|
0384er 'Dumpen' | |
|
Bei falscher Anwendung kann die Karte zerstört werden So geht es... Nun wollen wir mal eine 0384er neue Werte geben. Man kann es in diesem Fall eigentlich nicht dumpen nennen sondern eigentlich von neu beschreiben. Man nutzt diesmal das Nano 29 0A. Ähnlich wie bei dem 5F Nano wird eine Adresse angegeben worin dann die nachfolgenen Bytes geschrieben werden. Aber diesmal werden statt nur 2 bytes gleich 8 Bytes geschrieben. Ein kompletter String zum schreiben sieht dann so aus: 01 01 00 00 00 17 C3 HX HX HX 00 11 29 0A 11 AD DA DA DA DA DA DA DA DA SG SG SG SG SG AD: ist die Adresse im EEPROM DA DA DA DA DA DA DA DA: ist der Datenteil der ab der Adresse geschrieben wird HX HX HX : ist die 3 Byte Hexseriennummer der Karte SG SG SG SG SG: ist die 5 Byte lange Signatur Durch sehr sehr viele tests ist es einigen MOSC'lern gelungen die Adressen in der 0384er ausfindig zu machen. Es gingen dabei mehr als 15 Karten drauf. Aber dank dieses Opfers sind nun die Adressen bekannt. Hier nun die Adressen und deren Inhalt:
Man kann nun also aus Z Karten nonZ karten machen aber leider nicht umgekehrt da man die Cardfiles nicht ändern kann. Der 8 Byte Datenblock wird jedoch noch vorher mit dem Irdeto Algo codiert. Mit anderen worten, er steht nicht im Klartext in dem Nano drinn. Vergleichen kann man dies mit dem schreiben des Plainmasterkeys (Nano 28 0D). Also, bevor wir den String senden, müssen wir dieses Datenfeld noch codieren. Angenommen wir wollen die PID kennung einer D-Karte (1722) in eine C-Karte (1702) ändern. Unsere Kartendaten sind: Hexseriennummer: 3A 4D 55 Hexmasterkey: 88 C0 9A 72 8A 21 15 41 D6 FE Wir müssen nun also in die Adresse DE folgende 8 Bytes senden: 19 EC F5 4D 61 17 02 46. Jetzt codieren wir den 8 byte Block mit dem Irdeto Algo (Hexmasterkey + 8 Byte Block = Cryptet 8 Byte). Nach der Umrechnung sehen die 8 Byte so aus: 58 77 F2 FA 4A AE 00 66. Nun basteln wir uns den String noch zurecht: 01 01 00 00 00 17 C3 3A 4D 55 00 11 29 0A 11 DE 58 77 F2 FA 4A AE 00 66 SG SG SG SG SG Bevor wir diesen jedoch zur Karte senden müssen wir bei den 0384er natürlich noch den CAMKEY senden. Damit ihr nicht alle rechnen müsst, habe ich hier mal eine Routine geschrieben. Ihr könnt nun wählen was ihr ändern wollt. Viel Spass damit. Schritt 1 Bitte gebt nun zuersteinmal eure Kartendaten ein. Zum berechnen brauch man nun den Hexmasterkey, Hexseriennummer und den Kartentyp. MEIN Testbericht Ich habe hier nun eine D 9002 ohne Z vor mir liegen gehabt. Diese habe ich nach dem oben genannten verfahren in eine Z-Karte verwandelt. Ich bin darauf zu meiner D-Box 2 gelaufen und habe diese ausgeschaltet. Danach habe ich die alte Karte ( D 9000...Z ACS 0383) aus dem Kartenschlitz entfernt und meine modifiezierte 0384er hineingeschoben. Danach wieder den Powerknopf gedrückt und was soll ich sagen, nach 10sek war ein Bild zu sehen. Natürlich waren die Keys schon auf der Karte drauf. Wohlbemerkt, ich habe keinen Startassistenten durchlaufen lassen. Danach wollte ich die Karte neu beschreiben und musste mit entsetzen feststellen das ich diese nicht mehr beschreiben konnte. Weder Cardblaster noch New keyfinder konnten den Hexmasterkey oder Plainmasterkeys aus der Karte lesen. Das Problem war nun, das die beiden Programme falsche Cardfiles zur Karte sendeten. Oder anders ausgedrückt, die Cardfiles auf der Karte haben sich geändert. Was also nun ????? Neuen Camkey generieren Gottseidank lässt uns die Karte auch bei den Camkey nicht im Stich :-)). Die Karte selber gibt uns nun die passenden Camkey die sie selber benötigt. Dazu senden wir wieder mal Fake Strings zur Karte und erhalten daraufhin die 0x40 Bytes für den Camkey. So sieht der String aus den wir zu der Karte senden: 01 04 00 00 00 00 01 04 00 00 00 00 01 04 00 00 00 00 01 02 0A 00 02 02 00 00 01 02 11 00 00 40 80 00 00 00 00 00 00 00 11 22 33 44 55 66 77 88 11 22 33 44 55 66 77 88 12 34 56 78 90 AB CD EF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF 00 <- 01 02 00 00 11 00 00 40 27 F2 D6 CD E6 88 62 46 81 B0 F5 3E 6F 13 4D CC FE D0 67 B1 93 DD F4 DE EF F5 3B 04 1D E5 C3 B2 54 38 57 7E C8 39 07 2E D2 F4 05 AA 15 B5 55 24 90 BB 9B 00 96 F0 CB F1 8A 08 7F 0B B8 79 C3 5D (5E) Wir sehen nun nach dem String 01 02 11 .... die Antwort mit 0x40 Bytes. Genau diese nehmen wir nun und setzen diese in den Camkey String ein. Und was soll ich sagen, Es wird als gut befunden :-))) Dies sieht dann so aus: 01 02 09 03 00 40 27 F2 D6 CD E6 88 62 46 81 B0 F5 3E 6F 13 4D CC FE D0 67 B1 93 DD F4 DE EF F5 3B 04 1D E5 C3 B2 54 38 57 7E C8 39 07 2E D2 F4 05 AA 15 B5 55 24 90 BB 9B 00 96 F0 CB F1 8A 08 7F 0B B8 79 C3 5D Nachdem wir nun unseren neuen Camkey String haben, öffnen wir Cardblaster und lassen diesen über die Karte laufen (CRD ausführen). Danach liesst auch Cardblaster wieder alles normal aus. Wie schon oben erwähnt geschieht dies alles auf eure eigene Gefahr. Dieses Faq hier soll euch nur den Weg zeigen. Was ihr aus den Infos macht ist euer eigenes RISIKO. Forscherleistung, dem viele Karten zum Opfer vielen. Ohne ihre Forschung wäre dies nicht möglich gewesen.
|
|
