nepente
22-10-2006, 21:41
Esto es lo que he sacado de los foros italianos,solo pongo los faq porque los scrit (escritos) no se como poerlos.
algunos programas funcionan,por ejemplo con StudioNDS puedo cambiar los parametros de la tarjeta, pero luego no se como meterlos de nuevo en esta.El winexplore5 lo lee todo pero no he sido capaz de cambiar nada aunque ejecute cualquier escrito, mucho menos puedo grabar la tajeta con este programa.
el programa cardndsver9_1_.2 no funciona porque la tarjeta del ABQ que tenemos es una NDS-1 y el programa en cuestion es para NDS-2, aunque creo que este programa tiene grandes posibilidades
si alguien tiene algun programa que pueda grabar y cambiar la informacion que me lo pase.
al final intentare poner un escrito que aseguro que funciona pero al copiarlo aqui no se como quedara
DESCRIZIONE DETTAGLIATA DEL PROCESSO DI DECODIFICA NDS
Il sistema NDS Direct TV si basa su dei pacchetti di dati inviati ai rispettivi decoder insieme ai dati video. Alcuni di questi dati vengono selezionati dal ricevitore/decoder prima di passarli alla smart card in modo da formare una unita’ autorizzata individualmente. In pratica solo certi dati tra milioni i transitano potranno essere passati alla tua smart card.
In questo modo alla tua smart card non arriveranno tutti quei dati inutili rivolti ad altre smart card/decoder. Parecchi pacchetti di dati passeranno comunque verso la smart card. Ce ne sono a dozzine e tra questi alcuni sono di importanza vitale!
Il primo pacchetto vitale è il 4840, che è quanto si ottiene immediatamente dopo che si sintonizza un nuovo canale (ed anche ad intervalli regolari). Un esempio potrebbe essere come questo:
48 40 00 00 XX 40 09 10 10 00 01 4a 12 34 02 41 03 33 42 00 0c aa bb cc dd ee
spezziamolo in parti:
1) 48 40 00 00 XX I due byte 48 40 descrivono il tipo di pacchetto e XX indica il numero di byte che seguono;
2) 40 è una eco della card verso il decoder per indicare che sta funzionando;
3) 09 10 10 00 Qui 09 è il comando che setta la *** che verrà usata successivamente. In questo caso viene indicata la 10 che è una *** generica usata da tutte le smart card. La smart card usa un algoritmo che genera 10 (in decimale?; NdT) byte ogni volta che un nuovo byte viene acquisito. Per questi 10 byte usa il valore precedente ed il nuovo valore memorizzato nel registro A o accumulatore. Una volta emesso il comando 09, quasi ogni byte letto successivamente passa attraverso questo algoritmo producendo un nuovo set di 10 byte. Così l’unico modo per conoscere in anticipo questi 10 byte è subito dopo che un comando 09 viene inviato alla smart card. L’algoritmo è sufficientemente complesso da scoprire, richiederebbe anni di elaborazione anche ai super computer più veloci!!
4) 01 4a 12 34 Il comando 01 carica l’ora e la data, dove 4a rappresenta il mese e 12 34 l’ora digitale (non necessariamente correlata alle 24 ore). Va fatto notare , dopo la precedente descrizione della “10 bytes ***”, che l’acquisizione di questi 4 byte genererà una “10 bytes ***” assolutamente unica e non ripetibile in quanto legata a valori temporali. Quindi ogni intercettazione o tentativo di cambiare date si tradurrà in una emissione di chiave errata.
5) 02 41: Il comando 02 fornisce lo stato di visibilità del programma. Nel caso il byte che segue il “4” significa che per la visione è necessario l’abbonamento, mentre se fosse “8” la visione è gratuita o in preview. La seconda cifra rappresenta il “parental rating” (vietato ai minori; NdT). Comunque va ripetuto che ogni tentativo di intercettare e cambiare la 41 (visione con abbonamento) in 81 (visione gratuita) genererà una “10 byte ***” errata che invaliderà tutti i nostri sforzi.
6) 03 33 42 00: Il comando 03 verifica che il nostro abbonamento consenta la visione del canale sintonizzato, in questo caso il 33 42 (Ch-id; NdT). E’ a questo punto che smart card risponderà in maniera diversa a seconda se abbiamo o non abbiamo l’abilitazione alla visione del canale all’interno della nostra smart card. Anche in questo caso non è possibile intercettare e cambiare l’identificativo di canale per far credere alla card di avere l’abbonamento, senza alterare e quindi invalidare la citata 10 bytes ***. Il comando 03 può essere ripetuto più volte in quanto ogni singolo canale può avere diversi Ch-id ad esso associati ed uno di questi verrà riconosciuto o meno dalla nostra smart card. (Cio è stato fatto per semplificare ed ottimizzare l’offerta degli abbonamenti ai vari pacchetti di programmi). Negli eventi Pay Per View (PPW) il comando 03 viene rimpiazzato da 06, il risultato comunque è lo stesso. (Solo che in questo caso l’abilitazione alla visione del canale è temporanea! NdT).
7) 0c aa bb cc dd ee: 0c è il comando che verifica l’integrità di tutti i bytes ricevuti dopo lo 09 iniziale fino ad ee compreso. I cinque bytes dopo lo 0c (aa bb cc dd ee) vengono confrontati con i primi 5 bytes della “10 bytes ***” generata e memorizzata nell’accumulatore della smart card (come abbiamo visto ad ogni byte acquisito corrisponde una nuova “10 bytes ***”;NdT). Se per qualunque ragione, disturbi e/o tentativi di intercettazione/modifica, questi 5 bytes non coincidono, non verrà attivato il processo di generazione della *** di decodifica. Inoltre non è facile indovinare questi byte in quanto ci sono 256x256x256x256x256 combinazioni (sono tante!). In questo modo termina il pacchetto 4840.
La smart card si rimette in attesa del prossimo pacchetto. Ciò che è stato memorizzato comunque, è un set di 10 bytes e lo stato di visibilità o meno alla visione del canale. Finora il ricevitore/decoder ancora non conosce lo status di visibilità e non mostra nessun segnale video.
Cosi, immediatamente dopo viene l’altro pacchetto di vitale importanza: il 48 54. Questo ha un formato più semplice: 48 54 00 00 00 e nulla di più. La smart card riconosce il 48 54 e fa eco con un 54. Poi fa uso dei dati creati con il precedente pacchetto 48 40 per generare una ulteriore versione della “10 bytes ***” e “frulla” il tutto in maniera HARDWARE (così da rendere la cosa complicata con un emulatore, anche dal punto di vista della velocità; NdT).
Quindi fa un cryptaggio software e manda la così ottenuta “10 bytes ***” e lo status di visibilità al ricevitore/decoder.
Per questo ulteriore “smanazzamento” di *** , appena descritto, è però necessario lo status giusto per quel canale in quel momento, altrimenti verrà inviata la “10 bytes ***” ottenuta dal precedente pacchetto 48 40 che comporta l’accesso negato al canale.
Se comunque tutto è OK la “10 bytes ***” viene inviata al decoder MPEG che ci fornirà finalmente il segnale video. (L’audio non viene codificato ma rimane in “mute” finchè la codifica video non è corretta).
A questo punto abbiamo imparato che:
(1) questi due pacchetti sono fondamentali,
(2) se variamo qualunque byte del pachetto 48 40 tra il commando 09 e la fine del pacchetto, avremo la “10 bytes ***” errata con nessuna decodifica.
Ora possiamo aggiungere altri comandi al pacchetto 4840 oltre ai semplici 01 (l’ora e data), 02 (visibilità del programma), 03 (verifica dei dati di abbonamento), a patto che il risultato finale dei 5 byte di verifica siano corretti e correlati ai comandi inviati alla smart card. Possiamo per esempio includere il comando 60 seguito da una stringa di sottocomanto BF:
60 BF 81 23 01
Questo comando fa si che la “10 bytes ***” venga generata di nuovo per 8 volte, una volta per ogni byte trovato nella EEPROM a partire dalla locazione 81 23 . E’ possibile specificare il numero di blocchi da 8 bytes da verificare (l’esempio mostra 01 per un blocco soltanto) oppure una lista di indirizzi da verificare. L’indirizzo effettivo potrebbe non essere 8123 ma un’altro indirizzo (o lista di indirizzi) nell’area 8xxx che corrisponde ai codici alterati dai “pirati”!
Se indirizziamo un’area della eeprom in cui sappiamo che ci sono dei valori fissi in ogni legittima smart card , allora ogni legittima smart card genererà la stessa “10 bytes ***” valida per il decoding, ma se, come nel caso delle card pirata, anche un solo byte fosse diverso, otterremo delle chiavi sbagliate e quindi nessuna decodifica.
NdT: seguono poi delle considerazioni su fatto che quest’ultimo controllo non viene evidentemente eseguito poichè sono in giro da mesi card pirata (DSS-DirectTV) funzionanti mentre con questo controllo verrebbero messe tutte KO. E’ una scelta del broadcaster? Chissa?
Preciso inoltre che quanto sopra si riferisce al sistema NDS americano e come tale potrebbe differire leggermente dalla versione europea.
este es el siguiente
Studio-nds2 &kkaino group
questo doc e solo a scopo di studio ed non fa miracoli !!
conetti il software vai nella sezione bug 58 ti troverai una finestra con 5
box il primo bug serve per ripristinare la card naturalmente con le ins richieste !!
len 47 38 4c Ripristino Attivazione
LE TRE INS CONSIGLIATE DA USARE SONO LEN 47 38 4C (52 27 21 DA TESTARE)
Es. di INS Len ATTIVAZIONE
LEN 38=Attivazione-->com.90
LEN 45=Attivazione-->com.90
LEN 47=Attivazione-->com.90
LEN 48=Attivazione-->com.90
LEN 49=Attivazione-->com.90
LEN 4A=Attivazione-->com.90
LEN 4C=Attivazione-->com.90
LEN 50=Attivazione-->com.90
LEN 5B=Attivazione-->com.90
LEN 52=Attivazione-->com.90 ********************Cambia il Promotion
Per usare questo tipo di bug dobbiamo sfruttare dalle due alle tre ins, di cui una deve essere l’ATTIVAZIONE e le altre due ins 38 e 4c, in realta’ le ins 38 e 4c ci abiliteranno alla scrittura della attivazione inviata per la seconda o terza volta che sia (l’attivazione darebbe 9080 , quindi status non buono) , invece il nostro fine e’ FARLA ACCETTARE.
La decisione su usare due o tre ins e’ facile da prendere, basta che una delle due (38 o 4c) scriva.
Per capire se la 38 o la 4c abbiano creato degli effetti basta mandare dopo il loro invio (per ciascuna di essa) subito una ins 58.
Allora ora vediamo come effettuare questo ciclo:
prima di tutto invio normale della ins 38 che ci dara’ un bel 9081
D04200003880F790364402E1DAAC6CB7CB7E26AB0B6E9AC05C AA37B8DAF88210DD7CAE71BCF16E8A1B031EC8B0A5D9671081 3E3CFDFCF2D725827C11CD41AB
poi invio della 4c che scrivera sempre con un bel 9081
Questa e’ la procedura con tre ins, a due ins basta eliminare il passo 1 o il passo 2 a scelta, a seconda di qualle delle due ins effettua una scrittura.
Giusto per precisare l’ATTIVAZIONE di una card mandata la prima volta ti scrive, le volte successivamente ti apre solo i FILTRI, ma non scrive nulla.
Quindi riepilogando le ins 38 e 4c con un bel sw 9081 non fanno altro che preparare alla scrittura la nostra card, poi per poter FAR COMBACIARE LA DATA DELLA 58 CON QUELLA TIERS, Iinviamo la ins 58 glitchata che ci mettera’ alla fine della 58 stessa la da ad FFFF, e poi (se non abbiamo tiers), scriviamo i tiers (come vedremo in seguito), oppure se abbiamo tiers cambiamo la data in FFFF.
Il bug 58 serve solo sulle card abbonate e basta, su quelle che hanno lo status 25 non abbonate o quelle con status 24 etc, non servirà a niente.
Anche se si riuscisae a portare il nano DF della 58 ad FFFF nelle card NDS esiste un altro controllo simile a quello del CS del seca , un controllo sul CW quindi un’altro check che comunque non abilita la visione. Ecco perché occorrono le card abbonate
Cambio Data Mirata (da terminare test)
Nel secondo box mettiamo due aggio indifferenti e premi invio da testare bene combinazione per mettere data giusta, cercando di usare due aggio con data non molto lontana, altrimenti potrebbe non fungere
per farlo funzionare sulle abbonate occorrono ins che scrivono nel giusto punto, altrimenti si perde solo tempo
Ricordate che le ins devono avere la 10 byte **** uguale
A questo punto se la card vi a risposto con un 9081 vi troverete la card aggiornata al mese ricorrente !!!
LEN 47 --> cmd 90 --> k*y 44 < attivazione - dati cryptati >
LENi 48 --> cmd 90 --> k*y 44 < ????? - dati cryptati >x logica attivazione
LEN 4A --> cmd 90 --> k*y 44 < attivazione - dati cryptati >
LEN 4C --> cmd 90 --> k*y 44 < attivazione - dati cryptati >
LEN 50 --> cmd 90 --> k*y 44 < attivazione - dati cryptati >
LEN 5B --> cmd 90 --> k*y 44 < attivazione - dati cryptati >
LENi 1C --> cmd 90 --> k*y 44 < aggio tiers - dati cryptati >potrebbe essere anke disattivazione
LEN 1E --> cmd 90 --> k*y 44 < aggio tiers - dati cryptati >
LEN 1F --> cmd 90 --> k*y 44 < aggio tiers - dati cryptati >
LEN 20 --> cmd 90 --> k*y 44 < aggio tiers - dati cryptati >aggio ti3rs e disattivazione canali opti0ns;
LEN 21 --> cmd 90 --> k*y 44 < aggio tiers - dati cryptati >
LEN 22 --> cmd 90 --> k*y 44 < aggio tiers - dati cryptati >
LENi 13 --> cmd 90 --> k*y 44 < disattivazione - dati cryptati >lascia il fuse a 25
LENi 14 --> cmd 90 --> k*y 44 < disattivazione - dati cryptati >lascia il fuse a 25
LEN 15 --> cmd 90 --> k*y 44 < disattivazione - dati cryptati >
LEN 16 --> cmd 90 --> k*y 44 < disattivazione - dati cryptati > azzera 03 20 solamente
LEN 17 --> cmd 90 --> k*y 44 < disattivazione - dati cryptati >
LEN 1A --> cmd 90 --> k*y 44 < disattivazione - dati cryptati >
LENi 24 --> cmd 90 --> k*y 44 < disattivazione - dati cryptati >potrebbe anke essere aggiornamento
LEN 26 --> cmd 90 --> k*y 44 < disattivazione - dati cryptati >
LEN 2A --> cmd 90 --> k*y 44 < disattivazione - dati cryptati >
LEN 3B --> cmd 90 --> k*y 44 < disattivazione - dati cryptati > porta il FB a 24
X la len 49 non c'è niente........x la 1C già si
ATTIVAZIONI:
LEN 38=rinascita-->com.90
LEN 45=rinascita-->com.90
LEN 47=rinascita-->com.90
LEN 48=rinascita-->com.90
LEN 49=rinascita-->com.90
LEN 4A=rinascita-->com.90
LEN 4C=rinascita-->com.90
LEN 50=rinascita-->com.90
LEN 5B=rinascita-->com.90
len 6b rinascita
AGGIORNAMENTI:
LEN 1C= Riscrive i ti*rs (ma potrebbe essere anche una dis*********....)
LEN 20= Aggiorna ti*rs al mese successivo
LEN 21= Aggiorna i ti*rs di 20 giorni in avanti
LEN 1E= Aggiorna i ti*rs
LEN 1F= Aggiorna i ti*rs
LEN 22= Riscrive i ti*rs
-------------------------------------
DISATTIVAZIONI:
LEN 13=pialla i ti*rs
LEN 14=pialla i ti*rs
LEN 15=pialla i ti*rs
LEN 16=pialla i ti*rs
LEN 17=pialla i ti*rs portando il fuse a 24/04
LEN 18=pialla i ti*rs
LEN 1A=pialla i ti*rs portando il fuse a 24/04
LEN 24=pialla i ti*rs portando il fuse a 24/04
LEN 26=pialla i ti*rs
LEN 27 porta il f.b. a 24.........
LEN 28=pialla i ti*rs portando il fuse a 24/04
LEN 2A=pialla i ti*rs e ti porta il fuse a 24/04
len 34 pialla i tiars porta uil fuse a 24
D14200005590534402... --> len 55 rinascita
D14200005890564402... --> len 58 rinascita
D142000020901E4402... --> len 20 aggiorna ti*rs al mese successivo
D14200001B90194402... --> len 1B aggiorna ti*rs ??
D14200001A90184402... --> len 1A aggiorna ti*rs (si è visto che aggiorna i ti*rs dopo aver ricevuto la cancella ti*er len 15)
D14200003B90394402... --> len 3B chi può dirlo? fai attenzione
D142000021901F4402... --> len 21 Aggiorna i ti*rs di 20 giorni in avanti
D14200004790454402... --> len 47 rinascita
queste ins sono aggiornate a oggi con nuova len 27 che sembra porta il fuse a 24,
aggiornamento al 7 maggio
len 26= a maggio ha aggiunto i canali opzional provata da me base
len 28= a maggio ha aggiunto i canali opzional provata con pacchetto base+ sport
otro mas
Trovate queste:
Len: 21 Chiave: 44 INS_82: 30 Database Name: 1 dic 05
Comando:
D142000021901F4402B02A72D6829E3F41B50EFE5456260553 3E035DB796A71A B10C4E7A34A3
Len: 21 Chiave: 44 INS_82: 30 Database Name: 2 dic 05
Comando:
D142000021901F440279E657E9766B2C7ABF3D59E51D1904F2 401280276ED975 6E19001EB7D7
Len: 20 Chiave: 44 INS_82: 30 Database Name: 17 nov 05
Comando:
D142000020901E44020AD4BF4F60D328C8DADFBE4671172235 145712CFC8F5F5 2841AD3302
Len: 15 Chiave: 44 INS_82: 30 Database Name: 2 nov 05
Comando:
D1420000159013440221C6DDA7676408F3950AF9B1F81362D8 D4
Len: 15 Chiave: 44 INS_82: 30 Database Name: 1 nov 05
Comando:
D142000015901344020E675033B8F79482B6AFE8B2B230F2A4 D9
Len: 15 Chiave: 44 INS_82: 30 Database Name: 1 ott 05
Comando:
D14200001590134402AD3B877FD27804A8CFB5580961AB5AE2 76
Len: 20 Chiave: 44 INS_82: 30 Database Name: 1 ott 05
Comando:
D142000020901E4402CAD82A26509D7C8363B12B9BF6DC93A5 78C403992F34FD 98E00AE5C3
Len: 15 Chiave: 44 INS_82: 30 Database Name: 13 ott 05
Comando:
D142000015901344020E675033B8F79482B6AFE8B2B230F2A4 D9
Len: 15 Chiave: 44 INS_82: 30 Database Name: 23 set 05
Comando:
D14200001590134402AD3B877FD27804A8CFB5580961AB5AE2 76
Len: 1C Chiave: 44 INS_82: 30 Database Name: 07 06 06
Comando:
D14200001C901A440238723B11B2AAA77D7F3ECA2356B6F6C5 6F07298DFA0BE2 FC
Len: 1C Chiave: 44 INS_82: 30 Database Name: 4 apr 06
Comando:
D14200001C901A4402B841FCD95EFB7783FC92175D6948F4D3 D78BEC7608D143 BE
Len: 21 Chiave: 44 INS_82: 30 Database Name: 1 mar 06
Comando:
D142000021901F4402F922AB7D25FC07213BA139D3612E4BDF FE7CB04282885B 11CF7121B496
Len: 21 Chiave: 44 INS_82: 30 Database Name: gen-9
Comando:
D142000021901F4402F5AEDCC956E30F5482B0E9207BAA7D21 577256C94EA127 E6DE168EF5A1
Len: 3B Chiave: 44 INS_82: 30 Database Name: gen-30
Comando:
D14200003B903944021A0D40EF71356E61D0430FB4A9112A51 0D46CD5327E40E 9BBDA00E8D9E01933FDEF7D14AFC76515C649A7C2C362F0D78 1598B4CCB73FEA
Len: 20 Chiave: 44 INS_82: 30 Database Name: gen-28
Comando:
D142000020901E4402626286BEB0C65E11725E105AD90D85FC 4A49137683C989 204AC1A3AE
Len: 21 Chiave: 44 INS_82: 30 Database Name: gen-30
Comando:
D142000021901F44027C5EC7B037D4C4ECABA9120D1DE508EC A469BCED851164 D99EDF7AAD19
Len: 1C Chiave: 44 INS_82: 30 Database Name: 10 05 06
Comando:
D14200001C901A4402B6368E564834C4B00B216DC14DBE10D7 37EA3AA03CEA80 20
Len: 1C Chiave: 44 INS_82: 30 Database Name: 10 ago 06
Comando:
D14200001C901A4402BA5682C89453EDFC22D65308C7A631E7 C7079E79B74A35 8F
Len: 1C Chiave: 44 INS_82: 30 Database Name: 10 ott 06
Comando:
D14200001C901A4402B19C0082906A363A7A323A75048042A4 989D4CD6024A42 DE
Len: 1C Chiave: 44 INS_82: 30 Database Name: 11 sett 06
Comando:
D14200001C901A4402968C2A22E529DE1ABDA916B58185B711 084C728AFEE467 14
Len: 1C Chiave: 44 INS_82: 30 Database Name: 15 lugl 06
Comando:
D14200001C901A4402232F289EFE3B63DD4D03C28CE0F045EB 8062071FE7957B 4C
Len: 1C Chiave: 44 INS_82: 30 Database Name: 15 sett 06
Comando:
D14200001C901A4402171B88FDAAA3FD47981ECB9F93B2479F 3EB0BC3EB72261 B8
Len: 1C Chiave: 44 INS_82: 30 Database Name: 2 ago 06
Comando:
D14200001C901A4402E6A76864D8A6FEBC7985D3023B1D94E2 C64247AB8F7796 E2
Len: 1C Chiave: 44 INS_82: 30 Database Name: 16 apr 06
Comando:
D14200001C901A44024B2B1A51B922B9A225551B657F9CE1F6 DFC8305E4E2901 1E
Len: 1C Chiave: 44 INS_82: 30 Database Name: 18 mar 06
Comando:
D14200001C901A4402B841FCD95EFB7783FC92175D6948F4D3 D78BEC7608D143 BE
Len: 21 Chiave: 44 INS_82: 30 Database Name: dic-21
Comando:
D142000021901F440279E657E9766B2C7ABF3D59E51D1904F2 401280276ED975 6E19001EB7D7
Len: 21 Chiave: 44 INS_82: 30 Database Name: dic-31
Comando:
D142000021901F4402F5AEDCC956E30F5482B0E9207BAA7D21 577256C94EA127 E6DE168EF5A1
Len: 21 Chiave: 44 INS_82: 30 Database Name: feb-13
Comando:
D142000021901F4402E8A9F607FFFBCE54B309F2B3FAD35BDE 5AF6BBF586677E 2BC10C25E2EF
Len: 1C Chiave: 44 INS_82: 30 Database Name: gen-16
Comando:
D14200001C901A4402AD97D2C590539C0EEAC7BDFC3AC792B8 D346F0D6FBCA3E 91
Len: 20 Chiave: 44 INS_82: 30 Database Name: gen-22
Comando:
D142000020901E4402626286BEB0C65E11725E105AD90D85FC 4A49137683C989 204AC1A3AE
Len: 1C Chiave: 44 INS_82: 30 Database Name: 24 giug 06
Comando:
D14200001C901A440238723B11B2AAA77D7F3ECA2356B6F6C5 6F07298DFA0BE2 FC
Len: 1C Chiave: 44 INS_82: 30 Database Name: 26 mag 06
Comando:
D14200001C901A440272AD0A1F61096CD0CB3214AC7507E360 D91B4B9D5A9B56 B8
Len: 1C Chiave: 44 INS_82: 30 Database Name: 27 ago 06
Comando:
D14200001C901A4402968C2A22E529DE1ABDA916B58185B711 084C728AFEE467 14
Len: 1C Chiave: 44 INS_82: 30 Database Name: 27 set 06 b
Comando:
D14200001C901A4402171B88FDAAA3FD47981ECB9F93B2479F 3EB0BC3EB72261 B8
Len: 1C Chiave: 44 INS_82: 30 Database Name: 24 apr 06
Comando:
D14200001C901A44024B2B1A51B922B9A225551B657F9CE1F6 DFC8305E4E2901 1E
Len: 21 Chiave: 44 INS_82: 30 Database Name: 26 feb 06
Comando:
D142000021901F4402F922AB7D25FC07213BA139D3612E4BDF FE7CB04282885B 11CF7121B496
Len: 1C Chiave: 44 INS_82: 30 Database Name: 31 mag 06
Comando:
D14200001C901A440272AD0A1F61096CD0CB3214AC7507E360 D91B4B9D5A9B56 B8
Len: 1C Chiave: 44 INS_82: 30 Database Name: 30 ago 06
Comando:
D14200001C901A4402968C2A22E529DE1ABDA916B58185B711 084C728AFEE467 14
Len: 1C Chiave: 44 INS_82: 30 Database Name: 30 sett 06
Comando:
D14200001C901A4402171B88FDAAA3FD47981ECB9F93B2479F 3EB0BC3EB72261 B8
Len: 1C Chiave: 44 INS_82: 30 Database Name: 31 lugl 06
Comando:
D14200001C901A4402E6A76864D8A6FEBC7985D3023B1D94E2 C64247AB8F7796 E2
Len: 1C Chiave: 44 INS_82: 30 Database Name: 6 ago 06
Comando:
D14200001C901A4402BA5682C89453EDFC22D65308C7A631E7 C7079E79B74A35 8F
ESTE ES EL MAS CLARIFICADOR, ENTRE OTRAS COSAS PORQUE COMENTA PASO A PASO COMO SE HACE
NDSFAQ V1.0
Struttura dei Comandi NDS
By LINIXONE
Questo è un documento dedotto finora dai log nds. Ci possono essere alcuni errori. Per favore inviate le informazioni supplementari anche sui forums Nds.
Queste informazioni sono per la partecipazione alla studio e per scopi istruttivi solamente. Non ci sta niente in questo testo che abiliterà la decodificazione del sistema nds. Questo è un documento dedotto finora dai log nds. Ci possono essere alcuni errori. Per favore inviate le informazioni supplementari in uno dei boards/forums Nds.
Queste informazioni sono per la partecipazione alla studio e per scopi istruttivi solamente. Non ci sta niente in questo testo che abiliterà la decodificazione del sistema nds.
Analizziamo l’atr di una card nds
ATR: 3F 7F 13 25 02 40 B0 0C 69 FF 4A 50 C0 00 00 52 53 00 00 00
Convention: INVERSE
Protocol: T=0
TA1 = 13
TB1 = 25
TC1 = 02
Historical Bytes: 40 B0 0C 69 FF 4A 50 C0 00 00 52 53 00 00 00
@ ° i ÿ J P À R S
Programming Voltage = 5.0 volts
Programming Current = 50ma
Maximum Clock Frequency = 5.0MHz
Assuming a 3.5790MHz clock:
Work ETU = 0.0000259849 seconds
Guard Time = 0.0003637887 seconds
Baud Rate After Reset = 38484
La Struttura di una istruzione nds .
Il sistema nds riconosce tre livelli di comandi . E' importante distinguerli :
1 - Istruzione : Una funzione che interviene per mezzo di determinati valori assegnati all’ INS-Byte .
2 - Comando : Una funzione che interviene per mezzo dei valori inseriti nel Pacchetto – dati ( data packet ) . E’ la parte che segue l’invio di una istruzione .
3 - Nanocomando o Nano : è parte dell'esecuzione di ogni istruzione ed è inserito nel data-packet .
Una istruzione Nds ha la seguente struttura :
CLA INS P1 P2 (I) LEN / P3 DATA 67 08 SIG
CLA = Class Byte ( L'unica CLASSE valida per nds è 48 )
INS = Instruction Byte
P1 = Parameter or reference byte
P2 = Parameter or reference byte
(I)LEN / LEN / P3 = Lenght byte ( lunghezza della stringa di risposta in esadecimale )
DATA = dati che compongono l'istruzione ; non è uguale per ogni istruzione ( contiene comandi e Nano-comandi seguiti dai relativi dati )
67 08 = NANO 67 08 ( seguito dalla signature )
SIG = Signature ( composta da 8 bytes , non è necessaria per tutte le istruzioni )
In ogni stringa di risposta delle card troveremo il byte di istruzione all'inizio ( acknowledge byte) .
Questo byte non fa parte della stringa di risposta , così come gli status bytes 90 20 , 90 00 ecc.
Gli status bytes , di regola , ci dicono se un comando è stato correttamente eseguito .
90 20 ci dice che un comando è stato correttamente eseguito . ( vedi Status-Bytes)
Per i dati validi che otteniamo come ritorno dalla card nella stringa di risposta , parliamo di ECHO .
Un NANO ha la seguente struttura :
xx_yy = Nano xx di lunghezza yy .
Ci sono poi nano composti da un solo byte xx la cui lunghezza è definita.
Status-bytes
Questi bytes ci danno una indicazione che non necessariamente specifica un errore .
La scheda deve ricevere il numero di IRD corretto prima di darà le risposte valide ad ECMs e EMMs.
90 00 (non ok)
90 20 (ok)
90 80 (non ok)
90 A0 (non ok)
90 21(ok)
__________________________________________________ _________________
Esame dei comandi nds:
1. Alla partenza dopo il reset otteniamo il comando 48_52. Questo chiede alla scheda 14h bytes. I primi 4 byte di questi rappresentano il Serial Number.
Il quinto byte (può valere 00,01,02,03,08,10,11) è rappresenta lo stato della card.
Il resto dei byte sono sempre 01 19 11 00 0c 09 00 01 02 03 04 10 01 00 00
2. Il prossimo comando è 48_58. Questo chiede alla scheda 35h bytes.
00 01 09 60 00 SN SN SN ff ff ff ff 00 SN SN 00
ff ff ff 00 00 00 00 00 00 00 00 00 08 00 00 00
00 00 00 00 00 00 00 00 47 42 52 00 01 00 00 01
00 00 00 00 00
Il primo byte rapprsenta il "fuse byte" e indica se la card e virgin o married o active or deactivated.
00 - Virgin
05 - Married/FTV only?
20 - Virgin/??
24 - Married/Deactivated?
25 - Married/Activated
Il fuse byte è settato durante l’attivazione iniziale con il nano 3d.
poi 01 09 60 sempre uguale (?)
00 SN SN SN card Serial number (unique address)
ff ff ff ff
00 SN SN 00 primi quattro byte del serial number (shared address)
ff ff ff 00 00 00 00 00 00 00 00 00 08 00 00 00 00 00 00 00 00 xx xx xx
poin 47 42 52 "GBR" sulle card inglesi oppure “ITA” su quelle italiane
alla fine 00 01 00 00 0x 0x 00 00 00 00
00 xx xx xx ouò variare. Ciò è scritto con il nano 4E all’attivazione.
3. IRD Serial Number. L’IRD manda 09 bytes con il comando 48_4c
dall’ IRD IN IN IN IN 02 00 00 XX 02
I primi quattro bytes sono IRD number.
Se la card appartiene a questo decoder risponde 90 20 (OK).
Se la card non appartiene a questo decoder (o è virgin) risponde 90 00 (Non OK).
Se la card ha il fuse byte settato ma è unmarried, questo comando scrive il numero IRD sulla scheda, in tal modo completando il matrimonio (sw1/2 = 90 a1).
Se il numero IRD è settato a 00 00 00 00 puè essere accettato da ogni decoder.
La scheda deve ricevere il numero di IRD corretto prima di darà le risposte valide ad ECMs e EMMs.
4. Alla card vengono poi chiesti 09 bytes con il cmd 48_2c.
Questo legge il PIN e il Parental Control Byte(PCB).
La card risponde
xx xx ff ff 00 00 3f 00 00 (card attiva)
o xx xx ff ff 00 00 ff ff f1
o 00 00 00 00 00 00 00 00 00 (su una 3E card?)
dipende dalla sua condizione. I primi due byte xx xx sono il Pin della card.
Per convertire il Pin decimale in xx xx dobbiamo convertirlo in hex e poi aggiungere 8000h.
Es. le ultime quattro cifre del numero della card sono 1234 (default PIN).
Convertire in hex = 04D2
aggiungere 8000
PIN sulla card = 84D2
Possiamo cambiare il PIN usando il command 48_2e_80.(lo vedremo in seguito)
Il Byte Parental Control (PCB) è il settimo byte e può valere:
1F = 18,
2F = 15,
37 = 12,
3B = PG,
3D = universal,
3F = unrestricted,
39 = U+PG
0F = 15+18
07 = 12+15+18
03 = PG+12+15+18
01 = U+PG+12+15+18
FF = all blocked?,
00 = all blocked
Il livello del parental control è selezionato nel servizio parental control del menu. Questo insieme con il rating byte inviato nell’ECM può essere usato dall’abbonato per bloccare la programmazione di un canale.
Il PCB è settato usando il cmd 48_2E_40 . Lo vedremo in seguito
5. Dopo noi abbiamo un cmd ripetuto spesso. L’IRD chiede 4 bytes alla card con 48_5c
La card risponde sempre 00 00 00 00
6. 48_1c chiede alla card 20h bytes - Il Region Code.
47 42 52 XX 00 00 00 00 00 00 00 00 00 00 00 00 "GBR" o “ITA” cards.
00 00 01 xx xx 00 00 00 00 x0 xx 00 08 00 03 0x
Il 4th byte è 00 (virgin) o 01, 02 o 08 (card attiva).
Il "GBR XX" viene mandato con il nano 75_13 per specificare una regione. Lo vedremo dopo.
Gli ultimi quattordici bytes sono tutti a zero nelle schede vergini.
Questi sono scritti con il nano 75_0f nell'attivazione intiziale.
Questo cmd è anche mandato in seguito a un cambio canale così da poter testare il titolo regionale.
7. GLI ECM Poi seguono i cmd maggiori.Questi vengono inviati circa ogni 7 secondi. 48 40 40 80 xx La lunghezza del pacchetto può variare a seconda del numero di canali visibili
canale di stream criptato
00 7E 12 00 00 00 00 00 00 00 00 B2 84 15 C1 12 44 4B 8A 00 00 09 10 10 00 01 3C 14 7B E8 02 01 03 00 01 C0 03 00 09 C0 03 00 0A C0 03 00 42 C0 03 00 43 C0 03 FF FF C0 03 FF FF C0 03 FF FF C0 03 FF FF C0 03 FF FF C0 03 FF FF C0 03 FF FF C0 03 FF FF C0 03 FF FF C0 03 FF FF C0 67 08 C5 AB EA 01 99 4A 8E A6
7e_12 CW nano
00 00 00 00 00 00 00 00 ECW1 sempre zero quando mandato con il nano 7e_12
B2 84 15 C1 12 44 4B 8A ECW2
00 00
09 10 10 00 (09 nano - *** 10)
01 3C 14 7B E8 (01 nano – carica date e time)
02 01 (02 nano - rating byte - program content)
03 00 01 00 (03 nano - verifica channel entitlements)
03 00 09 00 Questa lista di pacchetto deve includere questo canale criptato
03 00 0A 00
03 00 42 00
03 00 43 00
67_08 Signature nano
C5 AB EA 01 99 4A 8E A6 signature calcolata con *** 10
---------------
Canale 5 sky
48 40 40 80 37 [40] 00 7e 12 00 00 00 00 00 00 00 00 4d 23 cb 4e 15
68 cd 6c 00 00 09 10 10 00 01 36 14 91 36 02 40
24 38_05 08 00 1a 00 1d 04 03 00 1d 00 67 08 7f 38_05 nano
f3 a9 99 b0 e5 5f f0 90 20
Sempre Channel 5 qualche secondo dopo
48 40 40 80 37 [40] 00 7e 12 00 00 00 00 00 00 00 00 2a b2 7e 30 61
b0 bb 9b 00 00 09 10 10 00 01 36 14 91 3c 02 00
24 38_05 08 00 1a 00 1d 04 03 b7 65 00 67 08 eb
97 8f e9 6a 72 6b 64 90 20
Da notare che l’ultimo byte del Time si è incrementato e per ovvie ragioni alcuni byte dell’ entitlement hanno cambiato. Questo può essere associato con un cambio nel byte di rating.
L’ID dell’autorizzazione(entitlement) del canale è rappresentato dai due bytes dopo il nano 03 .
Questi due byte devono corrispondere a ID entitlement che sono sulla card.
Questi entitlements possono essere letti con il cmd 48_2a .
Per una card stream basic sono:
00 01 xx Cx Stream basic
00 96 xx Cx Stream basic
00 31 xx Dx Stream calcio sc1…6
00 33 xx Dx Stream sport
00 34 xx Dx Cinema stream
Gli ultimi due bytes dipendono dalla data di scadenza dell’ entitlement.
Il primo byte della data rappresenta l’anno e il mese. Il secondo byte ha sempre alto i nibble a Ch o Dh. Questi nibbles ricoprono il nibble alto del giorno quando viene inviato un entitleement di aggiornamento.
esempio
channel entitlement originale
00 01 3A C5
La card riceve questo cmd di aggiornamenro
41 00 01 3A 1A
viene scritto questo sulla card
00 01 3A DA
Questi sono gli entitlements che valgono per Sk* 1
b7 23 xx Cx
b7 57 xx Cx
b7 59 xx Cx
b7 5a xx Cx
b7 5b xx Cx
Quindi se questi IDs non sono persenti in una card non è possibile vedere quei canali.E’ il caso delle card scadute.
In alcuni momenti gli ECMs hanno lunghezza diversa quindi abbiamo due tipi di ECW. Questi usano i nano 7e_12 e 7f_12. Loro hanno anche alcuni addizionali nanos/flags.
48 40 40 80 4e [40]
00
7e_12 CW nano (tipo e)
00 00 00 00 00 00 00 00 ECW1
56 62 6e 2f f9 fd c7 55 ECW2
00 00
7f_12 CW nano (tipo f)
07 7e a6 fb d9 86 c5 27 ECW1
b2 ad d0 c3 69 65 ea 1d ECW2
c4 99 ??
09 10 10 00 Seleziona la ***
01 39 01 ad 39 Setta date e time
cb_02 ff ff nano e data (sempre FF FF?)
02 40 rating byte
24 nano o flag?
38_03 08 00 18 nano e data (La lunghezza può essere 05 o 07)
25 Flag che indica il Region Code che deve essere settato correttamente
03 00 1d CHID o tiers
00
67 08
9a 3d db 7f c2 12 c0 b2
90 20
-----------------------------------------------------------------------------
Alcuni PPV ECMs sembrano avere un differente P1
48 40 60 80 75 [40] 00 7e 12 00 00 00 00 00 00 00 00 e0 44 ad bb e4
94 c5 bc 00 00 7f 12 26 56 e6 f9 6f 2e 90 49 e8
54 75 b9 72 e2 35 cc 68 8b 09 10 10 00 01 39 0a
81 6b cb 02 ff ff 02 52 03 5d 68 c0 03 b7 f4 c0
03 b8 28 c0 38 03 08 00 cc 25 04 4d 0e 5d 68 39
10 00 65 06 00 00 a3 e3 00 d9 e4 4d 0e 5d 68 39
10 00 65 06 00 01 45 e3 01 b1 e4 67 08 b6 b4 18
7c 9f 8c d1 28 90 a0
----------------------------------------------------------------------------
Il Rating Byte che segue il nano 02 descrive il tipo di contenuto della programmazione
00 = encrypted (Universal)
40 = encrypted (Universal)
41 = encrypted/ppv (Universal)
42 = encrypted/ppv (PG)
43 = encrypted/ppv (12)
44 = encrypted/ppv (15)
45 = encrypted/ppv (18)
51 = ppv (12)
52 = ppv (15)
53 = ppv (18)
80 = Information/announcement channels
-----------------------------------------------------------------------------------
8. La card risponde all’ ECM 48_54 con la lunghezza di 0Fh bytes
43 2e ea 56 1c a4 9e ff f5 79 00 00 40 03 00
Questa deve includere una DCW di 8 byte più altri due byte ignoti (oppure la DCW è di 10 byte).
Lo status bytes di risposta può essere 90 00 o 90 0a - non OK, 90 20 OK
Se la scheda non è valida ritorna ancora al primo dei due ECMs (90 00 - not OK) ma poi quando decripta con il 54 ritorna
00 00 00 00 00 00 00 00 00 00 00 00 80 04 04 (90 20) canale non disponibile
or 00 00 00 00 00 00 00 00 00 00 00 08 00 04 14 (90 00) card errata
9. L’interessante EMMs 48_42. Questo ha una lunghezza variabile 16h, 22h, 30h, 31h, 35h o 3Eh etc.
Questo può essere indirizzato
1) a tutte le card usando un *** 10 pubblica (qualche volta usando un filtro sul codice postale)
2) a un gruppo di cards (usando shared address/CUSTWP bitmap con una *** di gruppo *** 12)
3) 3 a una singola card usando la *** 14 privata e indirizzando il comando all’ unique address(indirizzo unico seriale della card).
Da questo possimo dedurre per i punti precedentemente visti
1) la *** 10 è uguale per tutte le schede
2) la *** 12 è uguale per tutte le schede che hanno lo stesso shared address quindi i primi due byte del numero di serie ss ss xx shared address è ss ss quindi per un gruppo di 256 schede
3) la *** 14 è diversa per ogni scheda infatti il comando va indirizzato direttamente al numero di serie.
EMM lungh 16h questo può essere usato per settare date e time.
09 10 00 00 Seleziona la *** 10 pubblica (tutte le cards)
01 36 15 91 1d Setta date e time
10 cc 33 nano 10 e due byte di dati che si incrementano al successivo EMM
67_08 nano di Signature
d8 2f 9a 8e 40 0b 3e 6a signature
90 20
-----------
EMM lung 30h
09_10 00 00 Seleziona la *** 10 pubblica (tutte le cards)
(24) questo byte non è sempre presente. Flag o nano?
38_09 nano del codice postale
06 Apre il filtro della card sequesto è il post code
48 52 33 20 20 35 51 41 "HR3 5QA" postal code
6d_09 nano e lunghezza
01 08 00 73 17 92 9f ff ff data – sempre la stessa? Questa è stata trovato nella stringa 48_78
6d_09 nano
02 03 45 57 60 00 ff ff ff data – sempre la stessa??
67_08 sign nano
60 7f c9 6b dd f4 8c e6 sign
-----------
EMM lung 31h
09 10 00 00 Seleziona la *** 10 pubblica (tutte le cards)
24 questo byte non è sempre presente. Flag o nano?
38_09 nano del codice postale
06 Apre il filtro della card sequesto è il post code
4c 4e 32 20 20 34 50 5a "LN2 4PZ"
19 00 Setta il time zone a 00 (GMT)
75_13 Nano e lenghezza
00 47 42 52 XX 00 00 00 00 00 00 00 00 00 00 00 00 00 00
67_08
59 16 84 78 a0 d5 ef 8a sig
Questo EMM setta il Time Zone e il Region Code.
Data "GBR Region byte". Può valere 01, 02, 08, 10 and 1b. Questo byte è probabilmente una specifica regione (country?) codice abbinato al Postal Code.
01 tutti i codici postali England?
02 è per i for codici postali AB, DD, DG, EH, FK, G, HS, IV, KY, KA, KW, ML, PA, PH, TD, ZE. scozzesi
08 è per i for codici postali CF, CH, HR, LL, LD, NP, SA, SY. Welsh
10 è associato con "Postal Code?" "BTxx"
1b è associato con "Postal Code?" "UKxx".
-----------
EMM lungh 35h
09 10 00 00 Seleziona la *** 10 pubblica (tutte le cards)
24
38 09
06
4c 53 31 37 20 38 42 51 "LS17 8BQ"
6e_07 Nano
06 01 01 01 01 20 08 Data
6e_07
07 01 01 01 01 8f 00
6e_07
08 01 01 01 01 20 00
67_08
7a ee 04 4c 88 66 db 0a Sig
-----------
EMM lungh 3Eh
09 10 00 00
24
38 09
06
47 4c 37 20 20 33 53 44 "GL7 3SD"
6e_07
01 01 01 01 01 8f 00
6e_07
02 01 01 01 01 8f 00
6e_07
03 01 01 01 01 8f 00
6e_07
05 01 01 01 01 8f 00
67_08
e1 29 d2 77 3c 0d f3 11
I seguenti comandi sembrano essere EMM di attivazione. Indirizzati di solito ad un bitmap di Address/CUSTWP condiviso.Questi passano ogni dieci minuti. I Diritti di visione dei canali sembrano essere attivati uno alla volta. Questo dà una spiegazione perché quando una scheda si attiva i canali non sono visionabili tutti nello stesso tempo.
EMM indirizzato a SA/CUSTWP bitmap Card scaduta
48 42 00 00 3c [42]
09 12 00 00 Selez. Non publ *** 12 di gruppo
33 nano indirizz. shared addr
00 SN SN Shared Address
00 02 00 00 00 00 00 00 00 00 0c 00 00 00 02 80 CUSTWP bitmap
10 00 00 00 02 00 00 00 00 00 00 02 00 00 80 20
41 b7 21 38 06 Channel Entitlement cambiato e date di scadenza
C0 ???
25 ???
42 b7 21 Channel Entitlement
67_08
97 d2 a5 bd df 5f e7 eb
90 80 Not OK.
EMM indirizzato a SA/CUSTWP bitmap card valida
48 42 00 00 3c [42]
09 12 00 00 Selez. Non publ *** 12 di gruppo 12
33 00 SN SN nano + Shared A.
00 00 22 00 00 06 02 30 84 40 02 00 00 00 10 00 CUSTWP bitmap
00 40 00 40 00 00 04 20 40 00 10 00 00 00 20 00
41 b7 77 38 0f Channel Entitlement cambiato e date di scadenza
c0
25
42 b7 77 Channel Entitlement
67_08
1a 56 57 00 de 40 64 74
90 a0 non ok. Scheda non compresa in un gruppo di bitmap valido.
La stessa card dieci minutes dopo
48 42 00 00 3c [42]
09 12 00 00 33 00 SN SN
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 10 00 00 00 00 00 00 00 00 00 00 00 00 una sola card indirizzata
41 b8 2d 38 09 nuovo Channel Entitlement cambiato e data di scadenza
c0
25
42 b8 2d
67_08
ae d2 35 47 a7 46 66 f0
90 a0 Non OK. Non può essere scritto sulla card non indirizzata.
Un cambio con successo
48 42 00 00 3c [42]
09 12 00 00 33 00 SN SN Shared address e
ff 7e 1f ec d8 3c 29 b9 c9 ab e9 a2 fc 58 cf 6d 20h bytes di CUSTWP bitmap
9d fd 1e 9c 2b ed 73 e4 e2 f6 34 cb 36 1f 7e 39
41 00 1d 38 1b BBC channel entitlement ID
c0
25
42 00 1d
67_08
e4 5c eb c7 64 2c 97 31
90 21 OK. Accepted
----------------
L’EMM PPV usa INS 46
48 46 20 01 3e [46] 1f 08 09 10 00 00 01 39 04 0c 70 02 52 38 03 08
00 cc 25 04 4d 0e 1e 00 39 10 00 65 06 00 00 a3
e3 00 d9 e4 4d 0e 1e 00 39 10 00 65 06 00 01 45
e3 01 b1 e4
67 08 f1 54 d4 97 66 c3 7b 37
90 a0 Not OK
Zero Knowledge Test (verifica della presenza della card).
Questi tre comandi mandano un messaggio ogni minuto per verificare che la scheda nel decoder è una scheda nds vera.
9. 48_4A 10 01 01 (01)
L'IRD spedisce un byte ( sempre 01?) alla scheda. Questo seleziona un seme che è quello che deve essere usato per un numero casuale "R" da generarsi per la scheda. Finora un solo seme è stato sempre usato nel PRNG. [90 00 non TUTTO BENE, 90 20 TUTTO BENE].
10.48_5A. Dopo l'IRD chiede alla scheda di spedisca una stringa di 64 byte del R^2 il N di `mod' ( dove N è un numero di 512 bit che è il prodotto di due numeri primi grandi, P e Q ( N = P*Q). il N è costante e può essere trovata tanto nella ROM della scheda come nel firmware di IRD.
48 5a 10 01 10 [5a] f2 64 20 49 81 d4 14 86 e2 9a fe ca 00 00 00 00
90 00
Comunque con le card nds troviamo 0Ch bytes piuttosto che 08 bytes?
11. Finalmente l'IRD chiede alla scheda per uno dei due R o R*S mod N (dove S è basata su una complessa funzione di N ). Essi sembrano alternarsi uno a l’altro ad ogni richiesta.
a) IRD chiede per R
48 5A 10 02 40
Card->IRD: manda il valore di R (512 bits/64 bytes)
48 5A 10 02 40 [5a] bd fa d2 2d ef 2b 63 fa c7 b2 68 82 9c 5d 13 31
33 f5 99 a1 63 cb aa cf 41 c9 b0 78 d4 c4 42 f1
1f d8 93 b9 bb 3b 6f 6f 62 2f c7 2f 06 d3 c4 1d
48 84 d7 b2 c1 64 6e 7c 05 56 f1 29 61 bc c7 00
90 01
b) IRD chiede per R*S mod N
48 5A 11 02 40
Card->IRD: manda il valore di R*S mod N (512 bits/64 bytes)
48 5A 11 02 40 [5a] 71 94 69 64 7f 84 b2 ea 1d e2 16 e9 ae 79 f2 49
cc 64 42 fe 36 52 44 90 fa c5 e9 c9 72 66 71 25
6e 6a 82 d9 b5 7b 1c ee 21 1c 55 0b bf de 51 b4
a0 f0 98 bd 19 e8 ad 9c d0 61 e2 b1 da 39 02 00
90 20
L'ultimo byte del valore ritornato sembra essere sempre 00.
Il codice di ritorno Sw1/sw2 90 00 e 90 01 indica che la scheda non è valida.
Per una scheda valida i codici di ritorno hanno 90 20 e 90 21.
ED E’ PER QUESTO COMANDO CHE LA WAFER CREDO NON FUNZIONERA’ MAI
================================================== =================================
12. Saltuariamente noi otteniamo un 48_5e. Legge uno ( status) byte dalla scheda.
48 5e 00 0b 01 [5e]
03 90 20 ritorno da una card valida
00 90 00 ritorno da una card non valida
[Vediamo anche un addizionale 48 5e 00 0e 62]
Questo cmd sembra sempre essere seguito da uno dei seguenti:
13. Un altro cmd accasionale è 48_78. Questo sembra seguire il 48_5e. Essi sono
correlati?
48 78 03 00 14 [78] 08 00 73 17 92 9F FF FF 01 08 00 73 17 92 9F FF
FF 01 8F 00
90 20
La risposta è 90 20 quando la card è valida e 90 00 quando non è valida.
La scheda ritornerà anche (in diversi momenti) dati con valori alternativi di P1. questa sequenza 01 08 00 73 17 92 9f ff ff è scritto con il nano 6d_09.
Un’altra INS 78
48 78 08 00 14 [78] 08 00 73 17 92 9f ff ff 01 08 00 73 17 92 9f ff
ff 01 20 00
90 20
================================================== =================================
Strutura dei bytes data e Time
La date e time e mandata alla card con L’ EMM 48 42 00 00 16, circa ogni 16 secondi.
nano 01 36 15 91 1D = 2001.07.21 time non note
nano 01 38 1D BF 7A = 2001.09.29 time 23:59 GMT
nano 01 38 1E 00 02 = 2001.09.30 time 00:00 GMT
nano 01 38 1E 60 46 = 2001.09.30 time 12:04 GMT
nano 01 39 01 00 05 = 2001.10.01 time 00:00:08 GMT
L’esatto formato per questo non è stato confermato.
Comunque io credo sia questo
I primi due byte determinano la data.
Il primo byte è probabilmente il mese contando da Febbraio 1997 che equivale a 00h
38h = 56 mesi = 4 anni 8 mesi = Settembre 2001
quindi febbraio 1997 + 4 anni = febbraio 2001 + 8 mesi = settembre 2001
Il secondo byte è il giorno del mese in hex. Esso si incrementa a mezzanotte GMT.
I seguenti 2 byte rappresentano il time(orario) del giorno ma non nel formato standard. Essi si incrementano a passi di circa 8 o 9 ogni 16 secondi. Ogni unità è approssimativam,ente circa 2 secondi.
A mezzanotte il GMT che si trasforma da BF 7A a 00 02 (o BF 7D a 00 05 eccetera ). Così noi possiamo presumere che c'è BF 80 unità di tempo nds in un periodo di 24 ore.
BF 80 = 49024
49024 / 24 * 60 * 60 = 0.5674
un secondo = 0.5674 unità time nds
1 unità time nds = 1.7624 secondi
1 unità time nds = 0.000489556 ore
Paragonato al tempo attuale, il time nds non sembra essere molto preciso esso può variare ogni minuto o due, a seconda della velocità o lentezza.
Algoritomo per calcolare date e time
void Datecalc()
{
Date[0]=((anno-1997)*12 + (mese-1));
Date[1]=day;
Date[2]=hh*8+mm/8;
Date[3]=ss/2+mm*32;
}
esempio 12/03/2002
AnnoMinuti= ((2002-1997)*12 + (3-1)
risultato 62 dec=>hex 3E
day= hex(day) =hex(12)= 12
Orario 11:28:54
OraMinuti= 11*8 + 28/8
risultato 91 dec=> 5B
Secondi= 54/2 + 28*32
risultato 823 dec=> 03 9B
Secondi= 54/2 + 28*32
risultato 823 dec=> 039B
il primo byte "03" non deve essere considerato quindi come risultato dobbiamo utilizzare solo il secondo byte cioè "9B"
Quindi in definitiva avremo la data/time sarà:
3E 12 5B 9B
calcolo inverso
void RevDateCalc()
{
year=(Date[0]/12)+1997;
mon=(Date[0]%12)+1;
day=Date[1];
hh=Date[2]/8;
mm=(0x100*(Date[2]-hh*8)+Date[3])/32;
ss=(Date[3]-mm*32)*2;
}
================================================== =================================I Comandi di attivazione
Questo è un log dell’attivazione di una card. Esso usa la *** 14 privata e indirizzato alla card attraverso l’ unique address usando il nano 31.
Questi comandi seguono l'attivazione EMMs per l'area del codice postale della scheda. Questo spiega il perché devi aspettare per ricevere i comandi.
Tre EMMs sono ripetuti in un certo intervallo di tempo, su a intervalli di 20 minuti, in un periodo ( 24 ore ).
Questo è il comando della prima attivazione:-
48 42 00 00 16 [42] 09 14 00 00 31 00 SN SN SN 3d 03 ec 67 08 SIG
91 81
Il nano 3d setta la PPV spending limit (03 ec) e setta anche il fuse byte a 05.
Il fuse byte è 00 su una card vergine. I diversi valori dei dati 3d suscitano
Differenti valori dei fuses?
L’IRD poi invia la richiesta:-
48 58 00 00 35 [58] 05 01 09 60 00 SN SN SN ff ff ff ff 00 SN SN 00
ff ff ff 00 00 00 00 00 00 00 00 00 08 00 00 00
00 00 00 00 00 00 00 00 47 42 52 00 01 00 00 01
00 00 00 00 00 91 80
Richiede Fuse Byte, UA , SA
Fuse 05
Da notare che sw1/2 è cambiata da 90 00 su una card vergine a 91 80 ora che il fuse byte è stato settato e il region code è intatto.
Poi segue L’IRD number.
48 4c 00 00 09 [4c] 00 IN IN IN 02 00 00 58 02 90 a1
Sembra che quando il byte di fusibile è settato, in un primo momento la scheda riceve questo comando di test dell’ IRD number, Il numero di IRD è scritto sulla. Il sw1/2 è 90 A1.
Poi, richiesta PIN e Parental control rating byte (3F).
48 2c 00 00 09 [2c] 84 d2 ff ff 00 00 3f 00 00 90 a0
Richiesta region code. Notate che in questa parte lo specifico region byte è zero.
48 1c 00 00 20 [1c] 47 42 52 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 90 a0
Il prossimo comando ha sei funzioni
3d nano ancora
Setta la date e time di attivazione con il nano 2d
Setta il PostCode PC PC PC con il nano 1e.
4e nano scrive I quattro byte 00 6c 4d 58 "IMX" solo prima del region code nella stringa 48_58 . Questi quattro bytes possono variare da card a card..
2b nano scrive 03 eb sulla stringa 48_36 . Alcune forme di conatori?
Aggiunge channel entitlement b7 65 con il nano 41.
48 42 00 00 32 [42] 09 14 00 00 31 00 SN SN SN
3d 03 ec
2d 3a xx xx xx
1e PC PC PC 20 20 20 20 20
4e 00 6c 4d 58
2b 03 eb
41 b7 65 3a 1f c0
67 08 SIG
91 a1 Scrittuta accettata
Aggiungere channel entitlements 00 1d, b7 66, b7 72 e b7 73 usando il nano 41.
72 02 nano non conosciuto
48 42 00 00 2f [42] 09 14 00 00 31 00 SN SN SN 41 00 1d 3a 1f c0 41
b7 66 3a 1f c0 41 b7 72 3a 1f c0 41 b7 73 3a 1f
c0 72 02 00 01 67 08 SIG
91 a1 cmd accettato
nano 75 0f . Questo scrive 01 06 02 00 00 00 00 00 00 00 08 00 03 0d la stringa del Region code.
48 42 00 00 24 [42] 09 14 00 00 31 00 SN SN SN 75 0f 12 01 06 02 00
00 00 00 00 00 00 08 00 03 0d 67 08 SIG
91 a1 cmd accetato
L’ IRD richede ancora:-
48 58 00 00 35 [58] 05 01 09 60 00 SN SN SN ff ff ff ff 00 SN SN 00
ff ff ff 00 00 00 00 00 00 00 00 00 08 00 00 00
00 00 00 00 00 6c 4d 58 47 42 52 00 01 00 00 03
0d 00 00 00 00 91 a0
richiestaFuse Byte, UA,SA
Fuse 05,
Il bytes 03 0d sono stati scritti con il nano 75_0f al posto di 01 00.
sw1/2 è cambiato ancora a 91 a0.
Ancora test IRD number n. Ora sw1/2 è 90 a0.
48 4c 00 00 09 [4c] 00 IN IN IN 02 00 00 58 02 90 a0
Richiesta PIN/Parental control byte .
48 2c 00 00 09 [2c] 84 d2 ff ff 00 00 3f 00 00 90 a0
Richiesta region code .
48 1c 00 00 20 [1c] 47 42 52 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 01 06 02 00 00 00 00 00 00 00 08 00 03 0d 90 a0
A questo punto la card è married con il decoder e può aprire i canali FTV ad eccetto BBC1 che ha uno specifico byte di region code (00) che non è stato settato.
Qualche ora più tardi la card riceve questo comando indirizzato al PostCode che setta il Region Code byte usando il nano 75_13 .
Da notare che in un primo momento si è ricevuti un byte specifico il region code è settato e sw1/2 è 91 a1. Se noi mandiamo questo comando ancora sw1/2 è 90 80.
48 42 00 00 31 [42] 09 10 00 00 24 38 09 06 PC PC PC 20 20 20 20 20
19 00 75 13 00 47 42 52 01 00 00 00 00 00 00 00
00 00 00 00 00 00 00 67 08 SIG
91 a1 cmd accetato
La card può ora aprire BBC1.
Questo và a completare la sequenza del comando di attivazione.
Mandando questo cmds ancora alla card risulta in differenza sw1/sw2 (es 90 a0 invece di 90 a1) il quale ci suggerisce che il flag della protezione di riscrittura è stato settato. ================================================== =================================Il dannoso (ma utile) comando 3E
Se mandiamo un messaggio 48 3e 00 alla scheda la riporta ad uno stato di pre-vergine.
Azzera il fuse byte , il numero di IRD, I Chid tiers, il region codice completo , il pin, il PCB e la data di attivazione. sw1/2 è 90 00. Settando P1 e P2 ad altri valori sembra avere precisamente lo stesso effetto.
Comunque, se tu hai il log dell'attivazione iniziale tu puòi riattivare la scheda di nuovo. Tu puoi seguire progressivamente mandando 48_2A, 48_58 eccetera dopo ogni comandi e facendo attenzione che i dati hanno cambiato. Lo sw1/2 può essere diverso se la scheda è resettata tra i cmds. Comunque, se non c'è nessuno Reset, tutti i sw1/2 saranno gli stessi come durante l'attivazione iniziale.
Prima , devi settare il fuse byte e ppv spend limit con
48 42 00 00 16 09 14 00 00 31 00 SN SN SN 3d 03 ec 67 08 SIG
Il sw1/sw2 è 91 81 come prima.
Dopo tu riscrivi IRD number – Può differire dall’originale - con
48 4C 00 00 09 00 IN IN IN 02 00 00 58 02 nessuna signature necessaria.
Il sw1/2 è 90 21 invece di 90 A1 ma il numero di IRD non è ancora scritto.
Poi devi mandare gli altri tre EMMS di attivazioni che hai loggato.
48 42 00 00 32 09 14 00 00 31 00 SN SN SN 3D 03
EC 2D 3A 0D 69 A7 1E PC PC PC 20 20 20 20 20 4E
00 6C 4D 58 2B 03 EB 41 B7 65 3A 1F C0 67 08 SIG
sw1/2 è 91 81 invece di 91 a1 come prima.
48 42 00 00 2F 09 14 00 00 31 00 SN SN SN 41 00
1D 3A 1F C0 41 B7 66 3A 1F C0 41 B7 72 3A 1F C0
41 B7 73 3A 1F C0 72 02 00 01 67 08 SIG
sw1/2 è 91 81 invece di 91 a1 come prima.
48 42 00 00 24 09 14 00 00 31 00 SN SN SN 75 0F
12 01 06 02 00 00 00 00 00 00 00 08 00 03 0D 67 08 SIG
sw1/2 è 91 81 invece di 91 a1 come prima.
Laa fine devi riscrivere la stringa dele Region Code
48 42 00 00 31 09 10 00 00 24 38 09 06 PC PC PC
20 20 20 20 20 19 00 75 13 00 47 42 52 01 00 00
00 00 00 00 00 00 00 00 00 00 00 00 67 08 sig
sw1/2 è 91 81 invece di 91 a1 come prima.
Ci manca ora la sequenza del PIN/PCB. Scriviamo questo con le tre
sequenze seguenti:
48 2e 80 00 09 xx xx ff ff 00 00 3f 00 00 no signature necessaria.
Questo scrive xx xx bytes Che è il Pin della card (in hex).
48 2e 60 00 09 xx xx ff ff 00 00 3f 00 00 no signature necessaria.
Questo scrive FF FF bytes. Loro possono o non possono essere importanti.
48 2e 40 00 09 xx xx ff ff 00 00 3f 00 00 no signature necessaria.
Questo scrive il byte di PCB singolo che è usato per cambiare il rating del parental controll.
Ed ecco finalmente una card funzionante completamente.
Perciò è essenziale loggare I comandi di attivazione della tua card se tu vuoi giocare con essa.
================================================== =================================
Altre INS
In addition to the logged INS, the card will also respond to others.
These are some that have been tested.
In più alle ins loggate , la scheda risponda anche ad altre ins.
Queste sono alcune di quelle esaminate.
===============================
TX Data : 48 02 00 00 08
RX Data : 02
RX Data : 53 59 41 56 01 01 00 00 BSK*B identifier "SYAV" . ROM version 01 01 ?
RX Data : 90 00
===============================
TX Data : 48 06 00 00 01
RX Data : 06
RX Data : 44
RX Data : 90 00
===============================
TX Data : 48 12 00 00 08
RX Data : 12
RX Data : 43 19 10 7E 29 17 0F 05
RX Data : 90 00
===============================
TX Data : 48 1E xx xx 10 Usata per checking ppv purchasing??
RX Data : 1E
RX Data : x0 00 00 xx xx xx xx 00 00 00 01 00 00 00 00 FF
RX Data : 90 00
===============================
TX Data : 48 20 00 00 0d
RX Data : 20
RX Data : 00 65 00 09 00 01 xx xx 00 00 1A 00 00 00
RX Data : 90 00
===============================
TX Data : 48 28 00 00 02
RX Data : 28
RX Data : 01 FF
RX Data : 90 00
===============================
TX Data : 48 2A 00 00 FF
RX Data : 2A
RX Data : 00 SN SN SN Unique address
RX Data : 03 01 19 11 0C 09 00 10
RX Data : 05
RX Data : 01 09 60 sempre uguale
RX Data : 00 SN SN SN Unique address
RX Data : FF FF FF FF
RX Data : 00 SN SN 00 Shared Address
RX Data : FF FF FF 00 00 00 00 00 00 00 00 00 08 00 00 00
00 00 00 00 00 xx xx xx 47 42 52 00 01 00 00 03
0D 00 00 00 00
RX Data : 00 IN IN IN IRD Number
RX Data : 03 EC PPV Spending Limit
RX Data : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 PPV Entitlements
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00
RX Data : B7 65 3B D1 00 1D 3B D1 B7 66 3B D1 B7 72 3B D1 Channel Entitlements
B7 73 3B D1 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00
RX Data : 90 00
===============================
TX Data : 48 36 00 00 FF Dumps a nano buffer?
RX Data : 36
RX Data : 09 14 00 00 00 SN SN SN 01 00 00 00 00 00 00 FD 14=private *** Card SN FD_0F nano
0F 00 00 65 00 09 00 01 xx xx 00 00 1A 00 00 00 48_20 string
FD_0F 01 00 6D 00 01 01 2C 07 D1 00 00 1A 00 00 FD_0F nano
00 DE_04 00 00 00 00 F8_14 0F 71 10 26 CE 01 2B DE_04 nano F8_14 nano
01 04 01 00 6D 32 84 00 00 32 A3 00 00 F3 00 IN F3 00 IN IN IN IRD number
IN IN F9 00 00 03 EA DF 26 15 00 00 FF_0A 00 94 PPV spend date? FF_0A nano
C2 FF FF 00 00 FF FF F1 F6_02 00 00 FA 9x 6x 4x F6_02 nano FA nano ***????
3x 5x Cx 8x 8x 67 08 30 36 E3 89 41 6F 1B BA 00 Signature
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
RX Data : 90 00
Su una card vergine i dati (***?) dopo il nano fa sono 00 01 02 03 04 05 06 07. Questi dati sono cambiati dopo che la card è inserita nell’IRD e possono variare
( come fanno i byte di signature) dipendendo dal precedente cmd inviato alla scheda. Essi sono una chiave o una signature?
==============================
TX Data : 48 38 00 00 02
RX Data : 38
RX Data : 00 35
RX Data : 90 00
==============================
TX Data : 48 48 00 00 36
RX Data : 48
RX Data : 48 1E xx xx xx xx xx xx xx xx F3 00 IN IN IN 4E xx = postcode IN=IRD number
?? 00 06 FD 39 19 00 2D XX XX XX XX 72 02 00 01 5D 19 00 = Timezone. XX = activ.date?
01 00 40 40 40 40 40 40 40 40 40 40 40 40 4E e 72 e 5D nano non noti
00 00 00 00 00 00 00 00 Ritardo prima che questi sono inviati
90 00
==============================
TX Data : 48 54 00 00 0F
RX Data : 54
RX Data : 00 00 00 00 00 00 00 00 00 00 00 00 00 04 00 Return of DCW (failed)
90 01
==============================
TX Data : 48 56 00 00 FF
RX Data : 56
RX Data : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
RX Data : 90 00
==============================
TX Data : 48 5A 00 00 FF
RX Data : 5A
RX Data : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
RX Data : 90 00
==============================
TX Data : 48 5E 00 0E 62 Read PPV entitlements
RX Data : 5E
RX Data : 7B 00 05 04 65 B2 05 04 0F 77 05 04 2F 91 05 04
1A AC 05 04 5C 4E 05 04 5B FB 05 04 7A A8 05 04
17 E5 05 04 3C 56 05 04 1A CA 05 04 71 85 05 04
21 8E 05 04 2A C5 05 04 0E C4 05 04 71 10 01 04
RX Data : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00
RX Data : 90 00
==============================
TX Data : 48 70 00 00 FF
RX Data : 70
RX Data : 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
RX Data : 90 00
==============================
TX Data : 48 72 00 00 08
RX Data : 72
RX Data : 7B 00 1A 0C 05 04 00 00
90 00
==============================
TX Data : 48 78 00 00 14
RX Data : 78
RX Data : FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
FF FF FF FF
90 00
Or with P1 = 03
TX Data : 48 78 03 00 14
RX Data : 78
RX Data : 08 00 73 17 92 9F FF FF 01 08 00 73 17 92 9F FF
FF 01 8F 00
RX Data : 90 00
==============================
TX Data : 48 A2 00 00 42 Reads RAM???
RX Data : A2
RX Data : 01 00 00 00 00 00 00 01
RX Data : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00
RX Data : 26 D1 9D FF ???
RX Data : 90 00
==============================
Per eventuali correzioni
[email protected]
que nadie diga que esta en italiano, es evidente tabien lo es que en internet hay unos traductores estupendos y que hay que currarselo
y ahora el escrito
; From The MaGic Team July 19/98
; Full Activation Loads All Tiers For DTV, USSB, SPORTS
; PPV For DTV And USSB Plus 5 Extra Tier Spaces
; No Need To Set Card ID Loads All Cards
; Adds Updates To 1A And Closes 09 Hole
; Removes sports blackouts
; Read Below To Set Your TZ And Zip in both 1st and 2nd packet
48 42 00 00 26
R01
09 24 00 00 30 3D 03 E8
19 A6
; ^^ = A0/PST A2/MST A6/CST A6/EST
2B 03 E9 40
1E 55 3x 3x 3x 3x 3x 20 20
; ^ ^ ^ ^ ^
; 3X 3X 3X 3X 3X FIRST 5 BYTES
; CHANGE X TO YOUR ZIP CODE
; NOW SET TO ( X X X X X ) ZIP
2D 4C 10 19 97
09 10 00 00 0C 71 3C 6B 7D FF
R02
48 42 00 00 30
r01
09 20 00 00 24 38 09 06
55 3x 3x 3x 3x 3x 20 20
; ^ ^ ^ ^ ^
; Change x to the same zip code you used above
;
12 00 00 00 00 00 00 00 00 00 08 00 00 00 00 00
00 00 00 19 A6 40 09 10 00 00 0C 71 3C 6B 7D FF
; ...TZ.....^^
r02
48 42 00 00 2D
R01
09 24 00 00
30
14 F8 00
26 90 00
14 F9 00
14 FA 00
; ^^ = FA FOR NORMAL FULL GUIDE
14 90 00
26 91 00
14 91 00
26 90 00
14 F0 00
14 FE 00
09 10 00 00 0C 71 3C 6B 7D FF
R02
;-------------------------------;**broke activatation into seperate packet
48 42 00 00 24
R01
09 24 00 00
30
4E 00 3C 2F EA
56 0D 00 00 01 00 66 00 01 FD E9 1B 59 00 00
40
09 10 00 00 0C 71 3C 6B 7D FF
R02
48 42 00 00 2D
R01
09 24 00 00
30
41 FF FF 54 1F C0
41 33 75 54 1F C0
41 33 76 54 1F C0
41 33 77 54 1F C0
41 33 89 54 1F C0
09 10 00 00 0C 71 3C 6B 7D FF
R02
48 42 00 00 2D
R01
09 24 00 00
30
41 33 9B 54 1F C0
41 33 46 54 1F C0
41 33 3F 54 1F C0
41 33 42 54 1F C0
41 33 56 54 1F C0
09 10 00 00 0C 71 3C 6B 7D FF
R02
48 42 00 00 21
R01
09 24 00 00
30
41 36 B0 54 1F C0
41 34 10 54 1f C0
41 33 96 54 1f C0
09 10 00 00 0C 71 3C 6B 7D FF
R02
48 42 00 00 2D
R01
09 24 00 00
30
41 34 BD 54 1F C0
41 3E 80 54 1F C0
41 3A 98 54 1F C0
41 34 6F 54 1F C0
41 34 4E 54 1F C0
09 10 00 00 0C 71 3C 6B 7D FF
R02
48 42 00 00 2D
R01
09 24 00 00
30
41 34 4D 54 1F C0
41 34 6A 54 1F C0
41 33 96 54 1F C0
41 33 78 54 1F C0
41 33 95 54 1F C0
09 10 00 00 0C 71 3C 6B 7D FF
R02
48 42 00 00 31
R01
09 24 00 00
30
41 34 6E 54 1F C0
41 33 7F 54 1F C0
41 33 89 54 1F C0
56 0D 01 00 02 00 66 00 01 FD E9 FF FE 00 00
40
09 10 00 00 0C 71 3C 6B 7D
FF
R02
48 42 00 00 2D
R01
09 24 00 00 30
41 34 71 54 1F C0
41 34 4E 54 1F C0
41 34 9D 54 1F C0
41 34 72 54 1F C0
41 00 00 00 00 00
09 10 00 00 0C 71 3C 6B 7D FF
R02
48 4C 00 00 09
R01
00 00 00 00 01 52 09 95 00
R02
48 42 00 00 2A
r01
09 1A 00 00 31 00 46 CE 90 10 42 5D 60 C6 0B 16
4B 89 85 FC 3D C6 CA 54 86 45 BB 00 42 01 56 2D
47 81 95 DE 0C 13 82 59 5C AF
r02
48 42 00 00 2A
r01
09 1A 00 00 31 00 41 5B A5 10 D5 C1 60 C6 0B 97
82 73 A7 17 A7 30 F9 54 86 45 BB 00 42 01 3D 2D
47 41 C7 CB 0C B7 96 84 47 9E
r02
;update 01
48 40 00 00 1C
R01
09 12 00 00 30 60 C0 08 00 01 85 68 01 00 00 00
BB 00 09 10 00 00 0C 71 3C 6B 7D FF
r02
;update 02
48 40 00 00 1C
R01
09 12 00 00 30 60 C0 08 00 02 8F F1 79 81 1C EC
BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 03
48 40 00 00 1C
R01
09 12 00 00 30 60 C0 08 00 03 8F F5 FA 24 FD 02
BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 04
48 40 00 00 1C
R01
09 12 00 00 30 60 C0 08 00 04 8F F9 86 79 FF FF
BB 00 09 10 00 00 0C 71 3C 6B 7D FF
r02
;update 05
48 40 00 00 1C
R01
09 12 00 00 30 60 C0 08 00 05 84 F8 00 02 1C C1
BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 06
48 40 00 00 1C
R01
09 12 00 00 30 60 C0 08 00 06 85 88 FC 91 F9 90
BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 07
48 40 00 00 1C
R01
09 12 00 00 30 60 C0 08 00 07 86 70 02 8F F1 84
BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 08
48 40 00 00 1E
R01
09 12 00 00 30 60 C0 0A 00 08 84 60 A8 76 B8 E8
00 22 BB 00 09 10 00 00 0C 71 3C 6B 7D FF
r02
;update 09
48 40 00 00 1E
R01
09 12 00 00 30 60 C0 0A 00 09 86 05 84 91 60 30
5F 05 BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 0Ah
48 40 00 00 24
R01
09 12 00 00 30 60 C0 10 00 0A 8F 3B 48 03 85 4C
4F B4 57 5A 80 FE AF 31 BB 00 09 10 00 00 0C 71
3C 6B 7D FF
R02
;modified update 0Bh
48 40 00 00 24
R01
09 12 00 00 30 60 C0 10 00 0B 8F 2F FF 09 E5 28
;-------------------------------------;^^will be fixed below
54 80 12 13 48 74 09 B4 BB 00 09 10 00 00 0C 71
3C 6B 7D FF
R02
;update 0Ch
48 40 00 00 24
R01
09 12 00 00 30 60 C0 10 00 0C 8F 47 63 07 60 22
F5 50 02 05 F9 30 51 03 BB 00 09 10 00 00 0C 71
3C 6B 7D FF
R02
;update 0Dh
48 40 00 00 24
R01
09 12 00 00 30 60 C0 10 00 0D 8F 53 85 4F 4C 53
32 1F C2 70 7D FF 02 8B BB 00 09 10 00 00 0C 71
3C 6B 7D FF
R02
;update 0Eh
48 40 00 00 21
R01
09 12 00 00 30 60 C0 06 00 0E 8B F8 F1 45 C0 05
00 0E 8F 5F 92 BB 00 09 10 00 00 0C 71 3C 6B 7D
FF
R02
;update 0Fh
48 40 00 00 21
R01
09 12 00 00 30 60 C0 05 00 0F 86 6D 41 C0 06 00
0F 89 65 F1 4B BB 00 09 10 00 00 0C 71 3C 6B 7D
FF
R02
;update 10h
48 40 00 00 1E
R01
09 12 00 00 30 60 C0 0A 00 10 8B A5 E5 50 70 FE
F1 50 BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 11h
48 40 00 00 21
R01
09 12 00 00 30 60 C0 0D 00 11 8F 60 E5 4E 24 FE
54 0C 02 86 60 BB 00 09 10 00 00 0C 71 3C 6B 7D
FF
R02
;update 12h
48 40 00 00 1D
R01
09 12 00 00 30 60 C0 09 00 12 86 5C 02 8F 60 22
60 BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 13h
48 40 00 00 20
R01
09 12 00 00 30 60 C0 05 00 13 82 93 02 C0 05 00
13 82 97 00 BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 14h
48 40 00 00 20
R01
09 12 00 00 30 60 C0 05 00 14 82 AB 00 C0 05 00
14 8F 44 61 BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update #15
48 40 00 00 20
R01
09 12 00 00 30 60 C0 0C 00 15 85 8B ED B4 AA 00
40 18 80 0C BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 16h
48 40 00 00 21
R01
09 12 00 00 30 60 C0 0D 00 16 8F 70 E5 4C 24 41
40 33 02 15 BF BB 00 09 10 00 00 0C 71 3C 6B 7D
FF
R02
;update 17h
48 40 00 00 1A
R01
09 12 00 00 30 60 C0 06 00 17 8C 05 8F 70 BB 00
09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 18h
48 40 00 00 1F
R01
09 12 00 00 30 60 C0 0B 00 18 8F 79 E7 54 3F F7
02 87 81 BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 19h
48 40 00 00 1A
R01
09 12 00 00 30 60 C0 06 00 19 85 D0 8F 79 BB 00
09 10 00 00 0C 71 3C 6B 7D FF
R02
;reset USW to 18h
48 40 00 00 0F
R01
60 D5 02 85 8E E3 06 02 84 06 00 18 00 BB 00
R02
;update 1Ah
48 40 00 00 1C
R01
09 12 00 00 30 60 C0 08 00 19 85 91 90 0C 98 84
BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;close 09 hole
48 40 00 00 19
r01
09 12 00 00 30 60 C0 05 00 1A 8F 2F 09 BB 00 09
10 00 00 0C 71 3C 6B 7D FF
R02
48 2a 00 00 80
R01
R80
r02
tengo varios todos pillados de paginas italianas ,pero realmente no se como ponerlos para que vosotros los useis
un saludo a todos :0=
algunos programas funcionan,por ejemplo con StudioNDS puedo cambiar los parametros de la tarjeta, pero luego no se como meterlos de nuevo en esta.El winexplore5 lo lee todo pero no he sido capaz de cambiar nada aunque ejecute cualquier escrito, mucho menos puedo grabar la tajeta con este programa.
el programa cardndsver9_1_.2 no funciona porque la tarjeta del ABQ que tenemos es una NDS-1 y el programa en cuestion es para NDS-2, aunque creo que este programa tiene grandes posibilidades
si alguien tiene algun programa que pueda grabar y cambiar la informacion que me lo pase.
al final intentare poner un escrito que aseguro que funciona pero al copiarlo aqui no se como quedara
DESCRIZIONE DETTAGLIATA DEL PROCESSO DI DECODIFICA NDS
Il sistema NDS Direct TV si basa su dei pacchetti di dati inviati ai rispettivi decoder insieme ai dati video. Alcuni di questi dati vengono selezionati dal ricevitore/decoder prima di passarli alla smart card in modo da formare una unita’ autorizzata individualmente. In pratica solo certi dati tra milioni i transitano potranno essere passati alla tua smart card.
In questo modo alla tua smart card non arriveranno tutti quei dati inutili rivolti ad altre smart card/decoder. Parecchi pacchetti di dati passeranno comunque verso la smart card. Ce ne sono a dozzine e tra questi alcuni sono di importanza vitale!
Il primo pacchetto vitale è il 4840, che è quanto si ottiene immediatamente dopo che si sintonizza un nuovo canale (ed anche ad intervalli regolari). Un esempio potrebbe essere come questo:
48 40 00 00 XX 40 09 10 10 00 01 4a 12 34 02 41 03 33 42 00 0c aa bb cc dd ee
spezziamolo in parti:
1) 48 40 00 00 XX I due byte 48 40 descrivono il tipo di pacchetto e XX indica il numero di byte che seguono;
2) 40 è una eco della card verso il decoder per indicare che sta funzionando;
3) 09 10 10 00 Qui 09 è il comando che setta la *** che verrà usata successivamente. In questo caso viene indicata la 10 che è una *** generica usata da tutte le smart card. La smart card usa un algoritmo che genera 10 (in decimale?; NdT) byte ogni volta che un nuovo byte viene acquisito. Per questi 10 byte usa il valore precedente ed il nuovo valore memorizzato nel registro A o accumulatore. Una volta emesso il comando 09, quasi ogni byte letto successivamente passa attraverso questo algoritmo producendo un nuovo set di 10 byte. Così l’unico modo per conoscere in anticipo questi 10 byte è subito dopo che un comando 09 viene inviato alla smart card. L’algoritmo è sufficientemente complesso da scoprire, richiederebbe anni di elaborazione anche ai super computer più veloci!!
4) 01 4a 12 34 Il comando 01 carica l’ora e la data, dove 4a rappresenta il mese e 12 34 l’ora digitale (non necessariamente correlata alle 24 ore). Va fatto notare , dopo la precedente descrizione della “10 bytes ***”, che l’acquisizione di questi 4 byte genererà una “10 bytes ***” assolutamente unica e non ripetibile in quanto legata a valori temporali. Quindi ogni intercettazione o tentativo di cambiare date si tradurrà in una emissione di chiave errata.
5) 02 41: Il comando 02 fornisce lo stato di visibilità del programma. Nel caso il byte che segue il “4” significa che per la visione è necessario l’abbonamento, mentre se fosse “8” la visione è gratuita o in preview. La seconda cifra rappresenta il “parental rating” (vietato ai minori; NdT). Comunque va ripetuto che ogni tentativo di intercettare e cambiare la 41 (visione con abbonamento) in 81 (visione gratuita) genererà una “10 byte ***” errata che invaliderà tutti i nostri sforzi.
6) 03 33 42 00: Il comando 03 verifica che il nostro abbonamento consenta la visione del canale sintonizzato, in questo caso il 33 42 (Ch-id; NdT). E’ a questo punto che smart card risponderà in maniera diversa a seconda se abbiamo o non abbiamo l’abilitazione alla visione del canale all’interno della nostra smart card. Anche in questo caso non è possibile intercettare e cambiare l’identificativo di canale per far credere alla card di avere l’abbonamento, senza alterare e quindi invalidare la citata 10 bytes ***. Il comando 03 può essere ripetuto più volte in quanto ogni singolo canale può avere diversi Ch-id ad esso associati ed uno di questi verrà riconosciuto o meno dalla nostra smart card. (Cio è stato fatto per semplificare ed ottimizzare l’offerta degli abbonamenti ai vari pacchetti di programmi). Negli eventi Pay Per View (PPW) il comando 03 viene rimpiazzato da 06, il risultato comunque è lo stesso. (Solo che in questo caso l’abilitazione alla visione del canale è temporanea! NdT).
7) 0c aa bb cc dd ee: 0c è il comando che verifica l’integrità di tutti i bytes ricevuti dopo lo 09 iniziale fino ad ee compreso. I cinque bytes dopo lo 0c (aa bb cc dd ee) vengono confrontati con i primi 5 bytes della “10 bytes ***” generata e memorizzata nell’accumulatore della smart card (come abbiamo visto ad ogni byte acquisito corrisponde una nuova “10 bytes ***”;NdT). Se per qualunque ragione, disturbi e/o tentativi di intercettazione/modifica, questi 5 bytes non coincidono, non verrà attivato il processo di generazione della *** di decodifica. Inoltre non è facile indovinare questi byte in quanto ci sono 256x256x256x256x256 combinazioni (sono tante!). In questo modo termina il pacchetto 4840.
La smart card si rimette in attesa del prossimo pacchetto. Ciò che è stato memorizzato comunque, è un set di 10 bytes e lo stato di visibilità o meno alla visione del canale. Finora il ricevitore/decoder ancora non conosce lo status di visibilità e non mostra nessun segnale video.
Cosi, immediatamente dopo viene l’altro pacchetto di vitale importanza: il 48 54. Questo ha un formato più semplice: 48 54 00 00 00 e nulla di più. La smart card riconosce il 48 54 e fa eco con un 54. Poi fa uso dei dati creati con il precedente pacchetto 48 40 per generare una ulteriore versione della “10 bytes ***” e “frulla” il tutto in maniera HARDWARE (così da rendere la cosa complicata con un emulatore, anche dal punto di vista della velocità; NdT).
Quindi fa un cryptaggio software e manda la così ottenuta “10 bytes ***” e lo status di visibilità al ricevitore/decoder.
Per questo ulteriore “smanazzamento” di *** , appena descritto, è però necessario lo status giusto per quel canale in quel momento, altrimenti verrà inviata la “10 bytes ***” ottenuta dal precedente pacchetto 48 40 che comporta l’accesso negato al canale.
Se comunque tutto è OK la “10 bytes ***” viene inviata al decoder MPEG che ci fornirà finalmente il segnale video. (L’audio non viene codificato ma rimane in “mute” finchè la codifica video non è corretta).
A questo punto abbiamo imparato che:
(1) questi due pacchetti sono fondamentali,
(2) se variamo qualunque byte del pachetto 48 40 tra il commando 09 e la fine del pacchetto, avremo la “10 bytes ***” errata con nessuna decodifica.
Ora possiamo aggiungere altri comandi al pacchetto 4840 oltre ai semplici 01 (l’ora e data), 02 (visibilità del programma), 03 (verifica dei dati di abbonamento), a patto che il risultato finale dei 5 byte di verifica siano corretti e correlati ai comandi inviati alla smart card. Possiamo per esempio includere il comando 60 seguito da una stringa di sottocomanto BF:
60 BF 81 23 01
Questo comando fa si che la “10 bytes ***” venga generata di nuovo per 8 volte, una volta per ogni byte trovato nella EEPROM a partire dalla locazione 81 23 . E’ possibile specificare il numero di blocchi da 8 bytes da verificare (l’esempio mostra 01 per un blocco soltanto) oppure una lista di indirizzi da verificare. L’indirizzo effettivo potrebbe non essere 8123 ma un’altro indirizzo (o lista di indirizzi) nell’area 8xxx che corrisponde ai codici alterati dai “pirati”!
Se indirizziamo un’area della eeprom in cui sappiamo che ci sono dei valori fissi in ogni legittima smart card , allora ogni legittima smart card genererà la stessa “10 bytes ***” valida per il decoding, ma se, come nel caso delle card pirata, anche un solo byte fosse diverso, otterremo delle chiavi sbagliate e quindi nessuna decodifica.
NdT: seguono poi delle considerazioni su fatto che quest’ultimo controllo non viene evidentemente eseguito poichè sono in giro da mesi card pirata (DSS-DirectTV) funzionanti mentre con questo controllo verrebbero messe tutte KO. E’ una scelta del broadcaster? Chissa?
Preciso inoltre che quanto sopra si riferisce al sistema NDS americano e come tale potrebbe differire leggermente dalla versione europea.
este es el siguiente
Studio-nds2 &kkaino group
questo doc e solo a scopo di studio ed non fa miracoli !!
conetti il software vai nella sezione bug 58 ti troverai una finestra con 5
box il primo bug serve per ripristinare la card naturalmente con le ins richieste !!
len 47 38 4c Ripristino Attivazione
LE TRE INS CONSIGLIATE DA USARE SONO LEN 47 38 4C (52 27 21 DA TESTARE)
Es. di INS Len ATTIVAZIONE
LEN 38=Attivazione-->com.90
LEN 45=Attivazione-->com.90
LEN 47=Attivazione-->com.90
LEN 48=Attivazione-->com.90
LEN 49=Attivazione-->com.90
LEN 4A=Attivazione-->com.90
LEN 4C=Attivazione-->com.90
LEN 50=Attivazione-->com.90
LEN 5B=Attivazione-->com.90
LEN 52=Attivazione-->com.90 ********************Cambia il Promotion
Per usare questo tipo di bug dobbiamo sfruttare dalle due alle tre ins, di cui una deve essere l’ATTIVAZIONE e le altre due ins 38 e 4c, in realta’ le ins 38 e 4c ci abiliteranno alla scrittura della attivazione inviata per la seconda o terza volta che sia (l’attivazione darebbe 9080 , quindi status non buono) , invece il nostro fine e’ FARLA ACCETTARE.
La decisione su usare due o tre ins e’ facile da prendere, basta che una delle due (38 o 4c) scriva.
Per capire se la 38 o la 4c abbiano creato degli effetti basta mandare dopo il loro invio (per ciascuna di essa) subito una ins 58.
Allora ora vediamo come effettuare questo ciclo:
prima di tutto invio normale della ins 38 che ci dara’ un bel 9081
D04200003880F790364402E1DAAC6CB7CB7E26AB0B6E9AC05C AA37B8DAF88210DD7CAE71BCF16E8A1B031EC8B0A5D9671081 3E3CFDFCF2D725827C11CD41AB
poi invio della 4c che scrivera sempre con un bel 9081
Questa e’ la procedura con tre ins, a due ins basta eliminare il passo 1 o il passo 2 a scelta, a seconda di qualle delle due ins effettua una scrittura.
Giusto per precisare l’ATTIVAZIONE di una card mandata la prima volta ti scrive, le volte successivamente ti apre solo i FILTRI, ma non scrive nulla.
Quindi riepilogando le ins 38 e 4c con un bel sw 9081 non fanno altro che preparare alla scrittura la nostra card, poi per poter FAR COMBACIARE LA DATA DELLA 58 CON QUELLA TIERS, Iinviamo la ins 58 glitchata che ci mettera’ alla fine della 58 stessa la da ad FFFF, e poi (se non abbiamo tiers), scriviamo i tiers (come vedremo in seguito), oppure se abbiamo tiers cambiamo la data in FFFF.
Il bug 58 serve solo sulle card abbonate e basta, su quelle che hanno lo status 25 non abbonate o quelle con status 24 etc, non servirà a niente.
Anche se si riuscisae a portare il nano DF della 58 ad FFFF nelle card NDS esiste un altro controllo simile a quello del CS del seca , un controllo sul CW quindi un’altro check che comunque non abilita la visione. Ecco perché occorrono le card abbonate
Cambio Data Mirata (da terminare test)
Nel secondo box mettiamo due aggio indifferenti e premi invio da testare bene combinazione per mettere data giusta, cercando di usare due aggio con data non molto lontana, altrimenti potrebbe non fungere
per farlo funzionare sulle abbonate occorrono ins che scrivono nel giusto punto, altrimenti si perde solo tempo
Ricordate che le ins devono avere la 10 byte **** uguale
A questo punto se la card vi a risposto con un 9081 vi troverete la card aggiornata al mese ricorrente !!!
LEN 47 --> cmd 90 --> k*y 44 < attivazione - dati cryptati >
LENi 48 --> cmd 90 --> k*y 44 < ????? - dati cryptati >x logica attivazione
LEN 4A --> cmd 90 --> k*y 44 < attivazione - dati cryptati >
LEN 4C --> cmd 90 --> k*y 44 < attivazione - dati cryptati >
LEN 50 --> cmd 90 --> k*y 44 < attivazione - dati cryptati >
LEN 5B --> cmd 90 --> k*y 44 < attivazione - dati cryptati >
LENi 1C --> cmd 90 --> k*y 44 < aggio tiers - dati cryptati >potrebbe essere anke disattivazione
LEN 1E --> cmd 90 --> k*y 44 < aggio tiers - dati cryptati >
LEN 1F --> cmd 90 --> k*y 44 < aggio tiers - dati cryptati >
LEN 20 --> cmd 90 --> k*y 44 < aggio tiers - dati cryptati >aggio ti3rs e disattivazione canali opti0ns;
LEN 21 --> cmd 90 --> k*y 44 < aggio tiers - dati cryptati >
LEN 22 --> cmd 90 --> k*y 44 < aggio tiers - dati cryptati >
LENi 13 --> cmd 90 --> k*y 44 < disattivazione - dati cryptati >lascia il fuse a 25
LENi 14 --> cmd 90 --> k*y 44 < disattivazione - dati cryptati >lascia il fuse a 25
LEN 15 --> cmd 90 --> k*y 44 < disattivazione - dati cryptati >
LEN 16 --> cmd 90 --> k*y 44 < disattivazione - dati cryptati > azzera 03 20 solamente
LEN 17 --> cmd 90 --> k*y 44 < disattivazione - dati cryptati >
LEN 1A --> cmd 90 --> k*y 44 < disattivazione - dati cryptati >
LENi 24 --> cmd 90 --> k*y 44 < disattivazione - dati cryptati >potrebbe anke essere aggiornamento
LEN 26 --> cmd 90 --> k*y 44 < disattivazione - dati cryptati >
LEN 2A --> cmd 90 --> k*y 44 < disattivazione - dati cryptati >
LEN 3B --> cmd 90 --> k*y 44 < disattivazione - dati cryptati > porta il FB a 24
X la len 49 non c'è niente........x la 1C già si
ATTIVAZIONI:
LEN 38=rinascita-->com.90
LEN 45=rinascita-->com.90
LEN 47=rinascita-->com.90
LEN 48=rinascita-->com.90
LEN 49=rinascita-->com.90
LEN 4A=rinascita-->com.90
LEN 4C=rinascita-->com.90
LEN 50=rinascita-->com.90
LEN 5B=rinascita-->com.90
len 6b rinascita
AGGIORNAMENTI:
LEN 1C= Riscrive i ti*rs (ma potrebbe essere anche una dis*********....)
LEN 20= Aggiorna ti*rs al mese successivo
LEN 21= Aggiorna i ti*rs di 20 giorni in avanti
LEN 1E= Aggiorna i ti*rs
LEN 1F= Aggiorna i ti*rs
LEN 22= Riscrive i ti*rs
-------------------------------------
DISATTIVAZIONI:
LEN 13=pialla i ti*rs
LEN 14=pialla i ti*rs
LEN 15=pialla i ti*rs
LEN 16=pialla i ti*rs
LEN 17=pialla i ti*rs portando il fuse a 24/04
LEN 18=pialla i ti*rs
LEN 1A=pialla i ti*rs portando il fuse a 24/04
LEN 24=pialla i ti*rs portando il fuse a 24/04
LEN 26=pialla i ti*rs
LEN 27 porta il f.b. a 24.........
LEN 28=pialla i ti*rs portando il fuse a 24/04
LEN 2A=pialla i ti*rs e ti porta il fuse a 24/04
len 34 pialla i tiars porta uil fuse a 24
D14200005590534402... --> len 55 rinascita
D14200005890564402... --> len 58 rinascita
D142000020901E4402... --> len 20 aggiorna ti*rs al mese successivo
D14200001B90194402... --> len 1B aggiorna ti*rs ??
D14200001A90184402... --> len 1A aggiorna ti*rs (si è visto che aggiorna i ti*rs dopo aver ricevuto la cancella ti*er len 15)
D14200003B90394402... --> len 3B chi può dirlo? fai attenzione
D142000021901F4402... --> len 21 Aggiorna i ti*rs di 20 giorni in avanti
D14200004790454402... --> len 47 rinascita
queste ins sono aggiornate a oggi con nuova len 27 che sembra porta il fuse a 24,
aggiornamento al 7 maggio
len 26= a maggio ha aggiunto i canali opzional provata da me base
len 28= a maggio ha aggiunto i canali opzional provata con pacchetto base+ sport
otro mas
Trovate queste:
Len: 21 Chiave: 44 INS_82: 30 Database Name: 1 dic 05
Comando:
D142000021901F4402B02A72D6829E3F41B50EFE5456260553 3E035DB796A71A B10C4E7A34A3
Len: 21 Chiave: 44 INS_82: 30 Database Name: 2 dic 05
Comando:
D142000021901F440279E657E9766B2C7ABF3D59E51D1904F2 401280276ED975 6E19001EB7D7
Len: 20 Chiave: 44 INS_82: 30 Database Name: 17 nov 05
Comando:
D142000020901E44020AD4BF4F60D328C8DADFBE4671172235 145712CFC8F5F5 2841AD3302
Len: 15 Chiave: 44 INS_82: 30 Database Name: 2 nov 05
Comando:
D1420000159013440221C6DDA7676408F3950AF9B1F81362D8 D4
Len: 15 Chiave: 44 INS_82: 30 Database Name: 1 nov 05
Comando:
D142000015901344020E675033B8F79482B6AFE8B2B230F2A4 D9
Len: 15 Chiave: 44 INS_82: 30 Database Name: 1 ott 05
Comando:
D14200001590134402AD3B877FD27804A8CFB5580961AB5AE2 76
Len: 20 Chiave: 44 INS_82: 30 Database Name: 1 ott 05
Comando:
D142000020901E4402CAD82A26509D7C8363B12B9BF6DC93A5 78C403992F34FD 98E00AE5C3
Len: 15 Chiave: 44 INS_82: 30 Database Name: 13 ott 05
Comando:
D142000015901344020E675033B8F79482B6AFE8B2B230F2A4 D9
Len: 15 Chiave: 44 INS_82: 30 Database Name: 23 set 05
Comando:
D14200001590134402AD3B877FD27804A8CFB5580961AB5AE2 76
Len: 1C Chiave: 44 INS_82: 30 Database Name: 07 06 06
Comando:
D14200001C901A440238723B11B2AAA77D7F3ECA2356B6F6C5 6F07298DFA0BE2 FC
Len: 1C Chiave: 44 INS_82: 30 Database Name: 4 apr 06
Comando:
D14200001C901A4402B841FCD95EFB7783FC92175D6948F4D3 D78BEC7608D143 BE
Len: 21 Chiave: 44 INS_82: 30 Database Name: 1 mar 06
Comando:
D142000021901F4402F922AB7D25FC07213BA139D3612E4BDF FE7CB04282885B 11CF7121B496
Len: 21 Chiave: 44 INS_82: 30 Database Name: gen-9
Comando:
D142000021901F4402F5AEDCC956E30F5482B0E9207BAA7D21 577256C94EA127 E6DE168EF5A1
Len: 3B Chiave: 44 INS_82: 30 Database Name: gen-30
Comando:
D14200003B903944021A0D40EF71356E61D0430FB4A9112A51 0D46CD5327E40E 9BBDA00E8D9E01933FDEF7D14AFC76515C649A7C2C362F0D78 1598B4CCB73FEA
Len: 20 Chiave: 44 INS_82: 30 Database Name: gen-28
Comando:
D142000020901E4402626286BEB0C65E11725E105AD90D85FC 4A49137683C989 204AC1A3AE
Len: 21 Chiave: 44 INS_82: 30 Database Name: gen-30
Comando:
D142000021901F44027C5EC7B037D4C4ECABA9120D1DE508EC A469BCED851164 D99EDF7AAD19
Len: 1C Chiave: 44 INS_82: 30 Database Name: 10 05 06
Comando:
D14200001C901A4402B6368E564834C4B00B216DC14DBE10D7 37EA3AA03CEA80 20
Len: 1C Chiave: 44 INS_82: 30 Database Name: 10 ago 06
Comando:
D14200001C901A4402BA5682C89453EDFC22D65308C7A631E7 C7079E79B74A35 8F
Len: 1C Chiave: 44 INS_82: 30 Database Name: 10 ott 06
Comando:
D14200001C901A4402B19C0082906A363A7A323A75048042A4 989D4CD6024A42 DE
Len: 1C Chiave: 44 INS_82: 30 Database Name: 11 sett 06
Comando:
D14200001C901A4402968C2A22E529DE1ABDA916B58185B711 084C728AFEE467 14
Len: 1C Chiave: 44 INS_82: 30 Database Name: 15 lugl 06
Comando:
D14200001C901A4402232F289EFE3B63DD4D03C28CE0F045EB 8062071FE7957B 4C
Len: 1C Chiave: 44 INS_82: 30 Database Name: 15 sett 06
Comando:
D14200001C901A4402171B88FDAAA3FD47981ECB9F93B2479F 3EB0BC3EB72261 B8
Len: 1C Chiave: 44 INS_82: 30 Database Name: 2 ago 06
Comando:
D14200001C901A4402E6A76864D8A6FEBC7985D3023B1D94E2 C64247AB8F7796 E2
Len: 1C Chiave: 44 INS_82: 30 Database Name: 16 apr 06
Comando:
D14200001C901A44024B2B1A51B922B9A225551B657F9CE1F6 DFC8305E4E2901 1E
Len: 1C Chiave: 44 INS_82: 30 Database Name: 18 mar 06
Comando:
D14200001C901A4402B841FCD95EFB7783FC92175D6948F4D3 D78BEC7608D143 BE
Len: 21 Chiave: 44 INS_82: 30 Database Name: dic-21
Comando:
D142000021901F440279E657E9766B2C7ABF3D59E51D1904F2 401280276ED975 6E19001EB7D7
Len: 21 Chiave: 44 INS_82: 30 Database Name: dic-31
Comando:
D142000021901F4402F5AEDCC956E30F5482B0E9207BAA7D21 577256C94EA127 E6DE168EF5A1
Len: 21 Chiave: 44 INS_82: 30 Database Name: feb-13
Comando:
D142000021901F4402E8A9F607FFFBCE54B309F2B3FAD35BDE 5AF6BBF586677E 2BC10C25E2EF
Len: 1C Chiave: 44 INS_82: 30 Database Name: gen-16
Comando:
D14200001C901A4402AD97D2C590539C0EEAC7BDFC3AC792B8 D346F0D6FBCA3E 91
Len: 20 Chiave: 44 INS_82: 30 Database Name: gen-22
Comando:
D142000020901E4402626286BEB0C65E11725E105AD90D85FC 4A49137683C989 204AC1A3AE
Len: 1C Chiave: 44 INS_82: 30 Database Name: 24 giug 06
Comando:
D14200001C901A440238723B11B2AAA77D7F3ECA2356B6F6C5 6F07298DFA0BE2 FC
Len: 1C Chiave: 44 INS_82: 30 Database Name: 26 mag 06
Comando:
D14200001C901A440272AD0A1F61096CD0CB3214AC7507E360 D91B4B9D5A9B56 B8
Len: 1C Chiave: 44 INS_82: 30 Database Name: 27 ago 06
Comando:
D14200001C901A4402968C2A22E529DE1ABDA916B58185B711 084C728AFEE467 14
Len: 1C Chiave: 44 INS_82: 30 Database Name: 27 set 06 b
Comando:
D14200001C901A4402171B88FDAAA3FD47981ECB9F93B2479F 3EB0BC3EB72261 B8
Len: 1C Chiave: 44 INS_82: 30 Database Name: 24 apr 06
Comando:
D14200001C901A44024B2B1A51B922B9A225551B657F9CE1F6 DFC8305E4E2901 1E
Len: 21 Chiave: 44 INS_82: 30 Database Name: 26 feb 06
Comando:
D142000021901F4402F922AB7D25FC07213BA139D3612E4BDF FE7CB04282885B 11CF7121B496
Len: 1C Chiave: 44 INS_82: 30 Database Name: 31 mag 06
Comando:
D14200001C901A440272AD0A1F61096CD0CB3214AC7507E360 D91B4B9D5A9B56 B8
Len: 1C Chiave: 44 INS_82: 30 Database Name: 30 ago 06
Comando:
D14200001C901A4402968C2A22E529DE1ABDA916B58185B711 084C728AFEE467 14
Len: 1C Chiave: 44 INS_82: 30 Database Name: 30 sett 06
Comando:
D14200001C901A4402171B88FDAAA3FD47981ECB9F93B2479F 3EB0BC3EB72261 B8
Len: 1C Chiave: 44 INS_82: 30 Database Name: 31 lugl 06
Comando:
D14200001C901A4402E6A76864D8A6FEBC7985D3023B1D94E2 C64247AB8F7796 E2
Len: 1C Chiave: 44 INS_82: 30 Database Name: 6 ago 06
Comando:
D14200001C901A4402BA5682C89453EDFC22D65308C7A631E7 C7079E79B74A35 8F
ESTE ES EL MAS CLARIFICADOR, ENTRE OTRAS COSAS PORQUE COMENTA PASO A PASO COMO SE HACE
NDSFAQ V1.0
Struttura dei Comandi NDS
By LINIXONE
Questo è un documento dedotto finora dai log nds. Ci possono essere alcuni errori. Per favore inviate le informazioni supplementari anche sui forums Nds.
Queste informazioni sono per la partecipazione alla studio e per scopi istruttivi solamente. Non ci sta niente in questo testo che abiliterà la decodificazione del sistema nds. Questo è un documento dedotto finora dai log nds. Ci possono essere alcuni errori. Per favore inviate le informazioni supplementari in uno dei boards/forums Nds.
Queste informazioni sono per la partecipazione alla studio e per scopi istruttivi solamente. Non ci sta niente in questo testo che abiliterà la decodificazione del sistema nds.
Analizziamo l’atr di una card nds
ATR: 3F 7F 13 25 02 40 B0 0C 69 FF 4A 50 C0 00 00 52 53 00 00 00
Convention: INVERSE
Protocol: T=0
TA1 = 13
TB1 = 25
TC1 = 02
Historical Bytes: 40 B0 0C 69 FF 4A 50 C0 00 00 52 53 00 00 00
@ ° i ÿ J P À R S
Programming Voltage = 5.0 volts
Programming Current = 50ma
Maximum Clock Frequency = 5.0MHz
Assuming a 3.5790MHz clock:
Work ETU = 0.0000259849 seconds
Guard Time = 0.0003637887 seconds
Baud Rate After Reset = 38484
La Struttura di una istruzione nds .
Il sistema nds riconosce tre livelli di comandi . E' importante distinguerli :
1 - Istruzione : Una funzione che interviene per mezzo di determinati valori assegnati all’ INS-Byte .
2 - Comando : Una funzione che interviene per mezzo dei valori inseriti nel Pacchetto – dati ( data packet ) . E’ la parte che segue l’invio di una istruzione .
3 - Nanocomando o Nano : è parte dell'esecuzione di ogni istruzione ed è inserito nel data-packet .
Una istruzione Nds ha la seguente struttura :
CLA INS P1 P2 (I) LEN / P3 DATA 67 08 SIG
CLA = Class Byte ( L'unica CLASSE valida per nds è 48 )
INS = Instruction Byte
P1 = Parameter or reference byte
P2 = Parameter or reference byte
(I)LEN / LEN / P3 = Lenght byte ( lunghezza della stringa di risposta in esadecimale )
DATA = dati che compongono l'istruzione ; non è uguale per ogni istruzione ( contiene comandi e Nano-comandi seguiti dai relativi dati )
67 08 = NANO 67 08 ( seguito dalla signature )
SIG = Signature ( composta da 8 bytes , non è necessaria per tutte le istruzioni )
In ogni stringa di risposta delle card troveremo il byte di istruzione all'inizio ( acknowledge byte) .
Questo byte non fa parte della stringa di risposta , così come gli status bytes 90 20 , 90 00 ecc.
Gli status bytes , di regola , ci dicono se un comando è stato correttamente eseguito .
90 20 ci dice che un comando è stato correttamente eseguito . ( vedi Status-Bytes)
Per i dati validi che otteniamo come ritorno dalla card nella stringa di risposta , parliamo di ECHO .
Un NANO ha la seguente struttura :
xx_yy = Nano xx di lunghezza yy .
Ci sono poi nano composti da un solo byte xx la cui lunghezza è definita.
Status-bytes
Questi bytes ci danno una indicazione che non necessariamente specifica un errore .
La scheda deve ricevere il numero di IRD corretto prima di darà le risposte valide ad ECMs e EMMs.
90 00 (non ok)
90 20 (ok)
90 80 (non ok)
90 A0 (non ok)
90 21(ok)
__________________________________________________ _________________
Esame dei comandi nds:
1. Alla partenza dopo il reset otteniamo il comando 48_52. Questo chiede alla scheda 14h bytes. I primi 4 byte di questi rappresentano il Serial Number.
Il quinto byte (può valere 00,01,02,03,08,10,11) è rappresenta lo stato della card.
Il resto dei byte sono sempre 01 19 11 00 0c 09 00 01 02 03 04 10 01 00 00
2. Il prossimo comando è 48_58. Questo chiede alla scheda 35h bytes.
00 01 09 60 00 SN SN SN ff ff ff ff 00 SN SN 00
ff ff ff 00 00 00 00 00 00 00 00 00 08 00 00 00
00 00 00 00 00 00 00 00 47 42 52 00 01 00 00 01
00 00 00 00 00
Il primo byte rapprsenta il "fuse byte" e indica se la card e virgin o married o active or deactivated.
00 - Virgin
05 - Married/FTV only?
20 - Virgin/??
24 - Married/Deactivated?
25 - Married/Activated
Il fuse byte è settato durante l’attivazione iniziale con il nano 3d.
poi 01 09 60 sempre uguale (?)
00 SN SN SN card Serial number (unique address)
ff ff ff ff
00 SN SN 00 primi quattro byte del serial number (shared address)
ff ff ff 00 00 00 00 00 00 00 00 00 08 00 00 00 00 00 00 00 00 xx xx xx
poin 47 42 52 "GBR" sulle card inglesi oppure “ITA” su quelle italiane
alla fine 00 01 00 00 0x 0x 00 00 00 00
00 xx xx xx ouò variare. Ciò è scritto con il nano 4E all’attivazione.
3. IRD Serial Number. L’IRD manda 09 bytes con il comando 48_4c
dall’ IRD IN IN IN IN 02 00 00 XX 02
I primi quattro bytes sono IRD number.
Se la card appartiene a questo decoder risponde 90 20 (OK).
Se la card non appartiene a questo decoder (o è virgin) risponde 90 00 (Non OK).
Se la card ha il fuse byte settato ma è unmarried, questo comando scrive il numero IRD sulla scheda, in tal modo completando il matrimonio (sw1/2 = 90 a1).
Se il numero IRD è settato a 00 00 00 00 puè essere accettato da ogni decoder.
La scheda deve ricevere il numero di IRD corretto prima di darà le risposte valide ad ECMs e EMMs.
4. Alla card vengono poi chiesti 09 bytes con il cmd 48_2c.
Questo legge il PIN e il Parental Control Byte(PCB).
La card risponde
xx xx ff ff 00 00 3f 00 00 (card attiva)
o xx xx ff ff 00 00 ff ff f1
o 00 00 00 00 00 00 00 00 00 (su una 3E card?)
dipende dalla sua condizione. I primi due byte xx xx sono il Pin della card.
Per convertire il Pin decimale in xx xx dobbiamo convertirlo in hex e poi aggiungere 8000h.
Es. le ultime quattro cifre del numero della card sono 1234 (default PIN).
Convertire in hex = 04D2
aggiungere 8000
PIN sulla card = 84D2
Possiamo cambiare il PIN usando il command 48_2e_80.(lo vedremo in seguito)
Il Byte Parental Control (PCB) è il settimo byte e può valere:
1F = 18,
2F = 15,
37 = 12,
3B = PG,
3D = universal,
3F = unrestricted,
39 = U+PG
0F = 15+18
07 = 12+15+18
03 = PG+12+15+18
01 = U+PG+12+15+18
FF = all blocked?,
00 = all blocked
Il livello del parental control è selezionato nel servizio parental control del menu. Questo insieme con il rating byte inviato nell’ECM può essere usato dall’abbonato per bloccare la programmazione di un canale.
Il PCB è settato usando il cmd 48_2E_40 . Lo vedremo in seguito
5. Dopo noi abbiamo un cmd ripetuto spesso. L’IRD chiede 4 bytes alla card con 48_5c
La card risponde sempre 00 00 00 00
6. 48_1c chiede alla card 20h bytes - Il Region Code.
47 42 52 XX 00 00 00 00 00 00 00 00 00 00 00 00 "GBR" o “ITA” cards.
00 00 01 xx xx 00 00 00 00 x0 xx 00 08 00 03 0x
Il 4th byte è 00 (virgin) o 01, 02 o 08 (card attiva).
Il "GBR XX" viene mandato con il nano 75_13 per specificare una regione. Lo vedremo dopo.
Gli ultimi quattordici bytes sono tutti a zero nelle schede vergini.
Questi sono scritti con il nano 75_0f nell'attivazione intiziale.
Questo cmd è anche mandato in seguito a un cambio canale così da poter testare il titolo regionale.
7. GLI ECM Poi seguono i cmd maggiori.Questi vengono inviati circa ogni 7 secondi. 48 40 40 80 xx La lunghezza del pacchetto può variare a seconda del numero di canali visibili
canale di stream criptato
00 7E 12 00 00 00 00 00 00 00 00 B2 84 15 C1 12 44 4B 8A 00 00 09 10 10 00 01 3C 14 7B E8 02 01 03 00 01 C0 03 00 09 C0 03 00 0A C0 03 00 42 C0 03 00 43 C0 03 FF FF C0 03 FF FF C0 03 FF FF C0 03 FF FF C0 03 FF FF C0 03 FF FF C0 03 FF FF C0 03 FF FF C0 03 FF FF C0 03 FF FF C0 67 08 C5 AB EA 01 99 4A 8E A6
7e_12 CW nano
00 00 00 00 00 00 00 00 ECW1 sempre zero quando mandato con il nano 7e_12
B2 84 15 C1 12 44 4B 8A ECW2
00 00
09 10 10 00 (09 nano - *** 10)
01 3C 14 7B E8 (01 nano – carica date e time)
02 01 (02 nano - rating byte - program content)
03 00 01 00 (03 nano - verifica channel entitlements)
03 00 09 00 Questa lista di pacchetto deve includere questo canale criptato
03 00 0A 00
03 00 42 00
03 00 43 00
67_08 Signature nano
C5 AB EA 01 99 4A 8E A6 signature calcolata con *** 10
---------------
Canale 5 sky
48 40 40 80 37 [40] 00 7e 12 00 00 00 00 00 00 00 00 4d 23 cb 4e 15
68 cd 6c 00 00 09 10 10 00 01 36 14 91 36 02 40
24 38_05 08 00 1a 00 1d 04 03 00 1d 00 67 08 7f 38_05 nano
f3 a9 99 b0 e5 5f f0 90 20
Sempre Channel 5 qualche secondo dopo
48 40 40 80 37 [40] 00 7e 12 00 00 00 00 00 00 00 00 2a b2 7e 30 61
b0 bb 9b 00 00 09 10 10 00 01 36 14 91 3c 02 00
24 38_05 08 00 1a 00 1d 04 03 b7 65 00 67 08 eb
97 8f e9 6a 72 6b 64 90 20
Da notare che l’ultimo byte del Time si è incrementato e per ovvie ragioni alcuni byte dell’ entitlement hanno cambiato. Questo può essere associato con un cambio nel byte di rating.
L’ID dell’autorizzazione(entitlement) del canale è rappresentato dai due bytes dopo il nano 03 .
Questi due byte devono corrispondere a ID entitlement che sono sulla card.
Questi entitlements possono essere letti con il cmd 48_2a .
Per una card stream basic sono:
00 01 xx Cx Stream basic
00 96 xx Cx Stream basic
00 31 xx Dx Stream calcio sc1…6
00 33 xx Dx Stream sport
00 34 xx Dx Cinema stream
Gli ultimi due bytes dipendono dalla data di scadenza dell’ entitlement.
Il primo byte della data rappresenta l’anno e il mese. Il secondo byte ha sempre alto i nibble a Ch o Dh. Questi nibbles ricoprono il nibble alto del giorno quando viene inviato un entitleement di aggiornamento.
esempio
channel entitlement originale
00 01 3A C5
La card riceve questo cmd di aggiornamenro
41 00 01 3A 1A
viene scritto questo sulla card
00 01 3A DA
Questi sono gli entitlements che valgono per Sk* 1
b7 23 xx Cx
b7 57 xx Cx
b7 59 xx Cx
b7 5a xx Cx
b7 5b xx Cx
Quindi se questi IDs non sono persenti in una card non è possibile vedere quei canali.E’ il caso delle card scadute.
In alcuni momenti gli ECMs hanno lunghezza diversa quindi abbiamo due tipi di ECW. Questi usano i nano 7e_12 e 7f_12. Loro hanno anche alcuni addizionali nanos/flags.
48 40 40 80 4e [40]
00
7e_12 CW nano (tipo e)
00 00 00 00 00 00 00 00 ECW1
56 62 6e 2f f9 fd c7 55 ECW2
00 00
7f_12 CW nano (tipo f)
07 7e a6 fb d9 86 c5 27 ECW1
b2 ad d0 c3 69 65 ea 1d ECW2
c4 99 ??
09 10 10 00 Seleziona la ***
01 39 01 ad 39 Setta date e time
cb_02 ff ff nano e data (sempre FF FF?)
02 40 rating byte
24 nano o flag?
38_03 08 00 18 nano e data (La lunghezza può essere 05 o 07)
25 Flag che indica il Region Code che deve essere settato correttamente
03 00 1d CHID o tiers
00
67 08
9a 3d db 7f c2 12 c0 b2
90 20
-----------------------------------------------------------------------------
Alcuni PPV ECMs sembrano avere un differente P1
48 40 60 80 75 [40] 00 7e 12 00 00 00 00 00 00 00 00 e0 44 ad bb e4
94 c5 bc 00 00 7f 12 26 56 e6 f9 6f 2e 90 49 e8
54 75 b9 72 e2 35 cc 68 8b 09 10 10 00 01 39 0a
81 6b cb 02 ff ff 02 52 03 5d 68 c0 03 b7 f4 c0
03 b8 28 c0 38 03 08 00 cc 25 04 4d 0e 5d 68 39
10 00 65 06 00 00 a3 e3 00 d9 e4 4d 0e 5d 68 39
10 00 65 06 00 01 45 e3 01 b1 e4 67 08 b6 b4 18
7c 9f 8c d1 28 90 a0
----------------------------------------------------------------------------
Il Rating Byte che segue il nano 02 descrive il tipo di contenuto della programmazione
00 = encrypted (Universal)
40 = encrypted (Universal)
41 = encrypted/ppv (Universal)
42 = encrypted/ppv (PG)
43 = encrypted/ppv (12)
44 = encrypted/ppv (15)
45 = encrypted/ppv (18)
51 = ppv (12)
52 = ppv (15)
53 = ppv (18)
80 = Information/announcement channels
-----------------------------------------------------------------------------------
8. La card risponde all’ ECM 48_54 con la lunghezza di 0Fh bytes
43 2e ea 56 1c a4 9e ff f5 79 00 00 40 03 00
Questa deve includere una DCW di 8 byte più altri due byte ignoti (oppure la DCW è di 10 byte).
Lo status bytes di risposta può essere 90 00 o 90 0a - non OK, 90 20 OK
Se la scheda non è valida ritorna ancora al primo dei due ECMs (90 00 - not OK) ma poi quando decripta con il 54 ritorna
00 00 00 00 00 00 00 00 00 00 00 00 80 04 04 (90 20) canale non disponibile
or 00 00 00 00 00 00 00 00 00 00 00 08 00 04 14 (90 00) card errata
9. L’interessante EMMs 48_42. Questo ha una lunghezza variabile 16h, 22h, 30h, 31h, 35h o 3Eh etc.
Questo può essere indirizzato
1) a tutte le card usando un *** 10 pubblica (qualche volta usando un filtro sul codice postale)
2) a un gruppo di cards (usando shared address/CUSTWP bitmap con una *** di gruppo *** 12)
3) 3 a una singola card usando la *** 14 privata e indirizzando il comando all’ unique address(indirizzo unico seriale della card).
Da questo possimo dedurre per i punti precedentemente visti
1) la *** 10 è uguale per tutte le schede
2) la *** 12 è uguale per tutte le schede che hanno lo stesso shared address quindi i primi due byte del numero di serie ss ss xx shared address è ss ss quindi per un gruppo di 256 schede
3) la *** 14 è diversa per ogni scheda infatti il comando va indirizzato direttamente al numero di serie.
EMM lungh 16h questo può essere usato per settare date e time.
09 10 00 00 Seleziona la *** 10 pubblica (tutte le cards)
01 36 15 91 1d Setta date e time
10 cc 33 nano 10 e due byte di dati che si incrementano al successivo EMM
67_08 nano di Signature
d8 2f 9a 8e 40 0b 3e 6a signature
90 20
-----------
EMM lung 30h
09_10 00 00 Seleziona la *** 10 pubblica (tutte le cards)
(24) questo byte non è sempre presente. Flag o nano?
38_09 nano del codice postale
06 Apre il filtro della card sequesto è il post code
48 52 33 20 20 35 51 41 "HR3 5QA" postal code
6d_09 nano e lunghezza
01 08 00 73 17 92 9f ff ff data – sempre la stessa? Questa è stata trovato nella stringa 48_78
6d_09 nano
02 03 45 57 60 00 ff ff ff data – sempre la stessa??
67_08 sign nano
60 7f c9 6b dd f4 8c e6 sign
-----------
EMM lung 31h
09 10 00 00 Seleziona la *** 10 pubblica (tutte le cards)
24 questo byte non è sempre presente. Flag o nano?
38_09 nano del codice postale
06 Apre il filtro della card sequesto è il post code
4c 4e 32 20 20 34 50 5a "LN2 4PZ"
19 00 Setta il time zone a 00 (GMT)
75_13 Nano e lenghezza
00 47 42 52 XX 00 00 00 00 00 00 00 00 00 00 00 00 00 00
67_08
59 16 84 78 a0 d5 ef 8a sig
Questo EMM setta il Time Zone e il Region Code.
Data "GBR Region byte". Può valere 01, 02, 08, 10 and 1b. Questo byte è probabilmente una specifica regione (country?) codice abbinato al Postal Code.
01 tutti i codici postali England?
02 è per i for codici postali AB, DD, DG, EH, FK, G, HS, IV, KY, KA, KW, ML, PA, PH, TD, ZE. scozzesi
08 è per i for codici postali CF, CH, HR, LL, LD, NP, SA, SY. Welsh
10 è associato con "Postal Code?" "BTxx"
1b è associato con "Postal Code?" "UKxx".
-----------
EMM lungh 35h
09 10 00 00 Seleziona la *** 10 pubblica (tutte le cards)
24
38 09
06
4c 53 31 37 20 38 42 51 "LS17 8BQ"
6e_07 Nano
06 01 01 01 01 20 08 Data
6e_07
07 01 01 01 01 8f 00
6e_07
08 01 01 01 01 20 00
67_08
7a ee 04 4c 88 66 db 0a Sig
-----------
EMM lungh 3Eh
09 10 00 00
24
38 09
06
47 4c 37 20 20 33 53 44 "GL7 3SD"
6e_07
01 01 01 01 01 8f 00
6e_07
02 01 01 01 01 8f 00
6e_07
03 01 01 01 01 8f 00
6e_07
05 01 01 01 01 8f 00
67_08
e1 29 d2 77 3c 0d f3 11
I seguenti comandi sembrano essere EMM di attivazione. Indirizzati di solito ad un bitmap di Address/CUSTWP condiviso.Questi passano ogni dieci minuti. I Diritti di visione dei canali sembrano essere attivati uno alla volta. Questo dà una spiegazione perché quando una scheda si attiva i canali non sono visionabili tutti nello stesso tempo.
EMM indirizzato a SA/CUSTWP bitmap Card scaduta
48 42 00 00 3c [42]
09 12 00 00 Selez. Non publ *** 12 di gruppo
33 nano indirizz. shared addr
00 SN SN Shared Address
00 02 00 00 00 00 00 00 00 00 0c 00 00 00 02 80 CUSTWP bitmap
10 00 00 00 02 00 00 00 00 00 00 02 00 00 80 20
41 b7 21 38 06 Channel Entitlement cambiato e date di scadenza
C0 ???
25 ???
42 b7 21 Channel Entitlement
67_08
97 d2 a5 bd df 5f e7 eb
90 80 Not OK.
EMM indirizzato a SA/CUSTWP bitmap card valida
48 42 00 00 3c [42]
09 12 00 00 Selez. Non publ *** 12 di gruppo 12
33 00 SN SN nano + Shared A.
00 00 22 00 00 06 02 30 84 40 02 00 00 00 10 00 CUSTWP bitmap
00 40 00 40 00 00 04 20 40 00 10 00 00 00 20 00
41 b7 77 38 0f Channel Entitlement cambiato e date di scadenza
c0
25
42 b7 77 Channel Entitlement
67_08
1a 56 57 00 de 40 64 74
90 a0 non ok. Scheda non compresa in un gruppo di bitmap valido.
La stessa card dieci minutes dopo
48 42 00 00 3c [42]
09 12 00 00 33 00 SN SN
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 10 00 00 00 00 00 00 00 00 00 00 00 00 una sola card indirizzata
41 b8 2d 38 09 nuovo Channel Entitlement cambiato e data di scadenza
c0
25
42 b8 2d
67_08
ae d2 35 47 a7 46 66 f0
90 a0 Non OK. Non può essere scritto sulla card non indirizzata.
Un cambio con successo
48 42 00 00 3c [42]
09 12 00 00 33 00 SN SN Shared address e
ff 7e 1f ec d8 3c 29 b9 c9 ab e9 a2 fc 58 cf 6d 20h bytes di CUSTWP bitmap
9d fd 1e 9c 2b ed 73 e4 e2 f6 34 cb 36 1f 7e 39
41 00 1d 38 1b BBC channel entitlement ID
c0
25
42 00 1d
67_08
e4 5c eb c7 64 2c 97 31
90 21 OK. Accepted
----------------
L’EMM PPV usa INS 46
48 46 20 01 3e [46] 1f 08 09 10 00 00 01 39 04 0c 70 02 52 38 03 08
00 cc 25 04 4d 0e 1e 00 39 10 00 65 06 00 00 a3
e3 00 d9 e4 4d 0e 1e 00 39 10 00 65 06 00 01 45
e3 01 b1 e4
67 08 f1 54 d4 97 66 c3 7b 37
90 a0 Not OK
Zero Knowledge Test (verifica della presenza della card).
Questi tre comandi mandano un messaggio ogni minuto per verificare che la scheda nel decoder è una scheda nds vera.
9. 48_4A 10 01 01 (01)
L'IRD spedisce un byte ( sempre 01?) alla scheda. Questo seleziona un seme che è quello che deve essere usato per un numero casuale "R" da generarsi per la scheda. Finora un solo seme è stato sempre usato nel PRNG. [90 00 non TUTTO BENE, 90 20 TUTTO BENE].
10.48_5A. Dopo l'IRD chiede alla scheda di spedisca una stringa di 64 byte del R^2 il N di `mod' ( dove N è un numero di 512 bit che è il prodotto di due numeri primi grandi, P e Q ( N = P*Q). il N è costante e può essere trovata tanto nella ROM della scheda come nel firmware di IRD.
48 5a 10 01 10 [5a] f2 64 20 49 81 d4 14 86 e2 9a fe ca 00 00 00 00
90 00
Comunque con le card nds troviamo 0Ch bytes piuttosto che 08 bytes?
11. Finalmente l'IRD chiede alla scheda per uno dei due R o R*S mod N (dove S è basata su una complessa funzione di N ). Essi sembrano alternarsi uno a l’altro ad ogni richiesta.
a) IRD chiede per R
48 5A 10 02 40
Card->IRD: manda il valore di R (512 bits/64 bytes)
48 5A 10 02 40 [5a] bd fa d2 2d ef 2b 63 fa c7 b2 68 82 9c 5d 13 31
33 f5 99 a1 63 cb aa cf 41 c9 b0 78 d4 c4 42 f1
1f d8 93 b9 bb 3b 6f 6f 62 2f c7 2f 06 d3 c4 1d
48 84 d7 b2 c1 64 6e 7c 05 56 f1 29 61 bc c7 00
90 01
b) IRD chiede per R*S mod N
48 5A 11 02 40
Card->IRD: manda il valore di R*S mod N (512 bits/64 bytes)
48 5A 11 02 40 [5a] 71 94 69 64 7f 84 b2 ea 1d e2 16 e9 ae 79 f2 49
cc 64 42 fe 36 52 44 90 fa c5 e9 c9 72 66 71 25
6e 6a 82 d9 b5 7b 1c ee 21 1c 55 0b bf de 51 b4
a0 f0 98 bd 19 e8 ad 9c d0 61 e2 b1 da 39 02 00
90 20
L'ultimo byte del valore ritornato sembra essere sempre 00.
Il codice di ritorno Sw1/sw2 90 00 e 90 01 indica che la scheda non è valida.
Per una scheda valida i codici di ritorno hanno 90 20 e 90 21.
ED E’ PER QUESTO COMANDO CHE LA WAFER CREDO NON FUNZIONERA’ MAI
================================================== =================================
12. Saltuariamente noi otteniamo un 48_5e. Legge uno ( status) byte dalla scheda.
48 5e 00 0b 01 [5e]
03 90 20 ritorno da una card valida
00 90 00 ritorno da una card non valida
[Vediamo anche un addizionale 48 5e 00 0e 62]
Questo cmd sembra sempre essere seguito da uno dei seguenti:
13. Un altro cmd accasionale è 48_78. Questo sembra seguire il 48_5e. Essi sono
correlati?
48 78 03 00 14 [78] 08 00 73 17 92 9F FF FF 01 08 00 73 17 92 9F FF
FF 01 8F 00
90 20
La risposta è 90 20 quando la card è valida e 90 00 quando non è valida.
La scheda ritornerà anche (in diversi momenti) dati con valori alternativi di P1. questa sequenza 01 08 00 73 17 92 9f ff ff è scritto con il nano 6d_09.
Un’altra INS 78
48 78 08 00 14 [78] 08 00 73 17 92 9f ff ff 01 08 00 73 17 92 9f ff
ff 01 20 00
90 20
================================================== =================================
Strutura dei bytes data e Time
La date e time e mandata alla card con L’ EMM 48 42 00 00 16, circa ogni 16 secondi.
nano 01 36 15 91 1D = 2001.07.21 time non note
nano 01 38 1D BF 7A = 2001.09.29 time 23:59 GMT
nano 01 38 1E 00 02 = 2001.09.30 time 00:00 GMT
nano 01 38 1E 60 46 = 2001.09.30 time 12:04 GMT
nano 01 39 01 00 05 = 2001.10.01 time 00:00:08 GMT
L’esatto formato per questo non è stato confermato.
Comunque io credo sia questo
I primi due byte determinano la data.
Il primo byte è probabilmente il mese contando da Febbraio 1997 che equivale a 00h
38h = 56 mesi = 4 anni 8 mesi = Settembre 2001
quindi febbraio 1997 + 4 anni = febbraio 2001 + 8 mesi = settembre 2001
Il secondo byte è il giorno del mese in hex. Esso si incrementa a mezzanotte GMT.
I seguenti 2 byte rappresentano il time(orario) del giorno ma non nel formato standard. Essi si incrementano a passi di circa 8 o 9 ogni 16 secondi. Ogni unità è approssimativam,ente circa 2 secondi.
A mezzanotte il GMT che si trasforma da BF 7A a 00 02 (o BF 7D a 00 05 eccetera ). Così noi possiamo presumere che c'è BF 80 unità di tempo nds in un periodo di 24 ore.
BF 80 = 49024
49024 / 24 * 60 * 60 = 0.5674
un secondo = 0.5674 unità time nds
1 unità time nds = 1.7624 secondi
1 unità time nds = 0.000489556 ore
Paragonato al tempo attuale, il time nds non sembra essere molto preciso esso può variare ogni minuto o due, a seconda della velocità o lentezza.
Algoritomo per calcolare date e time
void Datecalc()
{
Date[0]=((anno-1997)*12 + (mese-1));
Date[1]=day;
Date[2]=hh*8+mm/8;
Date[3]=ss/2+mm*32;
}
esempio 12/03/2002
AnnoMinuti= ((2002-1997)*12 + (3-1)
risultato 62 dec=>hex 3E
day= hex(day) =hex(12)= 12
Orario 11:28:54
OraMinuti= 11*8 + 28/8
risultato 91 dec=> 5B
Secondi= 54/2 + 28*32
risultato 823 dec=> 03 9B
Secondi= 54/2 + 28*32
risultato 823 dec=> 039B
il primo byte "03" non deve essere considerato quindi come risultato dobbiamo utilizzare solo il secondo byte cioè "9B"
Quindi in definitiva avremo la data/time sarà:
3E 12 5B 9B
calcolo inverso
void RevDateCalc()
{
year=(Date[0]/12)+1997;
mon=(Date[0]%12)+1;
day=Date[1];
hh=Date[2]/8;
mm=(0x100*(Date[2]-hh*8)+Date[3])/32;
ss=(Date[3]-mm*32)*2;
}
================================================== =================================I Comandi di attivazione
Questo è un log dell’attivazione di una card. Esso usa la *** 14 privata e indirizzato alla card attraverso l’ unique address usando il nano 31.
Questi comandi seguono l'attivazione EMMs per l'area del codice postale della scheda. Questo spiega il perché devi aspettare per ricevere i comandi.
Tre EMMs sono ripetuti in un certo intervallo di tempo, su a intervalli di 20 minuti, in un periodo ( 24 ore ).
Questo è il comando della prima attivazione:-
48 42 00 00 16 [42] 09 14 00 00 31 00 SN SN SN 3d 03 ec 67 08 SIG
91 81
Il nano 3d setta la PPV spending limit (03 ec) e setta anche il fuse byte a 05.
Il fuse byte è 00 su una card vergine. I diversi valori dei dati 3d suscitano
Differenti valori dei fuses?
L’IRD poi invia la richiesta:-
48 58 00 00 35 [58] 05 01 09 60 00 SN SN SN ff ff ff ff 00 SN SN 00
ff ff ff 00 00 00 00 00 00 00 00 00 08 00 00 00
00 00 00 00 00 00 00 00 47 42 52 00 01 00 00 01
00 00 00 00 00 91 80
Richiede Fuse Byte, UA , SA
Fuse 05
Da notare che sw1/2 è cambiata da 90 00 su una card vergine a 91 80 ora che il fuse byte è stato settato e il region code è intatto.
Poi segue L’IRD number.
48 4c 00 00 09 [4c] 00 IN IN IN 02 00 00 58 02 90 a1
Sembra che quando il byte di fusibile è settato, in un primo momento la scheda riceve questo comando di test dell’ IRD number, Il numero di IRD è scritto sulla. Il sw1/2 è 90 A1.
Poi, richiesta PIN e Parental control rating byte (3F).
48 2c 00 00 09 [2c] 84 d2 ff ff 00 00 3f 00 00 90 a0
Richiesta region code. Notate che in questa parte lo specifico region byte è zero.
48 1c 00 00 20 [1c] 47 42 52 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 90 a0
Il prossimo comando ha sei funzioni
3d nano ancora
Setta la date e time di attivazione con il nano 2d
Setta il PostCode PC PC PC con il nano 1e.
4e nano scrive I quattro byte 00 6c 4d 58 "IMX" solo prima del region code nella stringa 48_58 . Questi quattro bytes possono variare da card a card..
2b nano scrive 03 eb sulla stringa 48_36 . Alcune forme di conatori?
Aggiunge channel entitlement b7 65 con il nano 41.
48 42 00 00 32 [42] 09 14 00 00 31 00 SN SN SN
3d 03 ec
2d 3a xx xx xx
1e PC PC PC 20 20 20 20 20
4e 00 6c 4d 58
2b 03 eb
41 b7 65 3a 1f c0
67 08 SIG
91 a1 Scrittuta accettata
Aggiungere channel entitlements 00 1d, b7 66, b7 72 e b7 73 usando il nano 41.
72 02 nano non conosciuto
48 42 00 00 2f [42] 09 14 00 00 31 00 SN SN SN 41 00 1d 3a 1f c0 41
b7 66 3a 1f c0 41 b7 72 3a 1f c0 41 b7 73 3a 1f
c0 72 02 00 01 67 08 SIG
91 a1 cmd accettato
nano 75 0f . Questo scrive 01 06 02 00 00 00 00 00 00 00 08 00 03 0d la stringa del Region code.
48 42 00 00 24 [42] 09 14 00 00 31 00 SN SN SN 75 0f 12 01 06 02 00
00 00 00 00 00 00 08 00 03 0d 67 08 SIG
91 a1 cmd accetato
L’ IRD richede ancora:-
48 58 00 00 35 [58] 05 01 09 60 00 SN SN SN ff ff ff ff 00 SN SN 00
ff ff ff 00 00 00 00 00 00 00 00 00 08 00 00 00
00 00 00 00 00 6c 4d 58 47 42 52 00 01 00 00 03
0d 00 00 00 00 91 a0
richiestaFuse Byte, UA,SA
Fuse 05,
Il bytes 03 0d sono stati scritti con il nano 75_0f al posto di 01 00.
sw1/2 è cambiato ancora a 91 a0.
Ancora test IRD number n. Ora sw1/2 è 90 a0.
48 4c 00 00 09 [4c] 00 IN IN IN 02 00 00 58 02 90 a0
Richiesta PIN/Parental control byte .
48 2c 00 00 09 [2c] 84 d2 ff ff 00 00 3f 00 00 90 a0
Richiesta region code .
48 1c 00 00 20 [1c] 47 42 52 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 01 06 02 00 00 00 00 00 00 00 08 00 03 0d 90 a0
A questo punto la card è married con il decoder e può aprire i canali FTV ad eccetto BBC1 che ha uno specifico byte di region code (00) che non è stato settato.
Qualche ora più tardi la card riceve questo comando indirizzato al PostCode che setta il Region Code byte usando il nano 75_13 .
Da notare che in un primo momento si è ricevuti un byte specifico il region code è settato e sw1/2 è 91 a1. Se noi mandiamo questo comando ancora sw1/2 è 90 80.
48 42 00 00 31 [42] 09 10 00 00 24 38 09 06 PC PC PC 20 20 20 20 20
19 00 75 13 00 47 42 52 01 00 00 00 00 00 00 00
00 00 00 00 00 00 00 67 08 SIG
91 a1 cmd accetato
La card può ora aprire BBC1.
Questo và a completare la sequenza del comando di attivazione.
Mandando questo cmds ancora alla card risulta in differenza sw1/sw2 (es 90 a0 invece di 90 a1) il quale ci suggerisce che il flag della protezione di riscrittura è stato settato. ================================================== =================================Il dannoso (ma utile) comando 3E
Se mandiamo un messaggio 48 3e 00 alla scheda la riporta ad uno stato di pre-vergine.
Azzera il fuse byte , il numero di IRD, I Chid tiers, il region codice completo , il pin, il PCB e la data di attivazione. sw1/2 è 90 00. Settando P1 e P2 ad altri valori sembra avere precisamente lo stesso effetto.
Comunque, se tu hai il log dell'attivazione iniziale tu puòi riattivare la scheda di nuovo. Tu puoi seguire progressivamente mandando 48_2A, 48_58 eccetera dopo ogni comandi e facendo attenzione che i dati hanno cambiato. Lo sw1/2 può essere diverso se la scheda è resettata tra i cmds. Comunque, se non c'è nessuno Reset, tutti i sw1/2 saranno gli stessi come durante l'attivazione iniziale.
Prima , devi settare il fuse byte e ppv spend limit con
48 42 00 00 16 09 14 00 00 31 00 SN SN SN 3d 03 ec 67 08 SIG
Il sw1/sw2 è 91 81 come prima.
Dopo tu riscrivi IRD number – Può differire dall’originale - con
48 4C 00 00 09 00 IN IN IN 02 00 00 58 02 nessuna signature necessaria.
Il sw1/2 è 90 21 invece di 90 A1 ma il numero di IRD non è ancora scritto.
Poi devi mandare gli altri tre EMMS di attivazioni che hai loggato.
48 42 00 00 32 09 14 00 00 31 00 SN SN SN 3D 03
EC 2D 3A 0D 69 A7 1E PC PC PC 20 20 20 20 20 4E
00 6C 4D 58 2B 03 EB 41 B7 65 3A 1F C0 67 08 SIG
sw1/2 è 91 81 invece di 91 a1 come prima.
48 42 00 00 2F 09 14 00 00 31 00 SN SN SN 41 00
1D 3A 1F C0 41 B7 66 3A 1F C0 41 B7 72 3A 1F C0
41 B7 73 3A 1F C0 72 02 00 01 67 08 SIG
sw1/2 è 91 81 invece di 91 a1 come prima.
48 42 00 00 24 09 14 00 00 31 00 SN SN SN 75 0F
12 01 06 02 00 00 00 00 00 00 00 08 00 03 0D 67 08 SIG
sw1/2 è 91 81 invece di 91 a1 come prima.
Laa fine devi riscrivere la stringa dele Region Code
48 42 00 00 31 09 10 00 00 24 38 09 06 PC PC PC
20 20 20 20 20 19 00 75 13 00 47 42 52 01 00 00
00 00 00 00 00 00 00 00 00 00 00 00 67 08 sig
sw1/2 è 91 81 invece di 91 a1 come prima.
Ci manca ora la sequenza del PIN/PCB. Scriviamo questo con le tre
sequenze seguenti:
48 2e 80 00 09 xx xx ff ff 00 00 3f 00 00 no signature necessaria.
Questo scrive xx xx bytes Che è il Pin della card (in hex).
48 2e 60 00 09 xx xx ff ff 00 00 3f 00 00 no signature necessaria.
Questo scrive FF FF bytes. Loro possono o non possono essere importanti.
48 2e 40 00 09 xx xx ff ff 00 00 3f 00 00 no signature necessaria.
Questo scrive il byte di PCB singolo che è usato per cambiare il rating del parental controll.
Ed ecco finalmente una card funzionante completamente.
Perciò è essenziale loggare I comandi di attivazione della tua card se tu vuoi giocare con essa.
================================================== =================================
Altre INS
In addition to the logged INS, the card will also respond to others.
These are some that have been tested.
In più alle ins loggate , la scheda risponda anche ad altre ins.
Queste sono alcune di quelle esaminate.
===============================
TX Data : 48 02 00 00 08
RX Data : 02
RX Data : 53 59 41 56 01 01 00 00 BSK*B identifier "SYAV" . ROM version 01 01 ?
RX Data : 90 00
===============================
TX Data : 48 06 00 00 01
RX Data : 06
RX Data : 44
RX Data : 90 00
===============================
TX Data : 48 12 00 00 08
RX Data : 12
RX Data : 43 19 10 7E 29 17 0F 05
RX Data : 90 00
===============================
TX Data : 48 1E xx xx 10 Usata per checking ppv purchasing??
RX Data : 1E
RX Data : x0 00 00 xx xx xx xx 00 00 00 01 00 00 00 00 FF
RX Data : 90 00
===============================
TX Data : 48 20 00 00 0d
RX Data : 20
RX Data : 00 65 00 09 00 01 xx xx 00 00 1A 00 00 00
RX Data : 90 00
===============================
TX Data : 48 28 00 00 02
RX Data : 28
RX Data : 01 FF
RX Data : 90 00
===============================
TX Data : 48 2A 00 00 FF
RX Data : 2A
RX Data : 00 SN SN SN Unique address
RX Data : 03 01 19 11 0C 09 00 10
RX Data : 05
RX Data : 01 09 60 sempre uguale
RX Data : 00 SN SN SN Unique address
RX Data : FF FF FF FF
RX Data : 00 SN SN 00 Shared Address
RX Data : FF FF FF 00 00 00 00 00 00 00 00 00 08 00 00 00
00 00 00 00 00 xx xx xx 47 42 52 00 01 00 00 03
0D 00 00 00 00
RX Data : 00 IN IN IN IRD Number
RX Data : 03 EC PPV Spending Limit
RX Data : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 PPV Entitlements
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00
RX Data : B7 65 3B D1 00 1D 3B D1 B7 66 3B D1 B7 72 3B D1 Channel Entitlements
B7 73 3B D1 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00
RX Data : 90 00
===============================
TX Data : 48 36 00 00 FF Dumps a nano buffer?
RX Data : 36
RX Data : 09 14 00 00 00 SN SN SN 01 00 00 00 00 00 00 FD 14=private *** Card SN FD_0F nano
0F 00 00 65 00 09 00 01 xx xx 00 00 1A 00 00 00 48_20 string
FD_0F 01 00 6D 00 01 01 2C 07 D1 00 00 1A 00 00 FD_0F nano
00 DE_04 00 00 00 00 F8_14 0F 71 10 26 CE 01 2B DE_04 nano F8_14 nano
01 04 01 00 6D 32 84 00 00 32 A3 00 00 F3 00 IN F3 00 IN IN IN IRD number
IN IN F9 00 00 03 EA DF 26 15 00 00 FF_0A 00 94 PPV spend date? FF_0A nano
C2 FF FF 00 00 FF FF F1 F6_02 00 00 FA 9x 6x 4x F6_02 nano FA nano ***????
3x 5x Cx 8x 8x 67 08 30 36 E3 89 41 6F 1B BA 00 Signature
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
RX Data : 90 00
Su una card vergine i dati (***?) dopo il nano fa sono 00 01 02 03 04 05 06 07. Questi dati sono cambiati dopo che la card è inserita nell’IRD e possono variare
( come fanno i byte di signature) dipendendo dal precedente cmd inviato alla scheda. Essi sono una chiave o una signature?
==============================
TX Data : 48 38 00 00 02
RX Data : 38
RX Data : 00 35
RX Data : 90 00
==============================
TX Data : 48 48 00 00 36
RX Data : 48
RX Data : 48 1E xx xx xx xx xx xx xx xx F3 00 IN IN IN 4E xx = postcode IN=IRD number
?? 00 06 FD 39 19 00 2D XX XX XX XX 72 02 00 01 5D 19 00 = Timezone. XX = activ.date?
01 00 40 40 40 40 40 40 40 40 40 40 40 40 4E e 72 e 5D nano non noti
00 00 00 00 00 00 00 00 Ritardo prima che questi sono inviati
90 00
==============================
TX Data : 48 54 00 00 0F
RX Data : 54
RX Data : 00 00 00 00 00 00 00 00 00 00 00 00 00 04 00 Return of DCW (failed)
90 01
==============================
TX Data : 48 56 00 00 FF
RX Data : 56
RX Data : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
RX Data : 90 00
==============================
TX Data : 48 5A 00 00 FF
RX Data : 5A
RX Data : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
RX Data : 90 00
==============================
TX Data : 48 5E 00 0E 62 Read PPV entitlements
RX Data : 5E
RX Data : 7B 00 05 04 65 B2 05 04 0F 77 05 04 2F 91 05 04
1A AC 05 04 5C 4E 05 04 5B FB 05 04 7A A8 05 04
17 E5 05 04 3C 56 05 04 1A CA 05 04 71 85 05 04
21 8E 05 04 2A C5 05 04 0E C4 05 04 71 10 01 04
RX Data : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00
RX Data : 90 00
==============================
TX Data : 48 70 00 00 FF
RX Data : 70
RX Data : 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
20 20 20 20 20 20 20 20 20 20 20 20 20 20 20
RX Data : 90 00
==============================
TX Data : 48 72 00 00 08
RX Data : 72
RX Data : 7B 00 1A 0C 05 04 00 00
90 00
==============================
TX Data : 48 78 00 00 14
RX Data : 78
RX Data : FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
FF FF FF FF
90 00
Or with P1 = 03
TX Data : 48 78 03 00 14
RX Data : 78
RX Data : 08 00 73 17 92 9F FF FF 01 08 00 73 17 92 9F FF
FF 01 8F 00
RX Data : 90 00
==============================
TX Data : 48 A2 00 00 42 Reads RAM???
RX Data : A2
RX Data : 01 00 00 00 00 00 00 01
RX Data : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00 00 00 00
RX Data : 26 D1 9D FF ???
RX Data : 90 00
==============================
Per eventuali correzioni
[email protected]
que nadie diga que esta en italiano, es evidente tabien lo es que en internet hay unos traductores estupendos y que hay que currarselo
y ahora el escrito
; From The MaGic Team July 19/98
; Full Activation Loads All Tiers For DTV, USSB, SPORTS
; PPV For DTV And USSB Plus 5 Extra Tier Spaces
; No Need To Set Card ID Loads All Cards
; Adds Updates To 1A And Closes 09 Hole
; Removes sports blackouts
; Read Below To Set Your TZ And Zip in both 1st and 2nd packet
48 42 00 00 26
R01
09 24 00 00 30 3D 03 E8
19 A6
; ^^ = A0/PST A2/MST A6/CST A6/EST
2B 03 E9 40
1E 55 3x 3x 3x 3x 3x 20 20
; ^ ^ ^ ^ ^
; 3X 3X 3X 3X 3X FIRST 5 BYTES
; CHANGE X TO YOUR ZIP CODE
; NOW SET TO ( X X X X X ) ZIP
2D 4C 10 19 97
09 10 00 00 0C 71 3C 6B 7D FF
R02
48 42 00 00 30
r01
09 20 00 00 24 38 09 06
55 3x 3x 3x 3x 3x 20 20
; ^ ^ ^ ^ ^
; Change x to the same zip code you used above
;
12 00 00 00 00 00 00 00 00 00 08 00 00 00 00 00
00 00 00 19 A6 40 09 10 00 00 0C 71 3C 6B 7D FF
; ...TZ.....^^
r02
48 42 00 00 2D
R01
09 24 00 00
30
14 F8 00
26 90 00
14 F9 00
14 FA 00
; ^^ = FA FOR NORMAL FULL GUIDE
14 90 00
26 91 00
14 91 00
26 90 00
14 F0 00
14 FE 00
09 10 00 00 0C 71 3C 6B 7D FF
R02
;-------------------------------;**broke activatation into seperate packet
48 42 00 00 24
R01
09 24 00 00
30
4E 00 3C 2F EA
56 0D 00 00 01 00 66 00 01 FD E9 1B 59 00 00
40
09 10 00 00 0C 71 3C 6B 7D FF
R02
48 42 00 00 2D
R01
09 24 00 00
30
41 FF FF 54 1F C0
41 33 75 54 1F C0
41 33 76 54 1F C0
41 33 77 54 1F C0
41 33 89 54 1F C0
09 10 00 00 0C 71 3C 6B 7D FF
R02
48 42 00 00 2D
R01
09 24 00 00
30
41 33 9B 54 1F C0
41 33 46 54 1F C0
41 33 3F 54 1F C0
41 33 42 54 1F C0
41 33 56 54 1F C0
09 10 00 00 0C 71 3C 6B 7D FF
R02
48 42 00 00 21
R01
09 24 00 00
30
41 36 B0 54 1F C0
41 34 10 54 1f C0
41 33 96 54 1f C0
09 10 00 00 0C 71 3C 6B 7D FF
R02
48 42 00 00 2D
R01
09 24 00 00
30
41 34 BD 54 1F C0
41 3E 80 54 1F C0
41 3A 98 54 1F C0
41 34 6F 54 1F C0
41 34 4E 54 1F C0
09 10 00 00 0C 71 3C 6B 7D FF
R02
48 42 00 00 2D
R01
09 24 00 00
30
41 34 4D 54 1F C0
41 34 6A 54 1F C0
41 33 96 54 1F C0
41 33 78 54 1F C0
41 33 95 54 1F C0
09 10 00 00 0C 71 3C 6B 7D FF
R02
48 42 00 00 31
R01
09 24 00 00
30
41 34 6E 54 1F C0
41 33 7F 54 1F C0
41 33 89 54 1F C0
56 0D 01 00 02 00 66 00 01 FD E9 FF FE 00 00
40
09 10 00 00 0C 71 3C 6B 7D
FF
R02
48 42 00 00 2D
R01
09 24 00 00 30
41 34 71 54 1F C0
41 34 4E 54 1F C0
41 34 9D 54 1F C0
41 34 72 54 1F C0
41 00 00 00 00 00
09 10 00 00 0C 71 3C 6B 7D FF
R02
48 4C 00 00 09
R01
00 00 00 00 01 52 09 95 00
R02
48 42 00 00 2A
r01
09 1A 00 00 31 00 46 CE 90 10 42 5D 60 C6 0B 16
4B 89 85 FC 3D C6 CA 54 86 45 BB 00 42 01 56 2D
47 81 95 DE 0C 13 82 59 5C AF
r02
48 42 00 00 2A
r01
09 1A 00 00 31 00 41 5B A5 10 D5 C1 60 C6 0B 97
82 73 A7 17 A7 30 F9 54 86 45 BB 00 42 01 3D 2D
47 41 C7 CB 0C B7 96 84 47 9E
r02
;update 01
48 40 00 00 1C
R01
09 12 00 00 30 60 C0 08 00 01 85 68 01 00 00 00
BB 00 09 10 00 00 0C 71 3C 6B 7D FF
r02
;update 02
48 40 00 00 1C
R01
09 12 00 00 30 60 C0 08 00 02 8F F1 79 81 1C EC
BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 03
48 40 00 00 1C
R01
09 12 00 00 30 60 C0 08 00 03 8F F5 FA 24 FD 02
BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 04
48 40 00 00 1C
R01
09 12 00 00 30 60 C0 08 00 04 8F F9 86 79 FF FF
BB 00 09 10 00 00 0C 71 3C 6B 7D FF
r02
;update 05
48 40 00 00 1C
R01
09 12 00 00 30 60 C0 08 00 05 84 F8 00 02 1C C1
BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 06
48 40 00 00 1C
R01
09 12 00 00 30 60 C0 08 00 06 85 88 FC 91 F9 90
BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 07
48 40 00 00 1C
R01
09 12 00 00 30 60 C0 08 00 07 86 70 02 8F F1 84
BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 08
48 40 00 00 1E
R01
09 12 00 00 30 60 C0 0A 00 08 84 60 A8 76 B8 E8
00 22 BB 00 09 10 00 00 0C 71 3C 6B 7D FF
r02
;update 09
48 40 00 00 1E
R01
09 12 00 00 30 60 C0 0A 00 09 86 05 84 91 60 30
5F 05 BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 0Ah
48 40 00 00 24
R01
09 12 00 00 30 60 C0 10 00 0A 8F 3B 48 03 85 4C
4F B4 57 5A 80 FE AF 31 BB 00 09 10 00 00 0C 71
3C 6B 7D FF
R02
;modified update 0Bh
48 40 00 00 24
R01
09 12 00 00 30 60 C0 10 00 0B 8F 2F FF 09 E5 28
;-------------------------------------;^^will be fixed below
54 80 12 13 48 74 09 B4 BB 00 09 10 00 00 0C 71
3C 6B 7D FF
R02
;update 0Ch
48 40 00 00 24
R01
09 12 00 00 30 60 C0 10 00 0C 8F 47 63 07 60 22
F5 50 02 05 F9 30 51 03 BB 00 09 10 00 00 0C 71
3C 6B 7D FF
R02
;update 0Dh
48 40 00 00 24
R01
09 12 00 00 30 60 C0 10 00 0D 8F 53 85 4F 4C 53
32 1F C2 70 7D FF 02 8B BB 00 09 10 00 00 0C 71
3C 6B 7D FF
R02
;update 0Eh
48 40 00 00 21
R01
09 12 00 00 30 60 C0 06 00 0E 8B F8 F1 45 C0 05
00 0E 8F 5F 92 BB 00 09 10 00 00 0C 71 3C 6B 7D
FF
R02
;update 0Fh
48 40 00 00 21
R01
09 12 00 00 30 60 C0 05 00 0F 86 6D 41 C0 06 00
0F 89 65 F1 4B BB 00 09 10 00 00 0C 71 3C 6B 7D
FF
R02
;update 10h
48 40 00 00 1E
R01
09 12 00 00 30 60 C0 0A 00 10 8B A5 E5 50 70 FE
F1 50 BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 11h
48 40 00 00 21
R01
09 12 00 00 30 60 C0 0D 00 11 8F 60 E5 4E 24 FE
54 0C 02 86 60 BB 00 09 10 00 00 0C 71 3C 6B 7D
FF
R02
;update 12h
48 40 00 00 1D
R01
09 12 00 00 30 60 C0 09 00 12 86 5C 02 8F 60 22
60 BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 13h
48 40 00 00 20
R01
09 12 00 00 30 60 C0 05 00 13 82 93 02 C0 05 00
13 82 97 00 BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 14h
48 40 00 00 20
R01
09 12 00 00 30 60 C0 05 00 14 82 AB 00 C0 05 00
14 8F 44 61 BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update #15
48 40 00 00 20
R01
09 12 00 00 30 60 C0 0C 00 15 85 8B ED B4 AA 00
40 18 80 0C BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 16h
48 40 00 00 21
R01
09 12 00 00 30 60 C0 0D 00 16 8F 70 E5 4C 24 41
40 33 02 15 BF BB 00 09 10 00 00 0C 71 3C 6B 7D
FF
R02
;update 17h
48 40 00 00 1A
R01
09 12 00 00 30 60 C0 06 00 17 8C 05 8F 70 BB 00
09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 18h
48 40 00 00 1F
R01
09 12 00 00 30 60 C0 0B 00 18 8F 79 E7 54 3F F7
02 87 81 BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;update 19h
48 40 00 00 1A
R01
09 12 00 00 30 60 C0 06 00 19 85 D0 8F 79 BB 00
09 10 00 00 0C 71 3C 6B 7D FF
R02
;reset USW to 18h
48 40 00 00 0F
R01
60 D5 02 85 8E E3 06 02 84 06 00 18 00 BB 00
R02
;update 1Ah
48 40 00 00 1C
R01
09 12 00 00 30 60 C0 08 00 19 85 91 90 0C 98 84
BB 00 09 10 00 00 0C 71 3C 6B 7D FF
R02
;close 09 hole
48 40 00 00 19
r01
09 12 00 00 30 60 C0 05 00 1A 8F 2F 09 BB 00 09
10 00 00 0C 71 3C 6B 7D FF
R02
48 2a 00 00 80
R01
R80
r02
tengo varios todos pillados de paginas italianas ,pero realmente no se como ponerlos para que vosotros los useis
un saludo a todos :0=