PDA

Просмотр полной версии : NDS становится популярным !


Страницы : 1 2 3 [4] 5 6 7 8 9 10

kuzia
10.06.2008, 10:55
о протоколе обмена
это скорее всего относится к алгоритму инициализации , а не к обмену , но тоже хорошо .
в приведённом тексте речь идёт о так называемой NDS1 (класс 48) , в последующих версиях , подобная проверка также присутствует но использованием других классов (в последующей версии картыы поддерживали 48 класс , но их начали называть NDS2 , из за того что применяемые классы увеличилсь )
кароче мож кто приведёт ZKP с классами Dx ?

alexey1901
10.06.2008, 11:54
Dx использует те же самые инструкции 4A и 5A
Comando: D0 4A 15 01 01 01 ( indicatore seme )
Risposta : ( 90 20 )

L'IRD spedisce un indicatore di semi.La CARD genera un numero Random "R" che consegna all'IRD tramite all'ins info D0 5A. Viene sempre usato il solo seme 01.

Comando: D0 5A P1 P2 LL
Risposta : LL byte ( 90 20 )

Se P1 = 15 and P2 = 01 allora LL = 0x10 = 16 byte.
Altrimenti se P1 = 11 and P2 = 02 allora LL = 0x40 = 64 byte.

La CAM con INS D0 4A e seme indicatore 01 chiede alla CARD una HashString da 96 bit + 4 byte di padding ( D0 5A 15 01 10 ) = R^2 mod N => N = P*Q ( Funzione di Eulero ) di 512 bit.
P e Q sono due grandi numeri primi fra di loro.
R è presente sia nella CAM che nella CARD ( ROM ). Nelle HUCard si trovano nell'indirizzo 11C3h - 1202h della ROM.
La CAM con INS D0 4A e seme indicatore 01 chiede alla CARD una Plaintext da 504 bit + 1 byte di padding ( D0 5A 11 02 40 ) = R o R*S mod N ( dove S è un residuo quadratico )

zato
11.06.2008, 05:45
http:***************vfbpack.rar - здесь,объем 89КБ.Что подразумевается под словами VideoGuard NDS emulator я знаю. Но проверить его работспособность моих знаний очень недостаточно.Короче кому интересно смотрите.В вашей дискуссии я не намеревался и не намерен участвовать.

P.S. Ни одно доброе дело не остается безнаказаным ,особенно если о нем никто не просит.Это мое последнее сообщение

alexey1901
11.06.2008, 13:25
кому интересно смотрите
Часть материала из этого пака уже выкладывалось здесь.
проверить его работспособность моих знаний очень недостаточно.
"Эмулятор" в нем представлен в виде исходного текста (правильность которого сомнительна)....мало того чтобы этот эмулятор смог выполнять свои функции его необходимо скомпилировать (сделать выполняемым) на какой либо из платформ.

Добавлено через 5 часов 38 минут
Формат ECM в Videoguard имеет примерно такой вид (пример Viasat....актуально и для ECM других провайдеров).
CA_message_section_data:
0000: 00 00 01 0e 65 0a a9 dd 14 00 11 5b 95 20 01 00 ....e......[. ..
0010: 00 3a 6b 7f 0a dc 42 97 df f3 69 5c 53 00 00 d6 .:k...B...i\S...
0020: 08 8e 64 86 41 77 4a 06 ba 90 53 c0 01 f2 90 25 ..d.AwJ...S....%
0030: 04 6b a6 a2 c5 50 1c 98 96 67 79 20 f2 90 44 2e .k...P...gy ..D.
0040: a1 e6 a3 2d 60 d9 13 67 99 22 34 ee 36 bc b4 a4 ...-`..g."4.6...
0050: c6 1c 88 33 94 f3 53 68 08 71 7c 22 2f bb cf 6f ...3..Sh.q|"/..o
0060: d9 e2 2e 22 09 4e bd ec ad 66 d4 82 88 c3 61 1d ...".N...f....a.
0070: 71 60 2e 3d 88 61 36 bf c8 fd 86 b2 ad 4d q`.=.a6......M

немного разберем что к чему...
00 00 01 0e - PMT pid
65 0a a9 dd - timestamp
14 00 - SID pid
11 5b - DW check
95 20 01 00 00 3a - неизвестно что....у каждого провайдера эти данные имеют разные значения, но одинаковые в каждом последующем ecm
6b - длина сообщения следующего после этого байта.
7f 0a dc 42 97 df f3 69 5c 53 00 00 - нано 7f с длиной в 10 байт (0ah).
d6 08 8e 64 86 41 77 4a 06 ba - нано d6 длиной 8 байт.
90 53 c0 01 f2 90 25 04 6b a6 a2 c5 50 1c 98 96 67 79 20 f2 90 44 2e a1 e6 a3 2d 60 d9 13 67 99 22 34 ee 36 bc b4 a4 c6 1c 88 33 94 f3 53 68 08 71 7c 22 2f bb cf 6f d9 e2 2e 22 09 4e bd ec ad 66 d4 82 88 c3 61 1d 71 60 2e 3d 88 61 36 bf c8 fd 86 b2 ad 4d - нано 90 длиной 83 байт(53h).
нано 90 содержит криптованное тело.Используемый алгоритм предположительно AES.
ECM передается инструкцией 40.

Добавлено через 1 час 2 минуты
Еще пару слов о классе Dx...какое значение может принимать 'x' и что обозначает.
x=0 - указывает что сообщение не криптованное.
x=1 - говорит о том что в сообщении присутствует нано 90 с его криптованным содержимым (как раз упоминалось что данное нано используется в ecm).
x=2 - последние 16 байт сообщения криптованы.
x=3 - сообщение полностью криптовано.

kuzia
11.06.2008, 13:43
Формат ECM
с потоком DVB понятно , но самое интересное дальше , а именно этапы
1. инициализация карты (начальная беседа ресивера с картой )
2. как поток ДВБ преобразуется в команды к карте (в приципе просто , никакого кодирования нет ,но надо знать)
3. и самое закрытое для большинства , расклад ответов карты ресиверу , на предмет передачи на CSA
4. для особо продвинутых формат ЕММ

:cool:если бы собралась группа единомышленников , давно всё разложыли по полочкам , даже читая итальяшек можно получить почти все ответы , но не по русски :biggrin:

alexey1901
11.06.2008, 15:15
Приблизительно так....очень много вещей упущено
инициализация происходит используя инструкцию 58
Comando: D0 58 00 00 4A
Risposta : 0x4A ( 74 ) byte ( 90 20 )

Header :
D0 58 00 00 4A
DataPacket :
15 48
25 ---> FuseByte
UU UU UU UU ---> Serial Number CARD
03 ---> Significato ignoto
72 FD 73 03 ---> Significato ignoto,cambiano ad ogni negoziazione CAM ---> CARD
00 00 00 00 00 00 00 00 ---> Significato ignoto
30 5A 2C ---> ByteRegister Client
00 09 19 ---> Significato ignoto
UU UU UU UU ---> Serial Number CARD
FF FF FF FF ---> Significato ignoto
Sh Sh Sh ---> SharedAddress
00 FF FF FF ---> Significato ignoto
00 00 00 00 00 00 00 00 ---> Significato ignoto
00 08 00 00 00 01 ---> Significato ignoto
49 54 41 ---> Codice Nazione o CountryCode ( Ascii --> ITA )
00 00 ---> Vedere nano EF => INS36
49 54 41 4C 49 41 20 20 ---> Codice Nazione o CountryCode ( Ascii --> ITALIA.. )
60 0D ---> Vedere nano DF => INS36
33 41 ---> Significato ignoto
00 00 ---> Significato ignoto

ЗАТЕМ ПОСЫЛКА ECM В КАРТУ ИСПОЛЬЗУЯ ИНСТРУКЦИЮ 40

Comando: D1 40 P1 P2 LL PacketData
Risposta : ( 90 20 )
(1) Se PCB = OFF => P1 = 00 ; se PCB = ON => P1 = 20 / 40 / 80

L’ins 0x40 ha nella sezione dati la Control - Word crittata di un canale del pacchetto.E' un ECM ( Entitlement Control Message ).
La Len del ins è variabile e dipende , fra l'altro, da quanti Tier o pacchetti ( Channel Bundle ) sono presenti nella CARD.Il Tier ( Channel Bundle ) identifica univocamente un pacchetto. Tale Tier ha la forma di due Byte .
Dovviamo sapere che la Control-Word crittata , che ritorna decrittata col comando 0x54 , sarà decrittata dalla CARD solo se la zona dati è completa e "integra" ( se contiene la signatura ed i / il Channel Bundle ) .

La decrittatura della Control-Word comincia subito dopo il controllo della signatura e del
controllo del Channel Bundle o Tier ( compressa la Data scadenza ) con la key di richiamo ( in questo caso la 0x00 ) + il Data&Time con un complesso algoritmo.

NDS2
---> D1 40 00 80 5E
<--- 40
---> 00 7F 0A CF 1B 7D 97 58 4E 0D E2 00 00 90 4F C0 02 1C CE 26 1A 27 48 C8 41 5E 14 AF 3B A3 E0 C3 89 18 C5 7F 03
CE 0D A9 23 33 AE 7A 2B C0 B1 6B A1 B3 7D 4D A9 E4 5D B6 6F BF BC 89 69 43 5A 19 42 5C 50 FB 38 C5 A6 5D 50
E8 F0 10 C2 A0 BC 90 7D 96 8C F6 B0 01 F6 15 CE 01 26 E6 01
<--- 90 20
Dove il DataPacket :
00
7F 0A ( 0x7F nanoindicatoreCW . nano lunghezza secondo 0x0A = 10, quindi seguono 10 byte per questo nano)
CF 1B 7D 97 58 4E 0D E2 ( CrittoWord )
00 00 ( padding per len nano )
90 ( CMD90.segue pacchetto )
4F ( Len pacchetto crittato - 2 byte / 0x4F = 79,seguono 79 byte.meno 2 byte ( byte BitmapKey + un byte CardGeneration) )
C0 ( BitmapKey )
02 ( CardGeneration )
1C CE .................................................. .......... E6 01 ( Corpo dati ) .

ПОЛУЧЕНИЕ ДЕКРИПТОВАННЫХ ДАННЫХ, НО ПЕРЕДАЧА КАМУ ОСУЩЕСТВЛЯЕТСЯ СНОВА КРИПТОВАННЫМИ
Comando: D3 54 00 00 3C
Risposta : 0x3C ( 60 ) byte ( 90 20 )

Viene eseguita immediatamente dopo la 0x40 ( se lo StatusByte è 90 20 ).
La CARD invia alla CAM la Control - Word decrittata ( la Control - Word crittata è annidata nella ins 0x40 - nano 7F_xx ). Con la Control - Word decrittata la CAM decodifica il flusso MPEG-2 ( La Control - Word decrittata viene inviata al registro xx del Common Scrambling Algorithmus nella CAM ) .
La Len della Control - Word decrittata ammonta sempre a 8 byte.P1 e P2 sono sempre 00.
Esempio :
Header
D3 54 00 00 3C
DataPackect
( I valori sotto indicati sono teorici.Non ci è permesso,per adesso, lo "sgusciamento" )
YY YY YY YY YY YY YY YY 00 00
00 00 00 01 00
45 byte

Dove :
YY YY YY YY YY YY YY YY => la CW ( inviata dalla CAM tramite il ECM D1 40 )
decrittata ----> DeCripted Control Words.
00 00 => Padding della DCW
00 00 => Padding ???
00 => Control Byte FuseByte
01 => Status del decript
00 => Padding ???

Status del decript rappresenta lo status del processo di Decript :

Valore byte Descrizione
0x00 ---------- Decript non eseguito.
0x01 ---------- Decript eseguito con successo.
0x03 ---------- Decript eseguito con successo.
0x04 ---------- Decript non eseguito.

Добавлено через 18 минут
Используемые нано
бывают двух типов
постояной длины и переменной длины.
Структрура нанокоманд.
[идентификатор] [длина] [данные]

A Len Fissa
01 [04] - Setta Data&Time.
02 [01] - Setta RatingByte.Solo ECM ( * )
03 [03] - Check pacchetto tiers INS 40
05 [20] - Nella INS 74 / P1 = 05,il byte 28° indica che la CARD è attiva ( 0x01 ) opp no ( 0x00 )
09 [03] - initialise ASIC with specified key, flushes the command buffer ( no signature stay )
10 [02] - Counter
17 [04] - Nano(indicatore) Data&Time INS 74.
19 [01] - Setta Codice Regionale
1E [08] - Setta Codice Postale
1D [08] - Nano(indicatore) Codice Postale INS 74
24 [04] - Nano(indicatore) tiers presenti nella posizione secondo P1.Solo INS 76.
24 [05] - Nano(indicatore) Data visione e status ( visto / non visto ).Solo INS 74.
24 [00] - Flag chiusura.
25 [02] - Flag chiusura / apertura Cancellazione Tier.
2B [03] - Scrive 3 byte.Possono essere letti con INS 36
2D[04] - Setta attivazione Date&Time
30 [00] - Flag apertura
31 [03] - Check il Numero Seriale o UniqueAddress
32 [03] - Check il SharedAddress ( INS inviata al gruppo )
3D [02] - Scrive il limite di spessa per la PPV spending limit, attivazione della CARD e
FuseByte a 05.
41 [04] - Scrive / Aggiorna Tier.
42 [02] - Cancella Tier.
48 [02] - Abilita alla preview a evento iniziato.
4D [0B] - Indica qualle evento si sta vedendo,data d'acquisto,tipo di credito,costo,etc...
4E [04] - Scrive 4 byte.
6D [09] - Invia tramite EMM il numero tel. a cui si deve collegare il modem a fine credito.
C0 [00] - Chiude pacchetto Tier.
DE [28] - ??
E9 [04] - Nano(indicatore) numero di tiers e scadenza.
F3 [04] - Nano(indicatore) valore in esadecimale dell'IRD.
5E [05] - Contattore dal momento di attivazione della CARD.????
DF [04] - Nano(indicatore) della data in cui la CARD si collegherà al server.
E2 [13] - Nano(indicatore) del PIN / PCB e se il Limite di spessa è attivo o meno,e quanto.
EF [02] - Nano(indicatore) => la CARD è attiva ( 0x01 ) / non attiva ( 0x00 )
F8 [24] - Nano(indicatore) dello slot in uso,del EventID in PPV,Data d'acquisto del EventID,
Status della visione,tipo di credito,eventuale data e ora della preview.
FA [08] - Nano(indicatore) di 8 bytes.??
FD [11] - Nano(indicatore) numero dei provider,tipo d'acquisto,numero di record PPV,costo e
credito disponibile.

A Len Variabili
33 24 - Check il SharedAddress ( INS inviata al gruppo ),processa il bitmap.
38 09 - Check Codice Postale
38 05 - Setta 5 byte
38 03 - Setta 3 byte
4D 0E - Setta alcuni dati, PPV related, both in PPV ECM e EMM
67 08 - Indica che segue la firma
6D 09 - Setta alcuni dati.Possono essere letti con INS 78
6E 07 - Setta alcuni dati.
72 02 - Setta alcuni dati.
75 0F - Scrive alcuni dati Codice Regionale Locale.Possono essere letti con INS 58
75 13 - Setta alcuni dati.related to postcode and region code
7E 12 - Indica che segue la Control - Word.
7F 12 - Indica che segue la Control - Word ( 2 ).Non in uso in Italia.
CB 02 - Setta 2 byte

kuzia
11.06.2008, 15:39
ЕСМ это хорошо , но до него ...

на первой странице этой темы http://viaccessfree.biz/forum/showthread.php?t=24190
приведён лог инициализации карты в оригинальном ресивере .
кое что можно упустить , но несколко команд просто необходимы .
в случае эмуляции ресивера , необходимо знать ИД ресивера к которому привязанна карта , данный момент решается снятием дампа с карты .

Scrambler
11.06.2008, 17:34
в случае эмуляции ресивера , необходимо знать ИД ресивера к которому привязанна карта , данный момент решается снятием дампа с карты .По-моему, ещё какой-то способ есть.
Есть CAM-эмуляторы, которые как-то сами определяют, какой BOX-ID отдать карточке, без участия в этом деле пользователя.

kuzia
11.06.2008, 20:06
По-моему, ещё какой-то способ есть. Есть CAM-эмуляторы, которые как-то сами определяют, какой BOX-ID отдать карточке, без участия в этом деле пользователя.:lol::lol::lol:
я так понимаю это вопрос ...
немного истории .
если почитать тему сначала , то станет понятно каким образом делается подход с изучению кодировки .
вначале снимается много много много логов мониторинга где проходят данные .
потом данные анализируются и сортируются , на полученных результатах пишутся доки , часть из которых выкладывается для всеобщего ознакомления на темовых сайтах .
по докам пишутся скрипты для анализирования реакции карты на разные команды и данные .
в тоже время непонятные алгоритмы выковыриваются из доступного железа , например ресиверы (в некоторых случаях и самой карты)
имея полученные знания понятно что можно всё это применить на собственных конструкциях .

КАСАЕМО САМэмуляторов , они появились намног опозже чем сами системы кодирования , и понятно что писались не разработчиками систем а увлечёнными людми , на основе имеющего опыта огромного числа людей .

НЕТ НИКАКОГО ДРУГОГО СПОСОБА ИСПОЛЬЗОВАТЬ ИД РЕСИВЕРА КРОМЕ ТОГО КАК ИМЕТЬ ЕГО для этого его или прописывают вручную , как было в начальных версиях самом написанных чисто на основе оригинальной инициализации (номер тупо прописан в самом ресивере)
следующим шагом было применение того что наковыряли картреадеры , а именно гоняя по нескольку месяцев скрипты сложилась определённая основа которая и показала что карта может сама давать много информации в том числе и номера как самой карты так и номер ресивера к которому она привязанна , вот это и называется ДАМП ДАННЫХ ОТ КАРТЫ .
теперь надеюсь понятно что если использовать нужные команды то сам может и без пользователя узнать какие данные ему нужны .
если не понятно то просто снимите лог обмена инициализации , карта-сам с эмулятора который просит номер и с эмулятора который этого не делает .
на основе полученных логов и пройдясь по портянкам вопрос немного прояснится , каким образом делается инициализация и что для этого самое необходимое и минимально .
подойдя к теме ЕСМ станет понятен и следующий этап , зачем делается инициализация и какие данные получаются и что используется в дальнейшем .:jaga:

Scrambler
17.06.2008, 16:47
Намалевал на Perl приблуду, которая из записанного EMM PID'а выгребает UA, складывает их в файлик, считает их колличество.
Если по-простому, то считает на сколько карт шлются апдейты.

Если кому интересно - выложу.

Правда, она на коленке писалась, не оптимизирована.

kuzia
17.06.2008, 17:41
интересно
канечно интерено , если ещё будет для ВСЕХ систем тогда вообще цены ей не будет ...:jaga:
а она группы тож считает ? или только уникальные ?:)

Scrambler
17.06.2008, 19:57
если ещё будет для ВСЕХ систем тогда вообще цены ей не будет Если расскажете, как в каждой из всех систем выгребать нужные данные - фигня вопрос будет. :)

а она группы тож считает ? или только уникальные ? Только уникальные.
Программа написана по мотивам того, что обсуждалось в этой ветке.

В папку с программой нужно положить файлик с именем emmpid.bin, в котоый записан EMM PID NDS.
Записан TSReader'ом или ещё чем - изофаллически. Программа в файле ищет тело EMM.
Найденные UA пишутся в текстовом виде в файлик UA.txt, который создаётся программой в той же папке.


Собственно, сама программа:
# NDS UA's counter
# © 2008 Scrambler
# Thanks to alexey1901
sub getua { #подпрограмма считывания UA
$ua = "";
for ($i=1; $i<=4; $i++) {
$ua = $ua.sprintf ("%02x", ord(getc EMMPID));
}
return $ua;
} #закрываем getua

sub comparator ($) { #подпрограмма проверки существования в базе UA
$ua = $_[0];
$sign = 1; #признак, 1 - такого UA ещё нет в базе
$i = 0;
until (($sign==0) || ($i>$#uas)) {
if ($ua eq $uas[$i]) {
$sign = 0; #UA уже есть в базе
} #закрываем if
$i++;
} #закрываем until
return $sign;
} #закрываем comparator

@uas = (); #массив для хранения всех UA
$emmcount = 0; #количество найденных EMM
open (EMMPID, "<emmpid.bin") or die ("Can't open emmpid.bin"); #открываем emmpid.bin, в котором записаны данные NDS EMM PID'а
open (UAOUT, ">UA.txt") or die ("Can't open UA.txt"); #открываем UA.txt - в который будем писать найденные UA
binmode EMMPID;

until (eof(EMMPID)) {
$byte = sprintf ("%02x", ord(getc EMMPID)); # таким образом преобразовывается значение байта в его текстовое hex-значение

$ua = tell EMMPID;
print "\rPosition $ua "; #пишем, по какому смещению в файле читаем байт

if ($byte eq "00") {
$byte = sprintf ("%02x", ord(getc EMMPID));

if ($byte ne "82") {
$ua = tell EMMPID;
$ua--;
seek EMMPID, $ua, 0;
next;
}
$byte = sprintf ("%02x", ord(getc EMMPID));

if ($byte ne "30") {
$ua = tell EMMPID;
$ua-=2;
seek EMMPID, $ua, 0;
next;
}
$emmcount++;
#print "\rFound EMM $emmcount"; #можно раскомментировать - будет писать, сколько EMM найдено на данный момент

$skip = (ord(getc EMMPID)) + (tell EMMPID); #байт длины оставшейся EMM
$byte = sprintf ("%02x", ord(getc EMMPID)); #признак количества UA

if ($byte eq "70") { #будем читать 4 UA по 4 байта каждый
$k = 4;
} elsif ($byte eq "60") { #будем читать 3 UA по 4 байта каждый
$k = 3;
} elsif ($byte eq "50") { #будем читать 2 UA по 4 байта каждый
$k = 2;
} elsif ($byte eq "40") { #будем читать 1 UA 4 байта
$k = 1;
} else {
next; #если нет ни одного из вариантов признака - переходим к поиску EMM
}

for ($n=1; $n<=$k; $n++) { #выгребаем нужное количество
$ua = &getua(); #UA
$sign = &comparator($ua); #и проверяем по базе

if ($sign==1) { #если такого UA ещё нет
$#uas++;
$uas[$#uas] = $ua; #заносим uA в базу
} #закрываем if $sign

} #закрываем цикл перебора

seek EMMPID, $skip, 0; #перепрыгиваем на конец EMM

} #закрываем if 00


} #закрываем until
$ua = $#uas+1;
print "Found $ua UAs and $emmcount EMMs\n";
$ua = join ("\n", @uas); #преобразуем массив с UA в набор UA по одному в каждой строчке
print UAOUT $ua; #записываем найденные UA в файл
close (EMMPID);
close (UAOUT);
<>;
Если что-то не понятно - спрашивайте.

alexey1901
18.06.2008, 22:18
Время будет...обязательно проверю.
По скрипту пока вопросов нет...вроде "все известные" моменты учтены.

calhordas
02.07.2008, 20:05
Hi guys
First of all sorry for my bad spoken russian ( as i cannot speak it but i am trying to learn)
So i will write in english and maybe some other member could help with relevant info.
At the moment i am trying out to adapt a stb to work with Sly Uk card.
The card is Active and works fine on oficial decode DRX400 model.
Therefore i have made log's with card and official receiver and managed to find a cmd structure.
So going back to the other STB project i managed to implement cmd's and receiver Auto detects BOX ID + SERIAL from card.
And i assume it also does Decrypt of CW's correctly as i will post info here.
Never the less in adapted stb channels will not open from valid card i only get the message SCRAMBLE TV on menu and thats it
Here is a log of stb with code adapted for ndz card and maybe someone could point me out where am i going wrong....


00.23.011: Ecm received for card:0961
00.23.012: NDS ECM Data Received:
00.23.012: 0x81, 0x70, 0x6B, 0x00, 0x00, 0x01, 0x11, 0x8A,
00.23.012: 0x02, 0x57, 0x4A, 0xFF, 0xFF, 0x00, 0x01, 0x01,
00.23.012: 0x21, 0x20, 0x01, 0x00, 0x01, 0x00, 0x00, 0x82,
00.23.012: 0x55, 0x7F, 0x12, 0x00, 0x00, 0x00, 0x00, 0x00,
00.23.013: 0x00, 0x00, 0x00, 0x0D, 0x0B, 0x96, 0x49, 0x9D,
00.23.013: 0x31, 0xFA, 0x10, 0x08, 0x3A, 0x90, 0x3F, 0xC0,
00.23.013: 0x02, 0x5A, 0x9D, 0x22, 0x3F, 0x87, 0x9A, 0x78,
00.23.013: 0x79, 0x06, 0x2A, 0x44, 0xC2, 0xAE, 0xCA, 0x9E,
00.23.013: 0xEE, 0xCA, 0x23, 0xE8, 0x35, 0x93, 0x84, 0xF7,
00.23.014: 0x4C, 0xC3, 0xFC, 0xA0, 0x05, 0x4D, 0x65, 0x1C,
00.23.014: 0x92, 0x5C, 0xD6, 0x11, 0x24, 0xA1, 0x8C, 0xBF,
00.23.014: 0xAF, 0x59, 0x4C, 0x03, 0x17, 0x80, 0xEC, 0x14,
00.23.014: 0x5A, 0xBF, 0xC2, 0xD3, 0x94, 0xEF, 0x1D, 0xE9,
00.23.014: 0xA2, 0x79, 0x05, 0x14, 0x04, 0x9A,
00.23.785: NDS Sent Data:
00.23.785: 0xD1, 0x40, 0x00, 0x00, 0x56, 0x00, 0x7F, 0x12,
00.23.785: 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
00.23.786: 0x0D, 0x0B, 0x96, 0x49, 0x9D, 0x31, 0xFA, 0x10,
00.23.786: 0x08, 0x3A, 0x90, 0x3F, 0xC0, 0x02, 0x5A, 0x9D,
00.23.786: 0x22, 0x3F, 0x87, 0x9A, 0x78, 0x79, 0x06, 0x2A,
00.23.786: 0x44, 0xC2, 0xAE, 0xCA, 0x9E, 0xEE, 0xCA, 0x23,
00.23.786: 0xE8, 0x35, 0x93, 0x84, 0xF7, 0x4C, 0xC3, 0xFC,
00.23.787: 0xA0, 0x05, 0x4D, 0x65, 0x1C, 0x92, 0x5C, 0xD6,
00.23.787: 0x11, 0x24, 0xA1, 0x8C, 0xBF, 0xAF, 0x59, 0x4C,
00.23.787: 0x03, 0x17, 0x80, 0xEC, 0x14, 0x5A, 0xBF, 0xC2,
00.23.787: 0xD3, 0x94, 0xEF, 0x1D, 0xE9, 0xA2, 0x79, 0x05,
00.23.787: 0x14, 0x04, 0x9A,
00.23.787: NDS Received Data:
00.23.788: 0x90, 0x20,
00.23.853: NDS Sent Data:
00.23.853: 0xD3, 0x54, 0x00, 0x00, 0x3C,
00.23.854: NDS Received Data:
00.23.854: 0x54, 0xF5, 0xDC, 0x12, 0xE3, 0xF5, 0x7F, 0x57,
00.23.854: 0xF1, 0x8F, 0xDE, 0xCB, 0x99, 0x06, 0xDC, 0x84,
00.23.854: 0x78, 0x0F, 0x7A, 0xCE, 0x51, 0x55, 0xEB, 0x0B,
00.23.854: 0x33, 0xBD, 0xC9, 0x7C, 0x2F, 0xC2, 0x98, 0x89,
00.23.855: 0x2B, 0xDE, 0x4B, 0x9C, 0x44, 0xDC, 0x59, 0x12,
00.23.855: 0x4A, 0xE3, 0x82, 0xEC, 0x49, 0xA9, 0x4F, 0xB2,
00.23.855: 0xD6, 0xF4, 0x16, 0x9B, 0x60, 0x01, 0x61, 0x33,
00.23.855: 0xEF, 0x42, 0x27, 0x47, 0x32, 0x90, 0x20,
00.23.857: CW Returned :
00.23.857: 0x74, 0x17, 0x07, 0x4C, 0x2E, 0x7A, 0x2A, 0x41,
00.23.857:
00.23.857: 0x50, 0x0E, 0x4A, 0x6B, 0x5F, 0xDA, 0xF2, 0x2A,
00.23.857:
00.23.857: sc_do_ecm, result=0
00.23.857: cw0:74 17 07 4C 2E 7A 2A 41
00.23.858: cw1:50 0E 4A 6B 5F DA F2 2A
00.23.858: Start setting CW:



This is a active version of sly uk .... never really figured out if they are v1.0 or v2.0 hehheee but by the responses on cmd structure it looks like v2.0.
With phoenix programmers it says version 1.0

I think card version is SYS ROM 0202 .....


One last question , the seed key stored in the card ROM and firmware from oficial stb is this key unique for each card ?? or the same for all ???
I mean the seed key 512bit used to detect if the card is a original ndz card.

NDS Sent Data:
00.10.295: 0xD0, 0x58, 0x00, 0x00, 0x4A,
00.10.295:
NDS Received Data:
00.10.295: 0x58, 0x15, 0x48, 0x25, 0x01, 0xBB, 0x0B, 0x07,
00.10.295: 0x01, 0x3A, 0x92, 0x66, 0x67, 0x00, 0x03, 0x02,
00.10.295: 0x00, 0x00, 0x00, 0x00, 0x00, 0xB1, 0x90, 0x6A,
00.10.295: 0x00, 0x09, 0x61, 0x01, 0xBB, 0x0B, 0x07, 0xFF,
00.10.296: 0xFF, 0xFF, 0xFF, 0x01, 0xBB, 0x0B, 0x00, 0xFF,
00.10.296: 0xFF, 0xFF, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
00.10.296: 0x00, 0x00, 0x00, 0x08, 0x00, 0x00, 0x00, 0x01,
00.10.296: 0x47, 0x42, 0x52, 0x00, 0x01, 0x49, 0x50, 0x33,
00.10.297: 0x20, 0x20, 0x20, 0x20, 0x20, 0x8A, 0x05, 0x16,
00.10.297: 0x05, 0x00, 0x00, 0x90, 0x20,


00.09.286: ATR received[21]:?3°iÿJPÐ00.09.286: ATR[0]=3F
00.09.287: ATR[1]=7F
00.09.287: ATR[2]=13
00.09.287: ATR[3]=25
00.09.287: ATR[4]=03
00.09.287: ATR[5]=33
00.09.287: ATR[6]=B0
00.09.287: ATR[7]=06
00.09.287: ATR[8]=69
00.09.287: ATR[9]=FF
00.09.288: ATR[10]=4A
00.09.288: ATR[11]=50
00.09.288: ATR[12]=D0
00.09.288: ATR[13]=00
00.09.288: ATR[14]=00
00.09.288: ATR[15]=53
00.09.288: ATR[16]=59
00.09.289: ATR[17]=00
00.09.289: ATR[18]=00
00.09.289: ATR[19]=00
00.09.289: ATR[20]=00
00.09.289: HistBytes[15]
00.09.289: Hist[0]=33
00.09.289: Hist[1]=B0
00.09.289: Hist[2]=06
00.09.289: Hist[3]=69
00.09.290: Hist[4]=FF
00.09.290: Hist[5]=4A
00.09.290: Hist[6]=50
00.09.290: Hist[7]=D0
00.09.290: Hist[8]=00
00.09.290: Hist[9]=00
00.09.290: Hist[10]=53
00.09.291: Hist[11]=59
00.09.291: Hist[12]=00
00.09.291: Hist[13]=00
00.09.291: Hist[14]=00
00.09.291: Seca test[-2]
00.09.291: Viaccess test[-2]
00.09.291: Irdeto test[-2]
00.09.291: CryptoWorks test[-2]
00.09.291: Nagra test[-2]
00.09.292: Xcrypto test[-2]
00.09.292: Conax test[-2]
00.09.292: Looks like nds
00.09.331: NDS Sent Data:
00.09.331: 0xD1, 0x74, 0x01, 0x80, 0x01,
00.09.332: NDS Received Data:
00.09.332: 0x74, 0x78, 0x90, 0x00,
00.09.437: NDS Sent Data:
00.09.438: 0xD1, 0x74, 0x01, 0x00, 0x78,
00.09.438: NDS Received Data:
00.09.438: 0x74, 0x01, 0x76, 0x1D, 0x01, 0xD0, 0x0E, 0xFF,
00.09.438: 0x02, 0xD0, 0x1E, 0x09, 0x03, 0xD0, 0x28, 0x02,
00.09.438: 0x03, 0xD0, 0x2A, 0xFF, 0x03, 0xD0, 0x2E, 0xFF,
00.09.439: 0x00, 0xD0, 0x32, 0x01, 0x01, 0xD0, 0x36, 0xFF,
00.09.439: 0x02, 0xD0, 0x38, 0x02, 0x03, 0xD0, 0x40, 0xFF,
00.09.439: 0x00, 0xD0, 0x42, 0xFF, 0x00, 0xD0, 0x44, 0x35,
00.09.439: 0x01, 0xD0, 0x46, 0xFF, 0x00, 0xD0, 0x4A, 0xFF,
00.09.439: 0x00, 0xD0, 0x4C, 0x09, 0x01, 0xD0, 0x4E, 0x05,
00.09.439: 0x03, 0xD0, 0x50, 0xFF, 0x02, 0xD0, 0x54, 0x2C,
00.09.440: 0x03, 0xD0, 0x56, 0xFF, 0x02, 0xD0, 0x58, 0x4A,
00.09.440: 0x03, 0xD0, 0x5A, 0xFF, 0x02, 0xD0, 0x5C, 0x04,
00.09.440: 0x03, 0xD0, 0x5E, 0xFF, 0x02, 0xD0, 0x72, 0x20,
00.09.440: 0x02, 0xD0, 0x74, 0xFF, 0x02, 0xD0, 0x76, 0x0A,
00.09.441: 0x02, 0xD0, 0x78, 0x18, 0x03, 0xD0, 0xB4, 0x40,
00.09.441: 0x01, 0xD0, 0xBC, 0x50, 0x03, 0xD0, 0xBE, 0x10,
00.09.441: 0x03, 0x90, 0x00,
00.09.470: NDS Sent Data:
00.09.470: 0xD1, 0x74, 0x16, 0x80, 0x01,
00.09.471: NDS Received Data:
00.09.471: 0x74, 0x04, 0x90, 0x00,
00.09.500: NDS Sent Data:
00.09.501: 0xD1, 0x74, 0x16, 0x00, 0x04,
00.09.501: NDS Received Data:
00.09.501: 0x74, 0x26, 0x02, 0x3F, 0x00, 0x90, 0x00,
00.09.699: NDS Sent Data:
00.09.699: 0xD1, 0x36, 0x00, 0x80, 0x01,
00.09.699: NDS Received Data:
00.09.699: 0x36, 0xF0, 0x90, 0x00,
00.10.031: NDS Sent Data:
00.10.031: 0xD1, 0x36, 0x00, 0x00, 0xF0,
00.10.031: NDS Received Data:
My last question is... do we need for card pairing purposes a unique rsa key or seed key like we do on n2 system ?
Or just Box id and Serial should be enough ?
Once again sorry for all those questions as i am trying to learn of a system i knew nothing about 3 months ago lol...:)
Thxa
Calhordas

Dimasoft
14.11.2008, 07:30
Вопрос такой, сломанный НДС выложили в паблик? Или что значит это?

http://sat-forum.org/index.php/topic,110421.0.html

kuzia
14.11.2008, 09:47
сломанный НДС
:hi-hi: дык, об этом говорилось с самого перехода виасата на ндс .... давно смотрим , это так называемый "открытый пакет" алгоритм полностью оригинальный , просто для других каналов ключиков в паблике нету :danse:
стабильно работают ресиверы
Humax VACI 5350
Nokia 220
Nokia 9780
Nokia 9800
Nokia 9802
Nokia 9902
PACE 230
PACE 250
PACE 460
PACE 420
PACE 850
Sagem 4150
Samsung 560
Samsung 670
Strong 6750
Strong 6752
Strong 6780
Strong 8700
Thomson 35
Thomson 4200
Triax 350
Triax 345
Triax 360
DREAMBOX ALL :yaho:

Dimasoft
14.11.2008, 11:04
Ну тогда ясно, чето слышал подобное, вспоминаю...

ol19963
14.11.2008, 15:15
К выше составленому списку ресиверов можно добавить с не давнего времени ,еще и Опенбокс!

kuzia
14.11.2008, 17:42
Опенбокс:yaho: в топку ! не знают чем ещё приманить чайников ....

История "О"
1. 10.08.2006, 16:12
http://viaccessfree.biz/forum/showthread.php?t=24190
2.20.08.2006, 17:06
Нокия 220s ,базовые каналы без карточки
http://viaccessfree.biz/forum/showthread.php?t=24190&page=2
3.03.05.2006, 00:30
NOKIA TMS320AV7110
http://viaccessfree.com/showthread.php?t=12774
4. NOKIA ST5518
???? ST20
5.NOKIA TMS320AV7110
??? ADS
http://viaccessfree.com/showthread.php?t=12774&page=4

:te: кому это было нужно , тот наигрался , теперь наверно время прикрыть лавочку , либо паблик халява не может быть вечной :girl:

nikola13
22.11.2008, 00:14
вот плугин появился http://vplug.baywords.com/2008/10/20/new-nds-module/

cobra
23.11.2008, 01:37
Sc.Write("D0 52 00 00 14" )
RX

Sc.Write("D0 58 00 00 35" )
RX
Sc.Write("d0 4C 00 00 01" )
RX
Sc.Write("36")
RX

Sc.Write("D0 36 00 00 3F" )
RX

RX Data : 36 90 00 ............ ( 197 byt ) .............90 00

kuzia
23.11.2008, 02:01
:hi-hi:Sc.Write
и что с этого ? стандартный набор для дампа , вот если бы с флагами и записью , то тогда намного интереснее ... на предмет авторизации :yaho:

cobra
23.11.2008, 02:11
i have PW cards

RX Data : 3F FF 11 25 03 10 80 41 B0 07 69 FF 4A 50 70 00
00 50 31 01 00 11

EMM Videoguard1008EMM
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

kuzia
23.11.2008, 13:31
i have PW cards

стандартно
8270 28 4100 216A83 020020 901E 4401 24E3ED156176E00E65428C000D24462425778C3FCBDEC816D3 23E2A80000
8270 2B 4100 216A84 020023 9021 4401 01628EBC7809123452FDA29C6EFF1EC06EAB8F669EDB320CC1 B8C3FFDCF80D
8270 29 4100 216A85 020021 901F 4401 A5294C0ECE6C564EE6047046283D29B881D0555FB604F9BA21 3C25792500
8270 2A 4100 216A86 020022 9020 4401 1E588C39E83C66C8D6D207473ED3AC3B564A411D6C399B17B3 95F77AB14600
8270 2A 4100 216A87 020022 9020 4401 E8FD41FD428441124953A1D1559967042A49C62BE744D3A953 3DD0A674F300
8270 2A 4100 216A88 020022 9020 4401 56836E2236642BE72EFAF1C6C4FAC920206D077FF3254908D1 A0DEF311C600

cobra
23.11.2008, 17:22
season 2 work dont right ? ? ?
it is normal ???

kuzia
23.11.2008, 21:19
what do you mean by "work dont right "?
does not lift the log exchange card receiver?
should all work normally.

cobra
24.11.2008, 08:56
i have dis 2221 philips
and season 2 or i need Logger with 16f84 Chip from Skybusters Team ? ? ?
but i nedd tool for loggen


thanx

kuzia
24.11.2008, 20:57
but i nedd tool for loggen
Better to start with WinExplorer .

cobra
06.12.2008, 00:20
TX Data : D0 74 01 00 78
RX Data : 74
01 A6
29 01
D0 0E FF 02 D0 18 0C 01 D0 1A 08 03 D0 1E 09 03
D0 2E FF 00 D0 32 01 01 D0 36 FF 02 D0 38 02 03
D0 40 FF 00 D0 42 FF 00 D0 44 35 01 D0 46 FF 00
D0 4A FF 00 D0 4C 09 01 D0 4E 05 03 D0 50 FF 02
D0 54 48 03 D0 56 FF 02 D0 58 4A 03 D0 5A FF 02
D0 5C 04 03 D0 5E FF 02 D0 70 26 03 D0 72 27 03
D0 74 FF 02 D0 76 17 03 D0 78 18 03 D0 7A FF 00
D0 7C FF 02
90 00


TX Data : D0 B4 00 00 40
RX Data : B4
TX Data : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
TX Data : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
TX Data : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
TX Data : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
RX Data : 91 00
TX Data : D0 BC 00 00 50
RX Data : BC
TX Data : D0 4A 15 01 01
RX Data :





set password

TX Data : D0 48 00 00 04
RX Data : 48
TX Data : 00 00
TX Data : 04 D2 --->>> 1 2 3 4
RX Data : 90 00


read password

TX Data : D0 52 00 00 04
RX Data : 52
RX Data : 00 00 00 00 Password is : 0 ? ? ?
RX Data : 90 00

Knight
13.12.2008, 14:32
Ну если назанчение комманд:
D1 40 00 80 6C ... - запрос на расчет DW
D3 54 00 00 3C ... - вчитка DW

более-менее понятно.

То вот что делают вот эти комманды?
Регулярность их появления произвольная. Может быть одна комманда на на 3 сеанса расчета ключа, а може и выскочить сразу шоблой в 3 штуки перед рачсетом.
В среднем проходит одна из них на 2 расчета ключа.

D1,42,00,00,41,42,90,3F,42,01 ...
D1,42,00,00,16,42,90,14,40,02 ...
D1,42,00,00,1B,42,90,19,40,01 ...

Знаю лишь одно... если их не пропускать к оригиналке видео начинает ткнуться или полностью вылетает на 10-30 сек(1-3 периода расчета ключа соответственно).
Т.е. если их не пропускать весь расчтианный DW или его половинка становятся не валидными.