Изучение уязвимостей электронных систем.
 
key programming immo tools emergency start device программаторы ключа заводилки Кодграббер штатных охранных систем, toyota, lexus, subaru.

Вернуться   Изучение уязвимостей электронных систем > Фрикинг > Охранные системы

Охранные системы Изучение протоколов кодирования охранных систем. (кодграббер, сканер, анализатор кодов.)

Ответ
 
Опции темы
Старый 12.10.2007, 14:10   #101
oleg
продвинутый фрикер
 
Аватар для oleg
 
Регистрация: 22.01.2007
Сообщений: 2,080
Поблагодарил: 191
Поблагодарили 2,192 раз в 427 сообщениях
oleg скоро станет знаменитым(-ой)
По умолчанию

Про В9 не знаю а серия А 6-9 глючит, то есть при нажатии на кнопку рядом с машиной может поставить на охрану с третьего раза, со многими сигналками подобные проблемы, тут как повезет, а конкретной инфы у меня нет. А что касается крипто-стойкости, скоро доберусь, а то в моей деревне уже много таких появилось.


уехал в клуб
oleg вне форума   Ответить с цитированием
Старый 19.10.2007, 17:58   #102
ziga
участник
 
Аватар для ziga
 
Регистрация: 14.10.2007
Адрес: Тверь
Сообщений: 318
Поблагодарил: 10
Поблагодарили 12 раз в 11 сообщениях
ziga стоит на развилке
По умолчанию

ЦИТАТА Может кто уже хавал это, про что я? Я все понимаю, что есть алгоритмические грабберы, но для простых юзеров пака доступны только грабберы с помехой!!! И тема будет актуальна, пака все граббостраители криптологами не станут!
======================
Одно другому не мешает.
Все на алгоритм не хватит жизни, да и позволят ли производители? До этого наюзал штук 50 типов с брелков, а стал мониторить эфир и обалдел их сотни. Одних ответок уведомления десятки. Имеется ввиду структур, про битовое содержание не говорю. Очень много похожих структур на STARLINE в частности 56, 48, 32 бит. А есть просто с другим синхропакетом.
Думаю нужно поднимать отдельную тему, крипто аналитика может быть подтемой, но кроме килока, про него и так уже почти все сказано.
--------------------
ЦИТАТА чёт никуя не пойму как в нём кодируются кнопки.
------------------------
Как уже говорилось выше фрагмент команды 8 бит. Но все 256 комбинаций не используются. У разных брелков по своему. Встречал 5-6 модификаций. Может их больше и они пополняютя. Самую рапространенную на мой взгляд занес в реестр этого типа. Опознается кнопка 20-30 процентов. Город 1 мл.
Тут говорилось о других типах с таким же форматом кода (12х4Т+64(2X[2T/T]))
кто может знает, как их различать, может по фрагменту команд? И одинаковые ли у них алгоритмы предсказания. Вообще путаница с этими брендами, нужно вводить какую-то свою классификацию типов.

lll добавил 19.10.2007 в 17:23
ЦИТАТА ОТ TVIKTOR 06.03.07 Для снятия с охраны старлайна достаточно двух подрад записанных посылок.В этих посылках 32 бита динамическая часть 24 бита код пульта и 8 бит код кнопки. Тебе необходимо жестко прописать в контроллер граба динамическую часть и код кнопки. Остается отсканировать код пульта старлайна и подставить в нашу посылку. Нажав на кнопку града он выдает две подряд посылки и сигналка снимается. Теперь у тебя эта машина в памяти граба и открывай в любой для тебя удобный момент. И ненадо вынуждать хозяина нажимать на пульт несколько раз.
===================================
Как я понимаю с вашего ответа алгоритм динамической части 32 бит не зависит от постоянной части 24 бит + 8 бит команды. И что значит жестко прописать.
Так ли это, может кто знает?

Последний раз редактировалось ziga; 19.10.2007 в 18:23. Причина: Добавлено сообщение
ziga вне форума   Ответить с цитированием
Старый 19.10.2007, 18:54   #103
oleg
продвинутый фрикер
 
Аватар для oleg
 
Регистрация: 22.01.2007
Сообщений: 2,080
Поблагодарил: 191
Поблагодарили 2,192 раз в 427 сообщениях
oleg скоро станет знаменитым(-ой)
По умолчанию

Теорию TVIKTORА я проверял, записал две хоппинговые части и доклеивал пойманный серийник и кнопки, от другого пульта, хрен не открывается сига, пака не нажмешь на тот пульт и на ту кнопку, с которой и был сдут хоппинг, и открывалась свая сига! Тему старлайна А6-9 изучил всю, почти. Нажатая кнопка и индификатор влияют на хоппинг 100%. Ее слабость заключается в том, что нет в брелке флеша, при вытаскивании батарейки отсчет начинается с нуля, коды повторяются! Перечитай всю тему старлайна, мутерно конечно, но все прояснится.


уехал в клуб
oleg вне форума   Ответить с цитированием
Старый 20.10.2007, 00:08   #104
ziga
участник
 
Аватар для ziga
 
Регистрация: 14.10.2007
Адрес: Тверь
Сообщений: 318
Поблагодарил: 10
Поблагодарили 12 раз в 11 сообщениях
ziga стоит на развилке
По умолчанию

oleg, Еще раз спасибо, но такую теорию, я слышал и ранее вроде даже про килок, но не сталкивался, не катило ни на одной сиге. То что старлайн восстанавливает валидность я знаю. Катит ли такое, что говорил TVIKTOR хоть на какой сиге? И не разновидность ли она килока, только модуляция другая.
И еще с каким интересно мануфактурником идут чистые с завода HCS , 00000.... али 111111...... может производители и неудосуживаются их шить? програматор на них стоил бобла снобиски.
ziga вне форума   Ответить с цитированием
Старый 20.10.2007, 09:17   #105
oleg
продвинутый фрикер
 
Аватар для oleg
 
Регистрация: 22.01.2007
Сообщений: 2,080
Поблагодарил: 191
Поблагодарили 2,192 раз в 427 сообщениях
oleg скоро станет знаменитым(-ой)
По умолчанию

Не думаю, что теория вообще достойна внимания, она построена на двух последовательных волшебных посылках. Пульт где нет флешь памяти, обречен дублироваться другим устройством (граббером), надо сдуть всего две посылки с пульта и сим сим. А если взять два хоппинга с этих посылок и вклеить туда посторонние хвосты с серийником и пытаться что-то открыть, то это бред полный. В кейлоге в брелке стоит флешь память, подобные мысли должны обойти этот кодер, глупость полная. Нужно задуматься, сколько сигналок еще гоняет, где в пульте нет флешь, вот под их то и надо затачивать мой граббер. Движок моей проги очень простой и не требует большей мощности передатчика (10милливат хватает), логика моей программы не содержит таймеров и прерываний (на первом этапе обошелся без них) Ты вроде писал, что у тебя есть черный список ответов от разных сиг, которые наводят смуту на граббер. Не мог бы ты выложить, по какому принципу ты их в бан отправляешь, хотя принцип тут понятен, интересует база ответов, если не жалко выложи. А то мой граббер ловит часто ответ от томагавка. Я пишу на асьме, в мп-лаб, сейчас закончу с основами программирования и куплю монстра PIC18 с USB интерфейсам. Вообще что касается, дыр в сигналках их не так уж и много, Это статический код, это пульты бес флешь, это не меняющаяся часть кода, куда можно поставить помеху. Той зимой с другом ставили забавный опыт с пультом старлайна, вытаскивали батарейку, затем вставляли, нажимали на кнопку и с счетчика ноль, смотрели как код отличен от другого, ну если нажать другую кнопку с нулевой отметки. Динамическая часть при этом менялась, нажатая кнопка вносит свое. Интересен и сам код старлайна, в отличии от кейлог содержание нулей или единиц может доминировать в большую сторону, то преобладание нулей то единиц, в пакете кейлог просматривается какое то равенство. Ходят слухи, что некоторые сигналки проверяют не всю хоппинговую часть посылки, это и про кейлок тоже. Все собираюсь проверить, например если по слухам сигналка проверяет только половину принятого хоппинга, то в другой половине можно биты поменять местами и сигналка откроется, она ведь не проверяет эту часть хоппинга! Вообще может есть какая то защита, есть контрольная сумма или еще чего? Еще слухи ходят, что хоппинг не из всего серийника генерится, можно проверить, записать пасылку и махнуть пару бит в конце серийника, но вот только сигналка может не принять его, сравнив серийник полностью и не признать родство с пультом. Вообще тема сторлайн интересна, сигналок у нас этих пруд пруди, и сигналок с подобными пакетами тоже хоть отбавляй! Сейчас добью кейлок подмену и буду продолжать свою двух кнопку, под ценмаксы и подобные…


уехал в клуб
oleg вне форума   Ответить с цитированием
Старый 20.10.2007, 12:37   #106
The observer
участник
 
Аватар для The observer
 
Регистрация: 02.10.2006
Сообщений: 432
Поблагодарил: 1
Поблагодарили 12 раз в 12 сообщениях
The observer стоит на развилке
По умолчанию

Цитата:
Сообщение от oleg Посмотреть сообщение
Ходят слухи, что некоторые сигналки проверяют не всю хоппинговую часть посылки, это и про кейлок тоже. Все собираюсь проверить, например если по слухам сигналка проверяет только половину принятого хоппинга, то в другой половине можно биты поменять местами и сигналка откроется, она ведь не проверяет эту часть хоппинга! Вообще может есть какая то защита, есть контрольная сумма или еще чего? Еще слухи ходят, что хоппинг не из всего серийника генерится, можно проверить, записать пасылку и махнуть пару бит в конце серийника, но вот только сигналка может не принять его, сравнив серийник полностью и не признать родство с пультом

Обязательно хопинг в кейлоге берется целый - на его базе делается декрипт! а уж потом проверки!
The observer вне форума   Ответить с цитированием
Старый 23.10.2007, 10:05   #107
ziga
участник
 
Аватар для ziga
 
Регистрация: 14.10.2007
Адрес: Тверь
Сообщений: 318
Поблагодарил: 10
Поблагодарили 12 раз в 11 сообщениях
ziga стоит на развилке
По умолчанию

Цитата:
Сообщение от oleg Посмотреть сообщение
Еще слухи ходят, что хоппинг не из всего серийника генерится, можно проверить, записать пасылку и махнуть пару бит в конце серийника, но вот только сигналка может не принять его, сравнив серийник полностью

---------
Очень давно сталкивался с таким, по моему отрезал до десяти бит с каждого цуга и канало, какой килочный бренд не помню.
============================================
Цитата:
Сообщение от The observer Посмотреть сообщение
Обязательно хопинг в кейлоге берется целый - на его базе делается декрипт! а уж потом проверки!

-----------

А это верно, замена любого бита все херет.
============================
oleg;;;;;интересует база ответов, если не жалко выложи. А то мой граббер ловит часто ответ от томагавка. Я пишу на асьме, в мп-лаб, сейчас закончу с основами программирования и куплю монстра PIC18 с USB интерфейсам.
---------------
Структуры прикрепленных файлов нужно занести в черный список, кстати одна из них принадлежит ответу ШЕРХАНА 63 БИТ, а сам он (51 бит) у меня давно предсказуем, если интересно?
Из раздела анализаторы ответил тебе в личку, а то все у нас не по теме получается.
Вложения
Тип файла: rar otwet.rar (11.0 Кб, 114 просмотров)
ziga вне форума   Ответить с цитированием
Старый 18.02.2008, 09:14   #108
oleg
продвинутый фрикер
 
Аватар для oleg
 
Регистрация: 22.01.2007
Сообщений: 2,080
Поблагодарил: 191
Поблагодарили 2,192 раз в 427 сообщениях
oleg скоро станет знаменитым(-ой)
По умолчанию

Принцип работы.

Привет! Хочу предложить свою первую демо-версию кодграббера, под сигнализацию Star Line A6-A9 и все то, что работает в подобной кодировке. Почему именно Star Line, потому, что эта моя первая сигнализация, которую я открыл мобильным устройством! И именно мое первое устройство и наш форум, вселили в меня азарт граббостроительства, кстати, мой первый граббер работал без микроконтроллера!

Предложенная демка отличается от тех, про которые я читал в закрытом разделе!!! Построена она на большей дыре в программной и аппаратной реализации, про которую я уже много, много раз писал и еще хочу напомнить. Если записать два кода с брелка Star Line A6-A9, и повторять их в эфир, можно сколько угодно раз открывать и закрывать машину!!! Граббер становится родным брелком!!!

Чтобы заполучить две последовательные посылки, нужно спровоцировать жертву нажать два раза на брелок, при постановке машины на охрану. Проблему я решил так, жертва жмет на брелок, я принимаю преамбулу, затем хоппинг часть из четырех байт и один байт индификатора. Далее я выдаю помеху, которая убивает три последних байта хвоста первого пакета и все остальные повторяющиеся пакеты. Основной брелок Star Line A6-A9 выдает 10 штук повторяющихся пакетов, я убил 9 с половиной, тем самым испортил постановку на охрану. Жертва неизбежно нажимает второй раз на брелок, и я принимаю второй пакет. Второй пакет я определяю по тому единственному байту индификатора, который оставил в живых при помехе. И так под итожу, первый пакет бью, второй просто принимаю и все, отсюда имею два хоппинга и серийник, то есть те две волшебные посылки, которые могут открывать и закрывать машину хоть до бесконечности!!!

Расстояние и мощность.

В своей практике, я применяю широкополосные приемники (суперрегенеративные) и передатчики мощностью 2-10 милливатт! 2 милливатта контурные и 10 милливатт с четверть волновой антенной. Максимальное расстояния сграбливания кода достигало 100-150метров при мощности передатчика 10 милливатт, про самые невероятные масштабы я мог судить только по осциллографу, это когда после выброса сграбленного кода, я не слышал и не видел машину жертвы, а видел только ответку от машины в осциллографе!!!!!!!!!!!!!

Чем примечательна моя демка и ее фишки.

Демка будет работать так, как я уже выше излагал, ловить первый пакет, давать провокацию на второе нажатие и незамедлительно выкидывать записанные пакеты, тем самым вводить в недоумение авто владельца. Время отведенное на выброс пакетов будет небольшим, по этическим соображениям. Это минусы конечно, но есть прикольный плюс, так сказать фишка! Давно мучаюсь с тем, что после того, как я принял первый пакет, я жду второго, а он может не придти и приходится нажимать ресет и еще раз ресет. Почему так приходится делать, потому, что эфир засран ответами от сигналок и в 1 из 10 случаев клев удачный. Что я сделал, чтобы не мучатся и не сбрасывать контроллер, я взвел таймер0 на 5 секунд примерно и теперь если мой граббер ловит какой-то левый пакет, он маленько ждет и сам ресетится. Если по какой либо причине провокация на второе нажатие не сработала, (мощности передатчика не хватило, или жертва была сильно близко к машине) то граббер тоже сам проресетится, не обременяя пользователя излишними манипуляциями.

Иллюминация, светодиоды и бипер-пикалка.

Кроме приемника и передатчика, граббер оснащен тремя информационными светодиодами и пищалкой. Суть светодиодов сводится к следующему. После включения граббера, вам подморгнет синий светодиод его время чуть меньше секунды, он символизирует о начале программы, это же подмаргивание будет и после само-сброса. Дальше, если прием части пакета состоялся, то на время помехи, перекрывающей все 9 шт повторяющихся пакетов, будет гореть также этот синий светодиод, после него загарается красный светодиод, символизируя принятие первого пакета, (части его если точнее). Если клиент жмет второй раз, как по сценарию, то красный светодиод гаснет и загорается зеленый, символизируя победу. Победу также протрубит (пропищит) бипер, пикнет он два раза, буквально так же как пикают пейджеры с обратной связью! Мгновенно после этого, граббер будет выкидывать коды, машина то откроется, то закроется (будет определенный лимит естественно), затем авто ресет. Когда граббер будет выкидывать коды, так же будет подмаргивать синий светодиод.

Мои впечатления от использования и разработки кодграббера.

То, что творческий экстаз меня переполняет это мягко сказано. Сильно понравилась фишка с авто-ресетом, намучался я с этой кнопкой, приходит что-то левое, приходится тыкать и тыкать эту кнопку сброса. Сейчас чувствую себя рыбаком кодов, делать не чего не надо, все само собой попадается в граббер. Много двух кнопок попадаются, это точно не Star Line скорее C-MAX или как там его, хотя по звуку с крякалки из под капота, складывалось впечатление, что сигналки каждый раз разные. За один вечер выуживал около 6 машин, которые парковались под окном во дворе. Всю ловлю производил этажа так с седьмого. Что-то еще ловил, но не было видно, только в осциллографе ответка шла, после выброса кода, почти сразу пакет прилетал.

Пожелания и доработка, изменения иллюминации.

Готов внести любое изменение в программу по желанию юзера, исключение составляют мольбы о полной версии прошивки, покупке и т.д. Могу изменить время авто-ресета, поменять порты для вашей более удачной разводки печатной платы и т.д.

Про исходник.

Его я выложу в закрытом разделе, комментариев не будет, не охота подписывать, но могу аргументировать все, начиная от алгоритма построения программы, заканчивая любой процедурой в программе, отвечу на любой вопрос!

Про хекс.

Он тоже будет лежать в закрытом разделе. Ну а если у вас нет прав на закрытый раздел, не чем не могу помочь.

Особенности схема-техники.

Все три светодиода подключаются к минусу, управление идет по плюсу. Каждый светодиод содержит в цепи токоограничивающее сопротивление 500 Ом. Бипер (пищалка), также содержит сопротивление в цепи, оно подбирается таким образом, что бы ток потребления был не более 10 миллиампер. В моем случае это 200 Ом, бипер уже содержит внутренний генератор и на него подается только постаянка с ноги контроллера, его марка (бипера) 1205 FXP. Контроллер PIC18F252 питается с 5 вольт, стабилизатор произвольный крен5 или импортный 7805 и т.п. кварц 4мГц.
RA0 (нога № 2) – бипер (пищалка)
RA1 (нога № 3) – зеленый светодиод
RA2 (нога № 4) – красный светодиод
RA3 (нога № 5) – к передатчику
RA4 (нога № 6) – к приемнику
RA5 (нога № 7) – синий светодиод

нога № 20 - (+5V)
нога № 1 - (+5V подается через сопротивление 1-10 кОм (нога для ресета, если надо))
нога № 8 - (-5V)
нога № 19 - (-5V)
нога № 9 - (для кварца)
нога № 10 - (для кварца)


Про печатную плату и разводку.

У меня все работает на прикольной макетке. Печатную плату я не разводил, но собираюсь как не будь это сделать. Принципиальную схему, я нарисовал в программе Paint, но все ровно при сборке будет не лишним опираться на датошит! Я его тоже прилагаю, файл в формате Adobe Reader. (вот черт, он не влазит, кочните с инета)

Про то, как запрограммировать мой контроллер.

Я использую программатор < ICD 2 > это внутрисхемный отладчик, недавно купил (пиратскую версию). Мой контроллер не шьется простыми программаторами, типа PonyProg2000 и подобными. Поэтому, этот этап может быть и не преодолим, для кого-то.

Мои рекомендации.

Прежде чем собраться с силами и повторить предложенный девайс, изучите эфир, может в вашем регионе, нет в помине Star Line A6-A9. Про формат пакета, можно прочитать в разделе формат пакета Star Line, в ветке нашего форума. По поводу отличительной черты данного пакета я готов помочь, напомнить времена и количество бит, стоит только спросить. После удачной отладки, контроллер можно заменить на планарный, он достаточно маленький.

Для чего я это все написал, демку и описание к ней.

Исключительно ради развлечения. А также, для демонстрации уязвимости электронных систем, что бы блюсти основное направления нашего форума, раз я на нем обитаю. Так же, для исключения подобных дыр в современных сигнализациях, что бы человек мог безбоязненно оставлять свое авто в любом месте. Для того, чтобы снизить число угонов, и подобных преступлений, связанных с неправильной реализацией системы защиты! Так же, предупредить покупателей сигнализаций марки Star Line A6-A9, что эта сигнализация имеет нулевой класс защиты.

Про жертвы моих экспериментов.

За последний год пострадало немало людей, от моих отладочных манипуляций с кодграббером. Пострадали их нервы, а материальное положение осталось неизменным! Мной не было угнано не одной машины, а также я не когда не способствовал подобным деянием, скорее наоборот. Изо дня в день, я вселял в людей бдительность, когда баловался кодграббером.

Права на прошивку и ее использование.

Проделанный труд, совершенно на безвозмездной основе, я выкладываю для пользователей данного ресурса.

Автор прошивки и схемы: <<OLEG>>.
Вложения
Тип файла: rar Тут произошел авто ресет.rar (212.5 Кб, 245 просмотров)
Тип файла: rar мои жертвы.rar (953.3 Кб, 246 просмотров)
Тип файла: rar это прием состоялся.rar (187.6 Кб, 220 просмотров)
Тип файла: rar Реально работающая схема!.rar (14.2 Кб, 333 просмотров)


уехал в клуб
oleg вне форума   Ответить с цитированием
Старый 18.02.2008, 10:55   #109
tviktor
начинающий фрикер
 
Аватар для tviktor
 
Регистрация: 28.03.2006
Сообщений: 536
Поблагодарил: 0
Поблагодарили 30 раз в 25 сообщениях
tviktor стоит на развилке
По умолчанию

Цитата:
Сообщение от oleg Посмотреть сообщение
Теорию TVIKTORА я проверял, записал две хоппинговые части и доклеивал пойманный серийник и кнопки, от другого пульта, хрен не открывается сига, пака не нажмешь на тот пульт и на ту кнопку, с которой и был сдут хоппинг, и открывалась свая сига! Тему старлайна А6-9 изучил всю, почти. Нажатая кнопка и индификатор влияют на хоппинг 100%. Ее слабость заключается в том, что нет в брелке флеша, при вытаскивании батарейки отсчет начинается с нуля, коды повторяются! Перечитай всю тему старлайна, мутерно конечно, но все прояснится.

Да действительная версия была ошибочная,на хопинг влияеет последнии 16 бит серийного номера пульта, код кнопки не влияет.
Грабер на серию А очень просто зделать прям в двусторонем пульте, причем он будет дубликатом хозяйского пульта.
tviktor вне форума   Ответить с цитированием
Старый 18.02.2008, 11:15   #110
oleg
продвинутый фрикер
 
Аватар для oleg
 
Регистрация: 22.01.2007
Сообщений: 2,080
Поблагодарил: 191
Поблагодарили 2,192 раз в 427 сообщениях
oleg скоро станет знаменитым(-ой)
По умолчанию

Цитата:
Сообщение от tviktor Посмотреть сообщение
Да действительная версия была ошибочная,на хопинг влияеет последнии 16 бит серийного номера пульта, код кнопки не влияет.
Грабер на серию А очень просто зделать прям в двусторонем пульте, причем он будет дубликатом хозяйского пульта.

Еще как влияет, вытащи батарейку с пульта, затем вставь, нажми кнопку закрыть, запомни хоппинг, вытащи еще раз батарейку, затем вставь и еще нажми раз на кнопку багажника уже, и сравни два хопинга!!! Нажатая кнопка шифруется в хоппинг, я это еще год назад знал!


уехал в клуб
oleg вне форума   Ответить с цитированием
Ответ

Метки
starline


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
[Вопрос] формат пакета чип ключа mitsubishi Lancer shnpk Штатные охранные системы 6 06.03.2012 01:01
Формат пакета Sher-khan 6 h2 Охранные системы 130 06.08.2011 15:25
KeeLoq и StarLine, с чего я начинал прием пакета freak Охранные системы 40 13.08.2010 22:26
KeeLoq и StarLine, с чего я начинал прием пакета oleg Программирование микроконтроллеров 8 13.04.2010 10:19
формат пакета KEELOQ h2 Охранные системы 3 03.03.2006 00:40


Текущее время: 17:57. Часовой пояс GMT +4.


Перевод: zCarot