內容比較多哦！隨著數字電視的普及，模擬電視信號將停止播放，對一家幾臺電視機來說，迫切希望用一臺機頂盒帶多臺電視機的愿望，這里介紹一些電子刊物討論方法，共大家參考：
一、破解思路
有線電視加密的原理是這樣的：電視臺把接改來的電視信號先輸入數字加密設備，把電視信號通過算法加密后向外輸出終端的解密設備（機頂盒子）解密后輸出普通的射頻信號，再送到我們的終端接收設備，由電視放出畫面。因電視只能是接收普通的射頻信號（模擬信號），所以只能解密后再輸入電視，由電視放出畫面。有線電視加密法有多種，這里的是使用“加擾法”。在加密到解密這段線路，要想非法接入偷接電視信號，成功的可能性幾乎是*0分之一。但經解密器（機頂盒）解密后的信號任何可以常接收電視信號的電視機都能播放（即通用性，也可說是共用性），這就是破解的切入點（破解軟件也需要切入點）。既然這樣，但為什么一個機頂盒只能接一臺電視機用呢？我也試驗過，當通簡單的方法接上兩臺電視機的時候，什么畫面也沒有了（因機頂盒有智能的識別功能）。問題就在這里，也是我要教會大家的精要所在。
至于如何利用這個“切入點”進行我們的“小人”行為呢？我們通過什么手段來欺騙機頂盒，讓他以為是一臺電視機呢？（就如破解軟件的時候，我們有時也要采用欺騙的方法來進行破解）。我將會在下一點“破解原理”中向大家說明。
二、破解原理：
裝在我們家里的那個盒子的工作原理：經加密的信號經輸入端子輸入，由其內部有關電路解除干擾信號（加擾法加密），再經輸出端子輸出正常的信號。其解密電路是否工作要有一個外部條件，就是電視的高頻頭反饋回來的信號。如果沒有這個信號反饋回機頂盒，則其解擾電路不工作，照樣輸出未解密的信號，因而不能正常收看。其解密的頻段分做若干段解密，如電視正在接收3頻道，則電視的高頻頭就反饋3頻道的諧振頻率給機頂盒，機頂盒就能輸出1——5頻道的正常信號，如此類推。
因此可用以下兩種方法進行破解：
1、把機頂盒放在其中一臺電視機（下稱電視1）高頻頭附近，讓其可以正常收看，再用分支器從輸出端分支出信號到另外的電視機。這樣的做法的一個缺點：就是另外的電視機只能接收電視1接收的頻道附近的5個頻道。
2、用非與門電路或555電路制作一個開放式多諧振動器，其諧振頻率只要能履蓋有線電視的整個頻段即可。（制作成本約6元左右）把這個諧振動器放在機頂盒的旁邊。讓機頂盒能接收到振動器發出的信號，再用分支器從機頂盒的輸出端分支出多臺電視機，這樣，所有電視機就能接收所有頻道的信號了。（下次發圖）
3、用高頻三極管如9018做一個高頻發射電路，利用射頻輸出再次發射，只要小小發射功率，讓機頂盒能接收得到即可。或用同軸視頻線分支接入輸入或輸出端，的除去外層屏蔽線，只留中間的線長約1米，把這線繞在機頂盒。讓泄漏出來的信號感應給機頂盒接收。
破解電視機頂盒，可接多臺電視
游走在灰色地帶，大打擦邊球的數字電視機頂盒共享器
隨著有線電視數字化發展進程的加快，數字電視這一新興的電視觀看及傳輸方式已經開始被更多的普通市民所熟悉，數字電視以接近于DVD的畫質和立體聲甚至5.1聲道伴音這兩大最明顯的特點受到了不少有線電視用戶的關注，同時更多可選擇的電視臺、點播節目也為豐富市民的業余生活增添了不少色彩，不過在數字電視剛剛起步的萌芽階段，還有多的不足和缺點需要改進。

按照國際慣例，數字電視機頂盒（SET-TOP-BOX，簡稱STB）分為數字地面STB、數字衛星STB、數字有線STB和網絡STB這4種，目前正在大力發展的數字電視類型是數字有線STB，是目前成本最為低廉，也最適合大力向普通市民所推廣的。整體來說，數字機頂盒以支持HDTV和互動性作為發展方向，而就目前的機頂盒產品來看，一部機頂盒內包括了接收數字信號的調制解調芯片、視頻信號編解碼芯片、音頻處理器、音視頻數模轉換芯片等，一些高端的機頂盒中甚至還會整合安全芯片甚至可錄像硬盤，可見數字電視機頂盒在未來的發展空間還是相當寬廣的

上圖中的三部機頂盒中包括了目前所使用的三款不同品牌、型號的機頂盒，其中最上方的創維C6000采用了意法的Qami5516方案；熊貓3216采用了意法的5516芯片，帶有180MHZ的CPU，而最下方的銀河則采用了最為簡單的富士通功能單芯片H20A，雖然這三種機頂盒在內部的設計上有一定的區別，但它們都是需要通過插入數字電視智能卡才能夠工作的，而數字電視智能卡就相當于一個人有了駕照才能合法地駕駛汽車一樣。

在使用模擬電視信號的時候，大家只需要申請有線電視開戶之后就可以在家中通過自帶電視信號調諧器的電視觀看節目，如果有多部電視的話只要購買有線電視信號分配器就可以在所有的電視上觀看有線電視。而數字電視卻將這種免費的電視信號共享給“封殺”了，機頂盒需要在插入有效的智能卡之后才能使用就是為了保證數字電視信號不被盜用的一種方式，同時也能夠保證數字信號不被盜版商用來作為盜版節目源。
為了保證數字信號不被盜用，數字電視內容管理方式以條件式接取（CA）和數字版權管理（DRM）作為基本保護機制，目前國內的數字電視機頂盒采用的管理方式就是條件式接取這種機卡分離的方式，用戶必須通過專屬的智能卡來取得授權才能夠接收被解碼的信號，而服務提供商也能夠通過這種方式接收用戶的信息，包括用戶戶名、地址、智能卡卡號和收看數字電視的費用等信息。這種機卡分離的機頂盒使用方式被美國、歐洲和亞洲等國視為數字電視發展的機頂策略。

DRM采用的是許可證管理策略，由數字電視信號運營商對節目源進行加密，在用戶通過機頂盒發出節目接收請求之后系統會自動檢查是否經過許可，而認證的方式也同樣是通過IC卡等帶有帳號、密碼等信息的進行的，不過DRM管理的規格相當繁多：Windows Media的DRM、開放移動聯盟OMA推出的DRM 1.0/2.0規格、UT-DRM、NDS、SecureMedia、WideVine、BesDRM等，規格的不統一使其并不被大多數有限數字電視運營商所接受。
由于數字電視信號必須通過機頂盒才能接收，同時采用了用戶身份認證的防盜用方式，所以有線數字電視節目只有一部電視機搭配一部機頂盒才能夠正常觀看，在目前大多數市民家中同時擁有一部以上電視的這一情況下，如果希望每部電視機都能夠收看數字電視的話必須購買數量相對應的機頂盒，這在一定程度上家中了消費者觀看數字電視的成本，于是有一些廠家開始在有線數字電視共享上開始下功夫，紛紛推出名為數字電視機頂盒共享器的產品，以此實現對數字電視信號的共享。
目前的數字電視機頂盒共享器共有有線和無線兩種，有線的共享器只需要將共享器與機頂盒接駁，并且通過音視頻信號線將它與其它電視的AV接口接駁就可以使用，而無線的共享器則包括與機頂盒互聯的信號發射器和與電視互聯的信號接收器。
機頂盒共享器的功能介紹上將這種產品的優點共分為多顯示終端信號共享和節約費用兩大類，對于大多數購買這種產品的消費者來說，可能最能夠吸引他們的是通過共享器可以節約機頂盒的購買費用和電視信息點播費，有了省錢作為最大賣點之后，這種產品自然更受關注。
雖然這種產品具有一定的實用意義，但是我們仔細看看就會發現這種所謂的共享器實際上就是一個音視頻信號分配器，與機頂盒連接的接口包括了復合視頻輸入和模擬立體聲音頻輸入這兩個接口，而用于輸出信號的則包括了復合視頻信號輸出和3.5毫米信號輸出接口，并沒有能夠直接發送及接受智能卡用戶信息的接口，這也就意味著即使是通過這樣的共享器接駁其它電視之后也并不能獨立選臺，換句話說，如果客廳中的電視在通過機頂盒播放中央一套的電視節目，那么其它房間的另一臺電視也同樣只能夠播放中央一套的電視節目
無線機頂盒共享其與有線機頂盒共享器一樣都是通過音視頻接口接受機頂盒上的第二路信號輸出接口來實現數字電視信號的“共享”的，不過無線的共享器的傳輸方式是通過紅外、調頻或2.4GHz來實現的，值得注意的是，目前的機頂盒在背后的接口都帶有兩路信號輸出接口，只要使用連接線將機頂盒的信號與兩臺電視連接就同樣可以實現這樣的所謂“共享”功能，而這樣一來機頂盒共享器的作用也只有在不同房間都可以用遙控器控制機頂盒這種“遙控共享器”的功能了。
破解討論綜述
CA安全保障的三層關鍵：傳輸流的加擾，控制字的加密，加密體制的保護。
這三種技術是CA系統重要的組成部分，在處理技術上有相似之處，但在CA系統標準中是獨立性很強的三個部分。加解擾技術被用來在發送端CA系統的控制下改變或控制被傳送的服務（節目）的某些特征，使未被授權的用戶無法獲取該服務提供的利益；而加密技術被用來在發送端提供一個加密信息，使被授權的用戶端解擾器能以此來對數據解密;而保密機制則用于控制該信息，并以加密形式配置在傳輸流信息中以防止非授權用戶直接利用該信息進行解擾，不同的CA系統管理和傳送該信息的機制有很大不同。在目前各標準組織提出的條件接收標準中，加擾部分往往力求統一，而在加密部分和保密機制則一般不作具體規定，是由各廠商定義的部分。
1、對傳輸流的加擾，DVB已有標準。目前在國際上占主流的有歐洲的DVB標準、北美國家的ATSC標準及日本的ISDB標準三種標準中，對于CA部分都作了簡單的規定，并提出了三種不同的加擾方式。歐洲DVB組織提出了一種稱之為通用加擾算法（Common Scrambling Algorithm）的加擾方式，由DVB組織的四家成員公司授權，ATSC組織使用了通用的三迭DES算法，而日本使用了松下公司提出的一種加擾算法。通用加擾算法是DVB標準組織推薦的對于TS流的標準加擾算法。目前，在歐洲的數字廣播節目中普遍采用了這個算法。我國目前商業化的CA中，TS節目的加擾也基本上是采用的這個算法。如果從破解的角度，攻破這個算法的意義要遠遠大于破解智能卡和攻破CA系統本身。
2、對控制字的加密算法一般采用RSA以及3DES算法，各家CA廠商各不相同。值得一提的是DVB里有一個規定，提到的同密技術要求每個CA系統可以使用不同的加密系統加密各自的相關信息，但對節目內容的加擾必須采用同一個加擾算法和加擾控制字，可以方便多級運營商的管理，為多級運營商選擇條件接收系統提供了靈活性。這就為黑客攻破智能卡創造了條件。
3、對加密體制，不同廠家的系統差別很大，其技術大體有兩種: 一種是以愛迪德系統為代表的密碼循環體制，另一種是以NDS系統為代表的利用專有算法來進行保護，由于牽涉到系統安全性，廠家一般不會公開。因此從破解角度，對系統的破解是難度也是比較大的。
第一章：CA智能卡的破解與反制
第一節 對于CA智能卡的破解分為兩種，
1、從硬件破解的角度，完全地仿照正版卡來定制IC卡；
2、從軟件破解的方向，將正版卡的程序讀出，最后將程序寫入IC卡中，就變成與正卡無差別的D卡了。
仿制正版卡，可以將IC卡的觸點剝離下來，再將保護的塑料蝕掉，暴露出元件和內部電路連接，就可以繪制成電原理圖，最后交給能訂制生產的IC卡的廠家生產。這些仿制還有一個冠冕堂皇的名稱叫“反向工程”。國內在深圳和廈門等地都有能生產定制IC卡的廠家，在利益的驅使下，他們往往不會過問敏感問題。
IC卡中的元件如果是通用元件，通常可以通過IC卡的功能原理的分析來確定，雖然困難，但總是可以最終確定。例如深圳目前直接使用流在市面上的ROM10與ROM11卡來制成D卡，ROM10與ROM11實際上是XX系統正版卡的“基礎卡”，這些卡具有與正版卡相同的硬件基礎，至于怎么流落到社會上的不得而知，但有一個事實就是大家應該都收到過安裝衛星電視的短信，這是個可以想象的到的異常龐大的地下產業！
繼續：IC卡中的元件如果是專用元件，確定元件的事情就變得極其困難和十分渺茫了。那么這個時候硬件仿制的路走不通了，那么看看軟件仿真的路能不能走得通。
再看軟件仿真的路能不能走得通前，首先闡明軟件仿真的路能不能走得通有不同的判斷標準。
如果僅以在一段時段中，軟件仿真的D卡與正版卡都具有相同的條件收視功能來判斷，那么無疑，從D卡的實踐來看，軟件仿真已經成功了。
但如果以任何時段中，軟件仿真的D卡與正版卡都具有相同的功能，特別是對抗反制的功能來判斷，那么我要說，同樣無疑，軟件仿真是不可能成功的。
因此我們僅承認這種事實就夠了：自動對抗新的反制，使D卡與正版卡一樣免除后顧之憂，肯定是D卡研究的終極目標。但是即便達不到這個目標，只要能保證一段時間的仿真成功，CA破解的商業價值就依然存在！
補充說明反制：由于D卡的成功，尤其是帶AU（自動換Key0/Key1）的D卡程序的廣泛擴散，正版服務商感到了巨大的壓力，逐步開始采用種種反制手段，讓D版的AU卡實效。
我們先研究一下這個反制是個什么東東：學習和搞嵌入式控制器開發的人都用過仿真器，如“偉福”系列的MCS-51的仿真器等。大家一定知道硬件仿真與軟件仿真存在一個本質區別，即I/O功能的不同。一條取端口引腳值的指令就足以區分是硬件仿真還是軟件仿真了。硬件仿真可以真實地取到引腳上的實際輸入，而軟件仿真得到的只能是不會變化的內存仿真值。
利用這個原理實現的反制程序分為兩部分，前面的部分通過I/O端口的訪問，區別出是真的硬件存在，還是軟件仿真；后半部分對非法的仿真卡簡單地返回主程序，不能解開Key0/Key1；對正版卡，則修改Key0/Key1，使之正確，然后返回主程序并保存key，保存的Key0/Key1用于ECM的解碼。
從歷次搜集的反制EMM中的方法中，可以將反制歸納為兩種，一種是從硬件或軟件上區別D卡與正版卡，從而產生條件分支指令，使D卡仿真的程序失效；另一種是調用D卡中不可能有的，只有正版卡硬件才具備的MAP子程序，使D卡無法執行正確的程序。
先介紹前一種方法：
使用硬件端口區別正版卡與仿真卡的反制方法，由于具有特殊性能的端口數的限制，因此不可能有多種變化，一旦Hacker知道了反制的EMM結構與原理，很容易就可以避開端口判斷的指令，直接轉到修改Key0/Key1部分。這雖然并不是程序指令的直接仿真，只能算是功能仿真，卻可以使已知反制失效。
另外你也許會提出一些其他辦法，如目前的一些Nagra系統在下行的EMM命令中加入了甄別真偽和“殺卡”指令，對于“正改卡”，毫不留情地清除卡中程序并且讓它成為廢卡。
我可以說，為了對抗“殺卡”，這類“正改卡”的程序如果采用Block技術，可以抵抗多數殺卡指令，同樣能夠使這類“正改卡”得以安全使用。
先寫到這，后面介紹根據正版卡特有的機器指令代碼，讓正版卡能進行解碼、而沒有正版卡程序的仿真卡無法正確解碼、從而獲得KEY的EMM思路。

第二節：
以下介紹根據正版卡特有的機器指令代碼，讓正版卡能進行解碼，而沒有正版卡程序的仿真卡無法正確解碼，從而獲得KEY的EMM思路。
按照道理，D卡使用的是AVR或其他類型的CPU，“正改卡”中的程序與正版卡也不相同，照理這些卡中都沒有正版ROM10/ROM11卡的程序。因此，用只有正版卡才有的特定機器指令代碼作為密鑰來解密key0與key1，自然是十分聰明的反制措施。
該反制的EMM以前146Dream TV可能曾使用過。目前XG有線又重新啟用，大致在一個周期的8天中，有兩天使用本類EMM，另外6天使用另一個“超級MAP”程序。
這種反制的具體思路是：
下行的EMM中攜帶的Key與Key1是經過加密編碼的，不能直接使用。解開它們需要的密鑰“種子”（即產生密鑰的原始數據）的地址由下行的EMM給出。注意！EMM中并沒有給出密鑰“種子”，而是給出了它們在正版ROM10/ROM11卡程序存儲區中的地址，這個地址是隨機數，不同的key0/key1，地址就不同。它的值總是大于S4000，防止取到ROM10卡低端的無法讀出的無意義內容。反制設計者設想，D卡或“正改卡”無法獲得正版卡的內部程序，因此，即使給出了地址，D卡也無法取得正確的機器碼作為密鑰的“種子”，自然也就無法生成密鑰，解開key0/key1了。
對于正版卡，按照給出的地址，取到16字節的機器指令代碼，經過類似計算Hash效驗的方法，產生正確的密鑰，再對key0/key1進行DES編碼運算，就解出正確的key0/key1了。
上面介紹的“利用正版卡程序隨機地址處的機器碼作為Key的解碼密鑰”的EMM反制方法非常厲害，曾難倒了一大批的高手。
對比一下昨天前一篇帖子中給出的EMM與上面介紹的EMM，就會發現，前一篇帖子中給出的EMM是一種簡單的反制，只要知道了正確的Key0/Key1，再經過認真分析和思考，就會明白其反制原來并找出解出Key的方法，目前Dream TV的反制都屬于這類簡單反制；但上面今天介紹的EMM是一種高級和復雜的反制，即使知道了正確的Key0/Key1，也難以得知其反制的原理與找出解key的方法，目前XG有線和國外一些CA系統采用的是這類反制。由于XX的反制匯聚在低級和高級的兩類難度上，所以黑客們懷疑這是兩類不同水平的技術人員的作品。低級難度的反制是衛視服務系統內部技術人員的手筆，而高級的反制則直接出自CA系統研制人員的杰作。
兩種級別的反制也將國內修改、編寫D卡程序的高手分成了兩類：有一些寫一點程序應付低級反制的，往往采用“頭痛醫頭、腳痛醫腳”的補丁程序，可以對付目前146-Dream TV的反制；只有少數高手中的高手具有整體編寫程序以及仿真MAP功能的能力，能采用更合理的對抗策略，能研制出復雜程序和新類型的D卡，最終可以對付高級難度的反制。對付低級反制寫出對抗程序的時間大約是數小時到幾天，而對付高級反制找到方法并寫出程序的時間往往需要數個月之久，而且還需要國內外Hacker 們的協同配合。國內高手中的高手人數很少，都是單兵作戰和埋頭苦干的，與其他高手之間一般互不交流。
本節介紹的“利用正版卡程序隨機地址處的機器碼作為Key的解碼密鑰”的EMM反制方法十分成功，但它采用程序的機器碼作為解開Key的密鑰，可能會出現以下幾個問題：
1. 如果電視系統歷史悠久，在用的卡可能有幾種，那么可能產生內部機器指令碼不盡相同的問題；
2. 如果電視系統想要更新程序，也可能存在部分尚未更新程序的正版卡，同樣會產生內部機器指令碼不相同的問題。這個問題還可能阻止正版卡通過下行信號進行的升級：我們設想一下，正版卡用戶中，有的人天天看衛視節目，他們的卡順利升了級，而一部分人外出，卡很久都沒有使用了，剛回來想看衛視，結果因為卡的程序不對，無法收看，肯定對衛視服務商大發雷霆。在用戶是上帝的外國，電視服務商對可能引起用戶的怒氣一定很忌諱的。
3. 對該反制最致命打擊是，可以設法讀出正版卡作為密鑰的那一部分程序機器碼，通過在D卡的硬件上安排外部EEPROM，存儲量有64KB、128KB、256KB等，將正版卡作為密鑰的程序機器碼全部保存起來，解開KEY時，照樣可以從外部EEPROM中取到與正版卡一樣的解Key的密鑰，來對抗反制，使該方法失效，這是該類反制的終結者。
經過了利用軟件仿真在I/O功能上的區別進行的反制和利用正版卡指令代碼作為密鑰進行的反制之后，目前幾個在運行的CA系統（146的Dream TV與其他衛視，XG以及國內一些地方的本地有線數字電視等）紛紛進入了使用MAP功能來進行反制的階段。
使用正版卡中的MAP編碼/解碼協處理器進行反制，是正版卡在設計階段就預留的終極反制殺手。可以看到，正版卡設計者防范于未然，預估到終有一天，第一道門（ECM與EMM的解碼）將被攻破，預先留好了第二道門做最后的防守。未雨綢繆，是我們不得不佩服這些設計者的智慧與遠見。
第三節 ()
在深入討論MAP功能及其仿真實現之前，為了后續文章讀起來不算費勁，需要先說明兩個方面的知識：一是什么是收視卡防守的第一道門與第二道門？ 二是EMM指令與Logging等知識。
今天讓我們先說說什么是收視卡防守的第一道門與第二道門？
收視卡是防止非法收視的守門員，在卡中設計了多種加密方法，最主要的有解決收視功能的ECM和自動換key的EMM的解密，它們的解碼是第一道門。ECM與EMM的編碼與解碼使用的雖是不同的方法，但都是固定不變的標準方法。不同的條件接收系統僅僅是編碼/解碼采用的數據有不同而已。舉個例子，有的卡可以解開多個同一類型CA系統，該類卡是按照下行的ECM或EMM的系統標識（如146 Dream TV為4E和4F，XG有線為94和95等）選擇不同的數據，而運行的程序基本相同的。
仍然以XX為例，ECM的編/解碼采用DES與EDES算法，其原理早已公之于世。編/解碼所用的S_Boxes數據也已經公開，并且在不同的系統中固定不變。與標準的DES相比，XX系統的DES只是多了對字節進行了反序排列而已。ECM使用的VerifyKey等數據，通過后門密碼進入正版卡保留的數據空間，可以讀出這些關鍵的信息，加上BoxKey等信息，只要能獲得當前的Key0/Key1，就可以配合IRD解開解密收視用的控制字（Control Word），可以正常收看衛視節目。
ECM的解碼可以解決收視的問題，但還需要手動輸入Key0/Key1。如果要象正版卡一樣自動換Key即所謂的AU，就需要能解開EMM，并能正確地找到并保存Key0/Key1。與ECM的解碼相比，EMM的解碼要復雜的多！經過Hacker的努力，EMM的RSA編碼原理已經完全弄明白，所需要的PK，VK等數據也可以通過Hacker的軟件和ROM10/ROM11卡的后門讀出，再算出N1，P，Q，EP，EQ，IQModP，IPModQ，PPrimA，QPrimA等方便編程的數據，就可以順利解出EMM。
收視卡的第二道門是對EMM 中Key解密的防守。它的方法沒有固定的套路，可以任意變化。如XX系統的設計者安排了可以通過EMM中攜帶程序的執行，以及正版卡通過下行信號更新的EEPROM中補丁程序的運行來解碼。正版卡設計者可能料到攻破第一道門是遲早的事，于是第二道門上的防守就成了最后的防線。前面章節介紹的幾種對EMM中的Key0/Key1進行再加密，就是在第二道門上的防守。它的思路是：當EMM解開后，如果其中的Key0，Key1是經過加密的，D卡仍然無法得到正確的Key。
國內早期的D卡程序是移植國外Hacker 的，針對想收視的系統，修改了相應的數據就可以實現本地化，由于要得到正確的Key需要的解碼方法沒有固定的套路，Hacker不可能事先料到，總是要反制后分析它的原理，再更新部分D卡程序，進行對抗和補救。一般人沒有自己編寫D卡程序的能力，即使有寫卡器掌握了寫卡方法，但程序又難以得到，這些麻煩會迫使許多人放棄D卡，轉而加入正版卡繳費收視的行列。
不過正版卡雖好，但其高額的收視費還是讓國內廣大愛好者望之卻步，大家的希望還是寄托在D卡程序的完善上，希望終有一天，D卡能與正版卡一樣不受反制。