Guida Costruzione sniffer e decodifica password chiavetta ZIP (PCF7931/PCF7935)

Ultima modifica da un moderatore:
La lettura che fai col gambit dove tutte le righe sono ripetute significa che la chiave è "cifrata" e va sbloccata con la password che leggi.
Ma scriverlo in maniera corretta è così difficile? Leggere il datasheet e capire come trasmette questo tag è così difficile?
Scrivere il tuo pcf7931 trasmette solo il blocco 2 perchè è una fage era più corretto!
 
Ma scriverlo in maniera corretta è così difficile? Leggere il datasheet e capire come trasmette questo tag è così difficile?
Scrivere il tuo pcf7931 trasmette solo il blocco 2 perchè è una fage era più corretto!


Parliamo di scrivere correttamente e poi ci dimentichiamo la grammatica... Avevo intuito che fosse così una volta sbloccata la memoria... Si vede a colpo d'occhio. Perché questo bisogno di attaccare? ma state tranquilli
 
Buongiorno a tutti, da tempo sto diventando curioso sull' "hacking" di queste chiavette.
Ho smanettato e girato in vari forum convinto che la mia chiavetta fosse una mifare, ma ho appena scoperto che è una fage, il colore mi sembra più un grigio scuro.
Non ho ancora provato ad aprirla, ne ho una sola e non vorrei distruggerla, quindi mi domando se in qualche modo si possa riconoscere il chip all'interno senza doverla smontare.
Sono relativamente un neofita su questo argomento anche se riesco a destreggiarmi in elettronica/programmazione e robe simili.
Mi piacerebbe ricevere qualche info in più sulla mia chiavetta, e magari aiutare qualcun altro se possibile.
Grazie a tutti.

WhatsApp Image 2023-04-12 at 10.50.36.jpeg
 
Buongiorno a tutti, da tempo sto diventando curioso sull' "hacking" di queste chiavette.
Ho smanettato e girato in vari forum convinto che la mia chiavetta fosse una mifare, ma ho appena scoperto che è una fage, il colore mi sembra più un grigio scuro.
Non ho ancora provato ad aprirla, ne ho una sola e non vorrei distruggerla, quindi mi domando se in qualche modo si possa riconoscere il chip all'interno senza doverla smontare.
Sono relativamente un neofita su questo argomento anche se riesco a destreggiarmi in elettronica/programmazione e robe simili.
Mi piacerebbe ricevere qualche info in più sulla mia chiavetta, e magari aiutare qualcun altro se possibile.
Grazie a tutti.

Visualizza allegato 69414
Pcf7935aa
Per leggere/scrivere la memoria ti serve un device.
Tuttavia ogni operazione di scrittura necessita lo sblocco con password.
A differenza della chiavetta usata in questa guida, la password della tua chiavetta non è univoca, ma viene decisa da ogni esercente.
Per questo motivo come spiegato bene in questa guida devi fare un attacco man in the middle, catturando la comunicazione tra il distributore e la chiavetta quando viene effettuato un comando di scrittura (quando viene fatto un acquisto e viene riscritto il nuovo credito), dato che per forza di cose conterrà il comando di sblocco con password.
Per catturare questa comunicazione devi costruire lo sniffer, che tramite un'induttanza cattura i segnali per poi trasmetterli ad un registratore vocale qualsiasi tramite jack.

Detto questo, se giri la chiavetta dall'altro lato rispetto alla foto noterai un tappo sulla parte finale della chiavetta, quel tappo è incastrato non incollato quindi puoi tranquillamente rimuoverlo senza rovinare la chiavetta. Nel pozzetto è presente il pcf.
 

c'è anche il sw e ho fatto i gerber a partire dai file forniti
Qualcuno ha costruito quel GAMBIT?
Io, purtroppo, non ho fatto in tempo a scaricarlo, potresti pubblicarlo di nuovo e possibilmente anche i file gerber?
Grazie.
 
Ciao, voglio condividere la mia esperienza nella costruzione di uno sniffer per chiavette zip, testato sia con pcf7931 che con pcf7935 (le ho aperte e letto nome del transponder).

Ho iniziato come consigliato da alcuni utenti leggendo il datasheet del pcf7930, ed è stato molto istruttivo, ma data la mia poca familiarità con le radio frequenze, non sono stato in grado di dedurre lo schema elettrico esatto dello sniffer.

Ho quindi optato per utilizzare uno schema postato da un altro utente, che riporto qua di seguito:

Visualizza allegato 68071

È possibile notare che R2 è di 2.2k al posto di 22k e funziona egregiamente, inoltre il simbolo a destra è quello di un connettore femmina per un jack 3.5” femmina, dato che non ho trovato quello del connettore maschio. Allego immagine per la conversione dei segnali.

Visualizza allegato 68072

(giallo – speaker L, rosso – speaker R, verde – GND, azzurro - MIC)

Alla connessione Sleeve (ovvero quella alla base) viene collegato MIC+, mentre alla connessione Ring2 (l’anello adiacente) viene collegato MIC-.



La lista dei componenti necessari è la seguente:

  • 2 condensatori ceramici da 47nF
  • 2 condensatori ceramici da 10nF
  • 1 resistenza da 1kΩ
  • 1 resistenza da 2.2kΩ
  • 1 diodo 1N4148
  • 1 induttanza a scelta da 18uH
  • 1 paio di cuffie con microfono, anche rotte (non nel connettore ovviamente), da cui prendere il cavetto ed il jack
Il problema nasce al momento della scelta dell’induttanza; se si sceglie un’induttanza assiale (che costa pochi centesimi), sarà necessario posizionarla vicino al transponder al momento dell’inserimento all’interno del lettore per poter sniffare il segnale, e questo comporta smontare una chiavetta, estrarre il trasponder e creare un supporto per poterli inserire insieme. Se invece si sceglie di realizzarla avvolgendo del filo su un cilindro, in modo da non manomettere una chiavetta, è necessario fare bene il calcolo del numero di spire e della loro distribuzione per arrivare al valore richiesto.

Io personalmente ho scelto la seconda strada, facendo il calcolo di quante spire servono e come vanno posizionate per non dover manomettere alcuna chiavetta.

Nel mio caso, ho scelto di avvolgere del filo sottile che avevo a disposizione (25AWG, diametro esterno 0.45mm) su un cilindro dal diametro di 20 mm (facile da reperire), sufficienti per inserirci all’interno una chiavetta.

Si possono realizzare 2 tipi di bobine:
  • A singolo strato (più semplice ma più ingombrante)
  • A strati multipli (più complessa da realizzare ma più compatta)
Ho scelto di realizzare una bobina a più strati, dato che quella singola sarebbe risultata troppo lunga infatti ci sarebbero voluti ben 17mm e 34 spire per raggiungere i 18uH, mentre per quella a strato multiplo sono bastati 5mm e 26 spire su 3 livelli (8 spire abbondanti per livello). Me la sono cavata con circa 2 mt di filo.

Singolo stratoStrati multipli
Numero spireN
34​
26​
Diametrommd
20​
20​
Lunghezzamml
17​
5​
(il filamento è spesso circa 0,5mm, per capire quante spire è possibile fare nella lunghezza, è necessario dividere la lunghezza per 0,5)
Spessore avvolgimentimmb
1,5​
(il filamento è spesso circa 0,5mm, quindi 3 strati sono circa 1,5mm)
InduttanzauHL
17,78461538​
17,80133333​


Ho eseguito i calcoli utilizzando le formule su questo documento: https://online.scuola.zanichelli.it...Mirandola_V3_Lab_1_Dimensionamento_bobine.pdf

Per facilitare la creazione della bobina, ho realizzato una spolina con la stampante 3d, e avvolto il filo in modo fitto. La spolina ha la sede per la chiavetta, in modo da posizionarla sempre in asse con il trasponder.

Visualizza allegato 68073Visualizza allegato 68074

Per quanto riguarda gli altri componenti, li ho disposti su una millefori di dimensioni 20mm x 40mm in questo modo e ho saldato i pin come da tracce:

Visualizza allegato 68075

È da ignorare il connettore jack, sulle presunte pad ho collegato il filo che arrivava da jack, verificando con un tester la continuità verso l’anello che mi serviva.

Ed il risultato è il seguente:

Visualizza allegato 68076

Ho preferito connettorare sia bobina che cavo del jack per rendere facile la sostituzione in caso di problemi, ma non è assolutamente necessario.

Ho realizzato un contenitore con la stampante 3d, in modo da proteggere la bobina e il circuito durante il trasporto, questo è l’aspetto finale:

Visualizza allegato 68077Visualizza allegato 68078Visualizza allegato 68079

Una volta terminata la creazione dello sniffer, ho provato ad utilizzarlo collegandolo al jack delle cuffie, ma non veniva rilevato correttamente, con il risultato che la registrazione audio avveniva dal microfono del cellulare.

Ho risolto il problema utilizzando un adattatore usb-c/cuffie con DAC (non ho idea se funzioni anche con un adattatore semplice, ma alcuni cellulari non li supportano), in modo che il segnale passasse forzatamente dalla porta usb-c. Il mio è questo:
Amazon product ASIN B081455PCT
Vedi: https://www.amazon.it/gp/product/B081455PCT
.

Visualizza allegato 68080

La traccia audio che ho ottenuto è questa (l'ho anche allegata):

Visualizza allegato 68081

La parte interessante è la password, la si può notare da una serie di picchi rivolti solo verso l’alto.

Visualizza allegato 68082

Da qui procediamo a decodificarla; ci interessano solo i primi 58 bit, quindi ho zoomato solo nella parte interessante:

Visualizza allegato 68083

A me è uscita la password cosiddetta di default, ovvero 8F EF 0D A5 ED 05 A1, ma non ho modo di provarla perché non possiedo il gambit.

Qualcuno avrebbe uno schema per auto costruirselo?

Spero che la mia esperienza possa essere utile a qualcuno.
Spero stia andando tutto bene con le ricerche per il gambit! Volevo chiederti se sarebbe possibile avere i file per la cover 3D del suo progetto. Sono interessato a ricreare lo sniffer e avrei bisogno dei file 3d per fare la sua cover. Fammi sapere se è possibile averli.
 
Ciao a tutti, per riportare vergine un pcf7935 bisogna mettere a zero tutto tranne la linea 00. Confermate?
Mentre i dati del gestore sono i numeri da 0 a 7 della riga 10?
Grazie per le conferme o dritte
 
Qualcuno può gentilmente fornirmi qualche dettaglio per il ganit
Salve a tutti, qualcuno che mi dia gentilmente un feedback che ha provato a costruire il gambit in questione? Vorrei ordinare i componenti da saldare sulla pcb ma dato che non sono pochi vorrei almeno avere qualche riscontro e chiarire alcuni dubbi riguardo la costruzione della bobina che non è specificato. Grazie a tutti
 
Comunque se qualche buon anima lo volesse costruire, ho trovato il pdf relativo a questo schema qui da un forum russo, in cui c'è scritta la compatibilità dei pcf con questo gambit autocostruito, purtroppo da quello che c'è scritto i pcf7931 sarebbero read only, quindi niente scrittura e quindi inutilizzabili :(
Al contrario invece dei 7935 che sono wr ok
 
Buonasera a tutti, sono nuovo qui nel forum, e leggendo i vari articoli presenti in questo forum mi sono fatto una bella infarinata, io ho un pcf7931, mi sono munito di sniffer e gambit e ho iniziato l'impresa, ho snifferato il pcf e con la traccia audio ho trovato la password ( o almeno spero che sia quella ), una volta aperto il programma del gambit faccio leggere il pcf e le righe sono tutte uguali, allora faccio "write bytewise" inserisco i valori indicati e la password, rifaccio il comado "read" ma rimane tutto uguale. Ora ho due dubbi, il primo è che la password da me trovata è sbagliata o il gambit che ho preso non va bene per il mio pcf7931. Per la password ho analizzato e codificato diverse tracce e quello che trovo è sempre quella che ho codificato, non vorrei che l'ho fatto male, se per favore mi potreste aiutare perchè non capisco dove sbaglio. Grazie mille
 
Qualcuno mi può spiegare dove va collegato questo +U ??
Ho assemblato e programmato l'atmega8, e il programma me lo riconosce tranquillamente, il problema è che non riesco a leggere i pcf, non vorrei aver sbagliato qualcosa con la bobina...
 

Allegati

  • Screenshot (759).png
    Screenshot (759).png
    317.1 KB · Visualizzazioni: 42
Qualcuno mi può spiegare dove va collegato questo +U ??
Ho assemblato e programmato l'atmega8, e il programma me lo riconosce tranquillamente, il problema è che non riesco a leggere i pcf, non vorrei aver sbagliato qualcosa con la bobina...
All'alimentazione principale che intendi fornirgli. Lo schema prevede di usare un alimentazione maggiore di 5 volt, se non ricordo male il progetto usava una pila 9 volt che attraverso il regolatore di tensione la porta a 5 volt per tutte le alimentazioni del circuito. Puoi anche eliminare il circuito lm7805 se hai un alimentazione a a 5 volt diretta tipo un power bank
 
All'alimentazione principale che intendi fornirgli. Lo schema prevede di usare un alimentazione maggiore di 5 volt, se non ricordo male il progetto usava una pila 9 volt che attraverso il regolatore di tensione la porta a 5 volt per tutte le alimentazioni del circuito. Puoi anche eliminare il circuito lm7805 se hai un alimentazione a a 5 volt diretta tipo un power bank
Grazie mille per la risposta, sono felice che questo forum sia frequentato ancora da gente educata e rispettosa, finalmente sono riuscito a far funzionare il mio gambit autocostruito con pezzi da aliexpress, ho fatto finalmente la prima lettura del mio pcf 7931 (chiavetta zip gialla), e ho trovato questi valori in foto, ho iniziato da una semplice read senza password o bytewise... Siccome ho notato che agli altri utenti appaiono righe tutte uguali quando sono bloccate da password, a me sembra mostrare i dati in chiaro... o sbaglio? Ho provato anche a fare bytewise con la password di default ma rimangono uguali... Sapreste dirmi se è gia sbloccata? Altrimenti procedo a costruirmi anche lo sniffer...
Messaggio unito automaticamente:

20231130_102912.jpg