有线数字电视机顶盒破解方法

游走在灰色地带，大打擦边球的数字电视机顶盒共享器
2 U# v" \$ S# q5 M  O& t# ~
; p. f2 D+ y  O; s$ l9 Z  y随着有线电视数字化发展进程的加快，数字电视这一新兴的电视观看及传输方式已经开始被更多的普通市民

# V& y$ j5 L. ~) @所熟悉，数字电视以接近于DVD的画质和立体声甚至5.1声道伴音这两大最明显的特点受到了不少有线电视用户的关

) _) k2 r& X. x( |注，同时更多可选择的电视台、点播节目也为丰富市民的业余生活增添了不少色彩，不过在数字电视刚刚起步的萌芽阶段，还有多的不足和缺点需要改进。
$ a4 }. s& K+ n, o
按照国际惯例，数字电视机顶盒（SET-TOP-BOX，简称STB）分为数字地面STB、数字卫星STB、数字有线STB和网络STB这4种，南京市目前正在大力发展的数字电视类型是数字有线STB，是目前成本最为低廉，也最适合大力向普通市民所推广的。整体来说，数字机顶盒以支持HDTV和互动性作为发展方向，而就目前的机顶盒产品来看，一部机顶盒内包括了接收数字信号的调制解调芯片、视频信号编解码芯片、音频处理器、音视频数模转换芯片等，一些高端的机顶盒中甚至还会整合安全芯片甚至可录像硬盘，可见数字电视机顶盒在未来的发展空间还是相当宽广的。

创维C6000采用了意法的Qami5516方案；熊猫3216采用了意法的5516芯片，带有180MHZ的CPU，银河则采用了最为简单的富士通功能单芯片H20A，虽然这三种机顶盒在内部的设计上有一定的区别，但它们都是需要通过插入数字电视智能卡才能够工作的，而数字电视智能卡就相当于一个人有了驾照才能合法地驾驶汽车一样。在使用模拟电视信号的时候，大家只需要申请有线电视开户之后就可以在家中通过自带电视信号调谐器的电视观看节目，如果有多部电视的话只要购买有线电视信号分配器就可以在所有的电视上观看有线电视。而数字电视却将这种免费的电视信号共享给“封杀”了，机顶盒需要在插入有效的智能卡之后才能使用就是为了保证数字电视信号不被盗用的一种方式，同时也能够保证数字信号不被盗版商用来作为盗版节目源。
) K9 E$ o+ I8 E: r' \0 L
1 D7 v- ^7 C: N  L为了保证数字信号不被盗用，数字电视内容管理方式以条件式接取（CA）和数字版权管理（DRM）作为基本保护机制，目前国内的数字电视机顶盒采用的管理方式就是条件式接取这种机卡分离的方式，用户必须通过专属的智能卡来取得授权才能够接收被解码的信号，而服务提供商也能够通过这种方式接收用户的信息，包括用户户名、地址、智能卡卡号和收看数字电视的费用等信息。这种机卡分离的机顶盒使用方式被美国、欧洲和亚洲等国视为数字电视发展的机顶策略。
/ \# |- Z9 S, v0 |- D( Q
! ]" l4 z8 b; N# X
DRM采用的是许可证管理策略，由数字电视信号运营商对节目源进行加密，在用户通过机顶盒发出节目接收请求之后

6 T. }5 ]  e5 d+ a系统会自动检查是否经过许可，而认证的方式也同样是通过IC卡等带有帐号、密码等信息的进行的，不过DRM管理的
+ ]" C; a5 ~7 ?3 O- y) Q
0 H! b7 p6 I% y$ k" N. h: q( `规格相当繁多：Windows%20Media的DRM、开放移动联盟OMA推出的DRM%201.0/2.0规格、UT-DRM、NDS、SecureMedia

! L: G% Q5 R4 i: G6 f+ }、WideVine、BesDRM等，规格的不统一使其并不被大多数有限数字电视运营商所接受。
: [, u+ J) u/ n% }

1 g4 f* b8 H8 O' Q: g, t& m# X
* l# ~* O! L  e: L1 W# o  ?
无线机顶盒共享其与有线机顶盒共享器一样都是通过音视频接口接受机顶盒上的第二路信号输出接口来实现数字电
" e/ c/ Y* }% m
视信号的“共享”的，不过无线的共享器的传输方式是通过红外、调频或2.4GHz来实现的，值得注意的是，目前的
$ F4 K6 H. e4 Z
% f3 w, I! E6 N3 x2 U+ ?  u# a机顶盒在背后的接口都带有两路信号输出接口，只要使用连接线将机顶盒的信号与两台电视连接就同样可以实现这
- z/ r2 }2 i, }9 d# {0 y( O0 f
样的所谓“共享”功能，而这样一来机顶盒共享器的作用也只有在不同房间都可以用遥控器控制机顶盒这种“遥控
# g! _: l8 q9 \# [+ d( G& v0 }
共享器”的功能了。
  n' b4 E0 W% _+ B7 l8 i* ]
+ h, s  g9 q* t# l/ W. F! ]2 \那么这种有限数字电视机顶盒共享器是不是一无是处呢？事实上有一定动手能力的消费者完全可以将这种共享器与

9 ?& Z; W) o$ p5 D8 l  V客厅中的DVD连接使用，这样没有DVD的卧室里的电视机也同样能够收看DVD影碟。不过需要注意的是，目前的有线电
6 ]  w' [8 G1 i1 u: G1 I
视管理相关规定显示：如果在有线电视网络上连接其他设备，必须通过广播电视管理机构的审查、批准和备案，否

3 M, h& r0 w: Q8 o( \7 B" ]则就是非法入网。到目前为止，在有线电视网络允许入网的设备中，还没有机顶盒共享器这种产品，这也就意味着
. S0 W  b$ f4 ]. v+ r
没有入网手续的机顶盒共享器在有线电视管理部门将被视为一种违规的产品。
) d2 ]7 Z, q0 W$ ~
不过目前机顶盒共享器的经销厂家认为：他们销售的机顶盒共享器与机顶盒连接可以将机顶盒输出的电视信号放大
: u8 o0 L5 V- P9 c
，传输到其他电视机上，达到多台电视机共看数字电视的目的。而共享器所解决的只是信号传输问题，并未涉及到
' x& d) j" s  ]' n9 T7 s5 @" m0 m
破解、转换数字电视信号的问题，所以不算是盗取数字电视信号的行为。

归根结底，市场上之所以会出现机顶盒共享器这种产品的最大原因，就在于如果要多部电视收看数字电视，需要再

另外购买一部价值680元的机顶盒。而按照南京广电目前有线数字电视的以有的有线电视线缆带宽，每个家庭中最多

能够同时使用三部机顶盒分别对应三部电视，如果你想要使用第4部电视观看节目的话就需要再另外开户，令外开户

就意味着除了有线初装费之外，每月的收视费用都要翻倍，相比之下每只售价在200元-500元之间不等的机顶盒共享
. }7 c: R4 R# b: Y; A& G
器自然有着一定的生存空间。至于这种大打擦边球的数字电视信号的共享行为究竟算不算违规产品，还要待相关的
8 \9 E6 g! l' E% N4 J& \
法律或法规修正后才能够界定。
# b3 g0 q/ O  T* H

2 A+ O* h; ?6 Y2 X4 ]2 Q2 L破解电视机顶盒，可接多台电视。录入者声明：本意在学习电子技术、交流电子技术。如有用本技术去非法接入有线电视线路,造成的不必要损失及触犯法律，圴与本人无关！破解电视机顶盒，可接多台电视。录入者声明：本意在学习电子技术、交流电子技术。如有用本技术去非法接入有线电视线路,造成的不必要损失及触犯法律，圴与本人无关！！
( l4 b7 J1 b) j6 L6 w
0 j0 V2 ~8 b$ C( ^( \9 K
; a* k7 R5 Q, A, U. E4 J5 V2 w一、破解思路
! V5 ]+ R: M6 J/ V/ n9 b0 B: [二、破解原理
  k8 m& j  d& M$ B, s三、破解方法
四、破解原理图

/ n$ U  g) z. L7 z/ c8 _' o+ e  M一、破解思路
: Q5 U5 O) f+ n" W# m/ J& t有线电视加密的原理是这样的：电视台把接改来的电视信号先输入数字加密设备，把电视信号通过算法加密后向外

输出终端的解密设备（机顶盒子）解密后输出普通的射频信号，再送到我们的终端接收设备，由电视放出画面。因
" h' F+ ^" E5 M! ?
电视只能是接收普通的射频信号（模拟信号），所以只能解密后再输入电视，由电视放出画面。有线电视加密法有

1 j! K- Y' b0 D/ X& Q/ e' [多种，这里的是使用“加扰法”。在加密到解密这段线路，要想非法接入偷接电视信号，成功的可能性几乎是

& l+ B: `+ N$ ~' M10000000分之一。但经解密器（机顶盒）解密后的信号任何可以常接收电视信号的电视机都能播放（即通用性，也
: o+ v; F- G0 X4 V4 c, J9 }
可说是共用性），这就是破解的切入点（破解软件也需要切入点）。既然这样，但为什么一个机顶盒只能接一台电

视机用呢？我也试验过，当通简单的方法接上两台电视机的时候，什么画面也没有了（因机顶盒有智能的识别功能
, \/ n9 ~9 R5 E+ y. w+ i
, z3 N( F# b2 p3 w6 o, a% z4 Z）。问题就在这里，也是我要教会大家的精要所在。
至于如何利用这个“切入点”进行我们的“小人”行为呢？我们通过什么手段来欺骗机顶盒，让他以为是一台电视
: w; h9 m6 z% r- N% \
  z' y3 S' ^3 n  u7 y机呢？（就如破解软件的时候，我们有时也要采用欺骗的方法来进行破解）。我将会在下一点“破解原理”中向大

家说明。

0 B. o8 {' w( D! {! u! {二、破解原理：
装在我们家里的那个盒子的工作原理：经加密的信号经输入端子输入，由其内部有关电路解除干扰信号（加扰法加

密），再经输出端子输出正常的信号。其解密电路是否工作要有一个外部条件，就是电视的高频头反馈回来的信号

: N4 O* d) _* C( S。如果没有这个信号反馈回机顶盒，则其解扰电路不工作，照样输出未解密的信号，因而不能正常收看。其解密的
6 V+ A% ^5 s/ K3 R( m3 n
频段分做若干段解密，如电视正在接收3频道，则电视的高频头就反馈3频道的谐振频率给机顶盒，机顶盒就能输出1
$ a* x  t: |& o, ]/ R
——5频道的正常信号，如此类推。
因此可用以下两种方法进行破解：
( @% }( p) \" r
4 V. o" A+ y1 n! ]  J$ i$ f1、把机顶盒放在其中一台电视机（下称电视1）高频头附近，让其可以正常收看，再用分支器从输出端分支出信号
1 G4 K/ x2 A4 q8 v$ ]. f
  c- N+ x! a9 x8 n到另外的电视机。这样的做法的一个缺点：就是另外的电视机只能接收电视1接收的频道附近的5个频道。

2、用非与门电路或555电路制作一个开放式多谐振动器，其谐振频率只要能履盖有线电视的整个频段即可。（制作

: P+ e. s* V# [, B7 ?* e! N% o成本约6元左右）把这个谐振动器放在机顶盒的旁边。让机顶盒能接收到振动器发出的信号，再用分支器从机顶盒的

输出端分支出多台电视机，这样，所有电视机就能接收所有频道的信号了。

* e. e' |  o$ W" N4 }3、用高频三极管如9018做一个高频发射电路，利用射频输出再次发射，只要小小发射功率，让机顶盒能接收得到即

+ m4 Y* S, S, ]7 S# o3 A2 X8 Q可。或用同轴视频线分支接入输入或输出端，的除去外层屏蔽线，只留中间的线长约1米，把这线绕在机顶盒。让泄
. c) i% j8 z) s( c7 J9 J
漏出来的信号感应给机顶盒接收。

第一章：CA智能卡的破解与反制

第二章：流行CA系统的漏洞分析实践
* M9 Z7 T0 x0 N0 d/ N% N/ G
: [; h0 d& T0 Q4 `6 r4 }8 `第三章：流行CA应用算法的破解分析设想

破解讨论综述

CA安全保障的三层关键：传输流的加扰，控制字的加密，加密体制的保护。

& ~' c& H5 _! n, |  [这三种技术是CA系统重要的组成部分，在处理技术上有相似之处，但在CA系统标准中是独立性很强的三个部分。加
/ b9 Z- X0 b. K3 s4 _" P' X% [1 ^
" k9 L6 V. h1 h2 {7 s解扰技术被用来在发送端CA系统的控制下改变或控制被传送的服务（节目）的某些特征，使未被授权的用户无法获

取该服务提供的利益；而加密技术被用来在发送端提供一个加密信息，使被授权的用户端解扰器能以此来对数据解
7 G9 K9 C# O0 K" r. f+ u
" i: }5 Y8 z0 A* k, A密;而保密机制则用于控制该信息，并以加密形式配置在传输流信息中以防止非授权用户直接利用该信息进行解扰，

不同的CA系统管理和传送该信息的机制有很大不同。在目前各标准组织提出的条件接收标准中，加扰部分往往力求
4 p+ b1 h7 |, o. [$ R! o
( X; A* p. ~1 o+ L) X# f/ |1 N0 p统一，而在加密部分和保密机制则一般不作具体规定，是由各厂商定义的部分。

1、对传输流的加扰，DVB已有标准。目前在国际上占主流的有欧洲的DVB标准、北美国家的ATSC标准及日本的ISDB标

6 M3 {0 M; a" e2 J% u准三种标准中，对于CA部分都作了简单的规定，并提出了三种不同的加扰方式。欧洲DVB组织提出了一种称之为通用

# n# R4 r3 i$ ^9 F5 e8 ?5 c5 t加扰算法（Common Scrambling Algorithm）的加扰方式，由DVB组织的四家成员公司授权，ATSC组织使用了通用的
& _) K; _/ x/ `1 o# d! z/ d! q
三迭DES算法，而日本使用了松下公司提出的一种加扰算法。通用加扰算法是DVB标准组织推荐的对于TS流的标准加

8 H3 m3 b& Y6 o  M扰算法。目前，在欧洲的数字广播节目中普遍采用了这个算法。我国目前商业化的CA中，TS节目的加扰也基本上是
! w: @) R: P$ {; p/ F. y( g8 u( s8 a
采用的这个算法。如果从破解的角度，攻破这个算法的意义要远远大于破解智能卡和攻破CA系统本身。
+ J0 ~& a' e$ u5 g
' O3 d1 S5 ]( V, ^$ S2、对控制字的加密算法一般采用RSA以及3DES算法，各家CA厂商各不相同。值得一提的是DVB里有一个规定，提到的
2 P4 A& t6 C* f3 g1 |' K6 B
. i- K" k4 ~3 O& U4 o# ]同密技术要求每个CA系统可以使用不同的加密系统加密各自的相关信息，但对节目内容的加扰必须采用同一个加扰

算法和加扰控制字，可以方便多级运营商的管理，为多级运营商选择条件接收系统提供了灵活性。这就为黑客攻破

智能卡创造了条件。

3、对加密体制，不同厂家的系统差别很大，其技术大体有两种: 一种是以爱迪德系统为代表的密码循环体制，另一

. M  B  _5 {3 q- w; q种是以NDS系统为代表的利用专有算法来进行保护，由于牵涉到系统安全性，厂家一般不会公开。因此从破解角度，

对系统的破解是难度也是比较大的。
5 J6 H# j; f# K* P& j' P* d
4 r2 S' v7 Y* f3 V第一章：CA智能卡的破解与反制
  y, Z; w6 u5 M# w
第一节
; E* r: y% F7 L! e6 Y2 F对于CA智能卡的破解分为两种，

1、从硬件破解的角度，完全地仿照正版卡来定制IC卡；
  @5 n& d6 q* D
+ d! y3 h' c; v2、 从软件破解的方向，将正版卡的程序读出，最后将程序写入IC卡中，就变成与正卡无差别的D卡了。
0 Z7 T1 D% Q. ?( U: x仿制正版卡，可以将IC卡的触点剥离下来，再将保护的塑料蚀掉，暴露出元件和内部电路连接，就可以绘制

2 M; u* G1 S& A2 C7 B5 i成电原理图，最后交给能订制生产的IC卡的厂家生产。这些仿制还有一个冠冕堂皇的名称叫“反向工程”。国内在
' C( s( L- }* N9 ]( I# G& @6 x
深圳和厦门等地都有能生产定制IC卡的厂家，在利益的驱使下，他们往往不会过问敏感问题。
IC卡中的元件如果是通用元件，通常可以通过IC卡的功能原理的分析来确定，虽然困难，但总是可以最终确

* y# N5 j; t( G2 S$ x定。例如深圳目前直接使用流在市面上的ROM10与ROM11卡来制成D卡，ROM10与ROM11实际上是XX系统正版卡的“基础
3 @3 p2 N/ w6 }
卡”，这些卡具有与正版卡相同的硬件基础，至于怎么流落到社会上的不得而知，但有一个事实就是大家应该都收

到过安装卫星电视的短信，这是个可以想象的到的异常庞大的地下产业！
* T( d5 R3 _9 k2 {# Q: D继续：IC卡中的元件如果是专用元件，确定元件的事情就变得极其困难和十分渺茫了。那么这个时候硬件仿
1 h6 x; A2 y( q$ \6 r
制的路走不通了，那么看看软件仿真的路能不能走得通。
/ _- e8 \3 t+ E4 i7 R- v
1 P. s/ i* _/ }/ v再看软件仿真的路能不能走得通前，首先阐明软件仿真的路能不能走得通有不同的判断标准。
如果仅以在一段时段中，软件仿真的D卡与正版卡都具有相同的条件收视功能来判断，那么无疑，从D卡的实践来看
2 g. v- Z- B" `0 B5 l# H
，软件仿真已经成功了。
% U6 g% b' {" B, n5 F3 C1 r0 C/ q但如果以任何时段中，软件仿真的D卡与正版卡都具有相同的功能，特别是对抗反制的功能来判断，那么我要
, z4 M6 e# @( T  s. @2 t2 b: `$ Z, [
( o6 M7 o5 k, R7 l) ]  D2 {7 p说，同样无疑，软件仿真是不可能成功的。
, p: M1 e4 q; }# \6 X! U% A因此我们仅承认这种事实就够了：自动对抗新的反制，使D卡与正版卡一样免除后顾之忧，肯定是D卡研究的
) W: i6 E8 D8 z, \2 @: ]$ J
终极目标。但是即便达不到这个目标，只要能保证一段时间的仿真成功，CA破解的商业价值就依然存在！
: U! B3 H% \/ ?+ O- r0 W; m
补充说明反制：由于D卡的成功，尤其是带AU（自动换Key0/Key1）的D卡程序的广泛扩散，正版服务商感到

* t  {) z- e. X了巨大的压力，逐步开始采用种种反制手段，让D版的AU卡实效。

; L& w! P+ o% A我们先研究一下这个反制是个什么东东：学习和搞嵌入式控制器开发的人都用过仿真器，如“伟福”系列的
( ^! ^1 g' b" K! J; N  y& P. R
MCS-51的仿真器等。大家一定知道硬件仿真与软件仿真存在一个本质区别，即I/O功能的不同。一条取端口引脚值的

指令就足以区分是硬件仿真还是软件仿真了。硬件仿真可以真实地取到引脚上的实际输入，而软件仿真得到的只能
* Q4 p' k! C: R; t2 A
% ]) y" v. X! Y7 s( q, F是不会变化的内存仿真值。
/ M$ o% K, u* w9 ?利用这个原理实现的反制程序分为两部分，前面的部分通过I/O端口的访问，区别出是真的硬件存在，还是
0 d$ b5 _/ v7 ]# [1 l" K) ^+ t
( q  l2 I3 o( S1 ]9 x0 j软件仿真；后半部分对非法的仿真卡简单地返回主程序，不能解开Key0/Key1；对正版卡，则修改Key0/Key1，使之
# u3 U" v7 E* s/ c* y/ P
正确，然后返回主程序并保存key，保存的Key0/Key1用于ECM的解码。

从历次搜集的反制EMM中的方法中，可以将反制归纳为两种，一种是从硬件或软件上区别D卡与正版卡，从而

( a9 ]" Y5 j5 `) x! S" ]0 I. ?产生条件分支指令，使D卡仿真的程序失效；另一种是调用D卡中不可能有的，只有正版卡硬件才具备的MAP子程序，

使D卡无法执行正确的程序。

先介绍前一种方法：
* m8 B. n* s* o; i, ^! d使用硬件端口区别正版卡与仿真卡的反制方法，由于具有特殊性能的端口数的限制，因此不可能有多种变化
) F0 Z9 h: b" C* C! R
5 s5 j" ~9 [3 ^5 \* e  F，一旦Hacker知道了反制的EMM结构与原理，很容易就可以避开端口判断的指令，直接转到修改Key0/Key1部分。这
$ X: h- {9 ~) X
$ v9 G) W, M3 i1 g2 [4 |0 p8 d虽然并不是程序指令的直接仿真，只能算是功能仿真，却可以使已知反制失效。
2 o" v/ Y+ ~' r# B, F! v6 n& b* r, c
另外你也许会提出一些其他办法，如目前的一些Nagra系统在下行的EMM命令中加入了甄别真伪和“杀卡”指
* U- r2 ]3 o; @0 n+ K5 |4 W1 ~
令，对于“正改卡”，毫不留情地清除卡中程序并且让它成为废卡。
1 k6 b* B; Q/ T7 h  z( j1 m* F' N我可以说，为了对抗“杀卡”，这类“正改卡”的程序如果采用Block技术，可以抵抗多数杀卡指令，同样
5 j" ~) j, s) ]! r7 ]2 {
: }2 N# V9 L8 A5 A6 L能够使这类“正改卡”得以安全使用。

3 x4 v; W% _6 G6 J  Z2 F先写到这，后面介绍根据正版卡特有的机器指令代码，让正版卡能进行解码、而没有正版卡程序的仿真卡
4 h! L$ j" [/ N
无法正确解码、从而获得KEY的EMM思路。
; G" O0 p) |6 X" B$ o8 [  a第二节：

以下介绍根据正版卡特有的机器指令代码，让正版卡能进行解码，而没有正版卡程序的仿真卡无法正确解码，

从而获得KEY的EMM思路。
按照道理，D卡使用的是AVR或其他类型的CPU，“正改卡”中的程序与正版卡也不相同，照理这些卡中都没有正
2 S- g. [* d# J6 L- U7 i( v
5 [" q+ ?" S, `2 @# X& [  d版ROM10/ROM11卡的程序。因此，用只有正版卡才有的特定机器指令代码作为密钥来解密key0与key1，自然是十分聪

5 n* K" Y. |7 n& i- z明的反制措施。
( `$ [8 o, |0 D! r该反制的EMM以前146Dream TV可能曾使用过。目前XG有线又重新启用，大致在一个周期的8天中，有两天使用本
$ I* J  w  D9 T% R0 d' J; s
8 \8 n: I" Q9 ^! o1 [6 h$ D+ }类EMM，另外6天使用另一个“超级MAP”程序。
这种反制的具体思路是：
% d$ @# G. H; u- K$ Z+ F  \3 a下行的EMM中携带的Key与Key1是经过加密编码的，不能直接使用。解开它们需要的密钥“种子”（即产生密钥

的原始数据）的地址由下行的EMM给出。注意！EMM中并没有给出密钥“种子”，而是给出了它们在正版ROM10/ROM11
4 ?; `5 X/ k9 e, e" i7 _& M# O
! h$ S9 b) ?( p3 U& z6 e卡程序存储区中的地址，这个地址是随机数，不同的key0/key1，地址就不同。它的值总是大于S4000，防止取到
1 }3 w0 l  ]( a, P/ q
) C! _' L' J9 b* T0 L" ]ROM10卡低端的无法读出的无意义内容。反制设计者设想，D卡或“正改卡”无法获得正版卡的内部程序，因此，即
1 d- M% l5 v8 h& F# |7 ^' `9 M
使给出了地址，D卡也无法取得正确的机器码作为密钥的“种子”，自然也就无法生成密钥，解开key0/key1了。
对于正版卡，按照给出的地址，取到16字节的机器指令代码，经过类似计算Hash效验的方法，产生正确的密钥
. `" g# t! d% K& o$ _. c
( w4 T+ m# o3 T/ G+ [+ v，再对key0/key1进行DES编码运算，就解出正确的key0/key1了。
7 d; D. x! O- Z7 }# u
上面介绍的“利用正版卡程序随机地址处的机器码作为Key的解码密钥”的EMM反制方法非常厉害，曾难倒了一
4 B) B. [- M6 S& g/ ^* B$ v
大批的高手。
1 {- Z8 I$ i9 s对比一下昨天前一篇帖子中给出的EMM与上面介绍的EMM，就会发现，前一篇帖子中给出的EMM是一种简单的反制
( G9 t  e! \' o) S
' p7 \0 l+ T9 Q( h1 F2 t4 p" F& w，只要知道了正确的Key0/Key1，再经过认真分析和思考，就会明白其反制原来并找出解出Key的方法，目前Dream
+ D) V" S6 E% c2 I' @8 T
TV的反制都属于这类简单反制；但上面今天介绍的EMM是一种高级和复杂的反制，即使知道了正确的Key0/Key1，也

7 y8 @' r% k* ^/ _难以得知其反制的原理与找出解key的方法，目前XG有线和国外一些CA系统采用的是这类反制。由于XX的反制汇聚在
. N, K7 b7 r7 M
; q$ C5 A, F! |低级和高级的两类难度上，所以黑客们怀疑这是两类不同水平的技术人员的作品。低级难度的反制是卫视服务系统
( ^% t0 {) Y% o" h
# b2 ^5 Y6 n( h; j2 f! [, R3 a内部技术人员的手笔，而高级的反制则直接出自CA系统研制人员的杰作。
两种级别的反制也将国内修改、编写D卡程序的高手分成了两类：有一些写一点程序应付低级反制的，往往采用
! A, N; U* E, K/ u+ g
2 E. d3 F* m( a: F' d0 F“头痛医头、脚痛医脚”的补丁程序，可以对付目前146-Dream TV的反制；只有少数高手中的高手具有整体编写程
/ d2 {9 K6 i8 q0 p# X# a
+ s- i+ Y0 V6 W/ \  Y1 o: H序以及仿真MAP功能的能力，能采用更合理的对抗策略，能研制出复杂程序和新类型的D卡，最终可以对付高级难度

的反制。对付低级反制写出对抗程序的时间大约是数小时到几天，而对付高级反制找到方法并写出程序的时间往往

需要数个月之久，而且还需要国内外Hacker 们的协同配合。国内高手中的高手人数很少，都是单兵作战和埋头苦干
9 W, q1 L: y/ L* K$ F
" Y5 B7 K/ q/ a3 o  x7 V( R6 K的，与其他高手之间一般互不交流。

7 J0 L& d0 Z7 }$ @  T8 @本节介绍的“利用正版卡程序随机地址处的机器码作为Key的解码密钥”的EMM反制方法十分成功，但它采用程
2 h$ ]4 T  G  @- m( d- o
序的机器码作为解开Key的密钥，可能会出现以下几个问题：
1. 如果电视系统历史悠久，在用的卡可能有几种，那么可能产生内部机器指令码不尽相同的问题；
' S) j$ {( ~/ V. J9 B2. 如果电视系统想要更新程序，也可能存在部分尚未更新程序的正版卡，同样会产生内部机器指令码不相同的

& p3 ?$ ?( H) s* u3 Y5 P4 j4 Y* Y问题。这个问题还可能阻止正版卡通过下行信号进行的升级：我们设想一下，正版卡用户中，有的人天天看卫视节
" {9 P/ F. }5 {+ Z& H
目，他们的卡顺利升了级，而一部分人外出，卡很久都没有使用了，刚回来想看卫视，结果因为卡的程序不对，无

法收看，肯定对卫视服务商大发雷霆。在用户是上帝的外国，电视服务商对可能引起用户的怒气一定很忌讳的。
0 m# d8 ^) ~1 R& h3. 对该反制最致命打击是，可以设法读出正版卡作为密钥的那一部分程序机器码，通过在D卡的硬件上安排外

' x) v( z5 T5 B* }% n, M! T部EEPROM，存储量有64KB、128KB、256KB等，将正版卡作为密钥的程序机器码全部保存起来，解开KEY时，照样可以

& G& p4 U8 {. W. b4 m$ G从外部EEPROM中取到与正版卡一样的解Key的密钥，来对抗反制，使该方法失效，这是该类反制的终结者。
经过了利用软件仿真在I/O功能上的区别进行的反制和利用正版卡指令代码作为密钥进行的反制之后，目前几个

  R% M( L3 W( D2 z( l! x在运行的CA系统（146的Dream TV与其他卫视，XG以及国内一些地方的本地有线数字电视等）纷纷进入了使用MAP功

能来进行反制的阶段。
使用正版卡中的MAP编码/解码协处理器进行反制，是正版卡在设计阶段就预留的终极反制杀手。可以看到，正

版卡设计者防范于未然，预估到终有一天，第一道门（ECM与EMM的解码）将被攻破，预先留好了第二道门做最后的

/ I5 f- `! [  f4 k防守。未雨绸缪，是我们不得不佩服这些设计者的智慧与远见。
第三节

: Q7 [9 Q; c$ ?0 {. i在深入讨论MAP功能及其仿真实现之前，为了后续文章读起来不算费劲，需要先说明两个方面的知识：一是什么是收
: S" {4 n; z5 z; Y; c+ h
' s( [2 C3 A2 ?" n* k# d  m% j; M& @视卡防守的第一道门与第二道门？ 二是EMM指令与Logging等知识。
) S9 F# F% O) L3 _9 x( N9 a今天让我们先说说什么是收视卡防守的第一道门与第二道门？
收视卡是防止非法收视的守门员，在卡中设计了多种加密方法，最主要的有解决收视功能的ECM和自动换key的EMM的

" A+ E1 t7 l8 \& L) b0 {/ p# f解密，它们的解码是第一道门。ECM与EMM的编码与解码使用的虽是不同的方法，但都是固定不变的标准方法。不同
% r& O) t7 I2 K7 m, f) k9 ~/ J+ j
的条件接收系统仅仅是编码/解码采用的数据有不同而已。举个例子，有的卡可以解开多个同一类型CA系统，该类卡
& b$ S5 E0 \8 i) J& j  E
是按照下行的ECM或EMM的系统标识（如146 Dream TV为4E和4F，XG有线为94和95等）选择不同的数据，而运行的程
! {6 l& H& x+ S, U. `. @
序基本相同的。
仍然以XX为例，ECM的编/解码采用DES与EDES算法，其原理早已公之于世。编/解码所用的S_Boxes数据也已经公开，
- G3 V1 |& v2 u9 c* r5 J$ v8 C
并且在不同的系统中固定不变。与标准的DES相比，XX系统的DES只是多了对字节进行了反序排列而已。ECM使用的

9 r' w- N! @: P0 G. |8 }# ~VerifyKey等数据，通过后门密码进入正版卡保留的数据空间，可以读出这些关键的信息，加上BoxKey等信息，只要

  D$ s$ ]5 y, d能获得当前的Key0/Key1，就可以配合IRD解开解密收视用的控制字（Control Word），可以正常收看卫视节目。
ECM的解码可以解决收视的问题，但还需要手动输入Key0/Key1。如果要象正版卡一样自动换Key即所谓的AU，就需要

( W- W+ ]4 b% C/ r7 K, ]3 z) m; C能解开EMM，并能正确地找到并保存Key0/Key1。与ECM的解码相比，EMM的解码要复杂的多！经过Hacker的努力，EMM

- c. n: a/ k2 w0 O的RSA编码原理已经完全弄明白，所需要的PK，VK等数据也可以通过Hacker的软件和ROM10/ROM11卡的后门读出，再

; y  i& _# {* z4 c算出N1，P，Q，EP，EQ，IQModP，IPModQ，PPrimA，QPrimA等方便编程的数据，就可以顺利解出EMM。
收视卡的第二道门是对EMM 中Key解密的防守。它的方法没有固定的套路，可以任意变化。如XX系统的设计者安排了
% Z/ P( ^5 ]/ w; t" _
  z! x% ^2 X4 D! P, N可以通过EMM中携带程序的执行，以及正版卡通过下行信号更新的EEPROM中补丁程序的运行来解码。正版卡设计者可
4 m0 G  `' ^( ~6 s0 E. q
能料到攻破第一道门是迟早的事，于是第二道门上的防守就成了最后的防线。前面章节介绍的几种对EMM中的

Key0/Key1进行再加密，就是在第二道门上的防守。它的思路是：当EMM解开后，如果其中的Key0，Key1是经过加密

的，D卡仍然无法得到正确的Key。
* R+ B( `; |3 U: \国内早期的D卡程序是移植国外Hacker 的，针对想收视的系统，修改了相应的数据就可以实现本地化，由于要得到

; E6 U- ]. k" g3 m9 U正确的Key需要的解码方法没有固定的套路，Hacker不可能事先料到，总是要反制后分析它的原理，再更新部分D卡

程序，进行对抗和补救。一般人没有自己编写D卡程序的能力，即使有写卡器掌握了写卡方法，但程序又难以得到，
. |' \1 ]) q8 n& ?, P9 h9 |( X1 w
这些麻烦会迫使许多人放弃D卡，转而加入正版卡缴费收视的行列。
( i  i6 m  Z3 Q# C/ ~- b/ ?不过正版卡虽好，但其高额的收视费还是让国内广大爱好者望之却步，大家的希望还是寄托在D卡程序的完善上，希

望终有一天，D卡能与正版卡一样不受反制。
. E( d$ G" N# q, {3 h3 l% m) [7 v2 V2 Q第四节 EMM指令与Logging知识
& Y3 j2 N" n6 \
EMM是“授权控制命令”，简单说就是“更改收视卡中信息的命令”。现有系统如XX系统中的EMM命令很多，EMM指令
+ J+ w1 ^/ t, \" B$ b; `: h* q! I
. u, Z9 v  a" c' @8 o中的FA（针对ROM10卡）和FB（针对ROM11卡）是所有EMM指令中功能最为强大的指令。在该指令中携带了6805指令写

' y0 X$ q/ f3 ?9 f0 t5 S5 ^: }! H: R的小段程序。CAM（收视卡）将EMM解码后，将该EMM携带的机器指令码存入正版卡从S81开始的固定地址。以子程序

调用的方式，转到该地址，执行这段程序。这段程序的结束可以只是一个简单的子程序返回指令，也可以用转移指

, P; m  V* K9 R9 }; H令转到保存Key的子程序去。前者一般不保存Key，后者才保存Key。
# `4 _- N/ o1 J7 e
: u8 Z7 B: k( C) u8 Z

2 B5 k$ s2 e1 M# G2 P$ Z: a
还以XX系统为例，其EMM长度最大为64字节，既要包含Key0/Key1和一些标识与过滤指令，又要包含一小段程序。受

3 S3 q- z) U7 o+ R) f, {* y到大小的限制，程序的长度不能超过37个字节。对于复杂的解码反制，程序很长时，一般通过下行的信息将大部分
, ^$ R4 k: T) j
. E! u4 e1 y0 m( G! \0 c$ }* N" w7 N的程序写到正版卡的EEPROM中，由EMM中的小段程序来调用，正如XG有线当前的反制所采用的方法。对于二次加密了

的Key0/Key1，只有正确执行该段程序后，才可以还原Key0/Key1。

& s; R2 x* W  T5 F5 a, ~& R防止D卡正确执行该部分程序是不难做到的，实际上，由于D卡采用的CPU不是6805家族的，D卡也不直接执行该段程

序，但防止D卡研制者人工判读该段程序却是极端困难的。

如果D卡研制者采用人工判读的方法，读懂了新的EMM的反制原理，找到对抗反制的方法，那么就可以在反制后的不

( D" m1 F, t% b' A长时间内研制出升级改进的对抗程序。这些程序通常会放到专业的黑客网站上开放给众多黑客会员下载，具体地址

本文就不讨论了，只是要说明这些网站确实存在，而且很活跃，这也是对DVBCN论坛上CA厂家的那些穿着皇帝新装的

" M# D2 }) l, @& o( o8 z- j6 A+ X抢手最大的一个讽刺，说什么“ca是很安全的”之类的自欺欺人的瞎话，有空的话还是花点精力去琢磨琢磨仿制和

复制的区别，看看自己的水平到了什么地步，能不能入流。
; i) W( [# s* o( h
判读EMM内容与反汇编其中的6805程序的步骤如下：
& c/ g0 q' X0 G* F& t* l
+ n/ i+ b' |2 y1、 通过某种手段，将EMM纪录下来。这个步骤也称为Logging，Logging通常可以通过1020卡或通过Season

1 L- @* T7 [- z6 R  K( i卡等来进行卡等来进行。有的高级黑客用的Logging是用含有自己写的特殊程序的卡，在新的含Key的EMM到来时写入

EEPROM，再用写卡器读出即可；（一般圈内没有1020卡，都是用自己写的卡程序log。）

2、 将Logging的文件交给XX程序。该软件是学习和分析EMM、ECM以及XX系统其他信息的优秀软件，其中含

" S  N8 U4 }! U; v% T7 C- y有不少有用的工具，对此有兴趣的网友应当熟悉它的使用；
" q0 X( Q9 ~, z3 Q

) F' @6 Y( o4 v3 K- p

0 F% D) n$ w1 K3、 如果你的XX程序目录中含有正确的ROM10/ROM11的BIN，Keys.INI，Labels.INI，以及Routimes.INI等
3 Y5 q; h5 d" q8 ^7 O" H$ R8 E
文件，那么XX程序中的EMM XX功能会将该EMM解开，反汇编并加注释成为易读的源程序；
2 \9 h4 ~1 L) Z( Y; K7 i# y/ d4 M



4、 阅读EMM程序与包含的数据，对比已知的正确的Key0/Key1，分析之后就可能知道反制的原理，但也可能分析之后仍然找不出头绪。
$ Z* K& r$ E5 L! @2 H

* L0 X0 X2 y: @+ D8 {" d; V$ L如果分析明白了，就可以着手编程。对于1020卡，程序按照6805汇编语言编写，汇编后加入ROM10/ROM11.BIN文件，
1 ~) L4 K0 D/ Z5 o) K6 U- G& G
放到Fennir的XX目录下；对于Fun卡，按照AVR汇编语言编程，替换或修改原来卡的部分程序，汇编成*.hex就可以使

用了。对于从事嵌入式控制器工作，或是信息类专业的人，编这些程序应当不是什么难事，但要编得好，却也不容

' ^" E% N; c' d易。对计算机汇编语言不熟悉的人，要自编程序，当然要先学习和实践，能否成功，全看各人努力和造化了。
第五节MAP
本节开始说起MAP攻略的技术基础知识，有网友该问了为什么是基础知识而不是详细介绍？该攻略是全世界高手共同
$ r( M( _* m- q( l9 F7 G  L* A' p$ ?
& H0 U! C7 h0 D8 z( h7 E- [( R9 G努力得出的宝贵结果，可想而知，这份资料的宝贵不言而喻！由于是在DVBCN这种公开论坛，另外当初写这些文字也

是因为一时意气用事和一个叫tsexpert的网友进行理论，结果到现在该老兄跑得无影无踪，偶尔回个帖也是顾左右

而言他，对于技术的推演无片言只语的贡献，变成了我孤家寡人在这里卖弄，所以也就没意思了动力也小了很多，

因此本文不准备展开和深入介绍。详细的研究和讨论，可以在日后归纳出“MAP技术专题”资料了专门交流，不过就
  |3 U1 f% _2 Q5 i6 v9 J0 A
( {. I& f1 W* z# @% F2 M不是这种方法了。
OK，切入正题。XG有线“新例”超级反制的程序是利用MAP进行的反制程序。由于反制十分复杂，程序较长，所以分

+ V: n$ ]' I2 O1 V3 ^: R为两部分：小部分的是EMM携带的程序，大部分是通过下行信号预先已经存入EEPROM的程序。通过阅读它们，hacker

$ x3 j1 a  V+ |$ ^们可以了解MAP的调用（$90E3）在反制中的作用。
调用MAP的EMM有难有易，以Dream TV为例，其MAP $0E功能就可以通过正确的Key，比较容易猜出来，它是与成片数

' Z6 i' p3 B# w& d" _# J据交换有关的操作；而XG有线调用的MAP $11，$28，$39，$3A功能就极难猜出来，就像是一个“谜”。
反制进入使用MAP功能的阶段后，D卡要对抗反制，必须研究MAP功能，只有弄懂了有关的MAP功能，并且在功能上仿
. e" m9 s# R/ z' z7 q! h' X* _
5 \, R2 E; K5 P真它们，才可以有效对抗这类反制。大家可能会设想：如果我们将MAP协处理器的功能都了解了，将它们都仿真出来
" A' Y' U( y2 g' X2 n
，那么不就可以与正版卡完全一样了吗？不过要弄懂MAP的功能，可不是一件容易的事。先让我们了解一下协处理器
) w" V5 {$ `* R5 c* A9 @
9 n1 Y2 Q: R+ X3 ^' k是什么东西： iB
一般计算机为了处理数据的需要，可以配上协处理器。协处理器的程序是不对外开放的，它的程序存储区对其它器
7 p( Q8 g% z# r3 d( X: m$ r
件而言是完全隔离和封闭的。无论如何，用目前的技术和手段，我们都读不出Map协处理器的程序。因此，彻底了解

MAP协处理器的功能，是不可能的，除非开发MAP的技术人员被收买了或派间谍打入了研制MAP协处理器的公司，盗取

了它的技术资料...。这又有点像tsexpert老兄前面说的中央情报局的笑话故事了。 gy9
想像带来虚幻的快感，却不能解决问题，要解决问题，还是脚踏实地，认真学习与研究。
- I/ S& ?( w( r# k  E% RROMX卡调用MAP功能是通过一个固定入口地址$9E03的子程序实现的，该子程序称为：CALL_MAP，调用时必须在A寄存

5 O& j- {& y  d. n器中存入MAP的功能号。
  Q2 y5 l  R3 H8 V& u我们看到EMM实际执行的是一段很长的程序，EMM中的部分只是其中的一小段，绝大部分都存到了EEPROM区，它们是

通过下行信号写入卡中的EEPROM的。
据我所知，ROM3或ROM10或ROM11的正版卡在$4000～$99FF的程序代码都相同，它们存在ROM区，是固定不能改变的，

如果改变了，那么，“利用正版卡程序随机地址处的机器码作为Key的解码密钥”的EMM反制方法就要产生兼容性问
  x: h) G# |2 b! o: g. Z+ R! a
题了（这也许就是ROM卡称谓的由来）。Hacker们将这部分程序称为ROM卡的“ROM区基本程序”。卡复位后执行的就
7 z4 N; ^4 E3 P- N2 b
是这部分的程序。 ?Kg{q-u-
那么固定程序的ROMX卡是如何改变其程序的功能呢？
不少网友都知道，只要在ROM卡中可以改写的EEPROM区中按规定写入*.BIN文件的程序代码，就可以改变ROMX卡的实
: q+ A' C7 D# z2 j: G6 \% j
" {8 w& M' s) u$ U' R: e际功能。
那么为什么在EEPROM区写入的程序代码能改变程序执行时的实际流程呢？这是如何做到的呢？
PC微机的操作系统或程序，如Windows，发现了Bug，用补丁更改时，需要先下载补丁，然后运行有关修补程序，改

变原来程序的代码，才能完成修补。这种修补通常是在原来程序中要修改之处放上转移指令，转到补丁程序，执行后再回到原来的程序继续完成后续工作。这是修改程序功能常用的办法。
4 A8 x) L8 g* P/ w. s但如果原来的程序不像PC微机那样存在硬盘上可以更改，而是存在不可更改的ROM区，补丁下载后，没有改变原来程序的任何部分，补丁就可以自动起作用，就是奇怪的事了！
由于ROM区基本程序不可更改，又要能自动运行装入EEPROM区中的补丁程序，ROM卡的设计者想出了一种巧妙的方法
0 N6 M3 k! Q9 u* T, s
, Y! `5 T8 L- O2 n。该方法能自动检查EEPROM区是否有补丁程序，补丁程序补在原来程序的什么地方，如何自动运行这些补丁程序等

等。
有了这种巧妙的方法，在不改变ROM卡基本程序的前提下，只要将添加的程序或数据存入可更改的EEPROM区，卡的程

5 M8 P! R. o- |: U/ Q6 M序功能就可以得到增强或修改，就可以在不必收回或报废原来卡的情况下，适应各种不同的卫视系统或其他应用，

或对卡进行升级换代，特别地，可以通过下行信号自动变更原来程序的逻辑功能。
1 h8 X. ~2 b' k1 q9 {第六节：
- |3 N  }$ J; L7 M0 J$ O* Z8 L
$ K8 }" ?# Q, w  j6 s0 X" b为了学习和掌握D卡技术，必须能够读懂别人编写的程序，然后再自己修改或编写自己的程序，所有这些，都需要了
* E1 ~( b' H, B$ ^  _8 o0 d
解汇编语言源程序知识。可以说汇编语言程序知识是D卡技术入门的一道门槛，跨过了这道门槛，就得到了一把打开

宝库的钥匙。有不少网友开始上信誓旦旦,但往往乘兴而来，败兴而去，不少人开始畏难，甚至逃跑了,就是难以跨

越汇编语言这道门槛。同时因为后续章节中经常提到ASM、HEX、BIN等格式的文件，因此调整一下文章结构，补充一
/ R' p" Q3 u' ]+ \" F. E1 H! k
点汇编语言程序基础知识,真正想学习的网友友，还是要自己找资料踏踏实实系统地学习。
$ v  D4 `; V/ f8 @- l　　汇编语言源程序（简称“源程序”）是面向CPU的低层语言，该语言的指令（注意：不称为“语句”）与CPU的

机器指令代码一一对应。对不同类型CPU的计算机，指令不同。源程序可以编写或通过反汇编得到。运行汇编程序就

. f) C4 x7 n) C' Q可以将汇编语言源程序转为机器语言目标代码，这个转换称为“汇编”（注意：不称为“编译”）。源程序为纯文
6 b* e$ L) w( ?; @8 H( f5 g8 P, U, [
本文件，扩展名一般为ASM。目标代码文件格式很多，常用的有Intel的HEX格式和存机器码的BIN格式等，它们都可

以被编程器接受用于将代码烧写入CPU或EEPROM等存储介质中。计算机CPU只能执行机器指令。
& \3 \+ _9 n" q; U8 n　　汇编语言源程序的指令有两种，一种是对应CPU执行的机器码的“助记符指令”，另一种是指示汇编程序工作的
$ Q: \. b8 u' R- C, g6 j( p0 ~+ k- b
“伪指令”，再有一种“宏指令”实际上属于伪指令，它可以用一个符号串简化表示很多符号信息。
　　用一种类型的CPU执行另一种CPU的程序，只能用仿真的方式，实现其功能，而不能直接照搬来执行。
. l) C) G# r2 @$ K1 ]　　在Nagra系统的Hack领域，常见的汇编语言有ST7/6805和AVR等，前者是正版卡的语言，后者是仿真卡的语言。
: `+ I! y, b* n3 }3 K9 N以下给出一些范例：
　　某种EMM携带的6805的源程序：
! x! n) M' c2 X　　　　　　　　　　　Org　　$0081　　　　　　　　　; 指定以下程序或数据开始地址
; ?2 p( ^; n$ ~' Y" {+ l; D6 q" ]　　StartAddr81H:　　　　 Lda　　$CE01　　　　　　　　　; A:=EEPROM单元[$CE01]
　　　　　　　　　　　Cmp　　#$01　　　　　　　　　 ; 该单元内容是否等于$01
　　　　　　　　　　　Bne　　$A7　　　　　　　　　　; 如果不是，则EEPROM未装入适当的程序，退到$00A7
: {7 @5 n$ Z+ q% d4 Y- k, _　　　　　　　　　　　Jmp　　$CE02　　　　　　　　　; 否则EEPROM有适当的程序，转去执行该程序
#N9=i7 @3
汇编后的地址、机器码与源程序为：（该部分是*.LST即列表文件，它包含了源程序和汇编后机器指令或数据，地址
7 V$ V  D0 [3 g5 `$ ^3 q$ u
等）
　　　　　　　　　　　　　　　　　Org　　$0081　　　; 指定以下程序或数据开始地址
$ z1 G! G2 m" S9 a) J0081: C6 CE 01　　 StartAddr81H:　lda　　$CE01　　　; A:=EEPROM单元[$CE01]
1 _; m5 {/ Q% o& V; [( U! D0084: A1 01　　　　　　　　　　　 cmp　　#$01　　　 ; 该单元内容是否等于$01
& }7 H- W/ ~1 K- n! b0086: 26 A7　　　　　　　　　　　 bne　　$A7　　　　; 如果不是，则EEPROM未装入适当的程序，退到$00A7
9 y% S% x3 D. V; K; F0088: CC CE 02　　　　　　　　　　jmp　　$CE02　　　; 否则EEPROM有适当的程序，转去执行该程序

　。。。。。。。　　　

　　以上部分略。

　　从以上范例中我们可以看到一些普遍规律（这几点请认真记录）：
$ y0 k6 x6 R/ F$ u! [; O" P. W　　0. 计算机识别的信息都是二进制数，或简洁标示的十六进制形式。
　　如十六进制与二进制的不同形式：$C6=0xC6=0C6H = 0B11000110=%11000110=11000110B 等
　　1. 相同程序功能，但CPU不同，则机器指令码不同，不能互换。
　　2. 汇编语言源程序由4部分组成：
　　　　标号　　　　　　　操作码 操作数　　　　　　　　　 注释
' j0 I! c  d2 b3 N& ]  a# ]　　StartAddr81H:　　　　 Lds　　r16,$CE01　　　　　　　; A:=EEPROM单元[$CE01]
　　3. Org或.Org是伪指令，它不产生对应的机器指令，但仍起了一定的作用。
5 X/ _1 E# }3 P6 ?. J" }( V　　4. 多数指令是助记符指令，它们都产生了一一对应的机器指令，它们都要占据一定的存储单元，都有对应的地
. z( ?$ K& q8 Y% [4 I6 X
  r( x3 J6 s  ~址。
1 z2 S3 ]/ x/ ]; X　　5. CPU按照指令的地址，逐条取出机器指令并执行，如果没有转移操作，就按照顺序执行。
- i, X% M" T! F% P7 e% X　　6. 汇编语言源程序很难看懂和记忆，因此需要认真写注释，一般注释是用英文写，也可以用中文。
3 v8 |9 a+ G" s　　7. HEX文件有特定的格式，它包含地址，数据和效验和，十分严谨和灵活。
第七节
7 ~6 M) o' o2 e2 J% q. h; Z
8 r9 k% p! ?& G4 r2 Z/ ~, L- }为了研究正版卡的反制，特别是XG有线类型的高级反制，不仅要研究带Key的EMM，还要关注和跟踪修改EEPROM的EMM

。一直关注这些EMM动向的黑客会从相关论坛得到正版卡修改后的EEPROM代码，它们一般以*.BIN的形式给出。
. \- Y4 j+ U, ~% `- T　　如果得到了ROM卡的*.BIN文件，就可以了解到正版卡在EEPROM中加入了哪些新的补丁程序或采取了什么反制方

法。
　　研究和了解的第一步是反汇编。反汇编是将机器指令或数据代码转为源程序的一种操作，它是汇编过程的反向
( n. N, y* K" @; Q& z: l
' K2 ]7 ?% F9 p4 W$ r% w0 k4 I+ @操作，是反向工程的一种手段。
　　一般开发产品，自主编写源程序后，主要的工作是汇编，很少反汇编。但黑客在破解我国卫视界的过程中，却

, k6 Q) z- o. e0 |3 C常常进行反汇编。
. f1 o( W$ f* X0 r" R5 x/ w　　原因之一，是因为水平不够，无法自编源程序，只好用国外或国内高手赠送的目标代码通过反汇编来转为源程

" }3 g9 v/ I0 M# j$ D1 h序，再进行学习和修改，这成了必要的步骤。
9 |* c! j! B$ Y　　原因之二，是研究正版卡的反制方法与原理的需要，必须通过反汇编将EMM或EEPROM中的机器码转为易读的源程

9 x2 w' [0 L. y0 V+ U4 {序，再进行分析和研究。
' }9 V6 s% {6 }& t" R　　汇编是将源程序转换为目标代码的过程，它比较简单，指令或数据转为机器码时都是唯一的，没有二义性；而

7 J$ J- t8 T8 \+ P, w- k反汇编就复杂得多！由于二进制代码的多义性，即，同一个字节，可以代表多种信息，它即可以代表CPU的操作指令
% ~1 ~4 Y; }7 W9 w! ]1 v: V
，又可以代表各种字符、无符号数、带符号数、浮点数和其他种种信息，因此，一般情况下反汇编是不可能返回汇
8 _; x1 [6 }1 v; a3 Z" H
3 e2 f, I1 K* r% M: I编前的源程序的，如果反汇编能将指令或数据正确区别开来，就是很不错的了。
/ v! \7 J" k% M7 \1 D& O　　大家可能有疑问：要反汇编的是程序，只要转为助记符指令就可以了，怎么还会有转为数据的问题呢？为什么

5 {7 N( S3 v( H' {难以区别程序与数据呢？
　　原来，程序是指令与数据的集合，程序存储区中即可以存放CPU的指令，又可以存放程序使用的数据，它们都是
8 ~6 s! x& N/ W
% \+ x* e7 `+ |$ E# N0 x: X二进制代码。在源程序中，不仅有CPU执行的指令，也还有程序用到的数据，这些数据是用数据定义伪指令来描述的
0 L2 I; J  J( m$ Q- `$ r3 f  P9 K
+ f/ m' q9 b9 w7 P。指令与数据汇编后产生的目标代码都是二进制数，它们可能是指令也可能是数据，单从二进制代码本身并不能区
3 l; @% S* m0 E0 _8 L
别出它们是指令还是数据。
: X( ?& o  j+ t7 X以**卡的EEPROM中的部分机器码反汇编为例：
" N0 i/ \: x5 F( k4 r# D4 Y在**.BIN文件中，取从地址$CE18开始的机器码：CD CB 21 00 96 02 70 08 A6 01
* Y' Y' _, g& o$ n7 D2 ^! I# S用反汇编软件，如XX软件中的XX功能，反汇编得到的源程序：（是错误的）
7 B& {% Z  A; ~0 F0 }CE18: CD CB 21　　 jsr $CB21　　　　　　; 调用子程序$CB21
CE1B: 00 96 02　　 brset0 $96, $CE20　　　; 如果$96单元的位0=1则转到$CE20
" u6 `9 Q% a3 m1 {/ SCE1E: 70　　　　　 neg $X　　　　　　　 ; 对X寻址的单元进行求负操作
* U4 P1 a7 Z1 P8 K6 U( MCE1F: 08 A6 01　　 brset4 $A6, $CE23　　　; 如果$A6单元的位4=1则转到$CE23
8 S  W3 W; j* i1 ~1 y6 L正确的反汇编应当得到以下源程序：
6 \" Y7 e" Y3 o7 c8 _1 pCE18 CD CB 21　　 jsr　　 $CB21　　　　 ; 调用子程序$CB21，将$0096开始的$08个字节数据复制到$0270开始
- E" ]1 F, {& V8 T& l4 p
1 L2 Z- n- S: n; x$ ?的单元中
& _( [7 G2 c5 C- ?% _2 LCE1B 00 96 02　　 dc.b　　$00,$96,$02,$70,$08; 这六个字节是传给子程序$CB21的数据，用伪指令“dc.b”来

, P! w% X5 e( N: i) |描述
CE1E 70 08
" r: A( |2 Y$ O# RCE20 A6 01　　　　ld　　　a, #$01　　　 ; a 取值$01
) Z0 K# z. d! I& k5 s# |( g1 ^% w　　对比以上两个反汇编的源程序，就可以看出，反汇编后的源程序差别有多大！
　　前面的反汇编没有正确区别指令与数据，得到的源程序将误导阅读者，使之无法了解正确的程序思路。
7 e: O" Q3 \' L　　而后面的反汇编正确区别了数据与指令，阅读者就可以明白程序的思路。
+ w  R" o9 i; {/ b像这样的情形大量发生在XG有线的超级反制程序中，正如某黑客所讲：“cb 與ce code內，有很多都是特別的

3 ]6 ?3 ?' h" M$ |; lsubroutine，用Xx功能時要小心一點，否則會看到不明所以…尤其是"cd" 等字眼，多是地址位置而不是opcode。早
3 ?1 F$ i4 h; s5 s
. x# o* t- f4 t一頁post 出的就是例子，自己用XX软件時會出現不同結果。而keychange 的bytedump 部分全是random parameters
, l1 U1 L" `8 s- i/ N
7 c* ?# w9 I  |% C+ Hfor MAP CALL，再多例子也沒分別。再有不明可以大家研究一下，反正結果都會是『謎』一個！
6 m4 e: M! ]$ b第八节 反汇编2
, f* o3 e+ ^" F$ Q7 k! v
　　真正的源程序的价值是非常高的，而简单反汇编得到的所谓源程序就没有什么价值，因为这样的源程序难以阅
  O9 b6 \+ Q4 N. U& X
+ R  Q) b$ F) z9 a读，难以修改。 如何能将目标代码转换成为真正的源程序呢？
7 ~. N) d$ c0 p+ _　以下是正确反汇编的基本步骤：
　　1. 反汇编首先要选对反汇编的工具程序XX，反汇编工具应当针对目标代码适用的CPU。乱抓一个来，也可以反

% b: l+ ^$ n- c' U4 V汇编，但产生出来的是莫名其妙的东西。一般的汇编程序都顺便带有反汇编的功能，也有专门的反汇编工具可以使
, e  C( }* V( ^" ^. w0 S8 r! F
用。大型的反汇编工具使用起来比较复杂，初学者可以先试试简单的。
　　2. 其次，反汇编得到的源程序要能再汇编成为目标代码，这个目标代码必须与原先用于反汇编的目标代码完全
! x# j) J: P* O) n8 a- H
6 U0 q& z) d5 C; T+ v. r( |相同，这可以检验反汇编是否基本正确。
" E$ ^( R# I7 L- U/ l6 A6 T　　3. 再次，反汇编得到的源程序必须经过人工的阅读、分析和判断，确定哪些是指令代码，哪些是数据，确定之
$ Y2 r( J% c: R$ M3 Q
后，再告诉反汇编工具程序，让它做相应的处理，产生更合理的源程序。这个步骤要反复进行，直到数据和指令正
. r5 G/ W! G  R, j0 J/ k- Q
+ t+ z& C" q" @4 d# v: G确分离为止。判断哪些是数据，哪些是指令，要有敏锐的观察力。通常，如果出现“Unknown”字样，或不合逻辑的
0 f. n2 v! h! P- q, g$ {! T
$ T8 N- }" y3 E8 e0 h  z3 N指令（如对同一个变量重复赋值等），或程序没有入口标号等，就可以认为这部分是数据；如果程序中出现了不合
. C8 F3 x" t4 e9 ]" a9 ~; m
; i, t$ b' K1 l1 c1 b/ h5 D3 b5 C理的标号，说明其它地方还存在数据被当成指令的错误。
　　4. 最后，对这种反汇编得到的原始源程序进行人工修改，使用有意义的变量名、常数名和子程序名替换原来没

有意义的标号，加上详细的注释，最终才形成真正的源程序。这一步是一个再创造的过程，是反汇编中最难和最关

键的工作。不会编程的人，一般无法完成这一步，因此说“反汇编是一个再创造的过程，需要的能力绝不比编程低
! |9 g" K* O4 U
: c- F3 Z  {7 n！”，是否真正能得到可以供修改和继续开发的源程序，关键都在这一步。可以说，反汇编的工作，工具软件仅仅
( E+ q. M' j2 u9 g+ r
帮了我们反汇编工作的其中一小部分，仅处理了那些死板的固定套路的事，而关键的智力活动都必需要人来完成。
4 B5 B5 Q" w  ~! `　　许多初学者可能过分相信和依赖工具软件，这是不正确的。好的工具软件可以帮助我们，减轻不少繁琐的劳动
# C! @( |. ~4 O2 ?$ W
。但工具是死的，而人是活的，是创造性的源泉。反汇编这种需要高智力的劳动，更是单纯依靠工具软件不可能完

5 b- s4 \8 v  Z" ]成的。
　　以下例子是部分取自146-D卡中的Flash程序，用于说明上述反汇编过程：
第九节 反汇编3
4 T6 v4 I" H; X( P& y8 x
! u, @! E/ ]- n8 I! R) J要了解正版卡的反制原理，首先要反汇编ROM卡中EEPROM的程序。仍以XXCA使用的ROM卡为例：
! O/ f& @' e# j- O5 F! g8 ]


& y/ H. ^1 I. Z: {. g- ]) B( r该ROM卡使用的CPU是ST7，它是STMicroelectronix8位处理器家族的成员，指令系统与硬件结构向下兼容Motorola的
* _8 w/ ~3 {; }$ u; n2 |
  J5 N9 a' ], R4 |3 c  l4 ~6805计算机，可以直接执行EMM中携带的6805指令集。

3 R/ r2 O! w7 l' e& v: J: J

通过下行的信号对ROM卡更新后，产生了新的程序。这些新的EEPROM的信息往往以*.BIN文件的形式出现在一些黑客

网站上。我们得到后，可以选择文件中我们有兴趣的一部分信息，交给Xx软件进行反汇编。之所以选择Xx软件，是

因为Xx软件专门针对ROM卡，它的反汇编具有一定智能，可以自动处理变量名、ROM卡中已知的子程序和特定子程序
" G/ n" D* g) T! y
夹带的数据等，还可以加上注释；之所以只对一部分代码反汇编，是因为Xx软件对反汇编调入的代码长度有限制，

3 W" b2 u5 V5 Y7 Y1 f1 M. o% q不允许超过4KB即$1000。

下面以XG有线反制的EEPROM程序的反汇编为例，介绍ROM卡的*.BIN文件中部分代码进行反汇编的基本方法：

: Y) g, S8 {- Q% z6 d) m- w8 q% y
: f/ a& ?; E0 Y9 l3 g
' W7 l! C, i& d4 U0 G. d. N4 Q# R根据Xx软件解开的EMM，我们可以看到XG有线下行的EMM中夹带了这样的一段程序：
6 y, z3 h/ A6 ]/ J* e
! q  T* U0 n1 E3 H。。。。。。。（略）

/ D3 L$ \7 F$ L' |: Z, k& ^* A
1 ]6 l; w; N1 b3 ~* o1 m( K; C

3 f! h" o- D/ G# g6 Y6 l; f9 [从中我们知道，一切的关键都在$CE03这个子程序中，必须要反汇编存在ROM卡的EEPROM中的地址为$CE02开始的程序

。

+ Q# O1 _$ ?- U7 N$ _& e6 A7 M

1. 将含有$CE02程序的*.BIN文件读入某种编程器的缓冲区，缓冲区地址从$0000开始。记住ROM10/ROM11文件的
1 `$ R' J0 h7 f! I( B+ L& E
*.BIN文件是从$C000地址开始的。
& s4 S7 C1 t) m8 M7 @! _
" ~! K3 a: \5 Z. S/ m$ {' w
! p; ~% d" _2 V5 o* k' Q' A5 ]/ c
4 t& t8 _, w$ U0 f' E2. 计算保存文件的开始地址=需要反汇编的程序地址的开始地址-$C090。如，希望反汇编$CE02开始的子程序，则
- j0 A& Z0 p9 I# m% j; L$ N
# o" ?+ R/ u) y: g5 E8 R+ Y; Z+ {3 p; Y计算出的保存文件开始地址=$ CE02-$C090=$0D72。
* o% y" `" o$ Q; x3 A
" q: X' l) r+ ]9 ~$ k% E
6 ~8 B# m  a8 K# w( n$ c
: I' h5 e/ a" n7 u# w" Z( j3. 用编程器保存文件的功能，保存一份文件，文件类型为*.BIN，保存的缓冲区地址为计算得到的开始地址，文

件长度为$1000。注意：Xx软件的Xx只接受长度为$1000的文件。例，保存文件名定为：CE02.BIN，开始地址为$0D72
' \- Q! j0 l/ s  }( c* h% S
，长度为$1000。
5 z  Z& c; u0 V/ d

( C4 C$ X& R& }6 x5 x# [' k
4. 进入Xx软件，点击Xx功能，点击“Extract Bss Code From EEPROM Image…”，选择在3.中保存的文件名，将
3 ?  W7 Y5 K, z# b
: t4 t. X# j* D! l# K# ]0 GInitial Addresses和Code Base 都改为程序的真实地址，如在上例中，地址都改为$CE02，选择ROM卡的类型，如
" Z+ R7 S" M9 I
. w8 w9 p: X& I6 `ROM10，最后点击“XX！”，完成反汇编。
2 r3 N  ^  [, u5 Q) E
7 R# Q2 t6 f+ g  s

) ~2 y8 w) ]7 Y4 {' n) f' |5. 当然，特殊的子程序，如后面跟随数据的，反汇编可能不正确，需要人工判读，并采取特殊处理（处理方法略
; d) z8 C% ?. v3 I  z
9 v! I: |9 p- y）。
) F9 b1 m! u' X; A) O: S第十节介绍MAP与反制原理，第十一节介绍如何用程序来仿真。 不过看现在的情形，大家对算法的讨论感兴趣的比

$ {* _1 d( B) j. {( @0 G; Z, L较多，因此觉得有必要停下来讨论讨论算法的问题。可能有人说，一提算法可能又会把问题搞的非常发散，最终又
- [6 R0 b  `0 ~) w
会偏离我们的主题太远，但谈CA破解又不可能不提算法，所以我们暂且转贴一篇网络上流行的基础帖子，从这里插
) X& g/ E5 K  V) G
! m! }' t; C, I$ i叙开始谈起： 转贴：CA算法的破解方法 理论上说，CA算法的破解方法有两种：一种是解析法，另一种是穷举法。
$ b" _4 @4 }( Q' ~$ d
( W& Q' z" j  f( T$ m0 m/ t, ~$ z& h解析法是根据CA的算法，找到其中的要素，推断出未知因素从而破解算法，这是一种相对比较有把握的方法。对于

一种固定的算法，从算法理论上说，它由四个要素构成：第一是被加密的对象(明文)；第二是加密完成的结果(密文
4 O7 Y" N$ h0 e% g& E( @
: w. K5 [' [8 ^# f  o3 u* }- _; d1 r)；第三是实现加密的数学模式；第四是采用的密码。在电视广播应用中，一般来说，明文和密文是可以获取的，算
( e) N( Q8 A8 R* i2 X0 k( x
% p" x* |6 p& C* A6 l法是不能保密的(易泄露)，密钥是大家攻击的对象，一旦密钥被攻破，加密的方法也就随之告破。虽然科学家们设

7 p- y- X3 m  ^& O7 B! @计了很多种巧妙的算法，但是却没有人敢保证自己的算法是不可破解的。但是通过系统实现可以增加算法破解的难
! W8 L" r/ Q) m# i6 M
度：把两重算法结合在一起，将第一重加密算法的密文作为第二重加密算法的明文，这样用户只能看到原始的明文
3 [* K; g$ T' O* l! [
: S1 ~' Z8 a% s8 d和两次加密以后的密文，如此就无法找到每个算法三大要素的对应关系，从而无法用解析法来推断密码。 目前绝大
5 a+ ], Y# j. Q" C- V. D1 p: E# V  Y
多数CA被破解都使用了穷举法。由于明文和密文形成了一定的对应关系，只要拿到足够多的明文和密文对，通过数

学的试探方法可以找出中间的对应关系。对穷举法的防御一方面要加大密钥的长度，使明文和密文的位数大大加长
  t& A$ I0 m+ [/ k
，另一种方法是让破解者无法在一定的时间段内拿到足够多的对应关系，典型的做法是将时间因子作为加密内容加

1 h8 z' L5 v# A4 z进去。只要时间不重复，明文和密文就很难找到对应的关系。 但有了一个好的算法并不表示系统就是安全的，如果
7 i8 O/ M) ^! y- P5 z* h
% v1 f4 X/ N+ X' x9 H% r7 Y% g在实施过程中留下了漏洞，还是有机会被破密。如果CA的算法很严密，但全是由外部计算机软件实现的，只要有一
  n) {: z% Y1 K* \
个手段高明的黑客，就可以比较容易地将程序下载下来，经过反汇编，读取原始代码，从而破解密码。在欧洲某国
5 T- S, ^$ E, j) A! I$ {  `; @
4 {6 k+ f) n/ g% ]( e& P, O3 \就发生过这样的事，有个系统工程师下载了某CA的程序，成功地进行了破译。现在，为了提高系统的安全性，人们

" J! a- _) z9 r8 m8 n1 a普遍采用了软硬结合的方法，把核心的算法和密钥都放在保密性相对较好的专用IC卡里，使破密者无法打开IC卡里
# O9 |& f0 r: P9 h" p- t
的内部程序，从而保护核心机密。所以考察安全性的另一个要素，就是要判断厂商提供的IC卡是否足够安全，是否
! K1 ~! x3 Q$ X
有国际国内的相应标准能够认证其安全等级。如果IC卡本身不够安全，那么CA再强大也无济于事。另外，IC卡必须

+ O) E. A, r  ?6 h3 N. x$ w是专用卡，绝不能将在其他领域通用的卡用作数字电视IC卡，以免破密者因可以轻易获得所需的卡而大大增加破密

的机会。

MAP

前几节谈了不少反汇编的方法，通过反汇编可以阅读程序，了解不少程序的原理，这种方法对于得到目标代码的情

# K) j6 u( W6 E形，是十分直接和有用的方法，但对于MAP功能，却无能为力，因为MAP程序的代码无法得到！
对于MAP功能的分析，只有通过不断调用MAP的某个功能，用不同的输入数据喂给它，观察它的输出从而判读出MAP完

成的是何种操作。
& e1 N( C0 j6 r" }由于MAP协处理器在ROM卡的内部，因此要实现不断测试MAP功能的操作，需要特殊的方法：
1. 需要编写一段特殊的类似“Trojon Horse(木马)”的程序（行内称为“MAPLogger”），该程序的功能是在
2 s6 y0 V) `. D5 X, ~9 O
1 L- u4 Y* U& A6 [' F# X+ z" VEEPROM中纪录MAP执行前ROM卡有关内存的数据，然后调用MAP功能，执行后在EEPROM中纪录MAP调用后ROM卡有关内存

2 h8 Q- S2 O3 `* S: f2 H, }9 i的数据；
2. 修改ROM卡EEPROM中的部分程序，用MAPLogger的调用取代原先MAP的调用，让MAPLogger程序起作用；
3. 将特定的EMM发送给ROM卡，让它执行EMM中的程序，触发引起调用特定的MAP Call,这时，我们埋伏在其中的
: i* }- [7 o: N  x. u! I
MAPLogger会起作用，纪录下我们希望看到的数据；
4. 将ROM卡的EEPROM区读出，取出MAPLogger 纪录的数据，供分析和研究。
这种嵌入-logging的方法是hanker们研究的常用手段。
% [" E8 G% m* K/ p对于ROM卡，需要的工具与软件有：
1.XX 写卡器，写卡器的晶振频率应当为3.38MHZ。

' Z8 f2 v' D7 H: Q: \0 J6 u图解： 写卡器的作用是配合XX和XX软件，完成：往ROM10卡中写入*.BIN文件，发送 或其他信息；从ROM10卡的
# t# A8 g  j% M4 P; W# @+ v7 c
EEPROM中读出纪录的信息。
  p8 u8 P) W% X$ F8 E; [MAPLogger程序由某个高手编写成功，又经其他高手反汇编后加上注释，列出如下，供参考：（对特定读者，略）
; V: c8 N, S% T) t: iMAPLogger的嵌入与使用方法如下：
例如，我们想了解EMM 解Key中用到的MAP-$28功能，我们可以先找到有关的程序：
! w" b/ }2 R" Y" ~然后，将：jsr $90E3 机器码为：CD90 E3
改为： jsr $c702 机器码为：CD C7 02
% @: o# p( l. w2 D* N即，将CE4A地址处的CD 90 E3改为：CD 07 02就可以了。
1 N5 L# p8 x" L这个工作要直接针对*.BIN文件修改，最好要有编程器，调入原来的*.BIN文件，查找定位到要修改的地方，直接将
8 B0 B: Z# X9 {$ }4 N0 d6 N$ }! i9 Y
3 `$ ~/ U# {& J2 m  y3 w5 o8 g十六进制数改到缓冲区中，存盘后就得到了嵌入MAPLogger的*.bin文件。

老大 看不懂

强　不知我的卫星电视机顶盒适用不？