转贴：南京有线，我的CA破解过程

南京正在进行有线数字电视改造，我家也难逃广电的魔爪，逼着塞给你一个机顶盒，收视费也增加到24块钱。这算不算强制消费啊，何况我家里有三台电视机啊？拨了N次96296后，96296真是巨难打的客服电话，问了下南京有线客服MM，每户免费赠送一个机顶盒，但是同一用户第二台机顶盒开始就要自行购买，三台机顶盒之内基本收视费是24元。如果定购了付费频道，则要为每台机顶盒单独付费。

我定购了一套付费频道，但是其他两台机顶盒却只能收看60多套免费节目。如果让另外两台机顶盒也能收看到我定购的付费频道，则意味着我要支付三倍的收视费！！！！**

嘿嘿，这个难不倒咱，捣鼓了几天，研究CA小有成果，拿出来给分享下。

机顶盒加密系统称之为条件接受系统（Contional Access），南京广电说的CA系统就是它了（上网查了下，是永新同方的）。付费频道实际上就是CA加密的频道，必须经过广电授权才能够解密。MPEG2码流经过通用加扰器加扰后，需要密钥进行还原，这个密钥就是CW（Control Word）。不同家CA的解密过程就是对CW复原，并把它传送到机顶盒解扰器。

图1 南京广电机顶盒解码原理



在图1 中，机顶盒通过高频头收下来是加扰并复用过的TS，首先机顶盒对它进行解复用（Demux），并提取出其中的加密过的ECM、EMM传送给IC卡，IC卡计算出CW控制字后传送给解扰器，解扰器根据控制字还原加扰码流，输出清流，也就是没有加密的码流传递给解码器，供解码器进行MPEG2正常解码。CW一般为8个字节，每隔5－10秒钟更换一次。

从上面的CA解密原理中可以看出其中可能存在的安全漏洞。在IC卡的条件接收系统传递CW的这个过程中，是可能被攻破的。

一般来说，IC向解扰器传递CW有三种可能：

第一种情况：直接传递明文。

这种情况最简单，只要把CW捕捉下来传递给其他机顶盒即可。

第二种情况：加密传送，密钥与机顶盒号无关。

这种情况也简单，直接传递CW密文即可。

第三种方法：加密传送，密钥与机顶盒号相关。

这种方法非常复杂，一定要推算出它的加密方法才行。按照现在通用的加密算法，如RSA或者DES，要推算出它的CW几乎是不可能的。

我在电子市场上买了个读卡器，稍加改造，截取CW并通过RS232发送到我的PC上。图2为PC捕获到的同方CA回传的控制字。

图2 PC机截取的CW控制字



在图2中可以看出，可以看出它的CW是没有加密的（够笨的^_^），而且差不多10秒钟换一次。

已经分析得差不多了，下面问题的关键就是捕获到CW，并把捕获到的CW传送给其他机顶盒，就大功告成了。哈哈哈。经过连续几周的折腾，基本搞定了破解方案。

图3 南京CA破解方案



（1）在电子市场买了一个读卡器，改装成一张CW捕捉卡，它的作用是将IC卡（条件接受系统）中回传信息拷贝并发送到RS232接口。

（2）PC机接收发送过来的CW信息，显示在屏幕上，并通过局域网UDP组播协议发送到其他未授权机顶盒。

（3）最后，这也是最复杂的一个部分，需要做一个CW接收卡。它的作用是通过IP网口接收UDP传送过来的CW，并通过ISO7816接口传送给机顶盒。说白了，就是复制了一张CA卡。

万事具备、只欠成功了！！

需要注意的是，一定要使用非同方CA的机顶盒，这是本大侠鏖战2个礼拜的成就。原因是装有同方CA的机顶盒在开机时候与智能卡之间做了一个掩耳盗铃的伪配对。一旦避开这个过程，配对就不发挥作用了。哈哈哈。现在我们家的三台电视都可以正常收看到付费频道了。

图4 南京CA破解实物照片