一个数字电视机顶盒带多台电视机之技术破解

一个数字电视机顶盒带多台电视机之技术破解一个数字电视机顶盒带多台电视机之技术破解 转贴转贴 2013 0102 我的研究一 破解思路 有线电视加密的原理是这样的 电视台把接改来的电视信号先输入数字加密设备 把电视信号通过算法加密后向外输出终端 的解密设备 机顶盒子 解密后输出普通的射频信号 再送到我们的终端接收设备 由电视放出画面 因电视只能是接收普 通的射频信号 模拟信号 所以只能解密后再输入电视 由电视放出画面 有线电视加密法有多种 这里的是使用 加扰 法 在加密到解密这段线路 要想非法接入偷接电视信号 成功的可能性几乎是 10000000 分之一 但经解密器 机顶盒 解密后的信号任何可以常接收电视信号的电视机都能播放 即通用性 也可说是共用性 这就是破解的切入点 破解软件 也需要切入点 既然这样 但为什么一个机顶盒只能接一台电视机用呢 我也试验过 当通简单的方法接上两台电视机的 时候 什么画面也没有了 因机顶盒有智能的识别功能 问题就在这里 也是我要教会大家的精要所在 至于如何利用这 个 切入点 进行我们的 小人 行为呢 我们通过什么手段来欺骗机顶盒 让他以为是一台电视机呢 就如破解软件的 时候 我们有时也要采用欺骗的方法来进行破解 我将会在下一点 破解原理 中向大家说明 二 破解原理 装在我们家里的那个盒子的工作原理 经加密的信号经输入端子输入 由其内部有关电路解除干扰信号 加扰法加密 再 经输出端子输出正常的信号 其解密电路是否工作要有一个外部条件 就是电视的高频头反馈回来的信号 如果没有这个信 号反馈回机顶盒 则其解扰电路不工作 照样输出未解密的信号 因而不能正常收看 其解密的频段分做若干段解密 如电 视正在接收 3 频道 则电视的高频头就反馈 3 频道的谐振频率给机顶盒 机顶盒就能输出 1 5 频道的正常信号 如此类 推 因此可用以下两种方法进行破解 三 破解方法 1 把机顶盒放在其中一台电视机 下称电视 1 高频头附近 让其可以正常收看 再用分支器从输出端分支出信号到另外 的电视机 这样的做法的一个缺点 就是另外的电视机只能接收电视 1 接收的频道附近的 5 个频道 2 用非与门电路或 555 电路制作一个开放式多谐振动器 其谐振频率只要能履盖有线电视的整个频段即可 制作成本约 6 元左右 把这个谐振动器放在机顶盒的旁边 让机顶盒能接收到振动器发出的信号 再用分支器从机顶盒的输出端分支出 多台电视机 这样 所有电视机就能接收所有频道的信号了 3 用高频三极管如 9018 做一个高频发射电路 利用射频输出再次发射 只要小小发射功率 让机顶盒能接收得到即可 或 用同轴视频线分支接入输入或输出端 的除去外层屏蔽线 只留中间的线长约 1 米 把这线绕在机顶盒 让泄漏出来的信号 感应给机顶盒接收 2 数字电视机顶盒破解 有线电视机顶盒破解 机顶盒的破解 第一章 CA 智能卡的破解与反制 第二章 流行 CA 系统的漏洞分析实践 第三章 流行 CA 应用算法的破解分析设想 破解讨论综述 CA 安全保障的三层关键 传输流的加扰 控制字的加密 加密体制的保护 这三种技术是 CA 系统重要的组成部分 在处理技术上有相似之处 但在 CA 系统标准中是 性很强的三个部分 加解扰技术 被用来在发送端 CA 系统的控制下改变或控制被传送的服务 节目 的某些特征 使未被授权的用户无法获取该服务提供的 利益 而加密技术被用来在发送端提供一个加密信息 使被授权的用户端解扰器能以此来对数据解密 而保密机制则用于控 制该信息 并以加密形式配置在传输流信息中以防止非授权用户直接利用该信息进行解扰 不同的 CA 系统管理和传送该信 息的机制有很大不同 在目前各标准组织提出的条件接收标准中 加扰部分往往力求统一 而在加密部分和保密机制则一般 不作具体规定 是由各厂商定义的部分 1 对传输流的加扰 DVB 已有标准 目前在国际上占主流的有欧洲的 DVB 标准 北美国家的 ATSC 标准及日本的 ISDB 标准 三种标准中 对于 CA 部分都作了简单的规定 并提出了三种不同的加扰方式 欧洲 DVB 组织提出了一种称之为通用加扰算 法 Common Scrambling Algorithm 的加扰方式 由 DVB 组织的四家成员公司授权 ATSC 组织使用了通用的三迭 DES 算法 而日本使用了松下公司提出的一种加扰算法 通用加扰算法是 DVB 标准组织推荐的对于 TS 流的标准加扰算法 目前 在欧 洲的数字广播节目中普遍采用了这个算法 我国目前商业化的 CA 中 TS 节目的加扰也基本上是采用的这个算法 如果从破 解的角度 攻破这个算法的意义要远远大于破解智能卡和攻破 CA 系统本身 2 对控制字的加密算法一般采用 RSA 以及 3DES 算法 各家 CA 厂商各不相同 值得一提的是 DVB 里有一个规定 提到的同 密技术要求每个 CA 系统可以使用不同的加密系统加密各自的相关信息 但对节目内容的加扰必须采用同一个加扰算法和加 扰控制字 可以方便多级运营商的管理 为多级运营商选择条件接收系统提供了灵活性 这就为黑客攻破智能卡创造了条件 3 对加密体制 不同厂家的系统差别很大 其技术大体有两种 一种是以爱迪德系统为代表的密码循环体制 另一种是以 NDS 系统为代表的利用专有算法来进行保护 由于牵涉到系统安全性 厂家一般不会公开 因此从破解角度 对系统的破解 是难度也是比较大的 第一章 CA 智能卡的破解与反制 第一节 对于 CA 智能卡的破解分为两种 1 从硬件破解的角度 完全地仿照正版卡来定制 IC 卡 2 从软件破解的方向 将正版卡的程序读出 最后将程序写入 IC 卡中 就变成与正卡无差别的 D 卡了 仿制正版卡 可以将 IC 卡的触点剥离下来 再将保护的塑料蚀掉 暴露出元件和内部电路连接 就可以绘制成电原理图 最后交给能订制生产的 IC 卡的厂家生产 这些仿制还有一个冠冕堂皇的名称叫 反向工程 国内在深圳和厦门等地都有 能生产定制 IC 卡的厂家 在利益的驱使下 他们往往不会过问敏感问题 IC 卡中的元件如果是通用元件 通常可以通过 IC 卡的功能原理的分析来确定 虽然困难 但总是可以最终确定 例如深圳 目前直接使用流在市面上的 ROM10 与 ROM11 卡来制成 D 卡 ROM10 与 ROM11 实际上是 XX 系统正版卡的 基础卡 这些卡 具有与正版卡相同的硬件基础 至于怎么流落到社会上的不得而知 但有一个事实就是大家应该都收到过安装卫星电视的短 信 这是个可以想象的到的异常庞大的地下产业 继续 IC 卡中的元件如果是专用元件 确定元件的事情就变得极其困难和十分渺茫了 那么这个时候硬件仿制的路走不通 了 那么看看软件仿真的路能不能走得通 再看软件仿真的路能不能走得通前 首先阐明软件仿真的路能不能走得通有不同的判断标准 如果仅以在一段时段中 软件仿真的 D 卡与正版卡都具有相同的条件收视功能来判断 那么无疑 从 D 卡的实践来看 软件 仿真已经成功了 但如果以任何时段中 软件仿真的 D 卡与正版卡都具有相同的功能 特别是对抗反制的功能来判断 那么我要说 同样无疑 软件仿真是不可能成功的 因此我们仅承认这种事实就够了 自动对抗新的反制 使 D 卡与正版卡一样免除后顾之忧 肯定是 D 卡研究的终极目标 但 是即便达不到这个目标 只要能保证一段时间的仿真成功 CA 破解的商业价值就依然存在 补充说明反制 由于 D 卡的成功 尤其是带 AU 自动换 Key0 Key1 的 D 卡程序的广泛扩散 正版服务商感到了巨大的压力 逐步开始采用种种反制手段 让 D 版的 AU 卡实效 我们先研究一下这个反制是个什么东东 学习和搞嵌入式控制器开发的人都用过仿真器 如 伟福 系列的 MCS 51 的仿真 器等 大家一定知道硬件仿真与软件仿真存在一个本质区别 即 I O 功能的不同 一条取端口引脚值的指令就足以区分是硬 件仿真还是软件仿真了 硬件仿真可以真实地取到引脚上的实际输入 而软件仿真得到的只能是不会变化的内存仿真值 利用这个原理实现的反制程序分为两部分 前面的部分通过 I O 端口的访问 区别出是真的硬件存在 还是软件仿真 后半 部分对非法的仿真卡简单地返回主程序 不能解开 Key0 Key1 对正版卡 则修改 Key0 Key1 使之正确 然后返回主程序 并保存 key 保存的 Key0 Key1 用于 ECM 的解码 从历次搜集的反制 EMM 中的方法中 可以将反制归纳为两种 一种是从硬件或软件上区别 D 卡与正版卡 从而产生条件分支 指令 使 D 卡仿真的程序失效 另一种是调用 D 卡中不可能有的 只有正版卡硬件才具备的 MAP 子程序 使 D 卡无法执行正 确的程序 先介绍前一种方法 使用硬件端口区别正版卡与仿真卡的反制方法 由于具有特殊性能的端口数的限制 因此不可能有多种变化 一旦 Hacker 知道了反制的 EMM 结构与原理 很容易就可以避开端口判断的指令 直接转到修改 Key0 Key1 部分 这虽然并不是程序指令 的直接仿真 只能算是功能仿真 却可以使已知反制失效 另外你也许会提出一些其他办法 如目前的一些 Nagra 系统在下行的 EMM 命令中加入了甄别真伪和 杀卡 指令 对于 正 改卡 毫不留情地清除卡中程序并且让它成为废卡 我可以说 为了对抗 杀卡 这类 正改卡 的程序如果采用 Block 技术 可以抵抗多数杀卡指令 同样能够使这类 正 改卡 得以安全使用 先写到这 后面介绍根据正版卡特有的机器指令代码 让正版卡能进行解码 而没有正版卡程序的仿真卡无法正确解码 从 而获得 KEY 的 EMM 思路 电视机顶盒破解 数字机顶盒破解 机顶盒智能卡破解破解创维数字机顶盒 第二节 以下介绍根据正版卡特有的机器指令代码 让正版卡能进行解码 而没有正版卡程序的仿真卡无法正确解码 从而获得 KEY 的 EMM 思路 按照道理 D 卡使用的是 AVR 或其他类型的 CPU 正改卡 中的程序与正版卡也不相同 照理这些卡中都没有正版 ROM10 ROM11 卡的程序 因此 用只有正版卡才有的特定机器指令代码作为密钥来解密 key0 与 key1 自然是十分聪明的反 制措施 该反制的 EMM 以前 146Dream TV 可能曾使用过 目前 XG 有线又重新启用 大致在一个周期的 8 天中 有两天使用本类 EMM 另外 6 天使用另一个 超级 MAP 程序 这种反制的具体思路是 下行的 EMM 中携带的 Key 与 Key1 是经过加密编码的 不能直接使用 解开它们需要的密钥 种子 即产生密钥的原始数 据 的地址由下行的 EMM 给出 注意 EMM 中并没有给出密钥 种子 而是给出了它们在正版 ROM10 ROM11 卡程序存储区 中的地址 这个地址是随机数 不同的 key0 key1 地址就不同 它的值总是大于 S4000 防止取到 ROM10 卡低端的无法读 出的无意义内容 反制设计者设想 D 卡或 正改卡 无法获得正版卡的内部程序 因此 即使给出了地址 D 卡也无法取 得正确的机器码作为密钥的 种子 自然也就无法生成密钥 解开 key0 key1 了 对于正版卡 按照给出的地址 取到 16 字节的机器指令代码 经过类似计算 Hash 效验的方法 产生正确的密钥 再对 key0 key1 进行 DES 编码运算 就解出正确的 key0 key1 了 上面介绍的 利用正版卡程序随机地址处的机器码作为 Key 的解码密钥 的 EMM 反制方法非常厉害 曾难倒了一大批的高手 对比一下昨天前一篇帖子中给出的 EMM 与上面介绍的 EMM 就会发现 前一篇帖子中给出的 EMM 是一种简单的反制 只要知 道了正确的 Key0 Key1 再经过认真分析和思考 就会明白其反制原来并找出解出 Key 的方法 目前 Dream TV 的反制都属 于这类简单反制 但上面今天介绍的 EMM 是一种高级和复杂的反制 即使知道了正确的 Key0 Key1 也难以得知其反制的原 理与找出解 key 的方法 目前 XG 有线和国外一些 CA 系统采用的是这类反制 由于 XX 的反制汇聚在低级和高级的两类难度 上 所以黑客们怀疑这是两类不同水平的技术人员的作品 低级难度的反制是卫视服务系统内部技术人员的手笔 而高级的 反制则直接出自 CA 系统研制人员的杰作 两种级别的反制也将国内修改 编写 D 卡程序的高手分成了两类 有一些写一点程序应付低级反制的 往往采用 头痛医头 脚痛医脚 的补丁程序 可以对付目前 146 Dream TV 的反制 只有少数高手中的高手具有整体编写程序以及仿真 MAP 功能 的能力 能采用更合理的对抗策略 能研制出复杂程序和新类型的 D 卡 最终可以对付高级难度的反制 对付低级反制写出 对抗程序的时间大约是数小时到几天 而对付高级反制找到方法并写出程序的时间往往需要数个月之久 而且还需要国内外 Hacker 们的协同配合 国内高手中的高手人数很少 都是单兵作战和埋头苦干的 与其他高手之间一般互不交流 一个机顶盒可以连接多台电视机的方法一个机顶盒可以连接多台电视机的方法 现在哪个家庭没有几台电视 但是家家都受机顶盒一台一机的制约 受有线电视的独家 垄断 现奉献给大家 以解有线电视机顶盒一台一机的霸王垄断 秘诀是 先从解决机顶盒一台一机收看 变一台机顶盒让多台电视收看的方法思路说起 机顶盒的原理就是 将数字电视信号变为传统模拟全电视信号 机顶盒的前端设置了智能收费卡 可以在未来设置开关 随意开放或者关闭每个机顶盒客户的电视数字信号 机顶盒的作用就是将有线光缆中的数字