Hi everybody,
We want to start some new projects to give Az-america users new features.
As you may know CS is the leading strategy.
The team is right now testing an alpha version of newcamd server for S900,
its working fine with I.r.d.e.t.o, C.o.n.a.x, N.a.g.r.a. and N.d.s. except GL54.
We found a big technnical barrier to mount domestic servers = Box-Card Pairing.
So we want to start an open project to study this: Smart Card Pairing for N3
(BK and RSA extraction from STB) and also try to find how GL54 works to
support it on S900 server.

So we have 2 new open project if anyone interested:

1 - Extraction of BK & RSA from original STB.
2 - Analisis of GL54 to support it on az/america receivers.

Maybe we can start 2 separate threads here in technnical area for this.
CU soon.

Cool!

Hope we see soon here the ones that are always requesting open AzAmerica projects.

Hey all! Spread this in high tech forums you know!

TODOS! Para melhor organização, esse tópico aqui fica exclusivo para:

Extração do BK/RSA dos receptores N.A.G.R.A III

Para os outros projetos, vejam o tópico específico dele. Grato.

oK, so nice to hear...
but, how nagra cards work with newcamd server on s900 ?

May be are interesting make some remote acess, like the routers, where the "admin" can acess by PC on web interface and put the users on s900 to administrate correclty the local CS on newcamd...

irdeo cards are working without paring ? or all cards needs to paring card with box ?

oK, so nice to hear...
but, how nagra cards work with newcamd server on s900 ?

May be are interesting make some remote acess, like the routers, where the "admin" can acess by PC on web interface and put the users on s900 to administrate correclty the local CS on newcamd...

irdeo cards are working without paring ? or all cards needs to paring card with box ?

We are working on upload of a server.conf text file on USB with N2/N3 BK and RSA and also port,users,pass and mac address. All this aimed to domestic server ... but you can access newcamd remotely via Dyndns/portforwarding on router.

Remote access for administration need http/ftp server ... maybe in a second stage after check free resources.

I2 Smart Card tested until now (ACS 2.x,4.x and 5.0) dont use pairing only Cam Key negotiated on SC Init the same goes to Cnx SC (cas3 and cas5).

I search with google(boxkey.eu) and find in the city of Koszalin,in Poland guys extract BK and RSA from receivers with protection Nagra3,like "embromatel,fonica,and others" from Brazil,read the list in site

The service is sale for 60 euros,send and send to back is ours money,and the servide maked in 1 or 2 days.

Realy is very distant,but I believe is serius e correct service....

Maybe to send and back is 2 months,but if don't have any option :eek:

Thanks by celocao :cool:

Yes the guy in Poland is the only one I know for shure.
60 euros if you send flash dump to poland via e-mail,
90 to 120 if you send receiver mainboard with epoxied flash + freight charge (60 more)
and freight back (another 60) if you want to recover the receiver.
Rumours of a guy inside brasil doing the extraction service... not confirmed.

So_bad ... go for the other one who gives you better features ... and support
... and a free space for make claims like this ... and someone who try to explain why
not all are solved ... and .... need more ?

Did you have some knowledge to help team to solve this ? ... open a thread here in this area !!!
Thats what this is made for !!!

"60 euros if you send flash dump to poland via e-mail"

How I can get the dump flash from this receiver? This is a big question-I don't no for exemple...

I ear about this code (BK and RSA) is encrypted inside this dump,so no easy found search in the dump...:mad:

I read in other forum about this "flash BGA with 64 pins",but I don't know is true.

Anyone have a picture from INSIDE WITH DETAILS this "bromatel" receptor (N5166) used in Brazil?

I happy with project from TEAM,come the flowers again,go ahead!:D

embromatel receiver !

http://img192.imageshack.us/img192/8506/img1286e.jpg

Great,thanks for picture,very very good!

Well,the flash with BK and RSA it's chip with white paper marked red?

Hum,it's with glue (if silicone is easy to clean...)

How pins have 28,32 or more ?

What type a reader/programer is necessary to extract the dates?

I buy 2 mini-cpu to make 2 servers,but it's stoped by dificult to get a blue card (GL39) active e now by to BK and RSA from nagra3,used by "embromatel"...:mad:

To answer this we need a good picture of CPU (Sti5517?) flash and ram.
I have here a STB 626BR from 61W .. and it is flash BGA 64,
will post some pictures later together with some X-ray pictures
posted some time ago from our friends at FTAchile forum.

Vizinho: GAIJIN ! ... goste dessa !!

Update: posted picture ...nice. Big chip (Sti5107) is CPU with BGA pins the chip on the left is flash (BGA also).
The chip with barcode marked red is RAM.
Not easy task to desolder BGA chip and get BGA adapter for universal programmer.
Picture dont show Jtag header ... and also this CPU is DCU3 ... Jkeys software cant be used.
Maybe trying to sniff on serial port as someone sujested.

Very known ones for BK/RSA, but just in case:

boxkey DOT eu
boxkey DOT pl

...In the lower right,show a conector with two lines...maybe is a JTAG port? :confused:

strange...Why RAM with glue?

So FLASH BGA it's a black paper with number 3 ?

...and about that glue,it's very hard or flexible? silicone maybe or not? :cool:

To com peguiça agora !
Alguem sabe a voltagem do cartao do embroma ???

To quase terminando o server e vou por o cartao no premium!

O medão é queimar o card..porque o deco já foi pro saco!:)

...peguei isso em outro forum,vou colocar o peixe EXATAMENTE como foi postado:

Para parear um cartao, eu retirei a FLASH BGA do deco com AR quente, coloquei num programador unicoversal com adaptador BGA 64 pra DIP 48 ( paguei 230 dollar no ebay nesse adapatador) , mas o lucro no futuro vai compensar!
Pois muitos farão comigo a extração!
Abre com winhex o BINARIO vai até o endereço 0X?????? pega os 8 digitos e depois vai até o endereço 0x????? pega os 8 digitos depois 0x?????? 128 digitos depois 0x?????? 8 digitos depois 0x????? 8 digitos !

IRD BK RSA prontos!

Agora vc solda a bga de volta!

Uma coisa dentro da firmware:
EntryPin=8291
ParentalPin=0000
iGuideFrequency=11130
iGuideSymbolRate=29892
iGuideModulation=1
iGuideDVBSpec=1
RegionId=3
iGuideFEC=4
iGuidePolar=2
LNBLowFreq=9750
LNBHighFreq=10600
LNBSwitchFreq=11700
iGuideNetworkNumber=1
firstTimeBoot=0
TVModulatorChann=000000000000

Entrypin é a senha de tecnico da instação do apetrecho !

Vou ver se tem outra cosinha pra NOIS ae por ae no firmware !

Até onde isso é verdade não sei...o que você acham :confused:

Só pra constar...

Aliás ontem a tarde logo que li isso,mandei uma Mensagem Particular para o usuário,até agora(21:13hrs de hoje) não recebi resposta...:rolleyes:

Celocao

Esse usuario ae sou eu :)

Na mensagem !

........

Outra coisa,pela usa descrição percebi que o receptor tem de ser aberto,ele possui lacres? Dá pra perceber que foi aberto se eu tiver de devolver o receptor algum dia?

...........


O problema de eu colocar minha BIN na net é o vazamento dela!
Mas vou dizer, pague 60 euros do POLONIANO,..ELE MANJA..!!!pr
Te envia a parte dos dados encryptados e desemcryptados da sua firmware, exatamente onde estão os dados!

SHOW de bola.

60 euros é barato!

...
EntryPin=8291

Entrypin é a senha de tecnico da instação do apetrecho !
...


essa é a mesma senha pra entrar no setup do tecnico dos deco philips da tia bet

desculpe pelo desvio de assunto, mas achei curioso ser o mesmo codigo

...e ai "vizinho",tudo joia?

Como disse tenho 2 mini-cpu´s e por enquanto 1 SMARGO,dando certo providencio outro e monto um segundo server...

Mas me diz uma coisa:

1-Você mesmo extraiu os dados,ou enviou pra alguém NO BRASIL que fez isso ou mandou pra esse pessoal da Polônia?

2-Se enviou seu deco bromatel,quanto tempo demorou entre o envio e a volta dele na sua casa? 30,50 dias?!

3-No seu post você disse que investiu uma grana no equipamento,e até num adaptador pra fazer isso sob encomenda para outras pessoas...tem realmente interesse nisso,nesta " prestação de serviço"? se tiver me mande MP !

4-Posso estar falando bobagem,mas os valores RSA,BK não são "particulares e exclusivos" para cada deco/cartão? Ou seja,servem para identificar seu receiver,mas de nada servem para outro...

5-Além dos custos do serviço dos caras (60 euros para retirar e desencryptar os dados que eu disse acima+60 euros pra soldar o flash BGA de novo) tem o custo de envio e de volta do deco por alto calculo uns R$400,00 ...putz,fica salgado

6-Digamos,se eu for devolver algum dia,percebe-se que foi aberto/adulterado o deco,não seria melhor "sumir" com ele e pagar alguma multa?

De novo,se você mesmo fez essa extração me manda MP que eu estou realmente interessado,ok?! :D

Ah,outra coisa que pensei agora....

7-Se porventura a operadora trocar o meu deco/cartão(eu sei que é pouco provável,mas digamos que aconteça isso...) vou ter de mandar o conjunto deco/cartão pra Polônia de novo ?! Putz olha só o gasto que vai dar pra botar o server no ar de novo....:cool:

Eu retirei a flash com ar quente, coloquei em um programador (leitor de flash BGA de 64 pinos) e enviei o codigo binario que tava dentro da flash no Rapaz da Polonia !
Entrei no Paypal e depositei 60 euros pra ele!
Em 2 horas ele me respondeu com boxkey e rsa e 3 arquivos comrpovando a extração!
Ele me pedio o serial do deco também!
A embratel não pede o deco de volta não depois de cancelar... NÃO TEM LACRE no deco, não percebe que foi aberto!
ele cobra 60 euros pra extrair e soldar de novo e frete!

Eu perguntei pra ele se podia enviar o a placa mãe do deco e ele disse que sim, o frete fica + barato!

Meu deco não tem nem 1 mes de uso e já foi pro beleleu.kkkkkkkkkkkkkkkkk!

Mas blz, agora vou por em deco com saida hdmi e a globo vai pegar aqui eu acho ,pois ta travado e isso é no firmware pelo que vi!


Vou enviar uma foto do deco sem a BGA pra galera ver o estrago!


Preciso saber a voltagem desse cartão antes de por az pra iniciar o CS entre amigos da minha cidade!

Vou fazer um mod 3.3 volts e deixar em 358 mhz o cartão.
T+

Se você puder colocar algumas fotos do deco,mesmo sem a flash e da flash propriamente dita seria ótimo. :D

Poderia dizer o modelo do programador,onde comprou,quanto custou e do adaptador que usou seria ótimo.Com certeza muita,muita,muita gente a começar por mim ficaria eternamente grata!

De antemão,parabéns pela sua participação no forum e pela coragem partilhar " o caminho das pedras" conosco,é raro ver isso hoje em dia,esse compartilhamento de informações!

Com relação,a "prestação" de serviços como extração e leitura da flash tem interesse? Tenho certeza que com algumas poucas extrações de flash e sua consequente leitura poderia ter de volta seu investimento,e o que vier depois seria lucro,nada mais justo!

Pense nisso...:cool:

O vizinho parece que obteve sucesso com a extração caseira do BOXID e do RSA,depois mandou pra Polônia pra fazerem a extração do binário puro retirado da flash BGA.

Eu já to pensando em mandar a placa do deco (60 euros a retirada fisica do flash BGA e dos dados)e encarar os custos de ida e volta pra fazerem todo o serviço lá,desde a extração fisica do flash e do respectivo binario.A recolocação do flash BGA eu iria fazer aqui mesmo no Brasil,pois o pessoal que me vendeu o SMARGO mexe com notebook e tem equipamento.Pena que eles não tem equipamento pra fazer a leitura...

Se alguém faz essa extração aqui no Brasil,a informação é sigilosa ao extremo!

Andei vendo,parece que achei uma máquina no mercado livre que eu ACHO que faria a extração/recolocação fisica,vem uns adaptadores,não sei se lê dados e custa R$2400,00.

Um abraço by celocao :cool:

Por 60 euros o cara retira a flash , desencrypta resolda a flash no deco!
Compensa.. experiencia propria!
O frete de ida e volta vc paga 50 dolletas!
Vai dar uns 230 pau tudo.. mas o deco da emformatel vai continuar funfando!
Diferente do meu que cacifudell.
hehehe.

Tem certeza desses valores,vizinho ? :confused:

Li em um site(até acho que foi nesse post mesmo...) que pra extrair (fisicamente) o flash + extrair os dados seria 60 euros,pra colocar(soldar) de volta seriam mais 60 euros e os custos de ida e volta.

EU ia até mandar um e-mail pro Polones mas parece que o cara ta de " férias" até o fim do mês de junho,tem um aviso no site..

Uma duvida,com relação ao tempo que demora...30 dias,40 dias,ou mais pq nesse meio tempo a mensalidade da embroma continua correndo e ai tu é obrigado a continuar pagando sem poder assistir. :p

Alguém teria uma "transportadora" além dos correios,tipo FEDEX ou algo assim pra sugerir?

Putz...não sei se fiz a cotação direito na FEDEX,mas só de envio deu R$230,00.

...e isso somente o envio...:mad:

simplesmemte impraticável pra nós da America Latina,uma vez cai numa compra de uma vendedora do mercado livre que fazia " Drop Shipping".Demorou 1 mês mas o produto chegou certinho,perfeito,inteiro e sem dano direto da china.

Agora me ocorreu outro detalhe...

E se passarem 2 ,3 meses e o deco não voltar,por algum problema no meio da viagem de ida ou de volta como vou cancelar a assinatura se não tenho o deco pra devolver pra bromatel...putz...imagino a "porcaria" que pode dar isso....

Só não entendo como tem gente que consegue montar server bromatel com tudo conspirando contra!!! :mad:

Vou dizer,pomba AQUI tudo é mais dificil...que merleca....:(

Na verdade o risco maior não é nem do deco se perder no caminho e sim que o deco pode ser inutilizado depois de pegar os dados. O próprio polaco deixa bem claro no site sobre essa possibilidade. Mas quem está na chuva é pra se molhar não acham? hehe

No meu ponto de vista isso é de menos...o negócio ter o que devolver pra embromatel se porventura você tiver de cancelar a assinatura,ou mesmo solicitar um tecnico alegando que seu aparelho "parou" de funcionar do nada...hhehe

O pior seria ter de continuar pagando a assinatura pq não tem o aparelho pra devolver caso virem pegar ele e ainda não poder assistir nada,mesmo pagando pq você ferrou o deco por sua conta tentando fazer CS!!!

O apetrecho não tem lacre !
Só fechar.. em mes de janeiro queima muita coisa..principalmente nos apagoes de ITAIPU !

No meu ponto de vista isso é de menos...o negócio ter o que devolver pra embromatel se porventura você tiver de cancelar a assinatura,ou mesmo solicitar um tecnico alegando que seu aparelho "parou" de funcionar do nada...hhehe

O pior seria ter de continuar pagando a assinatura pq não tem o aparelho pra devolver caso virem pegar ele e ainda não poder assistir nada,mesmo pagando pq você ferrou o deco por sua conta tentando fazer CS!!!

Simples, caso dê alguma merda, diga que sua casa foi assaltada e levaram o receptor... Ai vc fala que levaram notebook, câmera digital, etc, só pra dar um miguézão... Eles não pedirão BO nem nada...

pensei nisso...pra quem mora em casa é mais fácil,ninguem contesta,mas quem mora em apartamento é um pouco mais complicado.

Não que seja impossivel roubar apartamento,mas é mais dificil...

Bom,achei um server CS 43,vou testar um mês pra ver se é bom,enquanto não resolvo meu caso pela bromatel ou por um GL39 ativo.

Pessoal, muito legal a participação de todos até agora! (cadê outros!? Tenho certeza que no forum aqui tem mais gente que pode ajudar!)

Mas lembrem-se: foco!

Sabemos da solução do polaco lá e é interessante estudá-la. Mas pra tirar algumas lições dela!
Sabemos de problemas de mexer nos decos, ok. Mas isso em nada resolve o problema de fazer o pareamento! Vamos deixar esse assunto/problema momentaneamente no estacionamento....depois, se necessário for, retomamos ele. Não vamos colocar mais pedras no caminho do que já tem! ;)

Mas a solução que buscamos com esse tópico aqui é:
- que abordagens alternativas e simples dá pra ter e extrair BK/RSA??? Vamos procurar/desenvolver alguma! (tomem como exemplo o do N.D.S que basta olhar uma etiqueta e usar uma calculadora)
- mesmo que algumas abordagens sejam complexas, como torná-las mais acessíveis a todos? Tutorial? Dicas?

Não se esqueçam que o objetivo maior desse tópico aqui é permitir que donos de S900 montem (o mais facilmente possível) servidores domésticos! Pra usar com seus pontos extras em casa mesmo ou no máximo compartilhar com alguns poucos amigos.

Olha oxbox,não me leva a mal mas por mais inventivo que seja o pessoal do fórum dependemos ainda do TEAM...ou vamos continuar usando firmware de outros fabricantes,como no caso do S800,em que o TEAM se eximiu por completo...PELO MENOS POR ENQUANTO....

EU particularmente já to pesquisando sobre programadores,pinagem BGA e adaptadores e vou te dizer...ta dificil.

Não sei não vai ter que se "desenvolver" algum adaptador de BGA para uma pinagem mais comum aos programadores DE BAIXO CUSTO que existem por ai.

ISSO PRA TENTAR LER,nem sei se vai ser possivel.

Por favor,não quero "esfriar" a intenção de ninguém,mas vai ser uma jornada extremamente pedregosa!

Olha oxbox,não me leva a mal mas por mais inventivo que seja o pessoal do fórum dependemos ainda do TEAM...ou vamos continuar usando firmware de outros fabricantes,como no caso do S800,em que o TEAM se eximiu por completo...PELO MENOS POR ENQUANTO....

EU particularmente já to pesquisando sobre programadores,pinagem BGA e adaptadores e vou te dizer...ta dificil.

Não sei não vai ter que se "desenvolver" algum adaptador de BGA para uma pinagem mais comum aos programadores DE BAIXO CUSTO que existem por ai.

ISSO PRA TENTAR LER,nem sei se vai ser possivel.

Por favor,não quero "esfriar" a intenção de ninguém,mas vai ser uma jornada extremamente pedregosa!

Não tenho dúvida que é dificil mesmo! Por isso o Team abriu a questão!
A idéia é romper essa dificuldade com auxílio de outros. Eles, até onde sei, tão também tentando buscar formas. E nos resta cobrar mesmo a participação deles aqui nesse tópico que eles mesmos criaram. Mas contam também com a colaboração de todos (para o benefício de muitos).

Quanto ao assunto fora desse tópico, sobre S800, você tá enganado. Já postei rapidamente a respeito disso em tópicos do S800. Dá uma lida por lá.

Não tenho dúvida que é dificil mesmo! Por isso o Team abriu a questão!
A idéia é romper essa dificuldade com auxílio de outros. Eles, até onde sei, tão também tentando buscar formas. E nos resta cobrar mesmo a participação deles aqui nesse tópico que eles mesmos criaram. Mas contam também com a colaboração de todos (para o benefício de muitos).

Quanto ao assunto fora desse tópico, sobre S800, você tá enganado. Já postei rapidamente a respeito disso em tópicos do S800. Dá uma lida por lá.

OX,
Pelo que li nesse post os caras tem um contato de um programador polones que sabe quebrar uma codificação de um dos chips do deco da embromotel para que esse deco embromotel deixe fazer CS...é isso?
Aonde entra o S900 que eu não entendi?
Eu sou formado em eng. Mecatronica e já programei algum chips sei que é complicado fico só imaginando como deve ser capitar o software de um chips e modificar sua programação e descobrir qual linguagem foi feita ainda.
Aqui no brasil não há niguém que faça o q o polones faz???

Tenho o dump do receiver da TIA, caso seja interessante para estudo posso compartilhar.

OX,
Pelo que li nesse post os caras tem um contato de um programador polones que sabe quebrar uma codificação de um dos chips do deco da embromotel para que esse deco embromotel deixe fazer CS...é isso?
Aonde entra o S900 que eu não entendi?
Eu sou formado em eng. Mecatronica e já programei algum chips sei que é complicado fico só imaginando como deve ser capitar o software de um chips e modificar sua programação e descobrir qual linguagem foi feita ainda.
Aqui no brasil não há niguém que faça o q o polones faz???

Não não....releia aí. É um pouco diferente disso.
O malandro lá sabe descriptografar e aonde pegar 2 informações que estão num firmware do deco oficial que são necessárias pra cadastrar no S900 para que ele possa funcionar com o cartão original.

Simples, caso dê alguma merda, diga que sua casa foi assaltada e levaram o receptor... Ai vc fala que levaram notebook, câmera digital, etc, só pra dar um miguézão... Eles não pedirão BO nem nada...

Diz que a patroa te pegou vendo coelha, ficou com ciúme e atirou da janela do quinto andar... fala que nem sobrou pedaço porque os molequim de rua levaram, etc etc etc... qq vão fazer, te cobrar 1 aparelho novo?

Não não....releia aí. É um pouco diferente disso.
O malandro lá sabe descriptografar e aonde pegar 2 informações que estão num firmware do deco oficial que são necessárias pra cadastrar no S900 para que ele possa funcionar com o cartão original.

Ox, vou correr o risco de quebrar a cara falando do que entendo pouco, mas vamos lá:

Não sei como é criptografada a flash, mas se o tal polaco faz um dump, descriptografa e manda umas provas de que fez o processo (que imagino sejam os logs dos programas), dá pra tentar entender o procedimento.

O que deve acontecer é que ele deve rodar um programa para atacar em brute-force o dump, deve levar um bom tempo, e o resto das informações devem estar num local específico do código. Dá pra dizer com certa segurança que, pegando 2 flash com a mesma versão de firm, a posição do rsa / bk deve ser a mesma sempre.

Ontem a meia noite + ou - , meu servidor rodou pela primeira vez !

Instalei a OSCAM no ubuntu 10.4, EU FIZ um leitor PHOENIX SERIAL por 18 reais ( aproveitei o smart reader do proprio de da embroma) e montei tudo na plaquinha furada de soldar componentes!

Abri as portas no LINUX range 1 a 60000, pra não dar erro!

Fui no PREMIUM e utilizei o cliente pra conectar e voi lá, embroma na telinha!


/dev/ttyS0
mhz = 368

Apanhei muito, mas muito mesmo, motivo da voltagem do cartão, eu coloquei ele a trabalhar em 3.3 volts e cartão não resetava, FAIL to RESET e o NDS que trouxe do Japão (axei uns cartão no lixo e guardei por algum motivo que não sei) resetava normal !

Quando coloquei a trabalhar em 5 volts o cartão resetou apareceu o ATR ... nagra rom 142 g2 etc !

Hj vou reinstalar o LINUX e deixar somente com a OSCAM pra fica + rapidinho!

Na minha rede ping 250 ms no LOG e troca de canal demora quase 3 segundos!

PC e um VIA 800 mhz tudo integrado com CF flash card 8 GB no lugar do HD, bem lerdinho ,, mas é muito economico !


Em breve o video no youtube!

Achei o contato do Polones no outro forum. De acordo com nota no site dele, ele está de férias e volta em 31-06-2010 .

Realmente, o cara parece saber e ter experiência em extrair BK e rsa.

Mandei e-mail, dependendo da resposta dele vou enviar uma placa para ele também.

Assim que tiver updates posto aqui.

[],
cheers

Ontem a meia noite + ou - , meu servidor rodou pela primeira vez !

Instalei a OSCAM no ubuntu 10.4, EU FIZ um leitor PHOENIX SERIAL por 18 reais ( aproveitei o smart reader do proprio de da embroma) e montei tudo na plaquinha furada de soldar componentes!

Abri as portas no LINUX range 1 a 60000, pra não dar erro!

Fui no PREMIUM e utilizei o cliente pra conectar e voi lá, embroma na telinha!


/dev/ttyS0
mhz = 368

Apanhei muito, mas muito mesmo, motivo da voltagem do cartão, eu coloquei ele a trabalhar em 3.3 volts e cartão não resetava, FAIL to RESET e o NDS que trouxe do Japão (axei uns cartão no lixo e guardei por algum motivo que não sei) resetava normal !

Quando coloquei a trabalhar em 5 volts o cartão resetou apareceu o ATR ... nagra rom 142 g2 etc !

Hj vou reinstalar o LINUX e deixar somente com a OSCAM pra fica + rapidinho!

Na minha rede ping 250 ms no LOG e troca de canal demora quase 3 segundos!

PC e um VIA 800 mhz tudo integrado com CF flash card 8 GB no lugar do HD, bem lerdinho ,, mas é muito economico !


Em breve o video no youtube!


aguardando pelo vídeo!

[],

Ox, vou correr o risco de quebrar a cara falando do que entendo pouco, mas vamos lá:

Não sei como é criptografada a flash, mas se o tal polaco faz um dump, descriptografa e manda umas provas de que fez o processo (que imagino sejam os logs dos programas), dá pra tentar entender o procedimento.

O que deve acontecer é que ele deve rodar um programa para atacar em brute-force o dump, deve levar um bom tempo, e o resto das informações devem estar num local específico do código. Dá pra dizer com certa segurança que, pegando 2 flash com a mesma versão de firm, a posição do rsa / bk deve ser a mesma sempre.

Tenho a impressão que a parada não é tão simples assim, eles podem, e devem, ter efetuado a codigicação da RS[A]/[B]K com algum tipo de HASH, principalmente se levarmos em consideração que o polonês pediu o número serial do deco, pra destrinchar o dump ...

O lance seria efetuar uma operação (ou mais) envolvendo os seriais do deco e encontrar os mesmos valores nos dois firms ...

Mas é quase impossível sem conhecer a função transformadora e/ou a posição em que se encontra a RS[A]/[B]K

Polish if this is the guy vamus soon send him, I'm a volunteer to help in dispesasas ...;)

Bom, eu trabalho com eletronica e informática e tenho alguma experiência com BGA, faço reparos em placas de notebook com BGA e sei da dificuldade para retirar e colocar de volta esses chips, tirar até que é tão complicado,
Os adaptadores para ler esse BGA não são comuns, seria então mais fácil retirar o chip e mandar apenas ele para o polonês em vez da placa inteira.

Pelas fotos da placa do receptor da embroma não tem como ver se tem algum conector de programação tipo jtag, se tiver teria outra forma de fazer um dump

Ola pessoal.
Tentando entender um pouco, dei uma olhada no datasheet do Sti5107.
pelo que vi ele tem interface JTAG/TAP, porem não existe a informação da pinagem deste processador.

Peço para o amigo vizinho, já que fez o estrago no receptor, se a pinagem tem ligação com aquele conector preto, canto inferior direito da foto postada, com os pinos do processador retirado

[]'s

E vamos aos testes :]

Tem sim !
E um JTAG e eu sei os pinouts !
Mas ta faltando uma pecinha (acho que é um transistor) que liga energia no JTAG !


Mas mesmo assim tem saber umas coisas pro Jkey funcionar no STi5107.
Como eu tava com pressa, fiz que fiz !

News !!!

BOBOFONICA Brazil !!!

Service is applicable possibly for all receivers from TELEFONICA

On present day tested is succesfull extraction BOXKEY and RSA from:

DMT 1552*

ECHOSTAR DSB-636BR

*In case of this receiver is very high risk of destroying it in extraction process, because flash memory is glued to mainboard.

Price for service of extraction BOXKEY and RSA from that Nagravision receivers is :

60 Euro for extraction service + shipping back price. Price for shipping depend from country and place of destination. Payment can be done by PayPal.

sera que é uma luz no final to túnel??//

Voy a buscar alguna fotos que saque de un 626BR con el Sti 5517 removido.
Tanto el 5107 como el 5517 tienen DCU-3 (Debug Controller Unit) ,
por eso no funcionan con Jkeys ... hay varios grupos trabajando en
hacer un driver emulador (uCtap) para usar el Jtag estandar de puerto paralelo con el software original de ST "Micro Connect" y asi poder dumpear las
nuevas flash BGA usando los pines del Jtag... que por cierto nada tiene que ver con el conector MO1 en el costado de la board.

Podria envia el link por favor gracias

...peguei isso em outro forum,vou colocar o peixe EXATAMENTE como foi postado:

Para parear um cartao, eu retirei a FLASH BGA do deco com AR quente, coloquei num programador unicoversal com adaptador BGA 64 pra DIP 48 ( paguei 230 dollar no ebay nesse adapatador) , mas o lucro no futuro vai compensar!
Pois muitos farão comigo a extração!
Abre com winhex o BINARIO vai até o endereço 0X?????? pega os 8 digitos e depois vai até o endereço 0x????? pega os 8 digitos depois 0x?????? 128 digitos depois 0x?????? 8 digitos depois 0x????? 8 digitos !

IRD BK RSA prontos!

Agora vc solda a bga de volta

Uma coisa dentro da firmware:
EntryPin=8291
ParentalPin=0000
iGuideFrequency=11130
iGuideSymbolRate=29892
iGuideModulation=1
iGuideDVBSpec=1
RegionId=3
iGuideFEC=4
iGuidePolar=2
LNBLowFreq=9750
LNBHighFreq=10600
LNBSwitchFreq=11700
iGuideNetworkNumber=1
firstTimeBoot=0
TVModulatorChann=000000000000

Entrypin é a senha de tecnico da instação do apetrecho !

Vou ver se tem outra cosinha pra NOIS ae por ae no firmware !

Até onde isso é verdade não sei...o que você acham :confused:

vizinho, tem como colocares o esquema da leitora? tenho um deco antigo da ceu, um philips e posso aproveitar a leitora dele
abraço

Ontem a meia noite + ou - , meu servidor rodou pela primeira vez !

Instalei a OSCAM no ubuntu 10.4, EU FIZ um leitor PHOENIX SERIAL por 18 reais ( aproveitei o smart reader do proprio de da embroma) e montei tudo na plaquinha furada de soldar componentes!

Abri as portas no LINUX range 1 a 60000, pra não dar erro!

Fui no PREMIUM e utilizei o cliente pra conectar e voi lá, embroma na telinha!


/dev/ttyS0
mhz = 368

Apanhei muito, mas muito mesmo, motivo da voltagem do cartão, eu coloquei ele a trabalhar em 3.3 volts e cartão não resetava, FAIL to RESET e o NDS que trouxe do Japão (axei uns cartão no lixo e guardei por algum motivo que não sei) resetava normal !

Quando coloquei a trabalhar em 5 volts o cartão resetou apareceu o ATR ... nagra rom 142 g2 etc !

Hj vou reinstalar o LINUX e deixar somente com a OSCAM pra fica + rapidinho!

Na minha rede ping 250 ms no LOG e troca de canal demora quase 3 segundos!

PC e um VIA 800 mhz tudo integrado com CF flash card 8 GB no lugar do HD, bem lerdinho ,, mas é muito economico !


Em breve o video no youtube!

Good afternoon;
I'ma computer engineer, working for over five years with embedded systems, have much knowledge in reverse engineering.
If someone can send me a file (dump) the flash of this receptor and inform me what is the chip of origin, against any information you guys need.

Best Regards
Joe

SO POR CURIOSIDADE


Como faz para colocar de novo o BGA???/

Ate onde aprendi e faz tempo isso.... NÃO TEM COMO colocar de volta o bga

Mas..... UM BOM BRASILEIRO JAMAIS DESISTE...

Com infravermelho ou ar quente deve dar.
Olha o que os caras trocam com infrared.

http://www.youtube.com/watch?v=DpctLSV8WAg

Reballing.

oi ,

afinal ninguem ainda sabe o que se passou com o polanes,
mas ja nao esta fazendo exctracoes nenhumas,
seu propio site o link ja nao esta disponivel,
o que sera que devia ter passado com o homem

Good afternoon;
I'ma computer engineer, working for over five years with embedded systems, have much knowledge in reverse engineering.
If someone can send me a file (dump) the flash of this receptor and inform me what is the chip of origin, against any information you guys need.

Best Regards
Joe

you got a private msg

pois e meus amigos como ja devem saber....fica a noticia.
Ele quebrou a segurança de televisão digital e caiu (vídeo)
Policiais do Departamento de Combate à Corrupção e ao Crime Económico da Polícia Municipal em Koszalin detido de 31 anos velho que quebrou os códigos de segurança em TV digital. A soma total dos prejuízos sofridos pelas plataformas digital pode chegar a até dezenas de milhares .


Parado pelo equipamento da polícia.
policiais Koszalin , juntamente com representantes de uma das plataformas digitais e empresas de tecnologia relacionados à segurança no emprego procurou o homem de 31 anos de idade. Encontraram lá, set-top boxes , painéis e equipamentos especializados para quebrar a segurança das plataformas digitais .

A polícia descobriu que um homem usando um equipamento de aplicação de computador e para aumentar o chamado de forma ilegal. teclas de vapor e algoritmos, que mais tarde foram autorizados a receber o sinal digital sem criptografia plataforma .

Estes serviços disponibilizam aos clientes , tanto em casa como no estrangeiro. Através de sua atividade criminosa que essas pessoas possam receber o sinal da plataforma sem pagar assinatura.

Ao prosseguir o assunto com o Departamento de Polícia de Combate à Corrupção e ao Crime Económico comando Koszalin trabalhou com a plataforma, e especialistas da Grã-Bretanha e Suíça, utilizadas pela empresa relacionadas à tecnologia de segurança.

Acções conjuntas resultaram na prisão do homem em sua oficina. Protegido dispositivos para extrair chaves de vapor e algoritmos , decodificadores e equipamentos eletrônicos. Recolhidas até agora a evidência indica que os serviços de 31 -year-old beneficiou dezenas de pessoas na Polónia e os países da União Europeia.

Fórum
# Hoje, 10:11
e que o IRD ?
+ syfra , 9 de Julho, 12:32
Bzdurze crap sobre este artigo. Normalmente, as mãos para baixo .
Olo ~ ~, 09 de julho , 00:29
Esse cara não só quebrou a segurança tem um programa de alguém que fez isso (certamente não da Pomerânia ). Eu sei porque eu sei a história inteira. Os preços foram no favorito zlikwodowano najwrazniej - mas foi cerca de 200 PLN será punido por aquilo que revela como ele apresenta as alegações. E pelo jeito que [...]



http://www.gp24.pl/apps/pbcs.dll/article?AID=/20100708/POMORZE/462827411




:mad::mad:

ele fui burro pra caralho também... ficou famoso no mundo todo (dentro dessa área, claro) e recebia as coisas em casa, alem de pagtos..

se fosse esperto ao menos jogava a merda no ventilador antes de ser pego

Pois é...tá complicado.
A propósito, qual a voltagem do cartão da Tia BET? Dá pra colocar num Elite, por exemplo, sem qualquer mod?

Fiquei pensando na comunicação cartão-->deco ... em algum momento o card precisa se comunicar com o deco para verificar a paridade.

Provavelmente ele não lê diretamente o valor BK/RSA, mas quem sabe compara um checksum (ou algo parecido)...enfim, alguém tem mais alguma sugestão?

Outra dúvida: no caso da Tia BET, a dificuldade de obter BK/RSA é a mesma da Embromel ou é mais simples (como da Céu)?

"The cow went to the swamp"

Realmente parece que grampearam o polaco: http://migre.me/WImJ

Se ele for bom de planejamento igual é com hardware/software ele preparou uma bomba relógio. E assim que essa explodir, discípulos aparecerão. Ou talvez até vire domínio realmente público os procedimentos de quebra. Vamos ver....

E o negócio é ver o vídeo da reportagem aí e outros se tiver. Vai que o video entrega alguma dica! hehehhe

boa OX ....
olha o nome da criança U_P2008 U_P256 256 Pins Programmer & EBG[at]64 adapter .... $559 no ebay

Eu acho que vão fechar o server o team !
A policia pegou o backup que o polones deixou no site dele..tipow..caso um dia vc perde, era só fazer download de lá!

Meu back tava lá..kkkkk
Acredito que o káolio tambem passou por lá!

:D

Pois é...o polaco se foi e não existe nenhum conjunto dump/serial/BK/RSA público disponível para estudo...
Enfim, parece não haver saída!! :(

Nao sei se tem acesso à emails na cadeia, mas, ele gentilmente respondeu ao meu email, vejam:

---------------------------------------------------------
No.

Please do not contact with me anymore...

----- Original Message -----
From: LordSkYlab
To: kowal[at]aktelgsm.pl
Sent: Sunday, July 11, 2010 10:28 PM
Subject: rsa extract


are you still in the business? your website is out of service.

:eek:

Possivelmente ele não trabalhava sozinho. Talvez algum dia alguém volte a fazer, bom, vai saber.

Olá Impar,

Estou no mesmo estudo que o seu..... ou seja; Beth !!!!
Desconfio que as infos que precisamos estão sim no card.
Em N2 (cards antigos) posso afirmar com toda certeza que estas infos sempre estiveram lá (Dump/Mosc) para os "entendidos" sabem do que estou há falar.
O problema é que mesmo em N2 depois das subidas de REV de AC3 para 6 e depois 9, não se conseguiu mais ter acesso aos cards via Mosc.
Acredito que ainda o melhor é fixarmos nos cards, pois via JTAG nos decoders officiais fica meio complicado.

Abraços e qualquer coisa vamos juntar experiencias.

De qualquer forma, o card precisa verificar a paridade em algum momento. Em outras palavras, o chip que contém a BK/RSA no deco, neste momento, é lido. Em minha opinião um log desta comunicação já seria de grande ajuda, pelo menos para começar...

PS: Esqueci de dizer: tem gente andando mais ou menos por este caminho: _www.islaremota.com/forum/showthread.php?t=30424

Aos N.A.G.R.A exitem 3 meios de extrair as bk !

JTAG = http://www.rdi-board.com/showthread.php?t=37325&page=76

DUMP do cartão com UNLOOPER, (não sei um link).

Extrair a flash e desencrytar o firmware com seu numero de serie do aparelho !

T+

ele nao deve ta preso, pelo que entendi na materia ele foi interrogado e pode ser indiciado por fabricacao ilegal e comercializacao de produtos nao autorizados.

quem ja fez teve sorte ou azar ?

Senhores :
A muito tempo atraz precisei ler alguns componentes e usei a seguinte tecnica.
coloquei em paralelo todas a linhas que interligavam o CI e a CPU (card-sti) e a porta paralela de um micro fiz um programa em basic para ficar lendo o endereço da porta (3F8 ) e liguei o aparelho emquanto isso o micro ficava lendo tudo que roolou entre os componentes .
sei que hoje tem uma variaçao que e a tensao de trabalho de 3v3 e a paralela de 5v mas tb tem CI que converte isso de forma bem simples.
se precisarem de algo mais especifico e so me consultar nao coonhesso muito do sistema e da parte de programas mas eletronica digital tenho alguma experiencia .
desculpem os erros de escrita.

Nao, meu logic analizer HP esta com defeito por isso usei esta tecnica e funcionou bem so foi um saco para analisar a quantidade de informaçao gerada mas resolveu.

Visinho,

vc ja construiu o cabo jtag? se sim, qual a config da pinagem que vc usou?
e se for muito, qual o software que vc usou para identificar a flash?

tenho umas duvidas quanto a extracao, porem como nosso amigo do uncap ja mencionou, a extrasao nao e tudo, se tivermos a imagem na mao, alguem que tenha uma imagem ja extraida teria que disponibilizar para que possamos fazer as comparação, digo isso por que no caso, a dump de cable para achar os certificados eu comparava as dumps, sempre achava, eu dei uma olhada no link
que vc disponibilizou acima, mais la o pessoal ainda estao perdidos, pois existem pinagem de 32 e de 10 porem nunhum e nem outro comentou se obteve sucesso em acessar a flash e dumpar ela, pelo contrario, ele nem sabem de onde comecar a efetuar a dump, mais o mais importante e que eles ja acessaram tanto a pinagem de 32 quanto a pinagem de 10...

tenho bastante software aqui que usava para umcapear os cables pra mim que ja tenho uma pratica nisso, gostaria de analisar também.


outra duvida que tenho e a seguinte, vc ja teve alguma experiência com unlooper? logo acima também vc mencionou que haveria possibilidades, porem acredito que nao, pois faz tempo que nao temos acesso a ac9, me corrija se estiver errado oks!

Abraços

Ox, vou correr o risco de quebrar a cara falando do que entendo pouco, mas vamos lá:

Não sei como é criptografada a flash, mas se o tal polaco faz um dump, descriptografa e manda umas provas de que fez o processo (que imagino sejam os logs dos programas), dá pra tentar entender o procedimento.

O que deve acontecer é que ele deve rodar um programa para atacar em brute-force o dump, deve levar um bom tempo, e o resto das informações devem estar num local específico do código. Dá pra dizer com certa segurança que, pegando 2 flash com a mesma versão de firm, a posição do rsa / bk deve ser a mesma sempre.

Ola azkarel,

e exatamente isso que eu sugeri acima, pois era isso a que eu fazia para achar os certificados dos cable modens...

o problema e algum que ja mandou para o polaco disponibiliar as dumps...

Duas Dumps com as Boxkey e RSA, e trabalhar apenas nas comparacoes, depois de saber onde elas estao sim, iriamos se preocupar com como extrair as dumps, pois tenho certeza que via jtag da certo sim!

ixi... ta feio mesmo, ele nao faz mais nem subornando ele kkkkkkkkkkkkkkkkkk, olhem a resposta dele :S


-------------------------------------------------


Re: ‏
De: Pawel Kowalski (kowal[at]kowalelektronik.pl)
Enviada: domingo, 25 de julho de 2010 12:23:01
Para: Pimpolho Tcha na na na na na naaannn
Hi.

Sorry.

This is impossible.

All service is stoped. And will not return.

Please do not contact with me anymore in this case...

Sorry...

----- Original Message -----
From: Pimpolho Tcha na na na na na naaannn
To: kowal[at]aktelgsm.pl ; aktel[at]aktelgsm.pl
Sent: Sunday, July 25, 2010 11:03 AM
Subject: Boxkey extraction and RSA

Hello Friends!

Are you still doing the extraction of receptor and RSA Boxkey Coship N5166 Vi[at] Embromatel - Brazil ... If yes, how do I send the receiver for you? paid to you 120 euros for y'all extract this information for me! because I hurry to get this information!

No waiting!

Thanks!

ae pessoal, para quem kizer fazer como eu estou falando, fazendo as comparacoes, entes disso vcs tem que converter o RSA de 128bit para 64bit, ou seja, acredito que esse polaco estava dando mastigadinho as informacoes para quem mandava os decos pra ele, para fazer a conversao, usem o software chamado: DT06 Type 0D Expander, ele converte as keys de 24bit achando o N e passando para 64bit, para maiores detalhes procurem ele no google, esse software e usado nas zoropa faz tempo para introduzir as keys nos azbox blz!

seria muito bom se duas almas caridosas poderem liberar duas dumps com os boxkeys e RSA ja prontinhas, para quem tem experiencia com hexedit estudar...

se nosso amigo, visinho ja conseguiu extrair a fw, esse passo ja nao e mais o foco, seria bom nos dividirmos em grupos, um grupo estuda as hex e outro ( quem tem experiencias em jtag ) esturar um modo de extrair via jtag para nao escangalhar os decos das operadoras...

qual quer coisa estamos ai!

Visinho, vc ja viu ou leu alguma coisa que o pessoal conseguiu entrar no receptor via hyper terminal? se sim! ou li e gostaria de saber se e verdade, pq se for, tenho um software que le e grava informacoes via hyper terminal desda 0xFFFFFF a 0x200000

ate

Pessoal, desculpem o food, mais essa informação e importante!

para fazer as comparacoes, tem que ser entre bins com os mesmos pacotes ou seja, com pacotes de canais diferentes a bin tera alteracoes na sua escrita, acabei de saber isso com um amigo que esta tambem fazendo as comparacoes, estamos comparando a minha bin com a dele e ja sabemos que ha diferencas, minha bin e full e a dele nao tem alguns canais, e existem divergências nas escritas...

abraços

ate!

Great,thanks for picture,very very good!

Well,the flash with BK and RSA it's chip with white paper marked red?

Hum,it's with glue (if silicone is easy to clean...)

How pins have 28,32 or more ?

What type a reader/programer is necessary to extract the dates?

I buy 2 mini-cpu to make 2 servers,but it's stoped by dificult to get a blue card (GL39) active e now by to BK and RSA from nagra3,used by "embromatel"...:mad:

Good friends know a little card clones friend ok but I think the possible move but chip and microcontoladoere as possible and the device shows that there are all manufactured by conship he used too much on FTA because tenmho aki a blue card with'm working on it I also did susseço device manufactured by with KULDESKI TVA THAT ONLY ultiliza onlluper verssao only three records and copies the cards fiko the willingness to further information

Eduardo Silveira

A extração do bk começa no endereço 0X00000201 do firmware !

Boa sorte.

Eu tenho 2 binaria , comprei um deco no ML por 100 reais e fiz uma experiencia !

Exatamente ali!

0X00000201

Mais abaixo o serial do deco !

Depois mais abaixo o kernel compactado com gzip, eu descompactei os 2 e os 2são identicos, mesmo checksum !

T+

Com um mapa detalhado a parte da extração vira festa! :D

Oi..se alguém tiver um endereço de residência na europa para receber alguns equipos lá do leste do cazaquistão....mande MP.

Voy a buscar alguna fotos que saque de un 626BR con el Sti 5517 removido.
Tanto el 5107 como el 5517 tienen DCU-3 (Debug Controller Unit) ,
por eso no funcionan con Jkeys ... hay varios grupos trabajando en
hacer un driver emulador (uCtap) para usar el Jtag estandar de puerto paralelo con el software original de ST "Micro Connect" y asi poder dumpear las
nuevas flash BGA usando los pines del Jtag... que por cierto nada tiene que ver con el conector MO1 en el costado de la board.

Verdade, vi isso também em um fórum. Porém existem outras possibilidades. Acredito que é o que o polonês fazia. Nada de decriptografar e etc. O embroma usa o núcleo ST20 C1 com DCU3 para ejtag. É necessário construir uma placa para fazer dump, portanto, é necessário desmontar o chip do BOX para fazer leitura. O programa que lê existe sim, e suporta a leitura do padrão em questão.
Agora, trocando do tema de programa pora esquemático... O dataSHIT da sti não tem nada de especial, só um diagrama de blocos bem picareta. Tenho em mãos um esquemático completo de um deco que utiliza o STI5105, que tem o mesmo núcleo que o sti5507. Nestes esquemas estão detalhados todos os pinos do chip, inclusive da interface para jtag.
Oxbox, se te interessa, manda MP que eu disponibilizo para a turma aí todos os esquemáticos. Trata-se de um deco turco, portanto terão que traduzir do turco. Hoje em dia o google tradutor faz milagres...
Abraços,

Cara..desencana !

Jtag, vai tirar a boxkey e rsa direto da memoria RAM do deco, mas pelo que EU SEI, ta faltando um tipo de transistor no deco da embroma , JTAG não vai funcionar!

DUMP da FLASH, se o JTAG não funciona, vc não pode fazer DUMP da FLASH !

O que o Polones faz, o que eu conversei com ele , o que ele fez pra mim ?

QUando vc envia o deco, ele tira a FLASH , coloca em um leitor , le os dados, usa um programa que ele criou pra desemcryptar a parte onde esta a BK e RSA e solda a FLASG BGA de volta !

Perguntei se poderia enviar somente a placa do deco, sem fonte e carcaça, ele respondeu, SIM..mas não dava garantia se o deco funcionaria , pois não teria como testar lá !

O que eu fiz pra baratear o custo!

Arranquei a flash, fiz a leitura, enviei os dados pra ele, ele me voltou o BK e RSA a parte onde esta encryptada e como fica desncryptada !

NOTA :

Eu sei onde esta a BK e RSA no firmware..mas esta encryptada !

Nota 2:

Encryptada tem o mesmo valor em kbytes..não fica maior nem menor o arquivo , apenas troca se os valores do numeros e letras 0-F !

O numero serial do deco é chave do sucesso !

Lembre-se o serial é o seu IRD convertido ..use a calculadora do windows e vc tera o inicio de tudo!

0x00000201 inicia seu IRD !

Vizinho,

Desencanando então.....porque a porra do sti5107 tem suporte para jtag? Para encarecer o projeto? rsrsrsr Acredito que tu nao viu o esquematico do sti5505...
Faltando transistor (que aparentemente é para controlar uma tensão) na placa do embroma...pode ter sido projetado para não dar acesso...ja pensou nisso?

Pode até ter enviado para o polones o dump, ele provavelmente gravou o dump numa flash e acessou por meio da placa para fazer jtag..e dependendo do sti5107 para fazer o meio de campo.

E outra, conversou com o russo que fez a placa e programa para o o sti/flash(é necessário saber o tamanho) e o programa que utiliza para leitura.

Quer passar teu email por MP para ver os esquemáticos....tranquilo...depois de analisar bem, comente.

Abraço,

Cara..desencana !

Jtag, vai tirar a boxkey e rsa direto da memoria RAM do deco, mas pelo que EU SEI, ta faltando um tipo de transistor no deco da embroma , JTAG não vai funcionar!

DUMP da FLASH, se o JTAG não funciona, vc não pode fazer DUMP da FLASH !

O que o Polones faz, o que eu conversei com ele , o que ele fez pra mim ?

QUando vc envia o deco, ele tira a FLASH , coloca em um leitor , le os dados, usa um programa que ele criou pra desemcryptar a parte onde esta a BK e RSA e solda a FLASG BGA de volta !

Perguntei se poderia enviar somente a placa do deco, sem fonte e carcaça, ele respondeu, SIM..mas não dava garantia se o deco funcionaria , pois não teria como testar lá !

O que eu fiz pra baratear o custo!

Arranquei a flash, fiz a leitura, enviei os dados pra ele, ele me voltou o BK e RSA a parte onde esta encryptada e como fica desncryptada !

NOTA :

Eu sei onde esta a BK e RSA no firmware..mas esta encryptada !

Nota 2:

Encryptada tem o mesmo valor em kbytes..não fica maior nem menor o arquivo , apenas troca se os valores do numeros e letras 0-F !

O numero serial do deco é chave do sucesso !

Lembre-se o serial é o seu IRD convertido ..use a calculadora do windows e vc tera o inicio de tudo!

0x00000201 inicia seu IRD !

Antes de retirar a minha flash eu perguntei se ele conseguiria extrair direto da flash!

Ele disse SIM e ENVIE o numero do deco junto!

Enviei e em 4 minutos ele reponde!

Hi.

File is correct. Extraction is possible.

CA id is correct.

So You can make payment by PayPal to : kowal[at]aktelgsm.pl

Amount 60 Euro.

B.R.

Sobre o Russo, pra mim é mais facil ligar no VP480 e adaptador de BGA 64 pra dip 48 e ler o chip e desemcryptar o BK e RSA !

5517 e 5107 Identicos .. igual preto com branco !

Boa Sorte.

Bom, de qualquer forma, ja que comentei do russo, ai esta o link do forum deles:

http://forum.tele-sat.ru/showthread.php?t=3695

Oxbox, se te interessa, manda MP que eu disponibilizo para a turma aí todos os esquemáticos. Trata-se de um deco turco, portanto terão que traduzir do turco. Hoje em dia o google tradutor faz milagres...
Abraços,

Cara zipa o negócio aí e sobe por exemplo pro www.sharebee.com e posta no forum o link. Melhor esquema. Esse material pode ajudar alguns, com outras abordagens. Certamente tem uma galera acompanhando esse tópico aqui e nem postou ainda. E vai que um desses acha uma boa solução....o negócio acaba ficando publico em algum momento.

Eu sei onde esta a BK e RSA no firmware..mas esta encryptada !

Nota 2:

Encryptada tem o mesmo valor em kbytes..não fica maior nem menor o arquivo , apenas troca se os valores do numeros e letras 0-F !

O numero serial do deco é chave do sucesso !

Lembre-se o serial é o seu IRD convertido ..use a calculadora do windows e vc tera o inicio de tudo!

0x00000201 inicia seu IRD !

Se você tem a certeza da localização, isso já é realmente um grande começo. E se o gringo pediu o serial do deco, então realmente ela é a chave ou ao menos parte da chave de criptografia.

O ideal seria pegar uma meia dúzia de dumps/seriais e começar a fazer umas comparações e tentar achar o algoritmo de criptografia. O problema é a galera animar compartilhar isso publicamente. hehhee Teria que arranjar um decos no mercado paralelo aí.

E, só pra constar o que já postei aí pra trás: no video da batida que deram na casa do polaco lá aparece pouco, mas tem algum material. Talvez olhando com cuidado tire alguma dica também.

E pegunta boba: o polaco não tinha algum email pra receber msg com PGP, ele publicou alguma chave pública? Se sim, acho que valeria a pena tentar contatar ele por aí, criptografado (que aí ele não será grampeado) e tentar sensibilizar o cara....pedir dicas do esquema pra ele....se ele não for fazer mais mesmo, talvez ele tope liberar pra nós aqui do outro lado do mundo. E, lógico, mandar uma chave pública pra ele também poder responder criptografado.

Cara zipa o negócio aí e sobe por exemplo pro www.sharebee.com e posta no forum o link. Melhor esquema. Esse material pode ajudar alguns, com outras abordagens. Certamente tem uma galera acompanhando esse tópico aqui e nem postou ainda. E vai que um desses acha uma boa solução....o negócio acaba ficando publico em algum momento.

Ok oxbox,

consegui fazer somente hoje pela manhã. Aqui estão os links:
1) http://sharebee.com/b3926420
2) http://sharebee.com/d4f29f43

Espero que possam contribuir de alguma forma.

Ainda acho que seria interessante contatao o russo e comprar dele o circuito
e o software. Ele só entrega na união européia.

No link1, tem o esquematico completo do deco. Dessa forma dá para ver como são mapeados os pinos do sti5105, da mesma família que o sti5107.
No link 2 é apresentada a solução comercial da sti para acessar as flashes por meio do sti51xx. Acredito que o russo de uma forma ou outra copiou o hardware e emulou o software do sdk que atualiza a flash. Este equipamento acaba por explicar porque o jtad não pode ser feito direto na placa do deco da embromatel.

Meu ingles é ruim pra kct !

Escrevam ae em ingles, como vc´s pediriam o programa pro Polones ?
Vou enviar um e-mail pra ele !

VAI QUE COLA !:D

vi num forum que parece que usa chave MD5 e que tem programas que demora horas pra converter o valor por isso talvez o polones demorava de 4 a 5 horas , nao sei se isso ajuda em algo mais achei que podia ajudar

Meu ingles é ruim pra kct !

Escrevam ae em ingles, como vc´s pediriam o programa pro Polones ?
Vou enviar um e-mail pra ele !

VAI QUE COLA !:D

Você tem OpenPGP ou coisa do tipo? Uma forma que ele possa se sentir seguro em te responder tendo a certeza de que o email não será grampeado?

Pra contatar ele sobre esse assunto sugiro ser assim....como ele passando a chave publica dele ou você mandar um email com a sua chave pública. Primeira coisa é deixar o cara mais a vontade. Posso estar enganado, mas a maior preocupação dele agora deve ser não fornecer indicios pra eventuais arapongas de que ele tá operando ainda pra não se complicar mais.

vi num forum que parece que usa chave MD5 e que tem programas que demora horas pra converter o valor por isso talvez o polones demorava de 4 a 5 horas , nao sei se isso ajuda em algo mais achei que podia ajudar

nao veio, isso nao procede nao, um amigo meu, enviou somente o bin e o serial do deco e transferiu os 60 conto pro polaco e ele me falou que levou 50 min e ja estava no e-mail dele as informacoes que ele queria...

e no meu caso, eu enviei tudo pra ele, levou 11 dias para chegar la, e fiquei acompanhando no site do correio o trajeto do envio, e logo que ele chegou la duas horas apos, ja estava no meu e-mail as informacoes...

o polaco age de outra forma... agora e saber qual e como... mais o pessoal aqui, acho eu, que estao bem emprenhados!

Hi guys,

I am from Dubai, I am also interested in getting box key and rsa information from my receiver, its a Humax one.
Since the Ploish guy got caught no one offered the same job, please if you know someone can help please let me know.

Best regards

Hi guys,

I am from Dubai, I am also interested in getting box key and rsa information from my receiver, its a Humax one.
Since the Ploish guy got caught no one offered the same job, please if you know someone can help please let me know.

Best regards

Welcome!

Well, sure there are other guy in the world that can get BK/RSA from N3 receivers. The problem is that they are not well know yet.
Here in Brazil seems to have at least one guy. Probably there are more. And I believe there're a few others worldwide.

We are sure about that because some people down here are starting new CS servers right now, after the polish guy problem.

This thread main objective is not to spread contacts of guys that can extract bk/rsa (although this can help in its mission so we also discuss this). Its objective is to build a method for doing this ourselves.

If you find out any guy or info on BK/RSA in the wild please share with us!

Welcome!

Well, sure there are other guy in the world that can get BK/RSA from N3 receivers. The problem is that they are not well know yet.
Here in Brazil seems to have at least one guy. Probably there are more. And I believe there're a few others worldwide.

We are sure about that because some people down here are starting new CS servers right now, after the polish guy problem.

This thread main objective is not to spread contacts of guys that can extract bk/rsa (although this can help in its mission so we also discuss this). Its objective is to build a method for doing this ourselves.

If you find out any guy or info on BK/RSA in the wild please share with us!
Well, as far I know, the Polish and Russian are well known about these kind of things, in our region no one knows how to do it because we didn't have any provider pairing his card with their receiver until 2010, the main problem is one provider which will broadcast the EPL matches in HD channels has done the pairing this with humax boxes using Irdeto card, another one has a package of more than 80 channels and they are using betacrypt2 encryption, both can work smoothly with oscam but the main problem is how can we extract those needed information from the receiver?

Foi o que imaginei...

Talvez (e muito provavelmente) a tal encriptação é algo relativamente trivial, como era nos antigos TOCOMs. Lembram-se do seriais embaixo do deco e o que havia gravado em bytes na RAM dos TOCOMs?

Se tivessemos acesso a este conjunto serial/BK/RSA válidos, certamente em pouco tempo alguém criaria uma calculadora...

...
NOTA :

Eu sei onde esta a BK e RSA no firmware..mas esta encryptada !

Nota 2:

Encryptada tem o mesmo valor em kbytes..não fica maior nem menor o arquivo , apenas troca se os valores do numeros e letras 0-F !

O numero serial do deco é chave do sucesso !

Lembre-se o serial é o seu IRD convertido ..use a calculadora do windows e vc tera o inicio de tudo!

0x00000201 inicia seu IRD !

pessoal, seguinte... acho que tem uma luz no fim do tunel...

tentei subornar novamente o polaco e sensibilizar o escumungado olhem a resposta que acabei de receber... nao e otima, mais para quem esta na mao... ja e alguma coisa! fresquinha:

--------------------------------------------------------------

Re: ‏[re]Boxkey extraction and RSA Via Embratel Brasil
De: Pawel Kowalski (kowal[at]kowalelektronik.pl)
Para: Pimpolho Tcha na na na na na naaannn

my dear,

wait two more weeks, and between back in touch, I get to spend my bread, never! ever! more resolve your problem, but I can solve!
I am awaiting the arrival of new equipment, and within two weeks!

wait touch!



----- Original Message -----
From: Pimpolho Tcha na na na na na naaannn
To: kowal[at]aktelgsm.pl ; aktel[at]aktelgsm.pl
Subject: Boxkey extraction and RSA Via Embratel Brasil

Hello again friend,

I feel more compelled to try to convince you to do this service for
me! because I need a lot of boxkey rsa and my receiver via
embratel Brazil, most do not know what I do, because until there is a topic in a
forum that accompany trying to unravel the mysteries of where to locate and
how to decrypt the code in the dump bin ... more today we're stuck in
several questions, if you are not making more of these services, we could
say how, because we have a team that certainly would account
message ... more without an arrow pointing to where we will follow
lost ...

Please help us!

hugs

Thanks!


-----------------------------------------------------------------------

Seria bom mais alguem que saiba dados tecnicos entrar tambem em contato... fazer como o oxbox falo... sensibilizar ele. ou ate mesmo o team... tipo sei lha fazer uma parceria com ele...

oxbox ou o prefeito, nao sei se vcs tem contato direto com o team, ou o coolio, mais tentem pegar:

Sou um politico... v6 sao meus eleitores... o que o politico faz depois de se eleger??? ou seja garanta mais 4 anos de mandato! depois de eleito.. ti vira!

eu como um politico te faco sentir seguro em me eleger...

sacaram...

NOTA :

Eu sei onde esta a BK e RSA no firmware..mas esta encryptada !

Nota 2:

Encryptada tem o mesmo valor em kbytes..não fica maior nem menor o arquivo , apenas troca se os valores do numeros e letras 0-F !

O numero serial do deco é chave do sucesso !

Lembre-se o serial é o seu IRD convertido ..use a calculadora do windows e vc tera o inicio de tudo!

0x00000201 inicia seu IRD !

Fiz o dump da flash, abri o .bin no editor hex fui até o offset 0x00000201 ai vieram tres perguntas:

1 - Para converter o CAID/Serial IRD usa a mesma "formula" do nds para converter ?

2 - Vc chegou a fazer o decrypt ? se sim, alguma dica ?:confused:

3 - O BK vai do 0x00000202 ao 0x0000020B ? sabe os offsets do RSA ?
:D

Hi guys
Any progress?

A guy in other forum tried using the card thru card splitter on cs, it worked but it was freezing alot.

Resolvendo essa parte da decriptação do dump, o próximo problema será como extrair esses dados sem "esgaçar" o deco oficial...

Galera que pretende montar servers, acreditem ou nao recebi um login de teste para tia em agade e funciona, travava mais funciona.
Não estou mentindo não, meu s900 nunca tinha visto nada assim, amei.
Se um conseguiu logo as portas se abrem, principalmente para quem entende.
:)

Galera que pretende montar servers, acreditem ou nao recebi um login de teste para tia em agade e funciona, travava mais funciona.
Não estou mentindo não, meu s900 nunca tinha visto nada assim, amei.
Se um conseguiu logo as portas se abrem, principalmente para quem entende.
:)

Que cliente (EMU) você utilizou no S900? E em qual cidade?

Que cliente (EMU) você utilizou no S900? E em qual cidade?

Ah cara to com sono agora, mais uso s900 com o 1º fix on on on, uso cs do xcode, ai configurei para o do cara aqui do forum, user (agora) server viahd.ath.cx e pum, quando abriu até assustei.
Acho que é NewCamd 5.25 né.
Eu moro em rodeiro mg, uso net a radio e no xcode quando o server esta bom quase nem trava.

Pow pessoal, ja falei que da sim, usem um card que ja tenha estraido as infos e mude a grade para full Agade, e usem o dreambox simples 500s ele nao vai rodar o canais agade mais vai partilhar as chaves normalmente...

e para os clientes ele tem que usar por obrigacao S900 azcaixa Agade e Elite Agade e o Dreamcaixa 800 Agade, somente esses porem abrir canais em Agade por cs blz! os demais sao todos SD

usem o oscam e pronto... ( mais esse updade da grade so pode ser feita em sampa e rio, no resto dos estados a vi[at] nao esta fazendo esse update da grade...

mais pessoal, nao vamos fugir do centro do assunto... vamos continuar focados na extracao e decodificacao blz! esse e o maior intuito do post ;)

Ate mais!

Resolvendo essa parte da decriptação do dump, o próximo problema será como extrair esses dados sem "esgaçar" o deco oficial...

ja tem user trabalhando no jtag... logo logo aparecem com novidades... eu por exemplo ja revi toda a estrutura so me falta achar a alimentação do jtag.. mais ja tem gente que acho que esta mais na frente... mais como o intuito deles e financeiro, claro que nao iram divulgar como fazer... mais sempre aparece teorias novas... isso sempre teve para o pessoal do uncap... toda semana aparecia coisa nova... quem nunca ouviu falar em blackcat que no inicio somente a tecniso que sabia como fazer e vendia o servico por 200 a 500 doletas...

vamos estudar mais um pouco a parte de localização, entrelaçao serial decoder e decodificação dos dados na bin ;)

Ate mais!

alguém tem algum dump com boxkey e rsa já extraídos que pudesse disponibilizar para verificar como encontrá-los em outros dumps?

o serial do deco tb seria necessário

alguém tem algum dump com boxkey e rsa já extraídos que pudesse disponibilizar para verificar como encontrá-los em outros dumps?

o serial do deco tb seria necessário

caramba, ninguém tem um dump q pudesse disponibilizar?

ou já existe um método ou alguém que extraia estas infos?

pelo q ando procurando não existe nada ainda

poxa to achando que so eu que to atras, pois o topico ta morto!

mais para quem ainda esta estudando:

http://laki.dvhk.pl/faqs_tunery_polsat.htm

abracos


obs.: o coolio, na boa, como vc conseguiu o boxkey e RSA da Bet. pois nao foi o polaco que abriu para vc, CERTEZA! ponha aqui tambem suas experiencias com a estracao do mesmo... pois tanto tia quanto bet estao em ac9 ou seja, nao e possivel ler com unlooper... ou me corrija se eu estiver enganado!

poxa to achando que so eu que to atras, pois o topico ta morto!

mais para quem ainda esta estudando:

http://laki.dvhk.pl/faqs_tunery_polsat.htm

abracos


obs.: o coolio, na boa, como vc conseguiu o boxkey e RSA da Bet. pois nao foi o polaco que abriu para vc, CERTEZA! ponha aqui tambem suas experiencias com a estracao do mesmo... pois tanto tia quanto bet estao em ac9 ou seja, nao e possivel ler com unlooper... ou me corrija se eu estiver enganado!

e o q q tem a ver ac9 com n3?

vou pedir de novo aqui pra ver se esse troço anda

já que ninguém repassa a info, ou ninguém tem, e nem mesmo indica alguém para fazer o serviço, será que alguém que tem algum dump já com a bk e a rsa extraídas poderia disponibilizar o dump com as keys?

vou pedir de novo aqui pra ver se esse troço anda

já que ninguém repassa a info, ou ninguém tem, e nem mesmo indica alguém para fazer o serviço, será que alguém que tem algum dump já com a bk e a rsa extraídas poderia disponibilizar o dump com as keys?

sim, claro, já estamos fazendo isso, aham ;)

sim, claro, já estamos fazendo isso, aham ;)

não leva a mal cara mas tua ironia ficou muito podre

o que poderia ser feito com o dump de alguém já com as keys se não se tem o cartão original?

então volta a pergunta: qual o problema de disponibilizar um dump com as keys já extraídas?

daria pra ver qual é o cartão/cliente, deixa de ser mané

daria pra ver qual é o cartão/cliente, deixa de ser mané

o problema seria a clonagem do cartão?

o problema seria a clonagem do cartão?

:confused: ja vi q to perdendo tempo... fui

:confused: ja vi q to perdendo tempo... fui

ou eu não to te entendendo ou tú não tá me entendendo...

se eu disponibilizasse o id do meu deco (por exemplo) + rsa e bk junto com a bin dele, qq vc conseguiria fazer com isso? qual o problema q isso ia causar pra mim? a meu ver não poderia fazer nada com isso. tá, vai conseguir infos do meu cartão. e daí? a não ser que possa usar isso pra liberar os canais pra vc q, ao meu ver, não teria como.

tiodepano !!

Se vc disponibizar os dados, a operadora sabera em 1 segundo quem é vc !!!

Seu BK e RSA é exclusivo seu, é atravez disso que eles liberam ou corta seu sinal !

Não existe região pro BK , eu posso pegar meu servidor e fazer funcionar lá no Japão com a fibra de 1GB que acabei de instalar (quer dizer meu filho acabou de instalar).

Nota.. 1 GB de down como 1GB de UP por 4,700 yens!

http://www.speedtest.net/result/264875828.png

perfeito, chegamos ao ponto

mas só saberiam se eu pudesse levantar um server com esses dados o q, ao meu ver, não é possível sem o cartão e nem assim ainda tenho certeza se seria possível saber pq todos os servers cairiam neste quesito, correto?

ou então se o dump fosse disponibilizado numa área pública com as keys e alguém da operadora tivesse acesso e quisesse bloquear, não é?

se esqueci algum ponto me corrija, por favor, e obrigado pelas dicas

Moderador Help,

como assim Ac9 com N3? vc e moderador a quanto tempo, mesmo assim nao vou ser ironico...

ac9 e a escrita do cartao, certo! N3 e a codificacao do card Certo! PORTANTO!!!! se a escrita esta em ac9, nao tem como fazer a leitura ate o presente momento com unlooper certo! agora se tem como fazer dump do ac9 fala ai pra nois, pois tem gente disposto a pagar 40 mil reais pelo soft para fazer o servico.... use o google e leia mais sobre o assunto!

quanto ao coolio, vai la meu amigo... passa ai a bola pra nois ;)

nao faca como o polaco... se afundou com a mina toda... quanto mais na roda... maior a dificuldade de combater.... pego ai???

abracos

Rapaziada, talvez publicar aqui BK/RSA e serial de deco nao seja realmente uma boa idéia;) , porem o ta parecendo mesmo e que nao está havendo o verdadeiro motivo da abertura deste topico, o compartilhamento de informacoes e a uniao do grupo para o estudo.
Sabemos que tem gente com estas infos, porem ja subiu pra cabeça e só pensam em dinheiro.
Caso queiram compartilhar e tocar o projeto, podem usar MP, inclusive estou tentando desvendar algo por aqui, porem nao consegui ainda os dados necessarios minimos. Lembrem-se pra essas coisas tem MP.
Abraço

Ah, me incluam nas MPs

Caro "algumacoisadepano",

BK/RSA mudam dependendo da região......do que adiantaria ter acesso há um dump, se ele não for da sua região?
Detalhe; Dumps existem ainda da época do AC3, depois disso já passaram pra AC6/AC9 e agora estão indo (rápido inclusive) pra N3 (que as REV dos cards seriam algo do tipo; 142 ou 180).
Volto a afirmar ......não teria utilidade este dump.

Manero

Pior e que tem utilidade sim! ja tem pessoal que sabe ler essa bin... vamos ver no que ki da!

to tentando contato!

Rapaziada, talvez publicar aqui BK/RSA e serial de deco nao seja realmente uma boa idéia;) , porem o ta parecendo mesmo e que nao está havendo o verdadeiro motivo da abertura deste topico, o compartilhamento de informacoes e a uniao do grupo para o estudo.
Sabemos que tem gente com estas infos, porem ja subiu pra cabeça e só pensam em dinheiro.
Caso queiram compartilhar e tocar o projeto, podem usar MP, inclusive estou tentando desvendar algo por aqui, porem nao consegui ainda os dados necessarios minimos. Lembrem-se pra essas coisas tem MP.
Abraço

Se pensam em ganhar dinheiro vão se ferrar, pois os "sobrinhos" da BET estão ligadinhos defendendo a Tia com unhas e dentes! Se fosse eu, repassava a info e dividia a responsabilidade... afinal, mais cedo ou mais tarde vai cair em domínio público e os pioneiros, neste caso, estarão vendo o sol nascer quadrado como o polaco, enquanto os outros...

Se pensam em ganhar dinheiro vão se ferrar, pois os "sobrinhos" da BET estão ligadinhos defendendo a Tia com unhas e dentes! Se fosse eu, repassava a info e dividia a responsabilidade... afinal, mais cedo ou mais tarde vai cair em domínio público e os pioneiros, neste caso, estarão vendo o sol nascer quadrado como o polaco, enquanto os outros...

Desculpe a intromissão, sou curioso, e não tenho equipamento nem conhecimento pra ajudar, mais vc's querem dizer que tem gente que tem as chaves e poderia colocar em um fw e resolveria tudo é isso?

Que papo é esse podem esclarecer ?

Pessoal, não é omissão de informação nenhuma. De uns tempos para cá esse tópico virou só porcaria. Fato é que não há ninguém no momento capaz de extrair BK e RSA. A fonte secou.

Alguem tá conseguindo contato com polako ?

Ele nao respondeu meu email.

Pessoal, não é omissão de informação nenhuma. De uns tempos para cá esse tópico virou só porcaria. Fato é que não há ninguém no momento capaz de extrair BK e RSA. A fonte secou.

existem uns poucos, tanto aqui como fora, não são mtos nem um só tb, mas existem.
o fato é q não é barato, quem faz não abre e quem fez não disponibiliza o troço pra tentar encontrar o padrão.

pra mim esse tópico morreu, vo ficar com céu vermelho mesmo

[QUOTE=Eduardo_Silveira;111321]pessoal, seguinte... acho que tem uma luz no fim do tunel...

tentei subornar novamente o polaco e sensibilizar o escumungado olhem a resposta que acabei de receber... nao e otima, mais para quem esta na mao... ja e alguma coisa! fresquinha:

--------------------------------------------------------------

Re: ‏[re]Boxkey extraction and RSA Via Embratel Brasil
De: Pawel Kowalski (kowal[at]kowalelektronik.pl)
Para: Pimpolho Tcha na na na na na naaannn

my dear,

wait two more weeks, and between back in touch, I get to spend my bread, never! ever! more resolve your problem, but I can solve!
I am awaiting the arrival of new equipment, and within two weeks!

wait touch!



----- Original Message -----
From: Pimpolho Tcha na na na na na naaannn
To: kowal[at]aktelgsm.pl ; aktel[at]aktelgsm.pl
Subject: Boxkey extraction and RSA Via Embratel Brasil

Hello again friend,

I feel more compelled to try to convince you to do this service for
me! because I need a lot of boxkey rsa and my receiver via
embratel Brazil, most do not know what I do, because until there is a topic in a
forum that accompany trying to unravel the mysteries of where to locate and
how to decrypt the code in the dump bin ... more today we're stuck in
several questions, if you are not making more of these services, we could
say how, because we have a team that certainly would account
message ... more without an arrow pointing to where we will follow
lost ...

Please help us!

hugs

Thanks!


-----------------------------------------------------------------------

oi,
a ver se este amigo conseguio mais alguma do polanes.
pode ser que tenha sorte.

ola
alguem tem um deco com card desativado da bombafonica para estudos???

em sistema de doação o emprestimos!!!

abrçs

ola
alguem tem um deco com card desativado da bombafonica para estudos???

em sistema de doação o emprestimos!!!

abrçs

Eu tenho 2 cartões bobfonica, um tem até os tyers mais é um rom110 rev AC9.
Colocando na minha Dream com oscam_tunga ele reconhece o cartão e vai até o final, olha o log....

2010/08/27 15:56:53 303 r02 [nagra-reader] TIERS DONE
2010/08/27 15:56:53 303 r02 ROM: D N A S P 1 1 0
2010/08/27 15:56:53 303 r02 REV: R e v A C 9
2010/08/27 15:56:53 303 r02 SER: XX XX XX XX
2010/08/27 15:56:53 303 r02 CAID: 1801
2010/08/27 15:56:53 303 r02 ready for requests

Minha duvida é... ele já reconheceu a rsa e boxkey que está no cartão?

Outra duvida a RSA de todos os receptores Echostar são as mesmas?

Pelo log ja passou RSA e BK !

Se a RSA é igual eu não sei no seu caso rom 110,(nunca brinquei com um a110) mas nos magra 3, todos RSA são diferente, ja extrai 4 e todos são diferentes !

então tem como descobrir a boxkey pelo log desse card? e a rsa diferente para cada receptor ou em cada cartão?

Um presente pra todos !

Em felicidade de destravamento do PS3 !

Pic PSGROOVE 18f4550 !

Agora é com vc´s , o maximo que posso ajudar esta aqui , todos tem que trabalhar e força aqui e ali vai !!!!!

http://img840.imageshack.us/img840/2013/viaboxkey.jpg

perfeito contato

virou meu herói

vou assinar e testar

^^

Lembre-se !
Todos tem que trabalhar !
Este firmwar eesta encryptado !
Vc tem que desecryptar ele, ai sim ele vai esta ali certinho!

Vc sabe desencryptar ???

Coloca o restante e veja uma das maiores destruição de sistema digital!

contato
te pergunto,qtos processos essa bin passou até chegar nesse ponto,outra coisa esse programa ,não consegui ver o nome dele ,ele é smilar ao nagra edit?

o programa é o hex workshop.

obrigado pela dica,seguinte abri o programa e coloquei uma bin,um bin de 8 mega do decoder sd,porem não surgiu aquelas linhas ali que aparece na figura
alguem teria,como dar um dica dessa desencriptação citada acima?

obrigado pela dica,seguinte abri o programa e coloquei uma bin,um bin de 8 mega do decoder sd,porem não surgiu aquelas linhas ali que aparece na figura
alguem teria,como dar um dica dessa desencriptação citada acima?

cara, como não surgiu as linhas acima?
vai até o endereço q tá na imagem, ou melhor, procura pelo hexa do teu ird (que vc já tem) na dump q vc vai saber onde tá a info. se não achar, tá encriptada.
não posso ajudar mto pq to assinando embroma agora, mas se quiser ajuda mais específica manda pm qq coisa

Vejo evolução no tópico! :D

Precisava agora é arranjar um jeito de extrair bin sem ter que detonar o hardware. Tentar usar as portas originais do próprio deco (alguém já investigou como é o processo de boot? E atualização OTA?..Over The Air...talvez dê pra forçar algo e tirar proveito disso) ou no máximo um jeito pra grampear algo na placa, talvez um jtag mesmo.

entendo que por jtag seria um caminho,mas como essa parte ja foi pulada,eu queria ao menos conseguir essa informação,pois não é tão simples como estamos pensando,como eu ja detonei o deco,podemos tirar proveito dessa dump que tenho em mãos,

Pessoal, não é omissão de informação nenhuma. De uns tempos para cá esse tópico virou só porcaria. Fato é que não há ninguém no momento capaz de extrair BK e RSA. A fonte secou.

Amigo, posso te dizer com muiiiiiiiiiiiita exatidão que vc está totalmente enganado....

tem gente boa, e que saca das paradas que ja dominou TODO que precisavam saber para extrair e obter os dados!

tanto que o coolio só entra aki para ver se alguem conseguiu extrair via jtag, porque a decodificação já mataram... o problema é que tem pessoas aqui que não tão sendo honestas o bastante pra contribuir, alias, somente estão entrando neste tópico pra ver se surgir alguma coisa referente a jtag, ai acredito que eles entraram em contato direto com o membro e fechar o tópico...

tipo eu, semana patrasada estava lento e lento nos sites afins se surgia algo novo, tanto que coloquei aki e soube a pouco que é exatamente aquilo que postei que o polaco faz.... e os entendidos já sabem que é daquela maneira mesmo, agora somente estão esperando surgir um com um jtag que leia a flash diretamente da placa... isso posso dizer que já tem membro que está 98% com o projeto pronto, mais garanto que ele não irá liberar pra ninguem... até por que existe membros de alto escalão que escondem o jogo!

o intuito de alguns aki é o desafiu... e são eles que conseguiram os dados sem ajuda do polaco, conseguiram por mero desafio... e estão de parabens!

e para aqueles que me ajudaram ( XXXX ) e ( XXXX ) muito obrigado de coração! o que eu queria, eles já fizeram!

e pesso a quem me ajudou, não postem aki não o feito! pois tem pessoas que só vê lucro ao extremo!

Abraços

Eduardo Silveira

Amigo, posso te dizer com muiiiiiiiiiiiita exatidão que vc está totalmente enganado....

tem gente boa, e que saca das paradas que ja dominou TODO que precisavam saber para extrair e obter os dados!

tanto que o coolio só entra aki para ver se alguem conseguiu extrair via jtag, porque a decodificação já mataram... o problema é que tem pessoas aqui que não tão sendo honestas o bastante pra contribuir, alias, somente estão entrando neste tópico pra ver se surgir alguma coisa referente a jtag, ai acredito que eles entraram em contato direto com o membro e fechar o tópico...

tipo eu, semana patrasada estava lento e lento nos sites afins se surgia algo novo, tanto que coloquei aki e soube a pouco que é exatamente aquilo que postei que o polaco faz.... e os entendidos já sabem que é daquela maneira mesmo, agora somente estão esperando surgir um com um jtag que leia a flash diretamente da placa... isso posso dizer que já tem membro que está 98% com o projeto pronto, mais garanto que ele não irá liberar pra ninguem... até por que existe membros de alto escalão que escondem o jogo!

o intuito de alguns aki é o desafiu... e são eles que conseguiram os dados sem ajuda do polaco, conseguiram por mero desafio... e estão de parabens!

e para aqueles que me ajudaram ( XXXX ) e ( XXXX ) muito obrigado de coração! o que eu queria, eles já fizeram!

e pesso a quem me ajudou, não postem aki não o feito! pois tem pessoas que só vê lucro ao extremo!

Abraços

Eduardo Silveira


Toda novidade passa por isso. Normal. Certeza que tem algunS que já avançaram mais e tão escondendo leite. Outros ainda vão chegar nesse ponto também.
Mas mais dias, menos dias a coisa vai se tornando pública. É assim pra tudo. E esse tópico aqui vem pra fomentar isso...pra tentar acelerar esse processo normal de ordenha. Pouco importa se o leite vai dar nessa teta aqui ou na do lado, o importante é que vai aparecer. Mas que o leite no começo fica escondido, fica. É natural.

E daí todos ganham. Mesmo nesse momento de transição que a coisa tá meio escondida. Já ajuda a no mínimo a pintar vários servidores CS comerciais por aí, o que aumenta a oferta, barateia o preços e melhora qualidade.
E aí quando popularizar mesmo vão aparecer os servidores CS domésticos, que é o objetivo principal do Team AzAmerica para os S900 (ver 1o post).

Vai lá gente !!!!
Postem como desencryptar, minha mão está coçando !
Não vou aguentar muito tempo.

Bom por enquanto o backup manager precisa de um disco original pra rodar, mas e se sair um boot direto ???

Seria outra felicidade?

olha fiquei com preguiça de ler aí pra trás, mas se não me engano já foi postado. Acho que é compactado usando gzip e o número de série do receptor como chave. (ou será que sonhei com isso??? :confused:)

Um presente pra todos !

Em felicidade de destravamento do PS3 !

Pic PSGROOVE 18f4550 !

Agora é com vc´s , o maximo que posso ajudar esta aqui , todos tem que trabalhar e força aqui e ali vai !!!!!

http://img840.imageshack.us/img840/2013/viaboxkey.jpg

Pelo que entendi trata-se de um dump da flash da Embromatel com a indicação da posição do IRD/BK/RSA... é isso?
Partindo desse raciocínio, fiquei confuso, pois você disse há um tempo atrás para o Eduardo Silveira que a BK da Embromatel iniciava em 0X00000201:

Eduardo Silveira

A extração do bk começa no endereço 0X00000201 do firmware !

Boa sorte.

Eu tenho 2 binaria , comprei um deco no ML por 100 reais e fiz uma experiencia !

Exatamente ali!

0X00000201

Mais abaixo o serial do deco !

Depois mais abaixo o kernel compactado com gzip, eu descompactei os 2 e os 2são identicos, mesmo checksum !

T+

Porém, na imagem do link acima, os endereços são:

IRD - 0x00000204 até 0x00000207 ==> 4 bytes
BK - 0x00000216 até 0x0000021D ==> 8 bytes
RSA - 0x00000220 até 0x0000025F ==> 64 bytes

Enfim... afinal, o IRD começa em 0x00000201, em 0x00000204 ou em outro endereço? São 4 bytes mesmo?
E os demais endereços, estão corretos?
Ou eu me enganei (é bem possível!) e não é nada disso?

Vc esta certo !

Esta encryptado o firmware, o local é somente onde fica a boxkey e rsa, tem que desncryptar primeiro!

____________________//_________________________

0x201 esta errado!
O arquivo onde esta a boxkey começa no 0x202, mas não é encryptado !

Nem o IRD é encryptado !
Em todas as DUMP o IRD não está encryptado!
Pra comprovar pegamos o IRD e convertemos no serial do deco:

646A03A1 hex -> 1684669345 decimal

Vamos lá:

646A03A1 depois mais 2 bytes ( 0303 ) nas DUMP onde fiz comparações , temos o IRD e depois o 0303 em todas as dump !

Após os 0303 fica encryptado !

Vou subir 2 binarias reais de dois decos extraidos em breve !

Vai ter servidor pra tudo é quanto lado.

Pelo jeito vou ter que ensinar a galera desencryptar !

1º binaria.......

http://www.megaupload.com/?d=5HHWOZIZ

E não esquentem a cabeça com JTAG, conheço um cara aqui em sorocada que faz a leitura da BGA e solda no deco de volta por 60 reais!

Vc esta certo !


E não esquentem a cabeça com JTAG, conheço um cara aqui em sorocada que faz a leitura da BGA e solda no deco de volta por 60 reais!

Passa o contato do cara então amigão

Maravilha, legal ver que o tópico andou! Parabéns ao contato e aos demais!

quero entender sobre desencryptar a bin,pois se eu tenho a bin do decoder sd,sao 8 mega ,a partir disso,quais ferrametas devo usar?

quero entender sobre desencryptar a bin,pois se eu tenho a bin do decoder sd,sao 8 mega ,a partir disso,quais ferrametas devo usar?

Um editor de HEX tipo o HExworkshp, o IDA Pro pra fazer o dessassembly da bin pra vc entender como funciona.

ola amigos eu sei que este projecto e pra nagra mais uma pregunta pra os card irdeto2 tem tambem como fazer este esquema pra extraer as bk
abrazos

Ok oxbox,

consegui fazer somente hoje pela manhã. Aqui estão os links:
1) http://sharebee.com/b3926420
2) http://sharebee.com/d4f29f43

Espero que possam contribuir de alguma forma.

Ainda acho que seria interessante contatao o russo e comprar dele o circuito
e o software. Ele só entrega na união européia.

expirou la ...pode me passar pinagem....parece que o vizinho ta com medo de agente conseguir tb...vou ajustar aqui e faço o jtag..extraio a bin..e continuaremos os estudos ok

galera ate onde vcs sabem se o viznho esta certo qdo ao inicio dos endereçamentos?

sacar o sti e resoldar(ja fiz belza,mas ja queimei um deco) deco e o que nao falta aqui, mas pelo que vi aqui da para colocar uns resitores e umas portas aqui e sacer a bin ate pela paralela...tenho 3 deco aqui posso disponibilizar a bin para nos recomeçar os estudos ok (comparaçao de bin para saber onde termina e começa a rsa (a encriptaçao da rsa usa uma chave que e o serial do deco), preciso das pingens para conferir aqui as ligaçoes do sti para ver se bate..

ae pessoal, para quem kizer fazer como eu estou falando, fazendo as comparacoes, entes disso vcs tem que converter o RSA de 128bit para 64bit, ou seja, acredito que esse polaco estava dando mastigadinho as informacoes para quem mandava os decos pra ele, para fazer a conversao, usem o software chamado: DT06 Type 0D Expander, ele converte as keys de 24bit achando o N e passando para 64bit, para maiores detalhes procurem ele no google, esse software e usado nas zoropa faz tempo para introduzir as keys nos azbox blz!

seria muito bom se duas almas caridosas poderem liberar duas dumps com os boxkeys e RSA ja prontinhas, para quem tem experiencia com hexedit estudar...

se nosso amigo, visinho ja conseguiu extrair a fw, esse passo ja nao e mais o foco, seria bom nos dividirmos em grupos, um grupo estuda as hex e outro ( quem tem experiencias em jtag ) esturar um modo de extrair via jtag para nao escangalhar os decos das operadoras...

qual quer coisa estamos ai!

Visinho, vc ja viu ou leu alguma coisa que o pessoal conseguiu entrar no receptor via hyper terminal? se sim! ou li e gostaria de saber se e verdade, pq se for, tenho um software que le e grava informacoes via hyper terminal desda 0xFFFFFF a 0x200000

ate

e ai blza..parece que o vizinho e mais alguem ja ta comercializando a coisa....galera ate onde vcs sabem se o viznho esta certo qdo ao inicio dos endereçamentos?

sacar o sti e resoldar(ja fiz belza,mas ja queimei um deco) deco e o que nao falta aqui, mas pelo que vi aqui da para colocar uns resitores e umas portas aqui e sacer a bin ate pela paralela...tenho 3 deco aqui posso disponibilizar a bin para nos recomeçar os estudos ok (comparaçao de bin para saber onde termina e começa a rsa (a encriptaçao da rsa usa uma chave que e o serial do deco)...vc ja consegiu alguma bin para comparaçao? vou fazer um jtag aqui...chupar uns sti aqui e te mando..vamos continuar os estudos?

obrigado pela dica,seguinte abri o programa e coloquei uma bin,um bin de 8 mega do decoder sd,porem não surgiu aquelas linhas ali que aparece na figura
alguem teria,como dar um dica dessa desencriptação citada acima?


alvo...o que conseguiste ate agora? qual foi a metodologia e o hard que vc usou para sacar a bin?

procedimento padrão,ar quente na bga e reballing apos leitura ,procedimento que anda meio contestado aqui no grupo

procedimento padrão,ar quente na bga e reballing apos leitura ,procedimento que anda meio contestado aqui no grupo

O processador tem suporte a JTAG, não vejo sentido em esgaçar o deco já que existe essa possibilidade. TALVEZ alguns componentes periféricos necessários ao JTAG estejam ausentes na PCB, mas nada que uma adaptação externa não resolva.

Entretanto, enquanto isso, agradeço ao Contato pelo dump disponibilizado e peço a quem puder que disponibilize também um dump da Tia BET para estudo.

Juntos chegaremos lá!! (eu acho que já ouvi isso antes...) :D

Juntos chegaremos lá!! (eu acho que já ouvi isso antes...) :D

Só na espectativa!!!!

Abraços e Parabens

HMAC !

xbox360 keyvault !!!

IMPAR, não entendi o que vc quis dizer,esgarçar o decoder,talvez vc não saiba ,mas fazer reball é um procedimento comum demais,que ha tempos é utilizado em bga,todos bga que vc faz reball o decoder volta a funcionar normalmente,o que pode fazer queimar o bga é o procedimento errado,pois equipamentos adequados são caros,eu nao tenho solda laser e mesmo assim ,até hj nunca queimei uma bga,entendo que o jtag facilita demais,mas nao concordo dizerem que reball estraga decoder

Olá como vão todos por aqui????
espero que bem.
Em Primeiro lugar parabéns aos Administradores, e responsáveis pela moderação deste magnifico fórum.
Pois desde a muito tempo estou ligado aos sistemas de codificação (nagra) especificamente, desde o começo (n1) ate este momento (N3) pois como é óbvio o sistema (n3) o método e o mesmo de (n1) com alterações apena no nº de bytes das Rsas e alteração de cryptação no Firmware tudo se baseia em cryptção e não só!!! mas também contem (xors) etc, não me vou alongar muito mais como e a minha primeira intervenção aqui, esta meu 1º post será breve e com umas pequenas elucidações, como devem compreender nem tudo se pode divulgar em publico devido a minha experiencia em (PT) e muitos anos disto o que contraria a minha vontade, (mas eles andam por ai) infiltrados nos fóruns, e foi a custa de muitos estudiosos como vocês e nós aqui na Europa que os eng da kuldesky aprenderam a tapar os buracos optando pela estratégia de deixar evoluir as investigações, para dai dar a golpada final que e o novo sistema de cryptaçao o que levaram a kuldesky a ter sucesso no actual momento:D deixo-vos aqui a penas um apontamento do que envolve o novo sistema de codificação.
0x000F5F10 0x00000005 SHA-1
0x000F5F30 0x00000003 MD5
0x000F5F50 0x0000000B SSL3 SHAMD5
0x000F5F6F 0x00000009 RSA_SIGN
0x000F5FB0 0x00000003 RC4
0x000F5FD0 0x00000005 SHA-1
0x000F5FF0 0x00000003 MD5
0x000F6010 0x0000000B SSL3 SHAMD5
0x000F602F 0x00000009 RSA_SIGN
0x000F604F 0x00000009 RSA_KEYX
0x000F6070 0x00000004 HMAC
0x000F60B0 0x00000003 RC4
0x000F60D0 0x00000005 SHA-1
0x000F60F0 0x00000003 MD5
0x000F6110 0x0000000B SSL3 SHAMD5
0x000F612F 0x00000009 RSA_KEYX
0x000F6150 0x00000004 HMAC
0x000F619C 0x00000005 SHA-1
0x000F61B4 0x0000001D Secure Hash Algorithm (SHA-1)
0x000F61F4 0x00000003 MD5
0x000F620C 0x00000016 Message Digest 5 (MD5)
0x000F624C 0x0000000B SSL3 SHAMD5
0x000F6264 0x0000000B SSL3 SHAMD5
0x000F62A3 0x00000009 RSA_SIGN
0x000F62BC 0x0000000D RSA Signature
0x000F6354 0x00000003 RC4
0x000F636C 0x00000017 RSA Data Security's RC4
0x000F63AC 0x00000005 SHA-1
0x000F63C4 0x0000001D Secure Hash Algorithm (SHA-1)
0x000F6404 0x00000003 MD5
0x000F641C 0x00000016 Message Digest 5 (MD5)
0x000F645C 0x0000000B SSL3 SHAMD5
0x000F6474 0x0000000B SSL3 SHAMD5
0x000F64B3 0x00000009 RSA_SIGN
0x000F64CC 0x0000000D RSA Signature
0x000F650B 0x00000009 RSA_KEYX
0x000F6524 0x00000010 RSA Key Exchange
0x000F6564 0x00000004 HMAC
0x000F657C 0x00000011 Hugo's MAC (HMAC)
0x000F6614 0x00000003 RC4
0x000F662C 0x00000017 RSA Data Security's RC4
0x000F666C 0x00000005 SHA-1
0x000F6684 0x0000001D Secure Hash Algorithm (SHA-1)
0x000F66C4 0x00000003 MD5
0x000F66DC 0x00000016 Message Digest 5 (MD5)
0x000F671C 0x0000000B SSL3 SHAMD5
0x000F6734 0x0000000B SSL3 SHAMD5
0x000F6773 0x00000009 RSA_KEYX
0x000F678C 0x00000010 RSA Key Exchange
0x000F67CC 0x00000004 HMAC
0x000F67E4 0x00000011 Hugo's MAC (HMAC)
Ps: não liguem aos Ofsets, pois apenas isto e virtual;)
atençao que os blocos cryptados tem varios indiçes
0000006E tamanho do Bloco cryptado de um determinado deco= 6E hex os mais antigos mas n3
os actuais ja vêem com um bloco maior (Thomson, Pace, Philpse demais hds que por ai proliferam nos Paises de codificação (N3)
0000016C tamanho do Bloco cryptado dos actuais (decos)= receptores
eheheh actuais

quanto ao jtag esqueçam.
desde a familia Sti55xx c2 ate ao actual sti71xx que foram fornecidos com um pin priv e só aos provedores que adquiriram determinada quantidade e com contratos bem celebrados :D, nada tem a ver com Ftas.

bom fico por aqui, abraço a todos e boas investigação no que puder ser util cá estarei, mas cuidado com a divulgação de parte de dumps que eles andam por ai de Irds= 00000000 e conveniente;)
The_Onsitbin

IMPAR, não entendi o que vc quis dizer,esgarçar o decoder,talvez vc não saiba ,mas fazer reball é um procedimento comum demais,que ha tempos é utilizado em bga,todos bga que vc faz reball o decoder volta a funcionar normalmente,o que pode fazer queimar o bga é o procedimento errado,pois equipamentos adequados são caros,eu nao tenho solda laser e mesmo assim ,até hj nunca queimei uma bga,entendo que o jtag facilita demais,mas nao concordo dizerem que reball estraga decoder

Eu não quis dizer que estraga o decoder... na verdade, o meu objetivo (assim como o deste tópico) é encontrar uma forma simples e barata para que qualquer pessoa com um mínimo de conhecimento consiga extrair os dados do deco. Nas palavras do Team:

"[...]We found a big technnical barrier to mount domestic servers = Box-Card Pairing.[...]"

Então, das soluções propostas até agora, me parece mais sensata a do JTAG USB, onde você só precisará do JTAG e (talvez) algum conhecimento de solda, além de instalar alguns softwares. Em outras palavras, uma solução doméstica.

Como você mesmo disse, equipamentos adequados são caros, e por isso na minha opinião deve-se investir mais na idéia do JTAG, e quiçá em algo na área de software (firmware?, loader?).

Evidentemente neste momento só há uma opção, então vamos utilizá-la para adiantarmos os estudos, mas sem esquecer das alternativas mais simples!

Abraço!

Olá como vão todos por aqui????
espero que bem.
Em Primeiro lugar parabéns aos Administradores, e responsáveis pela moderação deste magnifico fórum.
Pois desde a muito tempo estou ligado aos sistemas de codificação (nagra) especificamente, desde o começo (n1) ate este momento (N3) pois como é óbvio o sistema (n3) o método e o mesmo de (n1) com alterações apena no nº de bytes das Rsas e alteração de cryptação no Firmware tudo se baseia em cryptção e não só!!! mas também contem (xors) etc, não me vou alongar muito mais como e a minha primeira intervenção aqui, esta meu 1º post será breve e com umas pequenas elucidações, como devem compreender nem tudo se pode divulgar em publico devido a minha experiencia em (PT) e muitos anos disto o que contraria a minha vontade, (mas eles andam por ai) infiltrados nos fóruns, e foi a custa de muitos estudiosos como vocês e nós aqui na Europa que os eng da kuldesky aprenderam a tapar os buracos optando pela estratégia de deixar evoluir as investigações, para dai dar a golpada final que e o novo sistema de cryptaçao o que levaram a kuldesky a ter sucesso no actual momento:D deixo-vos aqui a penas um apontamento do que envolve o novo sistema de codificação.
0x000F5F10 0x00000005 SHA-1
0x000F5F30 0x00000003 MD5
0x000F5F50 0x0000000B SSL3 SHAMD5
0x000F5F6F 0x00000009 RSA_SIGN
0x000F5FB0 0x00000003 RC4
0x000F5FD0 0x00000005 SHA-1
0x000F5FF0 0x00000003 MD5
0x000F6010 0x0000000B SSL3 SHAMD5
0x000F602F 0x00000009 RSA_SIGN
0x000F604F 0x00000009 RSA_KEYX
0x000F6070 0x00000004 HMAC
0x000F60B0 0x00000003 RC4
0x000F60D0 0x00000005 SHA-1
0x000F60F0 0x00000003 MD5
0x000F6110 0x0000000B SSL3 SHAMD5
0x000F612F 0x00000009 RSA_KEYX
0x000F6150 0x00000004 HMAC
0x000F619C 0x00000005 SHA-1
0x000F61B4 0x0000001D Secure Hash Algorithm (SHA-1)
0x000F61F4 0x00000003 MD5
0x000F620C 0x00000016 Message Digest 5 (MD5)
0x000F624C 0x0000000B SSL3 SHAMD5
0x000F6264 0x0000000B SSL3 SHAMD5
0x000F62A3 0x00000009 RSA_SIGN
0x000F62BC 0x0000000D RSA Signature
0x000F6354 0x00000003 RC4
0x000F636C 0x00000017 RSA Data Security's RC4
0x000F63AC 0x00000005 SHA-1
0x000F63C4 0x0000001D Secure Hash Algorithm (SHA-1)
0x000F6404 0x00000003 MD5
0x000F641C 0x00000016 Message Digest 5 (MD5)
0x000F645C 0x0000000B SSL3 SHAMD5
0x000F6474 0x0000000B SSL3 SHAMD5
0x000F64B3 0x00000009 RSA_SIGN
0x000F64CC 0x0000000D RSA Signature
0x000F650B 0x00000009 RSA_KEYX
0x000F6524 0x00000010 RSA Key Exchange
0x000F6564 0x00000004 HMAC
0x000F657C 0x00000011 Hugo's MAC (HMAC)
0x000F6614 0x00000003 RC4
0x000F662C 0x00000017 RSA Data Security's RC4
0x000F666C 0x00000005 SHA-1
0x000F6684 0x0000001D Secure Hash Algorithm (SHA-1)
0x000F66C4 0x00000003 MD5
0x000F66DC 0x00000016 Message Digest 5 (MD5)
0x000F671C 0x0000000B SSL3 SHAMD5
0x000F6734 0x0000000B SSL3 SHAMD5
0x000F6773 0x00000009 RSA_KEYX
0x000F678C 0x00000010 RSA Key Exchange
0x000F67CC 0x00000004 HMAC
0x000F67E4 0x00000011 Hugo's MAC (HMAC)
Ps: não liguem aos Ofsets, pois apenas isto e virtual;)
atençao que os blocos cryptados tem varios indiçes
0000006E tamanho do Bloco cryptado de um determinado deco= 6E hex os mais antigos mas n3
os actuais ja vêem com um bloco maior (Thomson, Pace, Philpse demais hds que por ai proliferam nos Paises de codificação (N3)
0000016C tamanho do Bloco cryptado dos actuais (decos)= receptores
eheheh actuais

quanto ao jtag esqueçam.
desde a familia Sti55xx c2 ate ao actual sti71xx que foram fornecidos com um pin priv e só aos provedores que adquiriram determinada quantidade e com contratos bem celebrados :D, nada tem a ver com Ftas.

bom fico por aqui, abraço a todos e boas investigação no que puder ser util cá estarei, mas cuidado com a divulgação de parte de dumps que eles andam por ai de Irds= 00000000 e conveniente
The_Onsitbin

Muito obrigado pelas elucidações! Aliás, essa info de que os sti71xx dos decos oficiais eram customizados é nova para mim, mas não me surpreende.
Desde o tempo dos velhos TOCOMs já existe a fabricação de chips sob encomenda (na época eram OTPs da Zilog).

Espero que com essas informações já seja possível finalmente nos igualarmos com o saudoso polaco! :D

disassembler

http://digifusion.jeamland.org/st20dis/

disassembler

http://digifusion.jeamland.org/st20dis/

O problema do disassembler é saber o offset do bootloader..... pq se não ele pega os dados errados ai fica confuso... por exemplo o IRD q não é encrypitado não fica na posição correta, ele coloca 6C como sendo o primeiro byte do ird..... pelo menos assim foi comigo aqui em vários dumps.

Kernel descompactado !!!!

http://www.megaupload.com/?d=DWZO8MWA

disassembler

http://digifusion.jeamland.org/st20dis/
ola amigo "contato" com isso fazes o que?????:D se o firmware parte importante esta cryptado
para que não haja duvidas o dasme do firmware e feito na ram do deco ou seja e lá que ele e decryptado. isso e feito noutro deco + antigo com acesso a jtag ;)
abraços

ola amigo "contato" com isso fazes o que?????:D se o firmware parte importante esta cryptado
para que não haja duvidas o dasme do firmware e feito na ram do deco ou seja e lá que ele e decryptado. isso e feito noutro deco + antigo com acesso a jtag ;)
abraços

Pelo IDA PRo é possivel criar a RAM e endereçar a ROM... mas realmente ja tentei com os datasheets da RAM e flash e não conseguir encontar um endereçamento correto. Quando crio a RAM a flash não joga nada para o endereçamento dela, ficando vazia.

Mais umas boas evoluções (e contribuições!) pro tópico! Parabéns aí pra galera que tá tocando! ;)

E que servers CS de N3 pinte a cada esquina! :D

Flash
S29GL064N90FFI020 = 8Mb
RAM
HY5DU561622FTP-4 = 256Mb
CPU
STi5107

Qual os dados para colocar no IDA Pro ?

Vou trabalhar em uma coisa agora:

IRD -> BOXKEY


12000000,5ED506876941FDCA, 12000001,348B5367CC12F516, 12000002,4E708E6AA05B4F4B, 12000003,F02600BB673117DE,
12000004,F05F3CFC3405C944, 12000005,32F66B24F99B18F8, 12000006,4B812A9D49D4893D, 12000007,E0B263D8770B7B1D,
12000008,EDFD6A3335083E0A, 12000009,4A3FA2770E40E0A8, 1200000A,A2E58ACC65C43FA3, 1200000B,E8E261A0EF20767C,
1200000C,960320FB0E97A055, 1200000D,6B7ADA17FE14DBFA, 1200000E,CDA86D42E5F4206A, 1200000F,E91DE665060698A7,
12000010,9A88606BCEC11537, 12000011,9D10083D7BAAE522, 12000012,911E6127CB45AA2E, 12000013,DF83669981D480DD,
12000014,31DC9C211686CB4D, 12000015,E201A57E13259DD8, 12000016,838D228690665DE8, 12000017,BBBC8D8B80F2C5B2,
12000018,921683DB4E4991E0, 12000019,82CD5D1A69B78A0A, 1200001A,6D683E65EFE61C20, 1200001B,6F59BF9C13DFD62A,
1200001C,8BE9ECF9B1020446, 1200001D,FF02C86EE0EFAABA, 1200001E,7291EDE6F897F553, 1200001F,9B36D4D7B550F695,
12000020,423919660C9DAC61, 12000021,C18B8C542F354291, 12000022,505B16F1A421F33A, 12000023,C626BE0B93E662F7,
12000024,74913C345304DC2D, 12000025,1864427F94FE5263, 12000026,B6E1181BCB7A5991, 12000027,A39EFA0CD5DEB3DC,
12000028,289951D7B682A72C, 12000029,EAA7D220E41BFCEA, 1200002A,949A4622F2459DC1, 1200002B,F9B90486A714C9CD,
1200002C,E321A3B9F3532856, 1200002D,4D026D624F015929, 1200002E,15E80E647C186255, 1200002F,31943696E7200935,
12000030,8A4AEBF434B1D4EA, 12000031,1EF5C828F060D7F6, 12000032,446BDF6E59361EA7, 12000033,683DCA444B33E7C3,
12000034,F294E5EAE255EBBB, 12000035,A1E286461E0C1844, 12000036,B7A189845F87ECE0, 12000037,F816B92910705D05,
12000038,155AB0EE58D10154, 12000039,C1866EAB93705042, 1200003A,98FE1C7F159E31F8, 1200003B,B24D2F9E046464D3,
1200003C,8E960B118A71A485, 1200003D,A391E945A73079F0, 1200003E,23D938FDA1B26FA2, 1200003F,3A453FB32C072EA3,
12000040,1D72F80DA0C9779E, 12000041,0FEEC8AE3384FECE, 12000042,765E2C36C32C0CB6, 12000043,EE3AB0460761202D,
12000044,295E17E981752715, 12000045,6A822A1EEE37966C, 12000046,049182E31F41A7B6, 12000047,6908262AFD776C0F,
12000048,36A9280E2C1F93CC, 12000049,AF33FD899520C7CC, 1200004A,F3719E85B68D1736, 1200004B,F07738F9F01D1120,
1200004C,A41ECB4B499A0010, 1200004D,CCE3E23192AD2B9F, 1200004E,DE4F952C122B5393, 1200004F,607F63500173A90D,
12000050,BB24A72EF06EEC4B, 12000051,72D4E6E2130C9D42, 12000052,65553EB9A54CA0DF, 12000053,1E5779F5DAF9C441,
12000054,10FCEE9F099974FA, 12000055,EACB34883D8F8659, 12000056,0B763236E8897D29, 12000057,9F052123E38B2ADA,
12000058,25E860B0FC999E59, 12000059,98840E00B9C60810, 1200005A,F1A3547B490F3830, 1200005B,DE9A74279C943BAD,
1200005C,2B802B6141824336, 1200005D,59F69094CB7EAF63, 1200005E,5E30599CD21E98FF, 1200005F,ACBFF0E5CF7B8CEF,
12000060,CB74BB55BE2A9533, 12000061,1999CCB3E9661A27, 12000062,92B1D7D8EB655AFF, 12000063,45A258F17AD9A2E0,
12000064,B0D4723B6FE1D966, 12000065,9A62A5D4B903525F, 12000066,AEE2527742FC7B71, 12000067,73AFB43A50526B0A,
12000068,B700847EB9594717, 12000069,49413FA2F367A955, 1200006A,4AC7EED562737905, 1200006B,60FD536844094D63,
1200006C,967A68950A74F897, 1200006D,C8BF36A1CCFB95A4, 1200006E,632E9B32E1CAA3D7, 1200006F,83DD24FE1315BAC2,
12000070,69589D3C46CDA2A6, 12000071,E596C00F573C951B, 12000072,90A98B0C0CDDA714, 12000073,E6A7AA01C47433C8,
12000074,5365D70472473765, 12000075,7AB359CF0B0DFB09, 12000076,646A5F0121B03436, 12000077,4014E4D06080B0E6,
12000078,F961786469F54AA1, 12000079,FCB8575EF8428C32, 1200007A,2293824B3A3CA721, 1200007B,2DA8C486D882115F,
1200007C,FD28CFED358A000A, 1200007D,F6274465B705BDA3, 1200007E,86DCBAA042E5ABE3, 1200007F,D1E813A5D14C9AF1,
12000080,4BFE11E214B7E9EA, 12000081,53D0B266231DBD8B, 12000082,6F01E21A097EE024, 12000083,0A1C32E53E9C230D,
12000084,EB00858E5F64BA8A, 12000085,C71E3F0E4B5E95D0, 12000086,42C37A09943E3879, 12000087,31FBED8C2029AB98,
12000088,CA3DEE70B1080DC2, 12000089,A9674EAE3801E818, 1200008A,0F32B443EB46740A, 1200008B,61283155251144AC,
1200008C,1B833C788524D4D5, 1200008D,8CF5E273E90C3F91, 1200008E,CCE039FFFA00F243, 1200008F,41A199A8A81F28C8,
12000090,C0ED0618DC1EED57, 12000091,62ACEB68C75047A0, 12000092,DB9A797887DC6395, 12000093,09704BF66EA2D752,
12000094,37897DB3A257806C, 12000095,08E05E0EFDEE627C, 12000096,5140FF3FECED074B, 12000097,C319232D4D6D4285,

Flash
S29GL064N90FFI020 = 8Mb
RAM
HY5DU561622FTP-4 = 256Mb
CPU
STi5107

Qual os dados para colocar no IDA Pro ?

tem usado quais valores para endereçamento das memórias?

Tentei começando no RAM 0x00000000, 0x00040000; ROM 0x00050000 e fui tentando os endereços da rom como no datasheet.

Tentei começando no RAM 0x00000000, 0x00040000; ROM 0x00050000 e fui tentando os endereços da rom como no datasheet.

tb não to conseguindo abrir pelo ida
vou tentar ver se acho o st20 toolset que lá tem o emulador do st20 e deve funcionar, além de mais um monte de ferramentas pra esta cpu

consegui o st20 sdk r2.3.1

não vou ter tempo de testar agora e se não tiver amanhã tb, só 2ª da semana q vem

mas pelo que andei vendo, vai resolver

bootloader dos st20 iniciando em 0x7FFFFFFE a principio e, a partir dai, só ver o código que vai carregar na RAM

pelo q pesquisei, o st20 não criptografa por si só. logo, tal código provavelmente será carregado pelo bootloader

[at]TicoDePano

Tentei colocar no IDA pro e não consegui.... sempre começa como se fosse no inicio da flash mesmo ai os dados q vão pra RAM ficam como unk. Alguem sabe como configurar no IDA PRO ?

Obrigado.

# ----------------------------- Session Negotiation ---------------------------
# Following is a set of 4 parameters that may be used to achieve successful
# session key negotiation with the card.
# -----------------------------------------------------------------------------

# DT08 session negotiation method. Just the Box Key is required for this
# method to work. This is the simpler, preferable method, however, not all cards
# have DT08's.
box_key=??????????????????
# DT06 Key 0D session negotiation. An alternative method for when the card does
# not have a DT08. Useful when you have the card's DT06 and not the IRD's
# Secondary Key.
#
# If this value is specified, the DT06 method will be attempted instead
# of the DT08 one.
#
# IMPORTANT: BOTH the Box Key and the DT06 are needed for this method to work.
#
# HINT: The DT06 Key 0D *does not* change when a card is swapped, if you
# have this for an old card that was married to an IRD, it will work for
# newer cards on that same IRD.
# dt06_key_0d=

# Plain CAM N negotiation method. Another alternative method for when the card
# does not have a DT08. It is somewhat equivalent to the DT06 Key 0D method and
# again, useful when you have the card's CAM N obtained from an expanded
# DT06 Key 0D. As a sidenote, this parameter is equivalent to newcs's
# <rsa></rsa> parameter.
#
# IMPORTANT: BOTH the Box Key and CAM N are needed for this method to work.
#cam_n=??????????????????????????????????????????? ????????????????????????????????/
# Secondary key session negotiation method. If your card does not have a DT08,
# and you can't extract the cam's N key or DT06 Key 0D, this is the only possible
# method. The secondary key must be extracted from a provider IRD's TSOP dump.
#
# If this value is specified, it will supercede the DT08, DT06 Key 0D and Plain
# CAM N session negotiation methods. Neither the Box Key, DT06 Key 0D nor CAM N
# parameters are needed for this method to work, and will be ignored if they
# are provided.
#
# The secondary key is 96 bytes long and has the following structure:
#
# II II II II XX XX XX XX XX XX XX XX XX XX Y1 Y1 Y1 Y1 Y1 Y1 Y1 Y1
# SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK
# SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK
# SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK
# SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK
# Y2 Y2 Y2 Y2 Y2 Y2 Y2 Y2 CS CS
#
# II = IRD serial number.
# XX = Unimportant.
# Y1, Y2 = SK signature and also used to calculate the box key.
# SK = Actual secondary key data (CAM N, public modulus).
# CS = Checksum.
#
# NOTE: The Secondary Key should be specified as a single line without spaces
# (like the Box Key), and should be the exact 96 bytes as extracted from the IRD.
#
# NOTE: You can copy the 64 bytes that are labeled 'SK' from the Secondary
# Key, and use them in the cam_n parameter. This will also work, in that case
# the Box Key parameter must also be provided.
secondary_key=

# Optional. Card provider's IRD RSA key (only relevant for DT08 session
# negotiation method.
rsa_key=

# ----------------------------- Session Negotiation ---------------------------
# Following is a set of 4 parameters that may be used to achieve successful
# session key negotiation with the card.
# -----------------------------------------------------------------------------

# DT08 session negotiation method. Just the Box Key is required for this
# method to work. This is the simpler, preferable method, however, not all cards
# have DT08's.
box_key=??????????????????
# DT06 Key 0D session negotiation. An alternative method for when the card does
# not have a DT08. Useful when you have the card's DT06 and not the IRD's
# Secondary Key.
#
# If this value is specified, the DT06 method will be attempted instead
# of the DT08 one.
#
# IMPORTANT: BOTH the Box Key and the DT06 are needed for this method to work.
#
# HINT: The DT06 Key 0D *does not* change when a card is swapped, if you
# have this for an old card that was married to an IRD, it will work for
# newer cards on that same IRD.
# dt06_key_0d=

# Plain CAM N negotiation method. Another alternative method for when the card
# does not have a DT08. It is somewhat equivalent to the DT06 Key 0D method and
# again, useful when you have the card's CAM N obtained from an expanded
# DT06 Key 0D. As a sidenote, this parameter is equivalent to newcs's
# <rsa></rsa> parameter.
#
# IMPORTANT: BOTH the Box Key and CAM N are needed for this method to work.
#cam_n=??????????????????????????????????????????? ????????????????????????????????/
# Secondary key session negotiation method. If your card does not have a DT08,
# and you can't extract the cam's N key or DT06 Key 0D, this is the only possible
# method. The secondary key must be extracted from a provider IRD's TSOP dump.
#
# If this value is specified, it will supercede the DT08, DT06 Key 0D and Plain
# CAM N session negotiation methods. Neither the Box Key, DT06 Key 0D nor CAM N
# parameters are needed for this method to work, and will be ignored if they
# are provided.
#
# The secondary key is 96 bytes long and has the following structure:
#
# II II II II XX XX XX XX XX XX XX XX XX XX Y1 Y1 Y1 Y1 Y1 Y1 Y1 Y1
# SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK
# SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK
# SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK
# SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK SK
# Y2 Y2 Y2 Y2 Y2 Y2 Y2 Y2 CS CS
#
# II = IRD serial number.
# XX = Unimportant.
# Y1, Y2 = SK signature and also used to calculate the box key.
# SK = Actual secondary key data (CAM N, public modulus).
# CS = Checksum.
#
# NOTE: The Secondary Key should be specified as a single line without spaces
# (like the Box Key), and should be the exact 96 bytes as extracted from the IRD.
#
# NOTE: You can copy the 64 bytes that are labeled 'SK' from the Secondary
# Key, and use them in the cam_n parameter. This will also work, in that case
# the Box Key parameter must also be provided.
secondary_key=

# Optional. Card provider's IRD RSA key (only relevant for DT08 session
# negotiation method.
rsa_key=

não entendi teu post

continua precisando da bk e da rsa

kkk.. eu tambem não entedi, por isso postei !
Entendi que é uma forma de calcular a RSA somente pela boxkey.
Mas parece que tem que ter um dump do cartão, vou pesquisar mais.!

DT06 e Dt08 é calculado assim.
http://www.scribd.com/doc/7076721/Calcular-DT06-e-DT08
Acho que para nós não tem muita serventia.

No caso do boxkey vc pode calcular fazendo um Xor do Y1 com Y2.... mas não é nosso caso. Pelo menos deu errado aqui.

Bom.. !

Comprei um deco 5166 da embrotel hj por 20 reais com cartão e tudo !
O assinante mudou de casa e não devolveu o deco (ele assinou minha internet a radio, tocamos no assunto) !

Chegou a hora de estudar mais um pouco, olhem nos decos de vc´s que ta faltando um transistor e um resistor na mesma linha do jtag, não mexi ali ainda!

Sera que se soldar um transistor qualquer e um resistor de 100 ohms vai dar algum resultado?

Amanha vou fazer uns teste, ja que não é meu mesmo!

Ate penso em devolver esse deco um dia pra embroma, poiis o meu fufufudeu de vez..!!

Se colocar nossa binaria em receptor Ceu com cpu 5518, sera que o deco responde por jtag depois ou nem vai ligar?

Tambem veremos logo logo.!

Vendo aqui a linha Jtag do coship 5166 , pino 1 e 2 não tem ligamento e o 9 é o GND!

O que mais vc´s tem ????
Tambem veremos logo logo.!

poderias me passar vosso contato por mp? gostaria de trocar algumas ideias com você

lan_house[at]r7.com

consegui simular a rom do contato

bootloader em 0x7FFFFFFE e endereços e tamanho da ROM e da RAM tb consegui pelo simulador do st20

se fizer o disassembly da ROM e ir acompanhando o código e valores sendo carregados na memória dá pra verificar os valores

não cheguei no ponto onde os offsets do bk e do rsa, apontados pelo contato na imagem q ele fez upload outro dia, foram utilizados

contato, tem certeza q o endereço da rsa é aquele mesmo mostrado na imagem?

to indo nessa, só volto 2ª

Passe os endereços corretos pra mim verificar e eu hejo aquinomeu boxkey e rsa !
Envie um e-mail lan_house[at]r7.com .. não envie MP !

consegui simular a rom do contato

bootloader em 0x7FFFFFFE e endereços e tamanho da ROM e da RAM tb consegui pelo simulador do st20

se fizer o disassembly da ROM e ir acompanhando o código e valores sendo carregados na memória dá pra verificar os valores

não cheguei no ponto onde os offsets do bk e do rsa, apontados pelo contato na imagem q ele fez upload outro dia, foram utilizados

contato, tem certeza q o endereço da rsa é aquele mesmo mostrado na imagem?

to indo nessa, só volto 2ª

Quais os valores q vc colocou no similador da ROM e RAM ? aqui não consigo...... ele entra em loop..... em uma subroutine. Qual simulador q vc usou ? eu só achei um com o nome de st20exe......

se não me engano é um st20sim.exe, pra DOS, q tem junto no st20 toolset

ele carrega a ROM e faz o mapeamento das memórias e mostra na tela

se conseguir tirar uma screen, posto dpois pq to no trampo e to saindo de viagem

não tive tempo de mecher a fundo, mas consegui carregar no ida com os endereços q ele me deu da dump do contato

se não tiver tempo de postar, procurem pelo executáve separado q é pequeno

hehe sem endereços fica dificil !

Alguem tem algum DUMP de um deco da CEU que use cpu ST20 ?

hehe sem endereços fica dificil !

Alguem tem algum DUMP de um deco da CEU que use cpu ST20 ?

eh o q posso fazer no momento

espero q ajude e q até voltar já me digam como chegar onde queremos

^^

http://img822.imageshack.us/img822/7005/tdpaddress.jpg

Meu tool set é antigo demais e esta dando erro segment 0xccccccc4!!

Tem como enviar um link pro 2.3.1 ??

ST20 Embedded Toolset R2.3.1 for the development of software based on the ST20-chip set-top box

h**p://s.pudn.com/search_hot_en.asp?k=stb#

aff!
Não encontrei.

h**p://www.mediafire.com/?zl2ig2yv7gjp42n

Obrigado.

Na verdade eu tenho o 2.0.5 aqui, esse negocio de configurar o chip.cfg etc que é embaçado!!!

Mas vou fazer aqui devagar e depois vou verificar meu BINARIO com a minha BK e RSA, se achar alguma coisa eu posto !

Valew.

alguém mecheu em algo nesse findi?

alguma novidade?

Se ajudar....

contatos do polaco: (tirar os #)
Pa#wel Ko#walski
icq 365#757#948
gadu gadu 228#1379
email ko#wal[at]ak#telgsm.pl ou ko#wal[at]ko#walelek#tronik.pl ou ak#tel[at]ak#telgsm.pl
celular +486#9490#3903
site www#.bb5#.pl ou www#.ak#telgsm.pl
ele entende polonês e inglês

[at]TicoDePano
No .bin o endereço 0x7FFFFFFE é tudo FF ele não vai pra lugar nenhum.... Se colocar pelo começo, ele entra em loop em uma função q não lembro agora, mas é logo no começo. No IDA PRO colocando os endereços de memoria q aparecem no emulador tambem não rolou, não consegui passar da parte de colocar os endereços ele da erro.

Alguem conseguiu colocar no IDA ?

Alguem tem o datasheet "completo" do sti5107 ?

A unica coisa q deu pra saber pelo datasheet que achei é que o core é ST20 C1.

entao pessoal quem tiver os dados para contato do rapaz de Sorocaba mande por MP

entao pessoal quem tiver os dados para contato do rapaz de Sorocaba mande por MP

Então!!
Tb estou atraz..

Wlws

se alguém precisar da extração tem como, me manda pm

Parece q esfriou o topico novamente...... Alguem achou o bootloader da .bin ? porque 0x7FFFFFFE só tem FF FF FF FF FF FF .......

o team az america conseguiu o bk e rsa,correto? então como ele fez para conseguir isto? ele poderia postar aqui no forum como fez, ou indicar quem o fez para ele! pois ele colocou o s900 e outros decos pra ler n3, fica ai minha pergunta.

o team az america conseguiu o bk e rsa,correto? então como ele fez para conseguir isto? ele poderia postar aqui no forum como fez, ou indicar quem o fez para ele! pois ele colocou o s900 e outros decos pra ler n3, fica ai minha pergunta.

$$$$$$$$$$$$.

acabei de receber meu dec hd da dia, preciso do boxkey e rca pra liberar em rede meu f90 se alguem puder ajudar ...

Parece que o membro contato sabe alguem que faça a extraçao.

Manda uma MP pra ele.

Acho que sei um jeito de extrair a bk sem retirar a BGA !

memdump em DOS e pegar uma DDR e retirar apenas um CHIP de um pente!

Depois soldar fios por fios da RAM do deco na RAM do PC e ligar pra ver o que acontece !

Usar o memdump e extrair os dados.

Vou testar isso .

Tenho um DECO velho que comprei e um PC kafona.

Soldar é moleza.

Acho que sei um jeito de extrair a bk sem retirar a BGA !

memdump em DOS e pegar uma DDR e retirar apenas um CHIP de um pente!

Depois soldar fios por fios da RAM do deco na RAM do PC e ligar pra ver o que acontece !

Usar o memdump e extrair os dados.

Vou testar isso .

Tenho um DECO velho que comprei e um PC kafona.

Soldar é moleza.

não entendo mto de eletronica mas me parece q o módulo de memória será alimentado tanto pelo deco qto pelo pc. me cheira a curto...

Eu acho que não daria curto, mas erro de acesso por reescrever outros dados ou coisa parecida, mas não custa tentar, precisa ser a mesma memoria.

No meu orkut, tem umas fotos de um roteador, onde era 32 MB e eu retirei os chips e fiz 64 MB !

Talvez vá.

Só não posso por meu orkut aqui, senão a bomba explode e também tive que mudar o endereçamento no CFE.BIN do router pra reconhecer os 64 MB!

Eu acho que não daria curto, mas erro de acesso por reescrever outros dados ou coisa parecida, mas não custa tentar, precisa ser a mesma memoria.

No meu orkut, tem umas fotos de um roteador, onde era 32 MB e eu retirei os chips e fiz 64 MB !

Talvez vá.

Só não posso por meu orkut aqui, senão a bomba explode e também tive que mudar o endereçamento no CFE.BIN do router pra reconhecer os 64 MB!

substituir é uma coisa, alimentar duplamente é outra

se conseguir ligar apenas as pernas responsáveis pela "comunicação" com o pente do pc, pode funcionar a meu ver, mas se ligar as pernas respnsáveis pela alimentação tanto no pc qto no deco, acho q vai dar problema

não conheço a arquitetura do pcb das memórias, mas lembro bem em projetos vhdl q dava curto qdo ligava 2 fios de alimentação num memso flip-flop

Quase certo que não vai funcionar por causa do clock e (provavelmente) da tensão de trabalho. Mas não custa tentar...

O ideal mesmo seria conseguir que o processador do deco da Tia executasse um programinha nosso que lesse a RAM e jogasse o resultado em um arquivo. Seria perfect! :D

Ta acontecendo o que todos previam... Já tem gente que conseguiu e está cobrando uma nota pra fazer, e a divulgação de informações encerrou pessoal.

Acho que pode começar outro tópico, porque esse aqui já era.

Ta acontecendo o que todos previam... Já tem gente que conseguiu e está cobrando uma nota pra fazer, e a divulgação de informações encerrou pessoal.

Acho que pode começar outro tópico, porque esse aqui já era.

Gente que faz, inclusive no Brasil, já tem há bom tempo. Por isso que aparece cada vez mais CS de Embromatel/Bobofonica por aí.

O objetivo do tópico é estimular aparecer mais pessoas ainda e, principalmente, tentar achar uma forma fácil de fazer e isso virar domínio público. Que daí permita quase qualquer um um pouco mais curioso seguir a receita, fazer e botar seu S900 ou de conhecidos pra ser servidor doméstico.

O tópico continua. Tá caminhando e uma hora, mesmo que demorando um pouco, ele atinge o objetivo. Só ter calma e claro colaboração de quem tá a fim de ajudar pra isso.

Concordo com você oxbox, porém acredito que estamos perdendo tempo demais tentando "desencriptar" a informação da flash ao invés de nos concentrarmos em COMO extraí-la de lá.

Em outras palavras, na minha opinião nossos esforços deveriam estar completamente voltados para o acesso à informação de forma simples ao invés de ficarmos estudando dumps e a criptografia da Tia.

É óbvio que o Team já sabe como "desencriptar" a informação da flash, poderiam disponibilizar a fórmula sem prejudicar ninguém. Aí nossos esforços seriam focados no que realmente interessa, ou seja, extrair a BK e a RSA da forma mais simples possível do deco, seja via hardware ou software.

O meu medo é que isso demore demais, ou seja, quando popularizar de verdade talvez seja muito tarde...

Concordo com você oxbox, porém acredito que estamos perdendo tempo demais tentando "desencriptar" a informação da flash ao invés de nos concentrarmos em COMO extraí-la de lá.

Em outras palavras, na minha opinião nossos esforços deveriam estar completamente voltados para o acesso à informação de forma simples ao invés de ficarmos estudando dumps e a criptografia da Tia.

É óbvio que o Team já sabe como "desencriptar" a informação da flash, poderiam disponibilizar a fórmula sem prejudicar ninguém. Aí nossos esforços seriam focados no que realmente interessa, ou seja, extrair a BK e a RSA da forma mais simples possível do deco, seja via hardware ou software.

O meu medo é que isso demore demais, ou seja, quando popularizar de verdade talvez seja muito tarde...

Concordo em genero numero e grau ......... talves seja tarde quando descobrir.:(

entra em contato ai pls, tenho interesse no serviço de extração da boxkey e rsa
grato

entra em contato ai pls, tenho interesse no serviço de extração da boxkey e rsa
grato

Extrair bk/rsa já tem um pessoal que faz o trampo, pois tá começando a pipocar server N3 , o negocio é Ler a BGA sem detonar o deco original.

se alguem fez ou faz por favor me passe o contato por pm que tenho interesse desde que seja seguro

Extrair bk/rsa já tem um pessoal que faz o trampo, pois tá começando a pipocar server N3 , o negocio é Ler a BGA sem detonar o deco original.
Alguem pode ensenharme como facer, na espanha ninguen pode facer para min.
Obrigado.

qsf a box original e se tiver algem que faça eu mando até pra china, mas na verdade o pessoal que tem server ou usa as box antigas ou fizeram o servio com o polaco, sei nao se tem alguem fazendo isso por aqui viu não sei não

Não é se alguem que faz por aqui! é o UNICO QUE FAZ POR AQUI!

inclusive o team faz serviço com ele ;)

como o proprio diz, 3N BK ASR Volta dia 21/08 [ O UNICO ]

fazer o que, ele deu conta do recado :D agora como, o istopo num fala...

bem que ele faz! se fosse eu... faria o mesmo! e ganhava meu troco pra compra pão e cigarro kkkkkkkkkkkkkkkkkkkkk


eu já falei uma vez, e vou comentar novamente... o forum é muiiiiito conhecido, e muitos que frequentam esse forum tambem vem do mundo do uncap... o pessoal deveria ser mais humilde e fechar parceiria com eles, certeza o ( Lemmings ) ou o ( Mamado ) da conta do recado... em 6 anos de uncap que estou, sempre ele que quebra as novas proteções quando surgem...

abraço a todos e boa sorte!

Vou voltar a insistir: a extração da BK/RSA via dump é RELATIVAMENTE simples, desde que se saiba como extrair os dados do dump. É uma questão de software.

O desafio proposto pelo Team (e com o qual concordo) é: como extrair esses dados de forma CASEIRA, ou seja, SEM a extração/leitura do chip BGA.

Nesse sentido, não vi ninguém que tenha obtido êxito, e na minha modesta opinião isso é o que mais interessa a todos.

Vou voltar a insistir: a extração da BK/RSA via dump é RELATIVAMENTE simples, desde que se saiba como extrair os dados do dump. É uma questão de software.

O desafio proposto pelo Team (e com o qual concordo) é: como extrair esses dados de forma CASEIRA, ou seja, SEM a extração/leitura do chip BGA.

Nesse sentido, não vi ninguém que tenha obtido êxito, e na minha modesta opinião isso é o que mais interessa a todos.

Apoiado! :D

Eu só estenderia um pouquinho a abordagem: por CASEIRA entendo que possa ser algo que até implique em um conhecimento básico de eletrônica e/ou informática. Se não der pro próprio dono do AzAmerica fazer porque é leigo de tudo, ele com um tutorial impresso na mão consegue mostrar pra um técnico genérico e pagar pra esse fazer.

O ideal seria chegarmos nesse nivel mesmo.

Vou voltar a insistir: a extração da BK/RSA via dump é RELATIVAMENTE simples, desde que se saiba como extrair os dados do dump. É uma questão de software.

O desafio proposto pelo Team (e com o qual concordo) é: como extrair esses dados de forma CASEIRA, ou seja, SEM a extração/leitura do chip BGA.

Nesse sentido, não vi ninguém que tenha obtido êxito, e na minha modesta opinião isso é o que mais interessa a todos.

Eu não estou bem com isso, você quer aprender como extrair o dump, porque você não sabem como fazer, mas não quere que outros sepamos como extraer a bk e rsa, todo que você e miutos mais querem son os $, querem que os demais ensenhem vose como facer pero non querem ensenhar outros, mais agora hai moito abutre que quere sacar reais co traballo dos outros.
Obrigado e desculpa pelo meu mau Português.

Vou voltar a insistir: a extração da BK/RSA via dump é RELATIVAMENTE simples
Ola caro impar, se e assim tão facil porque não explicas isso ai bem explicadinho a todos os utilizadores deste magnifico Forum ???? porque se tu (ou outro amigo qualquer) menos o nosso amigo (3N BK ASR Volta dia 21/08 [ O UNICO ]):p porque esse aprendeu muito aqui nas terras Lusas usando varias estrategias, que aqui não vou focar mas enfim, para formar ai uma Team no Pais amigo visto que o mercado aqui estava saturado;)se tiveres essa coragem, e explicares como decriptas o bloco fora da ram ou seja usando o IRD e a respectiva Key(10xxxxxxxxxxxxxxxxxxxxxxxxxxxE1 que dizem que é (secreta) é dizem!!!!:D que a tal key é individual a cada deco o que eu não acredito nada eheheh. se tu concretizares isso.
eu explico como se chega a ram mas nao de modo tradicional ou seja não chegas la com estes novos decos de serie C2 e C4
Abraço lanço este repto
coragem e deixem-se de $$$$$$$:eek:

O desafio proposto pelo Team (e com o qual concordo) eu não concordo nada , sabes porque???? viste aqui alguém da dita team, a pensar ao menos um pouquinho em quem anda aqui por hobby????

So uma nota tenho muitos anos disto ja vi muita lixeira na vida ehehehheh, pela qual a minha pessoa sempre discordou destas manobras.

Ola caro impar, se e assim tão facil porque não explicas isso ai bem explicadinho a todos os utilizadores deste magnifico Forum ???? porque se tu (ou outro amigo qualquer) menos o nosso amigo (3N BK ASR Volta dia 21/08 [ O UNICO ]):p porque esse aprendeu muito aqui nas terras Lusas usando varias estrategias, que aqui não vou focar mas enfim, para formar ai uma Team no Pais amigo visto que o mercado aqui estava saturado;)se tiveres essa coragem, e explicares como decriptas o bloco fora da ram ou seja usando o IRD e a respectiva Key(10xxxxxxxxxxxxxxxxxxxxxxxxxxxE1 que dizem que é (secreta) é dizem!!!!:D que a tal key é individual a cada deco o que eu não acredito nada eheheh. se tu concretizares isso.
eu explico como se chega a ram mas nao de modo tradicional ou seja não chegas la com estes novos decos de serie C2 e C4
Abraço lanço este repto
coragem e deixem-se de $$$$$$$:eek:

eu não concordo nada , sabes porque???? viste aqui alguém da dita team, a pensar ao menos um pouquinho em quem anda aqui por hobby????

So uma nota tenho muitos anos disto ja vi muita lixeira na vida ehehehheh, pela qual a minha pessoa sempre discordou destas manobras.


100% dacordo con voce.

Respostas=0000000000000000:eek::eek::eek::eek

Estou tentanto, sem sucesso, usar o IDA Pro para fazer o "dump" jogar os dados decriptados no endereço de memoria ai ja daria pra ver os dados descryptados na memoria, porem esta bem complicado se alguem se habilitar a dar uma ajuda fico grato. Pelo st20sim usando o dump em .hex tambem não rolou....... se alguem tiver alguma info ja ajudaria bastante..... toda ajuda é muito bem vinda.

Abçs.

Ola.

Se ajuda alguma coisa: Um cliente meu contratou um cara que indiquei para fazer a extração.

O cara gera o dump retirando o chip da placa mesmo, então não tem outro jeito. A programadora que ele usa lá é uma facada...

O que achei curioso, é que ele me mandou IRD, RSA e BK sem a necessidade de enviar nenhuma info do cartão pra ele.

O que achei curioso, é que ele me mandou IRD, RSA e BK sem a necessidade de enviar nenhuma info do cartão pra ele.

Sim da pra saber sem as info, pois olhando o dump ja da pra saber se ele esta ok pelo padding 03 03.

Mais olhando o dump ja decriptado, no e asi.

No dump encryptado da pra saber o IRD sem problemas depois dele vem o padding 03 03 no decryptado nunca vi....... mas acredito que seja a mesma coisa, pois essa parte não esta encryptada. No dump de exemplo q esta no post, tem o 01 6C que é sempre esse depois vem o IRD ID ID ID ID ai vem o padding 03 03 que é a conferencia do IRD, ai só converter pra saber o id q esta na etiqueta.

JTAG & cia!

Um membro do fórum me mandou esse link:
http://www.rdi-board.com/showthread.php?t=37325&page=76

Não li o tópico inteiro lá com cuidado ainda, mas tem evoluções com JTAG!

Depois vou dar uma lida com calma e se tiver partes mais interessantes separo pra replicar aqui. Quem fizer já o mesmo, posta aí!

Eu não estou bem com isso, você quer aprender como extrair o dump, porque você não sabem como fazer, mas não quere que outros sepamos como extraer a bk e rsa, todo que você e miutos mais querem son os $, querem que os demais ensenhem vose como facer pero non querem ensenhar outros, mais agora hai moito abutre que quere sacar reais co traballo dos outros.
Obrigado e desculpa pelo meu mau Português.

Eu não escondo nenhuma informação, o que sei sobre isso é o que está na internet, de conhecimento público.

Agora, existem pessoas sim que sabem como extrair a BK/RSA. Por exemplo, o Team da Lexuz/F90 (do qual não faço parte) sabe. Em outras palavras, hoje já se sabe como extrair essas infos, embora não seja de domínio público ainda. Na minha opinião, em breve essas infos deverão ser públicas, pois a cada dia que passa mais e mais pessoas descobrem o método e certamente uma delas vai trazê-lo a público.

Não tenho intere$$e que não seja o conhecimento puro e simples, quem me conhece sabe disso. Concordo com você que existem os esperto$ de plantão, mas eles sempre existiram e é impossível combatê-los senão divulgando a informação publicamente, e é esse esforço ao qual estou tentando me juntar aqui.

Abraço

Ola caro impar, se e assim tão facil porque não explicas isso ai bem explicadinho a todos os utilizadores deste magnifico Forum ????

Primeiro, não acho que seja fácil, mas sim RELATIVAMENTE SIMPLES. Digo isso porque como todos sabem as informações estão encriptadas, e como algumas pessoas já sabem como desencriptar, deduzo que não é assim tão difícil, por isso considero RELATIVAMENTE SIMPLES, pois depende do conhecimento/esforço de cada um. Muitos aqui só querem a "receita de bolo", pois tem interesse$ nas informações, o que não é o meu caso.

Segundo, não explico como se faz simplesmente porque NÃO SEI como se faz. Se soubesse, divulgaria aqui. Se não permitissem, divulgaria em outros forums. Na minha opinião, essas informações devem ser de domínio público.



eu não concordo nada , sabes porque???? viste aqui alguém da dita team, a pensar ao menos um pouquinho em quem anda aqui por hobby????

So uma nota tenho muitos anos disto ja vi muita lixeira na vida ehehehheh, pela qual a minha pessoa sempre discordou destas manobras.

Também acho que o Team deveria ser mais generoso com os que estão aqui por hobby, entretanto este é um canal importante de troca de conhecimento como poucos são na internet. Assim, concordo que não seja o ideal, porém não vejo outras boas opções por aí, de forma que acredito que ainda valha a pena investir aqui na troca de informações.

JTAG & cia!

Um membro do fórum me mandou esse link:
http://www.rdi-board.com/showthread.php?t=37325&page=76

Não li o tópico inteiro lá com cuidado ainda, mas tem evoluções com JTAG!

Depois vou dar uma lida com calma e se tiver partes mais interessantes separo pra replicar aqui. Quem fizer já o mesmo, posta aí!

O que ouvi dizer - e não sei se é verdade - é que os chips utilizados em STBs customizados (como os da Tia BET) são produzidos sob encomenda, ou seja, não possuem todas as características da versão comercial do chip. No caso em questão, dizem que o JTAG destes não é operacional.

Tomara que não passe de um boato... :D

Pois parece que ese foro si se move:
http://www.rdi-board.com/showpost.php?p=968026&postcount=1166

Saudos

só pra avisar, a OI/BRT no RS tá bloqueando o fórum RDI-BOARD, então acesso só através de proxy

não sei se cabe medida legal, mas seria uma boa pra encher o saco deles, já q eles tentam fud*r toda vez com o cara q ta no interior

só pra avisar, a OI/BRT no RS tá bloqueando o fórum RDI-BOARD, então acesso só através de proxy

não sei se cabe medida legal, mas seria uma boa pra encher o saco deles, já q eles tentam fud*r toda vez com o cara q ta no interior

Pela Tia BET o acesso tá normal...

Pois parece que ese foro si se move:
http://www.rdi-board.com/showpost.php?p=968026&postcount=1166

Saudos

Não é que se mova, é que tem gente que prefere dividir o que sabe com os gringos... fazer o que?

PS: Já ia esquecendo: será que o SquashFS/Izma se aplica aos decos da Tia BET ou só para a Viª Embrastel?

Funciona em todos que tem 01 6c, provavelmente.

Funciona em todos que tem 01 6c, provavelmente.

Não sei porque achei que a Tia BET usasse CramFS... vou estudar mais um pouco.

E alguenm sabe como se usa o squash-lzma eu nao som capaz.

Saudos.

Ow OXBOX... queres trabalha um bucadinhooo???!!!???

faz os testes ai, e depois avisa pra geral... saiu hoje um CCam 2.2.0 que tão falando que abre os N3 sem precisar das RSA/BK...

eu num posso testar até segunda, pois somente estarei em casa na segunda, mais logo que eu tiver as respostas concretas posto aki pra geral...
*teve uns users do site que já testaram e aprovaram....

Obs.: CCam 2.2.0 na dragteam blz!

outra coisa... e já tem alguma novidade sobre o GL54??? na zoropa tambem tão comentando muito sobre esse card, mais com o oscam...

bjus a todos!

Ow OXBOX... queres trabalha um bucadinhooo???!!!???

faz os testes ai, e depois avisa pra geral... saiu hoje um CCam 2.2.0 que tão falando que abre os N3 sem precisar das RSA/BK...

eu num posso testar até segunda, pois somente estarei em casa na segunda, mais logo que eu tiver as respostas concretas posto aki pra geral...
*teve uns users do site que já testaram e aprovaram....

Obs.: CCam 2.2.0 na dragteam blz!

outra coisa... e já tem alguma novidade sobre o GL54??? na zoropa tambem tão comentando muito sobre esse card, mais com o oscam...

bjus a todos!



Mano como especificamente abre n3 sem RSA/BK .o que o emu 'abre' especificamente ?

JTAG & cia!

Um membro do fórum me mandou esse link:
http://www.rdi-board.com/showthread.php?t=37325&page=76

Não li o tópico inteiro lá com cuidado ainda, mas tem evoluções com JTAG!

Depois vou dar uma lida com calma e se tiver partes mais interessantes separo pra replicar aqui. Quem fizer já o mesmo, posta aí!

Não tenho capacidade técnica para contribuir, mais sou curioso, abaixo link de outro forum que as pessoas estão estudando e trabalhando no assunto, acho que pode ser útil.

http://www.forocable.com/foro/showthread.php?t=35140

Espero ter contribuído.

Olá Impar,

Estou no mesmo estudo que o seu..... ou seja; Beth !!!!
Desconfio que as infos que precisamos estão sim no card.
Em N2 (cards antigos) posso afirmar com toda certeza que estas infos sempre estiveram lá (Dump/Mosc) para os "entendidos" sabem do que estou há falar.
O problema é que mesmo em N2 depois das subidas de REV de AC3 para 6 e depois 9, não se conseguiu mais ter acesso aos cards via Mosc.
Acredito que ainda o melhor é fixarmos nos cards, pois via JTAG nos decoders officiais fica meio complicado.

Abraços e qualquer coisa vamos juntar experiencias.

Vc já extraiu um Dump/Mosc de um cartão antigo e verificou se colocando estas informações dentro de um CS da Bet que já abre alguns canais HD's eles conseguem abrir os outros canais HD's, pois tenho relatos que colocando o Dump da cidade no CS já operando, abre tudo e mata esse problema da regionalização, só não tenho e não sou capaz de extrair os Dump's se quiser me enviar por MP o Dump da tua cidade eu posso tentar solicitar a um cara que tem Servidor CS rodando da Bet pra ele colocar no CS dele e ver se rola.

Não quero ganhar e nem ter lucro nenhum com isso só quero liberar os HD's aqui para minha cidade em Ribeirão Preto, por alguns testes esse CS é do Rio e colocou um dump não sei se antigo ou AC 9 de CWB e lá floriu 100% os HD's da tia Bet.

Dumps das famosas REV AC3 tenho vários, mas todos de Poa/RS !!!
Da sua cidade não tenho nenhum !

Te mandei uma MP, será que as de POA não servem para o teste do CS.

Chegou a hora !
Dar din-din pra xarope acabou..

Papai noel chegou !

http://www.megaupload.com/?d=9QAGYE0Y

Tudo como foi extraido a BK desse receiver é igual ao meu 5166 !

Tem ate umas coisas a mais!

Façam contuação do projeto..porraaa !

viagra 3 !

è um bump de outro deco extrangeiro !

Mas o precesso de extrair a kb e asr (atravez dos calculos) é o mesmo da bobofonica, tia embroma, entre muitos outros viagra.. pois o calculo é igual pra quase todos os decos !

T+

...Tudo como foi extraido a BK desse receiver...

Pra quem quiser ler e tiver dificuldade: o TXT do ZIP está em polonês. Só usar o Google Translator e mandar pra inglês, português, etc.

Devido ao tamanho poderia me enviar por 4Shared ou por mp?

Consegui baixar mas e quanto ao J-TAG ainda tenho receio de danificar meu deco.

Tradução do polonês para português
Ca ³ oœæ decodificada:


0000006E 340D201C 0303
2008 1248BC6D8C1DD7B2
3008 42128CF2393955FA
3140 C77FD2596EE6E59C60D6C51C2F4243434F8F7C342A64619979 63591ACF06E7F6041E0ED7FBA4E8EC
169AB115E371F6E63E6927CD40795386B711199EEFFD1723
F842981EAB5E1064 E002 D008 0001


Tamanho dos dados = 0000006E
As chaves são 20, 30, D0, 31, E0.
O segundo byte para a chave número = Tamanho em Hex.

Devido ao tamanho poderia me enviar por 4Shared ou por mp?

http://bit.ly/dEBCNI