有線電視數(shù)字電視機(jī)頂盒破解方法

1、精品文檔有線電視數(shù)字電視機(jī)頂盒破解方法隨著數(shù)字電視的普及，模擬電視信號(hào)將停止播放，對(duì)一 家?guī)着_(tái)電視機(jī)來(lái)說(shuō)，迫切希望用一臺(tái)機(jī)頂盒帶多臺(tái)電視機(jī)的愿 望，這里介紹一些電子刊物討論方法，共大家參考：一、破解思路有線電視加密的原理是這樣的：電視臺(tái)把接改來(lái)的電視信 號(hào)先輸入數(shù)字加密設(shè)備，把電視信號(hào)通過(guò)算法加密后向外輸出 終端的解密設(shè)備（機(jī)頂盒子）解密后輸出普通的射頻信號(hào)，再 送到我們的終端接收設(shè)備，由電視放出畫(huà)面。因電視只能是接 收普通的射頻信號(hào)（模擬信號(hào)），所以只能解密后再輸入電視， 由電視放出畫(huà)面。有線電視加密法有多種，這里的是使用 加 擾法”。在加密到解密這段線路，要想非法接入偷接電視信號(hào)， 成功的

2、可能性幾乎是10000000分之一。但經(jīng)解密器（機(jī)頂盒） 解密后的信號(hào)任何可以常接收電視信號(hào)的電視機(jī)都能播放（即通用性，也可說(shuō)是共用性），這就是破解的切入點(diǎn)（破解軟件 也需要切入點(diǎn)）。既然這樣，但為什么一個(gè)機(jī)頂盒只能接一臺(tái) 電視機(jī)用呢？我也試驗(yàn)過(guò)，當(dāng)通簡(jiǎn)單的方法接上兩臺(tái)電視機(jī)的 時(shí)候，什么畫(huà)面也沒(méi)有了（因機(jī)頂盒有智能的識(shí)別功能）。問(wèn) 題就在這里，也是我要教會(huì)大家的精要所在。至于如何利用這個(gè)切入點(diǎn)”進(jìn)行我們的小人”行為呢？我 們通過(guò)什么手段來(lái)欺騙機(jī)頂盒，讓他以為是一臺(tái)電視機(jī)呢？（就如破解軟件的時(shí)候，我們有時(shí)也要采用欺騙的方法來(lái)進(jìn)行 破解）。我將會(huì)在下一點(diǎn) 破解原理”中向大家說(shuō)明。二、破解原理：裝

3、在我們家里的那個(gè)盒子的工作原理： 經(jīng)加密的信號(hào)經(jīng)輸 入端子輸入，由其內(nèi)部有關(guān)電路解除干擾信號(hào)（加擾法加密）， 再經(jīng)輸出端子輸出正常的信號(hào)。其解密電路是否工作要有一個(gè) 外部條件，就是電視的高頻頭反饋回來(lái)的信號(hào)。 如果沒(méi)有這個(gè) 信號(hào)反饋回機(jī)頂盒，則其解擾電路不工作，照樣輸出未解密的 信號(hào)，因而不能正常收看。其解密的頻段分做若干段解密，如 電視正在接收3頻道，則電視的高頻頭就反饋3頻道的諧振頻 率給機(jī)頂盒，機(jī)頂盒就能輸出15頻道的正常信號(hào)，如此 類推。因此可用以下兩種方法進(jìn)行破解：1、把機(jī)頂盒放在其中一臺(tái)電視機(jī)（下稱電視1）高頻頭附 近，讓其可以正常收看，再用分支器從輸出端分支出信號(hào)到另 外的電視機(jī)

4、。這樣的做法的一個(gè)缺點(diǎn)：就是另外的電視機(jī)只能 接收電視1接收的頻道附近的5個(gè)頻道。2、用非與門(mén)電路或555電路制作一個(gè)開(kāi)放式多諧振動(dòng)器， 其諧振頻率只要能履蓋有線電視的整個(gè)頻段即可。（制作成本約6元左右）把這個(gè)諧振動(dòng)器放在機(jī)頂盒的旁邊。 讓機(jī)頂盒能 接收到振動(dòng)器發(fā)出的信號(hào)，再用分支器從機(jī)頂盒的輸出端分支 出多臺(tái)電視機(jī)，這樣，所有電視機(jī)就能接收所有頻道的信號(hào)了。（下次發(fā)圖）3、用高頻三極管如9018做一個(gè)高頻發(fā)射電路，利用射 頻輸出再次發(fā)射，只要小小發(fā)射功率，讓機(jī)頂盒能接收得到即 可?；蛴猛S視頻線分支接入輸入或輸出端， 的除去外層屏蔽 線，只留中間的線長(zhǎng)約1米，把這線繞在機(jī)頂盒。讓泄漏出來(lái) 的

5、信號(hào)感應(yīng)給機(jī)頂盒接收。破解電視機(jī)頂盒，可接多臺(tái)電視游走在灰色地帶，大打擦邊球的數(shù)字電視機(jī)頂盒共享器 隨著有線電視數(shù)字化發(fā)展進(jìn)程的加快，數(shù)字電視這一新 興的電視觀看及傳輸方式已經(jīng)開(kāi)始被更多的普通市民所熟悉， 數(shù)字電視以接近于DVD勺畫(huà)質(zhì)和立體聲甚至5.1聲道伴音這兩 大最明顯的特點(diǎn)受到了不少有線電視用戶的關(guān)注，同時(shí)更多可選擇的電視臺(tái)、點(diǎn)播節(jié)目也為豐富市民的業(yè)余生活增添了不少 色彩，不過(guò)在數(shù)字電視剛剛起步的萌芽階段， 還有多的不足和 缺點(diǎn)需要改進(jìn)。按照國(guó)際慣例，數(shù)字電視機(jī)頂盒（SET-TOP-BO陶稱STB 分為數(shù)字地面STB數(shù)字衛(wèi)星STB數(shù)字有線STB和網(wǎng)絡(luò)這4種，目前正在大力發(fā)展的數(shù)字電視類型

6、是數(shù)字有線STB是目前成本最為低廉，也最適合大力向普通市民所推廣的。 整體來(lái)說(shuō)，數(shù)字機(jī)頂盒以支持 HDTW口互動(dòng)性作為發(fā)展方向，而 就目前的機(jī)頂盒產(chǎn)品來(lái)看，一部機(jī)頂盒內(nèi)包括了接收數(shù)字信號(hào) 的調(diào)制解調(diào)芯片、視頻信號(hào)編解碼芯片、音頻處理器、音視頻 數(shù)模轉(zhuǎn)換芯片等，一些高端的機(jī)頂盒中甚至還會(huì)整合安全芯片 甚至可錄像硬盤(pán)，可見(jiàn)數(shù)字電視機(jī)頂盒在未來(lái)的發(fā)展空間還是 相當(dāng)寬廣的上圖中的三部機(jī)頂盒中包括了目前所使用的三款不同品牌、型號(hào)的機(jī)頂盒，其中最上方的創(chuàng)維 C6000采用了意法的 Qami5516方案；熊貓3216采用了意法的5516芯片，帶有 180MHz勺CPU而最下方的銀河則采用了最為簡(jiǎn)單的富士通功

7、能單芯片H20A雖然這三種機(jī)頂盒在內(nèi)部的設(shè)計(jì)上有一定的 區(qū)別，但它們都是需要通過(guò)插入數(shù)字電視智能卡才能夠工作 的，而數(shù)字電視智能卡就相當(dāng)于一個(gè)人有了駕照才能合法地駕 駛汽車一樣。在使用模擬電視信號(hào)的時(shí)候，大家只需要申請(qǐng)有線電視 開(kāi)戶之后就可以在家中通過(guò)自帶電視信號(hào)調(diào)諧器的電視觀看 節(jié)目，如果有多部電視的話只要購(gòu)買(mǎi)有線電視信號(hào)分配器就可 以在所有的電視上觀看有線電視。而數(shù)字電視卻將這種免費(fèi)的 電視信號(hào)共享給 封殺”了，機(jī)頂盒需要在插入有效的智能卡之 后才能使用就是為了保證數(shù)字電視信號(hào)不被盜用的一種方式，同時(shí)也能夠保證數(shù)字信號(hào)不被盜版商用來(lái)作為盜版節(jié)目源。為了保證數(shù)字信號(hào)不被盜用，數(shù)字電視內(nèi)容管理

8、方式以 條件式接?。–A和數(shù)字版權(quán)管理（DRM作為基本保護(hù)機(jī)制， 目前國(guó)內(nèi)的數(shù)字電視機(jī)頂盒采用的管理方式就是條件式接取 這種機(jī)卡分離的方式，用戶必須通過(guò)專屬的智能卡來(lái)取得授權(quán) 才能夠接收被解碼的信號(hào)，而服務(wù)提供商也能夠通過(guò)這種方式 接收用戶的信息，包括用戶戶名、地址、智能卡卡號(hào)和收看數(shù) 字電視的費(fèi)用等信息。這種機(jī)卡分離的機(jī)頂盒使用方式被美 國(guó)、歐洲和亞洲等國(guó)視為數(shù)字電視發(fā)展的機(jī)頂策略。DRM采用的是許可證管理策略，由數(shù)字電視信號(hào)運(yùn)營(yíng)商 對(duì)節(jié)目源進(jìn)行加密，在用戶通過(guò)機(jī)頂盒發(fā)出節(jié)目接收請(qǐng)求之后 系統(tǒng)會(huì)自動(dòng)檢查是否經(jīng)過(guò)許可，而認(rèn)證的方式也同樣是通過(guò) IC卡等帶有帳號(hào)、密碼等信息的進(jìn)行的，不過(guò) DRM

9、1理的規(guī) 格相當(dāng)繁多：Windows Media的DRM開(kāi)放移動(dòng)聯(lián)盟OMA隹出 的 DRM.0/2.0 規(guī)格、UT-DRM NDS SecureMedia、WideVine、 BesDRM?,規(guī)格的不統(tǒng)一使其并不被大多數(shù)有限數(shù)字電視運(yùn) 營(yíng)商所接受。由于數(shù)字電視信號(hào)必須通過(guò)機(jī)頂盒才能接收，同時(shí)采用 了用戶身份認(rèn)證的防盜用方式，所以有線數(shù)字電視節(jié)目只有一 部電視機(jī)搭配一部機(jī)頂盒才能夠正常觀看， 在目前大多數(shù)市民 家中同時(shí)擁有一部以上電視的這一情況下， 如果希望每部電視機(jī)都能夠收看數(shù)字電視的話必須購(gòu)買(mǎi)數(shù)量相對(duì)應(yīng)的機(jī)頂盒，這在一定程度上家中了消費(fèi)者觀看數(shù)字電視的成本，于是有一些廠家開(kāi)始在有線數(shù)字電視共

10、享上開(kāi)始下功夫， 紛紛推出名為數(shù) 字電視機(jī)頂盒共享器的產(chǎn)品，以此實(shí)現(xiàn)對(duì)數(shù)字電視信號(hào)的共 享。目前的數(shù)字電視機(jī)頂盒共享器共有有線和無(wú)線兩種，有 線的共享器只需要將共享器與機(jī)頂盒接駁，并且通過(guò)音視頻信 號(hào)線將它與其它電視的 AV接口接駁就可以使用，而無(wú)線的共 享器則包括與機(jī)頂盒互聯(lián)的信號(hào)發(fā)射器和與電視互聯(lián)的信號(hào) 接收器。機(jī)頂盒共享器的功能介紹上將這種產(chǎn)品的優(yōu)點(diǎn)共分為多 顯示終端信號(hào)共享和節(jié)約費(fèi)用兩大類，對(duì)于大多數(shù)購(gòu)買(mǎi)這種產(chǎn) 品的消費(fèi)者來(lái)說(shuō)，可能最能夠吸引他們的是通過(guò)共享器可以節(jié) 約機(jī)頂盒的購(gòu)買(mǎi)費(fèi)用和電視信息點(diǎn)播費(fèi)，有了省錢(qián)作為最大賣 點(diǎn)之后，這種產(chǎn)品自然更受關(guān)注。雖然這種產(chǎn)品具有一定的實(shí)用意義，但

11、是我們仔細(xì)看看 就會(huì)發(fā)現(xiàn)這種所謂的共享器實(shí)際上就是一個(gè)音視頻信號(hào)分配 器，與機(jī)頂盒連接的接口包括了復(fù)合視頻輸入和模擬立體聲音 頻輸入這兩個(gè)接口，而用于輸出信號(hào)的則包括了復(fù)合視頻信號(hào) 輸出和3.5毫米信號(hào)輸出接口，并沒(méi)有能夠直接發(fā)送及接受智 能卡用戶信息的接口，這也就意味著即使是通過(guò)這樣的共享器 接駁其它電視之后也并不能獨(dú)立選臺(tái)， 換句話說(shuō)，如果客廳中的電視在通過(guò)機(jī)頂盒播放中央一套的電視節(jié)目， 那么其它房間 的另一臺(tái)電視也同樣只能夠播放中央一套的電視節(jié)目無(wú)線機(jī)頂盒共享其與有線機(jī)頂盒共享器一樣都是通過(guò)音 視頻接口接受機(jī)頂盒上的第二路信號(hào)輸出接口來(lái)實(shí)現(xiàn)數(shù)字電 視信號(hào)的 共享”的，不過(guò)無(wú)線的共享器的傳

12、輸方式是通過(guò)紅 外、調(diào)頻或2.4GHz來(lái)實(shí)現(xiàn)的，值得注意的是，目前的機(jī)頂盒 在背后的接口都帶有兩路信號(hào)輸出接口，只要使用連接線將機(jī) 頂盒的信號(hào)與兩臺(tái)電視連接就同樣可以實(shí)現(xiàn)這樣的所謂共享”功能，而這樣一來(lái)機(jī)頂盒共享器的作用也只有在不同房間 都可以用遙控器控制機(jī)頂盒這種 遙控共享器”的功能了。破解討論綜述CA安全保障的三層關(guān)鍵：傳輸流的加擾，控制字的加密， 加密體制的保護(hù)。這三種技術(shù)是CA系統(tǒng)重要的組成部分，在處理技術(shù)上有 相似之處，但在CA系統(tǒng)標(biāo)準(zhǔn)中是獨(dú)立性很強(qiáng)的三個(gè)部分。加 解擾技術(shù)被用來(lái)在發(fā)送端CA系統(tǒng)的控制下改變或控制被傳送 的服務(wù)（節(jié)目）的某些特征，使未被授權(quán)的用戶無(wú)法獲取該服 務(wù)提供的

13、利益；而加密技術(shù)被用來(lái)在發(fā)送端提供一個(gè)加密信 息，使被授權(quán)的用戶端解擾器能以此來(lái)對(duì)數(shù)據(jù)解密 ；而保密機(jī) 制則用于控制該信息，并以加密形式配置在傳輸流信息中以防 止非授權(quán)用戶直接利用該信息進(jìn)行解擾，不同的CA系統(tǒng)管理和傳送該信息的機(jī)制有很大不同。在目前各標(biāo)準(zhǔn)組織提出的條件接收標(biāo)準(zhǔn)中，加擾部分往往力求統(tǒng)一，而在加密部分和保密 機(jī)制則一般不作具體規(guī)定，是由各廠商定義的部分。1、對(duì)傳輸流的加擾，DVB已有標(biāo)準(zhǔn)。目前在國(guó)際上占主流 的有歐洲的DVBfe準(zhǔn)、北美國(guó)家的ATSCB準(zhǔn)及日本的ISDB標(biāo) 準(zhǔn)三種標(biāo)準(zhǔn)中，對(duì)于CA部分都作了簡(jiǎn)單的規(guī)定，并提出了三 種不同的加擾方式。歐洲D(zhuǎn)VBS織提出了一種稱之為通用

14、加擾 算法(Common Scrambling Algorithm )的加擾方式，由 DVI 組織的四家成員公司授權(quán)，ATSC組織使用了通用的三迭 DE： 算法，而日本使用了松下公司提出的一種加擾算法。通用加擾算法是DVBfe準(zhǔn)組織推薦的對(duì)于TS流的標(biāo)準(zhǔn)加擾算法。目前， 在歐洲的數(shù)字廣播節(jié)目中普遍采用了這個(gè)算法。 我國(guó)目前商業(yè) 化的CA中，TS節(jié)目的加擾也基本上是采用的這個(gè)算法。如果 從破解的角度，攻破這個(gè)算法的意義要遠(yuǎn)遠(yuǎn)大于破解智能卡和 攻破CA系統(tǒng)本身。2、對(duì)控制字的加密算法一般采用 RSA以及3DESB法，各 家CA廠商各不相同。值得一提的是 DVB里有一個(gè)規(guī)定，提到 的同密技術(shù)要求每個(gè)

15、CA系統(tǒng)可以使用不同的加密系統(tǒng)加密各 自的相關(guān)信息，但對(duì)節(jié)目?jī)?nèi)容的加擾必須采用同一個(gè)加擾算法 和加擾控制字，可以方便多級(jí)運(yùn)營(yíng)商的管理，為多級(jí)運(yùn)營(yíng)商選 擇條件接收系統(tǒng)提供了靈活性。這就為黑客攻破智能卡創(chuàng)造了 條件。3、對(duì)加密體制，不同廠家的系統(tǒng)差別很大，其技術(shù)大體有兩種：一種是以愛(ài)迪德系統(tǒng)為代表的密碼循環(huán)體制，另一種 是以ND繇統(tǒng)為代表的利用專有算法來(lái)進(jìn)行保護(hù)，由于牽涉到 系統(tǒng)安全性，廠家一般不會(huì)公開(kāi)。因此從破解角度，對(duì)系統(tǒng)的 破解是難度也是比較大的。第一章：CA智能卡的破解與反制第一節(jié)對(duì)于CA智能卡的破解分為兩種，1、從硬件破解的角度，完全地仿照正版卡來(lái)定制 IC卡；2、從軟件破解的方向，將正

16、版卡的程序讀出，最后將程 序?qū)懭隝C卡中，就變成與正卡無(wú)差別的 D卡了。仿制正版卡，可以將IC卡的觸點(diǎn)剝離下來(lái)，再將保護(hù)的塑料 蝕掉，暴露出元件和內(nèi)部電路連接，就可以繪制成電原理圖， 最后交給能訂制生產(chǎn)的IC卡的廠家生產(chǎn)。這些仿制還有一個(gè) 冠冕堂皇的名稱叫 反向工程”。國(guó)內(nèi)在深圳和廈門(mén)等地都有能 生產(chǎn)定制IC卡的廠家，在利益的驅(qū)使下，他們往往不會(huì)過(guò)問(wèn) 敏感問(wèn)題。IC卡中的元件如果是通用元件，通常可以通過(guò) IC卡的功 能原理的分析來(lái)確定，雖然困難，但總是可以最終確定。例如 深圳目前直接使用流在市面上的 ROM10W ROM1作來(lái)制成D 卡，ROM10? ROM1實(shí)際上是XX系統(tǒng)正版卡的 基礎(chǔ)卡”

17、，這些 卡具有與正版卡相同的硬件基礎(chǔ)，至于怎么流落到社會(huì)上的不 得而知，但有一個(gè)事實(shí)就是大家應(yīng)該都收到過(guò)安裝衛(wèi)星電視的 短信，這是個(gè)可以想象的到的異常龐大的地下產(chǎn)業(yè)！9歡在下載精品文檔繼續(xù)：IC卡中的元件如果是專用元件，確定元件的事情就 變得極其困難和十分渺茫了。那么這個(gè)時(shí)候硬件仿制的路走不 通了，那么看看軟件仿真的路能不能走得通。再看軟件仿真的路能不能走得通前，首先闡明軟件仿真的 路能不能走得通有不同的判斷標(biāo)準(zhǔn)。如果僅以在一段時(shí)段中，軟件仿真的D卡與正版卡都具有相同 的條件收視功能來(lái)判斷，那么無(wú)疑，從 D卡的實(shí)踐來(lái)看，軟件 仿真已經(jīng)成功了。但如果以任何時(shí)段中，軟件仿真的D卡與正版卡都具有相

18、同的功能，特別是對(duì)抗反制的功能來(lái)判斷，那么我要說(shuō)，同樣 無(wú)疑，軟件仿真是不可能成功的。因此我們僅承認(rèn)這種事實(shí)就夠了：自動(dòng)對(duì)抗新的反制，使 D卡與正版卡一樣免除后顧之憂，肯定是D卡研究的終極目標(biāo)。 但是即便達(dá)不到這個(gè)目標(biāo)，只要能保證一段時(shí)間的仿真成功， CA破解的商業(yè)價(jià)值就依然存在！補(bǔ)充說(shuō)明反制：由于D卡的成功，尤其是帶 AU （自動(dòng)換Key0/Key1）的D卡程序的廣泛擴(kuò)散，正版服務(wù)商感到了巨大 的壓力，逐步開(kāi)始采用種種反制手段，讓 D版的AU卡實(shí)效。我們先研究一下這個(gè)反制是個(gè)什么東東：學(xué)習(xí)和搞嵌入式 控制器開(kāi)發(fā)的人都用過(guò)仿真器，如 偉?！毕盗械腗CS-51的仿 真器等。大家一定知道硬件仿真與

19、軟件仿真存在一個(gè)本質(zhì)區(qū) 別，即I/O功能的不同。一條取端口引腳值的指令就足以區(qū)分是硬件仿真還是軟件仿真了。硬件仿真可以真實(shí)地取到引腳上 的實(shí)際輸入，而軟件仿真得到的只能是不會(huì)變化的內(nèi)存仿真 值。利用這個(gè)原理實(shí)現(xiàn)的反制程序分為兩部分，前面的部分 通過(guò)I/O端口的訪問(wèn)，區(qū)別出是真的硬件存在，還是軟件仿真； 后半部分對(duì)非法的仿真卡簡(jiǎn)單地返回主程序，不能解開(kāi) Key0/Key1;對(duì)正版卡，則修改 Key0/Key1,使之正確，然后 返回主程序并保存key,保存的Key0/Key1用于ECM勺解碼。從歷次搜集的反制EMW的方法中，可以將反制歸納為兩 種，一種是從硬件或軟件上區(qū)別 D卡與正版卡，從而產(chǎn)生條

20、件 分支指令，使D卡仿真的程序失效；另一種是調(diào)用D卡中不可 能有的，只有正版卡硬件才具備的 MAP?程序，使D卡無(wú)法執(zhí) 行正確的程序。先介紹前一種方法：使用硬件端口區(qū)別正版卡與仿真卡的反制方法，由于具有特殊性能的端口數(shù)的限制，因此不可能有多種變化，一旦 Hacker知道了反制的EMM吉構(gòu)與原理，很容易就可以避開(kāi)端 口判斷的指令，直接轉(zhuǎn)到修改Key0/Key1部分。這雖然并不是 程序指令的直接仿真，只能算是功能仿真，卻可以使已知反制 失效。另外你也許會(huì)提出一些其他辦法，如目前的一些Nagra系 統(tǒng)在下行的EM嘛令中加入了甄別真?zhèn)魏?殺卡”指令，對(duì)于正 i欺逆下載精品文檔改卡：毫不留情地清除卡中程

21、序并且讓它成為廢卡。我可以說(shuō)，為了對(duì)抗 殺卡”，這類 正改卡”的程序如果采 用Block技術(shù)，可以抵抗多數(shù)殺卡指令，同樣能夠使這類 正 改卡”得以安全使用。先寫(xiě)到這，后面介紹根據(jù)正版卡特有的機(jī)器指令代碼，讓 正版卡能進(jìn)行解碼、而沒(méi)有正版卡程序的仿真卡無(wú)法正確解 碼、從而獲得KEY的EM岷、路。第二節(jié)：以下介紹根據(jù)正版卡特有的機(jī)器指令代碼，讓正版卡能進(jìn) 行解碼，而沒(méi)有正版卡程序的仿真卡無(wú)法正確解碼， 從而獲得 KEY的 EMM、路。按照道理，D卡使用的是AV越其他類型的CPU正改卡' 中的程序與正版卡也不相同，照理這些卡中都沒(méi)有正版ROM10/ROM僧的程序。因此，用只有正版卡才有的特定

22、機(jī)器 指令代碼作為密鑰來(lái)解密key0與keyl,自然是十分聰明的反 制措施。該反制的EMMA前146Dream TV可能曾使用過(guò)。目前 X( 有線又重新啟用，大致在一個(gè)周期的8天中，有兩天使用本類 EMM另外6天使用另一個(gè) 超級(jí)MAPS序。這種反制的具體思路是：下行的EMW攜帶的Key與Key1是經(jīng)過(guò)加密編碼的，不能直接使用。解開(kāi)它們需要的密鑰 種子”（即產(chǎn)生密鑰的原始數(shù) 據(jù)）的地址由下行的EM西出。注意！ EMW并沒(méi)有給出密鑰 種子”，而是給出了它們?cè)谡?ROM10/ROM曲程序存儲(chǔ)區(qū)中 的地址，這個(gè)地址是隨機(jī)數(shù)，不同的key0/key1 ,地址就不同。 它的值總是大于S4000,防止取到

23、ROM10H氐端的無(wú)法讀出的 無(wú)意義內(nèi)容。反制設(shè)計(jì)者設(shè)想，D卡或正改卡”無(wú)法獲得正版 卡的內(nèi)部程序，因此，即使給出了地址，D卡也無(wú)法取得正確的機(jī)器碼作為密鑰的 種子”，自然也就無(wú)法生成密鑰，解開(kāi) key0/key1 了。對(duì)于正版卡，按照給出的地址，取到16字節(jié)的機(jī)器指令代 碼，經(jīng)過(guò)類似計(jì)算Hash效驗(yàn)的方法，產(chǎn)生正確的密鑰，再對(duì) key0/key1進(jìn)行DESS碼運(yùn)算，就解出正確的 key0/key1 了。 上面介紹的 利用正版卡程序隨機(jī)地址處的機(jī)器碼作為Key的解碼密鑰”的EMME制方法非常厲害，曾難倒了一大批的高手。對(duì)比一下昨天前一篇帖子中給出的EMM與上面介紹的EMM就會(huì)發(fā)現(xiàn)，前一篇帖子中

24、給出的EM塌一種簡(jiǎn)單的反制， 只要知道了正確的Key0/Key1,再經(jīng)過(guò)認(rèn)真分析和思考，就會(huì) 明白其反制原來(lái)并找出解出 Key的方法，目前Dream TV的反 制都屬于這類簡(jiǎn)單反制；但上面今天介紹的EM此一種高級(jí)和 復(fù)雜的反制，即使知道了正確的 Key0/Key1,也難以得知其反 制的原理與找出解key的方法，目前XG有線和國(guó)外一些CA系 統(tǒng)采用的是這類反制。由于 XX的反制匯聚在低級(jí)和高級(jí)的兩類難度上，所以黑客們懷疑這是兩類不同水平的技術(shù)人員的作 品。低級(jí)難度的反制是衛(wèi)視服務(wù)系統(tǒng)內(nèi)部技術(shù)人員的手筆，而高級(jí)的反制則直接出自CA系統(tǒng)研制人員的杰作。兩種級(jí)別的反制也將國(guó)內(nèi)修改、編寫(xiě)D卡程序的高手分

25、成 了兩類：有一些寫(xiě)一點(diǎn)程序應(yīng)付低級(jí)反制的，往往采用頭痛醫(yī)頭、腳痛醫(yī)腳”的補(bǔ)丁程序，可以對(duì)付目前146-Dream TV的 反制；只有少數(shù)高手中的高手具有整體編寫(xiě)程序以及仿真MA功能的能力，能采用更合理的對(duì)抗策略，能研制出復(fù)雜程序和 新類型的D卡，最終可以對(duì)付高級(jí)難度的反制。 對(duì)付低級(jí)反制 寫(xiě)出對(duì)抗程序的時(shí)間大約是數(shù)小時(shí)到幾天，而對(duì)付高級(jí)反制找 到方法并寫(xiě)出程序的時(shí)間往往需要數(shù)個(gè)月之久，而且還需要國(guó)內(nèi)外Hacker們的協(xié)同配合。國(guó)內(nèi)高手中的高手人數(shù)很少，者B 是單兵作戰(zhàn)和埋頭苦干的，與其他高手之間一般互不交流。本節(jié)介紹的 利用正版卡程序隨機(jī)地址處的機(jī)器碼作為 Key的解碼密鑰”的EMME制方法

26、十分成功，但它采用程序的機(jī) 器碼作為解開(kāi)Key的密鑰，可能會(huì)出現(xiàn)以下幾個(gè)問(wèn)題：1 .如果電視系統(tǒng)歷史悠久，在用的卡可能有幾種，那么 可能產(chǎn)生內(nèi)部機(jī)器指令碼不盡相同的問(wèn)題；2 .如果電視系統(tǒng)想要更新程序，也可能存在部分尚未更 新程序的正版卡，同樣會(huì)產(chǎn)生內(nèi)部機(jī)器指令碼不相同的問(wèn)題。 這個(gè)問(wèn)題還可能阻止正版卡通過(guò)下行信號(hào)進(jìn)行的升級(jí)：我們?cè)O(shè)想一下，正版卡用戶中，有的人天天看衛(wèi)視節(jié)目，他們的卡順15欠0迎下載精品文檔利升了級(jí)，而一部分人外出，卡很久都沒(méi)有使用了，剛回來(lái)想 看衛(wèi)視，結(jié)果因?yàn)榭ǖ某绦虿粚?duì)，無(wú)法收看，肯定對(duì)衛(wèi)視服務(wù) 商大發(fā)雷霆。在用戶是上帝的外國(guó)，電視服務(wù)商對(duì)可能引起用 戶的怒氣一定很忌諱的。

27、3 .對(duì)該反制最致命打擊是，可以設(shè)法讀出正版卡作為密 鑰的那一部分程序機(jī)器碼，通過(guò)在D卡的硬件上安排外部EEPROM存儲(chǔ)量有64KB 128KB 256KB等，將正版卡作為密 鑰的程序機(jī)器碼全部保存起來(lái)，解開(kāi)KEY時(shí)，照樣可以從外部 EEPROMP取到與正版卡一樣的解 Key的密鑰，來(lái)對(duì)抗反制， 使該方法失效，這是該類反制的終結(jié)者。經(jīng)過(guò)了利用軟件仿真在I/O功能上的區(qū)別進(jìn)行的反制和利 用正版卡指令代碼作為密鑰進(jìn)行的反制之后，目前幾個(gè)在運(yùn)行 的CA系統(tǒng)（146的DreamTV與其他衛(wèi)視，XG以及國(guó)內(nèi)一些地 方的本地有線數(shù)字電視等）紛紛進(jìn)入了使用MA助能來(lái)進(jìn)行反 制的階段。使用正版卡中的MAPI碼

28、/解碼協(xié)處理器進(jìn)行反制，是正版 卡在設(shè)計(jì)階段就預(yù)留的終極反制殺手。 可以看到，正版卡設(shè)計(jì) 者防范于未然，預(yù)估到終有一天，第一道門(mén)（ECMW EMM勺解 碼）將被攻破，預(yù)先留好了第二道門(mén)做最后的防守。未雨綢繆， 是我們不得不佩服這些設(shè)計(jì)者的智慧與遠(yuǎn)見(jiàn)。第三節(jié)（）在深入討論MA電能及其仿真實(shí)現(xiàn)之前，為了后續(xù)文章讀 起來(lái)不算費(fèi)勁，需要先說(shuō)明兩個(gè)方面的知識(shí)：一是什么是收視 卡防守的第一道門(mén)與第二道門(mén)？ 二是EMM旨令與Logging等 知識(shí)。今天讓我們先說(shuō)說(shuō)什么是收視卡防守的第一道門(mén)與第二 道門(mén)？收視卡是防止非法收視的守門(mén)員，在卡中設(shè)計(jì)了多種加密 方法，最主要的有解決收視功能的ECMF口自動(dòng)換key的EMM勺 解密，它們的解碼是第一道門(mén)。ECMf EMM勺編碼與解碼使用 的雖是不同的方法，但都是固定不變的標(biāo)準(zhǔn)方法。不同的條件 接收系統(tǒng)僅僅是編碼/解碼采用的數(shù)據(jù)有不同而已。舉個(gè)例子， 有的卡可以解開(kāi)多個(gè)同一類型 CA系統(tǒng)，該類卡是按照下行的 ECMg EMM勺系統(tǒng)標(biāo)識(shí)(如146 Dream TV為4E和4F, XG有 線為94和95等)選擇不同的數(shù)據(jù)，而運(yùn)行的程序基本相同的。仍然以XX為例，ECM勺編/解碼采用DESW EDE瞬法，其 原理早已公之于世。編/解碼所用的S_Boxes數(shù)據(jù)也已經(jīng)公開(kāi)， 并且在不同的系統(tǒng)中固定不變。與標(biāo)準(zhǔn)的 DES相比，XX系統(tǒng) 的DES只是多了對(duì)字節(jié)進(jìn)行了反序