カスカ 懐石・研究 2枚目

このスレはカスカードの仕組みを語り合ったり、懐石した結果を皆で共有するスレです。

ブラカスやマジックカスそのものの話題や法律論はスレチです。
以下のスレに移動願います。
http://find.2ch.net/?STR=BLACKCAS+%28Magic+B-CAS%29+&COUNT=10&TYPE=TITLE&BBS=ALL
ただし、仕組みや解析結果自体はこのスレでOKです。

前スレ
http://toro.2ch.net/test/read.cgi/avi/1331439874/

ﾏﾀｰﾘsage

お呼びとあらば即参上


　　　　　|┃三　　　　　　　　　 /::::::::ハ､＼､::::::::＼＼::::::::::::',　
　　　　　|┃　　　　　　　　　 　 ｉ:::::::ｲ　　｀￣ー─--ミ::::::::::::|　　
　　　　　|┃　　　　　 　　　　　 {::::::::|　 　 ::＼:::／:::: 　＼:::ﾘ-}
　ｶﾞﾗｯ.　|┃　　　　　　　　　 　 ',::r､:|　 <●>　　<●>　　!> ｲ　
　　　　　|┃　 ﾉ//　　　　　　　　|:､`{　 ｀￣ .::　 ､　　　 　 __ﾉ　
　　　　　|┃三　　　　　　　　　　|::∧ﾍ　　／､__r)＼　　　|:::::|　　　　
　　　　　|┃ 　　　　　　　　　　　|::::::`~',　〈　,＿ｨｪｧ 〉　　l::::::》　　　　　
　　　　　|┃　　　　　　 　　　　　|:::::::::::::'､　 `=＝'´　　,,ｲ::ﾉﾉ从
　　　　　|┃三　　　　　　　　　ノ从､:::::::::`ｉ､,,　...　..,,／ |::::://:从

┃|　 三
┃|　　　 　三
┃|　 三
┃|　　　 三
┃|　 三
┃|
┃|　ピシャッ！
┃|　　∧∧
┃|　 (；　　)　三
┃|⊂　　　 ＼

うんこ安芸

前提知識

STD-B25
デジタル放送におけるアクセス制御方式
http://www.arib.or.jp/english/html/overview/doc/2-STD-B25v6_0.pdf

STD-B1
CSデジタル放送用受信装置 （望ましい仕様）
http://www.arib.or.jp/english/html/overview/doc/2-STD-B01v2_1.pdf

>Oishii Slurper
>386: 9034000022001702426c61636b434153206973206c616d65bcbabb24467aba29333da5e4d2674200
> go ahead, show me the last 7 decrypted bytes!

試しに流してみたけど、2012/04/10だった。
Oishii Slurper氏、2020/02/20とかにできる？

>>1
まさか同じスレタイで2枚目ができるとはな…
2ちゃんねるも変態度が増してきたなｗ

Oishii Slurper氏が twitter で何イカってるのかと思ったら、黒粕の中の人に嘘つき呼ばわりされてたのね。。。

言ってることはOishii Slurper氏の方が正しい気がするが、あっちのスレは黒粕購入希望者だらけで、
中の人を攻撃する人いないし、どうみてもフェアじゃない状況（汗

>>7のECM投げてみたけど、期限2012/04/10にならん

>Oishii Slurper
Why did you delete your previous tweets?

ラジオライフに載ってた

>>9
Oishii Slurperのほうが矛盾してる

>>10
ECMだからバージンカードに流したのでは？

>>7
すげーバージンカスに流したらcasinfoでスカパーが2038/04/22になった！！

ごめ、俺>>7だけど、流したのバージンじゃなかった…
もう一度ちゃんとバージンに食わせたら2000のままでした。すんません。

やきそばンのECMってカードの有効期限に関係なく且つ有効期限に影響する
事なくksが返されるだけでしょ。
なんか、解析の方向性を間違えてるような気がする>>やきそばン

2038になるのって、どのサービスID？

この手のecmが全チャンネル分必要で、
今後チャンネルが増えたらそのたびに新たなecmが必要？

SKYLAB CARD TYPE(仮称)の発売予定のお知らせ

GOD-TUNER.NETでは2012/5/1からBSデジタル/CS110度放送全てに対応した
SKYLAB CARD TYPE(仮称)の発売開始を決定しました。

発売日：2012/5/1を予定
商品名：SKYLAB CARD TYPE(仮称)
価　格：59,800円(予定)
仕　様：BSデジタル/CS110度放送(地デジ難視対策衛星放送、ス○パーe2)対応
※ス○パーHDは対応していません。

ただいまこちらのお問い合わせフォームより、予約およびお問い合わせを受付中です。
発売前までに仕様の詳細などをメールでご連絡いたします。

http://www.god-tuner.net/report01.html

焼きそばの解析ごっこはヲチで楽しむのがいい。
今度はアドバイスする弁護士までいる設定にしてるのかｗ
フィクションに行き詰ったらツイを消せばいいのだからいいねｗ

ＵＦＯ仮面ヤソバンがBCAに集る利権屋どもを一撃の元に粉砕事させる事にを応援しよう

解析も出来ない他力本願ｽﾚ

しても壁があるしみたいもんないもん
ヤルモチベはゼロ

弁護士のアドバイスでツイートを消したとか完全嘘だろーｗ
もし自分が弁護士ならアカウントごと削除をアドバイスするわ。
あの貧乏生活で弁護士を雇えるとも思えないし。
ああいう虚言癖のある人って嘘がやめられないんだよね。
ある意味メンタル系の病気。

このスレで、氏の技術評論ではなく人格批判するやつも、メンタル系の病気だな。
あるいは、腹黒CASが悪意をもって書き込んでいるか。

やあ、やきそばん！
にゅうこくできたんか？ww

>>25
ジョークにもならない嘘をつきまくりの人間を擁護する方が変。
あれがお遊びキャラならまた違うんだけどね。

このスレに登場したわけでも
直接書き込んでる分けでもないのに批判する理由ないだろ
黒の工作か知らんが叩きたいだけなら専用スレでも立てろ

ヤキソバンには楽しませて貰ってる
闇プログラマーの称号をあげてもいい

RL〜！
8080は、カード固有じゃないぞ〜
隣接したカードIDだと、応答値は同じになる。
だからKmそのものではないし、ユニークじゃない。
訂正しやがれ！

>>30
ラ○オライフに突っこんだって無駄無駄…
一時期の勢い全くなダメ雑誌だもんね
もしRLがB-CASの2038年EMMか、それに近い形のものを記事に載せる事ができたら
俺、三才ブックスのために何でもやってやるよｗ

>>31

979 ：名無しさん＠編集中：2012/04/26(木) 20:56:17.72 ID:iSTytw+y
ラジオライフ今月号の通りにやったら
赤カスが黒カスになった
スゴイナｗ
980 ：名無しさん＠編集中：2012/04/26(木) 21:02:48.11 ID:7LfNJszF
27ページか

sutema

マジかよあしたラジオライフ立ち読みしてくる

ゴミカード製造ECMだっら面白いのに

なんとなく
赤カスが黒カスになった
でググったら
もしかして: 赤カスが黒いカスになった

@Oishii Slurper

I guess... the reason why he doesn't reply is...

He thought you would never come back,
and made you a lier just for his business.
...But you did !

RLの記事を見て、何人のひとが本気に思うんだろ？
たしかにテレカのときは神記事を載せていたけど。。。
あ、でもちょっと嬉しかった。
拙作のツール、Send8080が記事に出てた。写真で。

ブラカス業者が逃げた！







という自演

RL p27うp

立ち読みしようかと思ったら本屋に無かった

あ、勘違いしてたかも。

バージン粕の７日間無料期間て、サービスIDごとに独立じゃなくて、事業体識別ごと？
例えば、バージン粕でAT-Xだけみたあと７日間たったら、BSアニマックスも見れなくなってる？

>>42
そだよ

>>42
>>43
ｋｗｓｋ

>>30

俺、何枚かまとめて手に入れた番号の近いカードでチェックしたけど、ユニークだったよ？

RL27ページに何が書いてあるの?
すげー気になるんだが

>>46
MJDがFFF8のECMが載ってる

MJD！

>>45
そうなることもあるだろうが、過去スレで散々重複すると報告されている以上、ユニークではない。
事実、俺も重複しているし(新品カードの連番2枚)

>>49
連番2枚って何？
ありえないでしょ

>>49
過去に重複するという報告はないと思うけれど。
あるとしたら君のレスが始めてだ。
ユニークでないと決め付けた発言はいくつかあったけれど。

pBnmlP4q の二つ目かい？

RL見たが、多分まもすけさんの記事パクってる
16bitのコードを地デジに送るとｋｍかえってくるとか、ECMのやつも・・・まんまパクリ

どうせパ来るなら、16ビートの音楽を聞かせると、などと改変しないとｗ

b25decoder.dlll 改造して、B-CAS からの信号を待つみたいなことやてっるんですが、
これであってますか？他の解析方法誰か知りませんか

Oishii Slurper の期限延長って、16日間無料体験がまだならおｋ？

それとも、未受信の完全なヴァージンカードじゃなきゃだめ？

>>56
16日間無料体験を申し込んだ時点で、バージンじゃないんだが。
それとあのECMはワーク鍵識別子が02なので、期間延長しないよ？

>>57
いや、無料体験は申し込んでなくて、パラボラに接続してBSは受信されてしまったカードです。

>>58
それは貫通済みと同じ。
でも、その時にスカパー系以外を見たのなら、スカパーはバージンだったはず。

つか、まるもんとこのcasiinfo使って、2000年1月1日ならバージン。
それ以外なら貫通済み。

>>58
いやだから、たとえ出荷直後のカードでもあのECM使ったところで延長できないってば

解析してる人のサイトとか無いですか？
マルモさんは難しすぎ・・・（ｒｙ
マニュアル誰か作ってくれ

>>61
きみはじつにばかだな、マニュアルができたらかいせきするひつようないじゃないか

>>59　>>60
親切に教えていただき、ありがとうございます。

OishiiSlurperって技術的にはすごいのかも知れんが、人間的にはまさに厨房だな
うまく煽って持ち上げておだてりゃ未来のECMとか公開しちまいそうだ

そんな話はどうでも良いんだが
そんなにこのスレを荒らしたいのか？それとも黒売りの回し者？

>>64
そんなことを書いているキミも厨房の仲間だよ

黒粕 スレはなりすまし業者の影があるよね

総当たりで改ざん検出を突破しただけの何が技術的にすごいんだか。

>>68
総当りするためのPASS/FAILの判断はどうやっているの？

>>68
総当たりで、どうやってカードID指定のKw削除ECMを作るの？

コマンドの先頭さえ解ってれば後は総当りで投げて
反応見れば分かるだろ

やきそばは２ちゃんに書き込んでいないという思い込みが、
釣りを効果的に仕上げている。

>>71
それで総当り完了するまでの期間はどれくらいで見積もっているの？

1ECM10年

アルゴリズムだっけ・・・？とにかく、それがわからないと総当たり
やっても意味ないんだよね！

なんか、総当りの意味を理解してない奴がいたり
仕様書に載ってる部分だけでも理解したうえで書き込んでる奴は少ないな

>>68
2038年に改竄したECMが簡単に作れる

簡単ではないな
総当りに要する時間でって言ったほうがいいかな

焼きそばがやろうとしてることを解説すると
独自の解析法を２ちゃんの自演でアピールした後、ブラカスのバッタモンの販売詐欺

難視を2016年までにしたECMが欲しい

総当りだから任意の期限は無理だろ
たまたま通ったコマンドで確認したら2021年の1月9日までだったとかだろ

>>80
SD画質放送だけど関東の番組を見れるのは嬉しいよな

難視は元々無料視聴期間が無いからECMでは無理なんでは。
あと、02(wowow)、03(star)のECMが出れば、blackcasの相対的価値は下がるね。。

>>81
お前は何を総当りさせてるんだ？

「たかが総当り」って思っている奴、本当に多いんだな。

ARIB B25をよく見て欲しい。
改ざん検出部までも暗号化されているので、
その部分だけをffffffffまで投げ終わっても通る保証は全くない。
(CBCなので、同一ブロック上の他のデータに釣られ、復号後のデータが変わるため)

つまり、正常に改ざん検出が通るようにするには、
ECMを復号→改ざん検出部ブルートフォース→ECMを暗号化→カードに投げる
ということをしなくちゃならんわけ。

この方式だと、改ざん検出部が正しいかどうかは、実際にカードに投げなきゃならん。
32bit全てをなめるのに、ICカードのマージンを考えて、約20日が最速。

1日に何個も作れるはずがない。

BLACKCASの中の人が、これを解っていないはずがないんだけどなぁ。

やきそばとかまるもとかおいしそうななまえだな

>>84
うむ。何が言いたいのかよくわからんな

そもそも、ECMを復号→と→ECMを暗号化　はECM暗号化のアルゴリズムがわかっているってことなのか？
暗号アルゴリズムわかってるならソフトカスが作れることになるが・・・

>>84
根本から考え違いしてるよ。

>>86
そうだよな。飛んできたECMをデコードすればいいんだもんなｗ
俺バカだｗｗ忘れてくれｗｗｗ恥ずかしいｗｗｗｗ

…ん？
Oishii氏が、デコードソフトを作っていないということは、
もしかして可変部終端までが暗号化されていて、改ざん検出部は平文ってこと？

俺の仕様書の読み方が悪かったのかな…

>>84
単純計算でカードが20枚あれば1日1個作れるのか
EMMじゃなくてECMってのがミソかな

>>87
ご教示いただきたい。

>>89
すまん、忘れてくれｗｗ

このスレって、誰かが指摘したあと、間髪入れずにさもわかっているフリをして便乗して叩く奴ばかりじゃね？
叩くんならその説明してもいいと思うんだけど。

改ざん検出部は必ず最後の４バイトなので、
もし暗号化部分のバイト数を８で割った余りが４、５、６、７バイトのいずれかであれば、
改ざん検出部全体がＣＢＣではなくて、ＯＦＢの扱いを受ける。

そうであれば、その部分はストリームとＸＯＲをとられるだけなので、
最後の４バイトの総当たりアタックでよい。。

と考えたんだけどあってる？

「90 34 00 00 xy ..」の y が (7, 8, 9, a, f, 0, 1, 2) のどれかであればＯＫ。
（非暗号部が３バイトあるため）

>>92
多分合っている

1Eと02は余り3
03は余り1
17は余り0

最後4バイト総当たりで一番行けそうなのが事業体識別17のe2かと

>>91
説明できないから後から叩くんだよ

ごめん大嘘だったw

あと、Ks-even の２〜３バイト目を

今のKs-even の２〜３バイト目　ＸＯＲ　現在日付のＭＪＤ　ＸＯＲ　0xfffff8

に変えればＯＫ？

これで平文 Ks-even は何か不明な値に化けて、平文ＭＪＤは 0xfffff8 に化けることになるはず。

>>96
無料7日体験が確実に+7ならそれでいいと思う。余裕を持たせて少し減らすのもあり。

>97
確かにそうですな。。オーバーフローしたらユリウス紀元年とかにｗ

しかし、カードから０．１秒で応答があると仮定して 92> に書いた総当たりをしたとすると、
電卓叩くと５０００日って出た。

84 の、一日に何個も作れるはずがない、という結論は正しいのでは。

93,95>

え、嘘なの？
てことで今の放送で調べてみた。Ｓｔａｒは無料放送してて有料時のＥＣＭがわからんかった。

90 34 00 00 43 04 17 01
90 34 00 00 26 04 02 02

うわ、どっちもだめだ。。。

そんなどうでもいい推測してるぐらいなら、さっさとファーム抜いて
解析したほうがいいんじゃね？　なんか見てらんない。

>>100
中学生はちょっと黙れ

ICチップの内容を抜くなんてカス解析よりも何倍も難しいわけだが？

多分USBメモリか何かと勘違いしているんだろうなぁ
それかDSソフトとか？

I/Fがバスでアクセスできるデバイスは割りと簡単に抜ける。その後にどういう暗号化されているかは知らんがな。
でもコマンドだとそうもいかないのは知っておくべきだと思うんだ

過去ログみると、@OishiiSlurper は、今は消されてるツイートで、
Ks-odd ＋ Ks-even の１６バイトを使ってメッセージ生成してる。

E() を知らなければこの最初の８バイトは作れないので、
blackcas の言う、改ざん検出の brute force というのは絶対ないはず。

0xb599e3b9e6e0a013 = E(IV XOR "oyasumin")

ーーーーーーーーー過去ログ　BLACKCAS (Magic B-CAS) 43枚目　ーーーーーーーーー

575 : 名無しさん＠編集中: 2012/04/06(金) 01:13:59.88 ID:c1boQFKh [2/2回発言]
@OishiiSlurper
#bcas decrypt for a message 903400001e441e02b599e3b9e6e0a0130016877f4e935a3f49d4c045642ae6cf1c017b00

585 : 名無しさん＠編集中: 2012/04/06(金) 01:52:31.23 ID:Pm/JFBP9 [1/1回発言]
>>575
00 15 00 00 08 00 4F 79 61 73 75 6D 69 6E 61 73 61 69 20 32 63 68 00 90 00

586 : 135 : 2012/04/06(金) 01:57:25.76 ID:LhTLn/sj [6/8回発言]
>>585
oyasuminasai2ch.

>>104
9034000022001702426c61636b434153206973206c616d65bcbabb24467aba29333da5e4d2674200
the ECM date is 2038 already.

e2無料で見られて良かったな

>>105
ねぇ単発君。
それを付き着けてどう思った？
してやったり！そう思った？

これ、全く意味のないECMなんだけど、それでも
してやったり！
って思った？

ていどひくいな。なにもデッドコピーや動作シミュレーションのための
回路抽出しようってんじゃないんだから、ラボに依頼してマスクROMの
パターン撮影するだけでいいだろ。お前らの安月給１ヶ月分ぐらいで
済むはずだ。それも払えないなら都産技研行って開封器借りろ。
>>102
憶測で解析ゴッコ続けて成果出す方が数万倍も難しいわ。
>>103
ICカードのチップ内にもバス配線はあるってことを知っておこうね。

>>107
自分でやれよ。できるもんなら。

みんなー！彼が解析してくれるってよー！

>>107
このIC技術はカス専用じゃないんだぞ
抜けるなら色々な事に使えて大変な事になってるわ
中途半端にしか知らなかったんだろ？白状しろよ

>>108
あーみっともない煽りをしちゃって。お前には羞恥心がないのかい？
解析は職場の機材でとっくにしてるの。仕事柄物好きが多いんで、
BLACKCASが話題になってから余ったカード持ち寄って研究会が自然発生した。

>>109
うん。実際抜かれて、実際大変なことになってるケースが沢山あるよ。BLACKCASの
存在もその一つだと思うんだ。じゃあ引き続きコマンドのめくら打ち頑張ってね。

ていうか解析／研究と銘打たれたスレの割にレベル低すぎじゃね？
中には開封しないまでも、リザルト返すまでのクロック数や消費電流を計測してる
奴が居ると思いたい。

>>110
>>104
解析できてるんならこういうの作ってよ

このｽﾚには口先だけの虚言癖しかいません

うゎ〜〜〜、危ねえ危ねえ・・・
MJDがFFFFになるようなXOR値でアタックしてた
+7日されるのを綺麗サッパリ忘れてたよ
約3週間が無駄になったが、ここで気づいて良かった・・・

解析完了してるのに今まで黙ってて何故か突然、解析出来てますから宣言
しかし成果物は皆無

乞食ウォッチングスレですし

誰か素人にわかるように説明してくれ！

今さら 96 の訂正。
✕ 0xfffff8
○ 0xfff8
MJDは２バイトでした。

113>
OFBに改竄検出４バイトが収まりきらない問題はどうしてる？

ここまで成果なし

>>110
ファームってマスクROMに入ってんの？
スマートカード用の汎用チップがあって、フラッシュにB-CASのファーム書き込んでんじゃないの？

>>119
それやったことあるけど、なんにもなんないよ

ECM解析するよりバージンカードに戻るような穴探したほうが速い気がしてきた・・

>>121
戻らない気がする
書き込み専用領域でも設定されてたら何しても無駄だし

>>119
無知に聞いても無駄だろ
黒粕程度で大変な事とか抜かしてる池沼だぞ

Kw消すことができるECMのコマンド(?)で契約情報も初期化できたりしないのかな。
Kwはそのままで契約日時だけ。
……そんなうまい話はないか。

それ、今月号のラジオライフのってる
Kwキーを全消去するらしい

>>121
地デジ見れなくするコマンド投げてB-CAS社に交換してもらうw

>>117
暗号文のKs-Oddを変化させれば2^32分の1の確率で改竄検出が元の値と同じになる。

あと、推測だけど最後の7byte未満の半端プロックは単純なOFBでは無いと思う。
理由は、キー固定・初期ベクタ固定・データ長(事業体毎に)一定では疑似乱数にならないから。

>>126
＞暗号文のKs-Oddを変化させれば2^32分の1の確率で改竄検出が元の値と同じになる。

これホント？
例えば
8バイトから4バイトの改ざん検出を生成するとして
8バイトを左右分割後それらをxorして生成　L4 xor R4
R4を2^32-1回攻撃しても一致しないんじゃない？

チップの表面剥がして顕微鏡で撮った画像をアップするのはアウト？

分解した写真公開して捕まるって話は聞いた事ないな

>>128
問題ないのでは？
でもそれで分かるのってチップサイズ、プロセスルール、回路規模、メモリサイズ程度

>>128
たしか、B-CASの中のCPUかなんかにアクセスすると、
破損するみたいなこと聞いたことあるぞ

>>128
パクられる事は無いと思うけど、約款には抵触するだろうねえ。

やっぱラジオライフ的な解析だったら、オシロスコープ使って…とか
物理的に引っぱがして、ここらあたりを専用の機材使って…とかやって欲しいな。
丹治佐一さんがまだ生きていたなら「BーCAS吸出し機」とか作ってそうなんだけどなぁ

磁気造影剤の出番ですか！

>>110
このスレって不思議だろ？ちょっとでもヒントになることをいろいろなアタック方法で
積み上げていくのが暗号解析の常識なのに、
・一発回答しか望まれてなく、それ以外は何書いても全否定で技術的は話で盛り上がったりはしない
・特にハード的な解析は、待っていたかのように的外れな煽りで溢れかえる

つまり、技術的には素人同然で単なるタダ見したいだけの貧乏人と、
なんとしても解析の進捗を阻止したい人間の２種類が占めているようだ。

特にはハードウエア方面からのアタックは相当警戒されている感じ。

日本のハッカーなんて大したこと無いからしょうがない
たまに16進ダンプ見かけるけど、あれB-CAS壊れるんだよね

>>135
110の書き込みにヒントなど無いがな

>>136
お前の言う「ハッカー」が解析分野の事なら世界トップレベルだ
ネットを使ったハッカーなら数が少ないだけで個人単位なら差はない
飛びぬけて優秀なハッカーなら大半は「元」がついてる

>>133
そうなんだ、丹治佐一さん亡くなっていたのか・・・
まあ、年な人だったし当り前か。

今日、ラジオライフ立ち読みしたけど、簡単にネットで見つかる情報だけじゃん。
B-CASの何のコードが載っているかと思えば、例のKw消去のコードだけだし。

あーあ。ID:Z/N/eSW9 みたいな馬鹿がいる限り有益な情報がここで共有されたり
何らかの進展をすることは100パーセント無いだろうな。なんかがっかりだわ。
まあ2ちゃんねるらしいと言えばそれまでだが。

ちょっと話しは逸れるが、流通してる全B-CASの中でM002って何割くらいあるの?

7割くらい

>>141
ttp://www.b-cas.co.jp/www/company/finance.html

取引額から計算してみるぐらいしかわからんと思う

ttp://2sen.dip.jp/cgi-bin/dtvup/upload.cgi?page=0&lm=10000
up0913
EMM無効化出来る奴があるってことは・・・
ネット上にある情報組み合わせればクラック出来るんじゃね？

>>144
何言ってるか分からない

ブラスカはKwキーを元にEMMコード作ってるから・・・（ｒｙ
つまりニセのEMM投げれるならブラスカと変わらんｗｗｗｗｗ

>>144
EMM無効ってのは、カードにEMMを投げないってだけなの。
PC前提のこの板なら当然な話だろうけど、家電組も混ざっているから…
家電だと、今のところ特殊なH/Wを作らない限り、自カード宛のEMMを回避する方法は無い。

…それにしても、丹治氏は本当に亡くなっているのか？
バッ活やらベーマガやらでその名を見ないものは居ないだろう、「Tanji.」のサイン。
でも亡くなられたことを示すものはGoogle先生に聞いても判らなかった…

9034000021441e02a85a1f47604902d18df9207b36f50ba9a631f29414bf0bd6a44c846ed88400
9034000021441e0254686973206b696c6c73204e484b0000dd59ee93d82e39b8e41177db5df300
903400001e441e025468697320646f65736e74206b696c6cc789b779272b0d82775c9100
9034000026441e0254686973206b696c6c20706f73743139df3bf2ec5421956e252e3300d6c91f42408e0000
これの逆があったらいいのにね

とりあえず10/1まで無料でBSとCS見とこうよ

>>149
10/1って何？

10月1日のこと

>>146
EMMの暗号化のキーは、KwじゃなくKmだってば。
そしてブラスカじゃなく、ブラカス。
なんでこんなレベルのが湧いてるんだ・・・？

>>151
それまでに、有効なEMMの作り方を見つけ出せればいいけど、
今は無理かな…俺も含めて。

>>126

＞暗号文のKs-Oddを変化させれば2^32分の1の確率で改竄検出が元の値と同じになる。

そうすると、Ks-Odd平文とKs-Even平文の１２８ビットが派手に変わっていくことになるけど、
どういう意味だろう。。。としばらく考えた。

↓今ふと思ったんやが、こういう意味？

Ks-Odd暗分の2^64の中には、期待値として2^32個くらい「当り」が入ってるだろうから、
2^64総当たりとはいっても、2^32総当たりと同じくらいの平均時間で
「当り」のうちの一つにぶつかるんじゃないか、と？

それは考えもせんかったなぁ〜
平均どのくらいの時間で、標準偏差どのくらいなんやろ。。
結果的に2^32の１０倍とかかかってしまう確率も、そこそこあるよね。

＞あと、推測だけど最後の7byte未満の半端プロックは単純なOFBでは無いと思う。
＞理由は、キー固定・初期ベクタ固定・データ長(事業体毎に)一定では疑似乱数にならないから。

確かに単純OFBだと、事実上暗号化してないのとあまり変わらないレベルになるね。。
まあ、平文の改ざん検出の時点で十分優秀なハッシュ関数だからそれで問題はない、って判断した可能性もあるけど。

このOFBって、前Blockの暗号文をもう一度暗号化したものと平文のxorだよね？

・最終ブロック(nブロック目)が8バイトの場合はCBC
C_{n} = E(C_{n-1} xor M_{n})
・最終ブロックnブロック目)が8バイト以下の場合はCBC
C_{n} = E(C_{n-1}) xor M_{n}

直前のブロックC_{n-1}はCBCでそれなりに拡乱されているから、
OFB部分もそれなりに安全な気がする。nが極端に小さいと怪しいけど。

＞・最終ブロックnブロック目)が8バイト以下の場合はCBC
＞C_{n} = E(C_{n-1}) xor M_{n}

OFBの間違い。スマソ

↓こうなるのかと思ってた

・最終ブロック(nブロック目)が8バイト以下の場合はOFB
C_{n} = E^n(IV) xor M_{n}　　　※M_{n}より長い分はカット

>>137
>中には開封しないまでも、リザルト返すまでのクロック数や消費電流を計測してる
>奴が居ると思いたい。
じゃあこれ試してみたのか？サイドチャネル攻撃対策回路が入っていたのか？

B-CASの中にCPUが入ってて、これ解析しょうとすると
プロテクトがかかる用になるってるんだけど、この名前知ってる人いませんか？

>>158
SOCMですね。
プロテクトってほどのものじゃないけど、ガードはかかるよね。

ttp://www1.axfc.net/uploader/Sc/so/296805.zip
dececm_AMD.zip これのパスワード分かる人いませんか？

>>160
MULTI2

>>160
ChinCopKiller

>>160のパスワードは>>161が正解

>>161
>>162
ありがとうございます

dececmのコード解析してた人どこいったんだろ。

dececmの擬似乱数発生アルゴリスムについて前スレに投稿したのなら俺だけど何か。

>>166
ソースくれ！

2005年に買ったパナの32LX500についてた粕だけM002だった

テキトーな理由でB-CAS発行してもらえば
結構M002が来るよ

>>166
ソースお願いします

>>158
どうやってCPUって解析するの？

地デジもCS110も放送してない時代のT001なんだけど、数少なすぎて穴見つかってない？

穴見つかる前にバグ由来の寿命で壊れるレベル

どなたか、M001CA10のカードをお持ちではないでしょうか？
このカードで地デジを試聴しながら
"80 91 00 80 10"のコマンドを試していただきたいのです。
"15 F8 C5 BF 84 0B 66 94 9F AB C0 3A ED 33 67 C5 90 00"
こんな感じのレスポンスがあると思いますので、
これと比較して"同じ"か"否"かを知りたいです。
よろしくお願いします。

基本的な質問ですいません。。。
無料視聴期間中の契約確認コマンドの応答って、

　・７日後より後を指定　⇒未契約
　・７日後以前を指定　　⇒契約済

ですよね？
指定する契約確認情報がバージン喪失時のサービスのものでも、
同一事業体内のそれ以外（一度も見ていない）のサービスのものでも、同じでしょうか。

>>175
コマンドの応答に未契約は無い
b25読んだの？

すいません、いまスクリプトを書いているとこで、
b25は見てはいたんですが言葉が適当でした。。。

✕コマンドの応答　○リターンコード
✕未契約　○非契約（\x8XXX）
✕契約済　○購入済（\x0XXX）

無料視聴期間中は、同一事業体内の全サービスが７日先まで購入済で返ってくるんでしょうか？

TVの反応見ると最初の無料期間だけ特別扱いな気がする
処女専用の管理フラグでもあるんじゃね？
そもそも、いつどのタイミングで使用開始されるか不明な処女カードのために
個別のカードを狙ったコマンドを投げてるとは到底思えないから
処女専用のコマンドを一定感覚で投げてると思う

×感覚
○間隔

>>177
大体そうなるはず
スカチャンのPPVは非契約が返ってきたと思う

>>178
そのフラグはカードが管理してて、最初にカードに投げられたECMの日時から
1週間後にカード内期限設定されるから、特殊なコマンドなんてないよ。

無いとは言い切れないか。
ただ特殊な処理をしてるわけじゃないってだけで。

遅レスすまんが、>>147の丹さんの事、ちとググってみたら
ttp://toro.2ch.net/test/read.cgi/avi/1323424275/643
ttp://toro.2ch.net/test/read.cgi/avi/1323424275/645
↑のやり取りみて「奥さん死んだ」が「本人が死んだ」と勘違いした人がいたのかも？

>>178
俺、この前処女・赤ｶｽをPCで初運用、TVTestにてEMM処理しないにチェックで
BS・CSちょこっと放送見たあと、casinfoでチェックしたら
見事に7日後で終了なレスポンスだったよ…

>>181さんの言うように、最初に番組解除した日が「通電開始日」になるんでしょうね。
いつまでも処女で…というのは私の大甘な幻想ですた。

>>174
私のカードは同じようにレスポンスがあります。
このコマンドやレスポンスの意味とか目的はあるの？

>>184
日付で管理しているのか、単に初回視聴から７日後というロジックが組まれているかで
ゴニョゴニョできる可能性があるのでは？

日付で管理している場合、放送波から日付を読み込んでるわけで・・・
バージンカードに未来日付情報を与えられれば、その日から7日後までが・・・

過去スレ読めよ…

>>186
赤道一周並みの話題ループはやめようぜ。
できるものなら作ってみろ、って話なんだよ。
まぁ作ったという人もいるんだけどな。

少なくともこのスレとブラカススレの過去ログくらいは全部読んでみ。

>>185
おはようございます＆ありがとうございます。
>このコマンドやレスポンスの意味とか目的はあるの？
STD-B25に記載が無いので推測でしかないのですが、
"80 91"はﾒﾓﾘｰﾀﾞﾝﾌﾟみたいな動作をしているようです。
P2にｱﾄﾞﾚｽ指定(00〜FF)、P3(Lc)にﾚｽﾎﾟﾝｽ長指定(00〜7E)と推測しています。
"目的"？については特にありませんよ。
解析が楽しいからやっているだけです。
"80 91 00 80 7E"を指定するとECMをﾃﾞｸﾘﾌﾟﾄしている様子が見られます。
ただ、どのﾃﾞｰﾀが何を意味しているのかはわかっていませんが。ｗ

>>189
INSに奇数番号の時点で、凄く怪しいコマンドですね。
これ、M001だけなのかな。
今やもう、入手できないのが悔しい。

>>190
うちのM002は69 00
T002・T422は6D 00のゲロ吐いたから、M001だけみたいね。

実家の倉庫に眠ってた32インチブラウン管のカードがM001だったからもらってきたった

どのツールでコマンド試してる？

>>193
俺はたぶんBｶｽ解析スレ時代に入手したsc4ってやつ。
Win上でおｋだったから、こればっかりになってしもうた...
Send8080やSendWUIもあるけど。

175 です。情報ありがとうございます。
バージン入手したので、7> の ECM を投げてみました。

ｔｓから契約確認情報かき集めて、発行してみたけど、
全チャンネル２０００年でも非契約でした。
（ATX、キッズステーション、BSアニマックスから収集）

通電制御情報要求コマンドも、リターンコードA101（該当データなし）。

Ksはちゃんと返ってきてるけど、バージンが維持されるこのECMはいったい何物？？長さも違うし。
Oishii Slurper氏は 2038ECM と言ってるが。。MJD=\xffff にしててオーバーフローだったりして。

※ちなみに M002CA23です。174 のコマンドは6900でした。

ツールは自作の perl スクリプトで、録画鯖の BonCasService にパケット投げてます。

>>195
だから、ワーク鍵識別子が02なので意味ないと何度・・・

>>190
偶数の"80 90"も通りますよ。
ただし、"80 90 00 00 00"だとﾚｽﾎﾟﾝｽが返ってきません。
"80 90 00 58 01 ab"とかにして、(ｱﾄﾞﾚｽ=58,Deta長=01,Data=ab)
ｺﾏﾝﾄﾞを送れば、ﾒﾓﾘｰに書き込まれるようです。
"80 91"ｺﾏﾝﾄﾞでﾘｰﾄﾞすれば、書き込まれているのはわかります。
なぜか、すぐに消えちゃいますけどねｗ

>>192
もし、>>174のｺﾏﾝﾄﾞを試していただけるのでしたらうれしいです。
"同じ"or"否"の回答だけでけっこうですのでよろしくお願いします。

>197
あ、ほんまやね。17 02 ってなってる。やっと理解しました。
７日間無料視聴期間は、17 01、02 02、03 00 だけ有効に初期設定されて出荷されてるのかな。。

>>198
試そうとしたらカードリーダーぶっ壊れてた
KTV-FSUSB2でもいけるのかな
どっかにしまってたはずだが

台湾の中の人、M001のカードから突破口見つけて
それを食えるカードは001と002だけど、001は今の市場じゃほぼ入手困難だったんで
M002かき集めて販売している…という感じなんじゃないのかなぁ？

今のBLACKCASｽﾚが、まだ連邦やGIGAZINEで紹介される前の
まだまだ過疎ってた時にずっとスレ見てたけど、
ﾌﾞﾗｶｽの中の人、最初は青ｶｽでも販売してて、途中から赤のみにしたって書いてたし、
到着した人も赤のMカードだって言ってたし。

契約情報を管理できない青CASでよかったというのが
重要なヒントになっているよ。

じゃあなんで青から赤に変えたんだろ
赤の方が002が多いのかな

青のIDだと赤として使えないTVがあったから

M001 CA10 (2000 番台) のカードってまるもが1EのKw消してカスセンに交換してもらったやつかw

>>205
あぁ、アレって001だったんだ
知らなかったよ
ってか、ここまできて、さすがにB-CAS側も何も手を打ってきてないってことはないでしょ？

だってこのままじゃあマトモにお金出して契約してる私なんざ、バカみたいじゃん。
もうちょっと小ましな暗号方法やっててもいいわけじゃない？
それに↓
ttp://toro.2ch.net/test/read.cgi/avi/1329387562/
あたりのスレから中の人がコテハンつかって出没してるから
今年1月下旬から何枚売ってるんだって話だよね。
日本の監督官庁が無能とまでは言わないが、
いくらおとなしい日本人でも、そろそろ何かアナウンスがないと
「正直者がバカをみてる」状態が続く、ってわけなんだがね。

捕まることを気にしなければ脱税なんて誰でもできるということでは

>>198
メモリーを可能な限りダンプしてどこかに上げてくれれば解析がだいぶ進みそう

TカードでC0 FAの応答が63 00から69 84に変わってしまった
パスワードを間違えすぎたということなのか？

>>174の件、もし帰ってくるのがダンプされたデータなら逆汗すればコード化できるんじゃないか？
CPUがどんなものか知らないけど、まさかオリジナルCPUじゃないだろうし

>>210
80 90 で書き換えても、すぐに元に戻る(>>198)という話なので、RAMじゃないかな。
Kwやファームの置かれる、EEPorFROMは、EMMがないと更新されないし。

どちらにせよ、もっとデータが欲しいなぁ…
とはいえ、今更M001なんかアキバのあの店でも手に入らないし…

どっかのスレで、CPU公開すっるて人いたけど
どっか忘れたｗ

>>211
たとえRAMでもEMM処理させた直後にダンプしたらKmが残ってるなんてことが無いとは言い切れない。そんなに期待できないとは思うけど

>>213
ま、確かに。
KmやKwは、EEPから持ってくる可能性はあるからね。
なのでもっとデータがほしいんだ。
不変部分（または同じデータを吐く部分）があれば、それはstaticなデータを
ROMからRAMにコピーした、と言える可能性が高いから。

>>211
確かにRAMっぽいな。コードの一部だけでもRAMにキャッシュされてたりしないのかな？
いずれにせよとりあえず取れる範囲全部を撮ってみて、その結果見てみないとわからんかな。

>>215
ううむ…キャッシュデータだと、手足がでないよね…
でも気になる文面がRLにあったんだ。
「過去、パナソニック製のカードでKwが漏れた」と。
記憶にないんだけど、もしあったとしたら…ここからかな、と。

>>216
B-CASの内部でどういう挙動してるのか詳しくは知らないけど、ECM処理を連続でさせてる間にダンプしたら処理コードが出てくると予想したけどどうだろう。実際それっぽいの出てるようだし。
これだとKwも流出した可能性もある。

ちなみにM002だと>>174だと"0x6900"が帰ってくるけど、これなんだっけ。B25のpdfにはなかったけど。
あと、M001で"80 90 00 00 00"や"80 91 00 00 00"でのレスポンスって"0x6D00"ってことなのかな？帰ってこないっていうのが何かのエラーなのかわからん。

>>217
俺も実際の動作をさせてみたわけじゃないので、なんとも言えないのです。
CPUのインストラクションコードが出てきたのなら、それはそれで大収穫なのでは？
ま、M001のCPUが解らないとなんとも…ですけどね。
なんでもいいので、兎に角今は数がほしいな。そうすれば判ることもあるかも知れない。

また、6900は、「情報なし」として分別されているみたい。
B25ではなく、ISO7816-4にあるかと。

>>218
サンクス。そっちもちゃんと見ないと駄目だな。＞0ｘ6900

M002にも同様のダンプ可能な仕組みが残ってないか調べてみようと思うけど、絶望的だろうなあ。ちょっと弄って残す意味もあんまりないし。

Command not allowed

>>219
M002だと、8090〜8093は全て6900が返ってきてます。
ということは、M001において、直すための相応のバグだったということでしょうね。

…くわ〜！！！M001欲しいなぁ…

>>220
Rasp.が69xxの場合、
0x6900 No information given
0x6981 Command incompatible with file structure
0x6982 Security status not satisfied
0x6983 Authentication method blocked
0x6984 Reference data not usable
0x6985 Conditions of use not satisfied
0x6986 Command not allowed (no current EF)
0x6987 Expected secure messaging data objects missing
0x6988 Incorrect secure messaging data objects
ですよぅ？

×Rasp
○Resp

脳が睡眠を欲しているようだ…もう寝る…

ここの人はみんなこんな感じで解析してるの？
http://uproda.2ch-library.com/520580gT9/lib520580.gif

ガノタ滅びろ

>>147
しーっ

Moo1Ca1o Card only
"90 3C 00 00 08 FF FF (01,05,41,45) 1E (01,02) 00 00 00 00"
"80 91 00 50 70"
Please　Try!

>>227
Thank You
GJ!

>>227
マジやべぇ

>>227
カードリーダー壊れた・・・orz
どうなるの？

>>230
けいあんの人？
BonCasLinkとけいあん用winscard.dllを使えばカードリーダとして
使えると思うけど・・・・
ど、ど、ど、どうなる？るって、い、い、言われても、も、
229さんのいう通り、ヤ、ヤバ、ヤバぃて、て、

>>227
おい、カード壊れた。どうしてくれるんだよ（´・ω・｀）

fuck you‼

>>231
お前すごいな！どうして俺が慶安だとわかった？

2000番台のカードあるけどcasinfoかけたら
system_key:
363104664b17ea5c
32df9cf5c4c36c1b
ec993921689d4bb7
b74e40840d2e7d98
init_cbc:
fe27199919690911
bcas_card_id: 2000xxxxxxx
card_status: 0000
ca_system_id: 0005
error - failed on B_CAS_CARD::get_card_id() : code=-6

だって。なんだこりゃ。

>>234
簡単にいえばカードと通信できなかった
b_cas_card.c　の　apduで 0x90のとこらへんを0x80(b21で使われていそうと推測）に変えてみるぐらいかな

b-25に対応してない2000番台のカードだからapduの仕様がわからん

>>227は契約確認コマンドだよね？
そしてその後のコマンドは、読み込み…
カードや周辺機器が壊れることは、99%無いと思うんだ。

…で、ヤバイって？KwやKmが見えた、とか？

>>236
違うみたい。>やきそばン参照ｗ

>>237
氏が嘘を言っていなければ、なるほど把握。

カス無しに1歩前進ってとこか。

>227: I can tell you that kW isn't there, only intermediate key schedule and decryption round data.

You mean 227 may reach s1-s8 which is generated by extra schedule you menthioned before?

今日日本橋で偶然M001 CA10な赤いのを入手した。

>>174だけど、"否"
条件が微妙だけど、適当にMarumo@BLACKCASなECM食わせた直後に"80 91 00 80 10"をやると
"8D 82 06 C6 2E B1 41 0D 0E 79 DA 62 39 84 A9 FA 90 00"が帰ってきた。
食わせた方法は全部以前スレに上がってたsc4.exe利用。

64bits to 128bits before?
809100xxyy　-> Data 0x60〜0x67 (64bit) 0x80〜0x8F 128bit) This?

OishiiSlurper 22:12
eft window = before, right windows after
http://I.imgur.com/K8RFb.jpg
and this is why cards T >>> M.
Shame I'm not in Japan anymore.

via Mobile Web

OishiiSlurper 22:15
>>240: KW is converted from 64bits to 128bits before decryption.
You can see some of it with 809100xxyy.
via Mobile Web

OishiiSlurper 22:32
Photo is cut off on the right a little. 9ec33 and 737bf.
via Mobile Web

>>243
この画像見る限りだと任意のEMM生成出来てるように見えるんだが、
B-CASIDが123456ってどういうことよ。

無駄だと分かってはいるが、
EMMを手元のM002CA23に食わせてみた。↓
◆Command:
Class=90 Ins=36 P1=00 P2=00 P3=4C Data=000DF8493A404544F4A73973FAB39EC33D193E94CCF026351FBA6A933D29F042E183EE7DC947D0051EF334252365D12B9A24C2370443737BF59CE97B2F9E703F1D5CE9563C60896DB8BCF9D8
◆Response:
SW1:90　SW2:00　Data:00040000a1fe
レスポンスがa1feってなんだ？

OishiiSlurper 23:23
>>244
Yes, card ID can be modified on t card!
via Mobile Web

OishiiSlurper 23:25
>>244
A1FE = emm is not for your card. A107 = MAC failure.
via Mobile Web

>>245
理解したが A1FEなんてB25に記載無いぜ。。
てかT002はカードIDまで変更できるのか？

SSのディレクトリ名ワロタｗ

>>241
こんばんわ＆ありがとうございます。
○もさんがBlackcasからもらったECMはワーク識別が"02"なので、
ことなる結果になります。
私のカードに○もさんがもらったECMを流すと同じﾚｽﾎﾟﾝｽを返します。
通常の地デジはワーク識別が"01"になります。
ご協力ありがとうございました。

FACKBCASワロタｗ

>>248
やっぱりそこの違いのせいか。
ちょっと色々調べてみるよ。ダンプっぽいけどなんのダンプなのかよくわからんし。

右上のcasinfoの前に使ってるツールは何だろう…

>>246
p104

自作したんじゃない？
しかしM001のカードなんてどうやって入手したらいいんだろう

>>246
無効なカード
だった気がする

>>243
>OishiiSlurper 22:15
>>>240: KW is converted from 64bits to 128bits before decryption.
これはつまり、Kwの鍵長は128bitだという事だよね？
それは、「MULTI2ではない」と言い切れるのでは。

AES-128-CBC

おまいらまだ焼きそばのネタに付き合うのかよ
優しいんだな

ネタだネタだと必死になるだけで、論理的な反論が何一つない件について。

煽ってる連中は技術も何も無いやつらだからな。
俺もだけど。

焼きそばくんの自演を温かい目で見守りましょう

焼きそばくんはBーCASのすべてをわかってしまったのか？

ただスルーすればいいだけ

タダで作られたら困る人なんじゃね？。
BLACKCASの中の人(バイト)とか。

もう一回 sc．exe 上げてくれ

焼きそば君入国拒否される前にカス持ち出してたのかぁ
日本で総当たりさせてた奴は没収された？

クレジットで購入したカスから身元がバレたとか言ってたけど
購入枚数のチェックされなかったのかなぁ

Hmm... I didnt understand how ECM-algo relates to M2 clearly. Very confused...=.=

128bit key converted from Kw(64bit) : used in place of s1-s4 of M2
128bit key converted from AA(64bit) : used in place of s5-s8 of M2
64bit key BB : used in place of Ks of M2

If I remember your info correctly, 64bit key converted from Kproto(32bit) and Kconst are also used.
(Kproto is different for each proto 00 ,04, 40, 44)
(Kconst is constatnt for ECM. And used for 64bit=>128bit conversion.)

Which of AA,BB is converted Kproto?

>>252
2枚持ってるんだが、いくらで買ってくれる？

入国拒否はさすがに嘘だろ

単発君は、やり口が貧困でいかんな

もう皆にはBLACKCASの中の人ってバレているんだけど。

Unfortunately, all of my cards are M002-CA23...your 9036~ and 8091~ returned errors.

My current understanding is..
128bit key converted from Kw(64bit) with Kproto64 : used in place of s1-s4 of M2
128bit key converted from AA(64bit) with Kconst : used in place of s5-s8 of M2
64bit key BB : used in place of Ks of M2
Kproto64 is converted from Kproto32 which is one of Kproto32_00, Kproto32_04.
I dont know what keys are used for AA and BB.

> (Schedule is 512bits for 0x40!!!)
Oh...You mean s1-s16 are scheduled for 0x4X? (How many PI-steps? N=32?)

But you've said 0x40, Ox44 was weaker than 0x00, 0x04.
So, longer key schedule ended up with weaker protection...

日本語でおｋ

調べてるけど、P1 >>189の容量で確かにそれっぽいのは出る。あと、P1を00以外にするとまた違う数値が出てくる。
で、その中でちょっと気になるのが"80 91 01 00 7E"。

一度目に送信すると全部0x00なんだが、再送信と、後ろ0x10に新たなデータ(詳細不明)がつく。
更にもう一度再送信するとさっきのデータがひとつ上にあがり、その下に別の新たなデータがつく。
何度も再送信すると、下からどんどん上に向かって0x10のデータの塊が流れて行く。ECM復号中だとランダムな値になるが、初回送信時から連打した場合、頭の1バイト以外は0x00
多分、何かの履歴だと思う。

書き忘れたのと、>>217への自己レス
80 91 00 00 00の返答は"90 00"。まあ応答はあるけど表示内容なしってとこかな。
80 90 00 00 00はやるとsc4.exeが固まった。その状態でcasinfoしても固まる。一瞬casinfo通ったときにsystem_keyやら色々が00になったのでカードがまともに応答しないっぽい。
おそらく、データ長00で書き込もうとした結果固まるんだと思う。

ただ、何をしてもちょっとすると治る。メモリからも消えるように、一定時間が経つとリセットがかかって色々なデータが消える。

あぁ〜M001カード持ってる人、ｳﾗﾔﾏｼｽだなぁ〜、この流れ。
ずっとM002を1枚だけ温存してた俺、何だか寂しいっす…

やきそばンはずっとT使ってるし、Tにも似たような穴があるって事だよなぁ。

Moo1Ca10 Card Only
適当なEMMを喰わせる。(適当といっても本物のEMMで他人のEMMでも可)
->00 04 00 00 A1 FE 90 00 (ﾘﾀｰﾝｺｰﾄﾞ"A1FE"である事)
"80 91 00 80 08"
2byte + CardID(6byte) + "90 00"
この"2byte + CardID(6byte) = 8byte"がkmなのか？

HDMIチャプターカードでHDCP抜きドライバーのコードを書いているのだけど、
よかったらB-CASのコード解析に使っているツールや常識を教えてくれませんか？
GW中にちょっとチャレンジしてみようかと思って
ググって一通りは理解したけど今解析中の人は何使っているのかと思って

ずっとゲームの動画を抜いててTVにはあまり興味がなかったのでスルーしてた
BlackCASなるものを売っているということは解析済みなら俺もチャレンジしてできたら公開してやろうかと

道具はB-CASとスマートカードリーダ。
常識はARIBの資料とISO7816…こんなこと聞いてどうする?

スマートカードリーダはNTTのやつでOK？　この後近所の量販店に買出しに行くつもりだがスマートカードリーダはNTTのしかなかった記憶がある

HDCP抜きドライバーも公開しているけど、B-casも解析できたら公開するつもり、解析できたらだけど
どうせGW暇だしと思ってさ。それと日本の厳しすぎて使いにくいコピー規制には反対してる思想

今のところ、WinSCardより下でどうにかするという話は聞いたことがないから、動けば何でも良いと思う。
何かを逆アセンブルすればいいってわけじゃないから、ツールも何も無いと思うけど。

今は、アクセスコントロールの回避装置の提供は刑事罰の対象のはずだけど、
こんなところで公言していいのか？

>>278
sc4ってやつ。Send8080やSendWUIもあるけど、何処にあるはか知らん
カスカの過去ログ見たけどなかったw
ググってもさっぱり。見かけたら教えろ

ttp://ntreev.at.webry.info/200911/article_2.html
>>278
スマートカードリーダはNTTではなくこっちがおすすめwww
でも、売ってないかも

280　情報ｔｈｘ　探してみます。これはGWだけで何とかなるものではなさそうだね
903600004c0006fc2570dd45443fe447359abef43610bebd9a1edea64bb5f10f240f07ec5cf5a1b806f29a599021ed43039af524c77f768c57b480031216c246d79c66ce6973bc3916cd596e5f73bb1dca00
とか出てるから1週間ぐらいがんばればなんとかなるかと安易に考えてたわ。間抜けだな俺

どこにでもいるものだね、法律とか刑事罰とかいうひと

sc4は拡張子を追加すればすぐにみつかるぞ。

いや、一線を超えるとマジで危ないから、気をつけたほうがいいけどね。まあ既に公開してるならわかるか。
BLACKCASに関しても全部国内でやってたなら警察が来ててもおかしくはないし。台湾でやってるから上手くできてるけど。
ちなみにBLACK CASのなかの人は独自で解析とかしたようだから、製造方法は完全に謎。
わかってるのは何らかの方法で完璧なEMMを作り出すことができ、それを利用してBLACK CASを作ってる可能性が高いことくらい。

そこが一番の難題かもと思っている。解析できてもB-CASカードに書き込めなくては意味がない
いわゆるクレジットカード製造するような本格マシンが必要になったらお手上げ
俺ができるのは解析とコード構築まで

まあ、やるだけやってみます。期待しないでください、みなさな。たいしたスキルはありませんので

ttp://www1.axfc.net/uploader/Sc/so/302743.zip
Send8080見つけたけど､パスがわからん
誰か教えて?

>>285
いや、そもそも解析の糸口かもしれないのは見つかってるけど、BLACK CASは謎がかなり多い。内部情報の流出も混ざってると思えるくらい。
まあ、何にしろ触りたいならNTTのリーダでも持ってくればいいんじゃないかな。コマンド叩くのはsc4使うか、b25あたりのソースコードを利用すればできるし。

パスは過去ログで探すものだよ

>>286
パスそのページに書いてあるよw

>>286
4桁数字書いてあるだろ。

自決しますた
パスは2038ッス

>275: that would be too easy, wouldn't it? :P
あはは、そーだよねぇー。ｗ

>>276
うれしいね！こういう人。
私の環境が参考になれば...ﾄﾞｿﾞ!!

・カードリーダ:
SCR3310-NTTCom - 2,000円ﾁｮｲ

・ツール関連:
sc4.exe - カードへデータを送る
casinfo - 各チャンネルの契約状況を確認

・カードの仕様など資料類:
STD-B25 6.0 - メイン資料。P.100〜カードへ送るデータの書式とその返答値の意味(P.104あたり)
STD-B10 5.0 - P.201〜「ユリウス暦」の求め方が載ってるのでご参考までに。
ttp://www.arib.or.jp/tyosakenkyu/kikaku_hoso/hoso_kikaku_number.html

・参考サイト:
ttp://www.marumo.ne.jp/db2012_2.htm#13 - ARIB STD-B25 仕様確認テストプログラムソースコード
ttp://www.marumo.ne.jp/db2012_2.htm - BLACKCAS詳細

がんばってネ！

sc4.exeが見つからんw
何処にあるんですか?

141592653589793238462643383279502884197169399375105820974944592307816406286208998628034825342
1170679 8214808651328230664709384460955058223172535940812848111745028410270193852110555964462
294895493038196 44288109756659334461284756482337867831652712019091456485669234603486104543266
48213393607260249141273 724587006606315588174881520920962829254091715364367892590360011330530
5488204665213841469519415116094 3305727036575959195309218611738193261179310511854807446237996
274956735188575272489122793818301194912 98336733624406566430860213949463952247371907021798609
43702770539217176293176752384674818467669405132 000568127145263560827785771342757789609173637
1787214684409012249534301465495853710507922796892589235 4201995611212902196086403441815981362
9774771 t 3099605 a 1870721 n 1349999 a9983729 s 7804995 i 1059731 n 7328160 n 9631859 502445945534
6908302642522308253344685035261931188171010003137838752886587533208381420617177669147303 5982
534904287554687311595628638823537875937519577818577805321712268066130019278766111959092164201
989 38095257201065485863278865936153381827968230301952035301852968995773622599413891249721775
28347913151 557485724245415069 59508 29533 11686 17278 55889 07509 83817 546374649393192550604
00927701671139009848824012 858361603563707660104710181942955596198946767837449448255379774726
8471040475346462080466842590694912 9331367702898915210475216205696602405803815019351125338243
003558764024749647326391419927260426992279 67823547816360093417216412199245863150302861829745
55706749838505494588586926995690927210797509302955 32116534498720275596023648066549911988183
4797753566369807426542527625518184175746728909777727938000 8164706001614524919217321721477235
014144197356854816136115735255213347574184946843852332390739414333 45477624168625189835694855
62099219222184272550254256887671790494601653466804988627232791786085784383 827967976681454100

凍ってるんじゃね。

>>294
ﾁｮｰおまけだぞ！今日だけだからな
ttp://www1.axfc.net/uploader/Sc/so/313381
2038

>>297
ありがとうございます

？たなしん？

>>295は何？

>>297

>>294じゃないけど、
俺もサンキュー♪

1行目は円周率だな

M001てなかなか見つからないものだなぁ…

>>303
いいじゃない
見つかったところでブラカス化できるわけじゃないし

>>293
276です。情報ありがとう。とりあえず、量販店でNTTのカードリーダを購入してきました
がんばります。でも期待しないでね、スキルは普通なので

この流れは胸あつですか？詳しい人達

そうです。

全米が泣いたのです。

>>306
いや、今日は他の人に優しくなりたかったんだ。
俺もKw消したカード1枚放置したマンマだしねｗ
「初心者はゴメンナサイ」な感じのスレにしたくなかったのら〜

ttp://page12.auctions.yahoo.co.jp/jp/auction/p273402571
ここにM001一枚あり
早いもの勝ちかな？

スゲー！よくそんなところまで見てるなぁ！

Yオークションなどで２０００年頃に発売されたチューナーを検索すれば
M001カードはまだまだ山ほどあるよ。

松下製品でもB-CASがMとは限らないんじゃないの？

Tの可能性もあるでしょ

ttp://page17.auctions.yahoo.co.jp/jp/auction/v246946937
こんな落とし穴もあるｗ

T001もあるけどな…。

ソニー最初のBSデジタルチューナー買った時に付いてきたのはT001だったわ・・・。

家にあったカードは赤 M002-CA23 ４枚、青 M002-CA25 １枚という悲惨な結果。

有望なのは下記の型番で合ってます？

今話題の 8091 が通るカード　　　：M001-CA10
OishiiSlurper氏のキャプチャ画面 ：T002-CA23
バッファーオーバフローバグあり　：T422-CA23, T415-CA25

明日、実家に帰るので見てみようかと。

BlackCASがM002だけってのは眼くらましのためなのかな

カード書き換え方法と必要ソフト教えてください。
解析出来てるなら広く配信しましょう。
お願いしますエロい人

すぐ上にあるよ

2038年までは要らないから
だれか、バージンにするEMMと、１６日間無料体験にするEMMを作ってくれ

>>320
EMMがなんでもできる魔法のコマンドと思っているのか？

うん、だめ？

EMMが何なのかをよーく勉強して出直そうか

>>322
ん、まぁ思うということは、いいことだと思うよ。
EMMのDescriptor仕様はB25に記載されていないから、なにが起こるか判らないからね。

>>317
脆弱性はM002で解消されてたりしてな

>>297
�d！

>>320
遠い未来の日付のTSが欲しい

遠い日付のtsってどれみてるんだろうね？
ToTなら自分でねつ造できるけど。

ECMのなかの日付とかかな？

ECMの日付だよ

俺もずっとROM専だったけど、
今やってるのが一段落付いたら
B-CAS解析参戦してみたいなぁ。
俺の場合はゲームソフトのセーブの
スクランブル解析が専門だから、
何も力になれないかもしれんけども。

>>330
俺もヨソから参戦したばかりでまだ資料集めの段階。
元はデバッガ（Windowsベース＆カーネルベース）
使って製品＆シェアウェアのパスワード破りやってた。
そっちの方面飽きてきたところで、こっち見つけて興味
が湧いてきたんだよな。何かスゲー面白そう。
先駆者の方々には到底及ばないが自分なりに攻略
してみたいと思ってる。

>>331
Summoner様乙

cha-chaoだろ
b-casはPC内のデータから苦楽出来ないからアプローチを考えないといけない
カード依存のオーバーフローかもしれないし、コマンドかもしれない
カードを手に入れることから始めないとね

>>330-331

基本的にコードがオープンで読めるものとは違って、
暗号化されたデータとブラックボックスしかない状態からの解析だからね。
先人の見つけた穴を使うにしても、対象カスの入手が最初の関門。
でも本当に丸裸にできれば、かなり楽しいお遊びだ。

俺も参戦したいところだけど、会社の経営が厳しくてテレビ見る時間すらないや…
余裕ができたら経費であれこれ買い揃えて挑戦するよ。

T-Card Only
00 A4 02 0C 02 2F 01
00 B0 00 00 00
00 A4 02 0C 02 A0 82
00 B0 00 00 00

589 名前：名無しさん＠編集中[sage] 投稿日：2012/05/03(木) 14:47:16.17 ID:81yjtlLn
もうそろそろ，誰でもブラキャスが作れる方法が公開されてもいいのかな？

必要なものは，未使用赤キャスとカードリーダー・ライターだけだし．


ブラキャス作成の流れを超簡単にいうと，
未使用の赤カードには，一週間お試し視聴用として，最初から有料チャンネルのKwを
持っているのでそれを利用する．
カードに渡す日付は2038/4/23でオーバーフローするので，起算日を書き換えて，全チャンネルを契約有効にする．
（というか，B-CASカード自体，2038年までに何とかしないといけないでしょ・・・）

ただ，広まったらどうなるんだろう？

一週間お試し視聴用が無くなるのかな？

>>335
T002CA23で良かろうか

>>335
1回目17バイト、2回目23バイトの応答があるね。(T002)
ユニークなのかなぁ。

T002 CA23

>00 A4 02 0C 02 2F 01
90 00
>00 B0 00 00 00
80 12 39 2F 31 05 C0 73 C7 01 49 3C FF FF FF FF C9 90 00
>00 A4 02 0C 02 A0 82
90 00
>00 B0 00 00 00
10 37 36 42 53 33 4B 31 31 00 00 00 00 00 18 9F 48 B7 FF FF FF FF FF 90 00


T415 CA25

>00 A4 02 0C 02 2F 01
90 00
>00 B0 00 00 00
80 12 39 2F 31 05 C0 73 C7 01 49 3C FF FF FF FF C9 90 00
>00 A4 02 0C 02 A0 82
90 00
>00 B0 00 00 00
10 31 30 42 53 33 4B 31 34 00 00 00 00 00 17 2A CF 8F FF FF FF FF FF 90 00

ttp://www.youtube.com/watch?v=ElHzM-pf5cE&NR=1&feature=fvwp
B-CASではないが…

>>340
それ、デモしてる時点でも古めの、ICカードとしては最初期で耐タンパ性の
低いやつを引っ張り出してきてる動画だから鵜呑みにしないようにね。
B-CASはそう簡単じゃないよ。

A4がSELECTでB0がREAD BINARYか

解析するっていても､16進ダンプばっかりだねぇ・・・

T001 CA01
>00 A4 02 0C 02 2F 01
90 00
>00 B0 00 00 00
80 12 39 2F 31 05 C0 73 C7 01 4A 3A FF 90 00
>00 A4 02 0C 02 A0 82
90 00
>00 B0 00 00 00
10 31 32 42 53 43 41 31 39 42 53 31 30 33 31 30 31 1B FF FF FF FF 90 00

T002 CA23
>00 A4 02 0C 02 2F 01
90 00
>00 B0 00 00 00
80 12 39 2F 31 05 C0 73 C7 01 49 3C FF FF FF FF C9 90 00
>00 A4 02 0C 02 A0 82
90 00
>00 B0 00 00 00
10 35 37 42 53 33 4B 31 31 00 00 00 00 00 27 77 DA F1 FF FF FF FF FF 90 00

訂正
?:T001 CA01
○:T001 CA10

00 A4 02 0C 02 2F 01 -> 90 00
00 B0 00 00 00 -> 80 12 39 2F 31 05 C0 73 C7 01 49 3C FF FF FF FF C9 90 00
00 A4 02 0C 02 A0 82 -> 90 00
00 B0 00 00 00 -> 2回目のこれは連番カードでもユニークだぞ。

Tカードはファイルがどうのこうののコマンドが使えるのか

T001 CA10
>00 A4 02 0C 02 2F 01
90 00
>00 B0 00 00 00
69 82
>00 A4 02 0C 02 A0 82
90 00
>00 B0 00 00 00
69 82

Tな方、以下はどうなります？
FCIを取得するようにしたSELECT

１つめ
>00 A4 02 00 02 2F 01 00

２つめ
>00 A4 02 00 02 A0 82 00

FCIってなんですか？

>>350
File Control Information
ファイルがどんな種類なのかとかファイルサイズとかそういう情報

カード固有の情報じゃないのでご心配なく

>>349
P2 = 01〜0F res = 6A 81 (Function not supported )?
P2 = 0C res = 90 00

訂正
×P2 = 01〜0F res = 6A 81 (Function not supported )?
○P2 = 00〜0F res = 6A 81 (Function not supported )?

>>352,353
ありゃ、さすがに塞がれちゃってるか・・・
確認さんくす

ダメ元でもう一つお願いします
カード識別子（搭載されている暗号方式などの情報）の取得です

一気に取得してみる
>00 A4 02 0C 02 00 1E
>00 B2 01 05 00

ダメなら1つずつ取得してみる
>00 A4 02 0C 02 00 1E
>00 B2 01 04 00
>00 B2 02 04 00
>00 B2 03 04 00
>00 B2 04 04 00
>00 B2 05 04 00
>00 B2 06 04 00
>00 B2 07 04 00
>00 B2 08 04 00

>>355
00 A4 02 0C 02 00 1E -> 6A 82 (File not found )
00 B2 01 05 00 -> 69 82 (Security status not satisfied )
00 A4 02 0C 02 00 1E -> 6A 82
00 B2 01 04 00 -> 69 82
00 B2 02 04 00 -> 69 82
00 B2 03 04 00 -> 69 82
00 B2 04 04 00 -> 69 82
00 B2 05 04 00 -> 69 82
00 B2 06 04 00 -> 69 82
00 B2 07 04 00 -> 69 82
00 B2 08 04 00 -> 69 82
T002CA20 (^^;

orz... さすがに無いか
ありがと

OishiiSlurper 20:40
T だけ: C0 FA 00 00 07 38 36 37 34 34 32 32 unlock
via Mobile Web

何がunlockされるんだい？

なるほど。 >OishiiSlurper


8674422

TOSHIBA....

LOL

OishiiSlurper 21:04
>355: KW is not available via 00 A4 + 00 B0/B2.
You can try but it won't work.
There is a single file with all KW. Not one file per KW.
via Mobile Web

OishiiSlurper 21:09
The file is F00 bytes long,
contains all broadcast group info (2x KW & list of channels),
card ID and Km and so on.
via Mobile Web

>>361
'00 1E' is an information file in JICSAP specification.
'JICSAP' is Japan IC Card System APplication council.

OishiiSlurper 21:28

>>362: ah OK. There are 5 files.
A082 and 2F01 you already have.
KW/KS one is hard to get,
the other 2 are protected with ACL=tricky to hack.

via?Mobile Web

ん？まとめると・・・

関係するファイルが５つあって、
すべてのKwとKmは一つのファイルの中にあると。

で、UNLOCKしてから80 AAを使う、と。

もしかして、'00 1E' も80AAで操作する対象の一つ？

はええよ。やっと、"8674422"がｹｲﾀｲのﾎﾞﾀﾝに対応まで理解したのに

CLAとかINSを0x00-0xFFループでなめなめしていたら
>>335の00 B0 00 00 00が69 82しか返さないようになってしもうた＼(^o^)／
内部にセキュリティカウンタがあるのか

TのカードにUNLOCK投げてみた方います？
>C0 FA 00 00 07 38 36 37 34 34 32 32
戻りって何でした？

OishiiSlurper 22:11

More fun: C0 F8 00 00 0A 34 32 30 30 31 39 33 30 36 31 00.
Very few T cards work with it.
Please post Txxx/CAxx if it works for you.

via?Mobile Web

C0 FA 00 00 07 38 36 37 34 34 32 32 -> 90 00 ; Success
C0 F8 00 00 0A 34 32 30 30 31 39 33 30 36 31 00 -> 6D 00 ; Error:Instruction code not supported or invalid
T422 CA23

>>367
C0 FA 00 00 07 38 36 37 34 34 32 32 -> 90 00 (たくさん)
C0 FA 00 00 07 38 36 37 34 34 32 32 -> 69 84 (1枚だけ)

拾いものですが、結構使いやすいので使ってください。
http://www1.axfc.net/uploader/Sc/so/342904
パスは焼きそば（英）

>>367
キーがロック状態になっていなければ 90 00
ロック状態になっていれば 69 84

69 84 を返すようになってしまったカードが救済できればいいんだけど

>>369
上のUNLOCKってカード抜き差し後、最初に投げても成功します？

>>373
成功します。

これ参考になるかも
http://unkar.org/r/avi/1325462031/
http://unkar.org/r/avi/1325462031/651

>>372
ロックの言葉が2つの意味で使われているので整理しましょう

まず、状態として３つあるみたいですよね
デバッグ(?)モード <-> 通常モード <-> 自己防御モード

で、通常モードからデバッグ(?)モードに移行するのをOishiiSlurperはUNLOCKと表現しています
自己防御されたのを>>372はLOCKと表現しています

とりあえず、UNLOCKは通常->デバッグ(?)モードへの移行ってことにしませんか？
自己防御は・・・・どうしよう？引きこもり？w

>>374
皆様ありがとう
ってことは、UNLOCKはファイルに対するものでは無くグローバルコマンドですね

ではでは、次は80AAの素性を探りたいと思います

UNLOCKした後に・・・

●80AAはSELECT+READと仮定する

80AA / target:A0 82
>80 AA 00 00 02 A0 82 00 00 00

80AA / target:2F 01
>80 AA 00 00 02 2F 01 00 00 00

80AA / target:00 1E
>80 AA 00 00 02 00 1E 00 00 00

●80AAは特別なREADと仮定する

SELECT + 80AA / target:A0 82
> 00 A4 02 0C 02 A0 82
> 80 AA 00 00 00 00 00

SELECT + 80AA / target:2F 01
> 00 A4 02 0C 02 2F 01
> 80 AA 00 00 00 00 00

SELECT + 80AA / target:00 1E
> 00 A4 02 0C 02 00 1E
> 80 AA 00 00 00 00 00


●80AAは特別なSELECTと仮定する

80AA + READ / target:A0 82
> 80 AA 00 00 02 A0 82
> 00 B0 00 00 00 00 00

80AA + READ / target:2F 01
> 80 AA 00 00 02 2F 01
> 00 B0 00 00 00 00 00

80AA + READ / target:00 1E
> 80 AA 00 00 02 00 1E
> 00 B0 00 00 00 00 00

OishiiSlurper 22:51

Did I miss something?
What is 80 AA?
It doesn't do anything on my cards,
and its not in the T rom I have.

via?Mobile Web

>>379
Really?
You wrote in the past.
> 722 : 名無しさん＠編集中 : 2012/04/14(土) 09:44:36.82 ID:58SoLxOM [1/1回発言]
> OishiiSlurper 7:37
> 1331439874/>>714:
> Some cards have 80 AA also.
> But most of those commands will do nothing without special unlock (not in your list).

カスカ 懐石・研究 1枚目
http://toro.2ch.net/test/read.cgi/avi/1331439874/722
or
http://logsoku.com/thread/toro.2ch.net/avi/1331439874/722

>OishiiSlurper
もう身元はばれてるんだから2chに書いたら？

んーー
80AAが外れとすると・・・
C0F8は何だろう？

34 32 30 30 31 39 33 30 36 31 つまり、4200193061 の数字に何か思い当たる方います？

>>371
パスがわからない

ん〜、Ｍカードの"80 80 00 00 00"のResに似ているような
80 80 00 00 00 -> 42 30 31 32 30 35 32 30 31 30 38 38 30 34 2D 32 90 00

>>383
パスはSlurper

OishiiSlurper 23:13
>380: thx for reminder.
Without unlock, nothing happens. Ill find where it is (only one works).
80 aa didn't do much but I didn't check well
via Mobile Web

OishiiSlurper 23:16
>381: I cannot post from US, can I?
via Mobile Web

>>331
おい、IDかぶってる…

>>387
P2とかだと海外からでも書き込めたような。

http://patent.astamuse.com/ja/granted/JP/No/4084507/%E8%A9%B3%E7%B4%B0

>>385
TK
何に使うのかわからないけどダウンロードできたｗｗ

>>384
んーーー
B0120520108804-2
これはこれで何だろう？

どなたか、>>377,378 を念のため試してくれると嬉しいです
あと、UNLOCK後に>>349と>>355も

閉塞されると面倒だから俺はパス

80AAはM用みたい

Oishii Slurper ? @OishiiSlurper
>380: 80 AA is for M card. Check post 714,,715. My unlock ia strictly for T.

Thanks.

>00 A4 02 0C 02 00 11
90 00
>00 A4 02 0C 02 2F 01
90 00
>00 A4 02 0C 02 A0 02
90 00
>00 A4 02 0C 02 A0 82
90 00
>00 A4 02 0C 02 BC 01
90 00

おお！
５つのファイルが判明ですかね
ファイル読めます？

SELECT後、それぞれ
> 00 B0 00 00 00 00 00

>00 A4 02 0C 02 00 11
90 00
> 00 B0 00 00 00 00 00
69 81
>00 A4 02 0C 02 2F 01
90 00
> 00 B0 00 00 00 00 00
ユニークな何か
>00 A4 02 0C 02 A0 02
90 00
> 00 B0 00 00 00 00 00
69 82
>00 A4 02 0C 02 A0 82
90 00
> 00 B0 00 00 00 00 00
ユニークな何か
>00 A4 02 0C 02 BC 01
90 00
> 00 B0 00 00 00 00 00
69 82

T422CA23

ありがとう！

まず、0011はREADで6981（ファイル構造と矛盾したコマンド）なので、
レコード型だと仮定して・・・以下を試してみてくれませんか？

一気に取得してみる
>00 A4 02 0C 02 00 11
>00 B2 01 05 00 00 00

ダメなら1つずつ取得してみる
>00 A4 02 0C 02 00 11
>00 B2 01 04 00 00 00 これダメなら以下は不要
>00 B2 02 04 00 00 00
>00 B2 03 04 00 00 00
>00 B2 04 04 00 00 00
>00 B2 05 04 00 00 00
>00 B2 06 04 00 00 00
>00 B2 07 04 00 00 00
>00 B2 08 04 00 00 00


69 82 なファイルはPINを入手してまずVERIFYかな？

00 A4 02 0C 02 00 11 -> 90 00 ; Success
00 B2 01 05 00 00 00 -> 69 81 ; Error:Command not allowed, command incompatible with file structure
00 A4 02 0C 02 00 11 -> 90 00 ; Success
00 B2 01 04 00 00 00 -> 69 81 ; Error:Command not allowed, command incompatible with file structure
T422CA23

399と同じです。T002CA20

どうもです
以下のコマンドはどうなります？

FCI返却ありのSELECT（データ形式取得できると良いなぁ・・・）
>00 A4 02 00 02 00 11 00

SELECT+GETDATA
>00 A4 02 0C 02 00 11
>00 CA 00 00 00

>>371
＼(^o^)／�d

OishiiSlurper 5/4 23:24
>380: 80 AA is for M card. Check post 714,,715. My unlock ia strictly for T.
via Mobile Web

>00 A4 02 00 02 00 11 00
6A 81
>00 A4 02 0C 02 00 11
90 00
>00 CA 00 00 00
69 85

T422CA23

>>401
00 A4 02 00 02 00 11 00 -> 6A 81
00 A4 02 0C 02 00 11 -> 90 00
00 CA 00 00 00 -> 69 85

>>405
ありがとう
んー、一気にDUMPはダメかぁ
それとも受取サイズが小さすぎたのかな？

申し訳ないですが、以下でもう一度お願いできますか？
SELECT+GET DATA（受取サイズ拡張）
>00 A4 02 0C 02 00 11
>00 CA 00 00 00 00 00

もしこれでダメなら、個別指定が必要ですね
くるくる回せる方、以下を試していただけるとうれしいです

SELECTしてからタグ指定してGET DATA
>00 A4 02 0C 02 00 11
>00 CA 02 00 00
>00 CA 02 01 00
　　　　　〜
>00 CA 02 FE 00

>>401
話についていけないよん。
Unlockってのが、C0 FA 00 00 07 38 36 37 34 34 32 32なのか？
これをTカードに投げるとISO/IEC 7816-4のユーザコマンドが使用可能になるってこと？

>>407
一部のファイル操作コマンドは通常モードでも使えるけど
知りたい情報（隠されている情報）にはアクセスできないのです
このモードでは、EMM受取コマンドやECM受取コマンドの中で勝手に処理する感じです

で、TにC0 FA(ryを投げると、デバッグ？モードになって使えるコマンドや操作できるファイルが増えて
このどこかにお宝が眠ってるらしいのです

>00 A4 02 0C 02 00 11
90 00
>00 CA 00 00 00 00 00
67 00

以下くるくる
>00 A4 02 0C 02 00 11
90 00
>00 CA 02 00 00
>00 CA 02 01 00
　　　　　〜
>00 CA 02 FE 00
全て6700
T422CA23

くるくるの方間違ってたらすまん

>>409
ありがとうです

6700はLc/Leの指定ミスですね
DUMPなのにDATAをよこせと言うことですか・・・・

申し訳ないのですが、以下でもう一度お願いします
SELECT+GET DATA（受取サイズ拡張＋空データ）
>00 A4 02 0C 02 00 11
>00 CA 00 00 00 00 00 00

念のため、受取サイズを拡張していない版も
SELECT+GET DATA（空データ）
>00 A4 02 0C 02 00 11
>00 CA 00 00 00 00


個別指定の方も、空データ付けてみます
SELECTしてからタグ指定してGET DATA
>00 A4 02 0C 02 00 11
>00 CA 02 00 00 00
>00 CA 02 01 00 00
　　　　　〜
>00 CA 02 FE 00 00

349氏はTカードを所持していないの？

そうなんです・・・・
正確には調査用にTのminiBCASも入手したんだけど、どっかいっちゃった・・・(。・ω・。)
お願いだから帰ってきて・・・・orz

>00 A4 02 0C 02 00 11
90 00
>00 CA 00 00 00 00 00 00
67 00
>00 A4 02 0C 02 00 11
90 00
>00 CA 00 00 00 00
67 00

個別指定
>00 A4 02 0C 02 00 11
90 00
>00 CA 02 00 00 00
>00 CA 02 01 00 00
　　　　　〜
>00 CA 02 FE 00 00

全て6700

個別指定で受取り拡張も全て6700だった。

T422CA23

>412
そっか。納得です。うちはT002/CA23でレスポンス見ていますが、他と変わらないみたいだ。

>>413
ありがとうです
またしても6700ですね
もしかしてLe=0指定がダメなのかな・・・
直値で指定してみますか・・・

SELECT+GET DATA（受取サイズ指定）
>00 A4 02 0C 02 00 11
>00 CA 00 00 FE

SELECT+GET DATA（受取サイズ指定（拡張））
>00 A4 02 0C 02 00 11
>00 CA 00 00 00 FF FE

SELECT+GET DATA（受取サイズ指定＋空データ）
>00 A4 02 0C 02 00 11
>00 CA 00 00 00 FE

SELECT+GET DATA（受取サイズ指定（拡張）＋空データ）
>00 A4 02 0C 02 00 11
>00 CA 00 00 00 00 FF FE


個別指定の方はこの結果次第で・・・

>>409
00 A4 02 0C 02 00 11 -> 90 00
00 CA 00 00 00 00 00 -> 67 00

00 A4 02 0C 02 00 11 -> 90 00
00 CA 02 00 00 -> 69 85
00 CA 02 01 00 -> 69 85
↓
00 CA 02 FE 00 -> 69 85
どんなお仕置きだよw

やっと追いついたぜ。
ただファイル操作の00CAが分からんと思ったら、↓で把握できた。
http://eternalwindows.jp/security/scard/scard08.html
ROMりつつ↑よんでファイル操作を理解しよう。。

>>416
6985は、コマンドの使用条件が満たされていないってことですね
UNLOCKしてありますか？
もしくは閉塞しちゃってます？

SELECT+GET DATA（受取サイズ指定）
>00 A4 02 0C 02 00 11
90 00
>00 CA 00 00 FE
67 00

SELECT+GET DATA（受取サイズ指定（拡張））
>00 A4 02 0C 02 00 11
90 00
>00 CA 00 00 00 FF FE
67 00

SELECT+GET DATA（受取サイズ指定＋空データ）
>00 A4 02 0C 02 00 11
90 00
>00 CA 00 00 00 FE
67 00

SELECT+GET DATA（受取サイズ指定（拡張）＋空データ）
>00 A4 02 0C 02 00 11
90 00
>00 CA 00 00 00 00 FF FE
67 00

T422CA23

うちはまだ閉塞してないみたい。

あ、一応書いておくと私がお願いしているのは安全そうなものだけです
（OishiiSlurper氏に教えてもらったのは除く）

認証系のコマンドとかは失敗できる上限があって、それを超えると閉塞しちゃいます
ですので、INSをくるくる回すのを何度も何度もやると閉塞しちゃうと思います

>>419
ありがとうです

むー。6700ですか・・・

申し訳ないですが個別指定の方も1パターンお願いします
SELECTしてからタグ指定してGET DATA
>00 A4 02 0C 02 00 11
>00 CA 02 00 00 FE
>00 CA 02 01 00 FE
　　　　　〜
>00 CA 02 FE 00 FE

>>418
C0 FA 00 00 07 38 36 37 34 34 32 32 -> 90 00
00 A4 02 0C 02 00 11 -> 90 00
00 CA 00 00 00 00 00 -> 67 00
T002CA20 治った

>>422
おめ！

デバッグモードにしていなかっただけ？
それとも閉塞してたの？

もし閉塞していたのなら、デバッグモードだけかもしれないですよ・・・？

>00 A4 02 0C 02 00 11
90 00
>00 CA 02 00 00 FE
>00 CA 02 01 00 FE
　　　　　〜
>00 CA 02 FE 00 FE
67 00

T422CA23

>>421
424さんと同じです。ALL->67 00
>>423
たぶん、時間がたってデバックモードが解除になっちゃったみたい
T002CS20

>>424
ありがとうです
うーん・・・ダメですか・・・・

一応確認ですが、>>404,>>405の6985はUNLOCK後かつ閉塞していない状況ですよね？

>00 A4 02 0C 02 00 11
90 00
>00 CA 00 00 00
69 85

>>425
デバッグモード、自動解除されちゃうんですね・・・・
何分くらいで解除されたか、もし判れば教えてください

>>426
よくわからないが、現在はこんな感じ
C0 FA 00 00 07 38 36 37 34 34 32 32 -> 90 00
00 A4 02 0C 02 00 11 -> 90 00
00 CA 00 00 00 -> 69 85
00 CA 00 00 -> 67 00

>>427
ちょっと違うかも
使ってるツールによるみたい。
カードリーダーを掴みっぱなしのソフトと
コマンドを投げるときだけカードリーダーを掴むソフトがあるみたい。

>>428
ありがとです

んー何かフラグが立っていないのかなぁ・・・・
このファイルは保留かな・・・

他のファイルは認証コマンドが必要みたいなんでちょっと気が引けるんですよね・・・
こっちは完全に、故障・閉塞上等なガチな方向けです

もっとも、チャレンジ以前にPIN（パスコード）も判っていないですし・・・・
>>397で、2F 01とA0 82のファイルのREADでユニークなデータが返ってきたみたいなんですが
PIN（パスコード）っぽいのあります？

>>429
なるほど了解です

>>430
補足です
>>397はただのREADなので安全です

>>430
00 A4 02 0C 02 00 11 -> 90 00
00 B0 00 00 00 00 00 -> 69 81
00 A4 02 0C 02 2F 01 -> 90 00
00 B0 00 00 00 00 00 -> 80 12 39 2F 31 05 C0 73 C7 01 49 3C FF FF FF FF C9 90 00
00 A4 02 0C 02 A0 02 -> 90 00
00 B0 00 00 00 00 00 -> 69 82
00 A4 02 0C 02 A0 82 -> 90 00
00 B0 00 00 00 00 00 -> 10 58 37 42 53 33 4B 31 34 00 00 00 00 00 18 64 0B 64 FF FF FF FF FF 90 00
00 A4 02 0C 02 BC 01 -> 90 00
00 B0 00 00 00 00 00 -> 69 82
4番目がユニークだけどまあいいや。
PINコードっぽいと言えなくもないけどｗ

>>433
ありがとです

んー、もう少し情報収集が必要そうですね・・・

一通り壁に当たったので、そろそろ寝ようかと思います
皆様、お付き合い頂きましてありがとうございました！

Slurperが教えてくれたデバッグモード移行コマンドの
CLS: C0
INS: FA
についての説明ってどっかに載ってる？

CLA=C0はISO7816-4によると、GET RESPONSEだな。
>>209氏もパスワードと言っているし、JISX6306の方には書いてあるのかな?

がんばってー、俺なんもできないから応援だけするわ
成功したら公開してね、みんなでb-casとブラカス潰そうず

C0=GET RESPONSEというのが記載されてるのはINSコードの表だと思う・・・

パスワードもそうだけど、Slurper氏がどうやって実装の詳細を知るに至ったかが気になる。
デバッグモード移行コマンドは偶然が重なれば発見できるかもしれないけど、ECM/EMMの暗号化/検証アルゴリズムは何らかの手段でコードを読んでいるのだとしか思えない正確さで彼は知ってるよね。

>>436
GET RESPONSEはINS=C0
209でパスワードと書いたのはC0 FAが00 20(VERIFY)と同じようなコマンドに見えたから

閉塞してないカードが1枚だけになってしまったからあまり冒険はしたくないな
閉塞解除したいけど80 54は通してくれないし、C0 7Cあたりも怪しいけどこれもだめ

>>439
どうやって利用できるCLAとINSの当たりをつけているのか教えてほしい
80 54なんてどこにも載ってないし。まさか65536通り全部試したとか？

>>440
65536通りの試行なんてすぐに終わるから基本は総当りでいい

CLAに関してなら、下位4ビットは0固定でいいと思うし、6E 00が返ればそのCLAはそれ以上調べる必要はないから、
試行回数を減らすことは可能

ちなみに、TのCLA=80はJICSAP1.1仕様で80 54はUNLOCK KEYだと思ってる

80 06 ERASE ALL RECORDS
80 32 CHANGE KEY
80 50 LOCK DF
80 52 UNLOCK DF
80 54 UNLOCK KEY

こうかな

あらら、きのうサラッと293、297書いちゃった者なんだけど
えらく進んでないかい？(ってか私のレスは全然影響なかったみたいﾀﾞﾈ…orz)

私も昨夜から今朝までの書込みをいっきに読んでみて意味不明状態だったんだけど、
>>417氏のリンク貼ってくれたので理解できたよ。ありがとん！

これでカードからKm（マスタキー）が読み出せれば、
暗号のほうもずいぶん進むよね。

あと、>>371さんが貼ってくれたリンク先のツール、
データを投げてない時でもカードリーダ(NTTCom)のランプが点滅するんだけど、
これはカードにアクセスしてる、ってだけですよね？

なんか以前、B-CASカード内のFRAM書き換え耐性が1000回程度とか
書いてあったんで、小心者の僕ちゃんにはちょっとそこが気になってハゲてます…

M002CA23
T002CA23
T422CA23
↑
の3枚持ってる俺に協力できることある？＞ALL

>>441
なるほど、ありがとう。実験用のB-CASが手に入ったら総当たりしてみる。
ところで、閉塞状態というのは具体的に何のコマンドに失敗し続けると発動するの？
認証系って上の方で書かれてたけどCLA:C0のだけ送るときに注意すれば問題なし？

00 20 00 00 00->67 00|00 82 00 00 00->67 00|00 84 00 00 00->69 85
00 88 00 00 00->67 00|00 A4 00 00 00->67 00|00 B0 00 00 00->69 81
00 B2 00 00 00->69 81|00 CA 00 00 00->69 85|00 D0 00 00 00->67 00
00 D2 00 00 00->67 00|00 D6 00 00 00->67 00|00 DA 00 00 00->67 00
00 DC 00 00 00->67 00|00 E2 00 00 00->67 00|01 20 00 00 00->67 00
01 82 00 00 00->67 00|01 84 00 00 00->69 85|01 88 00 00 00->67 00
01 A4 00 00 00->67 00|01 B0 00 00 00->69 86|01 B2 00 00 00->69 86
01 CA 00 00 00->69 85|01 D0 00 00 00->67 00|01 D2 00 00 00->67 00
01 D6 00 00 00->67 00|01 DA 00 00 00->67 00|01 DC 00 00 00->67 00
01 E2 00 00 00->67 00|0C D0 00 00 00->67 00|0C D2 00 00 00->67 00
0C D6 00 00 00->67 00|0C DA 00 00 00->67 00|0C DC 00 00 00->67 00
0C E2 00 00 00->67 00|0D D0 00 00 00->67 00|0D D2 00 00 00->67 00
0D D6 00 00 00->67 00|0D DA 00 00 00->67 00|0D DC 00 00 00->67 00
0D E2 00 00 00->67 00|80 06 00 00 00->67 00|80 32 00 00 00->67 00
80 50 00 00 00->67 00|80 52 00 00 00->67 00|80 54 00 00 00->67 00
81 06 00 00 00->67 00|81 32 00 00 00->67 00|81 50 00 00 00->67 00
81 52 00 00 00->67 00|81 54 00 00 00->67 00|8C 32 00 00 00->67 00
8D 32 00 00 00->67 00|C0 44 00 00 00->67 00|C0 56 00 00 00->67 00
C0 5A 00 00 00->67 00|C0 72 00 00 00->67 00|C0 76 00 00 00->67 00
C0 7C 00 00 00->67 00|C0 C0 00 00 00->67 00|C0 F0 00 00 00->67 00
C0 FA 00 00 00->67 00|C0 FC 00 00 00->67 00|C0 FE 00 00 00->67 00
C1 44 00 00 00->67 00|C1 56 00 00 00->67 00|C1 5A 00 00 00->67 00
C1 72 00 00 00->67 00|C1 76 00 00 00->67 00|C1 7C 00 00 00->67 00
C1 C0 00 00 00->67 00|C1 F0 00 00 00->67 00|C1 FA 00 00 00->67 00
C1 FC 00 00 00->67 00|C1 FE 00 00 00->67 00

2011年購入のORIONのテレビ(地デジのみに利用)からカード引っこ抜いたらM002CA03だった。
casinfoの情報も全部まっさらだったし、これがバージンカードということかの。

>400くらいから読んでるけど､ついて行けなくなったw
誰かわかりやすく説明してくれ!
書き換えに制限があるって言ってる人いるけど､それホント?

B36E52B1E024AA8B80E659C365DEDF69D543CB4B1C19192F96C21470CA55E0DE
E6F615ABB08E17678A99B1969C9D626E551FA5ADA4DCC394B4C1F7C38BEA3197
91275E2A69E0B64666E1C9A81DDC75CFF052B83D15411AC7494988E9027DA896
60228D1B59686FA39BBB47C2491CE68FA0FEA8461EDF8C3E0D5A1B908FF359E5
C348506334DE54505413C5D509955D6E5CD3092103500A2AED26917BBAD5BCB6
9EE99CD68E8CDD673A1B37910E096EF6673B00F0BE5B28852A65A0FAD0D0E2BE
25FFDE645EFAAC29B1C6B6EACB0F9812593BF4430FFBAD12BD71384867CF03CD
4C0C0D62600B90A50C1E40076686AC00D4C11360E34DE9A005E7D64A552B89E9
90BCFDE587F858DF3743B6DA3B8DAD1788F94357A562343B1B11E7562A665E0C
88A5D89301F85B867EAA8BA11942502EEB93B65311C0E5066373888789D601F6
8366872EFFE31D093A890A5B0B49607B627A7D1F049D00EAC970F83D1DA20E19
E4A05B17A1C31D463692E2F20A7CC7C7B947E1C34E312208AFC46943281A94E3
F55E1A9868E8C95B4FC41F41F3E5A365244226CB3B90B5EE4E6AE5EAFB0DF0AD
6FA1C709A496E53C32D7F69A4A26790885EC88DA98A15AB3E9185497DE723207
A545FB0726825BFA3D2B0EE515C94E089AE4ABCFDA2F8536EE5D3ED1B47B7246
229839FB2E28E4441ED607B0C6CEA737C74A77317085366964CCD95FC670F385
2B8E24A25BBDA3C9B09215E5AD6A16C876793C57D7455AE6E212E547B025C273

1F9112A8305BD53066386E018FEF5B06C8B7C325389EB2201C7F3BF565BDCCEE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57A8D726ADC30937E60809D2974494BD93900C8495F9CC989765F4EDF1176864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A3EC8E324991CF73B00139BCF45C06080C81649DF7B02F8095F17813D35C9636
5552CF76767C267284E1E6D3DFD2884FB4AA09839C69F7424C2E82C8259875E7
F2E626CCC564A50D432407B24CFE51E9EF54A65A15B6812B9E7DB9A19A540321
538E2DCE2DE8A15CE8C9F950D878A85744236BAD188DE1AD3083C55940727B80
CE6BF394EED7EFABC3DCFE9A19907ECF

>>449
フラッシュメモリは書き換え回数で寿命があるが、
寿命まで回数多いし読み出しコマンドなら重要な要素じゃないと思われる

それとは別に、パスワードを何度も間違えるとロックする機能がある
こっちは数回〜十数回程度と思われるので
何やってるか理解せずデタラメにコマンド送っちゃダメっぽい

>>454
kwsk

>>442
>>375 が教えてくれたPDF(6章)に載ってる情報と同じだね

>>450-453 はメモリダンプか何かなの？

BCASなんかハックせずに、FeliCaをやるほうが利益と社会的混乱が見込めるってもんだよ。

B−CASは日本だけのものなんで・・・FeliCaの利益なんて知らんwww
なんでマルモさん動かないんだ！

00 A4 02 0C 02 A0 82, 00 B0 00 00 00 の応答はASCIIっぽいので、
いままで貼られていたものを集めてみました。
T001=BSCA19, T002=BS3K11, T415,T422=BS3K14 なのかな？

10 31 32 42 53 43 41 31 39 42 53 31 30 33 31 30 31 1B FF FF FF FF 90 00
12BSCA19BS103101　（T001 CA01）

10 37 36 42 53 33 4B 31 31 00 00 00 00 00 18 9F 48 B7 FF FF FF FF FF 90 00
76BS3K11　（T002 CA23）

10 31 30 42 53 33 4B 31 34 00 00 00 00 00 17 2A CF 8F FF FF FF FF FF 90 00
10BS3K14　（T415 CA25）

10 35 37 42 53 33 4B 31 31 00 00 00 00 00 27 77 DA F1 FF FF FF FF FF 90 00
57BS3K11　（T002 CA23）

10 58 37 42 53 33 4B 31 34 00 00 00 00 00 18 64 0B 64 FF FF FF FF FF 90 00
X7BS3K14　（T422CA23？）

>>458
まるもはニワカハカー。
既にこのスレの話題についていけない。

>>460
まあ、ハッカーというよりはプログラマだからな
だからといってこの程度の話題についていけないことはないと思うけど

00 A4 02 0C 02 2F 01, 00 B0 00 00 00 の応答の
80 12 39 2F 31 05 C0 73 C7 01 4A 3A FF 90 00 をググったら、こんなのがかかった。

https://members.fsij.org/trac/soc2008/wiki/juki-card-support

住基ネットカードでもほぼ同じ内容を返すくらいのごく基本的な情報が入ってるのかも。

>>460
まるもは詳しくないのか
詳しい人だと思ってた

日本一詳しいよ､多分
中の人とも､やり取りあるみたいだし・・・

>>462
2F01 = EF.ATR

Tだけなのか？

C0 FE 00 00

90 00

C1 FE 00 00

90 00

ちなみに

C0 FE 00 01

6F 02

C1 FE 00 01

6F 02

>>459
T001だけバイト長が違うんだな。

あれ？M001のターンは終わり？

とりあえずM001CA10とT002CA23調達してきた
まさか番号指定で変えるとは思わなくてワロタ

>>468
M001からしか得られない情報もあるんではないかと。

>>465
これか。。。

8.2.1.1 EF.DIR 及び EF.ATR
EF.ATR

この EF は，カードの動作特性を示す。これは，アプリケーション選択に関係しないか又は EF.DIRがないかのいずれかの理由によって，
EF.DIR 内で入れ子にすることができない共通利用データオブジェクトの集合を含んでいる。
EF.ATRは，親ファイルとして MF をもたなければならない。パス“3F002F01”は，EF.ATR を参照する。
http://kikakurui.com/x6/X6320-4-2009-01.html

>467
ただ何を表しているかさっぱり。3K ＝ 「３波 共通」の略とか。

新参者なので極めて単純な質問で申し訳ないのだが
カードに投げてるコマンドとその返り値を探すひとつの手段として、
ＰＣ動作のチューナー走らせて、チューナープログラムがカードの
ＩＣに対して何のコマンドを投げ、何を受け取っているのかを追跡
すればイイんじゃネ？・・と思ったんだが、どうかな？
もちろんＩＣの中はブラックボックスだから読めないにしてもチューナー
ソフトのプログラムは間違いなく、そのブラックボックスに対して適切な
コマンドを投げて適切な返り値（Km）を受け取っているわけだし
（だからＰＣ上で放送が見れる）
それにチューナーソフトならプログラムがＰＣのメモリ上に展開される
からデバッガで追跡出来る可能性はある。
そこで、コール命令及びリターンで帰ってくる時のスタックポインタ
及びその他のレジスタ（に格納されているであろうメモリアドレス）を
監視していれば、返り値を拾える（かもしれない・・）と思ったんだが、
今までで誰かそれを試した人はいる？

あれ？
OishiiSlurpeｒ氏とＩＤ被ってる・・・
何で？

>>472
君がそういうプロバイダーを使ってるから。

>>471
それやってるのチューナー側とB-cas
ハード的な解析やらないと・・・

>>471
b25コマンドしか送ってないし、返ってくるのはKsのみだし。

>>471
再生ソフトがカードにECM投げたらKsが帰ってくる
Ksを使ってTSを復号化する
Kmはカードから出てこない

レスありがとう。

・・そうなのか、とっくに検証済みだったのね　orz
新参な質問でスマソ。

>00 20 00 91

69 84

ベリファイ閉塞してるみたい

OTL

>>478
VERIFY試してくれるのなら以下もやってもらえると嬉しいです

UNLOCK後・・・
SELECT(A002)+VERIFY(TOSHIBA)
>00 A4 02 0C 02 A0 02
>00 20 00 80 07 38 36 37 34 34 32 32

SELECT(BC01)+VERIFY(TOSHIBA)
>00 A4 02 0C 02 BC 01
>00 20 00 80 07 38 36 37 34 34 32 32

エラーだった場合には、一旦カードを抜き差しした後に
ECMか何かを処理させて内部で正規のVERIFYをさせてあげると
失敗カウントがリセットされるかも・・・しれません
ECMに関係ないファイルだった場合には全く無意味ですが・・・

>>479
C0 FA 00 00 07 38 36 37 34 34 32 32 -> 90 00
00 A4 02 0C 02 A0 02 -> 90 00
00 20 00 80 07 38 36 37 34 34 32 32 -> 69 81
00 A4 02 0C 02 BC 01 -> 90 00
00 20 00 80 07 38 36 37 34 34 32 32 -> 69 81
T001CA20

>00 A4 02 0C 02 A0 02
90 00
>00 20 00 80 07 38 36 37 34 34 32 32
69 81

>00 A4 02 0C 02 BC 01
90 00
>00 20 00 80 07 38 36 37 34 34 32 32
69 81
T422CA23

アンロック前もアンロック後も同じ

抜き差ししてくる。

>>479

抜き差ししてから無害なECMを流し、アンロックもして再チャレンジしたが

>00 20 00 91

69 84

>00 A4 02 0C 02 A0 02
90 00
>00 20 00 80 07 38 36 37 34 34 32 32
69 81

>00 A4 02 0C 02 BC 01
90 00
>00 20 00 80 07 38 36 37 34 34 32 32
69 81
T422CA23

同じだった

ベリファイでセキュリティーを解除するか外部認証でやるか

もしくはC系統のバックドアを使うかの3択かな

よく分からんが

ありがとです
残念ながら実行自体できていないのでおそらくカウントもされてなさそうです

これはどうなりますか？
SELECT(A082)+VERIFY(TOSHIBA)
>00 A4 02 0C 02 A0 82
>00 20 00 80 07 38 36 37 34 34 32 32

>>483
C0 FA 00 00 07 38 36 37 34 34 32 32 -> 90 00
00 A4 02 0C 02 A0 82 -> 90 00
00 20 00 80 07 38 36 37 34 34 32 32 -> 69 81
T002CA20
>>450-453は、なに？

>00 A4 02 0C 02 A0 82
90 00
>00 20 00 80 07 38 36 37 34 34 32 32
69 81
T422CA23

変わらんみたい

>>482
外部認証とかになると面倒ですねぇ・・・

ダメ元で以下をくるくるしてもらえませんか？
結果がたくさんあって申し訳ないのですが指定の全範囲をお願いします

GET DATA(1BYTE BER-TLV TAG)
>00 CA 00 xx 00 00 00
xxを0x40〜0xFEまでくるくる

GET DATA(1BYTE SIMPLE-TLV TAG)
>00 CA 02 yy 00 00 00
yyを0x00〜0xFEまでくるくる

GET DATA(2BYTE BER-TLV TAG)
>00 CA hh ll 00 00 00
hhllを0x4001〜0xFFFEまでくるくる

ついさっき 417 の記事を読み始めたとこでついていけてないけど、こっちにそれっぽい話が。。。
http://eternalwindows.jp/security/scard/scard13.html

今の流れは、A0 02、BC 01、A0 82 が IEF だと想定して VERIFY 投げてみたけど、どれも IEF ではなかった、ということかな。
東芝製レコのカード借りてきたけど、借り物なんで、閉塞解除できるようになるの待ってます＾＾；

みなさんありがとです

勇気ある方、以下もお願いできますか？
いちおう、再試行可能回数の取得に変えたのでカウンタは増えないはず・・・・・

短縮識別子でくるくるしてみるテスト

VERIFY(再試行可能回数の取得)
>00 20 00 nn
nnを0x80〜0x9Eまでくるくる

>>484
とりあえず>>450-453については、もうすこしちゃんとした情報が無い限り基本的に放置しています
昔から適当なデータを書く方がいるので・・・・

>00 CA 00 xx 00 00 00

全て6700

>00 CA 02 yy 00 00 00

全て　6700

>00 CA hh ll 00 00 00

全て　6700

>00 20 00 nn

Command : 00 20 00 80... Resp 6981 DataSize:2(2)
-> 69 81
Command : 00 20 00 91... Resp 6984 DataSize:2(2)
-> 69 84

これ以外は6A86 6A82のオンパレード

なめなめ
>>486
全部67 00
>>488
00 20 00 80 -> 69 81
00 20 00 81〜00 20 00 9E -> 6A 82
それ以外 -> 6A 86

ああ、かぶった上に間違ってるｗ
>00 20 00 91
69 84
なので>>490とまったく同じです

ttp://eternalwindows.jp/security/scard/scard13.html
ここに書かれているプログラムっって何?

皆さんありがとです
複数人報告してもらえると助かります

一応確認です
>>491,>>492の、「それ以外」って具体的にはなんでしょう？
0x80〜0x9Eの範囲は全部書かれているようですが・・・・

>>486
00 CA 00 xx 00 00 00 -> 67 00
00 CA 02 yy 00 00 00 -> 67 00
00 CA hh ll 00 00 00 -> 67 00 (0x4001〜0x42FE)
までやってパソコンがおかしくなり再起動。T002CA20 (T.T)

>>494
0x00〜0xFFまで回しました

手元のテレビにM001が刺さってるから何か協力したいがカードリーダーが無いんだよな

>>488
00 20 00 80 -> 69 81
00 20 00 81 -> 6A 82
↓
00 20 00 90 -> 6A 82
00 20 00 91 -> 69 84
00 20 00 92 -> 6A 82
↓
00 20 00 9E -> 6A 82
T002CA20
>>489
なるほど。了解です。

皆さんありがとです

>>496了解です


ちなみに私が対象にしているのはTのカードです


短縮識別子11＝0011のIEFが閉塞しているのは何でだろう？
これ、くるくるしていない方も元々閉塞なんでしょうか？

もし、くるくるしていない方で試しても良いという方いましたら以下を試して頂けませんか？

デバッグ(?)モードに入ってから
>C0 FA 00 00 07 38 36 37 34 34 32 32

VERIFY(再試行可能回数の取得)
>00 20 00 91

C0 FA 00 00 07 38 36 37 34 34 32 32 -> 90 00
00 20 00 80 -> 90 00
00 20 00 81 -> 6A 82
↓
00 20 00 90 -> 6A 82
00 20 00 91 -> 69 84
00 20 00 92 -> 6A 82
↓
00 20 00 9E -> 6A 82
T002CA20（さっきとは別のカード）
T002CA23　まったく同じだった。

> 499
やってみました。

>00 20 00 91
69 84

T422CA23 のほぼバージンカード（BSのみパススルーのCATV下で使用されてるのを借りてきた）
最初から閉塞状態って、いかにも怪しい。。

>>500
ありがとです
できればくるくるなしで91だけやって欲しかったのです・・・(。・ω・。)

んー、この閉塞解除しちゃってもいいのかなぁ・・・
ちょっと危険かもしれません・・・・勇者限定

RESET RETRY COUNTER（たぶんエラー）
>00 2C 03 91

UNLOCK KEY
>80 54 00 91

もっともセキュリティステータスが足りなくて何も起こらないかもしれません

>>501
ありがとです

ちょっと怪しいですね
ただ、解除しちゃうと動かなくなるかもしれません

わざとVERIFY失敗して再度閉塞できるかどうかも現時点では判りませんし・・・・

勇者限定って事でお願いします

> 503
なるほど。。借り物なので１番手はやめときます＾＾；；

>>502
C0 FA 00 00 07 38 36 37 34 34 32 32 -> 90 00
00 2C 03 91 -> 6D 00
80 54 00 91 -> 69 82
T002CA23
C0 FA 00 00 07 38 36 37 34 34 32 32 -> 90 00
00 2C 03 91 -> 6D 00
80 54 00 91 -> 69 82
T002CA20

報告

Command : C0 FA 00 00 07 38 36 37 34 34 00 00 ... Resp 6300 DataSize:2(2)
-> 63 00
〜
Command : C0 FA 00 00 07 38 36 37 34 34 00 0E CC... Resp 6300 DataSize:2(2)
-> 63 00
Command : C0 FA 00 00 07 38 36 37 34 34 00 0F CC... Resp 6984 DataSize:2(2)
-> 69 84
以下すべて

69 84

Oishii Slurper のC0 FA 00 00 07 38 36 37 34 34 32 32も

6984に変化

このことから再試行回数は15回までと思われる。

ただの予測だがOishii Slurperが示したC0 FA...やC0 F8...はビット指定以外全て30〜39の間なので

もしかしたら...

でももう懐石できないOTL

C0 FA 00 00 07 38 36 37 34 34 32 32 -> 90 00 ; Success
00 2C 03 91 -> 6D 00 ; Error:Instruction code not supported or invalid
80 54 00 91 -> 90 00 ; Success
T422CA23

>>505
ありがとです

予想通りでした
まずセキュリティステータスを上げないといけませんね・・・

C0 FA 00 00 07 38 36 37 34 34 32 32 -> 90 00
80 54 00 91 -> 90 00
00 20 00 91 -> 63 C3

ぐあ、やっちゃいました。
残り３回らしいです。

※T422CA23 です。

>>506
ｶｰﾄﾞﾅﾆ？T00?CA??

早く無料カード作ってよ！
台湾人に勝てない日本人はアフォだな〜。

>>507
ありがとです

ん！？
そのままでも通るファームウェアもあるんですね

例によってデバッグ(?)モードに入ってから
>C0 FA 00 00 07 38 36 37 34 34 32 32

VERIFY(再試行可能回数の取得)
>00 20 00 91

ってどうなりますか？

>>511
T422CA23

多分無意味にグルグルしてた人は

>00 20 00 91

の最試行回数がすでに無い（すべての試行回数を記録している？）ので

69 84

になるのかもしれない

>>509
ありがとです

通りましたね！

このコマンドではカウンタは増えないはずですのでご安心を

T422CA23 はデバッグモードに入るだけで閉塞解除かけられるようですね

>>514
誤り　最試行回数
正解　再試行回数

もうダメポ

>>513
C0 FA 00 00 07 38 36 37 34 34 32 32 -> 90 00 ; Success
00 20 00 91 -> 63 C3 ; Warning:State of non-volatile memory changed, counter value $3

>>499
デバッグモードってどうやって入るの?

>>514
ｲﾔｲﾔ、>>505のT002CA23は新品よ

さらに進みます

閉塞解除（カウンタリセット）が成功した T422CA23 の方限定です

デバッグモードに入っていて、閉塞解除後・・・・

まず、試す前の試行可能数を取得
VERIFY(再試行可能回数の取得)
>00 20 00 91

認証
VERIFY(TOSHIBA)
>00 20 00 91 07 38 36 37 34 34 32 32

試した後の試行可能数を取得
VERIFY(再試行可能回数の取得)
>00 20 00 91

試行可能数をリセットしてみる（一旦閉塞しないと戻らないかもしれない）
UNLOCK KEY
>80 54 00 91

リセット後の試行可能数を取得
VERIFY(再試行可能回数の取得)
>00 20 00 91

>>520
そうなのか
折角なのでC0 F8...もアタックしてくる

>>518
ありがとです

それで成功しています

00 20 00 91 > 63 C3
00 20 00 91 07 38 36 37 34 34 32 32 > 63 C2
80 54 00 91 > 90 00
00 20 00 91 > 63 C3

戻りました。

> 認証
> VERIFY(TOSHIBA)
> >00 20 00 91 07 38 36 37 34 34 32 32
カウンタが減ったので危険かも

>>524
ありがとです

リセットできますね(ﾆﾔﾘ

>>521
C0 FA 00 00 07 38 36 37 34 34 32 32 -> 90 00 ; Success
00 2C 03 91 -> 6D 00 ; Error:Instruction code not supported or invalid
80 54 00 91 -> 90 00 ; Success
00 20 00 91 -> 63 C3 ; Warning:State of non-volatile memory changed, counter value $3
00 20 00 91 07 38 36 37 34 34 32 32 -> 63 C2 ; Warning:State of non-volatile memory changed, counter value $2
00 20 00 91 -> 63 C2 ; Warning:State of non-volatile memory changed, counter value $2
80 54 00 91 -> 90 00 ; Success
00 20 00 91 -> 63 C3 ; Warning:State of non-volatile memory changed, counter value $3

てｓｔ

てｓｔ

リセット繰返して総当たりするにしても桁数が多そうですね。。その桁数も不明ですし。

みなさまありがとです
少し進みましたね

さて・・・・問題はPINですね
1〜16桁ですが、くるくる回してみます？

まずは数字のみ、次は大小英数記号、最後は0x00〜0xFFですかね

ちなみに・・・・

VERIFY
>00 20 00 91 nn PIN
nnはデータ長（0x01〜 0x10/最大16文字）
nnの後にPIN

例えばPINが文字の「123」なら
>00 20 00 91 03 31 32 33
です

T-Card全滅しました。>戦線離脱

リセットをお忘れ無く

>>533
いままでありがとうございました(。・ω・。)/~

#!/usr/bin/perl

use IO::Socket;

# ＜設定＞
my ($addr, $port) = qw(127.0.0.1 6900);
my ($start, $end) = qw(100 200);

$| = 1;

# 接続
my $sock = IO::Socket::INET->new(PeerAddr => $addr, PeerPort => $port, Proto => "tcp") or die $!;

my $count = $start;
while ($count <= $end) {

print $count . "\t:";
my $cmd = "\x00\x20\x00\x91" . pack("C", length($count)) . ($count++);
$sock->send(pack("C", length($cmd)) . $cmd);
$sock->flush();

$cmd =~ s/(.|\n)/unpack("H2", $1) . " "/eg;
print $cmd . "\t=> ";

$sock->recv($_, 1, MSG_WAITALL);
$sock->recv($_, unpack("C"), MSG_WAITALL);
s/(.|\n)/unpack("H2", $1) . " "/eg;
print "$_\n";

next if /^63 [cC][123]/;
die "Unknown response : $_" unless /^63 [cC][0]/;

# リセット
$sock->send("\x04\x80\x54\x00\x91");
$sock->flush();
$sock->recv($_, 1, MSG_WAITALL);
$sock->recv($_, unpack("C"), MSG_WAITALL);
s/(.|\n)/unpack("H2", $1) . " "/eg;
die "Failed to reset. Response : $_" unless /^90 00/;
}

# サーバに切断を告げて終了
$sock->send("\x00");
$sock->close();
exit;

BonCasサーバ用の、T422CA23 PIN 総当たり（数字専用）スクリプトです。perl ですみません。。。ActivePerl 入れてください。

あと、デバッグモードの回数節約のためデバッグモード切替コマンドは入れていません。
sc4 等を使ってあらかじめデバッグモードにしておいてください。

>>340
こういう事できる人って天才？

>>538
がんばって！

Tカードがお釈迦になったので仕様表にないコマンドの反応をまとめますです。

あと、int にしてるので、14桁までしか使えないですね。。

>>538
ありがとです

デバッグモードの回数制限はたぶん無いと思いますよ
>>506はわざとPIN間違えて試したんだと思います
デバッグモードへの遷移でPINを連続15回間違えると閉塞するようです

なので、最初に一回やればおｋです

それと、細かいことを書くとPINは0から始まる可能性もあります
とはいえまずこれでやってみるのが良いと思います

>>542
そうそう。

そのとおり。
デバックコードは何回入れても正常なのでカウントされない。

>>536
デバッグ用のままになっていますよ
>my ($start, $end) = qw(100 200);

5129 :00 20 00 91 04 35 31 32 39 => 90 00

はやっ！

>>545
ありがとです

もう終わりましたねww

>>545
やっべえ

デバッグモードの回数制限はないということで、安心しましたー。

回しといて寝ようと思ったら、終わってましたｗ
ええと、次はファイルの中身を見ることになりますか？

さらにさらに進みます

T422CA23 の方限定です

デバッグモードに入っていて、閉塞解除後・・・・

認証
VERIFY(5129)
>00 20 00 91 04 35 31 32 39

SELECT(A002)
>00 A4 02 0C 02 A0 02

READ BINARY
>00 B0 00 00 00 00 00

SELECT(BC01)
>00 A4 02 0C 02 BC 01

READ BINARY
>00 B0 00 00 00 00 00

00 A4 02 0C 02 A0 02 => 90 00
00 B0 00 00 00 00 00 => 84 90 00
00 A4 02 0C 02 BC 01 => 90 00
00 B0 00 00 00 00 00 => カードが応答しなくなった！？

カードリーダーを停止してもっぺんやってみます。

>>551
もしかすると大きなデータかもしれません
少し待ってみてください

今、３回目ですが、５分ほどしても応答がないです。
小出しに読込むコマンドはありますか？

高負荷時にBonCasServiceとsc4の二つの接続があるのもまずいのかな。。

戻りが4KB近くある可能性があります
ふと思ったんですが、バッファー足りてますか？
コマンド的には64KBまで許可してしまっているので、可能であれば64K以上のバッファがあると嬉しいです

>>553
ではでは、サイズ制限してみます

以下をお願いします

デバッグモードに入っていて、閉塞解除後・・・・

認証
VERIFY(5129)
>00 20 00 91 04 35 31 32 39

SELECT(BC01)
>00 A4 02 0C 02 BC 01

READ BINARY
>00 B0 00 00 10

C0 FA 00 00 07 38 36 37 34 34 32 32 -> 90 00 ; Success
00 20 00 91 04 35 31 32 39 -> 90 00 ; Success
00 A4 02 0C 02 BC 01 -> 90 00 ; Success
00 B0 00 00 00 00 10 -> FF FA FE FD FE FF FF FF FF FF FF FF FF FF FF FF 90 00 ; Success

>>556
ありがとです

来ましたね
やはりアプリのどこかでバッファーオーバーして暴走か何かしていたみたいですね

どこかに受信バッファーを64KB+4B以上確保したツールありませんかねぇ・・・・・

>>555,556
すみません。ありがとうございます！

オフセット位置指定できますか？

00 20 00 91 04 35 31 32 39 -> 90 00 ; Success
00 A4 02 0C 02 A0 02 -> 90 00 ; Success
00 B0 00 00 00 00 00 -> 84 90 00 ; Success
00 A4 02 0C 02 BC 01 -> 90 00 ; Success

ここで00 B0 00 00 00 00 00を送ると
「Error 0x0000007A:システムコールに渡されるデータ領域が小さすぎます。」
と表示されます。

>>559
指定はできますが、最大でも32KBまです
なので後半32KBは小さなバッファーでは受信できないのです

とはいえ、推定4K程度であれば小分けしても良いですよね

SELECT後・・・

READ BINARY をくるくるしてください
>00 B0 xx yy zz
xxyy = offset（下位15bitのみ）
zz=受信サイズ（ステータスコード2B分含まず）

>>560
ありがとうです

やはりアプリのバッファー不足ですね

00 B0 00 00 80
00 B0 00 80 80
00 B0 01 00 80
00 B0 01 80 80
00 B0 02 00 80
00 B0 02 80 80

こんな調子で合ってますか？

>>563
あってます

もし、4Kくらいのデータが得られたら、公開はしないでください
色々とまずいものを含んでいる可能性があります

これがOishiiSlurperの言ってたKw/Km全部入りのファイルか・・・

末尾はこの辺りでした。

00 B0 1D 80 80
=> ff （中略）ff 90 00
00 B0 1E 00 80
=> 6b 00

ここを境に、以降は 6b 00 です。

7kくらいですね。。。

ほとんどが ff ff ff ff ................ で埋まっていて、
ところどころにデータが散在している感じです。

T002 CA20 だと無理っぽい…

散在しているデータは、長さ１６バイト程度で、00 B0 09 80 80 までに、５つありました。

00 B0 0A 00 80　から、00 B0 0C 80 80 までは、散在ではなくぎっしり詰まってる感じです
00 B0 0D 00 80 以降は、ほとんど ff で、鍵っぽいものはありません。

前にも書きましたが、BSのみパススルーのCATV環境で使用されていたカードで、
有料チャンネルのECMは一度も受けていません。

ECM 食わせたり、１６日無料を申し込んだりして差分をとったらいいのかな？
Kw、Km は、契約に関係なく出荷時にもともと書き込まれているんでしょうけど。

戦線復帰！
C0 FA 00 00 07 38 36 37 34 34 32 32 -> 90 00
00 20 00 91 -> 63 C3
80 54 00 91 -> 90 00
00 20 00 91 -> 63 C3
00 20 00 91 04 35 31 32 39 -> 90 00
00 A4 02 0C 02 A0 02 -> 90 00
00 B0 00 00 00 00 00 -> 84 90 00
00 A4 02 0C 02 BC 01 -> 90 00
00 B0 00 00 00 00 10 -> FF FA FE FD FE FF FF FF FF FF FF FF FF FF FF FF 90 00 ; Success
T415CA25(地デジ用青)鯖から抜いてきたｗ

寝ますー。おやすみなさい。。

>571
おおっ、お帰り〜ｗ

んー、目を離してる間に何か取れたみたいですね

とはいえ、ゴミデータかもしれませんし、暗号化されたデータかもしれません
EMM/ECMの暗号アルゴリズムもivとかも色々不明なままですので、
まだまだ入り口ですね・・・

後は詳しい方にお任せします

私も寝ます
おやすみなさい

>>506と同じ状態になっちゃたけど
閉塞したら直す方法って無い？

>>570
有料チャンネルに合わせなくても、BSが通っている環境なら
無料ｃｈから出てるEMM/ECMは喰らってたと思います。

うちの環境でも、バージンのカードを初めからPCで使って
「EMMは処理しない」という項目にチェック入れてましたが、
無料のBSやCSチャンネルを1度でも、画面が見れてしまった状態だと
「バージンカード」じゃなくなり、その日から起算して7日後のいわゆる
「今日から7日間後までの、全有料チャンネル見放題」カードになります。
これは、いま解析されている人は使っていないと思われる[casinfo」というツールで
全チャンネルの契約情報がわかります。

それでそのままでテレビを見続けると、あの「NHKに電話すればこの文字消えますよ」テロップが
出続ける状態です。

>>576

> これは、いま解析されている人は使っていないと思われる[casinfo」というツールで


w

>>576
勉強になります！とっても貴重な情報ありがとうございます！
かなりスキルが高い方と見受けられました。是非、解析してみて下さい。

お前らD3000確保しとけよ、D2000はCS駄目だからな。
やっぱり東芝は穴だらけだ。

昨日のセキュリティーの話しからついていけんくなったw
簡単に説明してくれ

>>579
意味不明

東芝の技術者って､何のためにデバッグモードなんて作ったのかなぁ?

ようやく追いついた。
今までのをまとめると↓でよいのかしら。
あってる？閉塞解除あたりがぜんぜん理解できなかったわ
T422CA23とT415CA25のファームだと、UNLOCK KEYが通るってこと？

C0 FA 00 00 07 38 36 37 34 34 32 32;Unlock

00 A4 02 0C 02 2F 01;SELECT(2F01)
00 B0 00 00 00 00 00;READ BINARY
00 A4 02 0C 02 A0 82;SELECT(A082)
00 B0 00 00 00 00 00;READ BINARY

00 20 00 91;VERIFY(再試行可能回数の取得)
80 54 00 91;UNLOCK KEY(閉塞解除(?))
00 20 00 91 04 35 31 32 39;VERIFY(5129)

00 A4 02 0C 02 00 11;SELECT(0011)
00 B0 00 00 00 00 00;READ BINARY
00 A4 02 0C 02 A0 02;SELECT(A002)
00 B0 00 00 00 00 00;READ BINARY
00 A4 02 0C 02 BC 01;SELECT(BC01)（７KB程度あるから小分けに)
00 B0 00 00 00 00 00;READ BINARY

読めないファイルが、00 11でこれに秘密の鍵が書かれている

>>584
何言ってるかわからん?
Kwsk

>>585
>>363　に書いてあるでしょ
2F01 と　A082　がそのまま読めるファイル
the other 2　の　A002　と　BC01　が　00 20 00 91 04 35 31 32 39　で読めるようになるファイル
KW/KS one is hard to get　これが　00 11　でまだ読めていない

>>575
論理チャンネル開けてから外部認証したらもしかすると

だがTカードの論理チャンネルの開閉がよく分からん

00 70 無いしな

実家にあるT412CA25で実験しょうと思ったら､The smart card not reponding toa reset
っと出て､何も出来ません・・・
どうすればいいですか?

>>588
カードかリーダーのエラーかも

どっちかを取り替えてみよう

T001 CA01
T001 CA20
T002 CA20
T002 CA23
T412 CA25
T415 CA25
T422 CA23

東芝の赤青B-CASって何種類あるの？

> Now that people are finding stuff with my unlock commands, I hope those people who called me a troll, shut the fuck up.
（私のアンロックコマンドでブツ探しが始まって、私を troll 呼ばわりする奴らがおとなしくなってくれるといいが。）

troll の意味が分からなかったので、ググってみた。
ネットスラングらしいです。

http://nihon.at.webry.info/200611/article_4.html
もともとは、動詞として（渓流で）流し釣りするという意味なのですが、そこから派生して、
わざと挑発するようなことを言って、議論を起こさせあらし行為を行うという意味になっているようです。

http://www.geekpage.jp/blog/?id=2011/9/15/1

>>591
要するに、「くたばれBLACKCASの中の人」ってことかｗ

OishiiSlurper

Is it possible to help the victims who misstyped the unlock command several times and it was banned ?

元々troll自体に嫌な奴のことを指す意味もあるみたいだけどね。
釣りの話の派生ではないと思うよ。

troll
━n.
【1】(北欧伝説で)洞穴などの隠れ処に住む巨人;いたずら好きな小人
超自然力を持つとされ,その人形は魔よけに用いる.
【2】俗公園[橋の下など]で生活している宿無し;嫌な奴;助平おやじ.
【3】米陸軍俗 頭の悪いやつ,ばか;米俗ぶす.
[1616.<古ノルド語 troll 鬼神]

>>593
閉塞されたカードを解除してやるからケツの穴を貸せ

NTTのカードリーダー買ったんですけど､NTTのドライバでOK?

>>596
OSがwindowsなら刺すだけでおｋのはず

NTTコムのカードリーダ、販売元の目的通りに使ってる奴いるんだろうかw
デザインがダサい以外は素直で良い子(^O^)

APDU.EXEっていうソフト使ってるんですけど使い方がわかるません?
CLA　INS　P1　P2　って何入れればいい?

>599
わからんなら、やめたほうが・・・

>>599

CLAとINSがコマンド指定だと思ったらいい　例、CLA　90　INS 34

P1 P2 がそれぞれコマンドに具体的な仕事を指定する準コマンドのようなもの　例　P1 00　P2 00

それにLcやデータ、Leがついたりする。

Lcは送るデータの長さを16進で指定する。　例　Lc 07 →　38 36 37 34 34 32 32　（7つ）

データは上の例で行くと38 36 37 34 34 32 32になる。

最後のLeはレスポンスの長さを処理したり、色々する。

説明下手くそやけどこんな感じかなぁ。

ところで、書き込み系のコマンドは使えないのかな
バージン状態のファイル内容を控えておき、後に書き込むとか・・

>>602
セキュリティーステータスさえ満たしたら行けると思う。

C系統の一部に読み出し出来る部分が大量にあるようなので

メモリーダンプか何か？かも

BC 01をSELECTした後にUPDATE BINARYとかERASE BINARYとかするとどうなるのか誰か勇気のある人に実験してもらいたい

SELECTとPINとベリファイって何?

DTV 関係ツールのとこに、４ファイル取得するスクリプトを置きました。
※すみません。perl+BonCasService用です。

カードの状態が変わった時に、再取得して diff をとったら何かわかるかもしれません。

あ、URL を貼るのを忘れてました。
http://2sen.dip.jp/dtv/

T422CA23(赤)でREAD BINARY -> T415CA25(青)でUPDATE BINARYすると、
青のcasinfoの結果が赤と同じになった。(CARD IDおよび期限)

うそーん

その逆を考えれば・・・

本当？？？じゃあ00 11はなんなんだ
実行したコマンドとその返却値のログ貼ってみてよ
UPDATE BINARYのAPDUはどうやって構成した？(P1やP2の値など)

>>608が本当だとすると、B-CASのコピーが無限に作れるって事かな？
凄いな。

0011に重要なことが書いてあって
それはまだ読めてないんじゃなかったっけ？

誰だν速に貼ったの

>611
C0 FA 00 00 07 38 36 37 34 34 32 32 -> 90 00 ; Success
00 20 00 91 04 35 31 32 39 -> 90 00 ; Success
00 A4 02 0C 02 BC 01 -> 90 00 ; Success
00 D6 00 00 10 ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** -> 90 00 ; Success
00 D6 00 10 10 ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** -> 90 00 ; Success
（中略）
00 D6 1D E0 10 ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** -> 90 00 ; Success

** は予め READ BINARY したもの

あと、 offset 21 からは6バイトがcard id、次の9バイトは不明なデータ(unique?)、その次の1バイトはchecksumっぽい
00 D6 00 21 10 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF -> 90 00 ; Success
でcard idが0になる
(注意：先にバックアップし、後で書き戻さないとカードが壊れる)

おおー。青でもe2が見れるとか？
Kwは0011にあって、青の0011には事業体識別 02,03,17 のKwがないので見れない、という可能性も。

逆に赤カスを青カス化もできるの？

どうやら本当っぽい？疑ってすまんかった
契約期限がBC 01に書かれててかつそれに対してUPDATE BINARYできるのなら既にBLACKCAS相当のものを作れる状態なのだが
赤CASには有料放送のKwが最初から書き込まれてるわけだし

>>608
やり方教えて?

バージン状態のTポイントカード1枚あれば、もう一枚のTポイントカード初期化できるんじゃね？
これで永遠に無料体験継続でき・・・

カードID偽称だけでもかなりヤバイ代物だな・・・
あとは期限の引き延ばしが出来た日には・・・

一昨日、フラりと寄ったハドフに、2000番台カード付きのジャンク品があったんだ。
付属品は未開封状態で、1500円。
Mならいいな〜と思いゲットしたら、T001CA10でガッカリ・・・
と思ってまたスレを覗いたら・・・俺は喜んでいいの？

UNLOCK KEYの由来って、まさかこれじゃあるまいな・・・
ttp://www.geocities.co.jp/Technopolis/8845/dennou26.htm
>東芝America Information Systems社[800-867-4422 www.csd.toshiba.com]

GW最終日に大ニュースなわけだが、現行カードがゴミになるカウントダウンが始まったということでもあり、複雑だな
BLACKCASさん商売を畳むなら今です

やべぇ、難視聴は無理だけど、それ以外はブラカス化成功した

>>625
おい、情報よこせ＾ｑ＾

>>608
あれ？
T001以外も弄れるの？

とりあえず、焼きそばと同じようにIDを1234ryにしてみた。
casinfo眺めて満足してしまったので寝る。

>>627
むしろ、UNLOCK KEYはT422CA23とかしか通らないみたいだ。

てか、もしかしてVERIFY(5129)が分かってれば、T001も閉塞されちゃうことはないのかな？
持ってないから何も確認できないが。

>>615
ｶｰﾄﾞIDは、0x20から8byteみたいだよ fromやきそばン

青カスを赤カスに変えるやつ､やってみたけど多分釣りだなぁ・・・orz
T415CA25の青カスのみだけどw

Kwと期限は0011に書いてあるんだろ
0011の読み書きはできてないからブラカス化はまだ無理なんじゃね

>>630
ごめん、オラがまちげーたみてーだ

>>631
赤がなけりゃ、どうやってもベース青から赤にはならないんだが

OishiiSlurper 22:13
>630: no, 0x10 bytes from 0x21
via Mobile Web

OishiiSlurper 20:53
>615: give me the line at 20 and I'll give u a surprise
via Mobile Web

OishiiSlurper 21:00
>615: from 21
via Mobile Web

OishiiSlurper 22:13
>630: no, 0x10 bytes from 0x21
via Mobile Web

>>615
Oishii Slurperがoffset 21から16バイトくれってさ。

カード番号晒せばブラカス化してくれるってさ

>>615
バックアップってどうやってやるの?
なんか､インチキ臭い

なんでAPDUコマンドの使い方がわからないやつが混ざってんの？
なんか、 ν速臭い

ν速って何?
URL貼ってくれ！

うちのT415CA25では5129が通らない。

T422CA23でググったらログ速がヒットして、そこからν速のスレにも辿り着ける。
しかしこのスレが有名になるのはあまり望ましくないんだがなぁ…。

これか
【速報】青B-CASから赤B-CASを作成する方法が発見される
http://engawa.2ch.net/test/read.cgi/poverty/1336304164/
ν速じゃなくて嫌儲か

>>642
00 20 00 91 -> 63 C3 OK
00 20 00 91 -> 69 84 NG

>>645
00 20 00 91 -> 69 84 NG

カード番号書き換えて他人のEMM受信すればいいんじゃねーの？

難視のEMMは流れていないっぽいけど
まだ流れてるのかな？

69 84になってしまったら
C0 FA 00 00 07 38 36 37 34 34 32 32も69 84になって閉塞、終了

CLA=00,80,C0の閉塞カウンタは独立していると思う
でも、いったん69 84や69 82しか返さなくなったらもう元には戻せない

>>648
それは9000で大丈夫なんだが。

やきそばさんなら
なんとかしてくれる

69　84　なったw
どうやって直せばいい?

そろそろ来るか！？

そもそも新品カードで69 84だったからなぁ。製造時期ですかね？

あ､間違えた
Successちゃンと来たwwww
それで､21から次は?

>>654
カードのバージョンが違うのでしょう。
バージョンはなんですか？
T○○○ CA○○

>>656
>>642

>>657
スマソ

▼ 報告手順（B-CASの刺さったマシンで実行すること）
- Perl を取得してインストール
ttp://www.activestate.com/activeperl/downloads
インストーラー（msi）を実行してインストール
- BonCasServer(in BonCasLink)を取得して実行
ttp://2sen.dip.jp/cgi-bin/friioup/source/up0714.zip
解凍して BonCasServer.exe を実行しておく。（トレイに常駐）
- >>606 の人のスクリプトを取得して実行
ttp://2sen.dip.jp/cgi-bin/dtvup/source/up0921.zip
解凍されたreadfiles.batをダブルクリック。
「なんかキーを押せ」って出るので、Enterでも押しとけ。
- 報告
　 readfiles_out.txt が出来上がるので、下記テンプレで報告

▼ 報告兼テンプレ
- B-CAS型番: T002CA23 (B-CASのウラ面見れば書いてあるぞ）
- readfiles_out.txt の 7行目と8行目
　80 54 00 91 => 69 82
　00 20 00 91 04 35 31 32 39 => 69 84

こんな感じでいいかな？

C0 FA 00 00 07 38 36 37 34 34 32 32
80 54 00 91
00 20 00 91 04 35 31 32 39
00 A4 02 0C 02 BC 01
00 B0 00 21 10

これの最後の行の応答が欲しいということだと思う。

ユーザ登録してる人はさらさない方がいいと思うので、カードを単体で買った方とか。。。

ブラカスの作り方だけ報告してくださいお願いします＼(^o^)／

T002はPINが違うみたいだから
T002でそれはやらない方がいいよ。

>>661
ブラカスの作り方は知らんけどPT2とかで有料放送タダ禄しまくる方法ならあるぞ

>>Oishii Slurper
T002CA23用の"00 20 00 91 04 xx xx xx xx"←PIN(xx)？

スクリプトって何？何するプログラム・・・
なんでサーバー通す必要あるの？

>>665
わからないなら無理にやらなくてもいいと思うよ^^

>>665
わからんならやめといたほうがいい

>>662
確かに。。。

まぁ、1回くらいなら大丈夫だと思われる。
試してみたウチのT002CA23は従来通り稼働しとる。

T002用のPINが出たら or PIN探しの旅 をみんなでやるのも良いかもな

>> 664
T002 は、その手前の 80 54 00 91 が通らないので、PIN 以前にこれを何とかする必要がありそう。。

>>665
チラ見して0.3秒悩んだが、0.8秒後には理解したw

>>665
やめとけ

T422CA23なのだが、バージンでなにもしていないのに、
00 20 00 91 04 35 31 32 39で69 84が返るのは、
sc4がまずい？
まずければ改良します。

カード挿入してsc4を立ち上げると、sc4を閉じるまでは
カードのハンドルをオープンしっぱなしなのですが、問題ないですかね？

>>672
その前の 80 54 00 91 は OK ?

>>673
うん、おｋ。

あぁ！ごめｗｗｗちょっとやってみます。
鵜呑みでおｋとか書いてしまったorz

ていうか､5129 と 00 11って何?

混乱させてすまないっす。
C0 FA 00 00 07 38 36 37 34 34 32 32->90 00
80 54 00 91->90 00
00 20 00 91 04 35 31 32 39->90 00
でした。すんません。

>>Oishii Slurper
わかった。ありがとう

>> 665

> なんでサーバー通す必要あるの？
この質問はごもっともですが、ActivePerl が標準ではスマートカードアクセスできなかったので。
（pcsc-perlモジュールとか追加でインストールすればできるみたい。。。でも面倒。）

python は標準で行けるみたいやけど、python 分らない〜（汗

>>676

5129 = T4 で始まるB-CASカードで A0 02 と BC 01 のファイルを読み書きするための暗証番号（ＰＩＮ）
　　　　BC 01 にはカード固有の契約情報とかが保存されてる？
00 11 = おそらく Kw が保存されていると思われる最重要ファイル
　　　　このファイルには強力なロックがかかっているらしい

>>Oishii Slurper

Is it possible to help those who misstyped the unlock command several times until it was banned ?

sc4を改良。
とりあえず、65550バイトまでのバイト数に対応させました。
(前のは1024バイトまで)

http://www1.axfc.net/uploader/Sc/so/343622

これで、00 B0 00 00 00 とかが、きちんと通ります。

なお、どこかのだれかが、パス無しで2senとかに
ばら撒いたりするので、パスは敢えて付けません。

>>682
ﾄﾝｸｽ!
斧重くね?何度もタイムアウトする。

T422CA23って下請けが違うのかな？
フォントが若干違うよね

当方、T415CA25を所有しています。
>>659の解析に協力したいのですが、このスクリプトによる予想されるリスクと成果を教えてくださると助かります。

すべてのTを手放してしまった・・・
くやしい・・・

>>682
乙
出来ればソース漬けてもらえると安心できる。
（なにやる exe か分からんものを皆に踏ませるのはイマイチだ）

その意味で >>606 のスクリプトは安心して実行できて良いのだよねー

>>Oishii Slurper

I see... Thank you !

(ｰｰ;)
動きが早すぎる
Tカード、どうやってかき集めようか。。。

>>687
ttp://www1.axfc.net/uploader/Sc/so/343625

DL,解共に、以前うｐしたときのPASS-4で。
2010のプロジェクトごと入っている。

>>685
・リスク
- スクリプトが悪さする → 中身見て理解してやってくれ
- PIN違いでカードが自閉する → 数回までなら大丈夫らしい
　　　　　　　　　　　　　　　　　　　　→ 未確認ながら回数リセットコマンドもあるらしい
-
・成果
　契約情報を含んだダンプが得られる
　そして、一部のカードに対してはダンプを改ざんして書き込み可能であるとの報告があった

尚、Kwは未だ取得できない模様

69 84が出てしまったら終了か…orz

>>683
私のツール関係は全て斧を使っているので…申し訳ありません。
どこか、DLパスが付けられて、2chからのアクセスにも耐えられ、
さらに軽いロダがあればいいのですが…

>>691
解説�dｸｽです。
自閉すると、通常のTV視聴もできなくなりますか？

80 54 をどうやって探り当てたのかと不思議に思ってたが、あのPDFだったか
消されたから怪しいと想いつつまったく参照してなかった…

>>690
PASSは？

>>690
ごめんパス解らない
2038でもないっぽい

>>697
よく読めよｗ

>>697
俺も悩んだが素直な心で690読み直すと判る

>>693
他に"重い"レスがないみたいなので、うちと斧の相性かもしれません。
ソースも頂きました。やっぱりGUIがあると便利ですね。
面倒くさくてGUI書かない人なので。ｗ

>>697
ほぼ答え書いてるじゃん

>>696-697

>>698としか言えませんな…

1+4は5
2012-4は2008

わかった
�dクス

わからん

>>690見て分かったw

おまいらがいればミサイルだって回避出来そうだ

改良点は、単にバッファを増やしたというだけなので、
不便でなければ、以前のsc4で問題ないと思います。はい。

それでは、おやすみなさいませ。

ありがとう

PASS教えて

>>708
�d�dだよー

>>710
本当にプログラムソース欲しいの？
使うだけなら >>682 で。

KW探しはやらないの？

他スレに貼られたリンクから初めてここきた俺が
2つ目試しただけでpass通ったレベルの易しさだったぞｗ
なにするものかさっぱりわからんからデル可能になったとこでやめたけど

0B A5 CA 64 79 C1 B8
FF FF FF FF FF FF FF ←xOR
F4 5A 35 9B 86 3E 47 AB BC D2 48 AE A0 8E 46 B4
のこりの9byteは？

T422CA23の方
C0 FA 00 00 07 38 36 37 34 34 32 32
80 54 00 91
00 20 00 91 04 35 31 32 39
00 A4 02 0C 02 BC 01
00 B0 00 21 10
の最後の応答を書けばOishii Slurperさんからギフトがもらえます。

>>710
ソース欲しいです
よろしくおねがいします

>>717
ミス
>>712
です

(pass)-4=????
いただきました。

>>717
690, 697, 703 を複合するとわかると思う。

この謎解きできないならBCAS解析ごっこなんて多分するだけムダw

Oishii Slurper ? @OishiiSlurper

>362: ah OK. There are 5 files. A082 and 2F01 you already have.
KW/KS one is hard to get, the other 2 are protected with ACL=tricky to hack.

これ勘違いだったのか？
00 11　の中見は何なんだろうか

意味分かった。
SKYLAB-XXXXから-4ネ

ああ、やっとわかった。
ひたすらPASSをASCIIで-4してたけど、根本的に勘違いだった。

>>723
お前は新しい一日が始まったばかりだというのに、
こんな事にもう30分も費やしてしまったのかwww

>>722
今までにこのスレで報告された事実とは矛盾してないと思うが

うお、放送波からEMMパクってカード番号書き換えてEMMをB-CASに投げたら食ったw

ほんとかよｗ
ちょっとカード探してくる

まるものやつにすればblackcasかんせい

>>727
おいww、そんなに簡単に食うわけが....後で試そう（ぉ

>>726
KW/KS　はBC 01には書かれてないってことかな？

>727
どちらも自分のカード？

BC 01 には、カード番号、Km 含め、カード固有情報が一式みんな入ってるっぽいですね〜
今時点の情報で、「バージン時にバックアップとれば何度でもバージン回復可能」な状態にはなってるのかも。

>>727
有料放送に金払う奴がいる限り無限に生成出来るってことか
カス終わったな

Kmってカードごとに違うんじゃなかったっけ？

おや、EMM って Km で暗号化されてて Km はカード固有だったんでは？
カード番号書き換えだけで、Km を変えないと他人の EMM は食えない気がするけど、どうなってるんだろう。。

>>727
casinfoで確認してみたのか？
casinfoの出力から、
WOWOW プライム : BS-03/TS-0 : 191 : 2008/11/24
みたいな行を晒してみ？

単発の言うことなんか真に受けるなよ

WOWOW プライム : BS-03/TS-0 : 191 : 2013/06/01

715 が晒してる

F4 5A 35 9B 86 3E 47 AB BC D2 48 AE A0 8E 46 B4

って、↓これの最後の応答？

C0 FA 00 00 07 38 36 37 34 34 32 32
80 54 00 91
00 20 00 91 04 35 31 32 39
00 A4 02 0C 02 BC 01
00 B0 00 21 10

バージンカスに今日のECMを食べさせると
有効期限がDAF6+7=DAFD になるのかな

BC01 の中にDAFDがあるか探してあればいいんだな

>>Oishii Slurper
ありがとう！
>>715の計算？7byte → 16byte　残り9byteの計算は大変なの？

>>727 が本当だとすると、
Kmってカード番号そのもの もしくは それからアルゴリズム的に生成される何かだった・・・って事になってしまうな

>>739
そだよ。カードIDも晒してるでしょ

>>740
casinfoがやってるみたいに契約確認コマンド投げて二分探索でもすれば契約期限の数値は分かるんだからそれをするだけならバージンカードを用意する必要はない
バージンカードがあるなら有料放送のECMを食わせる前と食わせた後とでBC 01のどこがどう変化するのかdiffとった方がいいと思う

ありゃ、せっかく晒したのにOishii Slurper氏に気付いてもらえてない気がするｗ

でも、BSｱﾝﾃﾅないんだーｗ

>>715でXORしてるのはどういう意味？

>>727
画像UPもとむ

カード番号の全ビット反転させると最初の７バイトが得られるということでは。。

もしや BC 01 って全体的に全ビット反転して読むものなのかな？？

>>748
手間のかかるこというなよなぁ・・・
ちょっとまってろ、今からそれっぽいの作るから。

>>747
上がカードID（"90 32"で見られる)
先頭の７byteはFFでxORして下の７byteになる。
残りの９byteはどーやって計算するの？って聞いたつもりだったんだけど、
9036000011000ba5ca64790a002392359146ab76a2d000
EMMがﾌﾟﾚｾﾞﾝﾄされたんだよｗ

wowowかな

FFでXORって、単にNOTじゃないの？
まぁどうでもいいけどさ

>>751
そのEMMって、まさか2038版ではあるまいなｗ

90 36 00 00 11 00 0B A5 CA 64 79 0A 00 23 92 35 91 46 AB 76 A2 D0 00
-> 00 04 00 00 21 00 90 00 ; Success

ちょっと話についていけないんだが。このEMMはどうやって受け取ったの？OishiiSlurperのTwitter確認したけどそんな投稿なかったし
OishiiSlurperが指定した範囲の先頭7バイトはFFでXORするとカードIDになるというのもどこで知ったのか分からん
なんか見逃してる？

>>756
おまいのtwitterを眺める頻度

削除したのか。誰か削除されたツイートの内容教えてくれない？

>>758
知らずともこのスレを楽しむには問題ないので気にするでない。

チラッと出して消したのか

other file って　00 11　のことかな？

これの中にEMMを生成するヒントがあるってことか

>>759
いじわるしないで教えてよ

>>762
>758: I deleted because it was supposed to be for 715 only.
削除したってよ

>>762
神に逆らえと申すか。

>>756,>>758
ワシはツイッターなどしておらんよ。ゴホゴホ
やきそばンは、ワシの>>715をみてEMMを作ってくれたんじゃ。< 誰？

分かった、気になるけど諦めることにする

>>763
That could be a reason not to delete the tweets.

>>766
たまたまうちの TL には残ってたけど、755 に書いてあるのが載ってただけだよ

焼きそば君が怒ってるぞ

"BC01"の内容が少し書き換わっているみたいなので結果はそのうち
報告するかもしれません。ｗ

>>Oishii Slurper
やきそばフォーラム！いいね。
できたら誘ってください。

独自フォーラムだの言い出してるのを見ると、
ブラクラだのヘボ屋だの言ってた頃を思い出すな。
時代は繰り返されるのか・・・

ブラカス化はまだ？
全部晒してブラカス業者潰そうぜ！

>>771
そう言う事じゃないんだよ
巣に帰れ

>>772
それが目的だろ？
それとも、ICカード全般の解析か？クレカとかの。
犯罪だろ、それ。

これが犯罪なら数学者も犯罪者か

あれだよ
犯罪組織がこっそり脆弱性突いて不正を働く前に
公開の場で脆弱性のテストをしているんだよ

>>773
ちなみにクレカはICチップ付いてるだけで中身は脆弱性だらけの磁気カードだがね。

ROMってる人手ーあげて〜

IC認証って言いながら磁気が付いててそっちも使えるの意味ないよな

>>773
どうした？クレクレ君

696 名前：名無しさん＠編集中[sage] 投稿日：2012/05/07(月) 00:34:05.80 ID:uTt+tCNe
>>690
PASSは？

誰かわかりやすく説明して？
どれくらい進んでるのかと､やり方も含めて・・・

>>779
無料期間のリセットまでできた模様
但し、毎週カードリーダーで書き換えないといけない

やり方から書き換えデータまで広く晒そう！

>>780
BSを試聴したあとでも認証(5129)に入れましたか？

M002系しか駄目なんですかね？

>>781
見てれば解るものを敢えて晒す必要は無い
カードを壊すだけ

>>780
やり方教えて？
上のやり方でやったけど､Successが帰ってきたり､
16進が帰っって来たり・・・orz

>>781みたいなのが居るから、簡単な方法を晒す必要なし。

いや、晒してブラカス販売業者を潰すべきだろ

T002しか持ってないから参加できない・・・

こーゆーのは馬鹿に理解できない程度でいいんだよ。
むしろ現状でも親切すぎるくらいだろ。
広まったら終わりなんだから。

しかし、B-CASカードのデバッグモードとか、
PCエンジンのCD-ROM2のRAMエディタ思い出すなぁ。

青のバージン×1、青の非バージン×2ダメになってもいいけど、何か力になれることある？

懐石の内容を全公開するほどアホじゃないようなので安心した
黒粕出し抜いて「ざまぁ」って言おうとしてた奴、何カ月先もないよ「ざまぁ」…

危険ねとても

とりあえずこのスレをB-CASに電話せ伝えておいた

>>755試したけどSuccess帰ってきたw
T415CA25上も試したけど､Success帰ってきたから何？

「貴方はなぜ山に登るのか？」
「そこに山があるからだ。」

解析やる人間の心理は↑と同じ。
社会を混乱させたり金儲けに走る
ことを目的としていない。
いや、いるな、そういう奴。
うん、確かにいることは間違いないｗ
しかし大方の人間はこの壮大で難解な
パズルを解くことに楽しみを見出している
だけに過ぎんのよ。結果は二の次、三の次。
パズルが解ければ、次のパズルに挑むだけ。

君に聞いてないと思うよw

心配しなくても懐石結果をブログで自慢気に公開するやつが必ずあらわれるよ
いろんな奴がいるさ人間だもの

まあそのうち晒すやつはいるだろう。
そんときはそのときで。

まあ、Tカードの件についてはこのスレを読めばある程度わかると思うから、
そこからどうにかできないなら諦めるしかないかな。

で、結局M001はどうなるんだろう。
あれはあれで何か怪しいけど、どうも微妙なんだよなー。

真面目な話、誰かが分かりやすくまとめて公開しようとしても
それを止める権利は誰にも無いって事なのかな。

>>801
止める権利は誰にも無いが、公開したことによって生じる責任はあるだろうね

そのうち、アフィリエイトばりばり貼り付けたまとめサイトができます。

爆弾の作り方がわかっても良心の呵責から実際に作る（作れる）やつがどれほどいるかっていうことだ
要は簡単に作れないならいくら自慢しようが一部のマニア以外一般には無害だろうけど趣味が高じて国内で商売でも始めれば結局どこかで足がついて逮捕される
腕を自慢したがる奴ほど当局の動きには無頓着だからブログなんかでうっかり公開した時点で業務妨害で逮捕ってこともある

ないだろうね。
こういうのはいつでもそうなんだよ。
まあ、そのうち全部まとめてやってくれるようなツールでも出てくるよ。
ラジオライフ系の雑誌も取り上げる可能性もあるだろうし。

ちなみにTの方は>>300あたりから見ればいいと思うよ。
Mの方は>>400までの方を見ればいいんじゃないかな。

俺､全部試したけど変化なしwww

カード番号とか書き換えできるようになったのね・・・
カード番号が公開鍵なら まるも ブラカスの番号にしてまるも用のEMM食わせたら
まるもカードのコピーの完成とかになったらおもしろいのに・・・。

>>796
あんた、ええこと言うやんか。いや、マジで。
その次の797が、ものすごく小さく見えるわ

我々乞食は黙って偉大な解析者のおこぼれを待つのさ
五月蝿いにわか乞食は黙ってろ

B-CAS 解析 やり方でググったんですけど､解析のサイトは皆無でした
どうしてですか?

早くブラカス作り方公開してよ！
ブラカス業者の商売潰そう

>>810
みんなお前が勉強するのを待っていてくれてるんだよ
優しいな

bcsterm.plの使い方わからんw
readfiles.batファイルは多分自分で､移動先設定しないといけないのか？
だとしたら書き方､READMEのかいてほしいw

毎週書き換えてたらメモリの寿命が気になるね

T002、T396だとどうやってもIEFの閉塞エラーだなぁ
T4xxを買ってくるしかないか。

E2Pなら書き換え回数は気にしなくて良いが、FROMだと厄介だよな。

>>813
カードお亡くなりになるぞ
手出すな

お前みたいなカスは

780 名前：名無しさん＠編集中[] 投稿日：2012/05/07(月) 11:54:00.63 ID:luCx87Oi
>>779
無料期間のリセットまでできた模様
但し、毎週カードリーダーで書き換えないといけない

785 名前：名無しさん＠編集中[sage] 投稿日：2012/05/07(月) 12:07:23.08 ID:luCx87Oi
>>780
やり方教えて？
上のやり方でやったけど､Successが帰ってきたり､
16進が帰っって来たり・・・orz

bcsterm.plの使い方分かったw
違うとこで聞いてややこしくなった

ブラカス潰したい人もいるんだな
ブラカスよりも、B-CASというシステムそのものを潰したいけどな

だから全部晒せよ。
ブラカス業者潰す&オクの出品者潰す方向で。

B-CAS潰れたらただ見できなくなるから困る

B-CAS潰したい人もいるんだなｗ
こんなザルシステム、ありがたくて涙出るのに

>>819
UltraBCASになって帰ってきます
テレビに埋め込みになって、PCでの録画も絶望的に(5-6年くらい)

昨日69 84だったカードが
63 C3になった

簡単に書き換えできないよw
釣りか?

>>825
困ったときは

（株）ビーエス・コンディショナルアクセスシステムズ
・電話：0570-000-250
　　　　 045-680-2868（IP電話からの場合）
・受付時間：AM10:00〜PM8:00（年中無休）

ここに問い合わせるといいよ

>>824
それってT422かT415だよね？

しもた、いらんことして貴重なカードが…

BC01の0x21のみを書き換え→9000
その後、90 32 00 00 00→A1FF（カードエラー)

バックアップから書き戻し→9000
その後、90 32 00 00 00→A1FF（カードエラー)

これは、やってもうたか…

>>659
T422CA23
80 54 00 91 => 90 00
00 20 00 91 04 35 31 32 39 => 90 00

T415CA25
80 54 00 91 => 90 00
00 20 00 91 04 35 31 32 39 => 90 00

M002CA23
80 54 00 91 => 6d 00
00 20 00 91 04 35 31 32 39 => 6d 00

M002CA25
80 54 00 91 => 02 6d 00
00 20 00 91 04 35 31 32 39 => 02 6d 00

あと、00 B0 00 00 00の応答は
T422CA23 => 10 33 30 42 53 33 4b 31 31 00 00 00 00 00 00 38 c6 84 ff ff ff ff ff 90 00 （30BS3K11）
T415CA25 => 10 34 30 42 53 33 4b 31 32 00 00 00 00 00 00 00 72 0c ff ff ff ff ff 90 00 （40BS3K12）

>>828
Oishii Slurper@OishiiSlurper
>828: don't go editing BC01 :P if you give me your back of 0x21 (16 bytes) I might be able to restore with EMm.

>>829
Oishii Slurper@OishiiSlurper
>829: M cards do not have the same "undocumented" commands as T. What works for M will not work for T and vice versa.

OishiiSlurper 19:18
>>828: don't go editing BC01 :P
if you give me your back of 0x21 (16 bytes) I might be able to restore with EMm.
via Mobile Web

OishiiSlurper 19:26
>>829: M cards do not have the same "undocumented" commands as T.
What works for M will not work for T and vice versa.
via Mobile Web

あぶね…治った…ふぅ…

さて、また書き換えの旅に出かけます。

超かぶった。

T415CA25
80 54 00 91 => 02 90 00
00 20 00 91 04 35 31 32 39 => 19 10 33 39 42 53 33 4b

>>834
治ったって・・ちゃんと書き戻したら大丈夫だったってこと？

@OishiiSlurper

ありがとう。でも自力で治ったよ。

>>837
全部書き戻しなら大丈夫。
部分的に編集すると、A1FFになるね。
フラグっぽいの消去すればおｋみたい。

直し方教えて?

>>833
まあそうだよね。

>>840
俺は、バックアップとエラー後の差分を取り、変化点を戻した。

あれ？消えた？

うーん、やっぱSlurperの言う通りMのは全部6D 00だわ
Tは2枚あった↓

T422 CA23
80 54 00 91 => 90 00
00 20 00 91 04 35 31 32 39 => 90 00

T002CA23
00 54 00 91 => 69 82
00 20 00 91 04 35 31 32 39 => 69 84

スマン、もう上のほうで報告あったんだネ…ｽﾏｿ

T422とかT415って年代的には新しめのものなんですかね、それとも古めのものなんですかね？
今から手に入れようと思って手に入るんだろうか。

>>845
T422/T415は2010年9月ごろに購入したREGZAに付いてた。
多分新しい方だと思う。

>>845
Tは最近買ったREGZAテレビのやつ
ほかはAQUOS・DIGAブルレコとか2年以上前の購入物だよ

>>845
何をもって新しいとするかは知らんが、T422CA23はエコポイント騒ぎの頃に買ったREGZAに付いてた
二枚刺さる機種なんだが、地上波用はゴミMカードだった。

リロードしたら吹いたw
まさにTOSHIBAステマww

Tのカードって種類多いね

おー、皆様どうもありがとうございます。
うちにあるレコーダー、TVはどれも2009年以前もものなんで、むしろそれよりは後の世代っぽいですね。
M001並に古いものだったらどうしようと思った。

>>850
そりゃMと違って東芝以外も作ってるからな

いやいやステマじゃないよ
422だけ端子部がクモに似てる
002はまるーい感じ。で仕切り？の黒いミゾが太くて途中までしかないな
消えたのかな？

ファイルBC01の0x21から16バイトが判ればEMMを作成できる？
もしかしてこれがKm？

6D　00がいっぱい出てきたw
B25見たらINSが提供されないってww

>>855
カードはM or T?

>>856
Mです

>>827
T415CA25

>>858
やっぱりそうですよね。
69 84だったT002にも活路が、と淡い期待を抱いたりしたんですが。

こうなれば何が何でもT4xxを入手するしかないな。

そういえば
けいあんに付属の青カスが今話題のカードだった

>>859
T396ってカード持ってるって？
初めて聞いた番号なんで良ければ何に付いてたやつかﾖﾛ

>>861
J-COMのSTBについてきた橙B-CASです。
番号的にT002と違う挙動見せてくれるかな、と思って引っ張り出してきたんですが、
色々コマンド投げてみた限りではT002とまったく同じ挙動でした。

HDU2付属のカードもT415CA25 だった。
探したら、T415CA25 4枚あったから、いろいろ遊んでみるか

>>862
thx
どうりで今まで見た事ない番号だったんだ
でも橙色ってある意味貴重かも。

ttp://i.imgur.com/2xLcb.jpg

店頭展示用の白カード未開封持ってるが、確認する方法が判らないからやってない。
赤は2枚余ってる。

M002CA25テレビ映らなくなりました・・・orz
12行目から140まで､これの繰り返し

00 B0 00 00 80 => 02 6d 00
00 B0 00 80 80 => 02 6d 00
00 B0 01 00 80 => 02 6d 00
00 B0 01 80 80 => 02 6d 00

復旧方法誰か知りませんか?

@OishiiSlurper

>If you have C-CAS, please report your type M/T CAxx

A type of my C-CAS attached to STB is not like "M/Txxx CAxx". A type printed is "m001 T001".

@OishiiSlurper

What is 80 91 ? mean "80 54 00 91"?
00 A4 probably doesn't work.

00 A4 00 00
>6D 00
80 54 00 91
>6D 00

別人だけど、うちのC-CASは、品番TZ-CCA10松下でm001 T001
ってなってるよ。
ついでに黒カスは T418 CA29

>>870
品番おなじすね

M002CA25
80　91　は 67　00
80 54 00 91　は　6D 00

@OishiiSlurper
80 91 00 80 10
>69 00