编者按:正版卡与D版卡的斗争,几乎成了前提领受系统年夜舞台上一场热闹的“年夜戏”。可是,对于通俗用户而言,这场戏却似乎有些深邃得高不成攀,即使就发生在自己身边,也模拟仍是令人感受云里雾里。那么,是否有一个路子,能让泛博并非编程高手的读者体味前提领受系统攻防年夜战中的奥秘呢?热心的HammerRed教员针对伴侣们的要求,以自身的研究实践为例,无私地撰写了一系列教学文章,为巴望根究真理的读者供给了一条循序渐进的进修之陆怪司刊将在此后的几期杂志中持续刊载该系列文章,与读者们配合分享试探的喜悦。
杂谈之廿一
体味了MAP与反制事理之后,就可以用轨范来仿真。凡是使用ROM10卡的ST7指令或AVR指令来编程,前者用于PC仿真卡(1020卡等),后者用于8515或黑卡。
MAP仿真可以有三种条理的仿真体例:
1、不管EMM轨范和MAP功能为何,直接经由过程不雅察看EMM附带的数据中未解出与解出的Key0/key1,找出纪律进行编程,解出Key。
2、体味EMM轨范和MAP的功能,年夜功能实现效不美观的角度编程,解出Key。
3、直接编写各个MAP功能的轨范,一劳永逸的仿真MAP功能。
第一层体例最简单,不需要知道EMM轨范和MAP的功能,可以快速匹敌反制。但这种体例是“头痛治头,脚痛医脚”的体例,Key0/Key1没有复杂的加密时有用,反制稍有转变就可能失踪效。
第二层体例年夜斗劲科学的角度,对反制的EMM轨范和MAP功能都有深切地体味,虽然没有直接仿真MAP功能,但年夜功能实现的效不美观上仿真,比第一种体例更有事理,因而可以斗劲好地匹敌反制。但如不美观新的反制轨范转变很年夜,则这种体例也会失踪效。
第三层体例难度最年夜,但顺应性最好,只要反制没有采用新的未知MAP功能,这种体例就不会失踪效。
在本集和下面的两集“杂谈”中,我将以2005年8月至2006年5月的Dream TV反制为例,分袂声名三种条理体例的要点与优错误谬误。
先来看第一层体例:
体例要点:直接不雅察看EMM的数据中未解出与解出的Key0/Key1,找出纪律进行编程,解出Key。
年夜以上解开的EMM与已知正确的Key0/Key1中可以看出获得Key0/Key1的体例:
Key0或Key1有一半(4字节)的部门被移到了00A1的处所,这部门数据被改成FF FF FF FF。如不美观将00A1处的4个字节复制到FF FF FF
FF的部门,就可以还原正确的Key0/Key1中的所有FFH都理当被替代,就可能获得错误的结不美观!
几种现实上在使用的仿真轨范:
2005年9月1日释放到网站上的黑卡轨范,今朝有些网站还保留。
该轨范的思绪是:
如不美观密钥Key0或Key1的8个字节中有FFH,则用放在00A1地址起头的字节(真正密钥的前4个字节)一一来笼盖。
这种黑卡的编程思绪在Key中存在正常的FFH的情形下会出问题,如不美观当前的密钥Key0或Key1在后4个字节中存在正常的FFH,那么这个正确的FFH将会被改失踪,密钥变为错误,造成无神通视。在现实使用中,该Bug曾经影响D卡的AU。
帕克斯伴侣编的ROM10.BIN的轨范。
该轨范的思绪是:
如不美观Key0的第0个字节而且第1个字节是FFH,则改削Key0否则改削Key1。
这个思绪比膳缦沔的第一个轨范好的多,根基膳缦慊有错误,只是措置Key0或Key1时不合错误称,改削Key0的前提严酷,而改削Key1的前提宽松。
该轨范在现实使用中没有发生问题。
以上两种体例在2005年12月6日起头的反制中失踪效。
针对该反制,仿真的思绪是:
取00B9处的4个字节,复制到00AD起头的地址处。具体代码可以参看同化反制轨范,其中的一部门就是针对本反制而编的。
年夜2006年1月7日起头,采用2005年9月或2005年12月的“同化反制”,即每隔几天,换一种体例。
在没有完全搞清嚣张事理的情形下,采用“头痛治头,脚痛医脚”的第一层体例,帕克斯伴侣编写的匹敌同化反制轨范最后酿成了此样。在2006年5月的反制之前,绝年夜年夜都伴侣的1020卡可能都在使用这个轨范。
帕克斯伴侣是一位我尊敬的高手,他的轨范对巨匠使用1020卡收视梦幻系统节目有不小的进献,我在这里只限于纯学术谈判。
杂谈之廿二
在“杂谈廿一”中谈到仿真编程的第一个条理,第一层的体例是不观点式,只看EMM数据的。
本集介绍第二条理的体例,第二层的体例是成立在对反制和MAP功能都有较深切地体味的基本上,必需体味轨范和MAP功能,再科学地仿真。
让我们看一看2005年9月与2005年12月的EMM轨范与数据。
我们看到,虽然EMM的数据分歧,但这些EMM的轨范十分相似,它们都使用了MAP功能#02H、#0E或#0F。
按照“杂谈十四”中的资料,我们知道,MAP功能#02H和#0E或#0F连用,就是为了在“源”与“目的”之间交流与传送4个字节,“源”地址在008B,“目的”地址在0094。
按照这个事理,我写的ROM10的仿真轨范。
这段轨范仅用了10条指令,不仅可以自动适理当前的同化反制,而且可以完成与“杂谈廿一”中帕克斯伴侣用了近50条指令的轨范不异的功能。此外,如不美观EMM中的FF FF
FF FF或00 00 00 00数据改为肆意值,今朝伴侣们正在用的其它轨范可能当即失踪效,而本轨范依然可以使用。
伴侣们可以将我的轨范自行改到1020卡插件的ROM10.BIN轨范中,试一试效不美观。
对比第一层体例与第二层体例,就可以知道:懂得了事理,有的放矢编写的轨范,与一知半解,“头痛治头,脚痛医脚”的体例编写的轨范的区别之地址。
我曾在2005年9月给出D卡轨范时就指出,我那时采用的是“头痛治头,脚痛医脚”的体例。那时辰我虽然编写了可以继续连结收视的D卡轨范,但我心中十分过错劲自己的轨范。2006岁首我在进修和研究之后,进入了第二层编程体例。取得的成不美观是:我研制的自己使用的D卡没有像伴侣们的D卡一样,碰着2006年1月7日的同化反制的问题。Test03就是使用第二层编程体例的“有期待版本”轨范。
杂谈之廿三
第三层体例是编写好各类已知的MAP功能的轨范。
这一层体例的轨范与思绪是:
1、改削原ROM10卡中的MAP_CALL子轨范中的MAP_EXEC(CD 20 20)到MAP_EMU(CD 9A 00)。
2、在$9A00处编写的轨范。
这一层体例的难度和工作量都很年夜。我已起头编写了一部门轨范,取得了一些进展。
这种体例合用于PC仿真卡插件中的ROM10.BIN,可以最年夜限度地自动顺应新的反制。
这种体例不合用于AVR的D卡,这是因为AVR的D卡并不直接执行EMM中的轨范。
AVR的D卡就是常见的8515卡和黑卡。这类D卡配合4x0类领受机,成了泛博伴侣最喜爱的卫视领受设备。D卡的利益是不会像ROM卡那样被EMM轨范“杀失踪”,这是因为D卡的结构与ROM卡完全分歧。D卡是Hacker自行研制的,硬件膳缦慊有留下任何会被“杀失踪”的陷阱和裂痕。软件上,它不直接执行EMM中的指令,就是仿真借居执行,也只是为了获取Key,忽略其它操作。
我的D卡轨范采用的仿真体例是:首先判定EMM轨范的模式属于何种反制,再按照反制的模式挪用忆事先编好的“功能上仿真”的子轨范进行解码,最后保留解出的Key0/Key1。这种体例显然不能一劳永逸地自动顺应未来的反制模式。碰着未知的模式,D卡将保留当前EMM的数据,以便人工剖析。
按事理说,D卡具有AU功能,在相当长的一段时刻中能不用手工输入Key,连结正常收视,已经是不很不错的了。但卖设备的商人与花了钱的顾客都不清嚣张,新买的系统能用到哪一天。命运好的,也许能用半年,命运衰的,可能刚糊弄,第二天就被反制了,是以自然巨匠都但愿能研制出永远能AU的“不死抠?铮我要出格声名,真正强烈抱持这种但愿的,不是能编程D卡的高手,而往往是不懂开发的人。能编程的高手,每次匹敌反制,编写新的轨范时,都有接管挑战的巴望和战胜坚苦的欢愉呢。
D卡追求的方针,理当现实点,不必追求“完全的仿真”。我认为,D卡仿真的方针可以定在:
1、在收视的起头和收视的过程中,D卡的功能都不理当输给正版卡。正版卡的AU如不美观是“无期待的”,那么D卡的AU也理当是“无期待的”;正版卡插入领受机后,能在几十秒完成AU,D卡也决不能比正版卡的时刻长。
2、在新的反制到来时,理当区别两种制形态,分袂定出方针:如不美观该反制采用的模式(如挪用的MAP功能,使用的轨范体例类型等)是页堪呈现过的,或采用页堪呈现过的同化的模式,那么D卡理当能尽量自动对于,不被打垮;如不美观新的反制采用了新的模式(如使用到未知MAP功能,或采用了完全新奇的轨范思绪),那么,理当尽快找到MAP仿真的体例,写响应轨范,将其插手“功能仿真轨范库”中,一方面解决当前反制制造的无神通视和AU的问题,另一方面,堆集了新的匹敌轨范,提高了未来的免疫力。MAP的功能是有限的,珍贵的,每次使用新的MAP功能,就意味着未来保留的反制手段少了一个。我想这个事理会使得反制的制造者爱护保重反制法子。
“杂谈”到了本集,已经全数写完了。在所有的二十三集中,我不仅介绍了良多有关于正版卡、D卡、MAP仿真的常识,给出了MAP的已知功能,介绍了一些计较机的反汇编常识,列举了不少轨范示例和一些工具软件的使用体例。我但愿“兄弟爬山,各自全力”,获得我的轨范的伴侣将轨范保留,自己研究和使用,不要放到网站上扩散、泛滥。研究是有益和有趣的,但D卡轨范泛滥却不是我想见到的。
我但愿经由过程本系列“杂谈”,除了给巨匠介绍一些卫星电视前提领受系统攻防方面的理论与手艺常识之外,还能鼓舞激励伴侣全力进修,积极进取,丰硕糊口,充实人生。 | 
