Guida Costruzione sniffer e decodifica password chiavetta ZIP (PCF7931/PCF7935)

Ordina per data Ordina per reazioni
Ultima modifica:
Stikki ha detto:
Si, la scrittura è in parte imprevedibile, alcune volte varia solamente il primo byte
Clicca per espandere...
Chiaro adesso faccio un po' di prove volevo capire se essendo che i primi 3 erano già 00 magari che abbia cambiato in 01 o altro
Messaggio unito automaticamente:

17178560170401352415745157311679.webp

Messaggio unito automaticamente:

Questa è una lettura della chiave adesso
 
Ultima modifica:
Mike33 ha detto:
Chiaro adesso faccio un po' di prove volevo capire se essendo che i primi 3 erano già 00 magari che abbia cambiato in 01 o altro
Messaggio unito automaticamente:

Visualizza allegato 75916
Messaggio unito automaticamente:

Questa è una lettura della chiave adesso
Clicca per espandere...

Credo che tu abbia incasinato tutto.
Hai una riga che si ripete, secondo me hai scritto il blocco 2 in tutti gli altri blocchi inizialmente, poi hai modificato il blocco 0 con il byte 07 che ha un valore che non può avere (00 password disabilitata, 01 password abilitata..37 non ha senso).
Poi vedo i byte 1E e 1F a 00 e 07, questi dovrebbero essere ok, per leggere tutti i blocchi.
Purtroppo però il byte 08 ha valore 01, ciò significa che non puoi più modificare il blocco zero. Forse, se non avessi settato il byte 08 a 01 potevi recuperarlo..
Quindi confermo che hai fatto un gran casino, e non è questione di recuperare la password, è questione che puoi buttare il pcf.
Prima di modificare qualsiasi cosa avresti dovuto leggere il datasheet per sapere cosa stavi andando a modificare.

Ricapitolando, secondo me, hai fatto read, il pcf era chiuso con 1E=02 e 1F=02, quindi leggevi il blocco 2 ripetuto,, hai cliccato write con la password nel campo password e quindi hai scritto il blocco 2 su ogni altro blocco; sfiga vuole che l'ottavo byte del blocco 2 avesse il valore 01 che è andato a scriversi nell'ottavo byte del blocco 0.
 
ghost82 ha detto:
Credo che tu abbia incasinato tutto.
Hai una riga che si ripete, secondo me hai scritto il blocco 2 in tutti gli altri blocchi inizialmente, poi hai modificato il blocco 0 con il byte 07 che ha un valore che non può avere (00 password disabilitata, 01 password abilitata..37 non ha senso).
Poi vedo i byte 1E e 1F a 00 e 07, questi dovrebbero essere ok, per leggere tutti i blocchi.
Purtroppo però il byte 08 ha valore 01, ciò significa che non puoi più modificare il blocco zero. Forse, se non avessi settato il byte 08 a 01 potevi recuperarlo..
Quindi confermo che hai fatto un gran casino, e non è questione di recuperare la password, è questione che puoi buttare il pcf.
Prima di modificare qualsiasi cosa avresti dovuto leggere il datasheet per sapere cosa stavi andando a modificare.

Ricapitolando, secondo me, hai fatto read, il pcf era chiuso con 1E=02 e 1F=02, quindi leggevi il blocco 2 ripetuto,, hai cliccato write con la password nel campo password e quindi hai scritto il blocco 2 su ogni altro blocco; sfiga vuole che l'ottavo byte del blocco 2 avesse il valore 01 che è andato a scriversi nell'ottavo byte del blocco 0.
Clicca per espandere...
Avendo altri pcf dovrei poter sistemare, se sistemo al blocco 1 il bit 08 con 00 e faccio Modify poi correggo lo 07 magari lo recupero... Premesso lo faccio solo per prova non ne ho bisogno ho altri pcf ma questo l'ho danneggiato durante i primi tentativi e mi piaceva tentare un recupero (il danneggiamento è avvenuto più o meno come hai detto tu)
Messaggio unito automaticamente:

sbaffozzi ha detto:
ciao mi giri il programma che usi gambit grazie
Clicca per espandere...
Volentieri, ma come te lo posso trasmettere?
 
Ultima modifica:
Mike33 ha detto:
se sistemo al blocco 1 il bit 08 con 00 e faccio Modify poi correggo lo 07 magari lo recupero.
Clicca per espandere...
E' qui il problema, non puoi più cambiare il byte 08 del blocco 0 (non del blocco 1...), nemmeno con la password giusta: quel byte, ripeto, se ha il valore di 01, indica l'impossibilità di modifica di tutto il blocco 0, quindi così com'è, te lo tieni a vita.
E' un "cane che si morde la coda", perchè non puoi modificare il blocco 0 e il byte 08 sta appunto nel blocco zero; anche con la password corretta il gambit dà, giustamente, errore di scrittura.
 
Altra domanda, possibile che due pcf che operano sullo stesso circuito abbiamo pw differente? mi spiego il primo avevo la pw e ci speravo senza problemi, con un secondo riesco a fare la stessa cosa bit wise apro modifico e chiudo, con un terzo nulla da fare, con bit wise non cambia nulla e non si apre
Messaggio unito automaticamente:

Potrebbe essere un pcf differente magari è un pcf 7931 e non un 7935
 
Mike33 ha detto:
Altra domanda, possibile che due pcf che operano sullo stesso circuito abbiamo pw differente? mi spiego il primo avevo la pw e ci speravo senza problemi, con un secondo riesco a fare la stessa cosa bit wise apro modifico e chiudo, con un terzo nulla da fare, con bit wise non cambia nulla e non si apre
Messaggio unito automaticamente:

Potrebbe essere un pcf differente magari è un pcf 7931 e non un 7935
Clicca per espandere...
7931 o 7935 cambia poco, il 7935 ha la memoria shadow, ma ai fini pratici non cambia nulla.
Per quanto riguarda password differente, non mi è mai capitato personalmente e uno si aspetterebbe che la password che manda il lettore al pcf sia sempre la stessa. Tuttavia, un'altra persona, giura di avere chiavette differenti con password diverse che funzionano sulla stessa macchinetta.
Questo quello che scriveva:

Immagine 2024-06-11 101426.webp


L'altra cosa che mi viene in mente è che il byte 08 nel blocco 0 potrebbe essere impostato a 02; in questo caso il blocco 1, quello appunto dove risiedono gli indirizzi 1E e 1F sarebbe protetto da scrittura.
 
ghost82 ha detto:
7931 o 7935 cambia poco, il 7935 ha la memoria shadow, ma ai fini pratici non cambia nulla.
Per quanto riguarda password differente, non mi è mai capitato personalmente e uno si aspetterebbe che la password che manda il lettore al pcf sia sempre la stessa. Tuttavia, un'altra persona, giura di avere chiavette differenti con password diverse che funzionano sulla stessa macchinetta.
Questo quello che scriveva:

Visualizza allegato 75950

L'altra cosa che mi viene in mente è che il byte 08 nel blocco 0 potrebbe essere impostato a 02; in questo caso il blocco 1, quello appunto dove risiedono gli indirizzi 1E e 1F sarebbe protetto da scrittura.
Clicca per espandere...
Confermo che ho diverse chiavette che funzionano sugli stessi distributori ma che hanno a quanto pare pw diversa (quel messaggio citato probabilmente è mio :) ).
Purtroppo non ho ancora avuto modo di utilizzare uno sniffer per provare a verificare quanto immaginiamo..
 
Ciao ragazzi, qualcuno sa il significato del Byte n.7 (ottavo) nel dump delle PCF? Il mio è simile a questo che ho preso sul forum:

1721220700559.webp


ma su quel byte ora ho 02 invece che 00 e pare sia bannata.

Grazie
 
Sebirblu ha detto:
Ciao ragazzi, qualcuno sa il significato del Byte n.7 (ottavo) nel dump delle PCF? Il mio è simile a questo che ho preso sul forum:

Visualizza allegato 76335

ma su quel byte ora ho 02 invece che 00 e pare sia bannata.

Grazie
Clicca per espandere...
Ma il valore 02 lo hai a chiave aperta o chiusa? Nel senso, rendi il contenuto della memoria leggibile con l'impostazione dei bytewise e poi vedi 02 al blocco 07 oppure vedi 02 appena esegui la lettura del pcf? Nella foto che hai allegato la chiave è chiusa e lo si nota dalla stessa riga ripetuta su tutti i blocchi. In questo ultimo caso avere 02 non è un problema
Messaggio unito automaticamente:

Stikki ha detto:
Ma il valore 02 lo hai a chiave aperta o chiusa? Nel senso, rendi il contenuto della memoria leggibile con l'impostazione dei bytewise e poi vedi 02 al blocco 07 oppure vedi 02 appena esegui la lettura del pcf? Nella foto che hai allegato la chiave è chiusa e lo si nota dalla stessa riga ripetuta su tutti i blocchi. In questo ultimo caso avere 02 non è un problema
Clicca per espandere...
Per il significato del byte 07 basta leggere il datasheet del pcf7931 . Il byte 7 è il PAC permette di attivare la password del pcf o no, ma assume valori solo 0 (disattiva) o 1(attiva)
 
Innanzitutto come ho specificato quello non è un mio dump, l'ho mandato solo per far vedere la tipologia di chiave. Poi si, è chiuso, e per essere precisi è il blocco 3. Andando a sbloccare gli altri non vedo differenze con i vecchi dump. Se qualcuno conosce il significato fatemi sapere. Su un'altra chiave in passato mi è capitato di leggere 06 in quella posizione.
 
Sebirblu ha detto:
Innanzitutto come ho specificato quello non è un mio dump, l'ho mandato solo per far vedere la tipologia di chiave. Poi si, è chiuso, e per essere precisi è il blocco 3. Andando a sbloccare gli altri non vedo differenze con i vecchi dump. Se qualcuno conosce il significato fatemi sapere. Su un'altra chiave in passato mi è capitato di leggere 06 in quella posizione.
Clicca per espandere...
Il significato ti è stato scritto in modo corretto da Stikki, e non c'è nulla da aggiungere.
 
ok, allora è il byte 37..purtroppo non ha un significato specifico, in tutto il blocco 3 si può scrivere quello che si vuole. Tra l'altro se il credito è ripetuto 3 volte sembra una codifica diversa dalle zip, argomento di questo topic, sembra più una comestero pcf, se il dump è come l'immagine che hai postato.
 
withoutname ha detto:
Ciao, voglio condividere la mia esperienza nella costruzione di uno sniffer per chiavette zip, testato sia con pcf7931 che con pcf7935 (le ho aperte e letto nome del transponder).

Ho iniziato come consigliato da alcuni utenti leggendo il datasheet del pcf7930, ed è stato molto istruttivo, ma data la mia poca familiarità con le radio frequenze, non sono stato in grado di dedurre lo schema elettrico esatto dello sniffer.

Ho quindi optato per utilizzare uno schema postato da un altro utente, che riporto qua di seguito:

Visualizza allegato 68071

È possibile notare che R2 è di 2.2k al posto di 22k e funziona egregiamente, inoltre il simbolo a destra è quello di un connettore femmina per un jack 3.5” femmina, dato che non ho trovato quello del connettore maschio. Allego immagine per la conversione dei segnali.

Visualizza allegato 68072

(giallo – speaker L, rosso – speaker R, verde – GND, azzurro - MIC)

Alla connessione Sleeve (ovvero quella alla base) viene collegato MIC+, mentre alla connessione Ring2 (l’anello adiacente) viene collegato MIC-.



La lista dei componenti necessari è la seguente:

  • 2 condensatori ceramici da 47nF
  • 2 condensatori ceramici da 10nF
  • 1 resistenza da 1kΩ
  • 1 resistenza da 2.2kΩ
  • 1 diodo 1N4148
  • 1 induttanza a scelta da 18uH
  • 1 paio di cuffie con microfono, anche rotte (non nel connettore ovviamente), da cui prendere il cavetto ed il jack
Il problema nasce al momento della scelta dell’induttanza; se si sceglie un’induttanza assiale (che costa pochi centesimi), sarà necessario posizionarla vicino al transponder al momento dell’inserimento all’interno del lettore per poter sniffare il segnale, e questo comporta smontare una chiavetta, estrarre il trasponder e creare un supporto per poterli inserire insieme. Se invece si sceglie di realizzarla avvolgendo del filo su un cilindro, in modo da non manomettere una chiavetta, è necessario fare bene il calcolo del numero di spire e della loro distribuzione per arrivare al valore richiesto.

Io personalmente ho scelto la seconda strada, facendo il calcolo di quante spire servono e come vanno posizionate per non dover manomettere alcuna chiavetta.

Nel mio caso, ho scelto di avvolgere del filo sottile che avevo a disposizione (25AWG, diametro esterno 0.45mm) su un cilindro dal diametro di 20 mm (facile da reperire), sufficienti per inserirci all’interno una chiavetta.

Si possono realizzare 2 tipi di bobine:
  • A singolo strato (più semplice ma più ingombrante)
  • A strati multipli (più complessa da realizzare ma più compatta)
Ho scelto di realizzare una bobina a più strati, dato che quella singola sarebbe risultata troppo lunga infatti ci sarebbero voluti ben 17mm e 34 spire per raggiungere i 18uH, mentre per quella a strato multiplo sono bastati 5mm e 26 spire su 3 livelli (8 spire abbondanti per livello). Me la sono cavata con circa 2 mt di filo.

Singolo stratoStrati multipli
Numero spireN
34​
26​
Diametrommd
20​
20​
Lunghezzamml
17​
5​
(il filamento è spesso circa 0,5mm, per capire quante spire è possibile fare nella lunghezza, è necessario dividere la lunghezza per 0,5)
Spessore avvolgimentimmb
1,5​
(il filamento è spesso circa 0,5mm, quindi 3 strati sono circa 1,5mm)
InduttanzauHL
17,78461538​
17,80133333​


Ho eseguito i calcoli utilizzando le formule su questo documento: https://online.scuola.zanichelli.it...Mirandola_V3_Lab_1_Dimensionamento_bobine.pdf

Per facilitare la creazione della bobina, ho realizzato una spolina con la stampante 3d, e avvolto il filo in modo fitto. La spolina ha la sede per la chiavetta, in modo da posizionarla sempre in asse con il trasponder.

Visualizza allegato 68073Visualizza allegato 68074

Per quanto riguarda gli altri componenti, li ho disposti su una millefori di dimensioni 20mm x 40mm in questo modo e ho saldato i pin come da tracce:

Visualizza allegato 68075

È da ignorare il connettore jack, sulle presunte pad ho collegato il filo che arrivava da jack, verificando con un tester la continuità verso l’anello che mi serviva.

Ed il risultato è il seguente:

Visualizza allegato 68076

Ho preferito connettorare sia bobina che cavo del jack per rendere facile la sostituzione in caso di problemi, ma non è assolutamente necessario.

Ho realizzato un contenitore con la stampante 3d, in modo da proteggere la bobina e il circuito durante il trasporto, questo è l’aspetto finale:

Visualizza allegato 68077Visualizza allegato 68078Visualizza allegato 68079

Una volta terminata la creazione dello sniffer, ho provato ad utilizzarlo collegandolo al jack delle cuffie, ma non veniva rilevato correttamente, con il risultato che la registrazione audio avveniva dal microfono del cellulare.

Ho risolto il problema utilizzando un adattatore usb-c/cuffie con DAC (non ho idea se funzioni anche con un adattatore semplice, ma alcuni cellulari non li supportano), in modo che il segnale passasse forzatamente dalla porta usb-c. Il mio è questo:
Amazon product ASIN B081455PCT
Vedi: https://www.amazon.it/gp/product/B081455PCT
.

Visualizza allegato 68080

La traccia audio che ho ottenuto è questa (l'ho anche allegata):

Visualizza allegato 68081

La parte interessante è la password, la si può notare da una serie di picchi rivolti solo verso l’alto.

Visualizza allegato 68082

Da qui procediamo a decodificarla; ci interessano solo i primi 58 bit, quindi ho zoomato solo nella parte interessante:

Visualizza allegato 68083

A me è uscita la password cosiddetta di default, ovvero 8F EF 0D A5 ED 05 A1, ma non ho modo di provarla perché non possiedo il gambit.

Qualcuno avrebbe uno schema per auto costruirselo?

Spero che la mia esperienza possa essere utile a qualcuno.
Clicca per espandere...
Ciao, dovrei riuscire a costruire un gambit, nel frattempo volevo provare questo snif, potrei chiederti di inviare il file per la stampante 3D? Grazie mille
 
Buongiorno! Potreste inviarmi i file necessari per costruire e programmare lo sniffer, o informazioni sul dove reperire il materiale? Tutti i link postati in precedenza sono down.

Grazie mille.
 
Buonasera a tutti ragazzi, per caso qualcuno di voi sa la pasw del pcf7931 di una FAGE?

vi inoltro lettura
 

Allegati

  • Immagine 2024-12-24 181043.webp
    Immagine 2024-12-24 181043.webp
    47.7 KB · Visualizzazioni: 16
Ultima modifica:
ghost82 ha detto:
Ci ho provato anche io, senza successo, ho acquistato un pcf7935 dalla cina, ma il mio gambit, che funziona, non lo legge..stranamente non da errori in scrittura con la password corretta (mentre con password non corretta dà errore), ma niente da fare per la lettura, dice pcf non trovato...bho....
Venedo alla tua domanda, questo è quello che avrei fatto io per fare un clone:
1. dump del pcf originale: salvati la password (byte 00 --> 06 del blocco 0, ovviamente se la vuoi leggere nel gambit il PAC deve essere a 00), indirizzi 1E (RFB) e 1F (RLB), indirizzi 07 (PAC) e 08 (BWP)
2. modifica del dump originale:
2a. modifica indirizzo 1E con valore 00, modifica indirizzo 1F con valore 07 (apri in lettura tutti i blocchi)
2b. modifica indirizzo 07 a 00 per disabilitare il PAC (disabilita la password per scrivere)
3. Scrivi il dump modificato sul nuovo pcf
4. ripristina il valore originale, nell'ordine, di: BWP, RFB, RLB, password (byte 00 --> 06 del blocco 0) e PAC

Praticamente, una volta che scrivi il dump non protetto sul clone, gli ripristini tutte le protezioni riproteggendolo, password inclusa.

Il fare un clone era per scopo personale, per vedere se ci riuscivo, dato che la chiavetta originale è mia e il pcf all'interno è totalmente modificabile e ha per me ora pochissimi segreti.
Clicca per espandere...
Ciao, ti chiedo un aiuto ho erroneamente dopo aver inserito la pw facendo modifica bytewise al posto di fare 1E 00 ho scritto 00 20, dopo ciò non riesco a fare più nulla;
Cosa ho modificato? È possibile tornare indietro?
Messaggio unito automaticamente:

ghost82 ha detto:
7931 o 7935 cambia poco, il 7935 ha la memoria shadow, ma ai fini pratici non cambia nulla.
Per quanto riguarda password differente, non mi è mai capitato personalmente e uno si aspetterebbe che la password che manda il lettore al pcf sia sempre la stessa. Tuttavia, un'altra persona, giura di avere chiavette differenti con password diverse che funzionano sulla stessa macchinetta.
Questo quello che scriveva:

Visualizza allegato 75950

L'altra cosa che mi viene in mente è che il byte 08 nel blocco 0 potrebbe essere impostato a 02; in questo caso il blocco 1, quello appunto dove risiedono gli indirizzi 1E e 1F sarebbe protetto da scrittura.
Clicca per espandere...
Ho bisogno ancora di un tuo aiuto, un altro pcf dopo aver messo la PW ho fatto write byte wise al posto di scrivere 1E 00 ho scritto 00 20 mi sono accorto di ciò mi sono fermato ma non so come tornare indietro
 
Ciao Paulin373, grazie per lo schema sniffer, tuttavia ci sono due soluzioni per la resistenza e l'induttore 47uh o 18uh. Normalmente la frequenza di risonanza non viene calcolata in base al valore dell'induttore per ottenere il valore dei condensatori? Stiamo cercando 125khz. Grazie. Buona giornata.
 
fazez59 ha detto:
Ciao Paulin373, grazie per lo schema sniffer, tuttavia ci sono due soluzioni per la resistenza e l'induttore 47uh o 18uh. Normalmente la frequenza di risonanza non viene calcolata in base al valore dell'induttore per ottenere il valore dei condensatori? Stiamo cercando 125khz. Grazie. Buona giornata.
Clicca per espandere...
ma ..dopo molti sniffer e molte prove . questo il wav estrapolato l ho fatto provare a piu persone .. anche con mikwav ..e tutti mi dicono che e molto chiaro e velocissimo . quindi .. ritengo molto valido questo.
 
Buonasera, ok molto bene grazie. Pensavo che in base al valore dell'induttore fosse necessario calcolare il valore dei condensatori, quindi proverò con il tuo schema.Grazie, buona serata
 
Indietro
Top Bottom