Изучение уязвимостей электронных систем.
 
key programming immo tools emergency start device программаторы ключа заводилки Кодграббер штатных охранных систем, toyota, lexus, subaru.

Вернуться   Изучение уязвимостей электронных систем > Фрикинг > Охранные системы

Охранные системы Изучение протоколов кодирования охранных систем. (кодграббер, сканер, анализатор кодов.)

Ответ
 
Опции темы
Старый 23.05.2010, 00:49   #1
freak
участник
 
Аватар для freak
 
Регистрация: 03.12.2008
Сообщений: 395
Поблагодарил: 18
Поблагодарили 50 раз в 38 сообщениях
freak стоит на развилке
По умолчанию Антиграббер Starline A-серии, B-серии

Выкладываю систему защиты Starline A (A6-A9) и B серии (типа B9 недодиалог) от алгограбов.
Считаю сие будет интересно тем, кто понимает всю суть происходящего с данными популярными сигами.
================================================== ====
для B-серии:
Данная защита криптует посылку формата Starline Вашим собственным ключем (мануфактурником), делая невозможным перехват управления Вашей сиги алгоритмическим грабом.

Затраты: 200-300руб., прямые руки и трезвая голова.
Необходимо имплантиовать PIC12F629 в брелок с LCD, без LCD и в антенный блок.

Файлы архива предлагаю распаковать в путь C:\Scan\Starline_B9_Protect\B9_for_free
Из исходников там только исходник эмулятора пакетов формата Starline.
Остальные файлы в HEX-е.

Подробности в файле _readme.txt

С беспроводными реле DRR в количестве 1шт. работает, проверено.
Серийник этого реле прописываем вместо запасного брелка, заодно закрываем дыру.
Запасной брелок либо защищаем и радуемся, либо кладем на полку.

================================================== ====

Для Starline A-серии такая защита не подойдет в принципе, так как у нее есть баг синхронизации.
Посему реализован режим настоящего диалога:
PIC в брелке перехватывает команду, которую хочешь передать, и вместо нее просто передает в эфир серийник (типа запрос), блок в ответ дает загадку сформированную из псевдослучайного числа и серийника, брел в ответ дает отгадку, причем часть оригинального хопа передаем в явном виде, а часть и код кнопки шифруем. PIC в блоке получает отгадку, дешифрует, при совпадении ответа - собираем оригингальный хоп, код кнопки, серийник в полноценную команду и передаем на основной контроллер блока. Для уменьшения времени радиообмена сделал 4 посылки вместо 10, тормозов нет, как пейджер (для приема тревоги) брелок дальность не уменьшил. Применил "временное окно" валидного приема - то есть если скормить правильную посылку чуть позже (больше 400 ms) - она уже не прокатит.
Мануфактурник сидит в эпром, поэтому достаточно в оба пика прописать одинаковую пару - и получите рабочую пару пиков.
В авто PIC встраивается не в антенный блок, а в блок самой сиги.
Помимо линий данных - PIC в брелке использует подачу низкого уровня для принудительной активации приемника. Развязка - smd-диодом.
Доп брелок односторонний -для него сделана ДЫРА.
PIC в блоке сиги обучаемый на 2 фикса: один фикс для основного криптуемого брелка, втрой - для дополнительного некриптуемого.

================================================== ====

PS: на схеме элементы OR несут лишь функцию объединения сигналов, имитируя работу в эфире разных брелков
для взаимосвязи разных процессоров в одной схеме

================================================== ====

вопросы и предложения по усовершенствованию - поддерживаются
набиратели постов в стиле "нахер надо" - прошу не засорять тему.

================================================== ====
файлы обновлены
================================================== ====
Вложения
Тип файла: zip starline_b9.zip (41.0 Кб, 287 просмотров)
Тип файла: zip starline_a6_dialog.zip (669.4 Кб, 207 просмотров)
freak вне форума   Ответить с цитированием
Старый 23.05.2010, 14:55   #2
Полташ
гость
 
Аватар для Полташ
 
Регистрация: 19.05.2008
Сообщений: 151
Поблагодарил: 22
Поблагодарили 29 раз в 18 сообщениях
Полташ стоит на развилке
По умолчанию

Хорошая идея.
А если поступить проще, в сигнале с брелока меняем формат пакета и шифруем своим "серийным", в блок ставим дешифратор и всё,
все базовые функции должны быть сохранены в полном объеме.
Да, в базовом пике можно было б реализовать секретку(апаратно-программную), на случай кражи брелока, чтоб с тычка не ушла.
Получается, переходим на закрытый канал связи.
Полташ вне форума   Ответить с цитированием
Старый 23.05.2010, 15:29   #3
freak
участник
 
Аватар для freak
 
Регистрация: 03.12.2008
Сообщений: 395
Поблагодарил: 18
Поблагодарили 50 раз в 38 сообщениях
freak стоит на развилке
По умолчанию

Цитата:
Сообщение от Полташ Посмотреть сообщение
Хорошая идея.
А если поступить проще, в сигнале с брелока меняем формат пакета и шифруем своим "серийным", в блок ставим дешифратор и всё,
все базовые функции должны быть сохранены в полном объеме.

Вы про A или B серию говорите?
Если про B - так там все именно так и реализовано.
Если про A - не пойдет - там баг синхры - а значит можно записать ваши криптованные 2 штуки и ими же и открывать и закрывать ВСЕГДА
freak вне форума   Ответить с цитированием
Старый 23.05.2010, 16:16   #4
Piratcom
продвинутый фрикер
 
Аватар для Piratcom
 
Регистрация: 16.02.2008
Сообщений: 1,710
Поблагодарил: 127
Поблагодарили 268 раз в 177 сообщениях
Piratcom стоит на развилке
По умолчанию

Никто не сможет усовершенствовать сигу лучше чем фрикер и автоугогнщик ИМХО. (Не хочу этим сказать что freak автоугонщик, только фрикер ) Так что тему поддерживаю...


Если вас мучает совесть по ночам - спите днем!
------------------------------------------------------------
Если ты обманываешь людей, будь готов к тому что когда - нибудь тебе придётся сесть в тюрьму...
Piratcom вне форума   Ответить с цитированием
Старый 23.05.2010, 16:36   #5
Полташ
гость
 
Аватар для Полташ
 
Регистрация: 19.05.2008
Сообщений: 151
Поблагодарил: 22
Поблагодарили 29 раз в 18 сообщениях
Полташ стоит на развилке
По умолчанию

Цитата:
Вы про A или B серию говорите?

В общем.
Цитата:
Если про A - не пойдет - там баг синхры - а значит можно записать ваши криптованные 2 штуки и ими же и открывать и закрывать ВСЕГДА

А пик в базе нам зачем тогда, там его и поправить.
Дык им ёщё надо граб сделать, чтоб формат пакета ловить и понимать, что ето такое в эфире летает :-)
Полташ вне форума   Ответить с цитированием
Старый 23.05.2010, 16:40   #6
САНЕК
начинающий фрикер
 
Аватар для САНЕК
 
Регистрация: 09.12.2009
Сообщений: 711
Поблагодарил: 71
Поблагодарили 154 раз в 86 сообщениях
САНЕК стоит на развилке
По умолчанию

Вот про "втачивание в брел" как то не думал,спасибо за идею.Сам сейчас бьюсь над той же проблемой килока.Был бы благодарен за часть иходника для 629го,в частности приёма или передачи.


Деньги будут,заходи,поможем потратить.
САНЕК вне форума   Ответить с цитированием
Старый 23.05.2010, 16:48   #7
freak
участник
 
Аватар для freak
 
Регистрация: 03.12.2008
Сообщений: 395
Поблагодарил: 18
Поблагодарили 50 раз в 38 сообщениях
freak стоит на развилке
По умолчанию

Цитата:
Сообщение от Полташ Посмотреть сообщение
В общем.
А пик в базе нам зачем тогда, там его и поправить.
Дык им ёщё надо граб сделать, чтоб формат пакета ловить и понимать, что ето такое в эфире летает :-)

В общем тут нельзя рассуждать. Именно из-за бага синхронизации на А-серии.
"там его и поправить" - это значит надо менять прошивку самого блока или ставить свой проц. Даже при смене формата - запишите сигнал на магитофон и воспроизведите - A серия откроется.
Поэтому защитить доп брелок А серии нельзя. А вот основной - можно, но только диалогом.
freak вне форума   Ответить с цитированием
Старый 23.05.2010, 19:23   #8
freak
участник
 
Аватар для freak
 
Регистрация: 03.12.2008
Сообщений: 395
Поблагодарил: 18
Поблагодарили 50 раз в 38 сообщениях
freak стоит на развилке
По умолчанию

Опинание к схеме для Starline B-серии
Заново скачайте файл starline b9.zip или расставьте номера кнопок сверху вниз от 1 до 9.

Осциллограмма канала A (желтый) - это сигнал, выдаваемый процессорами брелков до криптования.
Осциллограмма канала B (синий) - это сигнал, выдаваемый в эфир (криптованный для U1,U51 и некриптованный для U61).
Осциллограмма канала C (красный) - это сигнал после декрипта (для U1,U51) или обхода (для U61), это то что поступает непосредственно на процессор блока сиги.

Нажатие кнопок BUT1,BUT2,BUT3 имитирует 3 различных команды, поданных с основного защищаемого брелка. На осциллограмме видно прохождение сигнала, с задержками на прием, енкрипт, декрипт.
Нажатие кнопок BUT4,BUT5,BUT6 имитирует 3 различных команды, поданных с дополнительного защищаемого брелка. На осциллограмме видно прохождение сигнала, с задержками на прием, енкрипт, декрипт.
Нажатие кнопок BUT7,BUT8 имитирует 2 различных команды, поданных с дополнительного незащищаемого брелка (обходной брелок). На осциллограмме видна идентичность желтого и синего сигнала (шифрования нет), небольшая задержка для приема первого пакета и его трансляция в том же виде (красная осцилограмма).
Нажатие кнопки BUT9 имитирует команду, поданную с любого "левого" брелка. На осциллограмме видна идентичность желтого и синего сигнала (шифрования нет) и полное отсутствие красной осциллогораммы - то есть на проц сиги "левый" сигнал ВООБЩЕ не проходит.

Инверторы 74HC14 на данной схеме нужны для связи с другими компонентами, так как брелок B9 по приему-передаче имеет активный низкий уровень, а антенный блок A6,A9,B6,B9 - активный высокий уровень. При пайке PIC в брелок эти инверторы естественно не нужны.
Элементы 4075 3-ИЛИ - играют такую же роль: U2:B имитирует эфир (складывает сигналы от разных брелков), U2:A предназначен для наблюденя за нешифрованным сигналом 3-ех брелков на одном канале осциллографа.

---------- Post added at 18:23 ---------- Previous post was at 17:50 ----------

Опинание к схеме для Starline А-серии
Заново скачайте файл или расставьте номера кнопок сверху вниз от 1 до 5.

Осциллограмма канала A (желтый) - это сигнал, выдаваемый процессорами брелков до криптования.
Осциллограмма канала B (синий) - это сигнал, выдаваемый в эфир (запрос и криптованная отгадка для U3 и некриптованный для U4).
Осциллограмма канала C (красный) - это загадка, выдаваемая в эфир PIC, встроенным в антенный блок сиги.
Осциллограмма канала D (зеленый) - это сигнал после декрипта (для U3) или обхода (для U4), это то что поступает непосредственно на процессор блока сиги.

Нажатие кнопки BUT1 имитирует команду, поданную с основного защищаемого брелка. На осциллограмме видно прохождение сигнала, с задержками на прием, загадку, отгадку и в результате - прохождение зеленого сигнала на блок сиги. Кстати - ЖЕЛТЫЙ и ЗЕЛЕНЫЙ сигналы идентичны.
А красный (загадка) и длинный синий (отгадка) - всегда разные, по случайному закону.

Нажатие кнопки BUT2 имитирует команду, поданную с другого основного защищаемого брелка (с другим FIX, который не прописан в PIC защиты). На осциллограмме видно что есть запрос (синий), но загадка в эфир не поступает.

Нажатие кнопки BUT3 имитирует команду, поданную с дополнительного незащищаемого брелка, FIX не прописан в PIC защиты. Видно, что через U2 на сигу сигнал не проходит.

Нажатие кнопки BUT4 имитирует команду, поданную с дополнительного незащищаемого брелка, FIX ПРОПИСАН в PIC защиты. Видно, что в результате U2 выдает на сигу ЗЕЛЕНЫЙ сигнал (идентичный желтому).

Нажатие кнопки BUT5 имитирует команду, поданную с какого то левого брелка, FIX не прописан в PIC защиты. Видно, что через U2 на сигу сигнал не проходит, так же как и для BUT3.

Поигравшись данными кнопками с нажатой кнопкой SYNC - можно переобучить U2:
например защита будет пропускать команды от BUT2 и BUT3 или BUT5 и не будет реагировать на BUT1 и BUT4.
freak вне форума   Ответить с цитированием
Старый 23.05.2010, 19:34   #9
Piratcom
продвинутый фрикер
 
Аватар для Piratcom
 
Регистрация: 16.02.2008
Сообщений: 1,710
Поблагодарил: 127
Поблагодарили 268 раз в 177 сообщениях
Piratcom стоит на развилке
По умолчанию

Я вот тут чё подумал на счёт А серии, можно немного уменьшить риск вскрытия, и сделать иллюзию что бага синхры нет, вобщем в памяти проца хранить 20 последних посылок и если придёт такаяже то не реагировать, баг с синхрой сработает только после того как хозяин 20раз откроет и закроет тачку, охотники ждать столько не будут, проще другогго терпилу найти...


Если вас мучает совесть по ночам - спите днем!
------------------------------------------------------------
Если ты обманываешь людей, будь готов к тому что когда - нибудь тебе придётся сесть в тюрьму...
Piratcom вне форума   Ответить с цитированием
Старый 23.05.2010, 19:41   #10
freak
участник
 
Аватар для freak
 
Регистрация: 03.12.2008
Сообщений: 395
Поблагодарил: 18
Поблагодарили 50 раз в 38 сообщениях
freak стоит на развилке
По умолчанию

Piratcom, действительно можно, при этом диалог не нужны, схема упрощается, пихаем чип в антенный модуль.
Реализация как для B-серии. Но енкрипт-декрипт оставить придется - для защиты от алгоритма.
Число посылок при этом сокращать не надо, значит дальность(точнее помехозащищенность) будет такая же, как заявлена производителем (естественно если наш алгоритм приема сигнала будет не хуже).

А вот и план действий:
В брелке все просто - в разрез припаялись, приняли пакет, криптанули HOP, можно поксорить FIX, отправили на передачу 10 раз.
В блоке тоже несложно: приняли пакет, если FIX - наш - декрипт HOP, после чего сверяем с базой последних HOP-ов.
Если HOP новый - пишем его в базу "по кругу" и передаем посылку дальше на блок.
Если HOP уже есть в базе- игнорируем, на блок не пропускаем.
Для 2-ух разных брелков можно сделать 2 разные базы... а можно и одну на все.

В базу достаточно писАть 2 байта HOP: вероятность совпадения нормальной посылки с имеющейся в базе и ее непропуска - всего 1/65536.

Одно НО: на pic12f629 базу не сделаешь - будет маловата, а вот на pic18f242 - в самый раз.

Добавлено позже: сию процедуру лучше реализовать только для защиты дополнительного брелка. А для защиты основного - оставить диалог.
freak вне форума   Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Алгоритмический кодграббер на StarLine A,B,C серии. oleg Охранные системы 459 02.08.2015 23:05
Перемыв серии на ПТС СТС lesterman Фейк 7 12.01.2015 15:25
кто может поделиться посылками StarLine C серии ? PanDect Охранные системы 0 04.04.2011 13:32
[Вопрос] помогите со схемой на StarLine В-серии александр ас Штатные охранные системы 1 27.06.2010 10:30


Текущее время: 04:41. Часовой пояс GMT +4.


Перевод: zCarot