《数字电视与高清晰度电视》读书笔记

第一篇：《数字电视与高清晰度电视》读书笔记

《数字电视与高清晰度电视》读书笔记数字电视就是指从演播室到发射、传输、接收的所有环节都是使用数字电视信号或对该系统所有的信号传播都是通过由0、1数字串所构成的数字流来传播的电视类型。其信号损失小，接收效果好。

HDTV是High Definition Television的简称，翻译成中文是“高清晰度电视”的意思，HDTV技术源之于DTV（Digital Television）“数字电视”技术，HDTV技术和DTV技术都是采用数字信号，而HDTV技术则属于DTV的最高标准，拥有最佳的视频、音频效果。

《数字电视与高清晰度电视》这本书的读者对象，主要是从事广播电视技术工程设计、科研开发和技术维护的工程师以上的科技人员也可作为高等院校相关专业学生的教学用书或学习参考书，同时也可供信息产业系统的工程技术人员参考。《数字广播电视技术书系：数字电视与高清晰度电视》共分三大部分，第一部分为基础理论篇，主要介绍了数字电视基本概念、模数转换过程、信源编码和码率压缩及标准方式、信源编码与纠错原理，第二部分为实用技术篇，主要讲述数字高清晰度电视以及各种参数的标准，数字电视广播系统中的业务信息，数字电视地面广播标准以及数字电视机顶盒与条件接收技术。第三部分为指标测量篇，主要介绍

数宇电视演播室信号接口标准，数字电视测量技术等。《数字广播电视技术书系：数字电视与高清晰度电视》这本书虽然已经出版了很多年了，里面有的知识，有的技术在当今日新月异的发展阶段显得有些老旧，但是它详细讲述介绍了模拟电视发展到数字电视的技术过程，对今后的工作有了理论上积累。同时通过学习，对于我国数字高清晰电视演播室的一些基本的参数标准有了初步的认识。

第二篇：数字电视转换模拟电视改造方案说明

数字电视转换模拟电视改造方案说明

一、数字信号改模拟信号

概述：

根据国家政策《广播影视科技“十五”计划和202_年远景规划》明确提出：202_年全面实现数字广播电视，202_年停止模拟广播电视的播出, 目前大部分城市都保留6套节目。对于拥有上几百台电视机的企业将面临一个难题：一台电视机必须配一个机顶盒才能正常收看，一台机顶盒每年要交纳300元/年收视费。这样将要支付昂贵的收视费，增加了经营成本，而且机顶盒分散在每个房间也不易于使用和管理。

一、目前“数字电视”的概念

“数字电视”的含义并不是指我们一般人家中的电视机，而是指电视信号的处理、传输、发射和接收过程中使用数字信号的电视系统或电视设备。

二、目前“数字电视”收视的方案：

1、组

成：利用有线数字信号接收机（机顶盒）收视。

2、目的：家庭等单个收视用户，收视节目源丰富，清晰度高，对单个用户的收视及操作方便快捷。

3、受限性：一对一收视、收费，对多用户收视以及收视用户的场地有绝对的局限性，对多用户收视而言，费用较高、效率低、不便于管理，在同等的基础上很难实现多用户收视的需求。

三、多用户收视的解决方案

1、组成：有线数字信号接收机（机顶盒）、信号调制器、信号混合器、放大器、配件若干。

2、目的：解决多用户收视的转换（企业、酒店、宾馆、休闲娱乐中心、招待所）

3、用途：同样的数字传递可以实现多用户的收视需求，且不改变原有电视网络、收视成本低，方便管理，不受用户的递增、收视环境的限制，同时可以在原有节目的基础上增加自办企业广告和其他节目，达到增值与推广的效果。

根据以上说明解说，本公司采用在前端增加数字电视CATV共享设备，将机顶盒集中放在机房作为信号源，把机顶盒的数字信号调制成模拟信号，再传送到每个房间。此方案不用改变用户原来的线路，房间电视采用传统的收看方式易于管理和使用。

为什么要改造数字电视？由于数字电视的强制推广，一个机顶盒只能接一台电视，给各大型企业带来诸多不便和增加经营成本。本公司采用高品质模拟电视传输设备，在前端增加数字电视CATV共享设备，将现有的数字电视信号转为以前的模拟信号，输入你原有的闭路电视网内，与以前没装数字电视信号一样使用电视机的各种功能。

1.省钱: 30个机顶盒负责30套节目输出,房间电视上有30个节目,节目可自选定制,遥控操作和以前没有任何差别.可定制1-14台为中央台,15-30为卫视等人性化操作.在这样的情况下,只要30个机顶盒的月租就可以轻松共享网络中所有的电视机.2.节省管理成本:大家都知道,电视机旁边放置机顶盒,会有很多烦琐的使用过程,很不尽人意,而且如果员工宿舍里面放的机顶盒被工人换了机顶盒内的IC卡,企业就蒙受损失,如果利用改造工程的话,集中管理方便简单.3.收费频道的共享:按原来的安装方式,一个机顶盒只能提供一台电视机的收费节目观看功能,因为机顶盒目前是没办法可以破解的,只有利用网络改造实现共享,经过改造后一个机顶盒负责一套节目融入原来的有线电视网络里面,就可以轻松实现如欧洲足球 188元/月的节目使所有网络里面的电视机共享观看.一、按原广电局安装方法：例如：房间数量：500个

1、需要机顶盒 500个

2、需要在每个房间电视旁边放置机顶盒1个，3、需要观看收费节目的话，只能开通一个机顶盒针对一台电视实现电视观看。

4、需要每月交纳500个机顶盒的月租，不包含收费节目，每个机顶盒为 25元/月。

以年为开始计算即是：500 X 25 X 12 = 150000元/年，如果有相关优惠，价格也不低。

5、需要交纳开通的收费节目月租，如：欧洲足球 188元/月，而且只能一台电视可以观看足球频道。

6、需要投入更多的管理，机顶盒在房间内使用过程中，如出现任何问题，需要程维修人员或客户服务 ,人员上门检查排除问题或更换。

7、增加电视机或者临时增加房间或电视，需要再申请机顶盒。

8、企业的员工房间安装后，企业的其他需要看电视的地方等相关场所则需要按上述方法安装。

为什么要进行企业数字电视改造？企业宿舍配备机顶盒影响如下：

1、费用：根据房间数量配备机顶盒，年租费用以500个房间为例，一年的收视信号费用为150000元，（25元X12个月X500台=150000元）。

2、使用：需要在员工宿舍房间内或者电视左右放置机顶盒，严重影响房间整体布局。

3、麻烦：如客户需要观看足球频道等收费节目，只能实现一个房间观看，不能实现所有房间观看，房间安装数字机顶盒，需配备两个遥控器，给客户使用带来不便。

4、扩展：如企业临时增加房间或者电视，而是去广电申请开通。

5、节目：开通一套：欧洲足球（188元/月）、动作电影类的节目，只能一个房间观看。

6、其他：如酒店配套服务中的中餐、桑拿、沐足、棋牌、夜总会、写字楼等单位要看电视，需按电视机数量再配机顶盒。

数字电视整改方案优点：

1.节省大量的机顶盒购机的费用, 节省大量的无了期的月租费用。2.不需要重新布线,利用原有公共营业场所的有线电视网络。

3.每台电视机都不须配机顶盒，都能收看精彩的数字电视,利用电视机原遥控器，避免两个遥控器带来的使用麻烦。机顶盒和收视卡不放在房间内，防止丢失和损坏，便于管理。

4.接入的信号源是数字电视机顶盒中的信号源，收看的是数字电视中的节目。5.可充分利用卫星接收机、DVD、录像机、自制节目等免费资源节目传送。6.众多用户使用,图象清晰,性能稳定, 可无限地接分机（即使你家有200台电视机都OK）,本设备安装简便，维护简单（跟有线电视一样）。

7.一机四频组合，国内首家一步到位整合设计, 非专业人员也可正确安装。8.降低安装时间和难度，并减少其他部件安装，整合设计规范，以减少维护保养。

9.具有较强的性价比,满足各种用户的不同需求, 一次投入，长期享受

二、按“数字电视共享调制器”数字电视改造方案：

1.一个机顶盒只负责一套节目的输出，只要精选30套节目即可。2.企业、酒店客房、桑拿、餐厅、沐足、棋牌等场所电视机旁边不用放置机顶盒。

3.只要改造前端，只要在相同网络中，只要交纳30套机顶盒的月租费用，融入原来的电视网络中，即可实现整个企业电视共享收看，而无电视数量限制。

4.集中管理，维护维修方便快捷，如遇见硬件故障，而不影响企业员工其他人观看电视。

5.结合自办节目，可使用DVD机或电脑滚动播放最新电影或音乐，接入电视节目中。

6.如果观看收费频道，只要开通一套收费节目，轻松实现所有房间观看如：足球频道（188元/月）、综艺等收费节目，节省巨大，而且更方便了机顶盒的管理与维护，即可实现所有电视共享观看。

7.本方案不对机顶盒进行解密，按正常使用方式使用，不影响酒店布局，不涉及相关法规。

利用酒店数字电视改造最佳方案给酒店带来的便捷如下：

只要改造前端，轻松实现酒店客房、桑拿、沐足、夜总会等场所有数字电视接收。自办节目配合酒店营销，可以使DVD影碟机、电脑上的视频生成酒店数字电视上的频道，滚动播放最新流行的电影或者音乐。

案例一：某大型企业500多个电视，轻松实现55个机顶盒全部共享、观看免费和收费节目，从而不改变原有酒店房间的任何布局，费用低廉。案例二：某商务酒店，40个机顶盒共享酒店100多个房间外，还共享了夜总会、桑拿、沐足等场所的电视观看，并量身定制免费节目，收费节目，自办节目，物美价廉。

案例三：某经济型宾馆，12个机顶盒共享40多个房间、沐足中心等场所的电视节目收看问题。节省预算对比：

整改前：以500台电视机为例，一年的收视信号费用为150000元，（25元X12个月X500台=150000元）整改后：以500台电视机接收30个节目为例，（安装数字整改方案系统费用X元）

一年的收视费用为9000元，（25元X12个月X 30套=9000元）整改前与整改后：两者相差14万元。

三、改造后重点：

1、省钱：如30套节目只需30个机顶盒只缴纳30台机顶盒月租即可共享企业所有场所的电视观看。

2、省心：统一机房式管理，不用改线路，降低管理成本和维护成本，杜绝收费卡被盗的发生。

3、收费节目共享：只要开通一套收费节目（如：欧洲足球 188元/月）所有电视都能观看。

4、自办节目营销：利用DVD、电脑实现最新影片音乐滚动播放，插播酒店广告介绍和字幕，实现有效的营销资源应用及开发

四、数字电视如何改造（见图）:

数字电视整改方案：是将若干台数字电视机顶盒，通过若干台调制器把信号混合一起，经数字电视转换后，输出到原有线电视线路网络，可无限地接收分机，收看精彩的数字电视节目。

在这里,有很多朋友可能还不知道我们的数字电视改造是怎么一回事,在这里,我做一个比较全面的解说!首先,我们的改造是需要电视台级别的相关设备和网络布置,造价也并不便宜,才可以实现共享观看而不影响任何的布局与收视.在这个过程中,是这样的,主干进入后通过放大器,机顶盒,分配器,调制器,混合器等相关设备的连接,把机顶盒输出的信号混合到原来的有线电视网络里面,这就跟原来的模拟信号传输一样的使用了,从而实现网络内所有电视的共享观看.电视节目的效果也会好很多.此方案不用改变企业原来的电视线路，房间电视采用传统的收看方式易于管理和使用。

泉州兴业科技小周：***

第三篇：破解电视机顶盒的方法,收看免费数字电视

破解电视机顶盒的方法，收看免费数字电视。[原创 202_-02-06 10:36:51]

字号：大中小

破解电视机顶盒的方法，收看免费数字电视。游走在灰色地带，大打擦边球的数字电视机顶盒共享器

随着有线电视数字化发展进程的加快，数字电视这一新兴的电视观看及传输方式已经开始被更多的普通市民

所熟悉，数字电视以接近于DVD的画质和立体声甚至5.1声道伴音这两大最明显的特点受到了不少有线电视用户的关

注，同时更多可选择的电视台、点播节目也为丰富市民的业余生活增添了不少色彩，不过在数字电视刚刚起步的萌芽阶段，还有多的不足和缺点需要改进。

按照国际惯例，数字电视机顶盒（SET-TOP-BOX，简称STB）分为数字地面STB、数字卫星STB、数字有线STB和网络STB这4种，南京市目前正在大力发展的数字电视类型是数字有线STB，是目前成本最为低廉，也最适合大力向普通市民所推广的。整体来说，数字机顶盒以支持HDTV和互动性作为发展方向，而就目前的机顶盒产品来看，一部机顶盒内包括了接收数字信号的调制解调芯片、视频信号编解码芯片、音频处理器、音视频数模转换芯片等，一些高端的机顶盒中甚至还会整合安全芯片甚至可录像硬盘，可见数字电视机顶盒在未来的发展空间还是相当宽广的。

创维C6000采用了意法的Qami5516方案；熊猫3216采用了意法的5516芯片，带有180MHZ的CPU，银河则采用了最为简单的富士通功能单芯片H20A，虽然这三种机顶盒在内部的设计上有一定的区别，但它们都是需要通过插入数字电视智能卡才能够工作的，而数字电视智能卡就相当于一个人有了驾照才能合法地驾驶汽车一样。在使用模拟电视信号的时候，大家只需要申请有线电视开户之后就可以在家中通过自带电视信号调谐器的电视观看节目，如果有多部电视的话只要购买有线电视信号分配器就可以在所有的电视上观看有线电视。而数字电视却将这种免费的电视信号共享给“封杀”了，机顶盒需要在插入有效的智能卡之后才能使用就是为了保证数字电视信号不被盗用的一种方式，同时也能够保证数字信号不被盗版商用来作为盗版节目源。

为了保证数字信号不被盗用，数字电视内容管理方式以条件式接取（CA）和数字版权管理（DRM）作为基本保护机制，目前国内的数字电视机顶盒采用的管理方式就是条件式接取这种机卡分离的方式，用户必须通过专属的智能卡来取得授权才能够接收被解码的信号，而服务提供商也能够通过这种方式接收用户的信息，包括用户户名、地址、智能卡卡号和收看数字电视的费用等信息。这种机卡分离的机顶盒使用方式被美国、欧洲和亚洲等国视为数字电视发展的机顶策略。

DRM采用的是许可证管理策略，由数字电视信号运营商对节目源进行加密，在用户通过机顶盒发出节目接收请求之后

系统会自动检查是否经过许可，而认证的方式也同样是通过IC卡等带有帐号、密码等信息的进行的，不过DRM管理的

规格相当繁多：Windows%20Media的DRM、开放移动联盟OMA推出的DRM%201.0/2.0规格、UT-DRM、NDS、SecureMedia、WideVine、BesDRM等，规格的不统一使其并不被大多数有限数字电视运营商所接受。

无线机顶盒共享其与有线机顶盒共享器一样都是通过音视频接口接受机顶盒上的第二路信号输出接口来实现数字电

视信号的“共享”的，不过无线的共享器的传输方式是通过红外、调频或2.4GHz来实现的，值得注意的是，目前的

机顶盒在背后的接口都带有两路信号输出接口，只要使用连接线将机顶盒的信号与两台电视连接就同样可以实现这

样的所谓“共享”功能，而这样一来机顶盒共享器的作用也只有在不同房间都可以用遥控器控制机顶盒这种“遥控共享器”的功能了。

那么这种有限数字电视机顶盒共享器是不是一无是处呢？事实上有一定动手能力的消费者完全可以将这种共享器与

客厅中的DVD连接使用，这样没有DVD的卧室里的电视机也同样能够收看DVD影碟。不过需要注意的是，目前的有线电

视管理相关规定显示：如果在有线电视网络上连接其他设备，必须通过广播电视管理机构的审查、批准和备案，否

则就是非法入网。到目前为止，在有线电视网络允许入网的设备中，还没有机顶盒共享器这种产品，这也就意味着

没有入网手续的机顶盒共享器在有线电视管理部门将被视为一种违规的产品。

不过目前机顶盒共享器的经销厂家认为：他们销售的机顶盒共享器与机顶盒连接可以将机顶盒输出的电视信号放大，传输到其他电视机上，达到多台电视机共看数字电视的目的。而共享器所解决的只是信号传输问题，并未涉及到

破解、转换数字电视信号的问题，所以不算是盗取数字电视信号的行为。

归根结底，市场上之所以会出现机顶盒共享器这种产品的最大原因，就在于如果要多部电视收看数字电视，需要再

另外购买一部价值680元的机顶盒。而按照南京广电目前有线数字电视的以有的有线电视线缆带宽，每个家庭中最多

能够同时使用三部机顶盒分别对应三部电视，如果你想要使用第4部电视观看节目的话就需要再另外开户，令外开户

就意味着除了有线初装费之外，每月的收视费用都要翻倍，相比之下每只售价在200元-500元之间不等的机顶盒共享

器自然有着一定的生存空间。至于这种大打擦边球的数字电视信号的共享行为究竟算不算违规产品，还要待相关的法律或法规修正后才能够界定。

破解电视机顶盒，可接多台电视。录入者声明：本意在学习电子技术、交流电子技术。如有用本技术去非法接入有线电视线路,造成的不必要损失及触犯法律，圴与本人无关！破解电视机顶盒，可接多台电视。录入者声明：本意在学习电子技术、交流电子技术。如有用本技术去非法接入有线电视线路,造成的不必要损失及触犯法律，圴与本人无关！

一、破解思路

二、破解原理

三、破解方法

四、破解原理图

一、破解思路

有线电视加密的原理是这样的：电视台把接改来的电视信号先输入数字加密设备，把电视信号通过算法加密后向外

输出终端的解密设备（机顶盒子）解密后输出普通的射频信号，再送到我们的终端接收设备，由电视放出画面。因

电视只能是接收普通的射频信号（模拟信号），所以只能解密后再输入电视，由电视放出画面。有线电视加密法有

多种，这里的是使用“加扰法”。在加密到解密这段线路，要想非法接入偷接电视信号，成功的可能性几乎是

10000000分之一。但经解密器（机顶盒）解密后的信号任何可以常接收电视信号的电视机都能播放（即通用性，也

可说是共用性），这就是破解的切入点（破解软件也需要切入点）。既然这样，但为什么一个机顶盒只能接一台电

视机用呢？我也试验过，当通简单的方法接上两台电视机的时候，什么画面也没有了（因机顶盒有智能的识别功能）。问题就在这里，也是我要教会大家的精要所在。

至于如何利用这个“切入点”进行我们的“小人”行为呢？我们通过什么手段来欺骗机顶盒，让他以为是一台电视

机呢？（就如破解软件的时候，我们有时也要采用欺骗的方法来进行破解）。我将会在下一点“破解原理”中向大家说明。

二、破解原理：

装在我们家里的那个盒子的工作原理：经加密的信号经输入端子输入，由其内部有关电路解除干扰信号（加扰法加密），再经输出端子输出正常的信号。其解密电路是否工作要有一个外部条件，就是电视的高频头反馈回来的信号

。如果没有这个信号反馈回机顶盒，则其解扰电路不工作，照样输出未解密的信号，因而不能正常收看。其解密的

频段分做若干段解密，如电视正在接收3频道，则电视的高频头就反馈3频道的谐振频率给机顶盒，机顶盒就能输出1 ——5频道的正常信号，如此类推。因此可用以下两种方法进行破解：

1、把机顶盒放在其中一台电视机（下称电视1）高频头附近，让其可以正常收看，再用分支器从输出端分支出信号

到另外的电视机。这样的做法的一个缺点：就是另外的电视机只能接收电视1接收的频道附近的5个频道。

2、用非与门电路或555电路制作一个开放式多谐振动器，其谐振频率只要能履盖有线电视的整个频段即可。（制作

成本约6元左右）把这个谐振动器放在机顶盒的旁边。让机顶盒能接收到振动器发出的信号，再用分支器从机顶盒的

输出端分支出多台电视机，这样，所有电视机就能接收所有频道的信号了。

3、用高频三极管如9018做一个高频发射电路，利用射频输出再次发射，只要小小发射功率，让机顶盒能接收得到即

可。或用同轴视频线分支接入输入或输出端，的除去外层屏蔽线，只留中间的线长约1米，把这线绕在机顶盒。让泄漏出来的信号感应给机顶盒接收。第一章：CA智能卡的破解与反制第二章：流行CA系统的漏洞分析实践第三章：流行CA应用算法的破解分析设想破解讨论综述

CA安全保障的三层关键：传输流的加扰，控制字的加密，加密体制的保护。

这三种技术是CA系统重要的组成部分，在处理技术上有相似之处，但在CA系统标准中是独立性很强的三个部分。加

解扰技术被用来在发送端CA系统的控制下改变或控制被传送的服务（节目）的某些特征，使未被授权的用户无法获

取该服务提供的利益；而加密技术被用来在发送端提供一个加密信息，使被授权的用户端解扰器能以此来对数据解

密;而保密机制则用于控制该信息，并以加密形式配置在传输流信息中以防止非授权用户直接利用该信息进行解扰，不同的CA系统管理和传送该信息的机制有很大不同。在目前各标准组织提出的条件接收标准中，加扰部分往往力求

统一，而在加密部分和保密机制则一般不作具体规定，是由各厂商定义的部分。

1、对传输流的加扰，DVB已有标准。目前在国际上占主流的有欧洲的DVB标准、北美国家的ATSC标准及日本的ISDB标

准三种标准中，对于CA部分都作了简单的规定，并提出了三种不同的加扰方式。欧洲DVB组织提出了一种称之为通用

加扰算法（Common Scrambling Algorithm）的加扰方式，由DVB组织的四家成员公司授权，ATSC组织使用了通用的

三迭DES算法，而日本使用了松下公司提出的一种加扰算法。通用加扰算法是DVB标准组织推荐的对于TS流的标准加

扰算法。目前，在欧洲的数字广播节目中普遍采用了这个算法。我国目前商业化的CA中，TS节目的加扰也基本上是

采用的这个算法。如果从破解的角度，攻破这个算法的意义要远远大于破解智能卡和攻破CA系统本身。

2、对控制字的加密算法一般采用RSA以及3DES算法，各家CA厂商各不相同。值得一提的是DVB里有一个规定，提到的

同密技术要求每个CA系统可以使用不同的加密系统加密各自的相关信息，但对节目内容的加扰必须采用同一个加扰

算法和加扰控制字，可以方便多级运营商的管理，为多级运营商选择条件接收系统提供了灵活性。这就为黑客攻破智能卡创造了条件。

3、对加密体制，不同厂家的系统差别很大，其技术大体有两种: 一种是以爱迪德系统为代表的密码循环体制，另一

种是以NDS系统为代表的利用专有算法来进行保护，由于牵涉到系统安全性，厂家一般不会公开。因此从破解角度，对系统的破解是难度也是比较大的。第一章：CA智能卡的破解与反制第一节对于CA智能卡的破解分为两种，1、从硬件破解的角度，完全地仿照正版卡来定制IC卡；

2、从软件破解的方向，将正版卡的程序读出，最后将程序写入IC卡中，就变成与正卡无差别的D卡了。

仿制正版卡，可以将IC卡的触点剥离下来，再将保护的塑料蚀掉，暴露出元件和内部电路连接，就可以绘制

成电原理图，最后交给能订制生产的IC卡的厂家生产。这些仿制还有一个冠冕堂皇的名称叫“反向工程”。国内在

深圳和厦门等地都有能生产定制IC卡的厂家，在利益的驱使下，他们往往不会过问敏感问题。

IC卡中的元件如果是通用元件，通常可以通过IC卡的功能原理的分析来确定，虽然困难，但总是可以最终确

定。例如深圳目前直接使用流在市面上的ROM10与ROM11卡来制成D卡，ROM10与ROM11实际上是XX系统正版卡的“基础

卡”，这些卡具有与正版卡相同的硬件基础，至于怎么流落到社会上的不得而知，但有一个事实就是大家应该都收

到过安装卫星电视的短信，这是个可以想象的到的异常庞大的地下产业！

继续：IC卡中的元件如果是专用元件，确定元件的事情就变得极其困难和十分渺茫了。那么这个时候硬件仿

制的路走不通了，那么看看软件仿真的路能不能走得通。

再看软件仿真的路能不能走得通前，首先阐明软件仿真的路能不能走得通有不同的判断标准。如果仅以在一段时段中，软件仿真的D卡与正版卡都具有相同的条件收视功能来判断，那么无疑，从D卡的实践来看，软件仿真已经成功了。

但如果以任何时段中，软件仿真的D卡与正版卡都具有相同的功能，特别是对抗反制的功能来判断，那么我要

说，同样无疑，软件仿真是不可能成功的。

因此我们仅承认这种事实就够了：自动对抗新的反制，使D卡与正版卡一样免除后顾之忧，肯定是D卡研究的

终极目标。但是即便达不到这个目标，只要能保证一段时间的仿真成功，CA破解的商业价值就依然存在！

补充说明反制：由于D卡的成功，尤其是带AU（自动换Key0/Key1）的D卡程序的广泛扩散，正版服务商感到

了巨大的压力，逐步开始采用种种反制手段，让D版的AU卡实效。

我们先研究一下这个反制是个什么东东：学习和搞嵌入式控制器开发的人都用过仿真器，如“伟福”系列的

MCS-51的仿真器等。大家一定知道硬件仿真与软件仿真存在一个本质区别，即I/O功能的不同。一条取端口引脚值的

指令就足以区分是硬件仿真还是软件仿真了。硬件仿真可以真实地取到引脚上的实际输入，而软件仿真得到的只能是不会变化的内存仿真值。

利用这个原理实现的反制程序分为两部分，前面的部分通过I/O端口的访问，区别出是真的硬件存在，还是软件仿真；后半部分对非法的仿真卡简单地返回主程序，不能解开Key0/Key1；对正版卡，则修改Key0/Key1，使之

正确，然后返回主程序并保存key，保存的Key0/Key1用于ECM的解码。

从历次搜集的反制EMM中的方法中，可以将反制归纳为两种，一种是从硬件或软件上区别D卡与正版卡，从而

产生条件分支指令，使D卡仿真的程序失效；另一种是调用D卡中不可能有的，只有正版卡硬件才具备的MAP子程序，使D卡无法执行正确的程序。先介绍前一种方法：

使用硬件端口区别正版卡与仿真卡的反制方法，由于具有特殊性能的端口数的限制，因此不可能有多种变化，一旦Hacker知道了反制的EMM结构与原理，很容易就可以避开端口判断的指令，直接转到修改Key0/Key1部分。这

虽然并不是程序指令的直接仿真，只能算是功能仿真，却可以使已知反制失效。

另外你也许会提出一些其他办法，如目前的一些Nagra系统在下行的EMM命令中加入了甄别真伪和“杀卡”指

令，对于“正改卡”，毫不留情地清除卡中程序并且让它成为废卡。

我可以说，为了对抗“杀卡”，这类“正改卡”的程序如果采用Block技术，可以抵抗多数杀卡指令，同样

能够使这类“正改卡”得以安全使用。

先写到这，后面介绍根据正版卡特有的机器指令代码，让正版卡能进行解码、而没有正版卡程序的仿真卡无法正确解码、从而获得KEY的EMM思路。第二节：

以下介绍根据正版卡特有的机器指令代码，让正版卡能进行解码，而没有正版卡程序的仿真卡无法正确解码，从而获得KEY的EMM思路。

按照道理，D卡使用的是AVR或其他类型的CPU，“正改卡”中的程序与正版卡也不相同，照理这些卡中都没有正

版ROM10/ROM11卡的程序。因此，用只有正版卡才有的特定机器指令代码作为密钥来解密key0与key1，自然是十分聪明的反制措施。

该反制的EMM以前146Dream TV可能曾使用过。目前XG有线又重新启用，大致在一个周期的8天中，有两天使用本

类EMM，另外6天使用另一个“超级MAP”程序。这种反制的具体思路是：

ROM10卡低端的无法读出的无意义内容。反制设计者设想，D卡或“正改卡”无法获得正版卡的内部程序，因此，即使给出了地址，D卡也无法取得正确的机器码作为密钥的“种子”，自然也就无法生成密钥，解开key0/key1了。

对于正版卡，按照给出的地址，取到16字节的机器指令代码，经过类似计算Hash效验的方法，产生正确的密钥，再对key0/key1进行DES编码运算，就解出正确的key0/key1了。

上面介绍的“利用正版卡程序随机地址处的机器码作为Key的解码密钥”的EMM反制方法非常厉害，曾难倒了一大批的高手。

难以得知其反制的原理与找出解key的方法，目前XG有线和国外一些CA系统采用的是这类反制。由于XX的反制汇聚在

低级和高级的两类难度上，所以黑客们怀疑这是两类不同水平的技术人员的作品。低级难度的反制是卫视服务系统

内部技术人员的手笔，而高级的反制则直接出自CA系统研制人员的杰作。

两种级别的反制也将国内修改、编写D卡程序的高手分成了两类：有一些写一点程序应付低级反制的，往往采用

“头痛医头、脚痛医脚”的补丁程序，可以对付目前146-Dream TV的反制；只有少数高手中的高手具有整体编写程

序以及仿真MAP功能的能力，能采用更合理的对抗策略，能研制出复杂程序和新类型的D卡，最终可以对付高级难度的反制。对付低级反制写出对抗程序的时间大约是数小时到几天，而对付高级反制找到方法并写出程序的时间往往

需要数个月之久，而且还需要国内外Hacker 们的协同配合。国内高手中的高手人数很少，都是单兵作战和埋头苦干的，与其他高手之间一般互不交流。

本节介绍的“利用正版卡程序随机地址处的机器码作为Key的解码密钥”的EMM反制方法十分成功，但它采用程

序的机器码作为解开Key的密钥，可能会出现以下几个问题：

1.如果电视系统历史悠久，在用的卡可能有几种，那么可能产生内部机器指令码不尽相同的问题；

2.如果电视系统想要更新程序，也可能存在部分尚未更新程序的正版卡，同样会产生内部机器指令码不相同的

问题。这个问题还可能阻止正版卡通过下行信号进行的升级：我们设想一下，正版卡用户中，有的人天天看卫视节

目，他们的卡顺利升了级，而一部分人外出，卡很久都没有使用了，刚回来想看卫视，结果因为卡的程序不对，无

法收看，肯定对卫视服务商大发雷霆。在用户是上帝的外国，电视服务商对可能引起用户的怒气一定很忌讳的。

3.对该反制最致命打击是，可以设法读出正版卡作为密钥的那一部分程序机器码，通过在D卡的硬件上安排外

部EEPROM，存储量有64KB、128KB、256KB等，将正版卡作为密钥的程序机器码全部保存起来，解开KEY时，照样可以

从外部EEPROM中取到与正版卡一样的解Key的密钥，来对抗反制，使该方法失效，这是该类反制的终结者。

经过了利用软件仿真在I/O功能上的区别进行的反制和利用正版卡指令代码作为密钥进行的反制之后，目前几个

在运行的CA系统（146的Dream TV与其他卫视，XG以及国内一些地方的本地有线数字电视等）纷纷进入了使用MAP功能来进行反制的阶段。

使用正版卡中的MAP编码/解码协处理器进行反制，是正版卡在设计阶段就预留的终极反制杀手。可以看到，正

版卡设计者防范于未然，预估到终有一天，第一道门（ECM与EMM的解码）将被攻破，预先留好了第二道门做最后的

防守。未雨绸缪，是我们不得不佩服这些设计者的智慧与远见。第三节

在深入讨论MAP功能及其仿真实现之前，为了后续文章读起来不算费劲，需要先说明两个方面的知识：一是什么是收

视卡防守的第一道门与第二道门？二是EMM指令与Logging等知识。今天让我们先说说什么是收视卡防守的第一道门与第二道门？

收视卡是防止非法收视的守门员，在卡中设计了多种加密方法，最主要的有解决收视功能的ECM和自动换key的EMM的解密，它们的解码是第一道门。ECM与EMM的编码与解码使用的虽是不同的方法，但都是固定不变的标准方法。不同的条件接收系统仅仅是编码/解码采用的数据有不同而已。举个例子，有的卡可以解开多个同一类型CA系统，该类卡

是按照下行的ECM或EMM的系统标识（如146 Dream TV为4E和4F，XG有线为94和95等）选择不同的数据，而运行的程序基本相同的。

仍然以XX为例，ECM的编/解码采用DES与EDES算法，其原理早已公之于世。编/解码所用的S_Boxes数据也已经公开，并且在不同的系统中固定不变。与标准的DES相比，XX系统的DES只是多了对字节进行了反序排列而已。ECM使用的

VerifyKey等数据，通过后门密码进入正版卡保留的数据空间，可以读出这些关键的信息，加上BoxKey等信息，只要

能获得当前的Key0/Key1，就可以配合IRD解开解密收视用的控制字（Control Word），可以正常收看卫视节目。

ECM的解码可以解决收视的问题，但还需要手动输入Key0/Key1。如果要象正版卡一样自动换Key即所谓的AU，就需要

能解开EMM，并能正确地找到并保存Key0/Key1。与ECM的解码相比，EMM的解码要复杂的多！经过Hacker的努力，EMM 的RSA编码原理已经完全弄明白，所需要的PK，VK等数据也可以通过Hacker的软件和ROM10/ROM11卡的后门读出，再

算出N1，P，Q，EP，EQ，IQModP，IPModQ，PPrimA，QPrimA等方便编程的数据，就可以顺利解出EMM。

收视卡的第二道门是对EMM 中Key解密的防守。它的方法没有固定的套路，可以任意变化。如XX系统的设计者安排了

可以通过EMM中携带程序的执行，以及正版卡通过下行信号更新的EEPROM中补丁程序的运行来解码。正版卡设计者可

能料到攻破第一道门是迟早的事，于是第二道门上的防守就成了最后的防线。前面章节介绍的几种对EMM中的

Key0/Key1进行再加密，就是在第二道门上的防守。它的思路是：当EMM解开后，如果其中的Key0，Key1是经过加密的，D卡仍然无法得到正确的Key。

国内早期的D卡程序是移植国外Hacker 的，针对想收视的系统，修改了相应的数据就可以实现本地化，由于要得到

正确的Key需要的解码方法没有固定的套路，Hacker不可能事先料到，总是要反制后分析它的原理，再更新部分D卡

程序，进行对抗和补救。一般人没有自己编写D卡程序的能力，即使有写卡器掌握了写卡方法，但程序又难以得到，这些麻烦会迫使许多人放弃D卡，转而加入正版卡缴费收视的行列。

不过正版卡虽好，但其高额的收视费还是让国内广大爱好者望之却步，大家的希望还是寄托在D卡程序的完善上，希

望终有一天，D卡能与正版卡一样不受反制。第四节 EMM指令与Logging知识

EMM是“授权控制命令”，简单说就是“更改收视卡中信息的命令”。现有系统如XX系统中的EMM命令很多，EMM指令

中的FA（针对ROM10卡）和FB（针对ROM11卡）是所有EMM指令中功能最为强大的指令。在该指令中携带了6805指令写的小段程序。CAM（收视卡）将EMM解码后，将该EMM携带的机器指令码存入正版卡从S81开始的固定地址。以子程序

调用的方式，转到该地址，执行这段程序。这段程序的结束可以只是一个简单的子程序返回指令，也可以用转移指

令转到保存Key的子程序去。前者一般不保存Key，后者才保存Key。

还以XX系统为例，其EMM长度最大为64字节，既要包含Key0/Key1和一些标识与过滤指令，又要包含一小段程序。受

到大小的限制，程序的长度不能超过37个字节。对于复杂的解码反制，程序很长时，一般通过下行的信息将大部分的程序写到正版卡的EEPROM中，由EMM中的小段程序来调用，正如XG有线当前的反制所采用的方法。对于二次加密了的Key0/Key1，只有正确执行该段程序后，才可以还原Key0/Key1。

防止D卡正确执行该部分程序是不难做到的，实际上，由于D卡采用的CPU不是6805家族的，D卡也不直接执行该段程

序，但防止D卡研制者人工判读该段程序却是极端困难的。

如果D卡研制者采用人工判读的方法，读懂了新的EMM的反制原理，找到对抗反制的方法，那么就可以在反制后的不

长时间内研制出升级改进的对抗程序。这些程序通常会放到专业的黑客网站上开放给众多黑客会员下载，具体地址

本文就不讨论了，只是要说明这些网站确实存在，而且很活跃，这也是对DVBCN论坛上CA厂家的那些穿着皇帝新装的

抢手最大的一个讽刺，说什么“ca是很安全的”之类的自欺欺人的瞎话，有空的话还是花点精力去琢磨琢磨仿制和

复制的区别，看看自己的水平到了什么地步，能不能入流。判读EMM内容与反汇编其中的6805程序的步骤如下：

1、通过某种手段，将EMM纪录下来。这个步骤也称为Logging，Logging通常可以通过1020卡或通过Season 卡等来进行卡等来进行。有的高级黑客用的Logging是用含有自己写的特殊程序的卡，在新的含Key的EMM到来时写入

EEPROM，再用写卡器读出即可；（一般圈内没有1020卡，都是用自己写的卡程序log。）

2、将Logging的文件交给XX程序。该软件是学习和分析EMM、ECM以及XX系统其他信息的优秀软件，其中含

有不少有用的工具，对此有兴趣的网友应当熟悉它的使用；

3、如果你的XX程序目录中含有正确的ROM10/ROM11的BIN，Keys.INI，Labels.INI，以及Routimes.INI等文件，那么XX程序中的EMM XX功能会将该EMM解开，反汇编并加注释成为易读的源程序；

4、阅读EMM程序与包含的数据，对比已知的正确的Key0/Key1，分析之后就可能知道反制的原理，但也可能分析之后仍然找不出头绪。

如果分析明白了，就可以着手编程。对于1020卡，程序按照6805汇编语言编写，汇编后加入ROM10/ROM11.BIN文件，放到Fennir的XX目录下；对于Fun卡，按照AVR汇编语言编程，替换或修改原来卡的部分程序，汇编成*.hex就可以使

用了。对于从事嵌入式控制器工作，或是信息类专业的人，编这些程序应当不是什么难事，但要编得好，却也不容

易。对计算机汇编语言不熟悉的人，要自编程序，当然要先学习和实践，能否成功，全看各人努力和造化了。第五节MAP 本节开始说起MAP攻略的技术基础知识，有网友该问了为什么是基础知识而不是详细介绍？该攻略是全世界高手共同

努力得出的宝贵结果，可想而知，这份资料的宝贵不言而喻！由于是在DVBCN这种公开论坛，另外当初写这些文字也

是因为一时意气用事和一个叫tsexpert的网友进行理论，结果到现在该老兄跑得无影无踪，偶尔回个帖也是顾左右而言他，对于技术的推演无片言只语的贡献，变成了我孤家寡人在这里卖弄，所以也就没意思了动力也小了很多，因此本文不准备展开和深入介绍。详细的研究和讨论，可以在日后归纳出“MAP技术专题”资料了专门交流，不过就不是这种方法了。

OK，切入正题。XG有线“新例”超级反制的程序是利用MAP进行的反制程序。由于反制十分复杂，程序较长，所以分

为两部分：小部分的是EMM携带的程序，大部分是通过下行信号预先已经存入EEPROM的程序。通过阅读它们，hacker 们可以了解MAP的调用（$90E3）在反制中的作用。

调用MAP的EMM有难有易，以Dream TV为例，其MAP $0E功能就可以通过正确的Key，比较容易猜出来，它是与成片数

据交换有关的操作；而XG有线调用的MAP $11，$28，$39，$3A功能就极难猜出来，就像是一个“谜”。

反制进入使用MAP功能的阶段后，D卡要对抗反制，必须研究MAP功能，只有弄懂了有关的MAP功能，并且在功能上仿

真它们，才可以有效对抗这类反制。大家可能会设想：如果我们将MAP协处理器的功能都了解了，将它们都仿真出来，那么不就可以与正版卡完全一样了吗？不过要弄懂MAP的功能，可不是一件容易的事。先让我们了解一下协处理器是什么东西： iB 一般计算机为了处理数据的需要，可以配上协处理器。协处理器的程序是不对外开放的，它的程序存储区对其它器

件而言是完全隔离和封闭的。无论如何，用目前的技术和手段，我们都读不出Map协处理器的程序。因此，彻底了解

MAP协处理器的功能，是不可能的，除非开发MAP的技术人员被收买了或派间谍打入了研制MAP协处理器的公司，盗取

了它的技术资料...。这又有点像tsexpert老兄前面说的中央情报局的笑话故事了。gy9 想像带来虚幻的快感，却不能解决问题，要解决问题，还是脚踏实地，认真学习与研究。ROMX卡调用MAP功能是通过一个固定入口地址$9E03的子程序实现的，该子程序称为：CALL_MAP，调用时必须在A寄存器中存入MAP的功能号。

我们看到EMM实际执行的是一段很长的程序，EMM中的部分只是其中的一小段，绝大部分都存到了EEPROM区，它们是通过下行信号写入卡中的EEPROM的。

据我所知，ROM3或ROM10或ROM11的正版卡在$4000～$99FF的程序代码都相同，它们存在ROM区，是固定不能改变的，如果改变了，那么，“利用正版卡程序随机地址处的机器码作为Key的解码密钥”的EMM反制方法就要产生兼容性问

题了（这也许就是ROM卡称谓的由来）。Hacker们将这部分程序称为ROM卡的“ROM区基本程序”。卡复位后执行的就是这部分的程序。?Kg{q-u-那么固定程序的ROMX卡是如何改变其程序的功能呢？

不少网友都知道，只要在ROM卡中可以改写的EEPROM区中按规定写入*.BIN文件的程序代码，就可以改变ROMX卡的实际功能。

那么为什么在EEPROM区写入的程序代码能改变程序执行时的实际流程呢？这是如何做到的呢？

PC微机的操作系统或程序，如Windows，发现了Bug，用补丁更改时，需要先下载补丁，然后运行有关修补程序，改

变原来程序的代码，才能完成修补。这种修补通常是在原来程序中要修改之处放上转移指令，转到补丁程序，执行后再回到原来的程序继续完成后续工作。这是修改程序功能常用的办法。但如果原来的程序不像PC微机那样存在硬盘上可以更改，而是存在不可更改的ROM区，补丁下载后，没有改变原来程序的任何部分，补丁就可以自动起作用，就是奇怪的事了！由于ROM区基本程序不可更改，又要能自动运行装入EEPROM区中的补丁程序，ROM卡的设计者想出了一种巧妙的方法

。该方法能自动检查EEPROM区是否有补丁程序，补丁程序补在原来程序的什么地方，如何自动运行这些补丁程序等等。

有了这种巧妙的方法，在不改变ROM卡基本程序的前提下，只要将添加的程序或数据存入可更改的EEPROM区，卡的程

序功能就可以得到增强或修改，就可以在不必收回或报废原来卡的情况下，适应各种不同的卫视系统或其他应用，或对卡进行升级换代，特别地，可以通过下行信号自动变更原来程序的逻辑功能。第六节：

为了学习和掌握D卡技术，必须能够读懂别人编写的程序，然后再自己修改或编写自己的程序，所有这些，都需要了解汇编语言源程序知识。可以说汇编语言程序知识是D卡技术入门的一道门槛，跨过了这道门槛，就得到了一把打开

宝库的钥匙。有不少网友开始上信誓旦旦,但往往乘兴而来，败兴而去，不少人开始畏难，甚至逃跑了,就是难以跨

越汇编语言这道门槛。同时因为后续章节中经常提到ASM、HEX、BIN等格式的文件，因此调整一下文章结构，补充一

点汇编语言程序基础知识,真正想学习的网友友，还是要自己找资料踏踏实实系统地学习。

汇编语言源程序（简称“源程序”）是面向CPU的低层语言，该语言的指令（注意：不称为“语句”）与CPU的

机器指令代码一一对应。对不同类型CPU的计算机，指令不同。源程序可以编写或通过反汇编得到。运行汇编程序就

可以将汇编语言源程序转为机器语言目标代码，这个转换称为“汇编”（注意：不称为“编译”）。源程序为纯文

本文件，扩展名一般为ASM。目标代码文件格式很多，常用的有Intel的HEX格式和存机器码的BIN格式等，它们都可

以被编程器接受用于将代码烧写入CPU或EEPROM等存储介质中。计算机CPU只能执行机器指令。

汇编语言源程序的指令有两种，一种是对应CPU执行的机器码的“助记符指令”，另一种是指示汇编程序工作的

“伪指令”，再有一种“宏指令”实际上属于伪指令，它可以用一个符号串简化表示很多符号信息。

用一种类型的CPU执行另一种CPU的程序，只能用仿真的方式，实现其功能，而不能直接照搬来执行。

在Nagra系统的Hack领域，常见的汇编语言有ST7/6805和AVR等，前者是正版卡的语言，后者是仿真卡的语言。以下给出一些范例：

某种EMM携带的6805的源程序：

Org

$008;指定以下程序或数据开始地址

StartAddr81H:

Lda

$CE01

;A:=EEPROM单元[$CE01]

Cmp

#$01

;该单元内容是否等于$01

Bne

$A7

;如果不是，则EEPROM未装入适当的程序，退到$00A7

Jmp

$CE0;否则EEPROM有适当的程序，转去执行该程序 #N9=i7 @3 汇编后的地址、机器码与源程序为：（该部分是*.LST即列表文件，它包含了源程序和汇编后机器指令或数据，地址等）

Org

$008;指定以下程序或数据开始地址

0081: C6 CE 01

StartAddr81H: lda

$CE01

;A:=EEPROM单元[$CE01] 0084: A1 01

cmp

#$01

;该单元内容是否等于$01 0086: 26 A7

bne

$A7

;如果不是，则EEPROM未装入适当的程序，退到$00A7 0088: CC CE 0

2jmp

$CE02

;否则EEPROM有适当的程序，转去执行该程序

。。。。

以上部分略。

从以上范例中我们可以看到一些普遍规律（这几点请认真记录）：

0.计算机识别的信息都是二进制数，或简洁标示的十六进制形式。如十六进制与二进制的不同形式：$C6=0xC6=0C6H = 0B11000110=%11000110=11000110B 等

1.相同程序功能，但CPU不同，则机器指令码不同，不能互换。

2.汇编语言源程序由4部分组成：

标号

操作码操作数

注释

StartAddr81H:

Lds

r16,$CE01

;A:=EEPROM单元[$CE01]

3.Org或.Org是伪指令，它不产生对应的机器指令，但仍起了一定的作用。

4.多数指令是助记符指令，它们都产生了一一对应的机器指令，它们都要占据一定的存储单元，都有对应的地址。

5.CPU按照指令的地址，逐条取出机器指令并执行，如果没有转移操作，就按照顺序执行。

6.汇编语言源程序很难看懂和记忆，因此需要认真写注释，一般注释是用英文写，也可以用中文。

7.HEX文件有特定的格式，它包含地址，数据和效验和，十分严谨和灵活。第七节

为了研究正版卡的反制，特别是XG有线类型的高级反制，不仅要研究带Key的EMM，还要关注和跟踪修改EEPROM的EMM。一直关注这些EMM动向的黑客会从相关论坛得到正版卡修改后的EEPROM代码，它们一般以*.BIN的形式给出。

如果得到了ROM卡的*.BIN文件，就可以了解到正版卡在EEPROM中加入了哪些新的补丁程序或采取了什么反制方法。

研究和了解的第一步是反汇编。反汇编是将机器指令或数据代码转为源程序的一种操作，它是汇编过程的反向操作，是反向工程的一种手段。

一般开发产品，自主编写源程序后，主要的工作是汇编，很少反汇编。但黑客在破解我国卫视界的过程中，却常常进行反汇编。

原因之一，是因为水平不够，无法自编源程序，只好用国外或国内高手赠送的目标代码通过反汇编来转为源程

序，再进行学习和修改，这成了必要的步骤。

原因之二，是研究正版卡的反制方法与原理的需要，必须通过反汇编将EMM或EEPROM中的机器码转为易读的源程序，再进行分析和研究。

汇编是将源程序转换为目标代码的过程，它比较简单，指令或数据转为机器码时都是唯一的，没有二义性；而反汇编就复杂得多！由于二进制代码的多义性，即，同一个字节，可以代表多种信息，它即可以代表CPU的操作指令，又可以代表各种字符、无符号数、带符号数、浮点数和其他种种信息，因此，一般情况下反汇编是不可能返回汇

编前的源程序的，如果反汇编能将指令或数据正确区别开来，就是很不错的了。

大家可能有疑问：要反汇编的是程序，只要转为助记符指令就可以了，怎么还会有转为数据的问题呢？为什么难以区别程序与数据呢？

原来，程序是指令与数据的集合，程序存储区中即可以存放CPU的指令，又可以存放程序使用的数据，它们都是

二进制代码。在源程序中，不仅有CPU执行的指令，也还有程序用到的数据，这些数据是用数据定义伪指令来描述的

。指令与数据汇编后产生的目标代码都是二进制数，它们可能是指令也可能是数据，单从二进制代码本身并不能区别出它们是指令还是数据。

以**卡的EEPROM中的部分机器码反汇编为例：

在**.BIN文件中，取从地址$CE18开始的机器码：CD CB 21 00 96 02 70 08 A6 01 用反汇编软件，如XX软件中的XX功能，反汇编得到的源程序：（是错误的）CE18: CD CB jsr $CB21

;调用子程序$CB21 CE1B: 00 96 02

brset0 $96, $CE20

;如果$96单元的位0=1则转到$CE20 CE1E: 70

neg $X

;对X寻址的单元进行求负操作 CE1F: 08 A6 01

brset4 $A6, $CE2;如果$A6单元的位4=1则转到$CE23 正确的反汇编应当得到以下源程序：

CE18 CD CB 21

jsr

$CB21

;调用子程序$CB21，将$0096开始的$08个字节数据复制到$0270开始的单元中

CE1B 00 96 02

dc.b

$00,$96,$02,$70,$08;这六个字节是传给子程序$CB21的数据，用伪指令“dc.b”来描述 CE1E 70 08 CE20 A6 01

a, #$01

;a 取值$01

对比以上两个反汇编的源程序，就可以看出，反汇编后的源程序差别有多大！

前面的反汇编没有正确区别指令与数据，得到的源程序将误导阅读者，使之无法了解正确的程序思路。

而后面的反汇编正确区别了数据与指令，阅读者就可以明白程序的思路。

像这样的情形大量发生在XG有线的超级反制程序中，正如某黑客所讲：“cb 與ce code內，有很多都是特別的

subroutine，用Xx功能時要小心一點，否則會看到不明所以…尤其是“cd” 等字眼，多是地址位置而不是opcode。早

一頁post 出的就是例子，自己用XX软件時會出現不同結果。而keychange 的bytedump 部分全是random parameters for MAP CALL，再多例子也沒分別。再有不明可以大家研究一下，反正結果都會是『謎』一個！

第八节反汇编2

真正的源程序的价值是非常高的，而简单反汇编得到的所谓源程序就没有什么价值，因为这样的源程序难以阅

读，难以修改。如何能将目标代码转换成为真正的源程序呢？

以下是正确反汇编的基本步骤：

1.反汇编首先要选对反汇编的工具程序XX，反汇编工具应当针对目标代码适用的CPU。乱抓一个来，也可以反

汇编，但产生出来的是莫名其妙的东西。一般的汇编程序都顺便带有反汇编的功能，也有专门的反汇编工具可以使

用。大型的反汇编工具使用起来比较复杂，初学者可以先试试简单的。

2.其次，反汇编得到的源程序要能再汇编成为目标代码，这个目标代码必须与原先用于反汇编的目标代码完全

相同，这可以检验反汇编是否基本正确。

3.再次，反汇编得到的源程序必须经过人工的阅读、分析和判断，确定哪些是指令代码，哪些是数据，确定之

后，再告诉反汇编工具程序，让它做相应的处理，产生更合理的源程序。这个步骤要反复进行，直到数据和指令正

确分离为止。判断哪些是数据，哪些是指令，要有敏锐的观察力。通常，如果出现“Unknown”字样，或不合逻辑的

指令（如对同一个变量重复赋值等），或程序没有入口标号等，就可以认为这部分是数据；如果程序中出现了不合

理的标号，说明其它地方还存在数据被当成指令的错误。

4.最后，对这种反汇编得到的原始源程序进行人工修改，使用有意义的变量名、常数名和子程序名替换原来没

有意义的标号，加上详细的注释，最终才形成真正的源程序。这一步是一个再创造的过程，是反汇编中最难和最关

键的工作。不会编程的人，一般无法完成这一步，因此说“反汇编是一个再创造的过程，需要的能力绝不比编程低

！”，是否真正能得到可以供修改和继续开发的源程序，关键都在这一步。可以说，反汇编的工作，工具软件仅仅

帮了我们反汇编工作的其中一小部分，仅处理了那些死板的固定套路的事，而关键的智力活动都必需要人来完成。

许多初学者可能过分相信和依赖工具软件，这是不正确的。好的工具软件可以帮助我们，减轻不少繁琐的劳动

。但工具是死的，而人是活的，是创造性的源泉。反汇编这种需要高智力的劳动，更是单纯依靠工具软件不可能完成的。

以下例子是部分取自146-D卡中的Flash程序，用于说明上述反汇编过程：第九节反汇编3 要了解正版卡的反制原理，首先要反汇编ROM卡中EEPROM的程序。仍以XXCA使用的ROM卡为例：

该ROM卡使用的CPU是ST7，它是STMicroelectronix8位处理器家族的成员，指令系统与硬件结构向下兼容Motorola的

6805计算机，可以直接执行EMM中携带的6805指令集。

通过下行的信号对ROM卡更新后，产生了新的程序。这些新的EEPROM的信息往往以*.BIN文件的形式出现在一些黑客

网站上。我们得到后，可以选择文件中我们有兴趣的一部分信息，交给Xx软件进行反汇编。之所以选择Xx软件，是

因为Xx软件专门针对ROM卡，它的反汇编具有一定智能，可以自动处理变量名、ROM卡中已知的子程序和特定子程序

夹带的数据等，还可以加上注释；之所以只对一部分代码反汇编，是因为Xx软件对反汇编调入的代码长度有限制，不允许超过4KB即$1000。

下面以XG有线反制的EEPROM程序的反汇编为例，介绍ROM卡的*.BIN文件中部分代码进行反汇编的基本方法：

根据Xx软件解开的EMM，我们可以看到XG有线下行的EMM中夹带了这样的一段程序：。。。。（略）

从中我们知道，一切的关键都在$CE03这个子程序中，必须要反汇编存在ROM卡的EEPROM中的地址为$CE02开始的程序。

1.将含有$CE02程序的*.BIN文件读入某种编程器的缓冲区，缓冲区地址从$0000开始。记住ROM10/ROM11文件的 *.BIN文件是从$C000地址开始的。

2.计算保存文件的开始地址=需要反汇编的程序地址的开始地址-$C090。如，希望反汇编$CE02开始的子程序，则

计算出的保存文件开始地址=$ CE02-$C090=$0D72。

3.用编程器保存文件的功能，保存一份文件，文件类型为*.BIN，保存的缓冲区地址为计算得到的开始地址，文

件长度为$1000。注意：Xx软件的Xx只接受长度为$1000的文件。例，保存文件名定为：CE02.BIN，开始地址为$0D72，长度为$1000。

4.进入Xx软件，点击Xx功能，点击“Extract Bss Code From EEPROM Image…”，选择在3.中保存的文件名，将

Initial Addresses和Code Base 都改为程序的真实地址，如在上例中，地址都改为$CE02，选择ROM卡的类型，如 ROM10，最后点击“XX！”，完成反汇编。

5.当然，特殊的子程序，如后面跟随数据的，反汇编可能不正确，需要人工判读，并采取特殊处理（处理方法略）。

第十节介绍MAP与反制原理，第十一节介绍如何用程序来仿真。不过看现在的情形，大家对算法的讨论感兴趣的比

较多，因此觉得有必要停下来讨论讨论算法的问题。可能有人说，一提算法可能又会把问题搞的非常发散，最终又

会偏离我们的主题太远，但谈CA破解又不可能不提算法，所以我们暂且转贴一篇网络上流行的基础帖子，从这里插

叙开始谈起：转贴：CA算法的破解方法理论上说，CA算法的破解方法有两种：一种是解析法，另一种是穷举法。

解析法是根据CA的算法，找到其中的要素，推断出未知因素从而破解算法，这是一种相对比较有把握的方法。对于

一种固定的算法，从算法理论上说，它由四个要素构成：第一是被加密的对象(明文)；第二是加密完成的结果(密文)；第三是实现加密的数学模式；第四是采用的密码。在电视广播应用中，一般来说，明文和密文是可以获取的，算

法是不能保密的(易泄露)，密钥是大家攻击的对象，一旦密钥被攻破，加密的方法也就随之告破。虽然科学家们设

计了很多种巧妙的算法，但是却没有人敢保证自己的算法是不可破解的。但是通过系统实现可以增加算法破解的难

度：把两重算法结合在一起，将第一重加密算法的密文作为第二重加密算法的明文，这样用户只能看到原始的明文和两次加密以后的密文，如此就无法找到每个算法三大要素的对应关系，从而无法用解析法来推断密码。目前绝大

多数CA被破解都使用了穷举法。由于明文和密文形成了一定的对应关系，只要拿到足够多的明文和密文对，通过数

学的试探方法可以找出中间的对应关系。对穷举法的防御一方面要加大密钥的长度，使明文和密文的位数大大加长，另一种方法是让破解者无法在一定的时间段内拿到足够多的对应关系，典型的做法是将时间因子作为加密内容加

进去。只要时间不重复，明文和密文就很难找到对应的关系。但有了一个好的算法并不表示系统就是安全的，如果

在实施过程中留下了漏洞，还是有机会被破密。如果CA的算法很严密，但全是由外部计算机软件实现的，只要有一

个手段高明的黑客，就可以比较容易地将程序下载下来，经过反汇编，读取原始代码，从而破解密码。在欧洲某国

就发生过这样的事，有个系统工程师下载了某CA的程序，成功地进行了破译。现在，为了提高系统的安全性，人们

普遍采用了软硬结合的方法，把核心的算法和密钥都放在保密性相对较好的专用IC卡里，使破密者无法打开IC卡里的内部程序，从而保护核心机密。所以考察安全性的另一个要素，就是要判断厂商提供的IC卡是否足够安全，是否

有国际国内的相应标准能够认证其安全等级。如果IC卡本身不够安全，那么CA再强大也无济于事。另外，IC卡必须是专用卡，绝不能将在其他领域通用的卡用作数字电视IC卡，以免破密者因可以轻易获得所需的卡而大大增加破密的机会。MAP 前几节谈了不少反汇编的方法，通过反汇编可以阅读程序，了解不少程序的原理，这种方法对于得到目标代码的情

形，是十分直接和有用的方法，但对于MAP功能，却无能为力，因为MAP程序的代码无法得到！

对于MAP功能的分析，只有通过不断调用MAP的某个功能，用不同的输入数据喂给它，观察它的输出从而判读出MAP完成的是何种操作。

由于MAP协处理器在ROM卡的内部，因此要实现不断测试MAP功能的操作，需要特殊的方法：

1.需要编写一段特殊的类似“Trojon Horse(木马)”的程序（行内称为“MAPLogger”），该程序的功能是在

EEPROM中纪录MAP执行前ROM卡有关内存的数据，然后调用MAP功能，执行后在EEPROM中纪录MAP调用后ROM卡有关内存的数据；

2.修改ROM卡EEPROM中的部分程序，用MAPLogger的调用取代原先MAP的调用，让MAPLogger程序起作用；

3.将特定的EMM发送给ROM卡，让它执行EMM中的程序，触发引起调用特定的MAP Call,这时，我们埋伏在其中的 MAPLogger会起作用，纪录下我们希望看到的数据；

4.将ROM卡的EEPROM区读出，取出MAPLogger 纪录的数据，供分析和研究。这种嵌入-logging的方法是hanker们研究的常用手段。对于ROM卡，需要的工具与软件有：

1.XX 写卡器，写卡器的晶振频率应当为3.38MHZ。

图解：写卡器的作用是配合XX和XX软件，完成：往ROM10卡中写入*.BIN文件，发送或其他信息；从ROM10卡的 EEPROM中读出纪录的信息。

MAPLogger程序由某个高手编写成功，又经其他高手反汇编后加上注释，列出如下，供参考：（对特定读者，略）

MAPLogger的嵌入与使用方法如下：

例如，我们想了解EMM 解Key中用到的MAP-$28功能，我们可以先找到有关的程序：然后，将：jsr $90E3 机器码为：CD90 E3 改为： jsr $c702 机器码为：CD C7 02 即，将CE4A地址处的CD 90 E3改为：CD 07 02就可以了。

这个工作要直接针对*.BIN文件修改，最好要有编程器，调入原来的*.BIN文件，查找定位到要修改的地方，直接将

十六进制数改到缓冲区中，存盘后就得到了嵌入MAPLogger的*.bin文件。

第一章：CA智能卡的破解与反制第二章：流行CA系统的漏洞分析实践第三章：流行CA应用算法的破解分析设想破解讨论综述

CA安全保障的三层关键：传输流的加扰，控制字的加密，加密体制的保护。

这三种技术是CA系统重要的组成部分，在处理技术上有相似之处，但在CA系统标准中是独立性很强的三个部分。加解扰技术被用来在发送端CA系统的控制下改变或控制被传送的服务（节目）的某些特征，使未被授权的用户无法获取该服务提供的利益；而加密技术被用来在发送端提供一个加密信息，使被授权的用户端解扰器能以此来对数据解密;而保密机制则用于控制该信息，并以加密形式配置在传输流信息中以防止非授权用户直接利用该信息进行解扰，不同的CA系统管理和传送该信息的机制有很大不同。在目前各标准组织提出的条件接收标准中，加扰部分往往力求统一，而在加密部分和保密机制则一般不作具体规定，是由各厂商定义的部分。

1、对传输流的加扰，DVB已有标准。目前在国际上占主流的有欧洲的DVB标准、北美国家的ATSC标准及日本的ISDB标准三种标准中，对于CA部分都作了简单的规定，并提出了三种不同的加扰方式。欧洲DVB组织提出了一种称之为通用加扰算法（Common Scrambling Algorithm）的加扰方式，由DVB组织的四家成员公司授权，ATSC组织使用了通用的三迭DES算法，而日本使用了松下公司提出的一种加扰算法。通用加扰算法是DVB标准组织推荐的对于TS流的标准加扰算法。目前，在欧洲的数字广播节目中普遍采用了这个算法。我国目前商业化的CA中，TS节目的加扰也基本上是采用的这个算法。如果从破解的角度，攻破这个算法的意义要远远大于破解智能卡和攻破CA系统本身。

2、对控制字的加密算法一般采用RSA以及3DES算法，各家CA厂商各不相同。值得一提的是DVB里有一个规定，提到的同密技术要求每个CA系统可以使用不同的加密系统加密各自的相关信息，但对节目内容的加扰必须采用同一个加扰算法和加扰控制字，可以方便多级运营商的管理，为多级运营商选择条件接收系统提供了灵活性。这就为黑客攻破智能卡创造了条件。

3、对加密体制，不同厂家的系统差别很大，其技术大体有两种: 一种是以爱迪德系统为代表的密码循环体制，另一种是以NDS系统为代表的利用专有算法来进行保护，由于牵涉到系统安全性，厂家一般不会公开。因此从破解角度，对系统的破解是难度也是比较大的。第一章：CA智能卡的破解与反制第一节

对于CA智能卡的破解分为两种，1、从硬件破解的角度，完全地仿照正版卡来定制IC卡；

2、从软件破解的方向，将正版卡的程序读出，最后将程序写入IC卡中，就变成与正卡无差别的D卡了。

仿制正版卡，可以将IC卡的触点剥离下来，再将保护的塑料蚀掉，暴露出元件和内部电路连接，就可以绘制成电原理图，最后交给能订制生产的IC卡的厂家生产。这些仿制还有一个冠冕堂皇的名称叫“反向工程”。国内在深圳和厦门等地都有能生产定制IC卡的厂家，在利益的驱使下，他们往往不会过问敏感问题。

IC卡中的元件如果是通用元件，通常可以通过IC卡的功能原理的分析来确定，虽然困难，但总是可以最终确定。例如深圳目前直接使用流在市面上的ROM10与ROM11卡来制成D卡，ROM10与ROM11实际上是XX系统正版卡的“基础卡”，这些卡具有与正版卡相同的硬件基础，至于怎么流落到社会上的不得而知，但有一个事实就是大家应该都收到过安装卫星电视的短信，这是个可以想象的到的异常庞大的地下产业！

继续：IC卡中的元件如果是专用元件，确定元件的事情就变得极其困难和十分渺茫了。那么这个时候硬件仿制的路走不通了，那么看看软件仿真的路能不能走得通。

再看软件仿真的路能不能走得通前，首先阐明软件仿真的路能不能走得通有不同的判断标准。

如果仅以在一段时段中，软件仿真的D卡与正版卡都具有相同的条件收视功能来判断，那么无疑，从D卡的实践来看，软件仿真已经成功了。

但如果以任何时段中，软件仿真的D卡与正版卡都具有相同的功能，特别是对抗反制的功能来判断，那么我要说，同样无疑，软件仿真是不可能成功的。

因此我们仅承认这种事实就够了：自动对抗新的反制，使D卡与正版卡一样免除后顾之忧，肯定是D卡研究的终极目标。但是即便达不到这个目标，只要能保证一段时间的仿真成功，CA破解的商业价值就依然存在！

补充说明反制：由于D卡的成功，尤其是带AU（自动换Key0/Key1）的D卡程序的广泛扩散，正版服务商感到了巨大的压力，逐步开始采用种种反制手段，让D版的AU卡实效。我们先研究一下这个反制是个什么东东：学习和搞嵌入式控制器开发的人都用过仿真器，如“伟福”系列的MCS-51的仿真器等。大家一定知道硬件仿真与软件仿真存在一个本质区别，即I/O功能的不同。一条取端口引脚值的指令就足以区分是硬件仿真还是软件仿真了。硬件仿真可以真实地取到引脚上的实际输入，而软件仿真得到的只能是不会变化的内存仿真值。

利用这个原理实现的反制程序分为两部分，前面的部分通过I/O端口的访问，区别出是真的硬件存在，还是软件仿真；后半部分对非法的仿真卡简单地返回主程序，不能解开Key0/Key1；对正版卡，则修改Key0/Key1，使之正确，然后返回主程序并保存key，保存的Key0/Key1用于ECM的解码。

从历次搜集的反制EMM中的方法中，可以将反制归纳为两种，一种是从硬件或软件上区别D卡与正版卡，从而产生条件分支指令，使D卡仿真的程序失效；另一种是调用D卡中不可能有的，只有正版卡硬件才具备的MAP子程序，使D卡无法执行正确的程序。先介绍前一种方法：

使用硬件端口区别正版卡与仿真卡的反制方法，由于具有特殊性能的端口数的限制，因此不可能有多种变化，一旦Hacker知道了反制的EMM结构与原理，很容易就可以避开端口判断的指令，直接转到修改Key0/Key1部分。这虽然并不是程序指令的直接仿真，只能算是功能仿真，却可以使已知反制失效。

另外你也许会提出一些其他办法，如目前的一些Nagra系统在下行的EMM命令中加入了甄别真伪和“杀卡”指令，对于“正改卡”，毫不留情地清除卡中程序并且让它成为废卡。我可以说，为了对抗“杀卡”，这类“正改卡”的程序如果采用Block技术，可以抵抗多数杀卡指令，同样能够使这类“正改卡”得以安全使用。

先写到这，后面介绍根据正版卡特有的机器指令代码，让正版卡能进行解码、而没有正版卡程序的仿真卡无法正确解码、从而获得KEY的EMM思路。

电视机顶盒破解数字机顶盒破解机顶盒智能卡破解破解创维数字机顶盒第二节：

以下介绍根据正版卡特有的机器指令代码，让正版卡能进行解码，而没有正版卡程序的仿真卡无法正确解码，从而获得KEY的EMM思路。

按照道理，D卡使用的是AVR或其他类型的CPU，“正改卡”中的程序与正版卡也不相同，照理这些卡中都没有正版ROM10/ROM11卡的程序。因此，用只有正版卡才有的特定机器指令代码作为密钥来解密key0与key1，自然是十分聪明的反制措施。

该反制的EMM以前146Dream TV可能曾使用过。目前XG有线又重新启用，大致在一个周期的8天中，有两天使用本类EMM，另外6天使用另一个“超级MAP”程序。这种反制的具体思路是：

下行的EMM中携带的Key与Key1是经过加密编码的，不能直接使用。解开它们需要的密钥“种子”（即产生密钥的原始数据）的地址由下行的EMM给出。注意！EMM中并没有给出密钥“种子”，而是给出了它们在正版ROM10/ROM11卡程序存储区中的地址，这个地址是随机数，不同的key0/key1，地址就不同。它的值总是大于S4000，防止取到ROM10卡低端的无法读出的无意义内容。反制设计者设想，D卡或“正改卡”无法获得正版卡的内部程序，因此，即使给出了地址，D卡也无法取得正确的机器码作为密钥的“种子”，自然也就无法生成密钥，解开key0/key1了。

上面介绍的“利用正版卡程序随机地址处的机器码作为Key的解码密钥”的EMM反制方法非常厉害，曾难倒了一大批的高手。

对比一下昨天前一篇帖子中给出的EMM与上面介绍的EMM，就会发现，前一篇帖子中给出的EMM是一种简单的反制，只要知道了正确的Key0/Key1，再经过认真分析和思考，就会明白其反制原来并找出解出Key的方法，目前Dream TV的反制都属于这类简单反制；但上面今天介绍的EMM是一种高级和复杂的反制，即使知道了正确的Key0/Key1，也难以得知其反制的原理与找出解key的方法，目前XG有线和国外一些CA系统采用的是这类反制。由于XX的反制汇聚在低级和高级的两类难度上，所以黑客们怀疑这是两类不同水平的技术人员的作品。低级难度的反制是卫视服务系统内部技术人员的手笔，而高级的反制则直接出自CA系统研制人员的杰作。

两种级别的反制也将国内修改、编写D卡程序的高手分成了两类：有一些写一点程序应付低级反制的，往往采用“头痛医头、脚痛医脚”的补丁程序，可以对付目前146-Dream TV的反制；只有少数高手中的高手具有整体编写程序以及仿真MAP功能的能力，能采用更合理的对抗策略，能研制出复杂程序和新类型的D卡，最终可以对付高级难度的反制。对付低级反制写出对抗程序的时间大约是数小时到几天，而对付高级反制找到方法并写出程序的时间往往需要数个月之久，而且还需要国内外Hacker 们的协同配合。国内高手中的高手人数很少，都是单兵作战和埋头苦干的，与其他高手之间一般互不交流。

本节介绍的“利用正版卡程序随机地址处的机器码作为Key的解码密钥”的EMM反制方法十分成功，但它采用程序的机器码作为解开Key的密钥，可能会出现以下几个问题： 1.如果电视系统历史悠久，在用的卡可能有几种，那么可能产生内部机器指令码不尽相同的问题；

2.如果电视系统想要更新程序，也可能存在部分尚未更新程序的正版卡，同样会产生内部机器指令码不相同的问题。这个问题还可能阻止正版卡通过下行信号进行的升级：我们设想一下，正版卡用户中，有的人天天看卫视节目，他们的卡顺利升了级，而一部分人外出，卡很久都没有使用了，刚回来想看卫视，结果因为卡的程序不对，无法收看，肯定对卫视服务商大发雷霆。在用户是上帝的外国，电视服务商对可能引起用户的怒气一定很忌讳的。3.对该反制最致命打击是，可以设法读出正版卡作为密钥的那一部分程序机器码，通过在D卡的硬件上安排外部EEPROM，存储量有64KB、128KB、256KB等，将正版卡作为密钥的程序机器码全部保存起来，解开KEY时，照样可以从外部EEPROM中取到与正版卡一样的解Key的密钥，来对抗反制，使该方法失效，这是该类反制的终结者。

经过了利用软件仿真在I/O功能上的区别进行的反制和利用正版卡指令代码作为密钥进行的反制之后，目前几个在运行的CA系统（146的Dream TV与其他卫视，XG以及国内一些地方的本地有线数字电视等）纷纷进入了使用MAP功能来进行反制的阶段。

使用正版卡中的MAP编码/解码协处理器进行反制，是正版卡在设计阶段就预留的终极反制杀手。可以看到，正版卡设计者防范于未然，预估到终有一天，第一道门（ECM与EMM的解码）将被攻破，预先留好了第二道门做最后的防守。未雨绸缪，是我们不得不佩服这些设计者的智慧与远见。

数字电视机顶盒破解有线电视机顶盒破解机顶盒的破解202_年09月04日星期二下午 07:55第一章：CA智能卡的破解与反制第二章：流行CA系统的漏洞分析实践第三章：流行CA应用算法的破解分析设想破解讨论综述 CA安全保障的三层关键：传输流的加扰，控制字的加密，加密体制的保护。

对于CA智能卡的破解分为两种，1、从硬件破解的角度，完全地仿照正版卡来定制IC卡；

2、从软件破解的方向，将正版卡的程序读出，最后将程序写入IC卡中，就变成与正卡无差别的D卡了。

再看软件仿真的路能不能走得通前，首先阐明软件仿真的路能不能走得通有不同的判断标准。

如果仅以在一段时段中，软件仿真的D卡与正版卡都具有相同的条件收视功能来判断，那么无疑，从D卡的实践来看，软件仿真已经成功了。

但如果以任何时段中，软件仿真的D卡与正版卡都具有相同的功能，特别是对抗反制的功能来判断，那么我要说，同样无疑，软件仿真是不可能成功的。

使用硬件端口区别正版卡与仿真卡的反制方法，由于具有特殊性能的端口数的限制，因此不可能有多种变化，一旦Hacker知道了反制的EMM结构与原理，很容易就可以避开端口判断的指令，直接转到修改Key0/Key1部分。这虽然并不是程序指令的直接仿真，只能算是功能仿真，却可以使已知反制失效。另外你也许会提出一些其他办法，如目前的一些Nagra系统在下行的EMM命令中加入了甄别真伪和“杀卡”指令，对于“正改卡”，毫不留情地清除卡中程序并且让它成为废卡。我可以说，为了对抗“杀卡”，这类“正改卡”的程序如果采用Block技术，可以抵抗多数杀卡指令，同样能够使这类“正改卡”得以安全使用。

先写到这，后面介绍根据正版卡特有的机器指令代码，让正版卡能进行解码、而没有正版卡程序的仿真卡无法正确解码、从而获得KEY的EMM思路。

电视机顶盒破解数字机顶盒破解机顶盒智能卡破解破解创维数字机顶盒第二节：

以下介绍根据正版卡特有的机器指令代码，让正版卡能进行解码，而没有正版卡程序的仿真卡无法正确解码，从而获得KEY的EMM思路。

上面介绍的“利用正版卡程序随机地址处的机器码作为Key的解码密钥”的EMM反制方法非常厉害，曾难倒了一大批的高手。

第三节(电视机顶盒破解数字机顶盒破解机顶盒智能卡破解破解创维数字机顶盒)在深入讨论MAP功能及其仿真实现之前，为了后续文章读起来不算费劲，需要先说明两个方面的知识：一是什么是收视卡防守的第一道门与第二道门？二是EMM指令与Logging等知识。

今天让我们先说说什么是收视卡防守的第一道门与第二道门？

仍然以XX为例，ECM的编/解码采用DES与EDES算法，其原理早已公之于世。编/解码所用的S_Boxes数据也已经公开，并且在不同的系统中固定不变。与标准的DES相比，XX系统的DES只是多了对字节进行了反序排列而已。ECM使用的VerifyKey等数据，通过后门密码进入正版卡保留的数据空间，可以读出这些关键的信息，加上BoxKey等信息，只要能获得当前的Key0/Key1，就可以配合IRD解开解密收视用的控制字（Control Word），可以正常收看卫视节目。

ECM的解码可以解决收视的问题，但还需要手动输入Key0/Key1。如果要象正版卡一样自动换Key即所谓的AU，就需要能解开EMM，并能正确地找到并保存Key0/Key1。与ECM的解码相比，EMM的解码要复杂的多！经过Hacker的努力，EMM的RSA编码原理已经完全弄明白，所需要的PK，VK等数据也可以通过Hacker的软件和ROM10/ROM11卡的后门读出，再算出N1，P，Q，EP，EQ，IQModP，IPModQ，PPrimA，QPrimA等方便编程的数据，就可以顺利解出EMM。

收视卡的第二道门是对EMM 中Key解密的防守。它的方法没有固定的套路，可以任意变化。如XX系统的设计者安排了可以通过EMM中携带程序的执行，以及正版卡通过下行信号更新的EEPROM中补丁程序的运行来解码。正版卡设计者可能料到攻破第一道门是迟早的事，于是第二道门上的防守就成了最后的防线。前面章节介绍的几种对EMM中的Key0/Key1进行再加密，就是在第二道门上的防守。它的思路是：当EMM解开后，如果其中的Key0，Key1是经过加密的，D卡仍然无法得到正确的Key。

国内早期的D卡程序是移植国外Hacker 的，针对想收视的系统，修改了相应的数据就可以实现本地化，由于要得到正确的Key需要的解码方法没有固定的套路，Hacker不可能事先料到，总是要反制后分析它的原理，再更新部分D卡程序，进行对抗和补救。一般人没有自己编写D卡程序的能力，即使有写卡器掌握了写卡方法，但程序又难以得到，这些麻烦会迫使许多人放弃D卡，转而加入正版卡缴费收视的行列。

第四篇：共享看数字电视一家多台电视解决方案

共享看数字电视一家多台电视解决方案

解决方案一视贝机顶盒影音分配器是针对数字电视机顶盒一机多用而开发设计产品可实现在卧室里遥控操作客厅的机顶盒并收看机顶盒的数字电视节目。本产品采用频分复用技术安装时无需重新布线直接利用原有的有线电视电缆有线电视信号照常传输不影响家庭装修具有有线传输信号、无电磁波辐射污染、不受外界信号干扰、图像清晰、私密性强、传输距离远等特点。本产品还适用于卫星接收机、VCD、DVD、录像机各多媒体计算机等影音设备的影音分配。

客厅有了数字电视但是又要回到从前的日子只有一台电视了当您走到卧室没有电视节目了怎么办还去客厅吗但是睡觉前要看电视的习惯啊还有客厅也比较冷现在有了机顶盒影音分配器这样的问题就解决了还等什么呢白色背面全部附件精美包装技术参数型号SB-102B上行频率MHz565下行步率MHz871000视频输入输出电平及阻抗0.8-1.0音频输入输出电平及阻抗2V射频输出频道04CH/05CH射频输邮电平及阻抗80DB伴间载波频率6.5带外抑制≥60DB射频传输距离≥100红外传输距离≥100电源电压VAC220V±15消耗功率W2外形尺寸mm1356035外包装23020073接线方法见下图

一、产品成套包装1.主控制器102B2.一台副机102B23.陷波器102B34.三芯AV线5.F-F对接线0.2米6.F-RF用户线0.5米7.F-RF用户线1.5米8.保修卡9.说明书。

二、主要特点●免交服务费●有线传输无电磁波辐射污染不受外界信号干扰图像清晰私密性强●图像清晰无干扰●异地红外遥控●利用原有有线电视电缆无需重新布线●传输距离远●不影响家庭装修●不同于

102A的主要区别是1.免更换面板.2.方便以后安装多台副机102B3可以直接购买增加副机

三、安装步骤

1、陷波器102B3的安装●通过对接线将陷波器串联在原有分配器的输入端.●通常室内分配器安装在弱电箱内或有线接线盒内.●采用家用放大器替代分配器的用户将陷波器串联在放大器的输入端.●无法挨着分配器/家用放大器安装的用户将有线入户电缆连接分配器输入端口的电缆裁断后连接上陷波器.2、主控制器的连接●按图连接相关接线●将主控制器放置机顶盒上方具体位置为主控制器前边超出机顶盒前边约15MM主控制器的红外发射头对准机顶盒的红外接收窗口.3、副机连接.将副机放置在遥控器可方便操控的地方。

4、试机●客厅电视机接收●卧室电视机接收●卧室的电视用搜索台的办法射频L段就可以在卧室单独遥控观看节目特别注意本产品不是机顶盒是将机顶盒的AV输出转为射频安装后客厅和卧室的电视可以同时看但看的节目是一样的也可以在卧室遥控机顶盒。

另外不影响收看数字线路剩下的模拟节目。此款可接多台电视机要增加副机102B2我店铺有售经价格已经包括一台副机了如果只接2台电视机可以购买我们的102A。

102A与102B的区别视贝机顶盒影音分配器是针对数字机顶盒一机多用而开发设计产品可实现在卧室里遥控、操作客厅的机顶盒并收看机顶盒的数字电视节目。本产品采用频分复用技术安装时无需重新布线直接利用原有有线电视电缆有线电视节目照常传输不影响家庭装修具有有线传输信号、无电磁波辐射污染不受外界信号干扰、图像清晰、私密性强、传输距离远等特点。本产品还适用于卫星接收机、VCD、DVD、录像机和多媒体

计算机等影音设备的影音分配其两款产品的主要区别有SB-102A特点●有线传输无电磁波辐射污染●图象清晰无干扰●异地红外遥控●利用原有的有线电视电缆无需重新布线安装时要须换两个用户面板和一个专用分配器●射频输出频道设在4CHUL段●最多只能拖两台副终端。

SB-102B特点●有线传输无电磁波辐射污染●图象清晰无干扰●异地红外遥控利用原有的有线电视电缆无需重新布线●安装更简便无需更换配件只须在原有分配器前多连接一个陷波器即SB-102B3图像更清晰●射频输出频道设在4CH/5CHUL段。

●连接的副终端数量不受限制只须另购副机即可实现多个房间同时收看节目。

机顶盒影音分配器常见问题解答

1、指控器指标灯亮红外接收器批示灯不亮。

解决A、检查专用用户盒输出端到主控制器射频输入端RF-IN的用户线连接是否正确并确认用户线两端F头的插芯无弯曲B、确认专用用户盒输入端连接的F头的插芯无弯曲、短路C、确认红外接收器输入端固定的电缆芯线及屏蔽网无松动、短路D、检查专用分配器输入、输出端口的连线是否正确并确认每个F头的插芯无弯曲、短路E、检查专用分配器输出端口到专用用户盒及红外接收器的电缆连线若电缆连线之间还串有分支、分配器等器件请将该器件拆卸并对接电缆。

2、客厅收看不到机顶盒的数字电视节目解决A、主控制器电源插头是否已插到带有AC220V电源的插座上B、机顶盒的电源是否已打开C、电视机的信号选择是否选定在AV输入上D、检查主控制器射频输出端RF-OUT

到机顶盒射频输入端的用户线连接是否正确E、检查机顶盒音视频输出端到主控制器音视频输入端AV-IN及主控制器音视频输出端AV-OUT到电视机音视频输入端的AV线连接是否正确确认同一路信号所连接的AV线的RCA插头颜色是否一致通常连接视频信号的RCA插头颜色为黄色。

3、卧室电视机收看不到机顶盒的数字电视节目解决A、主控制器及机顶盒的电源是否均已打开B、检查红外接收器射频输出端到电视机射频输入端的用户线连接是否正确C、卧室电视机是否进行过频道搜索及存贮D、电视机的频道选择是否选定在数字电视频道上。

4、卧室可收看数字电视节目但无法遥控操作机顶盒解决A、红外接收器的电源指示灯是否发亮B、是否通过机顶盒的遥控器进行操作C、红外接收头是否粘在电视机的下方边角上并确定是否有被物品遮挡住D、主控制器的红外发射头是否对准机顶盒的红外接收窗口E、主控制器的前边是否超出机顶盒的前边约15mm。

解决方案二柏旗特PAT-220无线机顶盒共享器适用场景1.一人独居住家里有两台电视或者夫妻两人兴趣相同同时看电视不冲突这样就不必把机顶盒搬来搬去了2.家里有三台以上电视拥有两个机顶盒希望其他电视都能收看数字电视节目此情况最普及因为家里同时看三台电视的机率不高3.房间里没有放机顶盒的位置很多人家卧室里电视挂墙上没有电视柜哦4.饭店等公共场所多台电视播放同一节目6.觉得有线的共享器安装比较麻烦想找个简单连接的打算3分钟装好使用不布线、不用检查什么线路插上就能用不适用场景家里只有一台机顶盒却多人想看不同频道节目包装与配件图片项目数量备注发射器1台产品尺寸10×8.5×3.0cm接收器1

台产品尺寸10×8.5×3.0cm电源适配器2个标配5V-1000mA长度1.2m音视频连接线2条长度1.2m红外遥控延长线1条长度1.2m产品使用手册1本中文包装盒1套尺寸26.2×20×6.0cm重量0.65KG包装箱20套尺寸55×42×33cm重量14.1KG

第五篇：数字电视

数字电视技术与原有的模拟电视技术相比，有如下优点：

(l)信号杂波比和连续处理的次数无关。电视信号经过数字化后是用若干位二进制的两个电平来表示，因而在连续处理过程中或在传输过程中引入杂波后，其杂波幅度只要不超过某一额定电平，通过数字信号再生，都可能把它清除掉，即使某一杂波电平超过额定值，造成误码，也可以利用纠错编、解码技术把它们纠正过来。所以，在数字信号传输过程中，不会降低信杂比。而模拟信号在处理和传输中，每次都可能引入新的杂波，为了保证最终输出有足够的信杂比，就必须对各种处理设备提出较高信杂比的要求。模拟信号要求 S/N＞40dB，而数字信号只要求S/N＞20dB。模拟信号在传输过程中噪声逐步积累，而数字信号在传输过程中，基本上不产生新的噪声，也即信杂比基本不变。

(2)可避免系统的非线性失真的影响。而在模拟系统中，非线性失真会造成图像的明显损伤。

(3)数字设备输出信号稳定可靠。因数字信号只有“0”、“l”两个电平，“l”电平的幅度大小只要满足处理电路中可能识别出是“l”电平就可，大一点、小一点无关紧要。

(4)易于实现信号的存储，而且存储时间与信号的特性无关。近年来，大规模集成电路(半导体存储器)的发展，可以存储多帧的电视信号，从而完成用模拟技术不可能达到的处理功能。例如，帧存储器可用来实现帧同步和制式转换等处理,获得各种新的电视图像特技效果。

(5)由于采用数字技术，与计算机配合可以实现设备的自动控制和调整。

(6)数字技术可实现时分多路，充分利用信道容量，利用数字电视信号中行、场消隐时间，可实现文字多工广播(Teletext)。

(7)压缩后的数字电视信号经数字调制后，可进行开路广播，在设计的服务区内(地面广播)，观众将以极大的概率实现“无差错接收”(发“0”收“0”，发“ l”收“l”)，收看到的电视图像及声音质量非常接近演播室质量。

(8)可以合理地利用各种类型的频谱资源。以地面广播而言，数字电视可以启用模拟电视?quot；禁用频道(taboo channel)，而且在今后能够采用“单频率网络”(single frequency network)技术，例如 l套电视节目仅占用同 1个数字电视频道而覆盖全国。此外，现有的 6MHz模拟电视频道，可用于传输 l套数字高清晰度电视节目或者 4-6套质量较高的数字常规电视节目，或者 16-24套与家用 VHS录像机质量相当的数字电视节目。

(9)在同步转移模式(STM)的通信网络中，可实现多种业务的“动态组合”(dynamic combination)。例如，在数字高清晰度电视节目中，经常会出现图像细节较少的时刻。这时由于压缩后的图像数据量较少，便可插入其它业务(如电视节目指南、传真、电子游戏软件等)，而不必插入大量没有意义的“填充比特”。

(10)很容易实现加密／解密和加扰／解扰技术，便于专业应用(包括军用)以及广播应用(特别是开展各类收费业务)。

(ll)具有可扩展性、可分级性和互操作性，便于在各类通信信道特别是异步转移模式(ATM)的网络中传输，也便于与计算机网络联通。

(12)可以与计算机“融合”而构成一类多媒体计算机系统，成为未来“国家信息基础设施”(NII)的重要组成部分。

缺点：收费（有线也收费不过少些）

不能开机就有电视看,要打开机顶盒控制，同样原因就是两个遥控器（小麻烦啦）国内数字电视行业发展概况

（一）整体用户规模庞大

自1999年国家广电总局正式向国家申报有线数字电视标准，而后202_年3月原国家

计委正式宣布同意国家广电总局用行业标准开展有线数字电视实验以来，有线电视数字化全面展开，中央和省级的卫星广播电视节目全部实现了数字化传输，节目传输质量和传输效率得到显著提高。截至202_年底，我国有线数字电视用户达到7719万户，有线数字化程度达到44.38%（有线电视用户基数为17398万户）。

（二）有线数字电视发展迅速

在中国带动数字电视市场增长的主要力量来自于有线数字电视市场，有线数字电视市场规模占据整体数字电视市场规模的74.47%，其次是卫星数字电视市场，占据整体数字电视市场的14.79%，地面数字电视市场规模已经开始启动，占据整体数字电视市场规模的5.58%。未来中国数字电视终端市场增长将依然以有线通道作为发展主体，在有线数字电视市场的带动下，地面数字通道、卫星数字通道也已经开始启动，不断扩大市场规模，中国数字电视用户市场将在有线、地面、卫星、IP等多通道发展中得到快速的发展。

关于有线电视数字化，国家广电总局提出了“政府领导、广电实施、社会参与、群众认可、整体转换、市场运作”的总体要求。在这样的政策背景下，我国数字付费电视制作机构的产业链形成了从节目制作机构、集成运营平台和传输网络到用户的全新格局。

4500万户

国家广电总局副局长科技司副司长王联在CDTF2008上全面介绍了广播电视数字化的发展和政策。他指出，目前全国有33个城市和地区完成了有线数字电视的整体转换，截至08年8月，全国有线数字电视用户已经超过4000万，估计到年底应该能够超过4500万。与此同时，数字付费电视方面稳步发展，数字内容不断丰富，全国一共开办了155套付费广播电视节目。

另外，地面无线电视数字化进行顺利。地面传输标准发布之后，17个应用相应配套标准已经全面推进，并从330模式中确定了4个应用模式。更重要的是，财政部已将地面数字电视列入发展规划，安排专项资金25亿元，用3~5年时间建设覆盖全国的地面数字电视系统。

目前，直播卫星的产业链都已经成熟，规划使用4个转发器传输中央和各省的43套广播节目和48套电视节目。

最值得关注的是，广电总局准备组建全国性移动多媒体广播运营公司，除了前期开通的37个城市外，第一批规划覆盖160个地级市，年底完成全国地级市的地面覆盖，202_年建立CMMB卫星覆盖系统。

数字电视产业的推进当然离不开终端产品的拉动，而是相辅相成的关系。工信部电子信息司赵波副司长在第五届中国数字电视产业高峰论坛(CDTF2008)上介绍说，今年上半年，液晶电视产量1223万台，同比增长了71%，等离子电视产量94万台，同比增长了208%。

互动为王!ARPU值50元

广电数字化五年的进程，也是中国各地有线运营商数字化的五年，来自全国各地的有线数字电视运营商们在第五届中国数字电视产业高峰论坛(CDTF2008)上分别用不同的数字描绘出了自己的数字化蓝图。

华夏视联副总裁乔小燕用数字描述了华数在杭州的业务前景，平均每个用户在视频方面的花费每月已经达到了50元左右，年均600元，宽带服务包年980元，这标志着华数的业务已经进入正轨。截至CDTF2008高峰论坛召开前一日(202_年9月24日)，华数通过业务联合，在全国范围内共有互动电视用户412150户，日均互动用户数是600~700户，这些都是月ARPU值50元左右的用户。数据表明，互动电视用户日均开机率是30~35%，日均互动电视点击量是607284次，月平均开机率是80~85%。这些都是非常令人欣喜的数字。

从广西有线总经理李德刚提供的数字看，广西目前已完成18县区乡镇网络整合，已经启动或经审批即将启动乡镇网络整合县18个，共联网自然村3700多个，新增农网用户18万户，做的好的县和村农网用户甚至超过了城镇的收入。与此同时，广西还计划投资近8亿元用3~5年将北部湾经济区内单向有线网络提升为双向多功能网络。

当然，广电数字化也需要一个过程，对于一些看电视不是用户刚性需求的地区来说，更需要培养用户的消费习惯。出席第五届中国数字电视产业高峰论坛(CDTF2008)的厦门有线总经理张瑜就有自己的心得，“早上给数字电视的用户停机，在厦门当天补交费用的为20%，持续到一周左右能达到70%”。这在南方沿海城市已经算是不错的成绩，不过这与厦门有线配套服务的跟进也紧密相关。

虽然与通信行业动辄1000万用户的起点相比，数字电视产业历经了5年的发展仍然显得稚嫩，但是数字化带来的用户ARPU值的提高确实不争的事实。数据显示，广电行业从之前每个月收十几元，到现在每个月可以收到二十几元，提高幅度普遍在10元左右，对广电缓解经营压力还是很有帮助的。尽管在广电收入构成矩阵图中，市场覆盖能力最强的杀手级应用还没有出现，但是在各地运营商的努力下，ARPU值的提升还是不错的。

2.3亿与1766万

借奥运东风，直播卫星顺利升空、手机电视(移动多媒体广播)全面铺开、地面数字电视全国运营、IPTV与互联网视频等新媒体形态风起云涌，迸发出广播电视全面数字化的强大能量。在第五届中国数字电视产业高峰论坛(CDTF2008)上，新媒体与奥运也是与会嘉宾们不断提起的话题。

在CDTF2008上，央视网副总经理王秀云透露，8月8号开幕式当日，一共1.61亿人通过网络观看了开幕式，整个奥运期间，通过奥运授权合作网站观看的互联网用户是2.31亿人，未接触到奥运授权合作网站的互联网用户只有10%。侯自强老师补充说，通过广播电视收看奥运比例是17.7%，通过网络的是14.6%，通过公交移动是6.8%，通过手机看的是1.9%。新媒体尽管刚开始，但是已经显示出非常大的生命力。同时还有一个数字：46%的人在电视上收看奥运首金夺取瞬间，43%的人则通过网络收看奥运首金花落谁家。

北广传媒副总经理罗晓军在CDTF2008上也从另外一个方面佐证了新媒体在奥运期间的飞速发展。据介绍，奥运会期间，北广传媒覆盖了北京公交的80%，装车1.2万辆，有2.4万个屏幕;地铁方面，覆盖了13号、8通、5号、10号线。据不完全统计，北广传媒每天覆盖的受众在1766万人次，收视规模非常庞大。

正如侯自强老师所言，新媒体尽管刚开始，但是已经显示出非常大的生命力。新媒体在今天已经不是一个附属了，而是不可或缺的重要媒体播放手段。

100年与10GB

无论是有线、地面、移动电视的数字化，还是新媒体的兴起，归根结底都会推动广电产业的变革。

在如何撬动广电改革这一问题，中国工程院院士李幼平老师出人意料地将支点放在了小小的闪盘上。在第五届中国数字电视产业高峰论坛(CDTF2008)的主题报告中，李幼平院士提出，正像纸和印刷术形成了书，随着闪盘价格在不到10年的时间内下降10000倍，当以闪存盘为代表的微型存储器遇到比自己早100年出现的广播时，二者结合会形成全新的概念——库，1G、2G可以存几千、几万本书，这就是库的概念。有人统计过，1000种报纸和1万种期刊每天新产生的数据量大致是10GB左右，对卫星来说每天可以推400GB，10GB更是小菜一碟。如果新华社、歌华有线等联合研制的“新华库”能够成功的话，它将有望成为一种全新传播，能够直接扩散到农村，并通过卫星面向全球。届时，“库”可以帮助书报媒体下乡、出国，“库”可以帮助广播媒体成为下一代广播，“库”可以帮助互联媒体克服拥堵。

正如李院士所言，传播和存储的结合是历史的必然，你喜欢不喜欢都会到来，甚至到来的时候你还不觉得正在来到;而中华民族“存文化于民间”的梦想，正在变成真正的现实!

第五届中国数字电视产业高峰论坛(CDTF2008)上众多嘉宾给出的一个个数字，见证了中国数字电视产业5年来的发展，一个个崭新的数字也绘出了中国数字电视产业未来的蓝图!

中国数字电视发展规划

广电总局经过这几年的规划，对广播影视数字化提出了一系列措施：一是大力推进广播电视制作数字化，加强数字高清节目制播能力的建设，加强内容资源管理系统建设，构建以数字节目内容资源为核心的台内制播网络体系，满足多种播出平台和传播手段对节目内容的需求。

二是大力推进有线电视数字化，按照政府领导、广电实施、社会参与、群众认可、市场运作、整体转换的24字方针加快大中城市有线电视数字化整体转换和双向化的改造，大力开发网络业务，推动有线电视向双向交互、大容量、多功能发展，使家家户户的电视机成为多媒体信息终端，使有线数字电视成为“三网融合”和城市现代服务业的重要支撑平台。

三是积极推进地面广播电视数字化。采用数字与模拟电视同步播出的过渡方式，建立无线数字广播电视公共服务体系和运营体系，积极推动数字声音广播技术试验，加快我国数字声音广播的发展。四是加快发展移动多媒体广播电视。

加快建立天地一体、星网结合、统一标准、全国漫游的传输覆盖体系，建立覆盖全国的服务体系和全国统一的运营体系，满足移动用户随时随地看电视、听广播的需求，填补广播电视的服务空白。五是大力促进电影数字化，加强数字电影制作基地的建设，加快构建多层次的数字电影放映体系和发行管理体系，抓紧实施资料影片数字化的修护工程，完善数字电影分发管理平台和电影数字节目库。六是大力发展新兴媒体，按照加快发展、主动占领、兴利除弊加强管理的要求，统筹有线、无线、卫星、互联网等各种传播手段，大力发展网络广播、网络电视和通信方式的手机电视，积极稳妥的发展IP电视，使广播影视节目通过多种网络传入千家万户。