到與正版卡一樣的解Key的密鑰,來對抗反制,使該方法失效,這是該類反制的終結(jié)者。
      經(jīng)過了利用軟件仿真在I/O功能上的區(qū)別進(jìn)行的反制和利用正版卡指令代碼作為密鑰進(jìn)行的反制之后,目前幾個(gè)在運(yùn)行的CA系統(tǒng)(146的Dream TV與其他衛(wèi)視,XG以及國內(nèi)一些地方的本地有線數(shù)字電視等)紛紛進(jìn)入了使用MAP功能來進(jìn)行反制的階段。
     使用正版卡中的MAP編碼/解碼協(xié)處理器進(jìn)行反制,是正版卡在設(shè)計(jì)階段就預(yù)留的終極反制殺手??梢钥吹剑婵ㄔO(shè)計(jì)者防范于未然,預(yù)估到終有一天,第一道門(ECM與EMM的解碼)將被攻破,預(yù)先留好了第二道門做最后的防守。未雨綢繆,是我們不得不佩服這些設(shè)計(jì)者的智慧與遠(yuǎn)見。
第三節(jié) ()
      在深入討論MAP功能及其仿真實(shí)現(xiàn)之前,為了后續(xù)文章讀起來不算費(fèi)勁,需要先說明兩個(gè)方面的知識:一是什么是收視卡防守的第一道門與第二道門? 二是EMM指令與Logging等知識。
      今天讓我們先說說什么是收視卡防守的第一道門與第二道門?
      收視卡是防止非法收視的守門員,在卡中設(shè)計(jì)了多種加密方法,最主要的有解決收視功能的ECM和自動(dòng)換key的EMM的解密,它們的解碼是第一道門。ECM與EMM的編碼與解碼使用的雖是不同的方法,但都是固定不變的標(biāo)準(zhǔn)方法。不同的條件接收系統(tǒng)僅僅是編碼/解碼采用的數(shù)據(jù)有不同而已。舉個(gè)例子,有的卡可以解開多個(gè)同一類型CA系統(tǒng),該類卡是按照下行的ECM或EMM的系統(tǒng)標(biāo)識(如146 Dream TV為4E和4F,XG有線為94和95等)選擇不同的數(shù)據(jù),而運(yùn)行的程序基本相同的。
      仍然以XX為例,ECM的編/解碼采用DES與EDES算法,其原理早已公之于世。編/解碼所用的S_Boxes數(shù)據(jù)也已經(jīng)公開,并且在不同的系統(tǒng)中固定不變。與標(biāo)準(zhǔn)的DES相比,XX系統(tǒng)的DES只是多了對字節(jié)進(jìn)行了反序排列而已。ECM使用的VerifyKey等數(shù)據(jù),通過后門密碼進(jìn)入正版卡保留的數(shù)據(jù)空間,可以讀出這些關(guān)鍵的信息,加上BoxKey等信息,只要能獲得當(dāng)前的Key0/Key1,就可以配合IRD解開解密收視用的控制字(Control Word),可以正常收看衛(wèi)視節(jié)目。
      ECM的解碼可以解決收視的問題,但還需要手動(dòng)輸入Key0/Key1。如果要象正版卡一樣自動(dòng)換Key即所謂的AU,就需要能解開EMM,并能正確地找到并保存Key0/Key1。與ECM的解碼相比,EMM的解碼要復(fù)雜的多!經(jīng)過Hacker的努力,EMM的RSA編碼原理已經(jīng)完全弄明白,所需要的PK,VK等數(shù)據(jù)也可以通過Hacker的軟件和ROM10/ROM11卡的后門讀出,再算出N1,P,Q,EP,EQ,IQModP,IPModQ,PPrimA,QPrimA等方便編程的數(shù)據(jù),就可以順利解出EMM。
       收視卡的第二道門是對EMM 中Key解密的防守。它的方法沒有固定的套路,可以任意變化。如XX系統(tǒng)的設(shè)計(jì)者安排了可以通過EMM中攜帶程序的執(zhí)行,以及正版卡通過下行信號更新的EEPROM中補(bǔ)丁程序的運(yùn)行來解碼。正版卡設(shè)計(jì)者可能料到攻破第一道門是遲早的事,于是第二道門上的防守就成了最后的防線。前面章節(jié)介紹的幾種對EMM中的Key0/Key1進(jìn)行再加密,就是在第二道門上的防守。它的思路是:當(dāng)EMM解開后,如果其中的Key0,Key1是經(jīng)過加密的,D卡仍然無法得到正確的Key。
      國內(nèi)早期的D卡程序是移植國外Hacker 的,針對想收視的系統(tǒng),修改了相應(yīng)的數(shù)據(jù)就可以實(shí)現(xiàn)本地化,由于要得到正確的Key需要的解碼方法沒有固定的套路,Hacker不可能事先料到,總是要反制后分析它的原理,再更新部分D卡程序,進(jìn)行對抗和補(bǔ)救。一般人沒有自己編寫D卡程序的能力,即使有寫卡器掌握了寫卡方法,但程序又難以得到,這些麻煩會(huì)迫使許多人放棄D卡,轉(zhuǎn)而加入正版卡繳費(fèi)收視的行列。
      不過正版卡雖好,但其高額的收視費(fèi)還是讓國內(nèi)廣大愛好者望之卻步,大家的希望還是寄托在D卡程序的完善上,希望終有一天,D卡能與正版卡一樣不受反制
219#
發(fā)表于 2017-1-19 19:42 來自ZNDS手機(jī)版 | 只看該作者 | 來自陜西
看看了。
220#
匿名  發(fā)表于 2017-1-19 19:53 | 未知
回復(fù) 支持 反對

使用道具

您需要登錄后才可以回帖 登錄 | 立即注冊

本版積分規(guī)則

Archiver|新帖|標(biāo)簽|軟件|Sitemap|ZNDS智能電視網(wǎng) ( 蘇ICP備2023012627號 )

網(wǎng)絡(luò)信息服務(wù)信用承諾書 | 增值電信業(yè)務(wù)經(jīng)營許可證:蘇B2-20221768 丨 蘇公網(wǎng)安備 32011402011373號

GMT+8, 2024-11-19 17:42 , Processed in 0.073040 second(s), 11 queries , Redis On.

Powered by Discuz!

監(jiān)督舉報(bào):report#znds.com (請將#替換為@)

© 2007-2024 ZNDS.Com

快速回復(fù) 返回頂部 返回列表