有线电视数字电视机顶盒破解方法

《有线电视数字电视机顶盒破解方法》由会员分享，可在线阅读，更多相关《有线电视数字电视机顶盒破解方法（18页珍藏版）》请在装配图网上搜索。

1、有线电视数字电视机顶盒破解方法随着数字电视的普及，模拟电视信号将停止播放，对一 家几台电视机来说，迫切希望用一台机顶盒带多台电视机的愿 望，这里介绍一些电子刊物讨论方法，共大家参考：一、破解思路有线电视加密的原理是这样的：电视台把接改来的电视信 号先输入数字加密设备，把电视信号通过算法加密后向外输出 终端的解密设备（机顶盒子）解密后输出普通的射频信号，再 送到我们的终端接收设备，由电视放出画面。因电视只能是接 收普通的射频信号（模拟信号），所以只能解密后再输入电视， 由电视放出画面。有线电视加密法有多种，这里的是使用加扰法”在加密到解密这段线路，要想非法接入偷接电视信号， 成功的可能性几乎是1

2、0000000分之一。但经解密器（机顶盒） 解密后的信号任何可以常接收电视信号的电视机都能播放（即通用性，也可说是共用性），这就是破解的切入点（破解软件 也需要切入点）。既然这样，但为什么一个机顶盒只能接一台 电视机用呢？我也试验过，当通简单的方法接上两台电视机的 时候，什么画面也没有了（因机顶盒有智能的识别功能）。问题就在这里，也是我要教会大家的精要所在。至于如何利用这个切入点”进行我们的小人”行为呢？我 们通过什么手段来欺骗机顶盒，让他以为是一台电视机呢？（就如破解软件的时候，我们有时也要采用欺骗的方法来进行 破解）。我将会在下一点 破解原理”中向大家说明。二、破解原理：装在我们家里的那个

3、盒子的工作原理：经加密的信号经输 入端子输入，由其内部有关电路解除干扰信号（加扰法加密）， 再经输出端子输出正常的信号。其解密电路是否工作要有一个 外部条件，就是电视的高频头反馈回来的信号。如果没有这个 信号反馈回机顶盒，则其解扰电路不工作，照样输出未解密的 信号，因而不能正常收看。其解密的频段分做若干段解密，如 电视正在接收3频道，则电视的高频头就反馈3频道的谐振频 率给机顶盒，机顶盒就能输出15频道的正常信号，如此 类推。因此可用以下两种方法进行破解：1、 把机顶盒放在其中一台电视机（下称电视1）高频头 附近，让其可以正常收看，再用分支器从输出端分支出信号到 另外的电视机。这样的做法的一个

4、缺点：就是另外的电视机只 能接收电视1接收的频道附近的5个频道。2、用非与门电路或 555电路制作一个开放式多谐振动器，其谐振频率只要能履盖有线电视的整个频段即可。（制作成本约6元左右）把这个谐振动器放在机顶盒的旁边。让机顶 盒能接收到振动器发出的信号，再用分支器从机顶盒的输出端 分支出多台电视机，这样，所有电视机就能接收所有频道的信 号了。（下次发图）3、用高频三极管如9018做一个高频发射电路，利用射 频输出再次发射，只要小小发射功率，让机顶盒能接收得到即 可。或用同轴视频线分支接入输入或输出端，的除去外层屏蔽 线，只留中间的线长约1米，把这线绕在机顶盒。让泄漏出来 的信号感应给机顶盒接收

5、。破解电视机顶盒，可接多台电视游走在灰色地带，大打擦边球的数字电视机顶盒共享器随着有线电视数字化发展进程的加快，数字电视这一新 兴的电视观看及传输方式已经开始被更多的普通市民所熟 悉，数字电视以接近于 DVD的画质和立体声甚至5.1声道伴 音这两大最明显的特点受到了不少有线电视用户的关注 ，同时 更多可选择的电视台、点播节目也为丰富市民的业余生活增添 了不少色彩，不过在数字电视刚刚起步的萌芽阶段，还有多的 不足和缺点需要改进。按照国际惯例，数字电视机顶盒（SET-TOP-BOX，简称 STB）分为数字地面STB、数字卫星STB、数字有线STB和 网络STB这4种，目前正在大力发展的数字电视类型

6、是数字 有线STB，是目前成本最为低廉，也最适合大力向普通市民所推广的。整体来说，数字机顶盒以支持HDTV和互动性作为发展方向，而就目前的机顶盒产品来看，一部机顶盒内包括 了接收数字信号的调制解调芯片、视频信号编解码芯片、音频 处理器、音视频数模转换芯片等，一些高端的机顶盒中甚至还 会整合安全芯片甚至可录像硬盘，可见数字电视机顶盒在未来 的发展空间还是相当宽广的上图中的三部机顶盒中包括了目前所使用的三款不同品牌、型号的机顶盒，其中最上方的创维 C6000采用了意法的Qami5516方案；熊猫3216采用了意法的5516芯片，带有180MHZ的CPU，而最下方的银河则采用了最为简单的富士 通功能

7、单芯片H20A，虽然这三种机顶盒在内部的设计上有一 定的区别，但它们都是需要通过插入数字电视智能卡才能够工 作的，而数字电视智能卡就相当于一个人有了驾照才能合法地 驾驶汽车一样。在使用模拟电视信号的时候，大家只需要申请有线电视 开户之后就可以在家中通过自带电视信号调谐器的电视观看 节目，如果有多部电视的话只要购买有线电视信号分配器就可 以在所有的电视上观看有线电视。而数字电视却将这种免费的 电视信号共享给 封杀”了，机顶盒需要在插入有效的智能卡之 后才能使用就是为了保证数字电视信号不被盗用的一种方 式，同时也能够保证数字信号不被盗版商用来作为盗版节目 源。为了保证数字信号不被盗用，数字电视内容

8、管理方式以 条件式接取（CA）和数字版权管理（DRM ）作为基本保护机 制，目前国内的数字电视机顶盒采用的管理方式就是条件式接 取这种机卡分离的方式，用户必须通过专属的智能卡来取得授 权才能够接收被解码的信号，而服务提供商也能够通过这种方 式接收用户的信息，包括用户户名、地址、智能卡卡号和收看 数字电视的费用等信息。这种机卡分离的机顶盒使用方式被美 国、欧洲和亚洲等国视为数字电视发展的机顶策略。DRM采用的是许可证管理策略，由数字电视信号运营商 对节目源进行加密，在用户通过机顶盒发出节目接收请求之后 系统会自动检查是否经过许可，而认证的方式也同样是通过IC 卡等带有帐号、密码等信息的进行的，不

9、过 DRM管理的规格 相当繁多：Windows Media的DRM、开放移动联盟 OMA推 出的 DRM 1.0/2.0 规格、UT-DRM、NDS、SecureMedia、 WideVine、BesDRM等，规格的不统一使其并不被大多数有 限数字电视运营商所接受。由于数字电视信号必须通过机顶盒才能接收，同时采用 了用户身份认证的防盗用方式，所以有线数字电视节目只有一 部电视机搭配一部机顶盒才能够正常观看，在目前大多数市民 家中同时拥有一部以上电视的这一情况下，如果希望每部电视 机都能够收看数字电视的话必须购买数量相对应的机顶盒 ，这 在一定程度上家中了消费者观看数字电视的成本，于是有一些 厂

10、家开始在有线数字电视共享上开始下功夫，纷纷推出名为数 字电视机顶盒共享器的产品，以此实现对数字电视信号的共 享。目前的数字电视机顶盒共享器共有有线和无线两种，有 线的共享器只需要将共享器与机顶盒接驳，并且通过音视频信 号线将它与其它电视的AV接口接驳就可以使用，而无线的共 享器则包括与机顶盒互联的信号发射器和与电视互联的信号 接收器。机顶盒共享器的功能介绍上将这种产品的优点共分为多 显示终端信号共享和节约费用两大类，对于大多数购买这种产 品的消费者来说，可能最能够吸引他们的是通过共享器可以节 约机顶盒的购买费用和电视信息点播费，有了省钱作为最大卖 点之后，这种产品自然更受关注。虽然这种产品具有

11、一定的实用意义，但是我们仔细看看 就会发现这种所谓的共享器实际上就是一个音视频信号分配 器，与机顶盒连接的接口包括了复合视频输入和模拟立体声音 频输入这两个接口，而用于输出信号的则包括了复合视频信号 输出和3.5毫米信号输出接口，并没有能够直接发送及接受智 能卡用户信息的接口，这也就意味着即使是通过这样的共享器 接驳其它电视之后也并不能独立选台，换句话说，如果客厅中 的电视在通过机顶盒播放中央一套的电视节目，那么其它房间 的另一台电视也同样只能够播放中央一套的电视节目无线机顶盒共享其与有线机顶盒共享器一样都是通过音 视频接口接受机顶盒上的第二路信号输出接口来实现数字电 视信号的 共享”的，不过

12、无线的共享器的传输方式是通过红 外、调频或2.4GHz来实现的，值得注意的是，目前的机顶盒 在背后的接口都带有两路信号输出接口 ，只要使用连接线将机 顶盒的信号与两台电视连接就同样可以实现这样的所谓共享”功能，而这样一来机顶盒共享器的作用也只有在不同房间 都可以用遥控器控制机顶盒这种 遥控共享器”的功能了。破解讨论综述CA安全保障的三层关键：传输流的加扰，控制字的加密， 加密体制的保护。这三种技术是CA系统重要的组成部分，在处理技术上有 相似之处，但在CA系统标准中是独立性很强的三个部分。加 解扰技术被用来在发送端CA系统的控制下改变或控制被传送 的服务（节目）的某些特征，使未被授权的用户无法

13、获取该服 务提供的利益；而加密技术被用来在发送端提供一个加密信 息，使被授权的用户端解扰器能以此来对数据解密；而保密机制则用于控制该信息，并以加密形式配置在传输流信息中以防 止非授权用户直接利用该信息进行解扰，不同的 CA系统管理 和传送该信息的机制有很大不同。在目前各标准组织提出的条 件接收标准中，加扰部分往往力求统一，而在加密部分和保密 机制则一般不作具体规定，是由各厂商定义的部分。1、对传输流的加扰，DVB已有标准。目前在国际上占主 流的有欧洲的DVB标准、北美国家的 ATSC标准及日本的 ISDB标准三种标准中，对于 CA部分都作了简单的规定，并 提出了三种不同的加扰方式。欧洲 DVB

14、组织提出了一种称之 为通用加扰算法(Com mon Scrambli ng Algorithm )的加扰方 式，由DVB组织的四家成员公司授权，ATSC组织使用了通 用的三迭DES算法，而日本使用了松下公司提出的一种加扰 算法。通用加扰算法是 DVB标准组织推荐的对于TS流的标 准加扰算法。目前，在欧洲的数字广播节目中普遍采用了这个 算法。我国目前商业化的 CA中，TS节目的加扰也基本上是 采用的这个算法。如果从破解的角度，攻破这个算法的意义要 远远大于破解智能卡和攻破CA系统本身。2、对控制字的加密算法一般采用 RSA以及3DES算法， 各家CA厂商各不相同。值得一提的是 DVB里有一个规定

15、， 提到的同密技术要求每个CA系统可以使用不同的加密系统加 密各自的相关信息，但对节目内容的加扰必须采用同一个加扰 算法和加扰控制字，可以方便多级运营商的管理，为多级运营 商选择条件接收系统提供了灵活性。这就为黑客攻破智能卡创 造了条件。3、对加密体制，不同厂家的系统差别很大，其技术大体 有两种：一种是以爱迪德系统为代表的密码循环体制，另一种 是以NDS系统为代表的利用专有算法来进行保护，由于牵涉 到系统安全性，厂家一般不会公开。因此从破解角度，对系统 的破解是难度也是比较大的。第一章：CA智能卡的破解与反制 第一节对于CA智能卡的破解分为两种，1、 从硬件破解的角度，完全地仿照正版卡来定制I

16、C卡；2、从软件破解的方向，将正版卡的程序读出，最后将程 序写入IC卡中，就变成与正卡无差别的 D卡了。仿制正版卡，可以将IC卡的触点剥离下来，再将保护的塑料 蚀掉，暴露出元件和内部电路连接，就可以绘制成电原理图， 最后交给能订制生产的IC卡的厂家生产。这些仿制还有一个 冠冕堂皇的名称叫 反向工程”国内在深圳和厦门等地都有能 生产定制IC卡的厂家，在利益的驱使下，他们往往不会过问 敏感问题。IC卡中的元件如果是通用元件，通常可以通过 IC卡的功 能原理的分析来确定，虽然困难，但总是可以最终确定。例如 深圳目前直接使用流在市面上的 ROM10与R0M11卡来制成 D卡，ROM10与ROM11实际

17、上是XX系统正版卡的 基础 卡”这些卡具有与正版卡相同的硬件基础，至于怎么流落到 社会上的不得而知，但有一个事实就是大家应该都收到过安装卫星电视的短信，这是个可以想象的到的异常庞大的地下产 业！继续：IC卡中的元件如果是专用元件，确定元件的事情就 变得极其困难和十分渺茫了。那么这个时候硬件仿制的路走不 通了，那么看看软件仿真的路能不能走得通。再看软件仿真的路能不能走得通前，首先阐明软件仿真的路能不能走得通有不同的判断标准。如果仅以在一段时段中，软件仿真的 D卡与正版卡都具有相 同的条件收视功能来判断，那么无疑，从 D卡的实践来看， 软件仿真已经成功了。但如果以任何时段中，软件仿真的D卡与正版卡

18、都具有相 同的功能，特别是对抗反制的功能来判断，那么我要说，同样 无疑，软件仿真是不可能成功的。因此我们仅承认这种事实就够了：自动对抗新的反制，使D卡与正版卡一样免除后顾之忧，肯定是 D卡研究的终极目 标。但是即便达不到这个目标，只要能保证一段时间的仿真成 功，CA破解的商业价值就依然存在！补充说明反制：由于D卡的成功，尤其是带 AU （自动换KeyO/Keyl）的D卡程序的广泛扩散，正版服务商感到了巨大 的压力，逐步开始采用种种反制手段，让 D版的AU卡实效。我们先研究一下这个反制是个什么东东：学习和搞嵌入式控制器开发的人都用过仿真器，如 伟福”系列的MCS-51的仿 真器等。大家一定知道硬

19、件仿真与软件仿真存在一个本质区 别，即I/O功能的不同。一条取端口引脚值的指令就足以区分 是硬件仿真还是软件仿真了。硬件仿真可以真实地取到引脚上 的实际输入，而软件仿真得到的只能是不会变化的内存仿真 值。利用这个原理实现的反制程序分为两部分，前面的部分 通过I/O端口的访问，区别出是真的硬件存在，还是软件仿真； 后半部分对非法的仿真卡简单地返回主程序，不能解开 KeyO/Keyl ;对正版卡，则修改 KeyO/Keyl，使之正确，然后 返回主程序并保存key,保存的KeyO/Keyl用于ECM的解码。从历次搜集的反制EMM中的方法中，可以将反制归纳为 两种，一种是从硬件或软件上区别 D卡与正版

20、卡，从而产生 条件分支指令，使D卡仿真的程序失效；另一种是调用D卡中不可能有的，只有正版卡硬件才具备的 MAP子程序，使D 卡无法执行正确的程序。先介绍前一种方法：使用硬件端口区别正版卡与仿真卡的反制方法，由于具有 特殊性能的端口数的限制，因此不可能有多种变化，一旦 Hacker知道了反制的EMM结构与原理，很容易就可以避开 端口判断的指令，直接转到修改 KeyO/Keyl部分。这虽然并 不是程序指令的直接仿真，只能算是功能仿真，却可以使已知 反制失效。另外你也许会提出一些其他办法，如目前的一些 Nagra 系统在下行的EMM命令中加入了甄别真伪和 杀卡”指令，对 于正改卡”毫不留情地清除卡中

21、程序并且让它成为废卡。我可以说，为了对抗 杀卡”这类正改卡”的程序如果采 用Block技术，可以抵抗多数杀卡指令，同样能够使这类 正 改卡”得以安全使用。先写到这，后面介绍根据正版卡特有的机器指令代码，让 正版卡能进行解码、而没有正版卡程序的仿真卡无法正确解 码、从而获得KEY的EMM思路。第二节：以下介绍根据正版卡特有的机器指令代码，让正版卡能进 行解码，而没有正版卡程序的仿真卡无法正确解码，从而获得 KEY的EMM思路。按照道理，D卡使用的是AVR或其他类型的CPU,正改 卡”中的程序与正版卡也不相同，照理这些卡中都没有正版 ROM10/ROM11卡的程序。因此，用只有正版卡才有的特定 机

22、器指令代码作为密钥来解密keyO与keyl,自然是十分聪明 的反制措施。该反制的EMM以前146Dream TV可能曾使用过。目前 XG有线又重新启用，大致在一个周期的 8天中，有两天使用 本类EMM，另外6天使用另一个 超级MAP程序。这种反制的具体思路是:下行的EMM中携带的Key与Keyl是经过加密编码的， 不能直接使用。解开它们需要的密钥 种子”（即产生密钥的原 始数据）的地址由下行的 EMM给出。注意！ EMM中并没有 给出密钥 种子”，而是给出了它们在正版 ROM10/ROM11卡 程序存储区中的地址，这个地址是随机数，不同的keyO/keyl， 地址就不同。它的值总是大于 S40

23、00，防止取到ROM10卡低 端的无法读出的无意义内容。反制设计者设想，D卡或 正改卡”无法获得正版卡的内部程序，因此，即使给出了地址，D卡也无法取得正确的机器码作为密钥的 种子”，自然也就无法 生成密钥，解开keyO/keyl 了。对于正版卡，按照给出的地址，取到 16字节的机器指令 代码，经过类似计算Hash效验的方法，产生正确的密钥，再 对keyO/keyl进行DES编码运算，就解出正确的 keyO/keyl 了。上面介绍的 利用正版卡程序随机地址处的机器码作为Key的解码密钥”的EMM反制方法非常厉害，曾难倒了一大批的高 手。对比一下昨天前一篇帖子中给出的EMM与上面介绍的EMM，就会

24、发现，前一篇帖子中给出的 EMM是一种简单的 反制，只要知道了正确的KeyO/Key1，再经过认真分析和思考，就会明白其反制原来并找出解出 Key的方法，目前DreamTV的反制都属于这类简单反制；但上面今天介绍的EMM是一种高级和复杂的反制，即使知道了正确的 KeyO/Keyl，也难 以得知其反制的原理与找出解key的方法，目前XG有线和国 外一些CA系统采用的是这类反制。由于 XX的反制汇聚在低 级和高级的两类难度上，所以黑客们怀疑这是两类不同水平的 技术人员的作品。低级难度的反制是卫视服务系统内部技术人 员的手笔，而高级的反制则直接出自CA系统研制人员的杰作。两种级别的反制也将国内修改、

25、编写D卡程序的高手分成 了两类：有一些写一点程序应付低级反制的，往往采用头痛医头、脚痛医脚”的补丁程序，可以对付目前 146-Dream TV 的反制；只有少数咼手中的咼手具有整体编写程序以及仿真 MAP功能的能力，能采用更合理的对抗策略，能研制出复杂 程序和新类型的D卡，最终可以对付高级难度的反制。对付 低级反制写出对抗程序的时间大约是数小时到几天，而对付高 级反制找到方法并写出程序的时间往往需要数个月之久，而且还需要国内外Hacker们的协同配合。国内高手中的高手人数 很少，都是单兵作战和埋头苦干的，与其他高手之间一般互不 交流。本节介绍的 利用正版卡程序随机地址处的机器码作为 Key的解

26、码密钥”的EMM反制方法十分成功，但它采用程序的 机器码作为解开Key的密钥，可能会出现以下几个问题：1. 如果电视系统历史悠久，在用的卡可能有几种，那么可能产生内部机器指令码不尽相同的问题；2. 如果电视系统想要更新程序，也可能存在部分尚未更 新程序的正版卡，同样会产生内部机器指令码不相同的问题。 这个问题还可能阻止正版卡通过下行信号进行的升级 ：我们设 想一下，正版卡用户中，有的人天天看卫视节目，他们的卡顺利升了级，而一部分人外出，卡很久都没有使用了，刚回来想 看卫视，结果因为卡的程序不对，无法收看，肯定对卫视服务 商大发雷霆。在用户是上帝的外国，电视服务商对可能引起用 户的怒气一定很忌讳

27、的。3. 对该反制最致命打击是，可以设法读出正版卡作为密钥的那一部分程序机器码，通过在D卡的硬件上安排外部EEPROM，存储量有 64KB、128KB、256KB等，将正版卡 作为密钥的程序机器码全部保存起来，解开KEY时，照样可以从外部EEPROM中取到与正版卡一样的解 Key的密钥，来 对抗反制，使该方法失效，这是该类反制的终结者。经过了利用软件仿真在I/O功能上的区别进行的反制和利 用正版卡指令代码作为密钥进行的反制之后，目前几个在运行 的CA系统（146的Dream TV与其他卫视，XG以及国内一 些地方的本地有线数字电视等）纷纷进入了使用MAP功能来进行反制的阶段。使用正版卡中的MA

28、P编码/解码协处理器进行反制，是正 版卡在设计阶段就预留的终极反制杀手。可以看到，正版卡设 计者防范于未然，预估到终有一天，第一道门 （ECM与EMM 的解码）将被攻破，预先留好了第二道门做最后的防守。未雨 绸缪，是我们不得不佩服这些设计者的智慧与远见。第三节（）在深入讨论MAP功能及其仿真实现之前，为了后续文章 读起来不算费劲，需要先说明两个方面的知识：一是什么是收 视卡防守的第一道门与第二道门？ 二是EMM指令与 Logging 等知识。今天让我们先说说什么是收视卡防守的第一道门与第二 道门？收视卡是防止非法收视的守门员，在卡中设计了多种加密 方法，最主要的有解决收视功能的ECM和自动换k

29、ey的EMM 的解密，它们的解码是第一道门。ECM与EMM的编码与解 码使用的虽是不同的方法，但都是固定不变的标准方法。不同 的条件接收系统仅仅是编码/解码采用的数据有不同而已。举 个例子，有的卡可以解开多个同一类型 CA系统，该类卡是按 照下行的ECM或EMM的系统标识（如146 Dream TV为4E 和4F，XG有线为94和95等）选择不同的数据，而运行的 程序基本相同的。仍然以XX为例，ECM的编/解码采用DES与EDES算 法，其原理早已公之于世。编/解码所用的S_Boxes数据也已 经公开，并且在不同的系统中固定不变。与标准的DES相比，XX系统的DES只是多了对字节进行了反序排列

30、而已。ECM 使用的VerifyKey等数据，通过后门密码进入正版卡保留的数 据空间，可以读出这些关键的信息，加上 BoxKey等信息，只 要能获得当前的Key0/Key1，就可以配合IRD解开解密收视 用的控制字(Control Word )，可以正常收看卫视节目。ECM的解码可以解决收视的问题，但还需要手动输入 Key0/Key1。如果要象正版卡一样自动换 Key即所谓的AU， 就需要能解开EMM，并能正确地找到并保存 Key0/Key1。与 ECM的解码相比，EMM的解码要复杂的多！经过 Hacker的 努力，EMM的RSA编码原理已经完全弄明白，所需要的PK, VK等数据也可以通过Ha

31、cker的软件和ROM10/ROM11卡的 后门读出，再算出 N1, P，Q, EP，EQ, IQModP，IPModQ， PPrimA，QPrimA等方便编程的数据，就可以顺利解出EMM。收视卡的第二道门是对 EMM中Key解密的防守。它的 方法没有固定的套路，可以任意变化。如 XX系统的设计者安 排了可以通过EMM中携带程序的执行，以及正版卡通过下行 信号更新的EEPROM中补丁程序的运行来解码。正版卡设计 者可能料到攻破第一道门是迟早的事，于是第二道门上的防守 就成了最后的防线。前面章节介绍的几种对EMM中的Key0/Key1进行再加密，就是在第二道门上的防守。它的思路 是：当EMM解开

32、后，如果其中的KeyO, Key1是经过加密的， D卡仍然无法得到正确的Key。国内早期的D卡程序是移植国外Hacker的，针对想收视 的系统，修改了相应的数据就可以实现本地化，由于要得到正 确的Key需要的解码方法没有固定的套路，Hacker不可能事 先料到，总是要反制后分析它的原理，再更新部分 D卡程序， 进行对抗和补救。一般人没有自己编写D卡程序的能力，即使有写卡器掌握了写卡方法，但程序又难以得到，这些麻烦会 迫使许多人放弃D卡，转而加入正版卡缴费收视的行列。不过正版卡虽好，但其高额的收视费还是让国内广大爱好 者望之却步，大家的希望还是寄托在 D卡程序的完善上，希 望终有一天，D卡能与正版卡一样不受反制。