91精品国产麻豆国产自产在线_大香蕉琪琪色免费在线视频_性高朝久久久久久久久久_97久久精品亚洲中文字幕无码_精品久久久久久综合日本_精品久久久噜噜噜久久久_欧美国产日韩精品_亚洲欧洲日产国码av系列天堂_樱桃成人免费在线视频高清无码_91中文字幕午夜看片福利

一、破解思路
有線電視加密的原理是這樣的：電視臺(tái)把接改來(lái)的電視信號(hào)先輸入數(shù)字加密設(shè)備，把電視信號(hào)通過(guò)算法加密后向外輸出終端的解密設(shè)備（機(jī)頂盒子）解密后輸出普通的射頻信號(hào)，再送到我們的終端接收設(shè)備，由電視放出畫(huà)面。因電視只能是接收普通的射頻信號(hào)（模擬信號(hào)），所以只能解密后再輸入電視，由電視放出畫(huà)面。有線電視加密法有多種，這里的是使用“加擾法”。在加密到解密這段線路，要想非法接入偷接電視信號(hào)，成功的可能性幾乎是 10000000分之一。但經(jīng)解密器（機(jī)頂盒）解密后的信號(hào)任何可以常接收電視信號(hào)的電視機(jī)都能播放（即通用性，也可說(shuō)是共用性），這就是破解的切入點(diǎn)（破解軟件也需要切入點(diǎn)）。既然這樣，但為什么一個(gè)機(jī)頂盒只能接一臺(tái)電視機(jī)用呢？我也試驗(yàn)過(guò)，當(dāng)通簡(jiǎn)單的方法接上兩臺(tái)電視機(jī)的時(shí)候，什么畫(huà)面也沒(méi)有了（因機(jī)頂盒有智能的識(shí)別功能）。問(wèn)題就在這里，也是我要教會(huì)大家的精要所在。
至于如何利用這個(gè)“切入點(diǎn)”進(jìn)行我們的“小人”行為呢？我們通過(guò)什么手段來(lái)欺騙機(jī)頂盒，讓他以為是一臺(tái)電視機(jī)呢？（就如破解軟件的時(shí)候，我們有時(shí)也要采用欺騙的方法來(lái)進(jìn)行破解）。我將會(huì)在下一點(diǎn)“破解原理”中向大家說(shuō)明。
二、破解原理：
裝在我們家里的那個(gè)盒子的工作原理：經(jīng)加密的信號(hào)經(jīng)輸入端子輸入，由其內(nèi)部有關(guān)電路解除干擾信號(hào)（加擾法加密），再經(jīng)輸出端子輸出正常的信號(hào)。其解密電路是否工作要有一個(gè)外部條件，就是電視的高頻頭反饋回來(lái)的信號(hào)。如果沒(méi)有這個(gè)信號(hào)反饋回機(jī)頂盒，則其解擾電路不工作，照樣輸出未解密的信號(hào)，因而不能正常收看。其解密的頻段分做若干段解密，如電視正在接收3頻道，則電視的高頻頭就反饋3頻道的諧振頻率給機(jī)盒，機(jī)頂盒就能輸出1——5頻道的正常信號(hào)，如此類(lèi)推 
1、把機(jī)頂盒放在其中一臺(tái)電視機(jī)（下稱電視1）高頻頭附近，讓其可以正常收看，再用分支器從輸出端分支出信號(hào)到另外的電視機(jī)。這樣的做法的一個(gè)缺點(diǎn)：就是另外的電視機(jī)只能接收電視1接收的頻道附近的5個(gè)頻道。 

2、用非與門(mén)電路或555電路制作一個(gè)開(kāi)放式多諧振動(dòng)器，其諧振頻率只要能履蓋有線電視的整個(gè)頻段即可。（制作成本約6元左右）把這個(gè)諧振動(dòng)器放在機(jī)頂盒的旁邊。讓機(jī)頂盒能接收到振動(dòng)器發(fā)出的信號(hào)，再用分支器從機(jī)頂盒的輸出端分支出多臺(tái)電視機(jī)，這樣，所有電視機(jī)就能接收所有頻道的信號(hào)了。 

3、用高頻三極管如9018做一個(gè)高頻發(fā)射電路，利用射頻輸出再次發(fā)射，只要小小發(fā)射功率，讓機(jī)頂盒能接收得到即可?；蛴猛S視頻線分支接入輸入或輸出端，的除去外層屏蔽線，只留中間的線長(zhǎng)約1米，把這線繞在機(jī)頂盒。讓泄漏出來(lái)的信號(hào)感應(yīng)給機(jī)頂盒接收。
三、破解方法

第一章：CA智能卡的破解與反制 

第二章：流行CA系統(tǒng)的漏洞分析實(shí)踐 

第三章：流行CA應(yīng)用算法的破解分析設(shè)想 

破解討論綜述 

CA安全保障的三層關(guān)鍵：傳輸流的加擾，控制字的加密，加密體制的保護(hù)。 

這三種技術(shù)是CA系統(tǒng)重要的組成部分，在處理技術(shù)上有相似之處，但在CA系統(tǒng)標(biāo)準(zhǔn)中是獨(dú)立性很強(qiáng)的三個(gè)部分。加解擾技術(shù)被用來(lái)在發(fā)送端CA系統(tǒng)的控制下改變或控制被傳送的服務(wù)（節(jié)目）的某些特征，使未被授權(quán)的用戶無(wú)法獲取該服務(wù)提供的利益；而加密技術(shù)被用來(lái)在發(fā)送端提供一個(gè)加密信息，使被授權(quán)的用戶端解擾器能以此來(lái)對(duì)數(shù)據(jù)解 
密;而保密機(jī)制則用于控制該信息，并以加密形式配置在傳輸流信息中以防止非授權(quán)用戶直接利用該信息進(jìn)行解擾，不同的CA系統(tǒng)管理和傳送該信息的機(jī)制有很大不同。在目前各標(biāo)準(zhǔn)組織提出的條件接收標(biāo)準(zhǔn)中，加擾部分往往離求統(tǒng)一，而在加密部分和保密機(jī)制則一般不作具體規(guī)定，是由各廠商定義的部分。 

1、對(duì)傳輸流的加擾，DVB已有標(biāo)準(zhǔn)。目前在國(guó)際上占主流的有歐洲的DVB標(biāo)準(zhǔn)、北美國(guó)家的ATSC標(biāo)準(zhǔn)及日本的ISDB標(biāo)準(zhǔn)三種標(biāo)準(zhǔn)中，對(duì)于CA部分都作了簡(jiǎn)單的規(guī)定，并提出了三種不同的加擾方式。歐洲D(zhuǎn)VB組織提出了一種稱之為通用加擾算法（Common Scrambling Algorithm）的加擾方式，由DVB組織的四家成員公司授權(quán)，ATSC組織使用了通用的三迭DES算法，而日本使用了松下公司提出的一種加擾算法。通用加擾算法是DVB標(biāo)準(zhǔn)組織推薦的對(duì)于TS流的標(biāo)準(zhǔn)加擾算法。目前，在歐洲的數(shù)字廣播節(jié)目中普遍采用了這個(gè)算法。我國(guó)目前商業(yè)化的CA中，TS節(jié)目的加擾也基本上是采用的這個(gè)算法。如果從破解的角度，攻破這個(gè)算法的意義要遠(yuǎn)遠(yuǎn)大于破解智能卡和攻破CA系統(tǒng)本身。 

2、對(duì)控制字的加密算法一般采用RSA以及3DES算法，各家CA廠商各不相同。值得一提的是DVB里有一個(gè)規(guī)定，提到的同密技術(shù)要求每個(gè)CA系統(tǒng)可以使用不同的加密系統(tǒng)加密各自的相關(guān)信息，但對(duì)節(jié)目?jī)?nèi)容的加擾必須采用同一個(gè)加擾算法和加擾控制字，可以方便多級(jí)運(yùn)營(yíng)商的管理，為多級(jí)運(yùn)營(yíng)商選擇條件接收系統(tǒng)提供了靈活性。這就為黑客攻破智能卡創(chuàng)造了條件。 

3、對(duì)加密體制，不同廠家的系統(tǒng)差別很大，其技術(shù)大體有兩種: 一種是以愛(ài)迪德系統(tǒng)為代表的密碼循環(huán)體制，另一種是以NDS系統(tǒng)為代表的利用專(zhuān)有算法來(lái)進(jìn)行保護(hù)，由于牽涉到系統(tǒng)安全性，廠家一般不會(huì)公開(kāi)。因此從破解角度，對(duì)系統(tǒng)的破解是難度也是比較大的。
第一章：CA智能卡的破解與反制 

第一節(jié) 
對(duì)于CA智能卡的破解分為兩種， 

1、從硬件破解的角度，完全地仿照正版卡來(lái)定制IC卡； 

2、 從軟件破解的方向，將正版卡的程序讀出，最后將程序?qū)懭隝C卡中，就變成與正卡無(wú)差別的D卡了。 
仿制正版卡，可以將IC卡的觸點(diǎn)剝離下來(lái)，再將保護(hù)的塑料蝕掉，暴露出元件和內(nèi)部電路連接，就可以繪制成電原理圖，最后交給能訂制生產(chǎn)的IC卡的廠家生產(chǎn)。這些仿制還有一個(gè)冠冕堂皇的名稱叫“反向工程”。國(guó)內(nèi)在深圳和廈門(mén)等地都有能生產(chǎn)定制IC卡的廠家，在利益的驅(qū)使下，他們往往不會(huì)過(guò)問(wèn)敏感問(wèn)題。IC卡中的元件如果是通用元件，通?？梢酝ㄟ^(guò)IC卡的功能原理的分析來(lái)確定，雖然困難，但總是可以最終確定。例如深圳目前直接使用流在市面上的ROM10與ROM11卡來(lái)制成D卡，ROM10與ROM11實(shí)際上是XX系統(tǒng)正版卡的“基礎(chǔ)卡”，這些卡具有與正版卡相同的硬件基礎(chǔ)，至于怎么流落到社會(huì)上的不得而知，但有一個(gè)事實(shí)就是大家應(yīng)該都收到過(guò)安裝衛(wèi)星電視的短信，這是個(gè)可以想象的到的異常龐大的地下產(chǎn)業(yè)！ 
繼續(xù)：IC卡中的元件如果是專(zhuān)用元件，確定元件的事情就變得極其困難和十分渺茫了。那么這個(gè)時(shí)候硬件仿制的路走不通了，那么看看軟件仿真的路能不能走得通。再看軟件仿真的路能不能走得通前，首先闡明軟件仿真的路能不能走得通有不同的判斷標(biāo)準(zhǔn)。如果僅以在一段時(shí)段中，軟件仿真的D卡與正版卡都具有相同的條件收視功能來(lái)判斷，那么無(wú)疑，從D卡的實(shí)踐來(lái)看，軟件仿真已經(jīng)成功了。 但如果以任何時(shí)段中，軟件仿真的D卡與正版卡都具有相同的功能，特別是對(duì)抗反制的功能來(lái)判斷，那么我要說(shuō)，同樣無(wú)疑，軟件仿真是不可能成功的。 
因此我們僅承認(rèn)這種事實(shí)就夠了：自動(dòng)對(duì)抗新的反制，使D卡與正版卡一樣免除后顧之憂，肯定是D卡研究的終極目標(biāo)。但是即便達(dá)不到這個(gè)目標(biāo)，只要能保證一段時(shí)間的仿真成功，CA破解的商業(yè)價(jià)值就依然存在！補(bǔ)充說(shuō)明反制：由于D卡的成功，尤其是帶AU（自動(dòng)換Key0/Key1）的D卡程序的廣泛擴(kuò)散，正版服務(wù)商感到了巨大的壓力，逐步開(kāi)始采用種種反制手段，讓D版的AU卡實(shí)效。 

我們先研究一下這個(gè)反制是個(gè)什么東東：學(xué)習(xí)和搞嵌入式控制器開(kāi)發(fā)的人都用過(guò)仿真器，如“偉?！毕盗械腗CS-51的仿真器等。大家一定知道硬件仿真與軟件仿真存在一個(gè)本質(zhì)區(qū)別，即I/O功能的不同。一條取端口引腳值的指令就足以區(qū)分是硬件仿真還是軟件仿真了。硬件仿真可以真實(shí)地取到引腳上的實(shí)際輸入，而軟件仿真得到的只能是不會(huì)變化的內(nèi)存仿真值。利用這個(gè)原理實(shí)現(xiàn)的反制程序分為兩部分，前面的部分通過(guò)I/O端口的訪問(wèn)，區(qū)別出是真的硬件存在，還是軟件仿真；后半部分對(duì)非法的仿真卡簡(jiǎn)單地返回主程序，不能解開(kāi)Key0/Key1；對(duì)正版卡，則修改Key0/Key1，使之正確，然后返回主程序并保存key，保存的Key0/Key1用于ECM的解碼。從歷次搜集的反制EMM中的方法中，可以將反制歸納為兩種，一種是從硬件或軟件上區(qū)別D卡與正版卡，從而產(chǎn)生條件分支指令，使D卡仿真的程序失效；另一種是調(diào)用D卡中不可能有的，只有正版卡硬件才具備的MAP子程序，使D卡無(wú)法執(zhí)行正確的程序。 

先介紹前一種方法： 
使用硬件端口區(qū)別正版卡與仿真卡的反制方法，由于具有特殊性能的端口數(shù)的限制，因此不可能有多種變化 

，一旦Hacker知道了反制的EMM結(jié)構(gòu)與原理，很容易就可以避開(kāi)端口判斷的指令，直接轉(zhuǎn)到修改Key0/Key1部分。這 

雖然并不是程序指令的直接仿真，只能算是功能仿真，卻可以使已知反制失效。 

另外你也許會(huì)提出一些其他辦法，如目前的一些Nagra系統(tǒng)在下行的EMM命令中加入了甄別真?zhèn)魏汀皻⒖ā敝?span> 

令，對(duì)于“正改卡”，毫不留情地清除卡中程序并且讓它成為廢卡。 
我可以說(shuō)，為了對(duì)抗“殺卡”，這類(lèi)“正改卡”的程序如果采用Block技術(shù)，可以抵抗多數(shù)殺卡指令，同樣 

能夠使這類(lèi)“正改卡”得以安全使用。 

先寫(xiě)到這，后面介紹根據(jù)正版卡特有的機(jī)器指令代碼，讓正版卡能進(jìn)行解碼、而沒(méi)有正版卡程序的仿真卡 

無(wú)法正確解碼、從而獲得KEY的EMM思路。
第二節(jié)： 

以下介紹根據(jù)正版卡特有的機(jī)器指令代碼，讓正版卡能進(jìn)行解碼，而沒(méi)有正版卡程序的仿真卡無(wú)法正確解碼，從而獲得KEY的EMM思路。 
按照道理，D卡使用的是AVR或其他類(lèi)型的CPU，“正改卡”中的程序與正版卡也不相同，照理這些卡中都沒(méi)有正版ROM10/ROM11卡的程序。因此，用只有正版卡才有的特定機(jī)器指令代碼作為密鑰來(lái)解密key0與key1，自然是十分聰明的反制措施。 
該反制的EMM以前146Dream TV可能曾使用過(guò)。目前XG有線又重新啟用，大致在一個(gè)周期的8天中，有兩天使用本類(lèi)EMM，另外6天使用另一個(gè)“超級(jí)MAP”程序。 

這種反制的具體思路是： 
下行的EMM中攜帶的Key與Key1是經(jīng)過(guò)加密編碼的，不能直接使用。解開(kāi)它們需要的密鑰“種子”（即產(chǎn)生密鑰的原始數(shù)據(jù)）的地址由下行的EMM給出。注意！EMM中并沒(méi)有給出密鑰“種子”，而是給出了它們?cè)谡鍾OM10/ROM11卡程序存儲(chǔ)區(qū)中的地址，這個(gè)地址是隨機(jī)數(shù)，不同的key0/key1，地址就不同。它的值總是大于S4000，防止取到ROM10卡低端的無(wú)法讀出的無(wú)意義內(nèi)容。反制設(shè)計(jì)者設(shè)想，D卡或“正改卡”無(wú)法獲得正版卡的內(nèi)部程序，因此，即使給出了地址，D卡也無(wú)法取得正確的機(jī)器碼作為密鑰的“種子”，自然也就無(wú)法生成密鑰，解開(kāi)key0/key1了。 
對(duì)于正版卡，按照給出的地址，取到16字節(jié)的機(jī)器指令代碼，經(jīng)過(guò)類(lèi)似計(jì)算Hash效驗(yàn)的方法，產(chǎn)生正確的密鑰，再對(duì)key0/key1進(jìn)行DES編碼運(yùn)算，就解出正確的key0/key1了。 

上面介紹的“利用正版卡程序隨機(jī)地址處的機(jī)器碼作為Key的解碼密鑰”的EMM反制方法非常厲害，曾難倒了一大批的高手。 
對(duì)比一下昨天前一篇帖子中給出的EMM與上面介紹的EMM，就會(huì)發(fā)現(xiàn)，前一篇帖子中給出的EMM是一種簡(jiǎn)單的反制，只要知道了正確的Key0/Key1，再經(jīng)過(guò)認(rèn)真分析和思考，就會(huì)明白其反制原來(lái)并找出解出Key的方法，目前DreamTV的反制都屬于這類(lèi)簡(jiǎn)單反制；但上面今天介紹的EMM是一種高級(jí)和復(fù)雜的反制，即使知道了正確的Key0/Key1，也難以得知其反制的原理與找出解key的方法，目前XG有線和國(guó)外一些CA系統(tǒng)采用的是這類(lèi)反制。由于XX的反制匯聚在低級(jí)和高級(jí)的兩類(lèi)難度上，所以黑客們懷疑這是兩類(lèi)不同水平的技術(shù)人員的作品。低級(jí)難度的反制是衛(wèi)視服務(wù)系統(tǒng)內(nèi)部技術(shù)人員的手筆，而高級(jí)的反制則直接出自CA系統(tǒng)研制人員的杰作。 

兩種級(jí)別的反制也將國(guó)內(nèi)修改、編寫(xiě)D卡程序的高手分成了兩類(lèi)：有一些寫(xiě)一點(diǎn)程序應(yīng)付低級(jí)反制的，往往采用“頭痛醫(yī)頭、腳痛醫(yī)腳”的補(bǔ)丁程序，可以對(duì)付目前146-Dream TV的反制；只有少數(shù)高手中的高手具有整體編寫(xiě)程序以及仿真MAP功能的能力，能采用更合理的對(duì)抗策略，能研制出復(fù)雜程序和新類(lèi)型的D卡，最終可以對(duì)付高級(jí)難度的反制。對(duì)付低級(jí)反制寫(xiě)出對(duì)抗程序的時(shí)間大約是數(shù)小時(shí)到幾天，而對(duì)付高級(jí)反制找到方法并寫(xiě)出程序的時(shí)間往往需要數(shù)個(gè)月之久，而且還需要國(guó)內(nèi)外Hacker 們的協(xié)同配合。國(guó)內(nèi)高手中的高手人數(shù)很少，都是單兵作戰(zhàn)和埋頭苦干的，與其他高手之間一般互不交流。 

本節(jié)介紹的“利用正版卡程序隨機(jī)地址處的機(jī)器碼作為Key的解碼密鑰”的EMM反制方法十分成功，但它采用程序的機(jī)器碼作為解開(kāi)Key的密鑰，可能會(huì)出現(xiàn)以下幾個(gè)問(wèn)題： 
1. 如果電視系統(tǒng)歷史悠久，在用的卡可能有幾種，那么可能產(chǎn)生內(nèi)部機(jī)器指令碼不盡相同的問(wèn)題； 
2. 如果電視系統(tǒng)想要更新程序，也可能存在部分尚未更新程序的正版卡，同樣會(huì)產(chǎn)生內(nèi)部機(jī)器指令碼不相同的問(wèn)題。這個(gè)問(wèn)題還可能阻止正版卡通過(guò)下行信號(hào)進(jìn)行的升級(jí)：我們?cè)O(shè)想一下，正版卡用戶中，有的人天天看衛(wèi)視節(jié)目，他們的卡順利升了級(jí)，而一部分人外出，卡很久都沒(méi)有使用了，剛回來(lái)想看衛(wèi)視，結(jié)果因?yàn)榭ǖ某绦虿粚?duì)，無(wú)法收看，肯定對(duì)衛(wèi)視服務(wù)商大發(fā)雷霆。在用戶是上帝的外國(guó)，電視服務(wù)商對(duì)可能引起用戶的怒氣一定很忌諱的。 
3. 對(duì)該反制最致命打擊是，可以設(shè)法讀出正版卡作為密鑰的那一部分程序機(jī)器碼，通過(guò)在D卡的硬件上安排外部EEPROM，存儲(chǔ)量有64KB、128KB、256KB等，將正版卡作為密鑰的程序機(jī)器碼全部保存起來(lái)，解開(kāi)KEY時(shí)，照樣可以從外部EEPROM中取到與正版卡一樣的解Key的密鑰，來(lái)對(duì)抗反制，使該方法失效，這是該類(lèi)反制的終結(jié)者。 
經(jīng)過(guò)了利用軟件仿真在I/O功能上的區(qū)別進(jìn)行的反制和利用正版卡指令代碼作為密鑰進(jìn)行的反制之后，目前幾個(gè)在運(yùn)行的CA系統(tǒng)（146的Dream TV與其他衛(wèi)視，XG以及國(guó)內(nèi)一些地方的本地有線數(shù)字電視等）紛紛進(jìn)入了使用MAP功能來(lái)進(jìn)行反制的階段。 
使用正版卡中的MAP編碼/解碼協(xié)處理器進(jìn)行反制，是正版卡在設(shè)計(jì)階段就預(yù)留的終極反制殺手?？梢钥吹剑婵ㄔO(shè)計(jì)者防范于未然，預(yù)估到終有一天，第一道門(mén)（ECM與EMM的解碼）將被攻破，預(yù)先留好了第二道門(mén)做最后的防守。未雨綢繆，是我們不得不佩服這些設(shè)計(jì)者的智慧與遠(yuǎn)見(jiàn)。 
第三節(jié) 

在深入討論MAP功能及其仿真實(shí)現(xiàn)之前，為了后續(xù)文章讀起來(lái)不算費(fèi)勁，需要先說(shuō)明兩個(gè)方面的知識(shí)：一是什么是收視卡防守的第一道門(mén)與第二道門(mén)？ 二是EMM指令與Logging等知識(shí)。 
今天讓我們先說(shuō)說(shuō)什么是收視卡防守的第一道門(mén)與第二道門(mén)？ 
收視卡是防止非法收視的守門(mén)員，在卡中設(shè)計(jì)了多種加密方法，最主要的有解決收視功能的ECM和自動(dòng)換key的EMM的解密，它們的解碼是第一道門(mén)。ECM與EMM的編碼與解碼使用的雖是不同的方法，但都是固定不變的標(biāo)準(zhǔn)方法。不同的條件接收系統(tǒng)僅僅是編碼/解碼采用的數(shù)據(jù)有不同而已。舉個(gè)例子，有的卡可以解開(kāi)多個(gè)同一類(lèi)型CA系統(tǒng)，該類(lèi)卡是按照下行的ECM或EMM的系統(tǒng)標(biāo)識(shí)（如146 Dream TV為4E和4F，XG有線為94和95等）選擇不同的數(shù)據(jù)，而運(yùn)行的程序基本相同的。 
仍然以XX為例，ECM的編/解碼采用DES與EDES算法，其原理早已公之于世。編/解碼所用的S_Boxes數(shù)據(jù)也已經(jīng)公開(kāi)， 

并且在不同的系統(tǒng)中固定不變。與標(biāo)準(zhǔn)的DES相比，XX系統(tǒng)的DES只是多了對(duì)字節(jié)進(jìn)行了反序排列而已。ECM使用的VerifyKey等數(shù)據(jù)，通過(guò)后門(mén)密碼進(jìn)入正版卡保留的數(shù)據(jù)空間，可以讀出這些關(guān)鍵的信息，加上BoxKey等信息，只要能獲得當(dāng)前的Key0/Key1，就可以配合IRD解開(kāi)解密收視用的控制字（Control Word），可以正常收看衛(wèi)視節(jié)目。 
ECM的解碼可以解決收視的問(wèn)題，但還需要手動(dòng)輸入Key0/Key1。如果要象正版卡一樣自動(dòng)換Key即所謂的AU，就需要能解開(kāi)EMM，并能正確地找到并保存Key0/Key1。與ECM的解碼相比，EMM的解碼要復(fù)雜的多！經(jīng)過(guò)Hacker的努力，EMM的RSA編碼原理已經(jīng)完全弄明白，所需要的PK，VK等數(shù)據(jù)也可以通過(guò)Hacker的軟件和ROM10/ROM11卡的后門(mén)讀出，再算出N1，P，Q，EP，EQ，IQModP，IPModQ，PPrimA，QPrimA等方便編程的數(shù)據(jù)，就可以順利解出EMM。 
收視卡的第二道門(mén)是對(duì)EMM 中Key解密的防守。它的方法沒(méi)有固定的套路，可以任意變化。如XX系統(tǒng)的設(shè)計(jì)者安排了可以通過(guò)EMM中攜帶程序的執(zhí)行，以及正版卡通過(guò)下行信號(hào)更新的EEPROM中補(bǔ)丁程序的運(yùn)行來(lái)解碼。正版卡設(shè)計(jì)者可能料到攻破第一道門(mén)是遲早的事，于是第二道門(mén)上的防守就成了最后的防線。前面章節(jié)介紹的幾種對(duì)EMM中的Key0/Key1進(jìn)行再加密，就是在第二道門(mén)上的防守。它的思路是：當(dāng)EMM解開(kāi)后，如果其中的Key0，Key1是經(jīng)過(guò)加密的，D卡仍然無(wú)法得到正確的Key。 

國(guó)內(nèi)早期的D卡程序是移植國(guó)外Hacker 的，針對(duì)想收視的系統(tǒng)，修改了相應(yīng)的數(shù)據(jù)就可以實(shí)現(xiàn)本地化，由于要得到正確的Key需要的解碼方法沒(méi)有固定的套路，Hacker不可能事先料到，總是要反制后分析它的原理，再更新部分D卡程序，進(jìn)行對(duì)抗和補(bǔ)救。一般人沒(méi)有自己編寫(xiě)D卡程序的能力，即使有寫(xiě)卡器掌握了寫(xiě)卡方法，但程序又難以得到， 

這些麻煩會(huì)迫使許多人放棄D卡，轉(zhuǎn)而加入正版卡繳費(fèi)收視的行列。 
不過(guò)正版卡雖好，但其高額的收視費(fèi)還是讓國(guó)內(nèi)廣大愛(ài)好者望之卻步，大家的希望還是寄托在D卡程序的完善上，希望終有一天，D卡能與正版卡一樣不受反制。 
第四節(jié)

EMM指令與Logging知識(shí)EMM是“授權(quán)控制命令”，簡(jiǎn)單說(shuō)就是“更改收視卡中信息的命令”?，F(xiàn)有系統(tǒng)如XX系統(tǒng)中的EMM命令很多，EMM指令中的FA（針對(duì)ROM10卡）和FB（針對(duì)ROM11卡）是所有EMM指令中功能最為強(qiáng)大的指令。在該指令中攜帶了6805指令寫(xiě)的小段程序。CAM（收視卡）將EMM解碼后，將該EMM攜帶的機(jī)器指令碼存入正版卡從S81開(kāi)始的固定地址。以子程序調(diào)用的方式，轉(zhuǎn)到該地址，執(zhí)行這段程序。這段程序的結(jié)束可以只是一個(gè)簡(jiǎn)單的子程序返回指令，也可以用轉(zhuǎn)移指令轉(zhuǎn)到保存Key的子程序去。前者一般不保存Key，后者才保存Key。 
還以XX系統(tǒng)為例，其EMM長(zhǎng)度最大為64字節(jié)，既要包含Key0/Key1和一些標(biāo)識(shí)與過(guò)濾指令，又要包含一小段程序。受到大小的限制，程序的長(zhǎng)度不能超過(guò)37個(gè)字節(jié)。對(duì)于復(fù)雜的解碼反制，程序很長(zhǎng)時(shí)，一般通過(guò)下行的信息將大部分的程序?qū)懙秸婵ǖ腅EPROM中，由EMM中的小段程序來(lái)調(diào)用，正如XG有線當(dāng)前的反制所采用的方法。對(duì)于二次加密了的Key0/Key1，只有正確執(zhí)行該段程序后，才可以還原Key0/Key1。 

防止D卡正確執(zhí)行該部分程序是不難做到的，實(shí)際上，由于D卡采用的CPU不是6805家族的，D卡也不直接執(zhí)行該段程序，但防止D卡研制者人工判讀該段程序卻是極端困難的。 

如果D卡研制者采用人工判讀的方法，讀懂了新的EMM的反制原理，找到對(duì)抗反制的方法，那么就可以在反制后的不長(zhǎng)時(shí)間內(nèi)研制出升級(jí)改進(jìn)的對(duì)抗程序。這些程序通常會(huì)放到專(zhuān)業(yè)的黑客網(wǎng)站上開(kāi)放給眾多黑客會(huì)員下載，具體地址本文就不討論了，只是要說(shuō)明這些網(wǎng)站確實(shí)存在，而且很活躍，這也是對(duì)DVBCN論壇上CA廠家的那些穿著皇帝新裝的手最大的一個(gè)諷刺，說(shuō)什么“ca是很安全的”之類(lèi)的自欺欺人的瞎話，有空的話還是花點(diǎn)精力去琢磨琢磨仿制和復(fù)制的區(qū)別，看看自己的水平到了什么地步，能不能入流。 

判讀EMM內(nèi)容與反匯編其中的6805程序的步驟如下： 

1、 通過(guò)某種手段，將EMM紀(jì)錄下來(lái)。這個(gè)步驟也稱為L(zhǎng)ogging，Logging通?？梢酝ㄟ^(guò)1020卡或通過(guò)Season卡等來(lái)進(jìn)行卡等來(lái)進(jìn)行。有的高級(jí)黑客用的Logging是用含有自己寫(xiě)的特殊程序的卡，在新的含Key的EMM到來(lái)時(shí)寫(xiě)入EEPROM，再用寫(xiě)卡器讀出即可；（一般圈內(nèi)沒(méi)有1020卡，都是用自己寫(xiě)的卡程序log。） 

2、 將Logging的文件交給XX程序。該軟件是學(xué)習(xí)和分析EMM、ECM以及XX系統(tǒng)其他信息的優(yōu)秀軟件，其中含有不少有用的工具，對(duì)此有興趣的屌絲應(yīng)當(dāng)熟悉它的使用； 

3、 如果你的XX程序目錄中含有正確的ROM10/ROM11的BIN，Keys.INI，Labels.INI，以及Routimes.INI等文件，那么XX程序中的EMM XX功能會(huì)將該EMM解開(kāi)，反匯編并加注釋成為易讀的源程序； 

4、 閱讀EMM程序與包含的數(shù)據(jù)，對(duì)比已知的正確的Key0/Key1，分析之后就可能知道反制的原理，但也可能分析之后仍然找不出頭緒。 


如果分析明白了，就可以著手編程。對(duì)于1020卡，程序按照6805匯編語(yǔ)言編寫(xiě)，匯編后加入ROM10/ROM11.BIN文件，放到Fennir的XX目錄下；對(duì)于Fun卡，按照AVR匯編語(yǔ)言編程，替換或修改原來(lái)卡的部分程序，匯編成*.hex就可以使用了。對(duì)于從事嵌入式控制器工作，或是信息類(lèi)專(zhuān)業(yè)的人，編這些程序應(yīng)當(dāng)不是什么難事，但要編得好，卻也不容易。對(duì)計(jì)算機(jī)匯編語(yǔ)言不熟悉的人，要自編程序，當(dāng)然要先學(xué)習(xí)和實(shí)踐，能否成功，全看各人努力和造化了。