Escolar Documentos
Profissional Documentos
Cultura Documentos
Material necessrio:
- Software:
Unloopix;
EMMplastro v1.0 ou N2S3 V1.7;
Rom 110 Update Rev Nagra 2 Soft ou NENES;
GEAActiveCards.
- Hardware:
Dreambox ou PC-DVB;
Phoenix / TE-21
Este pequeno manual destina-se actualizao da data do ird (DT$01) e dos tiers (DT$07) em
moscas que no podem ser colocadas no forno mas que recebem as EMMs de actualizao
por parte do provedor2.
1
GEA: Grupo de Estudos Avanados FISC (Frum de Investigao de Sistemas de Codificao,
http://www.nagratnt.net).
2
data da elaborao deste manual, o nosso provedor apenas tem utilizado as EMM-S para prolongar a data dos
DT$01e DT$07, neste caso so enviados os mesmos comandos para famlias de 256 moscas. Pode-se concluir que,
se o provedor no enviar esta actualizao haver famlias inteiras de moscas a hibernar.
3
Para converter a RSA de 128 bytes a 96 bytes, devem ler o manual Converter RSAs Rom110 para RSAs Rom101
em http://www.fiscpt.net/forum/showthread.php?t=21189.
A restante informao, Rights dos DT$07 e o Cam_ID podem tambm ser conhecidas com o
software Unloopix4 e com o recurso a um programador Phoenix / TE-21.
Ao iniciar o software, com a mosca inserida no programador, devemos confirmar as
configuraes.
4
Software desenvolvido pelo GEA em http://www.nagratnt.net/forum/showthread.php?t=23802. Todas as informaes
sobre a forma de utilizao do software encontram-se no ficheiro instrues.txt.
Eis um exemplo do resultado obtido para uma determinada mosca.
Ao analisar a colunas referentes s datas ficamos a saber qual os tiers activos. Associado a eles
ficamos a saber qual os seus Rights que so necessrios para seleccionar as EMM-S. Eis um
exemplo do tier responsvel pelas SportTV1&2 com o correspondente Rights:
Type Prov Rights Exp Date Exp Time Min Cha Max Cha B Sub Date B Sub Time End Date End Time
8C 4901 000008 xx-xx-20xx xx:xx:xx 0320 0320 xx-xx-20xx xx:xx:xx xx-xx-20xx xx:xx:xx
Antes de ser utilizado necessrio editar o ficheiro EMMplastro.ini em funo das caractersticas
do sistema. Como interessa EMMs dirigidas ao grupo da mosca (EMM-S) necessrio fornecer
as respectivas chaves no ficheiro EMMplastro.ini.
Na seco [CAM] comeamos por colocar o nmero de cartes (N) cujas EMMs pretendemos abrir
seguido dos seus Cam_IDs (comeam por 23 na TVc@bo e por 1B na Digit@l+). Estes valores
devero ser precedidos pelas etiquetas ID_1=, ID_2=, ... ID_N=.
[CAM]
N=3
ID_1=23000000
ID_2=23111111
(...)
Seguem-se as chaves (RSA, IKEY e FIRM) para cada tipo de EMM-S e respectivo provedor,
devidamente agrupadas numa seco cuja designao a CAM_ID correspondente.
[23000000]
S_RSAM_hi=1234..........5678; chave RSA (96 bytes) para EMM-S (11 10) (prov 4101 ou 4901)
S_IKEY_hi=1234...5678; chave IDEA (16 bytes) para EMM-S (01 18) (prov 4101 ou 4901)
S_RSAM_lo=1234..........5678; chave RSA (96 bytes) para EMM-S (11 10) (prov 4001 ou 4801)
S_IKEY_lo=1234...5678; chave IDEA (16 bytes) para EMM-S (01 18) (prov 4001 ou 4801)
[23111111]
(...)
Na verso dreambox ainda necessrio especificar no EMMplastro.ini uma seco prpria onde
se indicam alguns dados necessrios ao estabelecimento da ligao telnet Dreambox, so eles:
[Dreambox]
host=192.168.1.10 ; endereo IP da Dreambox
port=23 ; porto Telnet (usualmente o 23)
user=root ; utilizador de acesso
pass=dreambox ; password de acesso
prompt=~ > ; prompt usado na sesso Telnet (depende das imagens!)
Nesta altura, tudo est ponto para comear o log. Para garantir que todas as EMM-S dirigidas ao
grupo da mosca so captadas, devemos garantir um ciclo completo, como descrito no grfico
seguinte.
5
http://www.nagratnt.net/forum/showthread.php?t=23756. Todas as informaes sobre a forma de utilizao do
software encontram-se no ficheiro EMMplastro.txt.
Iniciamos o soft EMMplastro e procedemos seguinte configurao. O intuito apenas
apanhar EMM-S dirigidas mosca.
Clicamos numa das linhas com o boto direito do rato, selecionamos Copy All e colocamos num
ficheiro de texto previamente aberto. Ficamos assim, com as EMM-S recebidas e o correspondente
decrypt.
Pode-se tambm utilizar o software N2S3 V1.76 para fazer o decrypt das EMM-S que so
dirigidas nossa mosca.
6
http://www.nagratnt.net/forum/showthread.php?t=23784. Todas as informaes sobre a forma de utilizao do
software encontram-se no ficheiro leeme.txt.
Antes do decrypt, necessrio introduzir as chaves no ficheiro de configurao do software, o
n2s3.ini, necessrias ao decrypt das EMM-S, dirigidas mosca. Eis um exemplo do ficheiro
onde se deve colocar as chaves:
[COMMON]
NAME=Kaka TV
PROV1=4801
PROV2=4901
SERIAL1=(CamId)
SERIAL2=(CamId)
[PROV1]
EXP=03
IKEY01=(ikey EMM-S, 01 18)
IKEY03=(ikey firma EMM-G, 03 18)
MOD11=( Mdulo RSA EMM-S, 11 10)
CW=
DW=
[PROV2]
EXP=03
IKEY01=(ikey EMM-S, 01 18)
IKEY03=(ikey firma EMM-G, 03 18)
MOD11=( Mdulo RSA EMM-S, 11 10)
CW=
DW=
Neste momento esto reunidas todas as condies para o incio do decrypt das EMM-S.
Ao clicarmos no boto Open File deve-se escolher o caminho onde se encontra o log. A
seleco 2 serve para que o decrypt se faa apenas s EMM-S correspondentes ao Cam_ID da
mosca.
De seguida escolhemos onde ser guardado o ficheiro com o decrypt das EMM-S.
No final, existir um ficheiro com as EMM-S decryptadas. Ao abrir o ficheiro obtido, poderemos
constatar que as EMMs transportam o subcomando $A3.
Com o subcomando $A3, enviado atravs das EMM-S, o provedor consegue actualizar as datas dos
DT$01 e DT$07 das moscas que quiser dentro de cada grupo de 256 moscas e totalmente
configurado consoante a vontade do provedor. Para uma maior facilidade de compreenso, vamos
utilizar dois exemplos de subcomandos $A3.
Vamos comear pelo XXXXXX -> Apontador que define qual o DT$, este conjunto de 6 bytes
define qual o DT$ a actualizar. Se o valor for 082003 define a actualizao no DT$01 se o valor for
030003 define a actualizao no DT$07. Outra forma fcil, ou seja emprica, de distinguir a EMM-
S para actualizao da data no DT$01 observar para qual o provedor vem dirigida a EMM-S. At
data, a EMM-S para actualizao da data no DT$01 vem dirigida para o provedor 4801 ou 4001,
enquanto a EMM-S para actualizao da data nos DT$07 vem dirigida para o provedor 4901 ou 4101.
O XXXXXX -> Rights define qual DT$7 a actualizar. Para o DT$01 o valor 000000, para os
DT$07 assume um valor caracterstico. Neste exemplo o valor 000008, dirige a actualizao para o
DT$07 responsvel pelo visionamento do canal SportTV1&2.
Vamos agora para a parte mais interessante, a tabela de bits. A definio e contedo da tabela de
bits definida pelo conjunto de bytes coloridos:
conjunto de 64 bytes :
FFFFFFFF5FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF6FFFFFFFF
Vamos agrupar pares de 2 bytes como demonstra a tabela seguinte e convertemos a binrio. Desta
forma, temos a identificao de todas as moscas do mesmo grupo.
Neste exemplo temos 4 moscas no recebero este comando. Para ficarmos a saber os seus
nmeros de cam (Cam_ID) temos de converter os valores decimal para hexadecimal.
Se o Cam_ID para o grupo de moscas for AABBCCXX, as moscas que no recebero esse
comando so: AABBCC20; AABBCC22; AABBCCDC, AABBCCDF.
7
http://www.nagratnt.net/forum/showthread.php?t=24698.
Depois de executarem o software GEAActiveCards devem introduzir os 3 primeiros bytes do n
de cam da mosca, o conjunto de 64 bytes e depois clicar em Verificar Cartes. Para o exemplo
anterior obtero:
Assim sendo, um determinado DT$ s actualizar a sua data se o Cam_ID da mosca estiver
contemplada na tabela de bits. A nova data definida no subcomando $A3 em XXXXXXXX ->
Actualizao da data.
Para acabar de descascar o subcomando $A3, vamos aprender o que significa os bytes coloridos
no seguinte exemplo, que tornam este subcomando totalmente configurvel consoante a vontade do
provedor.
Como j foi referido anteriormente, [20] -> Comprimento da tabela de bits; 00 -> Apontador da
tabela de bits e [20] -> Subcomando $20.
No primeiro exemplo, o valor [20] indica que o comando transporta informao relativa a 32 bytes
(h20) a comear na posio 00 da tabela de bits, num total de 32 bytes (h20) [20].
No segundo exemplo, o valor [10] indica que o comando transporta informao relativa a 16 bytes
(h10) a comear na posio 0A (h10) da tabela de bits, num total de 32 bytes (h20) [20].
No terceiro exemplo, o valor [01] indica que o comando transporta informao relativa a 1 bytes
(h1) a comear na posio 0A (h10) da tabela de bits, num total de 32 bytes (h20) [20].
Para isso, podem utilizar o excelente software, disponibilizado pelo @LPSoRcErEr, o Rom 110
Update Rev Nagra 2 Soft8, se optarem pelo envio via phoenix,
8
http://www.nagratnt.net/forum/showthread.php?t=23536. Todas as informaes sobre a forma de utilizao do
software encontram-se no ficheiro Readme.txt.
ou se tiverem o carto numa dreambox podem enviar os comandos directamente, utilizando o
excelente software, elaborado pelo GEA, o NENES9.
Uma pequena recomendao extra para quem utilizar o NENES, no ficheiro readme.txt que
acompanha o software e para que a mosca receba EMM-S dever ser colocado no ficheiro de
configurao do newcs, o newcs.xml a seguinte configurao:
<blocksa>no</blocksa>
<blockua>yes</blockua>
<blockga>no</blockga>
Para que a vossa mosca volte a voar, s falta enviarem a EMM-G, do mesmo modo que fizeram
anteriormente, responsvel pela actualizao das chaves ikey ECM 00 e 01.
9
http://www.nagratnt.net/forum/showthread.php?t=23776. Todas as informaes sobre a forma de utilizao do
software encontram-se no ficheiro readme.txt.
Power by GEA, Novembro 2006.