停车卡破解方式、停车卡密码规则及控制位详解

现在停车卡多用M1卡，由于停车卡的密码规则和控制位置的设计，停车卡可以在不完全加密的情况下破解。如何提供系统安全，防止停车卡破解造成的损失？

停车卡

1.停车卡的主要技术指标

l 容量为8K位EEPROM

l 分为16个扇区，每个扇区4块，每块16个字节，以块为存取单位

l 每个扇区都有一组独立的密码和访问控制

l 每张卡有一个唯一的序列号，32位

l 具有防冲突机制，支持多卡操作

l 无电源，自带天线，包括加密控制逻辑和通信逻辑电路

l 数据保存期为10年，可重写10万次，读无限次

l 工作温度：-20℃~50℃

l 工作频率：13.56MHZ

l 通信速率：106KBPS

l 读写距离：10mm内部(与读写器有关)

二、停车卡内部数据存储结构及如何破解停车卡密码

1、M1卡分为16个风扇区域，每个风扇区域由4块（块0、块1、块2、块3）组成也按绝对地址将16个扇区的64块编号为0~63，存储结构如下图所示:

2.第0扇区块0(即绝对地址0块)用于存储制造商代码，已固化，无法更改。

3.每个扇区块0、块1、块2为数据块，可用于存储数据。

数据块可用于两种应用：

★ 作为一般数据保存，可以读写。

★ 作为数据值，可进行初始化值、加值、减值、读值操作。

4.每个扇区的块3是控制块，包括密码A、访问控制，密码B。具体结构如下：

A0 A1 A2 A3 A4 A5 FF 07 80 69 B0 B1 B2 B3 B4 B5

密码A（6字节） 存取控制(4字节) 密码B（6字节）

5.每个风扇区域的密码和访问控制是独立的，可根据实际需要设置自己的密码和访问控制。访问控制为4个字节，共32个字节。风扇区域内每个块（包括数据块和控制块）的访问条件由密码和访问控制决定。访问控制中每个块有三个相应的控制位置，定义如下：

块0： C10 C20 C30

块1： C11 C21 C31

块2： C12 C22 C32

块3： C13 C23 C33

存取控制字节中以正反两种形式存在三个控制位，决定了该块的访问权限(如

减值操作必须验证KEY A，加值操作必须验证KEY B，等等)

以块0为例：

控制块0:

bit 7 6 5 4 3 2 1 0

( 注： C10_b表示C10取反 )

访问控制结构如下：

bit 7 6 5 4 3 2 1 0

( 注： _b表示取反 )

6.数据块(块0、块1、块2)的访问控制如下:

（KeyA|B 表示密码A或密码B，Never在任何条件下都不能实现)

例如，当块0的访问控制位C10 C20 C30= 0 0 1.验证密码A或密码B正确后可读；

验证密码B正确后可写；不能进行加值或减值操作。

7.控制块3的访问控制不同于数据块(块0、1、2)，其访问控制如下:

例如，当块3的访问控制位C13 C23 C33= 0 0 1时，表示：

密码A：不可读，验证KEYA或KEYB正确后，可以写(更改)。

访问控制：验证KEYA或KEYB正确后，可读可写。

密码B：验证KEYA或KEYB正确后，可读可写。

新卡中的控制字（FF 07 80 69)密码A可用，密码B不可用；

推荐的控制字

方案一：7F 07 88 69

本控制字说明：

数据块：使用密码A或B都能读写；

控制块：

密码A：由密码B写，不可读；

密码B：由密码B写，不可读；

控制字：使用密码A或B可读，由密码B写；

方案二：08 77 8F 69

本控制字说明：

数据块：

用密码A读，用密码B读写；

控制块：

密码A：由密码B写，不可读；

密码B：由密码B写，不可读；

控制字：使用密码A或B可读，由密码B写；

三、停车卡工作原理

卡片的电气部分只有一个天线和AS滴胶卡组成。

天线：卡的天线只有几组绕线，非常适合包装IS0卡片中。

AS滴胶卡：卡片的AS滴胶卡高速(106)KB波特率）的RF接口、控制单元和控制单元

8K位EEPROM组成。

四、停车卡内部数据块的操作

读 (Read)：读一个块；

写 (Write）：写一个块；

加（Increment）：加值数值块；

减（Decrement）：减值数值块；

存储（Restore）：将块中的内容存储在数据寄存器中；

传输（Transfer）：将数据寄存器中的内容写入块中；

中止（Halt）：卡在暂停工作状态；

对于计算机周围的编程，停车卡破解主要有两种想法（应该没有第三种）。

一、利用windows系统本身dll库。

二、使用硬件制造商提供的dll。

本篇对M使用上述第二种方法编程1卡。

M1卡最重要的优点是可读、可写、安全性高的多功能卡。这些优点离不开它们自身的结构。

停车卡结构：

M1卡分为16个扇区，每个扇区4块(块0~3)，共64块，按块号编号0~63。第0扇区块0(即绝对地址0块)用于存储制造商代码，已固化，无法更改?？?、块1、块2是存储数据的数据块；块3是存储密码的控制块A、访问控制，密码B。各扇区的密码和存取控制是独立的，可根据实际需要设置各自的密码和存取控制。

停车卡操作机理：

连接读写器→寻卡→识别卡(获取卡序列号)→从多卡中选择一张卡→在卡中缓冲区装载密码→验证密码→进行读写→关闭连接

即(代码说明)

Open_USB→rf_request→rf_ant滴胶卡oll→rf_select→rf_load_key→rf_authent滴胶卡ation→(/a_hex)→rf_read/rf_write→(hex_a)→Close_USB

综上所述，主要有四个部分 开关连接，寻卡，验证密码，读取。

(至于详细的程序代码，相信大家都看过。dll说明文档后，你会明白的，这里就不写了，因为内容多)

停车卡功能模式：

1.寻卡模式：

寻卡模式分为三种情况：IDLE模式、ALL指定卡模式(0，1，2 均是int类型，是方法参数，下同)。

0——表示IDLE模式，一次只操作一张卡；

1——表示ALL多张卡操作多张卡的模式；

2-表示指定卡模式，只对序列号等于snr卡操作(只有高级函数才【不常用】

也就是说，我们也可以同时操作多张卡。

对于多卡操作，实际操作是一张卡。读写器可以识别多张卡的序列号（但请注意，识别的顺序是不确定的，最多可以识别4张卡，因为堆叠的厚度太厚，会超出读写器的识别范围），并逐一操作。

因此，可以看出，多卡操作意义不大。但我建议你把它设置为1（不要说原因，你自己的感受并不重要）。

2.密码验证模式：

0——KEYSET0的KEYA

4——KEYSET0的KEYB

M1卡在验证密码时可以选择密码类型（A/B）?！酒涫礛1卡有3套密码（KEYSET0、KEYSET1、KEYSET2)共6个密码(0~2，4~6表示这六个密码)，目的是适应不同的读写器。我们在这里使用的是KEYSET0的2个密码】

停车卡密码机制及如何破解停车卡：

这可以说是M一卡的精髓，也是M1卡最复杂的地方，希望大家耐心看完。

(请先看清楚M1卡结构)如上所述，每个块在存取控制中都有三个相应的控制位，其定义如下:

块0： C10 C20 C30

块1： C11 C21 C31

块2： C12 C22 C32

块3： C13 C23 C33

我们可以利用密码机制分别控制一个扇区的三个数据块。数据块(块0、块1、块2)的访问控制如下:

例如，当块0的访问控制位C10 C20 C30=100时，验证密码A或密码B正确后可读；验证密码B正确后可写；不能加值或减值。

那么M1卡修改密码的方法是rf_changeb3

参数：

滴胶卡dev：通信设备标识符

_SecNr：扇区号(0~15)

KeyA：密码A

_B0:块0控制字，低3位（D2D1D0）对应C10、C20、C30

_B1:块1控制字，低3位（D2D1D0）对应C11、C21、C31

_B2:块2控制字，低3位（D2D1D0）对应C12、C22、C32

_B3:块3控制字，低3位（D2D1D0）对应C13、C23、C33

_Bk：保留参数，取值为0

_KeyB：密码B

从上面我们可以看出_B0、_B1、_B2、_B分别控制块0、块1、块2、块3。

我们可以从图中看到_B0、_B1、_B2的可取值为 0、10、100、110、11、11、101、11111。

这里一定要注意一点：

密码到不能装载M1卡在某个区域后更改该区域的密码（最好在连接读写器后直接更改密码），否则更改密码将失败并冻结风扇区域。如果你不小心这样做了，解决办法是完成读写操作，然后更改密码。

与数据块(块0、1、2)不同，其存取控制如下：

_B3的取值与_B0相同。

卡立方智能卡公司是一家专业的停车卡制造商

深圳卡立方智能卡技术有限公司是一家专注于智能卡生产13年的大型智能卡制造商，现有生产面积6000平方米，生产线300多人，拥有多条智能卡生产线，主要产品有钥匙卡、磁条卡、条形码卡、医院卡、校园卡滴胶卡、公交滴胶卡、社区门禁卡、停车卡、超会员卡等智能卡。

对于需要破解停车卡的客户

1.合法使用

能证明自己的停车场使用情况。

3.如果系统由于系统集成商联系不上等法律原因无法继续使用，我们可以提供停车卡破解服务，所有非法原因不提供此服务。