Четверг, 29.06.2017, 12:08 | RSS | Приветствую Вас Гость
Главная | Регистрация | Вход
Мои устройства для ремонта домофонов и записи ключей
Главная
Меню сайта
Форма входа
Категории раздела
Мои статьи [15]
Поиск
Наш опрос
Оцените мой сайт
Всего ответов: 373
Друзья сайта
  • Создать сайт
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
  • Все проекты компании
  • Статистика

    Онлайн всего: 1
    Гостей: 1
    Пользователей: 0

    Главная » Статьи » Мои статьи

    Маленькое эссе о заготовке Т5557 и фильтрах от неё...

     

          

            С документацией на заготовку Т5557 ( англ. ) можно ознакомиться в разделе "Каталог файлов".

     

                                                                    

            Наряду со считывателями контактных ключей, в домофонах всё чаще стали ставить считыватели для 

    бесконтактных  RF-ключей разных марок. Чаще всего используются ключи стандарта EM-Marine (125 Кгц).

    Когда стали применяться заготовки Т5557 для копирования таких ключей, то сразу встал вопрос о 

    возможности их фильтрации. И всегда отвечали, что это невозможно.

    Сейчас стала мусироваться информация о создании такого фильтра и, даже, об уже выпускаемых домофонах

    и считывателях, которые имеют такую функцию.

    Вроде наблюдается противоречие. Или нет ?

    Давайте спокойно разберёмся с технической точки зрения…

     

                                        Сначала поговорим немного о самой заготовке Т5557.

    Это очень интересное устройство со множеством функций, которые можно настраивать с помощью специального

    блока конфигурации. Само устройство может имитировать работу различных типов бесконтактных ключей.

    Но я буду рассматривать его работу только для ключей стандарта EM-Marine.

     

          Заготовка Т5557 имеет память, состоящую из 2-х страниц ( 0 и 1 ). Страницы поделены  на 

    блоки по 32 бита. Каждый блок имеет ещё лок-бит, который может блокировать этот блок от дальнейшей перезаписи.

    Его можно установить при записи информации в этот блок. Он устанавливается только один раз !!! После этого

    заготовку Т5557 перезаписать уже нельзя.

    Страница 1 содержит 2 блока ( 1 и 2 ) со служебной информацией, которая программируется на заводе 

    и защищена  лок-битами от перезаписи. Это служебная информация плюс уникальный номер этой заготовки ( 40 бит ).

    Страница 0 содержит 8 блоков памяти по 32 бита. Блок 0 – это блок конфигурации, блоки 1 – 7 предназначены

    для записи данных ( номеров ключей). Блок 7 может использоваться и для хранения пароля в режиме парольной

    защиты.

    Существует ряд команд для общения с Т5557 ( сброс, чтение, запись и т. д. ).

    Для выдачи этих команд нужен считыватель, который не просто постоянно генерирует поле, а может генерировать

    определённые пачки импульсов ( для передачи в Т5557 команд и данных ).

    Обычный считыватель домофона только постоянно генерирует частоту в 125 КГц и не может выдавать пачки импульсов

    этой частоты.

    Ключ EM-Marine имеет код  в  64 бита.

    Поэтому, для  нашего случая, нужно в блок конфигурации ( страница 0, блок 0 ) Т5557 записать 

    конфигурацию, которая будет соответствовать EM-Marine, а в блоки 1 и 2 ( страница 0 ) данные 

    номера копируемого ключа ( все 64 бита ). После этого Т5557 превращается в копию исходного ключа.

     

     

                                           Теперь о возможности фильтрации таких заготовок.

     

    Считыватель обычного домофона просто генерирует поле с частотой 125 КГц.  Когда в это поле попадает

    ключ или его клон, то ведут они себя абсолютно идентично. Просто начинают непрерывно выдавать свой

    номер, модулируя несущую частоту.

    Получается, что правы те, кто говорит, что фильтр не создать. 

    И это абсолютная правда для данного типа домофонных считывателей.

     

     

    НО есть и другой путь...

    Для создания фильтра надо иметь считыватель, который может выдавать команды на Т5557, аналогично 

    считывателям дубликаторов. Ну и в программу домофона надо ввести возможность работы  с этой 

    заготовкой ( чтение, запись и т. д. ).

    Допустим, что всё это сделано. Начинаем  творить…

     

    Фильтр номер 1.

    Как уже говорилось выше, заготовка Т5557 является перезаписываемой. Поэтому сразу напрашивается

    идея проверить подносимый ключ на перезапись. Подаём команду записи и данные ( например. все FFh или 00h )

    и на выходе получаем ключ с испорченным номером. Естественно  домофон не открывается, а жилец в панике

    бежит в ларёк ключника.

    НО, как уже писалось выше, в каждом блоке памяти можно устанавливать лок-бит (защита от 

    перезаписи). Дубликаторы ключей эту функцию имеют и называют её  финализацией  заготовки. Это запись лок-бита

    в каждом блоке.

    Включаем этот режим. Заготовка записывается и блокируется от перезаписи. Фильтр пытается сделать запись, она не

    проходит и заготовка воспринимается как родной ключ.

     

    Фильтр номер 2.

    Первый фильтр не принёс желаемого результата, будем анализировать заготовку дальше…

    Что же мы видим в описании ? Оказывается у этой заготовки есть команда чтения блоками !

    То есть можно подать эту команду и прочитать нужный блок из памяти заготовки.

    А что мы будем читать ?

    Как я уже писал выше, на странице 1 есть служебная информация ( блок 1 и 2 ). Перезаписать 

    её нельзя, но можно считать. При этом родной ключ EM-Marine, естественно, на все эти выкрутасы

    с командами будет показывать только один большой кукиш…

    Ура ! Ура ! Найдена панацея от клонов. Радостно рапортуем  всему миру….

     

    НО, давайте снова заглянем в описание Т5557.

    Как уже писалось выше, есть функция установки пароля и блок 7 для его хранения.

    Что это нам даёт ? А даёт очень интересную вещь.

    Команды чтения и записи из простых сразу превращаются  в сложные. Если раньше подавали просто 

    команду записи или чтения и заготовка Т5557 радостно её исполняла, то теперь эту команду надо 

    подавать вместе с паролем ( т. е. заготовка поставила на входе шлагбаум и придирчиво проверяет 

    правильность этого пароля прежде чем бросаться исполнять команду ).

    Смотрим опять описание – там сказано, что пароль хранится в блоке 7 и может составлять 32 бита.

    Небольшой облом, на вскрытие такого пароля уйдут месяцы ( или годы ).

    Я уже не говорю о том, что пароль после записи одной заготовки в дубликаторе может меняться

    по случайному закону... 

     

    Конечно, имеющиеся сейчас дубликаторы ( Кеймастер  или  ТМД ), такой функции не имеют ( кроме моего,

    разумеется. Не удержался. Сам себя не похвалишь – никто не похвалит ! ), но добавить её в программу – это

    дело нескольких часов. А ещё несколько минут потратят владельцы этих дубликаторов на перезаливку новой

    прошивки.

    Как это будет выглядеть:  пароль, вшитый в прошивку или хозяин дубликатора сам сможет его генерировать -

    - это уже будет на совести конкретных разработчиков.

     

    Есть и ещё один большой плюс от парольной защиты – это сохранение возможности перезаписывать заготовку.

     

    К сожалению, как оказалось при проверке, команда чтения всей страницы не закрывается паролем. 

    Поэтому она выполняется и страницу 1 тоже можно прочитать.

    На этом принципе сейчас и сделаны фильтры на некоторых панелях и считывателях ( например MATRIX-ET).

    Ну это маленькая недоработка создателей заготовки Т5557. Скорее всего она будет быстро исправлена. 

    А может просто появятся новые варианты R-FID заготовок у других производителей. Тем более, что есть уже варианты

    простеньких эмуляторов на микроконтроллерах. В них просто надо добавить в программу запись и финализацию...

     

    Давно не корректировал статью. Как я и предвидел, появились заготовки без 1-ой страницы ( без служебной информации ).

    Так что теперь, если дополнительно установить на заготовку пароль или сделать финализацию, то RF-фильтры

    превращаются просто в куски  железа .......

     

     

    Фильтр номер 3.

    Теперь немного о другом -  режиме   AOR.

    Есть в этой заготовке такой интересный режим, который позволяет ей не отвечать, пока не будет подана специальная 

    команда. Этот режим работает совместно с установленным паролем и битом  PWD=1. 

    Когда заготовку Т5557 подносят к считывателю, то она, в обычном режиме ( если бит AOR=0 и бит PWD=0 ), начинает

    генерировать номер, который записан в ней. 

    Если задан режим парольной защиты ( бит PWD=1 ), то можно задать и режим ответа после сравнения пароля ( бит AOR=1 ). 

    В этом случае заготовка начнёт генерировать номер только после принятия специальной команды с правильным паролем. 

    В этом случае считать номер с заготовки Т5557 обычными дубликаторами не получится. Их надо модернизировать для работы

    с режимом AOR и поиском/записью пароля.

     

    Режим этот хорош уже тем, что не надо думать о том, что ваш ключ могут незаметно скопировать. Не надо 

    выдумывать различные футляры для хранения ключа и т. п.

    Если даже написать программу для простого перебора пароля, то она может заниматься этим довольно долго ( легко можно

    подсчитать, что это займёт месяцы и даже годы... ). 

     

    Правда есть и другой путь узнать пароль. 

    Считыватель домофона в этом режиме должен определить, когда карта ( брелок ) приложены к нему. 

    При обычном чтении всё ясно. Карта ( брелок ) сразу начинают генерировать свой номер модулируя частоту 125 КГц. 

    Считыватель демодулирует этот сигнал и выделяет из него номер карты ( брелка ).

    Здесь карта ( брелок ) молчат, пока им не будет подана команда с правильным паролем. Поэтому считыватель должен

    с некоторой периодичностью выдавать эту команду в эфир. То есть её можно перехватить и выделить из неё пароль ( пароль

    не зашифрован ). 

    А уже зная пароль можно прочесть исходную карту ( брелок ) и сделать точную копию на заготовке Т5557.  

    Весь вопрос в том, как устанавливается и меняется пароль для ключей ( он один на все подъезды или нет ). 

    Если один, то всё просто, узнаём его и спокойно делаем копии для всех подъездов. Если они разные, то придётся

    считывать пароли и составлять базу адресов-паролей. Или просто делать копию на месте.

    Правда, пароли могут меняться периодически мастерами по обслуживанию домофонов ... 

        

     

     

                          Теперь можно поговорить и на основе сведений, полученных практическим путём...

     

     Установка режима POR. Когда карта (брелок) подносятся к считывателю, то сначала выполняется задержка инициализации

    карты (брелка). Обычно она составляет примерно 3 mS. Но её можно увеличить, если установить в блоке конфигурации

    бит POR. В этом случае она будет составлять примерно 67 mS. 

    После этой задержки загружается блок 0 и, в соответствии с его конфигурацией, карта (брелок) начинает выдачу данных из

    блоков ( от первого до максимального ) страницы "0".        

    Легко сообразить, что этот режим вместе с парольной защитой позволяет увеличить время подбора пароля в несколько раз.

    Что делает этот подбор абсолютно бессмысленным.

     

    Установка режима ST ( маркер начала посылки ). 

    При нормальном чтении карты ( брелка ) заготовка выдаёт информацию циклично, начиная с первого

    блока и до последнего, который определён в блоке конфигурации как максимальный. Затем опять идёт первый блок и т. д. 

    Если установить режим STто между последним (максимальным) блоком посылки и первым блоком следующей будет 

    установлен специальный маркер. В этом случае можно легче отслеживать начало и конец информационной посылки по этому

    маркеру. 

     

    Ну вот и дошли руки до проверки режима AOR ( запрос - ответ ). Действительно, заготовка Т5557 начинает выдавать

    информацию только после получения от считывателя команды с правильным паролем. 

    Этот режим можно устанавливать и сбрасывать. Работает он совместно с установленным режимом парольной защиты.

    Попутно проверил программу подбора пароля на заготовках Т5557, записанных с режимом AOR.

    Но её целесообразно применять только при простых паролях ( если он содержит  всего несколько цифр ) или в случае,

    если известен примерный диапазон значений паролей. Если пароль сложный, то простой перебор комбинаций может

    занять годы ...

     

    Продолжаем исследование заготовки Т5557. Теперь имею возможность досконально разобраться с режимами чтения

    этой заготовки. Режимов этих два. Первый позволяет читать любой блок Т5557, а второй читает сразу всю страницу.

    Страница "0" читается с учётом установленного в блоке конфигурации максимального блока. В странице "1" читаются 

    оба блока ( блок 1 и блок 2 ), содержащие служебную информацию.

    Кроме этого, можно исследовать режимы чтения с установленным паролем и в режиме AOR (запрос-ответ).

    Ну с режимом AOR всё ясно. Пока заготовка не получит команду с правильным паролем, она остаётся простым куском

    пластика. Реакции - ноль.

    Теперь читаем с установленным паролем. Страница "0" читается аналогично. То есть читаются все блоки, начиная от 

    первого и до максимального ( это режим страничного чтения ). 

    Команды чтения и записи по блокам, без задания правильного пароля не работают... В ответ на эти команды, Т5557 

    выполняет команду чтения страницы "0" ( от первого блока до максимального ).

     

    Со страницей "1" создатели заготовки перемудрили. Там всего два блока, в которые записана служебная информация.

    Так вот, её действительно можно прочитать в режиме чтения страницы и без пароля, и с паролем. 

    Зачем это было сделано - не очень понятно. 

    Для создателей фильтров - это повод радостно потирать руки, а для всех изготовителей заготовок - это повод задуматься

    над выпуском своего варианта такой заготовки.

     

    Ну вот и дождались радостного сообщения с сайта  www.ikey.ru о том, что выпущены новые заготовки,

    которые просто выдают код ключа ( без выдачи служебной информации ).

    Пока не проверял, но если это так, то теперь, думаю, все поползновения делать RF - фильтры окончательно

    канут в лету....

     

      

    Осталось  разобраться  с  работой Т5557  в  расширенном  режиме   "X-mode"

    ( когда бит 15 в блоке конфигурации установлен в единицу ) ...

     

    Ну вот и расширенный режим преодолён...

    Ничего особенно ценного я там не обнаружил.  Кто захочет - тот разберётся с этим вопросом и сам.

    Дополнительные возможности для работы с Т55х7 ( в расширенном режиме ) в свой копировщик я добавил.

    В целом получилась довольно мощная система для изготовления любых ключей  на основе заготовок Т55х7.

     

    Кроме этого, добавилась функция чтения любого блока ( или всей страницы ) памяти заготовки Т55х7  

    ( как с парольной защитой, так и без неё ). 

    Вместе с режимом записи это позволяет анализировать и создавать различные ключи.

     

    Получилось тут проверить режим чтения на ключе IMPRO. Ключ оказался с кодировкой Манчестер,

    с длиной кода  63 бита и амплитудной модуляцией.

    Код удалось легко считать, но я понял, что надо несколько модернизировать режим чтения.

     

    То есть:

    1. Добавить автоматическое обнаружение повторяющейся последовательности в коде

        ( т. е. автоматически определять длину кода ключа ).

    2. Добавить возможность автоматического перехода в режим записи произвольных ключей.

        Для изготовления копии данного ключа.

     

    Эти  режимы  добавлены  в    MASTER V1.02 - 18 - RF.

    Теперь  можно  анализировать  и  копировать  различные  ключи.....

     

     

     

     

                              При перепечатке или цитировании данной статьи ссылка на мой сайт обязательна !!!

     

     

     

     

    Категория: Мои статьи | Добавил: petr5555 (25.07.2013)
    Просмотров: 4673 | Рейтинг: 5.0/1
    Всего комментариев: 0
    Добавлять комментарии могут только зарегистрированные пользователи.
    [ Регистрация | Вход ]

    Copyright MyCorp © 2017