首頁(yè) 收藏 QQ群
 網(wǎng)站導(dǎo)航

ZNDS智能電視網(wǎng) 推薦當(dāng)貝市場(chǎng)

TV應(yīng)用下載 / 資源分享區(qū)

軟件下載 | 游戲 | 討論 | 電視計(jì)算器

綜合交流 / 評(píng)測(cè) / 活動(dòng)區(qū)

交流區(qū) | 測(cè)硬件 | 網(wǎng)站活動(dòng) | Z幣中心

新手入門 / 進(jìn)階 / 社區(qū)互助

新手 | 你問(wèn)我答 | 免費(fèi)刷機(jī)救磚 | ROM固件

查看: 28876|回復(fù): 11
上一主題 下一主題
[玩機(jī)]

一個(gè)數(shù)字電視機(jī)頂盒帶多臺(tái)電視機(jī)之技術(shù)破解 (轉(zhuǎn)貼)

[復(fù)制鏈接]
跳轉(zhuǎn)到指定樓層
樓主
發(fā)表于 2014-3-8 11:06 | 只看該作者 回帖獎(jiǎng)勵(lì) |倒序?yàn)g覽 |閱讀模式 | 來(lái)自山東
一、破解思路
有線電視加密的原理是這樣的:電視臺(tái)把接改來(lái)的電視信號(hào)先輸入數(shù)字加密設(shè)備,把電視信號(hào)通過(guò)算法加密后向外輸出終端的解密設(shè)備(機(jī)頂盒子)解密后輸出普通的射頻信號(hào),再送到我們的終端接收設(shè)備,由電視放出畫面。因電視只能是接收普通的射頻信號(hào)(模擬信號(hào)),所以只能解密后再輸入電視,由電視放出畫面。有線電視加密法有多種,這里的是使用“加擾法”。在加密到解密這段線路,要想非法接入偷接電視信號(hào),成功的可能性幾乎是10000000分之一。但經(jīng)解密器(機(jī)頂盒)解密后的信號(hào)任何可以常接收電視信號(hào)的電視機(jī)都能播放(即通用性,也可說(shuō)是共用性),這就是破解的切入點(diǎn)(破解軟件也需要切入點(diǎn))。既然這樣,但為什么一個(gè)機(jī)頂盒只能接一臺(tái)電視機(jī)用呢?我也試驗(yàn)過(guò),當(dāng)通簡(jiǎn)單的方法接上兩臺(tái)電視機(jī)的時(shí)候,什么畫面也沒(méi)有了(因機(jī)頂盒有智能的識(shí)別功能)。問(wèn)題就在這里,也是我要教會(huì)大家的精要所在。至于如何利用這個(gè)“切入點(diǎn)”進(jìn)行我們的“小人”行為呢?我們通過(guò)什么手段來(lái)欺騙機(jī)頂盒,讓他以為是一臺(tái)電視機(jī)呢?(就如破解軟件的時(shí)候,我們有時(shí)也要采用欺騙的方法來(lái)進(jìn)行破解)。我將會(huì)在下一點(diǎn)“破解原理”中向大家說(shuō)明。
二、破解原理:
裝在我們家里的那個(gè)盒子的工作原理:經(jīng)加密的信號(hào)經(jīng)輸入端子輸入,由其內(nèi)部有關(guān)電路解除干擾信號(hào)(加擾法加密),再經(jīng)輸出端子輸出正常的信號(hào)。其解密電路是否工作要有一個(gè)外部條件,就是電視的高頻頭反饋回來(lái)的信號(hào)。如果沒(méi)有這個(gè)信號(hào)反饋回機(jī)頂盒,則其解擾電路不工作,照樣輸出未解密的信號(hào),因而不能正常收看。其解密的頻段分做若干段解密,如電視正在接收3頻道,則電視的高頻頭就反饋3頻道的諧振頻率給機(jī)頂盒,機(jī)頂盒就能輸出1——5頻道的正常信號(hào),如此類推。因此可用以下兩種方法進(jìn)行破解:
三:破解方法
1、把機(jī)頂盒放在其中一臺(tái)電視機(jī)(下稱電視1)高頻頭附近,讓其可以正常收看,再用分支器從輸出端分支出信號(hào)到另外的電視機(jī)。這樣的做法的一個(gè)缺點(diǎn):就是另外的電視機(jī)只能接收電視1接收的頻道附近的5個(gè)頻道。
2、用非與門電路或555電路制作一個(gè)開(kāi)放式多諧振動(dòng)器,其諧振頻率只要能履蓋有線電視的整個(gè)頻段即可。(制作成本約6元左右)把這個(gè)諧振動(dòng)器放在機(jī)頂盒的旁邊。讓機(jī)頂盒能接收到振動(dòng)器發(fā)出的信號(hào),再用分支器從機(jī)頂盒的輸出端分支出多臺(tái)電視機(jī),這樣,所有電視機(jī)就能接收所有頻道的信號(hào)了。
3、用高頻三極管如9018做一個(gè)高頻發(fā)射電路,利用射頻輸出再次發(fā)射,只要小小發(fā)射功率,讓機(jī)頂盒能接收得到即可。或用同軸視頻線分支接入輸入或輸出端,的除去外層屏蔽線,只留中間的線長(zhǎng)約1米,把這線繞在機(jī)頂盒。讓泄漏出來(lái)的信號(hào)感應(yīng)給機(jī)頂盒接收。
2.數(shù)字電視機(jī)頂盒破解 有線電視機(jī)頂盒破解 機(jī)頂盒的破解
第一章:CA智能卡的破解與反制
第二章:流行CA系統(tǒng)的漏洞分析實(shí)踐
第三章:流行CA應(yīng)用算法的破解分析設(shè)想
破解討論綜述
CA安全保障的三層關(guān)鍵:傳輸流的加擾,控制字的加密,加密體制的保護(hù)。
這三種技術(shù)是CA系統(tǒng)重要的組成部分,在處理技術(shù)上有相似之處,但在CA系統(tǒng)標(biāo)準(zhǔn)中是**性很強(qiáng)的三個(gè)部分。加解擾技術(shù)被用來(lái)在發(fā)送端CA系統(tǒng)的控制下改變或控制被傳送的服務(wù)(節(jié)目)的某些特征,使未被授權(quán)的用戶無(wú)法獲取該服務(wù)提供的利益;而加密技術(shù)被用來(lái)在發(fā)送端提供一個(gè)加密信息,使被授權(quán)的用戶端解擾器能以此來(lái)對(duì)數(shù)據(jù)解密;而保密機(jī)制則用于控制該信息,并以加密形式配置在傳輸流信息中以防止非授權(quán)用戶直接利用該信息進(jìn)行解擾,不同的CA系統(tǒng)管理和傳送該信息的機(jī)制有很大不同。在目前各標(biāo)準(zhǔn)組織提出的條件接收標(biāo)準(zhǔn)中,加擾部分往往力求統(tǒng)一,而在加密部分和保密機(jī)制則一般不作具體規(guī)定,是由各廠商定義的部分。
1、對(duì)傳輸流的加擾,DVB已有標(biāo)準(zhǔn)。目前在國(guó)際上占主流的有歐洲的DVB標(biāo)準(zhǔn)、北美國(guó)家的ATSC標(biāo)準(zhǔn)及日本的ISDB標(biāo)準(zhǔn)三種標(biāo)準(zhǔn)中,對(duì)于CA部分都作了簡(jiǎn)單的規(guī)定,并提出了三種不同的加擾方式。歐洲D(zhuǎn)VB組織提出了一種稱之為通用加擾算法(Common Scrambling ALGorithm)的加擾方式,由DVB組織的四家成員公司授權(quán),ATSC組織使用了通用的三迭DES算法,而日本使用了松下公司提出的一種加擾算法。通用加擾算法是DVB標(biāo)準(zhǔn)組織推薦的對(duì)于TS流的標(biāo)準(zhǔn)加擾算法。目前,在歐洲的數(shù)字廣播節(jié)目中普遍采用了這個(gè)算法。我國(guó)目前商業(yè)化的CA中,TS節(jié)目的加擾也基本上是采用的這個(gè)算法。如果從破解的角度,攻破這個(gè)算法的意義要遠(yuǎn)遠(yuǎn)大于破解智能卡和攻破CA系統(tǒng)本身。
2、對(duì)控制字的加密算法一般采用RSA以及3DES算法,各家CA廠商各不相同。值得一提的是DVB里有一個(gè)規(guī)定,提到的同密技術(shù)要求每個(gè)CA系統(tǒng)可以使用不同的加密系統(tǒng)加密各自的相關(guān)信息,但對(duì)節(jié)目?jī)?nèi)容的加擾必須采用同一個(gè)加擾算法和加擾控制字,可以方便多級(jí)運(yùn)營(yíng)商的管理,為多級(jí)運(yùn)營(yíng)商選擇條件接收系統(tǒng)提供了靈活性。這就為黑客攻破智能卡創(chuàng)造了條件。
3、對(duì)加密體制,不同廠家的系統(tǒng)差別很大,其技術(shù)大體有兩種: 一種是以愛(ài)迪德系統(tǒng)為代表的密碼循環(huán)體制,另一種是以NDS系統(tǒng)為代表的利用專有算法來(lái)進(jìn)行保護(hù),由于牽涉到系統(tǒng)安全性,廠家一般不會(huì)公開(kāi)。因此從破解角度,對(duì)系統(tǒng)的破解是難度也是比較大的。
第一章:CA智能卡的破解與反制
第一節(jié)
對(duì)于CA智能卡的破解分為兩種,
1、從硬件破解的角度,完全地仿照正版卡來(lái)定制IC卡;
2、從軟件破解的方向,將正版卡的程序讀出,最后將程序?qū)懭隝C卡中,就變成與正卡無(wú)差別的D卡了。
仿制正版卡,可以將IC卡的觸點(diǎn)剝離下來(lái),再將保護(hù)的塑料蝕掉,暴露出元件和內(nèi)部電路連接,就可以繪制成電原理圖,最后交給能訂制生產(chǎn)的IC卡的廠家生產(chǎn)。這些仿制還有一個(gè)冠冕堂皇的名稱叫“反向工程”。國(guó)內(nèi)在深圳和廈門等地都有能生產(chǎn)定制IC卡的廠家,在利益的驅(qū)使下,他們往往不會(huì)過(guò)問(wèn)敏感問(wèn)題。
IC卡中的元件如果是通用元件,通常可以通過(guò)IC卡的功能原理的分析來(lái)確定,雖然困難,但總是可以最終確定。例如深圳目前直接使用流在市面上的ROM10與ROM11卡來(lái)制成D卡,ROM10與ROM11實(shí)際上是XX系統(tǒng)正版卡的“基礎(chǔ)卡”,這些卡具有與正版卡相同的硬件基礎(chǔ),至于怎么流落到社會(huì)上的不得而知,但有一個(gè)事實(shí)就是大家應(yīng)該都收到過(guò)安裝衛(wèi)星電視的短信,這是個(gè)可以想象的到的異常龐大的地下產(chǎn)業(yè)!
繼續(xù):IC卡中的元件如果是專用元件,確定元件的事情就變得極其困難和十分渺茫了。那么這個(gè)時(shí)候硬件仿制的路走不通了,那么看看軟件仿真的路能不能走得通。
再看軟件仿真的路能不能走得通前,首先闡明軟件仿真的路能不能走得通有不同的判斷標(biāo)準(zhǔn)。
如果僅以在一段時(shí)段中,軟件仿真的D卡與正版卡都具有相同的條件收視功能來(lái)判斷,那么無(wú)疑,從D卡的實(shí)踐來(lái)看,軟件仿真已經(jīng)成功了。
但如果以任何時(shí)段中,軟件仿真的D卡與正版卡都具有相同的功能,特別是對(duì)抗反制的功能來(lái)判斷,那么我要說(shuō),同樣無(wú)疑,軟件仿真是不可能成功的。
因此我們僅承認(rèn)這種事實(shí)就夠了:自動(dòng)對(duì)抗新的反制,使D卡與正版卡一樣免除后顧之憂,肯定是D卡研究的終極目標(biāo)。但是即便達(dá)不到這個(gè)目標(biāo),只要能保證一段時(shí)間的仿真成功,CA破解的商業(yè)價(jià)值就依然存在!
補(bǔ)充說(shuō)明反制:由于D卡的成功,尤其是帶AU(自動(dòng)換Key0/Key1)的D卡程序的廣泛擴(kuò)散,正版服務(wù)商感到了巨大的壓力,逐步開(kāi)始采用種種反制手段,讓D版的AU卡實(shí)效。
我們先研究一下這個(gè)反制是個(gè)什么東東:學(xué)習(xí)和搞嵌入式控制器開(kāi)發(fā)的人都用過(guò)仿真器,如“偉?!毕盗械腗CS-51的仿真器等。大家一定知道硬件仿真與軟件仿真存在一個(gè)本質(zhì)區(qū)別,即I/O功能的不同。一條取端口引腳值的指令就足以區(qū)分是硬件仿真還是軟件仿真了。硬件仿真可以真實(shí)地取到引腳上的實(shí)際輸入,而軟件仿真得到的只能是不會(huì)變化的內(nèi)存仿真值。
利用這個(gè)原理實(shí)現(xiàn)的反制程序分為兩部分,前面的部分通過(guò)I/O端口的訪問(wèn),區(qū)別出是真的硬件存在,還是軟件仿真;后半部分對(duì)非法的仿真卡簡(jiǎn)單地返回主程序,不能解開(kāi)Key0/Key1;對(duì)正版卡,則修改Key0/Key1,使之正確,然后返回主程序并保存key,保存的Key0/Key1用于ECM的解碼。
從歷次搜集的反制EMM中的方法中,可以將反制歸納為兩種,一種是從硬件或軟件上區(qū)別D卡與正版卡,從而產(chǎn)生條件分支指令,使D卡仿真的程序失效;另一種是調(diào)用D卡中不可能有的,只有正版卡硬件才具備的MAP子程序,使D卡無(wú)法執(zhí)行正確的程序。
先介紹前一種方法:
使用硬件端口區(qū)別正版卡與仿真卡的反制方法,由于具有特殊性能的端口數(shù)的限制,因此不可能有多種變化,一旦Hacker知道了反制的EMM結(jié)構(gòu)與原理,很容易就可以避開(kāi)端口判斷的指令,直接轉(zhuǎn)到修改Key0/Key1部分。這雖然并不是程序指令的直接仿真,只能算是功能仿真,卻可以使已知反制失效。
另外你也許會(huì)提出一些其他辦法,如目前的一些Nagra系統(tǒng)在下行的EMM命令中加入了甄別真?zhèn)魏汀皻⒖ā敝噶?,?duì)于“正改卡”,毫不留情地清除卡中程序并且讓它成為廢卡。
我可以說(shuō),為了對(duì)抗“殺卡”,這類“正改卡”的程序如果采用Block技術(shù),可以抵抗多數(shù)殺卡指令,同樣能夠使這類“正改卡”得以安全使用。
先寫到這,后面介紹根據(jù)正版卡特有的機(jī)器指令代碼,讓正版卡能進(jìn)行解碼、而沒(méi)有正版卡程序的仿真卡無(wú)法正確解碼、從而獲得KEY的EMM思路。
電視機(jī)頂盒破解 數(shù)字機(jī)頂盒破解 機(jī)頂盒智能卡破解破解創(chuàng)維數(shù)字機(jī)頂盒
第二節(jié):
以下介紹根據(jù)正版卡特有的機(jī)器指令代碼,讓正版卡能進(jìn)行解碼,而沒(méi)有正版卡程序的仿真卡無(wú)法正確解碼,從而獲得KEY的EMM思路。
按照道理,D卡使用的是AVR或其他類型的CPU,“正改卡”中的程序與正版卡也不相同,照理這些卡中都沒(méi)有正版ROM10/ROM11卡的程序。因此,用只有正版卡才有的特定機(jī)器指令代碼作為密鑰來(lái)解密key0與key1,自然是十分聰明的反制措施。
該反制的EMM以前146Dream TV可能曾使用過(guò)。目前XG有線又重新啟用,大致在一個(gè)周期的8天中,有兩天使用本類EMM,另外6天使用另一個(gè)“超級(jí)MAP”程序。
這種反制的具體思路是:
下行的EMM中攜帶的Key與Key1是經(jīng)過(guò)加密編碼的,不能直接使用。解開(kāi)它們需要的密鑰“種子”(即產(chǎn)生密鑰的原始數(shù)據(jù))的地址由下行的EMM給出。注意!EMM中并沒(méi)有給出密鑰“種子”,而是給出了它們?cè)谡鍾OM10/ROM11卡程序存儲(chǔ)區(qū)中的地址,這個(gè)地址是隨機(jī)數(shù),不同的key0/key1,地址就不同。它的值總是大于S4000,防止取到ROM10卡低端的無(wú)法讀出的無(wú)意義內(nèi)容。反制設(shè)計(jì)者設(shè)想,D卡或“正改卡”無(wú)法獲得正版卡的內(nèi)部程序,因此,即使給出了地址,D卡也無(wú)法取得正確的機(jī)器碼作為密鑰的“種子”,自然也就無(wú)法生成密鑰,解開(kāi)key0/key1了。
對(duì)于正版卡,按照給出的地址,取到16字節(jié)的機(jī)器指令代碼,經(jīng)過(guò)類似計(jì)算Hash效驗(yàn)的方法,產(chǎn)生正確的密鑰,再對(duì)key0/key1進(jìn)行DES編碼運(yùn)算,就解出正確的key0/key1了。
上面介紹的“利用正版卡程序隨機(jī)地址處的機(jī)器碼作為Key的解碼密鑰”的EMM反制方法非常厲害,曾難倒了一大批的高手。
對(duì)比一下昨天前一篇帖子中給出的EMM與上面介紹的EMM,就會(huì)發(fā)現(xiàn),前一篇帖子中給出的EMM是一種簡(jiǎn)單的反制,只要知道了正確的Key0/Key1,再經(jīng)過(guò)認(rèn)真分析和思考,就會(huì)明白其反制原來(lái)并找出解出Key的方法,目前Dream TV的反制都屬于這類簡(jiǎn)單反制;但上面今天介紹的EMM是一種高級(jí)和復(fù)雜的反制,即使知道了正確的Key0/Key1,也難以得知其反制的原理與找出解key的方法,目前XG有線和國(guó)外一些CA系統(tǒng)采用的是這類反制。由于XX的反制匯聚在低級(jí)和高級(jí)的兩類難度上,所以黑客們懷疑這是兩類不同水平的技術(shù)人員的作品。低級(jí)難度的反制是衛(wèi)視服務(wù)系統(tǒng)內(nèi)部技術(shù)人員的手筆,而高級(jí)的反制則直接出自CA系統(tǒng)研制人員的杰作。
兩種級(jí)別的反制也將國(guó)內(nèi)修改、編寫D卡程序的高手分成了兩類:有一些寫一點(diǎn)程序應(yīng)付低級(jí)反制的,往往采用“頭痛醫(yī)頭、腳痛醫(yī)腳”的補(bǔ)丁程序,可以對(duì)付目前146-Dream TV的反制;只有少數(shù)高手中的高手具有整體編寫程序以及仿真MAP功能的能力,能采用更合理的對(duì)抗策略,能研制出復(fù)雜程序和新類型的D卡,最終可以對(duì)付高級(jí)難度的反制。對(duì)付低級(jí)反制寫出對(duì)抗程序的時(shí)間大約是數(shù)小時(shí)到幾天,而對(duì)付高級(jí)反制找到方法并寫出程序的時(shí)間往往需要數(shù)個(gè)月之久,而且還需要國(guó)內(nèi)外Hacker 們的協(xié)同配合。國(guó)內(nèi)高手中的高手人數(shù)很少,都是單兵作戰(zhàn)和埋頭苦干的,與其他高手之間一般互不交流。

上一篇:數(shù)字電視機(jī)頂盒和安卓盒子啥區(qū)別
下一篇:關(guān)于迅雷侵犯NBA知識(shí)產(chǎn)權(quán)的公告
沙發(fā)
 樓主| 發(fā)表于 2014-3-8 11:06 | 只看該作者 | 來(lái)自山東
當(dāng)然了,我啥都沒(méi)看懂
板凳
發(fā)表于 2014-3-8 11:31 | 只看該作者 | 來(lái)自山東
學(xué)習(xí)學(xué)習(xí)!
地板
發(fā)表于 2014-3-8 11:37 | 只看該作者 | 來(lái)自山東
雖不明,但覺(jué)厲!
5#
發(fā)表于 2014-3-8 12:21 來(lái)自ZNDS手機(jī)版 | 只看該作者 | 來(lái)自湖南
說(shuō)實(shí)話,太專業(yè),我不懂。
6#
發(fā)表于 2014-3-10 20:24 | 只看該作者 | 來(lái)自廣西
小手一抖,金幣拿走。
7#
發(fā)表于 2014-3-10 20:40 | 只看該作者 | 來(lái)自廣西
強(qiáng)烈支持樓主ing……
8#
發(fā)表于 2014-3-11 16:18 | 只看該作者 | 來(lái)自浙江
學(xué)習(xí)學(xué)習(xí)!
9#
發(fā)表于 2014-4-12 03:06 | 只看該作者 | 來(lái)自浙江
thankk
10#
發(fā)表于 2015-4-21 21:00 | 只看該作者 | 來(lái)自安徽
學(xué)習(xí)學(xué)習(xí)!

本版積分規(guī)則

Archiver|新帖|標(biāo)簽|軟件|Sitemap|ZNDS智能電視網(wǎng) ( 蘇ICP備2023012627號(hào) )

網(wǎng)絡(luò)信息服務(wù)信用承諾書 | 增值電信業(yè)務(wù)經(jīng)營(yíng)許可證:蘇B2-20221768 丨 蘇公網(wǎng)安備 32011402011373號(hào)

GMT+8, 2024-12-23 04:59 , Processed in 0.073441 second(s), 13 queries , Redis On.

Powered by Discuz!

監(jiān)督舉報(bào):report#znds.com (請(qǐng)將#替換為@)

© 2007-2024 ZNDS.Com

快速回復(fù) 返回頂部 返回列表