有線電視數(shù)字電視機頂盒破解方法

1、.1有線電視數(shù)字電視機頂盒破解方法隨著數(shù)字電視的普及，模擬電視信號將停頓播放，對一家?guī)着_電視機來說，迫切希望用一臺機頂盒帶多臺電視機的愿望，這里介紹一些電子刊物討論方法，共大家參考：一、破解思路 有線電視加密的原理是這樣的：電視臺把接改來的電視信號先輸入數(shù)字加密設備，把電視信號通過算法加密后向外輸出終端的解密設備機頂盒子解密后輸出普通的射頻信號，再送到我們的終端接收設備，由電視放出畫面。因電視只能是接收普通的射頻信號模擬信號，所以只能解密后再輸入電視，由電視放出畫面。有線電視加密法有多種，這里的是使用“加擾法。在加密到解密這段線路，要想非法接入偷接電視信號，成功的可能性幾乎是10000000分

2、之一。但經(jīng)解密器機頂盒解密后的信號任何可以常接收電視信號的電視機都能播放即通用性，也可說是共用性，這就是破解的切入點破解軟件也需要切入點。既然這樣，但為什么一個機頂盒只能接一臺電視機用呢.我也試驗過，當通簡單的方法接上兩臺電視機的時候，什么畫面也沒有了因機頂盒有智能的識別功能。問題就在這里，也是我要教會大家的精要所在。 至于如何利用這個“切入點進展我們的“小人行為呢.我們通過什么手段來欺騙機頂盒，讓他以為是一臺電視機呢.就如破解軟件的時候，我們有時也要采用欺騙的方法來進展破解。我將會在下一點“破解原理中向大家說明。二、破解原理： 裝在我們家里的那個盒子的工作原理：經(jīng)加密的信號經(jīng)輸入端子輸入，由

3、其部有關電路解除干擾信號加擾法加密，再經(jīng)輸出端子輸出正常的信號。其解密電路是否工作要有一個外部條件，就是電視的高頻頭反響回來的信號。如果沒有這個信號反響回機頂盒，則其解擾電路不工作，照樣輸出未解密的信號，因而不能正常收看。其解密的頻段分做假設干段解密，如電視正在接收3頻道，則電視的高頻頭就反響3頻道的諧振頻率給機頂盒，機頂盒就能輸出15頻道的正常信號，如此類推。因此可用以下兩種方法進展破解： 1、把機頂盒放在其中一臺電視機下稱電視1高頻頭附近，讓其可以正常收看，再用分支器從輸出端分支出信號到另外的電視機。這樣的做法的一個缺點：就是另外的電視機只能接收電視1接收的頻道附近的5個頻道。 2、用非與

4、門電路或555電路制作一個開放式多諧振動器，其諧振頻率只要能履蓋有線電視的整個頻段即可。制作本錢約6元左右把這個諧振動器放在機頂盒的旁邊。讓機頂盒能接收到振動器發(fā)出的信號，再用分支器從機頂盒的輸出端分支出多臺電視機，這樣，所有電視機就能接收所有頻道的信號了。下次發(fā)圖 3、用高頻三極管如9018做一個高頻發(fā)射電路，利用射頻輸出再次發(fā)射，只要小小發(fā)射功率，讓機頂盒能接收得到即可?；蛴猛S視頻線分支接入輸入或輸出端，的除去外層屏蔽線，只留中間的線長約1米，把這線繞在機頂盒。讓泄漏出來的信號感應給機頂盒接收。破解電視機頂盒，可接多臺電視 游走在灰色地帶，大打擦邊球的數(shù)字電視機頂盒共享器 隨著有線電視數(shù)

5、字化開展進程的加快，數(shù)字電視這一新興的電視觀看及傳輸方式已經(jīng)開場被更多的普通市民所熟悉，數(shù)字電視以接近于DVD的畫質(zhì)和立體聲甚至5.1聲道伴音這兩大最明顯的特點受到了不少有線電視用戶的關注，同時更多可選擇的電視臺、點播節(jié)目也為豐富市民的業(yè)余生活增添了不少色彩，不過在數(shù)字電視剛剛起步的萌芽階段，還有多的缺乏和缺點需要改進。 按照國際慣例，數(shù)字電視機頂盒SET-TOP-BO*，簡稱STB分為數(shù)字地面STB、數(shù)字衛(wèi)星STB、數(shù)字有線STB和網(wǎng)絡STB這4種，目前正在大力開展的數(shù)字電視類型是數(shù)字有線STB，是目前本錢最為低廉，也最適合大力向普通市民所推廣的。整體來說，數(shù)字機頂盒以支持HDTV和互動性作

6、為開展方向，而就目前的機頂盒產(chǎn)品來看，一部機頂盒包括了接收數(shù)字信號的調(diào)制解調(diào)芯片、視頻信號編解碼芯片、音頻處理器、音視頻數(shù)模轉(zhuǎn)換芯片等，一些高端的機頂盒中甚至還會整合平安芯片甚至可錄像硬盤，可見數(shù)字電視機頂盒在未來的開展空間還是相當寬廣的 上圖中的三部機頂盒中包括了目前所使用的三款不同品牌、型號的機頂盒，其中最上方的創(chuàng)維C6000采用了意法的Qami5516方案；熊貓3216采用了意法的5516芯片，帶有180MHZ的CPU，而最下方的銀河則采用了最為簡單的富士通功能單芯片H20A，雖然這三種機頂盒在部的設計上有一定的區(qū)別，但它們都是需要通過插入數(shù)字電視智能卡才能夠工作的，而數(shù)字電視智能卡就相

7、當于一個人有了駕照才能合法地駕駛汽車一樣。 在使用模擬電視信號的時候，大家只需要申請有線電視開戶之后就可以在家過自帶電視信號調(diào)諧器的電視觀看節(jié)目，如果有多部電視的話只要購置有線電視信號分配器就可以在所有的電視上觀看有線電視。而數(shù)字電視卻將這種免費的電視信號共享給“封殺了，機頂盒需要在插入有效的智能卡之后才能使用就是為了保證數(shù)字電視信號不被盜用的一種方式，同時也能夠保證數(shù)字信號不被盜版商用來作為盜版節(jié)目源。 為了保證數(shù)字信號不被盜用，數(shù)字電視容管理方式以條件式接取CA和數(shù)字管理DRM作為根本保護機制，目前國的數(shù)字電視機頂盒采用的管理方式就是條件式接取這種機卡別離的方式，用戶必須通過專屬的智能卡來

8、取得授權才能夠接收被解碼的信號，而效勞提供商也能夠通過這種方式接收用戶的信息，包括用戶戶名、地址、智能卡卡號和收看數(shù)字電視的費用等信息。這種機卡別離的機頂盒使用方式被美國、歐洲和亞洲等國視為數(shù)字電視開展的機頂策略。 DRM采用的是許可證管理策略，由數(shù)字電視信號運營商對節(jié)目源進展加密，在用戶通過機頂盒發(fā)出節(jié)目接收請求之后系統(tǒng)會自動檢查是否經(jīng)過許可，而認證的方式也同樣是通過IC卡等帶有、密碼等信息的進展的，不過DRM管理的規(guī)格相當繁多：Windows Media的DRM、開放移動聯(lián)盟OMA推出的DRM 1.0/2.0規(guī)格、UT-DRM、NDS、SecureMedia、WideVine、BesDRM

9、等，規(guī)格的不統(tǒng)一使其并不被大多數(shù)有限數(shù)字電視運營商所承受。 由于數(shù)字電視信號必須通過機頂盒才能接收，同時采用了用戶身份認證的防盜用方式，所以有線數(shù)字電視節(jié)目只有一部電視機搭配一部機頂盒才能夠正常觀看，在目前大多數(shù)市民家中同時擁有一部以上電視的這一情況下，如果希望每部電視機都能夠收看數(shù)字電視的話必須購置數(shù)量相對應的機頂盒，這在一定程度上家中了消費者觀看數(shù)字電視的本錢，于是有一些廠家開場在有線數(shù)字電視共享上開場下功夫，紛紛推知名為數(shù)字電視機頂盒共享器的產(chǎn)品，以此實現(xiàn)對數(shù)字電視信號的共享。 目前的數(shù)字電視機頂盒共享器共有有線和無線兩種，有線的共享器只需要將共享器與機頂盒接駁，并且通過音視頻信號線將它

10、與其它電視的AV接口接駁就可以使用，而無線的共享器則包括與機頂盒互聯(lián)的信號發(fā)射器和與電視互聯(lián)的信號接收器。 機頂盒共享器的功能介紹上將這種產(chǎn)品的優(yōu)點共分為多顯示終端信號共享和節(jié)約費用兩大類，對于大多數(shù)購置這種產(chǎn)品的消費者來說，可能最能夠吸引他們的是通過共享器可以節(jié)約機頂盒的購置費用和電視信息點播費，有了省錢作為最大賣點之后，這種產(chǎn)品自然更受關注。 雖然這種產(chǎn)品具有一定的實用意義，但是我們仔細看看就會發(fā)現(xiàn)這種所謂的共享器實際上就是一個音視頻信號分配器，與機頂盒連接的接口包括了復合視頻輸入和模擬立體聲音頻輸入這兩個接口，而用于輸出信號的則包括了復合視頻信號輸出和3.5毫米信號輸出接口，并沒有能夠直

11、接發(fā)送及承受智能卡用戶信息的接口，這也就意味著即使是通過這樣的共享器接駁其它電視之后也并不能獨立選臺，換句話說，如果客廳中的電視在通過機頂盒播放中央一套的電視節(jié)目，則其它房間的另一臺電視也同樣只能夠播放中央一套的電視節(jié)目 無線機頂盒共享其與有線機頂盒共享器一樣都是通過音視頻接口承受機頂盒上的第二路信號輸出接口來實現(xiàn)數(shù)字電視信號的“共享的，不過無線的共享器的傳輸方式是通過紅外、調(diào)頻或2.4GHz來實現(xiàn)的，值得注意的是，目前的機頂盒在背后的接口都帶有兩路信號輸出接口，只要使用連接線將機頂盒的信號與兩臺電視連接就同樣可以實現(xiàn)這樣的所謂“共享功能，而這樣一來機頂盒共享器的作用也只有在不同房間都可以用遙

12、控器控制機頂盒這種“遙控共享器的功能了。破解討論綜述 CA平安保障的三層關鍵：傳輸流的加擾，控制字的加密，加密體制的保護。 這三種技術是CA系統(tǒng)重要的組成局部，在處理技術上有相似之處，但在CA系統(tǒng)標準中是獨立性很強的三個局部。加解擾技術被用來在發(fā)送端CA系統(tǒng)的控制下改變或控制被傳送的效勞節(jié)目的*些特征，使未被授權的用戶無法獲取該效勞提供的利益；而加密技術被用來在發(fā)送端提供一個加密信息，使被授權的用戶端解擾器能以此來對數(shù)據(jù)解密;而機制則用于控制該信息，并以加密形式配置在傳輸流信息中以防止非授權用戶直接利用該信息進展解擾，不同的CA系統(tǒng)管理和傳送該信息的機制有很大不同。在目前各標準組織提出的條件接

13、收標準中，加擾局部往往力求統(tǒng)一，而在加密局部和機制則一般不作具體規(guī)定，是由各廠商定義的局部。 1、對傳輸流的加擾，DVB已有標準。目前在國際上占主流的有歐洲的DVB標準、北美國家的ATSC標準及日本的ISDB標準三種標準中，對于CA局部都作了簡單的規(guī)定，并提出了三種不同的加擾方式。歐洲D(zhuǎn)VB組織提出了一種稱之為通用加擾算法mon Scrambling Algorithm的加擾方式，由DVB組織的四家成員公司授權，ATSC組織使用了通用的三迭DES算法，而日本使用了松下公司提出的一種加擾算法。通用加擾算法是DVB標準組織推薦的對于TS流的標準加擾算法。目前，在歐洲的數(shù)字播送節(jié)目中普遍采用了這個算

14、法。我國目前商業(yè)化的CA中，TS節(jié)目的加擾也根本上是采用的這個算法。如果從破解的角度，攻破這個算法的意義要遠遠大于破解智能卡和攻破CA系統(tǒng)本身。 2、對控制字的加密算法一般采用RSA以及3DES算法，各家CA廠商各不一樣。值得一提的是DVB里有一個規(guī)定，提到的同密技術要求每個CA系統(tǒng)可以使用不同的加密系統(tǒng)加密各自的相關信息，但對節(jié)目容的加擾必須采用同一個加擾算法和加擾控制字，可以方便多級運營商的管理，為多級運營商選擇條件接收系統(tǒng)提供了靈活性。這就為黑客攻破智能卡創(chuàng)造了條件。 3、對加密體制，不同廠家的系統(tǒng)差異很大，其技術大體有兩種: 一種是以愛迪德系統(tǒng)為代表的密碼循環(huán)體制，另一種是以NDS系統(tǒng)

15、為代表的利用專有算法來進展保護，由于牽涉到系統(tǒng)平安性，廠家一般不會公開。因此從破解角度，對系統(tǒng)的破解是難度也是比較大的。 第一章：CA智能卡的破解與反制 第一節(jié) 對于CA智能卡的破解分為兩種， 1、從硬件破解的角度，完全地仿照正版卡來定制IC卡； 2、從軟件破解的方向，將正版卡的程序讀出，最后將程序?qū)懭隝C卡中，就變成與正卡無差異的D卡了。 仿制正版卡，可以將IC卡的觸點剝離下來，再將保護的塑料蝕掉，暴露出元件和部電路連接，就可以繪制成電原理圖，最后交給能訂制生產(chǎn)的IC卡的廠家生產(chǎn)。這些仿制還有一個冠冕堂皇的名稱叫“反向工程。國在和等地都有能生產(chǎn)定制IC卡的廠家，在利益的驅(qū)使下，他們往往不會過

16、問敏感問題。 IC卡中的元件如果是通用元件，通常可以通過IC卡的功能原理的分析來確定，雖然困難，但總是可以最終確定。例如目前直接使用流在市面上的ROM10與ROM11卡來制成D卡，ROM10與ROM11實際上是*系統(tǒng)正版卡的“根底卡，這些卡具有與正版卡一樣的硬件根底，至于怎么流落到社會上的不得而知，但有一個事實就是大家應該都收到過安裝衛(wèi)星電視的短信，這是個可以想象的到的異常龐大的地下產(chǎn)業(yè)！ 繼續(xù)：IC卡中的元件如果是專用元件，確定元件的事情就變得極其困難和十分渺茫了。則這個時候硬件仿制的路走不通了，則看看軟件仿真的路能不能走得通。 再看軟件仿真的路能不能走得通前，首先說明軟件仿真的路能不能走得

17、通有不同的判斷標準。 如果僅以在一段時段中，軟件仿真的D卡與正版卡都具有一樣的條件收視功能來判斷，則無疑，從D卡的實踐來看，軟件仿真已經(jīng)成功了。 但如果以任何時段中，軟件仿真的D卡與正版卡都具有一樣的功能，特別是對抗反制的功能來判斷，則我要說，同樣無疑，軟件仿真是不可能成功的。 因此我們僅成認這種事實就夠了：自動對抗新的反制，使D卡與正版卡一樣免除后顧之憂，肯定是D卡研究的終極目標。但是即便達不到這個目標，只要能保證一段時間的仿真成功，CA破解的商業(yè)價值就依然存在！ 補充說明反制：由于D卡的成功，尤其是帶AU自動換Key0/Key1的D卡程序的廣泛擴散，正版效勞商感到了巨大的壓力，逐步開場采用

18、種種反制手段，讓D版的AU卡實效。 我們先研究一下這個反制是個什么東東：學習和搞嵌入式控制器開發(fā)的人都用過仿真器，如“偉福系列的MCS-51的仿真器等。大家一定知道硬件仿真與軟件仿真存在一個本質(zhì)區(qū)別，即I/O功能的不同。一條取端口引腳值的指令就足以區(qū)分是硬件仿真還是軟件仿真了。硬件仿真可以真實地取到引腳上的實際輸入，而軟件仿真得到的只能是不會變化的存仿真值。 利用這個原理實現(xiàn)的反制程序分為兩局部，前面的局部通過I/O端口的，區(qū)別出是真的硬件存在，還是軟件仿真；后半局部對非法的仿真卡簡單地返回主程序，不能解開Key0/Key1；對正版卡，則修改Key0/Key1，使之正確，然后返回主程序并保存k

19、ey，保存的Key0/Key1用于ECM的解碼。 從歷次搜集的反制EMM中的方法中，可以將反制歸納為兩種，一種是從硬件或軟件上區(qū)別D卡與正版卡，從而產(chǎn)生條件分支指令，使D卡仿真的程序失效；另一種是調(diào)用D卡中不可能有的，只有正版卡硬件才具備的MAP子程序，使D卡無法執(zhí)行正確的程序。 先介紹前一種方法： 使用硬件端口區(qū)別正版卡與仿真卡的反制方法，由于具有特殊性能的端口數(shù)的限制，因此不可能有多種變化，一旦Hacker知道了反制的EMM構造與原理，很容易就可以避開端口判斷的指令，直接轉(zhuǎn)到修改Key0/Key1局部。這雖然并不是程序指令的直接仿真，只能算是功能仿真，卻可以使反制失效。 另外你也許會提出一

20、些其他方法，如目前的一些Nagra系統(tǒng)在下行的EMM命令中參加了甄別真?zhèn)魏汀皻⒖ㄖ噶睿瑢τ凇罢目?，毫不留情地去除卡中程序并且讓它成為廢卡。 我可以說，為了對抗“殺卡，這類“正改卡的程序如果采用Block技術，可以抵抗多數(shù)殺卡指令，同樣能夠使這類“正改卡得以平安使用。 先寫到這，后面介紹根據(jù)正版卡特有的機器指令代碼，讓正版卡能進展解碼、而沒有正版卡程序的仿真卡無確解碼、從而獲得KEY的EMM思路。 第二節(jié)： 以下介紹根據(jù)正版卡特有的機器指令代碼，讓正版卡能進展解碼，而沒有正版卡程序的仿真卡無確解碼，從而獲得KEY的EMM思路。 按照道理，D卡使用的是AVR或其他類型的CPU，“正改卡中的程序與

21、正版卡也不一樣，照理這些卡中都沒有正版ROM10/ROM11卡的程序。因此，用只有正版卡才有的特定機器指令代碼作為密鑰來解密key0與key1，自然是十分聰明的反制措施。 該反制的EMM以前146Dream TV可能曾使用過。目前*G有線又重新啟用，大致在一個周期的8天中，有兩天使用本類EMM，另外6天使用另一個“超級MAP程序。 這種反制的具體思路是： 下行的EMM中攜帶的Key與Key1是經(jīng)過加密編碼的，不能直接使用。解開它們需要的密鑰“種子即產(chǎn)生密鑰的原始數(shù)據(jù)的地址由下行的EMM給出。注意！EMM中并沒有給出密鑰“種子，而是給出了它們在正版ROM10/ROM11卡程序存儲區(qū)中的地址，這個

22、地址是隨機數(shù)，不同的key0/key1，地址就不同。它的值總是大于S4000，防止取到ROM10卡低端的無法讀出的無意義容。反制設計者設想，D卡或“正改卡無法獲得正版卡的部程序，因此，即使給出了地址，D卡也無法取得正確的機器碼作為密鑰的“種子，自然也就無法生成密鑰，解開key0/key1了。 對于正版卡，按照給出的地址，取到16字節(jié)的機器指令代碼，經(jīng)過類似計算Hash效驗的方法，產(chǎn)生正確的密鑰，再對key0/key1進展DES編碼運算，就解出正確的key0/key1了。 上面介紹的“利用正版卡程序隨機地址處的機器碼作為Key的解碼密鑰的EMM反制方法非常厲害，曾難倒了一大批的高手。 比照一下昨

23、天前一篇帖子中給出的EMM與上面介紹的EMM，就會發(fā)現(xiàn)，前一篇帖子中給出的EMM是一種簡單的反制，只要知道了正確的Key0/Key1，再經(jīng)過認真分析和思考，就會明白其反制原來并找出解出Key的方法，目前Dream TV的反制都屬于這類簡單反制；但上面今天介紹的EMM是一種高級和復雜的反制，即使知道了正確的Key0/Key1，也難以得知其反制的原理與找出解key的方法，目前*G有線和國外一些CA系統(tǒng)采用的是這類反制。由于*的反制會聚在低級和高級的兩類難度上，所以黑客們疑心這是兩類不同水平的技術人員的作品。低級難度的反制是衛(wèi)視效勞系統(tǒng)部技術人員的手筆，而高級的反制則直接出自CA系統(tǒng)研制人員的杰作。

24、 兩種級別的反制也將國修改、編寫D卡程序的高手分成了兩類：有一些寫一點程序應付低級反制的，往往采用“頭痛醫(yī)頭、腳痛醫(yī)腳的補丁程序，可以對付目前146-Dream TV的反制；只有少數(shù)高手中的高手具有整體編寫程序以及仿真MAP功能的能力，能采用更合理的對抗策略，能研制出復雜程序和新類型的D卡，最終可以對付高級難度的反制。對付低級反制寫出對抗程序的時間大約是數(shù)小時到幾天，而對付高級反制找到方法并寫出程序的時間往往需要數(shù)個月之久，而且還需要國外Hacker 們的協(xié)同配合。國高手中的高手人數(shù)很少，都是單兵作戰(zhàn)和埋頭苦干的，與其他高手之間一般互不交流。 本節(jié)介紹的“利用正版卡程序隨機地址處的機器碼作為K

25、ey的解碼密鑰的EMM反制方法十分成功，但它采用程序的機器碼作為解開Key的密鑰，可能會出現(xiàn)以下幾個問題： 1. 如果電視系統(tǒng)歷史悠久，在用的卡可能有幾種，則可能產(chǎn)生部機器指令碼不盡一樣的問題； 2. 如果電視系統(tǒng)想要更新程序，也可能存在局部尚未更新程序的正版卡，同樣會產(chǎn)生部機器指令碼不一樣的問題。這個問題還可能阻止正版卡通過下行信號進展的升級：我們設想一下，正版卡用戶中，有的人天天看衛(wèi)視節(jié)目，他們的卡順利升了級，而一局部人外出，卡很久都沒有使用了，剛回來想看衛(wèi)視，結果因為卡的程序不對，無法收看，肯定對衛(wèi)視效勞商大發(fā)雷霆。在用戶是上帝的外國，電視效勞商對可能引起用戶的怒氣一定很忌諱的。 3.

26、對該反制最致命打擊是，可以設法讀出正版卡作為密鑰的那一局部程序機器碼，通過在D卡的硬件上安排外部EEPROM，存儲量有64KB、128KB、256KB等，將正版卡作為密鑰的程序機器碼全部保存起來，解開KEY時，照樣可以從外部EEPROM中取到與正版卡一樣的解Key的密鑰，來對抗反制，使該方法失效，這是該類反制的終結者。 經(jīng)過了利用軟件仿真在I/O功能上的區(qū)別進展的反制和利用正版卡指令代碼作為密鑰進展的反制之后，目前幾個在運行的CA系統(tǒng)146的Dream TV與其他衛(wèi)視，*G以及國一些地方的本地有線數(shù)字電視等紛紛進入了使用MAP功能來進展反制的階段。 使用正版卡中的MAP編碼/解碼協(xié)處理器進展反

27、制，是正版卡在設計階段就預留的終極反制殺手?？梢钥吹?，正版卡設計者防于未然，預估到終有一天，第一道門ECM與EMM的解碼將被攻破，預先留好了第二道門做最后的防守。未雨綢繆，是我們不得不佩服這些設計者的智慧與遠見。 第三節(jié) () 在深入討論MAP功能及其仿真實現(xiàn)之前，為了后續(xù)文章讀起來不算費力，需要先說明兩個方面的知識：一是什么是收視卡防守的第一道門與第二道門. 二是EMM指令與Logging等知識。 今天讓我們先說說什么是收視卡防守的第一道門與第二道門. 收視卡是防止非法收視的守門員，在卡中設計了多種加密方法，最主要的有解決收視功能的ECM和自動換key的EMM的解密，它們的解碼是第一道門。ECM與EMM的編碼與解碼使用的雖是不同的方法，但都是固定不變的標準方法。不同的條件接收系統(tǒng)僅僅是編碼/解碼采用的數(shù)據(jù)有不同而已。舉個例子，有的卡可以解開多個同一類型CA系統(tǒng)，該類卡是按照下行的ECM或EMM的系統(tǒng)標識如146 Dream TV為4E和4F，*G有線為94和95等選擇不同的數(shù)據(jù)，而運行的程序根本一樣的。 仍然以*為例，ECM的編/解碼采用DES與EDES算法，其原理早已公之于世。編/解碼所用的S_Bo*es數(shù)