EMM是“授权控制命令”，简单说就是“更改收视卡中信息的命令”。现有系统如XX系统中的EMM命令很多，EMM指令中的FA（针对ROM10卡）和FB（针对ROM11卡）是所有EMM指令中功能最为强大的指令。在该指令中携带了6805指令写的小段程序。CAM（收视卡）将EMM解码后，将该EMM携带的机器指令码存入正版卡从S81开始的固定地址。以子程序调用的方式，转到该地址，执行这段程序。这段程序的结束可以只是一个简单的子程序返回指令，也可以用转移指令转到保存Key的子程序去。前者一般不保存Key，后者才保存Key。 : i. r* a& [5 K5 G' u. O

& g& Y6 h5 z( Q/ F+ Y, y7 \4 V& n- _% k$ v% C8 x

7 c; J. o% X# c; c  _: |
+ t2 h, E# T) |7 H: {) U还以XX系统为例，其EMM长度最大为64字节，既要包含Key0/Key1和一些标识与过滤指令，又要包含一小段程序。受到大小的限制，程序的长度不能超过37个字节。对于复杂的解码反制，程序很长时，一般通过下行的信息将大部分的程序写到正版卡的EEPROM中，由EMM中的小段程序来调用，正如XG有线当前的反制所采用的方法。对于二次加密了的Key0/Key1，只有正确执行该段程序后，才可以还原Key0/Key1。
; H# P9 [5 B& G" F6 A# A! {3 H( {/ x* c
防止D卡正确执行该部分程序是不难做到的，实际上，由于D卡采用的CPU不是6805家族的，D卡也不直接执行该段程序，但防止D卡研制者人工判读该段程序却是极端困难的。
0 T* g7 T4 n& E
. L' V0 r& i1 ]  L如果D卡研制者采用人工判读的方法，读懂了新的EMM的反制原理，找到对抗反制的方法，那么就可以在反制后的不长时间内研制出升级改进的对抗程序。这些程序通常会放到专业的黑客网站上开放给众多黑客会员下载，具体地址本文就不讨论了，只是要说明这些网站确实存在，而且很活跃，这也是对DVBCN论坛上CA厂家的那些穿着皇帝新装的抢手最大的一个讽刺，说什么“ca是很安全的”之类的自欺欺人的瞎话，有空的话还是花点精力去琢磨琢磨仿制和复制的区别，看看自己的水平到了什么地步，能不能入流。
4 A) \" d# n7 i) ?
2 b5 n' N! n7 B1 Q8 s! Y+ e判读EMM内容与反汇编其中的6805程序的步骤如下： ' r! f: D$ V  i3 C$ H
- V/ V5 M* \4 B2 _, _! j4 E
1、 通过某种手段，将EMM纪录下来。这个步骤也称为Logging，Logging通常可以通过1020卡或通过Season卡等来进行卡等来进行。有的高级黑客用的Logging是用含有自己写的特殊程序的卡，在新的含Key的EMM到来时写入EEPROM，再用写卡器读出即可；（一般圈内没有1020卡，都是用自己写的卡程序log。）
0 I1 n+ ]9 Y4 Q) G4 w
6 o5 m2 H- c6 f$ u6 `& Q! \2、 将Logging的文件交给XX程序。该软件是学习和分析EMM、ECM以及XX系统其他信息的优秀软件，其中含有不少有用的工具，对此有兴趣的网友应当熟悉它的使用；
! e; I5 j" N  `; D) E1 x3 s) y
  U! ~) i1 G9 B( E, z$ @! u. h- ]9 W
: j' l* Q. d9 D4 i
% w' r1 a  k3 N9 E5 L5 ]9 }
3、 如果你的XX程序目录中含有正确的ROM10/ROM11的BIN，Keys.INI，Labels.INI，以及Routimes.INI等文件，那么XX程序中的EMM XX功能会将该EMM解开，反汇编并加注释成为易读的源程序；
  K* o# b: f& d* B' h* o* V9 t
4 E0 ^& w6 b/ |7 ?5 D% N1 G8 I. U" w3 d- w+ c
$ U$ {$ ~% F0 p$ ~8 T) K- \
5 a0 k3 V! U5 R4 _" U6 y+ ^# R
4、 阅读EMM程序与包含的数据，对比已知的正确的Key0/Key1，分析之后就可能知道反制的原理，但也可能分析之后仍然找不出头绪。 & s' u% z0 U9 K& Q
2 Y" Y0 r* f2 u& l- f4 [. a0 l1 [& v

, q' M* l: a3 d7 r
% E& b9 {. e, w0 a/ n$ u$ l+ m% M# S
! W4 j4 o. w; ?如果分析明白了，就可以着手编程。对于1020卡，程序按照6805汇编语言编写，汇编后加入ROM10/ROM11.BIN文件，放到Fennir的XX目录下；对于Fun卡，按照AVR汇编语言编程，替换或修改原来卡的部分程序，汇编成*.hex就可以使用了。对于从事嵌入式控制器工作，或是信息类专业的人，编这些程序应当不是什么难事，但要编得好，却也不容易。对计算机汇编语言不熟悉的人，要自编程序，当然要先学习和实践，能否成功，全看各人努力和造化了。 ; }+ y4 d- g9 t& F$ _! N4 Z
第五节MAP ; |- B5 a; a5 N8 S/ a& `7 O9 g
本节开始说起MAP攻略的技术基础知识，有网友该问了为什么是基础知识而不是详细介绍？该攻略是全世界高手共同努力得出的宝贵结果，可想而知，这份资料的宝贵不言而喻！由于是在DVBCN这种公开论坛，另外当初写这些文字也是因为一时意气用事和一个叫t***pert的网友进行理论，结果到现在该老兄跑得无影无踪，偶尔回个帖也是顾左右而言他，对于技术的推演无片言只语的贡献，变成了我孤家寡人在这里卖弄，所以也就没意思了动力也小了很多，因此本文不准备展开和深入介绍。详细的研究和讨论，可以在日后归纳出“MAP技术专题”资料了专门交流，不过就不是这种方法了。
& O; E9 \8 C6 Q( A" M: j( nOK，切入正题。XG有线“新例”超级反制的程序是利用MAP进行的反制程序。由于反制十分复杂，程序较长，所以分为两部分：小部分的是EMM携带的程序，大部分是通过下行信号预先已经存入EEPROM的程序。通过阅读它们，hacker们可以了解MAP的调用（$90E3）在反制中的作用。
9 M+ ~0 a& c" ^调用MAP的EMM有难有易，以Dream TV为例，其MAP $0E功能就可以通过正确的Key，比较容易猜出来，它是与成片数据交换有关的操作；而XG有线调用的MAP $11，$28，$39，$3A功能就极难猜出来，就像是一个“谜”。 : M5 O: ]9 _! l& M+ I. a, H
反制进入使用MAP功能的阶段后，D卡要对抗反制，必须研究MAP功能，只有弄懂了有关的MAP功能，并且在功能上仿真它们，才可以有效对抗这类反制。大家可能会设想：如果我们将MAP协处理器的功能都了解了，将它们都仿真出来，那么不就可以与正版卡完全一样了吗？不过要弄懂MAP的功能，可不是一件容易的事。先让我们了解一下协处理器是什么东西： iB
' C9 g2 q2 _) E$ X" E( {6 C9 }4 ^4 P一般计算机为了处理数据的需要，可以配上协处理器。协处理器的程序是不对外开放的，它的程序存储区对其它器件而言是完全隔离和封闭的。无论如何，用目前的技术和手段，我们都读不出Map协处理器的程序。因此，彻底了解MAP协处理器的功能，是不可能的，除非开发MAP的技术人员被收买了或派间谍打入了研制MAP协处理器的公司，盗取了它的技术资料...。这又有点像t***pert老兄前面说的中央情报局的笑话故事了。 gy9 ; l  n5 \# A2 G( y8 ^. J* @9 L
想像带来虚幻的快感，却不能解决问题，要解决问题，还是脚踏实地，认真学习与研究。
- G8 V# G8 R+ xROMX卡调用MAP功能是通过一个固定入口地址$9E03的子程序实现的，该子程序称为：CALL_MAP，调用时必须在A寄存器中存入MAP的功能号。
; [4 ?8 _/ `  o' |( D! A我们看到EMM实际执行的是一段很长的程序，EMM中的部分只是其中的一小段，绝大部分都存到了EEPROM区，它们是通过下行信号写入卡中的EEPROM的。
0 I! a9 u! C; `0 [/ y4 P据我所知，ROM3或ROM10或ROM11的正版卡在$4000～$99FF的程序代码都相同，它们存在ROM区，是固定不能改变的，如果改变了，那么，“利用正版卡程序随机地址处的机器码作为Key的解码密钥”的EMM反制方法就要产生兼容性问题了（这也许就是ROM卡称谓的由来）。Hacker们将这部分程序称为ROM卡的“ROM区基本程序”。卡复位后执行的就是这部分的程序。 ‑Kg{q u-
% j& A* a  \- w那么固定程序的ROMX卡是如何改变其程序的功能呢？
) m/ s; Y+ `6 {  T$ N6 a' ?4 c不少网友都知道，只要在ROM卡中可以改写的EEPROM区中按规定写入*.BIN文件的程序代码，就可以改变ROMX卡的实际功能。 & k- \" a" J& u' i0 V+ B  z2 P# S/ z+ D$ O
那么为什么在EEPROM区写入的程序代码能改变程序执行时的实际流程呢？这是如何做到的呢？
) u$ L! m/ h9 ^# e3 @PC微机的操作系统或程序，如Windows，发现了Bug，用补丁更改时，需要先下载补丁，然后运行有关修补程序，改变原来程序的代码，才能完成修补。这种修补通常是在原来程序中要修改之处放上转移指令，转到补丁程序，执行后再回到原来的程序继续完成后续工作。这是修改程序功能常用的办法。
: G- ?& A0 W& Y! v# U但如果原来的程序不像PC微机那样存在硬盘上可以更改，而是存在不可更改的ROM区，补丁下载后，没有改变原来程序的任何部分，补丁就可以自动起作用，就是奇怪的事了！ + c6 O: r2 R1 D1 u! {# K1 K, q
由于ROM区基本程序不可更改，又要能自动运行装入EEPROM区中的补丁程序，ROM卡的设计者想出了一种巧妙的方法。该方法能自动检查EEPROM区是否有补丁程序，补丁程序补在原来程序的什么地方，如何自动运行这些补丁程序等等。
# e! ~. V1 Y- g8 D1 u有了这种巧妙的方法，在不改变ROM卡基本程序的前提下，只要将添加的程序或数据存入可更改的EEPROM区，卡的程序功能就可以得到增强或修改，就可以在不必收回或报废原来卡的情况下，适应各种不同的卫视系统或其他应用，或对卡进行升级换代，特别地，可以通过下行信号自动变更原来程序的逻辑功能。
0 @- G0 @0 x( q第六节：
' m( g0 x. H; X6 w: Y: U* x& Y# u, l* J$ Q6 l! E3 J
为了学习和掌握D卡技术，必须能够读懂别人编写的程序，然后再自己修改或编写自己的程序，所有这些，都需要了解汇编语言源程序知识。可以说汇编语言程序知识是D卡技术入门的一道门槛，跨过了这道门槛，就得到了一把打开宝库的钥匙。有不少网友开始上信誓旦旦,但往往乘兴而来，败兴而去，不少人开始畏难，甚至逃跑了,就是难以跨越汇编语言这道门槛。同时因为后续章节中经常提到ASM、HEX、BIN等格式的文件，因此调整一下文章结构，补充一点汇编语言程序基础知识,真正想学习的网友友，还是要自己找资料踏踏实实系统地学习。 2 k. I, q, I. L
　　汇编语言源程序（简称“源程序”）是面向CPU的低层语言，该语言的指令（注意：不称为“语句”）与CPU的机器指令代码一一对应。对不同类型CPU的计算机，指令不同。源程序可以编写或通过反汇编得到。运行汇编程序就可以将汇编语言源程序转为机器语言目标代码，这个转换称为“汇编”（注意：不称为“编译”）。源程序为纯文本文件，扩展名一般为ASM。目标代码文件格式很多，常用的有Intel的HEX格式和存机器码的BIN格式等，它们都可以被编程器接受用于将代码烧写入CPU或EEPROM等存储介质中。计算机CPU只能执行机器指令。 " I) u& k& v' S, L' P
　　汇编语言源程序的指令有两种，一种是对应CPU执行的机器码的“助记符指令”，另一种是指示汇编程序工作的“伪指令”，再有一种“宏指令”实际上属于伪指令，它可以用一个符号串简化表示很多符号信息。 8 |3 h0 i5 t2 A0 K6 f, w9 M# |& O
　　用一种类型的CPU执行另一种CPU的程序，只能用仿真的方式，实现其功能，而不能直接照搬来执行。
8 q2 C: e+ D& k2 V　　在Nagra系统的Hack领域，常见的汇编语言有ST7/6805和AVR等，前者是正版卡的语言，后者是仿真卡的语言。
2 j+ Q$ E2 y% L; d* E
2 c" s+ d# W0 F　　这个是ＡＶＲ的学习地址http://www.ouravr.com/avr_doc_index.html
8 x# U& f" H: C9 Q/ V: D% K" D, Y; v

; `( E7 @) O; Z2 r# a; G! ]" k; [2 h以下给出一些范例： 1 k- T* z; c- P# K7 p) s
　　某种EMM携带的6805的源程序：   Q. {$ s0 k- {0 k  l( k
　　　　　　　　　　　Org　　$0081　　　　　　　　　; 指定以下程序或数据开始地址
3 U. X1 d! r9 M　　StartAddr81H:　　　　 Lda　　$CE01　　　　　　　　　; A:=EEPROM单元[$CE01] 5 u, H+ \; N$ A; Q" }3 H
　　　　　　　　　　　Cmp　　#$01　　　　　　　　　 ; 该单元内容是否等于$01
5 F9 h& y2 J2 n/ P3 \/ Z+ s　　　　　　　　　　　Bne　　$A7　　　　　　　　　　; 如果不是，则EEPROM未装入适当的程序，退到$00A7
* i: c) L7 w7 S% \  w1 Q/ ]　　　　　　　　　　　Jmp　　$CE02　　　　　　　　　; 否则EEPROM有适当的程序，转去执行该程序
( j* R( ?& G2 ^& P1 v#N9=i7 @3
3 E' ]1 [! h, \" ^! n  C" o- z: q汇编后的地址、机器码与源程序为：（该部分是*.LST即列表文件，它包含了源程序和汇编后机器指令或数据，地址等） ' ~/ F  ^3 ]* ]- R% Q7 M8 }  x3 j1 T
　　　　　　　　　　　　　　　　　Org　　$0081　　　; 指定以下程序或数据开始地址
4 Z* N1 g( l* f5 _0081: C6 CE 01　　 StartAddr81H:　lda　　$CE01　　　; A:=EEPROM单元[$CE01] 8 j) L3 B% {8 W, \' s, A3 j
0084: A1 01　　　　　　　　　　　 cmp　　#$01　　　 ; 该单元内容是否等于$01
! a3 _( C$ r9 z  o, X$ o% H3 k8 N0086: 26 A7　　　　　　　　　　　 bne　　$A7　　　　; 如果不是，则EEPROM未装入适当的程序，退到$00A7 , J& L+ W# T  {9 J
0088: CC CE 02　　　　　　　　　　jmp　　$CE02　　　; 否则EEPROM有适当的程序，转去执行该程序
( H. |3 l; l' C# R( n+ L* E0 f. `7 p8 ?# E8 _0 ~* `# S! K
　。。。。。。。　　　
4 Y" c& m/ j- L7 A
  g9 P! X' |* {# b& r3 W, Z) s& @　　以上部分略。
" l/ F8 M; E: t1 A" T9 S
  b) y) ?9 V5 M8 }" K' g　　从以上范例中我们可以看到一些普遍规律（这几点请认真记录）： 9 a) |$ _+ F. G. E) F- U5 F
　　0. 计算机识别的信息都是二进制数，或简洁标示的十六进制形式。
+ k0 U# ?+ f1 D" k! t　　如十六进制与二进制的不同形式：$C6=0xC6=0C6H = 0B11000110=%11000110=11000110B 等
( Y6 t) r& ?4 C; b: s　　1. 相同程序功能，但CPU不同，则机器指令码不同，不能互换。
: g7 n3 B3 j5 M* V　　2. 汇编语言源程序由4部分组成：
. |; c3 \" ]3 }5 @+ x　　　　标号　　　　　　　操作码 操作数　　　　　　　　　 注释 # m8 Q  e8 p* v4 H4 P; Z
　　StartAddr81H:　　　　 Lds　　r16,$CE01　　　　　　　; A:=EEPROM单元[$CE01]
0 l: Q; U1 g3 p& g' n9 ?' _2 O% X　　3. Org或.Org是伪指令，它不产生对应的机器指令，但仍起了一定的作用。
7 d8 \4 R9 p- l# c2 _/ `　　4. 多数指令是助记符指令，它们都产生了一一对应的机器指令，它们都要占据一定的存储单元，都有对应的地址。 # }& X: C/ |' d) b" f
　　5. CPU按照指令的地址，逐条取出机器指令并执行，如果没有转移操作，就按照顺序执行。
: ?1 G2 {1 ~7 Z: p" k9 [; k) c* e　　6. 汇编语言源程序很难看懂和记忆，因此需要认真写注释，一般注释是用英文写，也可以用中文。 ! r) e+ e( w" M) |
　　7. HEX文件有特定的格式，它包含地址，数据和效验和，十分严谨和灵

为了研究正版卡的反制，特别是XG有线类型的高级反制，不仅要研究带Key的EMM，还要关注和跟踪修改EEPROM的EMM。一直关注这些EMM动向的黑客会从相关论坛得到正版卡修改后的EEPROM代码，它们一般以*.BIN的形式给出。
! O# A& f9 M( Z" a; l　　如果得到了ROM卡的*.BIN文件，就可以了解到正版卡在EEPROM中加入了哪些新的补丁程序或采取了什么反制方法。 5 {, ^' d0 c4 J% `5 R
　　研究和了解的第一步是反汇编。反汇编是将机器指令或数据代码转为源程序的一种操作，它是汇编过程的反向操作，是反向工程的一种手段。 : l  M  ^  R. b
　　一般开发产品，自主编写源程序后，主要的工作是汇编，很少反汇编。但黑客在破解我国卫视界的过程中，却常常进行反汇编。   Q0 i% W$ l% l+ D8 g& K* g
　　原因之一，是因为水平不够，无法自编源程序，只好用国外或国内高手赠送的目标代码通过反汇编来转为源程序，再进行学习和修改，这成了必要的步骤。
* A' o5 E0 n  @$ }) z- r　　原因之二，是研究正版卡的反制方法与原理的需要，必须通过反汇编将EMM或EEPROM中的机器码转为易读的源程序，再进行分析和研究。
6 j% c7 V+ I% |7 |: K　　汇编是将源程序转换为目标代码的过程，它比较简单，指令或数据转为机器码时都是唯一的，没有二义性；而反汇编就复杂得多！由于二进制代码的多义性，即，同一个字节，可以代表多种信息，它即可以代表CPU的操作指令，又可以代表各种字符、无符号数、带符号数、浮点数和其他种种信息，因此，一般情况下反汇编是不可能返回汇编前的源程序的，如果反汇编能将指令或数据正确区别开来，就是很不错的了。 ' I% p- b3 I! y5 T/ m9 i9 }
　　大家可能有疑问：要反汇编的是程序，只要转为助记符指令就可以了，怎么还会有转为数据的问题呢？为什么难以区别程序与数据呢？ * v& y! E  F5 Z" W2 R
　　原来，程序是指令与数据的集合，程序存储区中即可以存放CPU的指令，又可以存放程序使用的数据，它们都是二进制代码。在源程序中，不仅有CPU执行的指令，也还有程序用到的数据，这些数据是用数据定义伪指令来描述的。指令与数据汇编后产生的目标代码都是二进制数，它们可能是指令也可能是数据，单从二进制代码本身并不能区别出它们是指令还是数据。
% o7 B, Y- H5 D- S. M以**卡的EEPROM中的部分机器码反汇编为例： 6 z: B' r$ O8 n5 }  p+ }) X' v2 r; a
在**.BIN文件中，取从地址$CE18开始的机器码：CD CB 21 00 96 02 70 08 A6 01 1 _/ \, r+ [* u) s5 u9 {) H
用反汇编软件，如XX软件中的XX功能，反汇编得到的源程序：（是错误的）
) K- ~/ v9 ~- ~' @( {  aCE18: CD CB 21　　 jsr $CB21　　　　　　; 调用子程序$CB21
( |) z3 m0 e4 ZCE1B: 00 96 02　　 brset0 $96, $CE20　　　; 如果$96单元的位0=1则转到$CE20 8 y* ?/ E5 {- a2 E7 {5 U! R
CE1E: 70　　　　　 neg $X　　　　　　　 ; 对X寻址的单元进行求负操作
- z, z( U& B- ?5 TCE1F: 08 A6 01　　 brset4 $A6, $CE23　　　; 如果$A6单元的位4=1则转到$CE23 . t  J5 i+ T. @9 O0 G2 w$ T
正确的反汇编应当得到以下源程序：
7 N% |2 Q4 W6 r* jCE18 CD CB 21　　 jsr　　 $CB21　　　　 ; 调用子程序$CB21，将$0096开始的$08个字节数据复制到$0270开始的单元中 9 T  E% ?# ?/ Y/ I5 ]( h# D0 n
CE1B 00 96 02　　 dc.b　　$00,$96,$02,$70,$08; 这六个字节是传给子程序$CB21的数据，用伪指令“dc.b”来描述
0 F' R* R& T+ b5 HCE1E 70 08
* |6 ^: ^6 \: b1 @& yCE20 A6 01　　　　ld　　　a, #$01　　　 ; a 取值$01
0 F! M8 o3 S# Q$ \　　对比以上两个反汇编的源程序，就可以看出，反汇编后的源程序差别有多大！ 3 x) `0 u! p! B8 f, l0 a5 n2 f& K9 H9 t
　　前面的反汇编没有正确区别指令与数据，得到的源程序将误导阅读者，使之无法了解正确的程序思路。 3 V" F; M& v5 U) S
　　而后面的反汇编正确区别了数据与指令，阅读者就可以明白程序的思路。
$ G- J2 Q  \7 c' J像这样的情形大量发生在XG有线的超级反制程序中，正如某黑客所讲：“cb 與ce code內，有很多都是特別的subroutine，用Xx功能時要小心一點，否則會看到不明所以…尤其是"cd" 等字眼，多是地址位置而不是opcode。早一頁post 出的就是例子，自己用XX软件時會出現不同結果。而keychange 的bytedump 部分全是random parameters for MAP CALL，再多例子也沒分別。再有不明可以大家研究一下，反正結果都會是『謎』一個！ 4 n( V/ g- s) [% P4 U0 a7 U( N
第八节 反汇编2
4 c# ?3 V/ w. X: P, T$ ?+ X. ^% R( U2 M4 A: }( [- e
　　真正的源程序的价值是非常高的，而简单反汇编得到的所谓源程序就没有什么价值，因为这样的源程序难以阅读，难以修改。 如何能将目标代码转换成为真正的源程序呢？ ' ]- Q, E( S4 }' ]% Z6 m  C
　以下是正确反汇编的基本步骤： 4 Q- ^" o6 T4 y( \9 F! Q! ^
　　1. 反汇编首先要选对反汇编的工具程序XX，反汇编工具应当针对目标代码适用的CPU。乱抓一个来，也可以反汇编，但产生出来的是莫名其妙的东西。一般的汇编程序都顺便带有反汇编的功能，也有专门的反汇编工具可以使用。大型的反汇编工具使用起来比较复杂，初学者可以先试试简单的。 7 @# y* [! H1 Z2 K. f; S
　　2. 其次，反汇编得到的源程序要能再汇编成为目标代码，这个目标代码必须与原先用于反汇编的目标代码完全相同，这可以检验反汇编是否基本正确。
  m3 Q0 C9 d. b2 F" w1 w$ y+ ?) b　　3. 再次，反汇编得到的源程序必须经过人工的阅读、分析和判断，确定哪些是指令代码，哪些是数据，确定之后，再告诉反汇编工具程序，让它做相应的处理，产生更合理的源程序。这个步骤要反复进行，直到数据和指令正确分离为止。判断哪些是数据，哪些是指令，要有敏锐的观察力。通常，如果出现“Unknown”字样，或不合逻辑的指令（如对同一个变量重复赋值等），或程序没有入口标号等，就可以认为这部分是数据；如果程序中出现了不合理的标号，说明其它地方还存在数据被当成指令的错误。
' V7 [, U: n9 q4 ?　　4. 最后，对这种反汇编得到的原始源程序进行人工修改，使用有意义的变量名、常数名和子程序名替换原来没有意义的标号，加上详细的注释，最终才形成真正的源程序。这一步是一个再创造的过程，是反汇编中最难和最关键的工作。不会编程的人，一般无法完成这一步，因此说“反汇编是一个再创造的过程，需要的能力绝不比编程低！”，是否真正能得到可以供修改和继续开发的源程序，关键都在这一步。可以说，反汇编的工作，工具软件仅仅帮了我们反汇编工作的其中一小部分，仅处理了那些死板的固定套路的事，而关键的智力活动都必需要人来完成。 1 L! s9 }7 R1 k3 w
　　许多初学者可能过分相信和依赖工具软件，这是不正确的。好的工具软件可以帮助我们，减轻不少繁琐的劳动。但工具是死的，而人是活的，是创造性的源泉。反汇编这种需要高智力的劳动，更是单纯依靠工具软件不可能完成的。 + [8 t0 a0 n; ^0 j. Q4 m
　　以下例子是部分取自146-D卡中的Flash程序，用于说明上述反汇编过程

第九节 反汇编3
1 U2 Q/ s- q2 i5 C' }1 G$ a! z
. l9 Q  O$ j' P; R! s- F要了解正版卡的反制原理，首先要反汇编ROM卡中EEPROM的程序。仍以XXCA使用的ROM卡为例：
& B6 l; d8 Q9 p/ ?4 Y* W0 M; l7 T! E0 U% t3 t( [1 z
; A* P' r: k$ M% U
9 e; n+ j: I6 M/ D
该ROM卡使用的CPU是ST7，它是STMicroelectronix8位处理器家族的成员，指令系统与硬件结构向下兼容Motorola的6805计算机，可以直接执行EMM中携带的6805指令集。0 c  V$ D9 a0 y4 P: J6 Q
通过下行的信号对ROM卡更新后，产生了新的程序。这些新的EEPROM的信息往往以*.BIN文件的形式出现在一些黑客网站上。我们得到后，可以选择文件中我们有兴趣的一部分信息，交给Xx软件进行反汇编。之所以选择Xx软件，是因为Xx软件专门针对ROM卡，它的反汇编具有一定智能，可以自动处理变量名、ROM卡中已知的子程序和特定子程序夹带的数据等，还可以加上注释；之所以只对一部分代码反汇编，是因为Xx软件对反汇编调入的代码长度有限制，不允许超过4KB即$1000。
7 x) _. H* e# c3 K3 Q: o# J4 a+ |0 r. t, O( m) b$ U5 m' T
6 i2 U4 t! T/ ~! W1 j( h
% D; x2 p  u8 J5 w) z# H
下面以XG有线反制的EEPROM程序的反汇编为例，介绍ROM卡的*.BIN文件中部分代码进行反汇编的基本方法： 1 f' l( Z) O+ v0 T' ^3 n( j

% k; ^- n/ i/ N6 E$ j; x3 w7 \% _3 f8 a4 d5 P
% E- M- [; a! j' X6 R, s# f2 |0 P
根据Xx软件解开的EMM，我们可以看到XG有线下行的EMM中夹带了这样的一段程序：
/ d6 P0 n$ j2 i- h7 t
8 @# ], U. T3 w。。。。。。。（略） 6 N- l/ q" P4 i: ^7 t
/ q0 _0 i( ^+ P8 B
! R2 b" L: i' z" F( Y
4 e. A' l1 T" O# I

5 n$ t3 l+ M  P2 O  i  F3 }从中我们知道，一切的关键都在$CE03这个子程序中，必须要反汇编存在ROM卡的EEPROM中的地址为$CE02开始的程序。 / @! w9 X8 }$ X- |5 a/ @7 _: f

/ J) u: i& }! `" f- L( K1 d- I! ^5 C# c$ c0 ^4 {

! [% b8 y: d* ~: b! z; T- u, X9 W1. 将含有$CE02程序的*.BIN文件读入某种编程器的缓冲区，缓冲区地址从$0000开始。记住ROM10/ROM11文件的*.BIN文件是从$C000地址开始的。 , Y7 B/ f+ o/ n: E2 b

  Z: V- S6 A/ _% \7 j5 h* `( P5 l  W; I# j0 \! D6 g, X

1 r  x% E" W5 i: f/ |% o2. 计算保存文件的开始地址=需要反汇编的程序地址的开始地址-$C090。如，希望反汇编$CE02开始的子程序，则计算出的保存文件开始地址=$ CE02-$C090=$0D72。 ) G; Z- o6 j: i! g* g$ ?
& j) @& Y+ F; d2 T! v

, Q. I1 l( k# n! y& t8 F  t7 b
" O( H$ S0 h. t9 t; @8 S" C0 v: U( T3. 用编程器保存文件的功能，保存一份文件，文件类型为*.BIN，保存的缓冲区地址为计算得到的开始地址，文件长度为$1000。注意：Xx软件的Xx只接受长度为$1000的文件。例，保存文件名定为：CE02.BIN，开始地址为$0D72，长度为$1000。 + I" _1 h1 u: W2 x4 W3 r$ a
5 Y( u7 I& a1 S( K+ b7 `1 r  c

$ X4 P3 Q, s: d! Q( X+ c
7 C& e7 s" t3 e# _/ K* t0 W4. 进入Xx软件，点击Xx功能，点击“Extract Bss Code From EEPROM Image…”，选择在3.中保存的文件名，将Initial Addresses和Code Base 都改为程序的真实地址，如在上例中，地址都改为$CE02，选择ROM卡的类型，如ROM10，最后点击“XX！”，完成反汇编。 3 V" i8 a, b4 v% {9 Y) O
1 L, o4 d9 ^$ `* m+ H8 H

9 N/ x# L, a* _  S) F  R; H% S0 k% ?+ u  b* o- f" Y
5. 当然，特殊的子程序，如后面跟随数据的，反汇编可能不正确，需要人工判读，并采取特殊处理（处理方法略）。 0 v7 R5 J) f4 ~
8 A: ?: X  D9 V, C, ~5 l* _

" e6 L& p4 L3 ^) `$ X/ P" D) D9 }, i2 @
第十节介绍MAP与反制原理，第十一节介绍如何用程序来仿真。 不过看现在的情形，大家对算法的讨论感兴趣的比较多，因此觉得有必要停下来讨论讨论算法的问题。可能有人说，一提算法可能又会把问题搞的非常发散，最终又会偏离我们的主题太远，但谈CA破解又不可能不提算法，所以我们暂且转贴一篇网络上流行的基础帖子，从这里插叙开始谈起： 转贴：CA算法的破解方法 理论上说，CA算法的破解方法有两种：一种是解析法，另一种是穷举法。 解析法是根据CA的算法，找到其中的要素，推断出未知因素从而破解算法，这是一种相对比较有把握的方法。对于一种固定的算法，从算法理论上说，它由四个要素构成：第一是被加密的对象(明文)；第二是加密完成的结果(密文)；第三是实现加密的数学模式；第四是采用的密码。在电视广播应用中，一般来说，明文和密文是可以获取的，算法是不能保密的(易泄露)，密钥是大家攻击的对象，一旦密钥被攻破，加密的方法也就随之告破。虽然科学家们设计了很多种巧妙的算法，但是却没有人敢保证自己的算法是不可破解的。但是通过系统实现可以增加算法破解的难度：把两重算法结合在一起，将第一重加密算法的密文作为第二重加密算法的明文，这样用户只能看到原始的明文和两次加密以后的密文，如此就无法找到每个算法三大要素的对应关系，从而无法用解析法来推断密码。 目前绝大多数CA被破解都使用了穷举法。由于明文和密文形成了一定的对应关系，只要拿到足够多的明文和密文对，通过数学的试探方法可以找出中间的对应关系。对穷举法的防御一方面要加大密钥的长度，使明文和密文的位数大大加长，另一种方法是让破解者无法在一定的时间段内拿到足够多的对应关系，典型的做法是将时间因子作为加密内容加进去。只要时间不重复，明文和密文就很难找到对应的关系。 但有了一个好的算法并不表示系统就是安全的，如果在实施过程中留下了漏洞，还是有机会被破密。如果CA的算法很严密，但全是由外部计算机软件实现的，只要有一个手段高明的黑客，就可以比较容易地将程序下载下来，经过反汇编，读取原始代码，从而破解密码。在欧洲某国就发生过这样的事，有个系统工程师下载了某CA的程序，成功地进行了破译。现在，为了提高系统的安全性，人们普遍采用了软硬结合的方法，把核心的算法和密钥都放在保密性相对较好的专用IC卡里，使破密者无法打开IC卡里的内部程序，从而保护核心机密。所以考察安全性的另一个要素，就是要判断厂商提供的IC卡是否足够安全，是否有国际国内的相应标准能够认证其安全等级。如果IC卡本身不够安全，那么CA再强大也无济于事。另外，IC卡必须是专用卡，绝不能将在其他领域通用的卡用作数字电视IC卡，以免破密者因可以轻易获得所需的卡而大大增加破密的机会。

前几节谈了不少反汇编的方法，通过反汇编可以阅读程序，了解不少程序的原理，这种方法对于得到目标代码的情形，是十分直接和有用的方法，但对于MAP功能，却无能为力，因为MAP程序的代码无法得到！   W: V% l/ `3 s6 y* K
对于MAP功能的分析，只有通过不断调用MAP的某个功能，用不同的输入数据喂给它，观察它的输出从而判读出MAP完成的是何种操作。 ' O( n1 P$ D7 a- v
由于MAP协处理器在ROM卡的内部，因此要实现不断测试MAP功能的操作，需要特殊的方法： + z' |, f) i1 i  d# n% m: N( U
1. 需要编写一段特殊的类似“Trojon Horse(木马)”的程序（行内称为“MAPLogger”），该程序的功能是在EEPROM中纪录MAP执行前ROM卡有关内存的数据，然后调用MAP功能，执行后在EEPROM中纪录MAP调用后ROM卡有关内存的数据；
& C; A! ^! A( g) C2. 修改ROM卡EEPROM中的部分程序，用MAPLogger的调用取代原先MAP的调用，让MAPLogger程序起作用； : F  ?# `( Y  j. ]- `9 V. F
3. 将特定的EMM发送给ROM卡，让它执行EMM中的程序，触发引起调用特定的MAP Call,这时，我们埋伏在其中的MAPLogger会起作用，纪录下我们希望看到的数据； " L( T8 G% b: m' ?6 _9 I
4. 将ROM卡的EEPROM区读出，取出MAPLogger 纪录的数据，供分析和研究。 / S0 @/ ?6 \3 h6 i0 E6 l5 z% P
这种嵌入-logging的方法是hanker们研究的常用手段。
. s2 W& E8 F5 u# b2 Q9 J+ s# z对于ROM卡，需要的工具与软件有：
7 K- t) C8 g7 Q& f9 M$ }  I1.XX 写卡器，写卡器的晶振频率应当为3.38MHZ。
% W" |# U( H! q) K/ `
2 V. p1 X! o- Q9 [) x" j图解： 写卡器的作用是配合XX和XX软件，完成：往ROM10卡中写入*.BIN文件，发送 或其他信息；从ROM10卡的EEPROM中读出纪录的信息。 + v* J4 ?) Q/ @! ^# J9 f) N
MAPLogger程序由某个高手编写成功，又经其他高手反汇编后加上注释，列出如下，供参考：（对特定读者，略） 8 y; j4 a! ]( v4 @# J& w/ V
MAPLogger的嵌入与使用方法如下： 3 b4 F& N' a! ^, d) ]6 r
例如，我们想了解EMM 解Key中用到的MAP-$28功能，我们可以先找到有关的程序： / u+ {2 n2 k7 L) _6 b. W% }3 T
然后，将：jsr $90E3 机器码为：CD90 E3
$ p5 I: e. j4 }. A1 k改为： jsr $c702 机器码为：CD C7 02
8 B# s$ K% @$ v) f% y% ~* ?3 Z即，将CE4A地址处的CD 90 E3改为：CD 07 02就可以了。 5 t6 L8 h$ H8 s: V3 O8 |/ ?3 @/ V
这个工作要直接针对*.BIN文件修改，最好要有编程器，调入原来的*.BIN文件，查找定位到要修改的地方，直接将十六进制数改到缓冲区中，存盘后就得到了嵌入MAPLogger的*.bin文件。