M1卡破解密碼控制位及控制規(guī)則(DOC)

1、、主要指標l 容量為 8K 位 EEPROMl 分為 16 個扇區(qū)，每個扇區(qū)為 4 塊，每塊 16 個字節(jié)，以塊為存取單位 l 每個扇區(qū)有獨立的一組密碼及訪問控制l 每張卡有唯一序列號，為32 位l 具有防沖突機制，支持多卡操作l 無電源，自帶天線，內(nèi)含加密控制邏輯和通訊邏輯電路l 數(shù)據(jù)保存期為 10 年，可改寫 10 萬次，讀無限次l 工作溫度：-20 C 50 Cl 工作頻率：13.56MHZl 通信速率：106KBPSl 讀寫距離：10mm 以內(nèi)（與讀寫器有關(guān)）二、存儲結(jié)構(gòu)1、M1 卡分為 16 個扇區(qū)，每個扇區(qū)由 4 塊（塊 0、塊 1、塊 2、塊 3）組成，（我們也將 16 個扇區(qū)的

2、 址編號為 063，存貯結(jié)構(gòu)如下圖所示：塊 0數(shù)據(jù)塊0扇區(qū) 0塊 1數(shù)據(jù)塊1塊 2數(shù)據(jù)塊2塊 3密碼 A 存取控制 密碼 B控制塊3塊 0數(shù)據(jù)塊4扇區(qū) 1塊 1數(shù)據(jù)塊5塊 2數(shù)據(jù)塊6塊 3密碼 A 存取控制 密碼 B控制塊764 個塊按絕對地0數(shù)據(jù)塊60扇區(qū) 151數(shù)據(jù)塊612數(shù)據(jù)塊623密碼 A 存取控制 密碼 B控制塊632、 第 0 扇區(qū)的塊 0 （即絕對地址 0 塊），它用于存放廠商代碼，已經(jīng)固化，不可更改。3、 每個扇區(qū)的塊 0、塊 1、塊 2 為數(shù)據(jù)塊，可用于存貯數(shù)據(jù)。數(shù)據(jù)塊可作兩種應(yīng)用：用作一般的數(shù)據(jù)保存，可以進行讀、寫操作。用作數(shù)據(jù)值，可以進行 初始化值、加值、減值、讀值操作。

3、4、 每個扇區(qū)的塊 3 為控制塊，包括了密碼 A、存取控制、密碼 B。具體結(jié)構(gòu)如下：A0 A1 A2 A3 A4 A5 FF 07 80 69 B0 B1 B2 B3 B4 B5密碼 A（ 6 字節(jié)）存取控制（4 字節(jié)）密碼 B（ 6 字節(jié)）5、每個扇區(qū)的密碼和存取控制都是獨立的，可以根據(jù)實際需要設(shè)定各自的密碼及存取控制。存取控制為二個控制位以正和反兩種形式存在于存取控制字節(jié)中，決定了該塊的訪冋權(quán)限（如進行減值操作必須驗證 KEY A，進行加值操作必須驗證KEY B，等等）。三個控制位在存取控制字節(jié)中的位置，以塊0 為例：對塊 0 的控制：bit 7 6 5 4 3 2 1 0字節(jié) 6C20_

4、bC10_b4 個字節(jié)，共存取控制中每個塊都32 位， 扇區(qū)中的每個塊 （包括數(shù)據(jù)塊和控制塊） 的存取條件是由密碼和存取控制共同決定的， 在 有相應(yīng)的三個控制位，定義如下：塊 0 : C10 C20 C30塊 1 : C11 C21 C31塊 2 : C12 C22 C32塊 3 : C13 C23 C33字節(jié) 7C10C30_b字節(jié) 8C30C20字節(jié) 9（注：C10_b 表示 C10 取反）存取控制（4 字節(jié)，其中字節(jié) 9 為備用字節(jié)）結(jié)構(gòu)如下所示:bit 7 6 5 4 3 2 1 0字節(jié) 6C23_bC22_bC21_bC20_bC13_bC12_bC11_bC10_b字節(jié) 7C13C

5、12C11C10C33_bC32_bC31_bC30_b字節(jié) 8C33C32C31C30C23C22C21C20字節(jié) 9（注：_b 表示取反）6、數(shù)據(jù)塊（塊 0、塊 1、塊 2）的存取控制如下:控制位（X=0.1.2）訪問條件（對數(shù)據(jù)塊 0、1、2）C1XC2XC3XReadWriteIncrementDecrement, transfer,Restore000KeyA|BKeyA|BKeyA|BKeyA|B010KeyA|BNeverNeverNever100KeyA|BKeyBNeverNever110KeyA|BKeyBKeyBKeyA|B001KeyA|BNeverNeverKeyA|

6、B011KeyBKeyBNeverNever101KeyBNeverNeverNever111NeverNeverNeverNever（KeyA|B 表示密碼 A 或密碼 B，Never 表示任何條件下不能實現(xiàn)）例如：當塊 0 的存取控制位 C10 C20 C30= 0 0 1 時，驗證密碼 A 或密碼 B 正確后可讀； 驗證密碼 B 正確后可寫；不能進行加值、減值操作。7、控制塊塊 3 的存取控制與 數(shù)據(jù)塊（塊 0、1、2）不同，它的存取控制如下：密碼 A存取控制密碼 BC13C23C33ReadWriteReadWriteReadWrite000NeverKeyA|BKeyA|BNever

7、KeyA|BKeyA|B010NeverNeverKeyA|BNeverKeyA|BNever100NeverKeyBKeyA|BNeverNeverKeyB1P0NeverNeverKeyA|BNeverNeverNever001NeverKeyA|BKeyA|BKeyA|BKeyA|BKeyA|B011NeverKeyBKeyA|BKeyBNeverKeyB101NeverNeverKeyA|BKeyBNeverNever1111NeverNeverKeyA|BNeverNeverNever例如：當塊 3 的存取控制位 C13 C23 C33= 0 0 1 時，表示:密碼 A :不可讀，驗

8、證 KEYA 或 KEYB 正確后，可寫(更改)存取控制：驗證 KEYA 或 KEYB 正確后，可讀、可寫。密碼 B :驗證 KEYA 或 KEYB 正確后，可讀、可寫。新卡片中的控制字(FF 07 80 69 )密碼 A 可用，密碼 B 不可用; 推薦的控制字方案一：7F 07 88 69此控制字說明：數(shù)據(jù)塊：用密碼 A 或 B 都可以讀寫；控制塊：密碼 A :由密碼 B 來寫，不可讀；密碼 B :由密碼 B 來寫，不可讀；控制字：用密碼 A 或 B 都可讀，由密碼 B 寫;方案二：08 77 8F 69此控制字說明：數(shù)據(jù)塊：用密碼 A 讀，由密碼 B 讀寫;控制塊：密碼 A :由密碼 B

9、來寫，不可讀；密碼 B :由密碼 B 來寫，不可讀；控制字：用密碼 A 或 B 都可讀，由密碼 B 寫；三、卡片卡片的電氣部分只由一個天線和ASIC 組成。天線：卡片的天線是只有幾組繞線的線圈，很適于封裝到IS0 卡片中。ASIC :卡片的 ASIC 由一個高速(106KB 波特率)的 RF 接口，一個控制單元和一個8K 位 EEPROM 組成。四、對數(shù)據(jù)塊的操作讀(Read):讀一個塊；寫(Write ):寫一個塊；加(In creme nt ):對數(shù)值塊進行加值；減(Decreme nt ):對數(shù)值塊進行減值；存儲(Restore ):將塊中的內(nèi)容存到數(shù)據(jù)寄存器中；傳輸(Transfer

10、):將數(shù)據(jù)寄存器中的內(nèi)容寫入塊中；中止(Halt):將卡置于暫停工作狀態(tài)；對于電腦周邊編程，主要有兩種思路(應(yīng)該沒有第三種了)?！驹敿氄f明見我博文作總結(jié)】一、利用 windows 系統(tǒng)本身 dll 庫。二、利用硬件產(chǎn)家提供的dll。本篇對 M1 卡的編程是利用上述第二種方法。M1 卡最為重要的優(yōu)點是可讀可寫并且安全性高的多功能卡。這些優(yōu)點與其自身的結(jié)構(gòu)密不可分。永和豆?jié){管理系統(tǒng)基礎(chǔ)工M1 結(jié)構(gòu):M1 卡分為 16 個扇區(qū)，每個扇區(qū) 4 塊（塊 03）,共 64 塊，按塊號編址為 063。第 0 扇區(qū)的塊 0 （即絕對 地址 0 塊）用于存放廠商代碼，已經(jīng)固化，不可更改。其他各扇區(qū)的塊0、塊 1

11、、塊 2 為數(shù)據(jù)塊，用于存貯數(shù)據(jù)；塊 3 為控制塊，存放密碼 A、存取控制、密碼 B。每個扇區(qū)的密碼和存取控制都是獨立的，可以根據(jù)實際需要設(shè)定 各自的密碼及存取控制。M1 卡運作機理：連接讀寫器T尋卡T識別卡（獲取卡序列號從多卡中選一張卡T向卡中緩沖區(qū)裝載密碼T驗證密碼T進 行讀寫T關(guān)閉連接即（代碼說明）Open_USTrf_requestTrf_anticollTrf_selectTrf_load_keyTrf_authenticationT（/a_hex）Trf_read/rf_writeT（hex_a）TClose_USB如果概括來說的話，主要也就四部分開關(guān)連接、尋卡、驗證密碼、讀取。（

12、至于詳細程序代碼，相信大家自己看過dll 說明文檔后，自己會明白的，這里就不寫了，因為內(nèi)容多）M1 卡功能模式：1.尋卡模式：尋卡模式分三種情況：IDLE 模式、ALL 模式及指定卡模式（0, 1, 2 均是 int 類型，是方法參數(shù)，下冋）。0表示 IDLE 模式，一次只對一張卡操作；1表示 ALL 模式，一次可對多張卡操作；2表示指定卡模式，只對序列號等于snr 的卡操作（高級函數(shù)才有）【不常用】也就是說，我們一次也可以同時操作多張卡。對于多卡操作，其實際真正執(zhí)行操作的還是一張卡。讀寫器能識別多張卡的序列號（但注意識別出的順序是不定的，并且最多也就能識別4 張卡，因為卡疊放的厚度太厚，會超

13、出讀寫器的識別范圍），并一一進行操作。所以由此看出，多卡操作的意義并不大。但我建議大家還是設(shè)置為1 好了（原因不說了，自己感受吧，其實無所謂）。2.密碼驗證模式：0EYSET0 勺 KEYA4EYSET0 勺 KEYBM1 卡可以在驗證密碼時選擇密碼類型（ A/B ）?！酒鋵?M1 卡有 3 套密碼（KEYSET0 KEYSET1 KEYSET?,共 6 個密碼（用 02、46 來表示這六個密碼），目的是為了適應(yīng)不同讀寫器。而這里我們用的是KEYSET（的2個密碼】M1 卡密碼機制：這可以說是 M1 卡的精髓了，也是 M1 卡最為復(fù)雜的地方，希望大家耐心看完。（請先看明白 M1 卡結(jié)構(gòu)）如上所

14、說，在 存取控制中每個塊都有相應(yīng)的三個 控制位，它們的定義如下：塊 0: C10 C20 C30塊 1 : C11 C21 C31塊 2 : C12 C22 C32塊 3: C13 C23 C33一個扇區(qū)的三個數(shù)據(jù)塊，我們可以利用密碼機制對它們分別進行權(quán)限控制。數(shù)據(jù)塊（塊 0、塊 1、塊 2）的存取控制如下：控制位(X=0. 2)訪問條件（對塊0、lx 2）C1XC2XC3XReadtriteIncrementDecxenenttransfer Testore000KeyA|BKeyA|bKeyA | BKeyA|B010KeyA|BNeverNeverNever100KeyA|BKeyBNe

15、vexNever110KeyA|BKeyBKeyBKeyA|B001KeyA|BNeverNeveiKeyA011KeyBKeyBHeveiFever101KeyBNeverNevexNever111WevezNeverWeveiNeve（KeyA|B表示密碼堿密碼B恥苛亡工表示任何條件下不能實現(xiàn)）例如：當塊 0 的存取控制位 C10 C20 C30=100 時，驗證密碼 A 或密碼 B 正確后可讀；驗證密碼寫；不能進行加值、減值操作。那么 M1 卡修改密碼的方法是 rf_changeb3參數(shù)：icdev :通訊設(shè)備標識符_SecNr：扇區(qū)號（015）KeyA 密碼 ABk：保留參數(shù)，取值為

16、0_KeyB:密碼 BB 正確后可B0:塊 0 控制字，低3 位(D2D1C30B1:塊 1 控制字，低3 位（D2DC31B2:塊 2 控制字，低3 位（D2DC32B3:塊 3 控制字，低3 位(D2D1C33由上我們看出_B0、_B1、_B2、_B3 分別控制塊 0、塊 1、塊 2、塊 3。由圖我們可知 _B0、_B1、_B2 的可取值為 0、10、100、110、1、11、101、111。這里大家一定要注意一點：不能裝載密碼到 M1 卡某一扇區(qū)后再更改那扇區(qū)的密碼（最好連接完讀寫器后直接更改密碼），否則更改密 碼會失敗而凍結(jié)扇區(qū)。如果不慎這樣了，解決的辦法是完成一次讀寫操作，再更改密碼。控制塊（塊 3）的存取控制與 數(shù)據(jù)塊（塊 0、1、2）不同，它的存取控制如下：控制位1密碼A存収梓制密碼RC13C23C33ReadVriteReadVriteReadVrite000NeveiKeyA|BKeyA|BNeverKeyA|BKeyAB010NeveiNeverKeyA|ENeverKeyA| BNever100NeveiKeyBKeyA|BNeverNeverKeyB110NeveiNeverKeyA|ENeverNeverNevex01NeveiKeyA|BKeyA|BKeyA|BKeyA | BKeyAB0i1N