经过一番努力,IC卡数据读取出来了,既然说到这里,就大概说一下这些数据吧,整个ic卡分为16个扇区,从0开始计数到15,每个扇区4行即4个块,每行(块)有16个字节,每个字节是两位16进制的数字构成。看起来很简单吧。然后0扇区的第一行是记录卡号和厂家信息的。好多门禁都是简单的靠识别卡号和厂家信息来进行开启的。其他扇区都是空的,这样的卡,小米手环的模拟功能可以直接模拟出来。
再看一下这个数据,前面读卡的动图已经提示过,在扇区8发现了加密,那这个加密是怎么回事?前面说过每个扇区有4行(块)前三行是写入可读数据的(绿色块),最后一行就是留给密钥的(红蓝黄色块)。如果是加密卡,会在第四行写入密钥,第四行也有分块,分为密钥A/存储控制位,备用位和密钥B,一般无密钥的数据,密钥A和密钥B都会填上FF,而存取控制和备用位则是FF078060,这个可以从上图中其他扇区对比看出。扇区8的密钥A/B位都有数据,这个就是这个扇区的密钥,是PN532通过穷举法尝试出来的,只有密钥正确,才能读出前面三行的数据。加密行有密码的情况下,小米手环就无法读取,在进行检测的时候就会提示加密卡,无法复制。(当然,如果只是绿色的数据区有数据,而密码区无数据,这样的卡就是未加密的,小米手环也可以模拟出来。)现在我们要解决的就是上图中加密去有密钥的门禁卡的复制。
先要保存读取好的数据,这个上位机的软件保存方法比较特殊,在菜单中并没有选项,只有双击扇区左侧的小三角,才会弹出保存的对话框。选择保存位置,输入名称后即可保存。保存的文件格式是dump的。
然后我们先修改一下加密数据,用默认的空数据替代密钥,上面的动图可以看出来,先复制了7扇区1行的数据,对8扇区1行进行粘贴替换,然后复制了7扇区4行的空密钥,对8扇区的密钥行进行替换,这样就将IC卡的加密数据清除,可以用小米手环直接进行复制模拟了。这里需要注意的是,双击需要修改的行,软件上面会显示出该行数据,粘贴后要按ENTER键进行确认数据修改,不然数据是不会变化的。
