M1卡破解密碼控制位及控制規(guī)則

------------------------------------------------------------------------M1卡破解密碼控制位及控制規(guī)則一、主要指標(biāo)l容量為8K位EEPROMl分為16個(gè)扇區(qū)，每個(gè)扇區(qū)為4塊，每塊16個(gè)字節(jié),以塊為存取單位l每個(gè)扇區(qū)有獨(dú)立的一組密碼及訪問控制l每張卡有唯一序列號(hào)，為32位l具有防沖突機(jī)制，支持多卡操作l無電源，自帶天線，內(nèi)含加密控制邏輯和通訊邏輯電路l數(shù)據(jù)保存期為10年，可改寫10萬次，讀無限次l工作溫度：-20℃~50℃l工作頻率：13.56MHZl通信速率：106KBPSl讀寫距離：10mm以內(nèi)（與讀寫器有關(guān)）二、存儲(chǔ)結(jié)構(gòu)1、M1卡分為16個(gè)扇區(qū)，每個(gè)扇區(qū)由4塊（塊0、塊1、塊2、塊3）組成，（我們也將16個(gè)扇區(qū)的64個(gè)塊按絕對(duì)地址編號(hào)為0~63，存貯結(jié)構(gòu)如下圖所示：塊0數(shù)據(jù)塊0扇區(qū)0塊1數(shù)據(jù)塊1塊2數(shù)據(jù)塊2塊3密碼A存取控制密碼B控制塊3塊0數(shù)據(jù)塊4扇區(qū)1塊1數(shù)據(jù)塊5塊2數(shù)據(jù)塊6塊3密碼A存取控制密碼B控制塊7∶∶∶0數(shù)據(jù)塊60扇區(qū)151數(shù)據(jù)塊612數(shù)據(jù)塊623密碼A存取控制密碼B控制塊632、第0扇區(qū)的塊0（即絕對(duì)地址0塊），它用于存放廠商代碼，已經(jīng)固化，不可更改。3、每個(gè)扇區(qū)的塊0、塊1、塊2為數(shù)據(jù)塊，可用于存貯數(shù)據(jù)。數(shù)據(jù)塊可作兩種應(yīng)用：★用作一般的數(shù)據(jù)保存，可以進(jìn)行讀、寫操作?！镉米鲾?shù)據(jù)值，可以進(jìn)行初始化值、加值、減值、讀值操作。4、每個(gè)扇區(qū)的塊3為控制塊，包括了密碼A、存取控制、密碼B。具體結(jié)構(gòu)如下：A0A1A2A3A4A5FF078069B0B1B2B3B4B5密碼A（6字節(jié)）存取控制（4字節(jié)）密碼B（6字節(jié)）5、每個(gè)扇區(qū)的密碼和存取控制都是獨(dú)立的，可以根據(jù)實(shí)際需要設(shè)定各自的密碼及存取控制。存取控制為4個(gè)字節(jié)，共32位，扇區(qū)中的每個(gè)塊（包括數(shù)據(jù)塊和控制塊）的存取條件是由密碼和存取控制共同決定的，在存取控制中每個(gè)塊都有相應(yīng)的三個(gè)控制位,定義如下：塊0：C10C20C30塊1：C11C21C31塊2：C12C22C32塊3：C13C23C33三個(gè)控制位以正和反兩種形式存在于存取控制字節(jié)中，決定了該塊的訪問權(quán)限（如進(jìn)行減值操作必須驗(yàn)證KEYA，進(jìn)行加值操作必須驗(yàn)證KEYB，等等）。三個(gè)控制位在存取控制字節(jié)中的位置，以塊0為例：對(duì)塊0的控制：bit76543210字節(jié)6C20_bC10_b字節(jié)7C10C30_b字節(jié)8C30C20字節(jié)9(注：C10_b表示C10取反)存取控制（4字節(jié)，其中字節(jié)9為備用字節(jié)）結(jié)構(gòu)如下所示：bit76543210字節(jié)6C23_bC22_bC21_bC20_bC13_bC12_bC11_bC10_b字節(jié)7C13C12C11C10C33_bC32_bC31_bC30_b字節(jié)8C33C32C31C30C23C22C21C20字節(jié)9(注：_b表示取反)6、數(shù)據(jù)塊（塊0、塊1、塊2）的存取控制如下：控制位（X=0.1.2）訪問條件（對(duì)數(shù)據(jù)塊0、1、2）C1XC2XC3XReadWriteIncrementDecrement,transfer,Restore000KeyA|BKeyA|BKeyA|BKeyA|B010KeyA|BNeverNeverNever100KeyA|BKeyBNeverNever110KeyA|BKeyBKeyBKeyA|B001KeyA|BNeverNeverKeyA|B011KeyBKeyBNeverNever101KeyBNeverNeverNever111NeverNeverNeverNever（KeyA|B表示密碼A或密碼B，Never表示任何條件下不能實(shí)現(xiàn)）例如：當(dāng)塊0的存取控制位C10C20C30=001時(shí)，驗(yàn)證密碼A或密碼B正確后可讀；驗(yàn)證密碼B正確后可寫；不能進(jìn)行加值、減值操作。7、控制塊塊3的存取控制與數(shù)據(jù)塊（塊0、1、2）不同，它的存取控制如下：密碼A存取控制密碼BC13C23C33ReadWriteReadWriteReadWrite000NeverKeyA|BKeyA|BNeverKeyA|BKeyA|B010NeverNeverKeyA|BNeverKeyA|BNever100NeverKeyBKeyA|BNeverNeverKeyB110NeverNeverKeyA|BNeverNeverNever001NeverKeyA|BKeyA|BKeyA|BKeyA|BKeyA|B011NeverKeyBKeyA|BKeyBNeverKeyB101NeverNeverKeyA|BKeyBNeverNever111NeverNeverKeyA|BNeverNeverNever例如：當(dāng)塊3的存取控制位C13C23C33=001時(shí)，表示：密碼A：不可讀，驗(yàn)證KEYA或KEYB正確后，可寫（更改）。存取控制：驗(yàn)證KEYA或KEYB正確后，可讀、可寫。密碼B：驗(yàn)證KEYA或KEYB正確后，可讀、可寫。新卡片中的控制字（FF078069）密碼A可用，密碼B不可用；推薦的控制字方案一：7F078869此控制字說明：數(shù)據(jù)塊：用密碼A或B都可以讀寫；控制塊：密碼A：由密碼B來寫，不可讀；密碼B：由密碼B來寫，不可讀；控制字：用密碼A或B都可讀，由密碼B寫；方案二：08778F69此控制字說明：數(shù)據(jù)塊：用密碼A讀，由密碼B讀寫；控制塊：密碼A：由密碼B來寫，不可讀；密碼B：由密碼B來寫，不可讀；控制字：用密碼A或B都可讀，由密碼B寫；三、卡片卡片的電氣部分只由一個(gè)天線和ASIC組成。天線：卡片的天線是只有幾組繞線的線圈，很適于封裝到IS0卡片中。ASIC：卡片的ASIC由一個(gè)高速（106KB波特率）的RF接口，一個(gè)控制單元和一個(gè)8K位EEPROM組成。四、對(duì)數(shù)據(jù)塊的操作讀(Read)：讀一個(gè)塊；寫(Write）：寫一個(gè)塊；加（Increment）：對(duì)數(shù)值塊進(jìn)行加值；減（Decrement）：對(duì)數(shù)值塊進(jìn)行減值；存儲(chǔ)（Restore）：將塊中的內(nèi)容存到數(shù)據(jù)寄存器中；傳輸（Transfer）：將數(shù)據(jù)寄存器中的內(nèi)容寫入塊中；中止（Halt）：將卡置于暫停工作狀態(tài)；對(duì)于電腦周邊編程，主要有兩種思路（應(yīng)該沒有第三種了）?！驹敿?xì)說明見我博文】一、利用windows系統(tǒng)本身dll庫(kù)。二、利用硬件產(chǎn)家提供的dll。本篇對(duì)M1卡的編程是利用上述第二種方法。M1卡最為重要的優(yōu)點(diǎn)是可讀可寫并且安全性高的多功能卡。這些優(yōu)點(diǎn)與其自身的結(jié)構(gòu)密不可分。M1結(jié)構(gòu)：M1卡分為16個(gè)扇區(qū)，每個(gè)扇區(qū)4塊（塊0～3），共64塊，按塊號(hào)編址為0～63。第0扇區(qū)的塊0（即絕對(duì)地址0塊）用于存放廠商代碼，已經(jīng)固化，不可更改。其他各扇區(qū)的塊0、塊1、塊2為數(shù)據(jù)塊，用于存貯數(shù)據(jù)；塊3為控制塊，存放密碼A、存取控制、密碼B。每個(gè)扇區(qū)的密碼和存取控制都是獨(dú)立的，可以根據(jù)實(shí)際需要設(shè)定各自的密碼及存取控制。M1卡運(yùn)作機(jī)理：連接讀寫器→尋卡→識(shí)別卡（獲取卡序列號(hào)）→從多卡中選一張卡→向卡中緩沖區(qū)裝載密碼→驗(yàn)證密碼→進(jìn)行讀寫→關(guān)閉連接即（代碼說明）Open_USB→rf_request→rf_anticoll→rf_select→rf_load_key→rf_authentication→(/a_hex)→rf_read/rf_write→(hex_a)→Close_USB如果概括來說的話，主要也就四部分開關(guān)連接、尋卡、驗(yàn)證密碼、讀取。（至于詳細(xì)程序代碼，相信大家自己看過dll說明文檔后，自己會(huì)明白的，這里就不寫了，因?yàn)閮?nèi)容多）M1卡功能模式：1.尋卡模式：尋卡模式分三種情況：IDLE模式、ALL模式及指定卡模式（0，1，2均是int類型，是方法參數(shù)，下同）。0——表示IDLE模式，一次只對(duì)一張卡操作；1——表示ALL模式，一次可對(duì)多張卡操作；2——表示指定卡模式，只對(duì)序列號(hào)等于snr的卡操作（高級(jí)函數(shù)才有）【不常用】也就是說，我們一次也可以同時(shí)操作多張卡。對(duì)于多卡操作，其實(shí)際真正執(zhí)行操作的還是一張卡。讀寫器能識(shí)別多張卡的序列號(hào)（但注意識(shí)別出的順序是不定的，并且最多也就能識(shí)別4張卡，因?yàn)榭ǒB放的厚度太厚，會(huì)超出讀寫器的識(shí)別范圍），并一一進(jìn)行操作。所以由此看出，多卡操作的意義并不大。但我建議大家還是設(shè)置為1好了（原因不說了，自己感受吧，其實(shí)無所謂）。2.密碼驗(yàn)證模式：0——KEYSET0的KEYA4——KEYSET0的KEYBM1卡可以在驗(yàn)證密碼時(shí)選擇密碼類型（A/B）。【其實(shí)M1卡有3套密碼（KEYSET0、KEYSET1、KEYSET2），共6個(gè)密碼（用0～2、4～6來表示這六個(gè)密碼），目的是為了適應(yīng)不同讀寫器。而這里我們用的是KEYSET0的2個(gè)密碼】M1卡密碼機(jī)制：這可以說是M1卡的精髓了，也是M1卡最為復(fù)雜的地方，希望大家耐心看完。（請(qǐng)先看明白M1卡結(jié)構(gòu)）如上所說，在存取控制中每個(gè)塊都有相應(yīng)的三個(gè)控制位,它們的定義如下：塊0：C10C20C30塊1：C11C21C31塊2：C12C22C32塊3：C13C23C33一個(gè)扇區(qū)的三個(gè)數(shù)據(jù)塊，我們可以利用密碼機(jī)制對(duì)它們分別進(jìn)行權(quán)限控制。數(shù)據(jù)塊（塊0、塊1、塊2）的存取控制如下：例如：當(dāng)塊0的存取控制位C10C20C30=100時(shí)，驗(yàn)證密碼A或密碼B正確后可讀；驗(yàn)證密碼B正確后可寫；不能進(jìn)行加值、減值操作。那么M1卡修改密碼的方法是rf_changeb3參數(shù)：icdev：通訊設(shè)備標(biāo)識(shí)符_SecNr：扇區(qū)號(hào)（0～15）KeyA：密碼A_B0：塊0控制字，低3位（D2D1D0）對(duì)應(yīng)C10、C20、C30_B1：塊1控制字，低3位（D2D1D0）對(duì)應(yīng)C11、C21、C31_B2：塊2控制字，低3位（D2D1D0）對(duì)應(yīng)C12、C22、C32_B3：塊3控制字，低3位（D2D1D0）對(duì)應(yīng)C13、C23、C33_Bk：保留參數(shù)，取值為0_KeyB：密碼B由上我們看出_B0、_B1、_B2、_B3分別控制塊0、塊1、塊2、塊3。由圖我們可知_B0、_B1、_B2的可取值為0、10、100、110、1、11、101、111。這